Politica de Privacidad Merecity
1. Introducción y Objeto
MERECITY S.A.S. (en adelante “MERECITY” o el “Responsable”) tiene el compromiso de proteger la privacidad y los datos personales de quienes interactúan con su plataforma Merecity CRM. La presente Política de Privacidad establece las condiciones bajo las cuales MERECITY recopila, almacena, usa, transfiere y protege los datos personales en el marco de la prestación del servicio SaaS.
Esta política se adopta en cumplimiento de la Ley Estatutaria 1581 de 2012 de Protección de Datos Personales, el Decreto 1074 de 2015, la Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio (SIC), y demás normativa aplicable en Colombia. Para clientes o titulares ubicados en países con regulación específica (como el GDPR europeo), se aplicarán los estándares adicionales correspondientes.
2. Definiciones
Para efectos de esta Política, se adoptan las definiciones del artículo 3 de la Ley 1581 de 2012:
Término
Significado
Dato Personal
Cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.
Dato Sensible
Datos que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación (salud, biométricos, orientación sexual, etc.).
Titular
Persona natural cuyos datos son objeto de tratamiento.
Responsable
MERECITY S.A.S., quien decide sobre el tratamiento de datos personales.
Encargado
Persona o empresa que trata datos por cuenta del Responsable
Tratamiento
Cualquier operación sobre datