POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

OPERYX S.A.S. NIT 902.059.079-8

Versión: 1.0 Fecha de expedición: 23 de abril de 2026 Fecha de entrada en vigencia: 23 de abril de 2026 Última modificación: 23 de abril de 2026

1. INTRODUCCIÓN

OPERYX S.A.S. (en adelante "OPERYX"), sociedad comercial legalmente constituida bajo las leyes de la República de Colombia, identificada con NIT 902.059.079-8, en cumplimiento de lo dispuesto por la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1074 de 2015 y demás normas concordantes, adopta la presente Política de Tratamiento de Datos Personales (en adelante "la Política") con el fin de garantizar el adecuado cumplimiento de la normativa sobre protección de datos personales y, en especial, salvaguardar el derecho constitucional fundamental que tienen todas las personas a conocer, actualizar, rectificar y suprimir la información que se haya recogido sobre ellas en bases de datos o archivos administrados por OPERYX.

2. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO


Razón social	OPERYX S.A.S.
NIT	902.059.079-8
Domicilio	Bogotá D.C., Colombia
Dirección	Calle 47 A Sur No. 29-06 Apto 501, Bogotá D.C.
Representante legal	Sergio Daniel Duque León, C.C. 1.018.468.293
Sitio web	https://operyx.com.co
Correo de contacto general	contacto@operyx.com.co
Correo para protección de datos	protecciondedatos@operyx.com.co

3. DEFINICIONES

Para los efectos de la presente Política, se entenderá por:

Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales.
Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables.
Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento.
Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato Sensible: Aquellos datos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como datos de salud, biométricos, origen racial, orientación política, convicciones religiosas, afiliación sindical, vida sexual.
Encargado del Tratamiento: Persona natural o jurídica que realiza el Tratamiento de datos personales por cuenta del Responsable.
Habeas Data: Derecho fundamental que tiene toda persona para conocer, actualizar, rectificar y suprimir la información que de ella se haya recolectado en bases de datos.
Responsable del Tratamiento: Persona natural o jurídica que decide sobre la base de datos y/o el Tratamiento de los datos. En el contexto de OPERYX, esta sociedad actúa como Responsable respecto de los datos de sus usuarios administradores y como Encargado respecto de los datos de los trabajadores cargados por las empresas clientes.
Titular: Persona natural cuyos datos personales son objeto de Tratamiento.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Transferencia: Envío de datos personales por parte del Responsable o Encargado, ubicado en Colombia, a un receptor que se encuentre dentro o fuera del país, que también es Responsable del Tratamiento.
Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio nacional cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

4. ÁMBITO DE APLICACIÓN

La presente Política aplica a todas las bases de datos y/o archivos que contengan datos personales que sean objeto de Tratamiento por parte de OPERYX, en su calidad de Responsable o Encargado del Tratamiento.

OPERYX presta servicios de software como servicio (SaaS) para la gestión de Seguridad y Salud en el Trabajo (SST) a empresas clientes en Colombia. En el desarrollo de su objeto social, OPERYX recolecta, almacena y trata datos personales de:

Usuarios administradores de las empresas clientes (responsables SST, supervisores, inspectores). OPERYX actúa como Responsable respecto de estos datos.
Trabajadores de las empresas clientes (operarios, personal de obra). OPERYX actúa como Encargado del Tratamiento; el Responsable es la empresa cliente que cargó los datos.
Visitantes y prospectos del sitio web operyx.com.co. OPERYX actúa como Responsable.

5. CATEGORÍAS DE DATOS PERSONALES TRATADOS

OPERYX recolecta y trata las siguientes categorías de datos personales:

5.1 Datos de identificación

Nombres y apellidos, tipo y número de documento de identidad, fecha de nacimiento, fotografía, firma manuscrita digitalizada.

5.2 Datos de contacto

Dirección física, teléfono fijo o móvil, correo electrónico.

5.3 Datos socioeconómicos y laborales

Cargo, salario, fecha de ingreso y retiro, EPS (Entidad Promotora de Salud), ARL (Administradora de Riesgos Laborales), AFP (Administradora de Fondos de Pensiones), proyecto/obra al que está asignado el trabajador.

5.4 Datos sensibles (Tratamiento facultativo)

Conforme al artículo 6 de la Ley 1581 de 2012, el Tratamiento de estos datos requiere autorización expresa y específica del Titular:

Datos de salud: registros de exámenes médicos ocupacionales (EMO), capacitación en alturas, accidentes de trabajo, llamados de atención por temas médicos, evidencia fotográfica de lesiones.
Datos biométricos: firma digital capturada mediante canvas en dispositivos electrónicos.
Datos de geolocalización: ubicación del proyecto u obra donde se ejecutan registros (no se rastrea la ubicación en tiempo real del trabajador).

5.5 Datos de uso del servicio

Registros de auditoría (logs) de las acciones realizadas por usuarios administradores en la plataforma, fechas y horas de acceso, dirección IP, identificador del dispositivo.

6. FINALIDADES DEL TRATAMIENTO

OPERYX trata los datos personales para las siguientes finalidades:

6.1 Para usuarios administradores

Crear, gestionar y autenticar la cuenta de usuario en la plataforma.
Asignar permisos según rol (administrador, superadministrador, inspector).
Comunicar información operativa y de soporte.
Cumplir obligaciones legales, contables y tributarias.
Generar registros de auditoría para trazabilidad y seguridad.

6.2 Para trabajadores de empresas clientes (OPERYX como Encargado)

Registrar inspecciones de seguridad, asistencia diaria, horas extras, accidentes de trabajo, inducciones, capacitaciones, llamados de atención y demás actos requeridos por el Sistema de Gestión de Seguridad y Salud en el Trabajo (SG-SST), de conformidad con el Decreto 1072 de 2015 y la Resolución 0312 de 2019.
Generar reportes y documentos exigidos por la normatividad SST colombiana, incluyendo el Formato Único de Reporte de Accidente de Trabajo (FURAT) regulado por la Resolución 1401 de 2007.
Generar evidencia documental para auditorías de la ARL, Ministerio del Trabajo y demás autoridades competentes.
Conservar registros por los plazos exigidos por la normativa SST (ver sección 11).

6.3 Para visitantes del sitio web

Atender solicitudes de información, demos o cotizaciones.
Enviar información comercial cuando el visitante haya autorizado expresamente.
Mejorar la experiencia de uso del sitio web mediante análisis estadístico agregado.

7. DERECHOS DEL TITULAR

De conformidad con el artículo 8 de la Ley 1581 de 2012, el Titular de los datos personales tiene los siguientes derechos:

a) Conocer los datos personales sobre los cuales OPERYX está realizando Tratamiento. Esta consulta se podrá realizar de forma gratuita por lo menos una vez cada mes calendario.

b) Actualizar y rectificar los datos frente a OPERYX cuando sean parciales, inexactos, incompletos, fraccionados o induzcan a error.

c) Solicitar prueba de la autorización otorgada a OPERYX, salvo cuando expresamente se exceptúe como requisito para el Tratamiento.

d) Ser informado por OPERYX, previa solicitud, respecto del uso que le ha dado a sus datos personales.

e) Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a lo dispuesto en la Ley 1581 de 2012.

f) Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la SIC haya determinado que en el Tratamiento OPERYX ha incurrido en conductas contrarias a la ley o cuando el Titular no tenga el deber legal o contractual de permanecer en la base de datos.

g) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.

8. PROCEDIMIENTO PARA EJERCER LOS DERECHOS DEL TITULAR

8.1 Canal de atención

Las consultas, reclamos y demás solicitudes relacionadas con el Tratamiento de datos personales podrán dirigirse a:

Correo electrónico: protecciondedatos@operyx.com.co
Dirección física: Calle 47 A Sur No. 29-06 Apto 501, Bogotá D.C., Colombia

8.2 Requisitos de la solicitud

La solicitud deberá contener como mínimo:

Nombre completo del Titular y número de documento de identidad.
Datos de contacto (correo electrónico y/o dirección física).
Descripción clara y precisa de los hechos que dan lugar a la consulta o reclamo.
Documentos de soporte que se quieran hacer valer.
En caso de que actúe a través de representante o apoderado, copia del documento que acredite tal calidad.

8.3 Trámite de consultas (artículo 14 Ley 1581 de 2012)

OPERYX dará respuesta a la consulta en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

8.4 Trámite de reclamos (artículo 15 Ley 1581 de 2012)

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

8.5 Requisito de procedibilidad

El Titular sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante OPERYX.

9. AUTORIZACIÓN DEL TITULAR

OPERYX recolectará la autorización del Titular mediante:

Aceptación expresa en formularios físicos o electrónicos al momento de la recolección de los datos (checkbox de autorización en el proceso de creación de cuenta y registro de trabajadores).
Conducta inequívoca del Titular que permita concluir de forma razonable que otorgó la autorización.

La autorización podrá constar en cualquier medio que pueda ser objeto de consulta posterior, garantizando su almacenamiento seguro y trazabilidad.

9.1 Casos en los que no se requiere autorización

De conformidad con el artículo 10 de la Ley 1581 de 2012, no se requerirá autorización del Titular cuando:

a) Se trate de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial. b) Se trate de datos de naturaleza pública. c) Se presenten casos de urgencia médica o sanitaria. d) El Tratamiento sea autorizado por la ley para fines históricos, estadísticos o científicos. e) Se trate de datos relacionados con el Registro Civil de las Personas.

10. TRATAMIENTO DE DATOS SENSIBLES

OPERYX trata datos sensibles únicamente cuando:

El Titular ha dado su autorización explícita y específica para dicho Tratamiento, salvo en los casos exceptuados por la ley.
El Tratamiento es necesario para salvaguardar el interés vital del Titular y este se encuentra física o jurídicamente incapacitado.
Es efectuado en el curso de actividades legítimas y con las debidas garantías por parte de una fundación, ONG, asociación o cualquier organismo sin ánimo de lucro.
Se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Tenga una finalidad histórica, estadística o científica.

En el contexto SST, el Tratamiento de datos de salud y biométricos se realiza en cumplimiento de obligaciones legales del empleador (empresa cliente) derivadas del Decreto 1072 de 2015 y normas concordantes. OPERYX, como Encargado, garantiza que estos datos serán tratados con las máximas medidas de seguridad descritas en la sección 13.

11. CONSERVACIÓN DE DATOS PERSONALES

Los datos personales serán conservados durante el tiempo que sea necesario para cumplir con las finalidades para las cuales fueron recolectados, así como para atender disposiciones legales aplicables.

11.1 Plazos especiales en materia SST

De conformidad con el artículo 2.2.4.6.13 del Decreto 1072 de 2015 y la Resolución 0312 de 2019, los registros del Sistema de Gestión de Seguridad y Salud en el Trabajo deben conservarse por un término mínimo de veinte (20) años contados a partir del momento en que cese la relación laboral del trabajador con la empresa, particularmente en los siguientes casos:

Resultados de exámenes médicos ocupacionales.
Resultados de mediciones y monitoreos a los ambientes de trabajo.
Registros de actividades de capacitación, formación y entrenamiento en SST.
Registros del suministro de elementos de protección personal (EPP).
Investigaciones de incidentes y accidentes de trabajo.

11.2 Conflicto entre derecho a la supresión y obligación de conservación

Cuando un Titular solicite la supresión de sus datos personales y exista una obligación legal o contractual de conservación, OPERYX:

Informará al Titular los motivos por los cuales no es posible atender de forma inmediata la solicitud.
Comunicará el plazo legal mínimo de conservación aplicable.
Procederá a la supresión o anonimización efectiva una vez vencido dicho plazo.
Garantizará que durante el plazo de conservación obligatoria los datos solo serán tratados para los fines legales que originaron dicha conservación.

12. TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS

OPERYX informa al Titular que, para la prestación de sus servicios, utiliza infraestructura tecnológica de proveedores ubicados fuera del territorio colombiano. Esto implica una transmisión internacional de datos hacia los siguientes Encargados:

Proveedor	Servicio prestado	Ubicación
Supabase Inc.	Base de datos PostgreSQL, autenticación, almacenamiento de archivos	Estados Unidos (AWS)
Google LLC (Firebase / Google Cloud)	Hosting del panel web administrativo y servicios complementarios	Estados Unidos
Resend, Inc.	Envío de correos electrónicos transaccionales	Estados Unidos
Google LLC (Workspace)	Correo corporativo	Estados Unidos

OPERYX ha celebrado o se acoge a los términos contractuales de cada uno de estos proveedores, los cuales incluyen cláusulas de protección de datos conformes a estándares internacionales (Data Processing Agreements). Adicionalmente, en cumplimiento de la Circular Externa 002 de 2022 de la SIC, OPERYX:

Verifica que los países receptores ofrezcan niveles adecuados de protección o que existan garantías suficientes mediante contrato.
Mantiene actualizado el listado de Encargados internacionales y los compromisos contractuales asumidos.

Al aceptar la presente Política, el Titular autoriza expresamente la transmisión internacional de sus datos personales a los proveedores mencionados, exclusivamente para las finalidades aquí descritas.

13. MEDIDAS DE SEGURIDAD

OPERYX ha implementado medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad, confidencialidad, integridad y disponibilidad de los datos personales. Entre estas medidas se incluyen:

13.1 Medidas técnicas

Aislamiento multi-tenant mediante Row Level Security (RLS) a nivel de base de datos: cada empresa cliente solo puede acceder a sus propios datos, aplicado a nivel del motor PostgreSQL.
Cifrado en tránsito mediante TLS 1.2+ en todas las comunicaciones entre los aplicativos y el servidor.
Cifrado en reposo AES-256-GCM aplicado a fotografías almacenadas en dispositivos móviles iOS de los inspectores.
Almacenamiento seguro de credenciales de autenticación (JWT) en el llavero seguro del sistema operativo (Keychain en iOS).
Validación de archivos cargados mediante verificación de "magic bytes" para prevenir cargas maliciosas.
Registros de auditoría centralizados con redacción automática de información sensible (firmas, fotografías codificadas en base64) para trazabilidad sin exponer contenido.
Triggers de defensa en profundidad a nivel de base de datos para validar pertenencia multi-tenant en cada operación.
Inmutabilidad de firmas digitales mediante triggers SQL: una vez registrada una firma, no puede ser modificada.
Política estricta de contraseñas: mínimo 12 caracteres con mayúsculas, minúsculas, dígitos y símbolos.
Deshabilitación del registro abierto: los usuarios solo se crean por invitación a través de funciones controladas (Edge Functions con validación de identidad y rol).

13.2 Medidas administrativas

Acceso a datos restringido al personal autorizado, bajo principio de menor privilegio.
Capacitación al equipo de desarrollo en buenas prácticas de seguridad y privacidad.
Revisión periódica de políticas, procedimientos y controles.
Gestión de incidentes de seguridad con notificación a la SIC y a los Titulares afectados cuando aplique, dentro de los plazos legales.

13.3 Limitaciones razonables

OPERYX reconoce que ningún sistema informático es absolutamente invulnerable. En consecuencia, las medidas anteriores constituyen un nivel de protección razonable según los estándares de la industria, pero no eliminan en su totalidad el riesgo de incidentes.

14. ROL DE OPERYX RESPECTO A DATOS DE TRABAJADORES DE EMPRESAS CLIENTES

OPERYX presta servicios SaaS a empresas clientes que son las Responsables del Tratamiento de los datos personales de sus trabajadores. En este modelo:

La empresa cliente decide qué datos cargar, con qué finalidad y por cuánto tiempo, dentro del marco legal aplicable.
OPERYX actúa exclusivamente como Encargado del Tratamiento, ejecutando operaciones sobre los datos según las instrucciones del Responsable y los términos del contrato de servicio.
OPERYX no utilizará los datos de trabajadores para fines distintos a los expresamente autorizados por la empresa cliente.
OPERYX y cada empresa cliente celebran un Acuerdo de Transmisión de Datos que regula los compromisos específicos en materia de protección de datos.

Los Titulares (trabajadores) deberán dirigir sus solicitudes ARCO en primera instancia ante el Responsable del Tratamiento (su empleador). OPERYX colaborará con la empresa cliente en la atención de dichas solicitudes en los plazos legales.

15. INSCRIPCIÓN DE BASES DE DATOS

OPERYX cumple con la obligación de inscripción de sus bases de datos personales en el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio, en los términos del Decreto 1074 de 2015 y demás normativa aplicable, una vez se verifiquen los presupuestos legales para dicha inscripción.

16. VIGENCIA Y MODIFICACIONES

La presente Política rige a partir del 23 de abril de 2026 y permanecerá vigente mientras OPERYX desarrolle su objeto social. Cualquier modificación sustancial será comunicada oportunamente a los Titulares a través del sitio web https://operyx.com.co y/o por cualquier medio idóneo, con al menos diez (10) días hábiles de anticipación a su entrada en vigor.

Los datos personales serán conservados durante la vigencia de la relación con el Titular y por los plazos legales adicionales aplicables, conforme a la sección 11 de esta Política.

17. ACEPTACIÓN

La aceptación de la presente Política se entiende otorgada al momento en que el Titular:

Marca la casilla de aceptación correspondiente en el proceso de registro o uso de los servicios de OPERYX.
Suministra sus datos personales por cualquier medio.
Continúa utilizando los servicios de OPERYX después de haber sido notificado de la presente Política.

OPERYX S.A.S. Sergio Daniel Duque León Representante Legal C.C. 1.018.468.293

Documento generado en cumplimiento de la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1074 de 2015, la Circular Externa 002 de 2022 de la SIC y demás normas concordantes en materia de protección de datos personales en la República de Colombia.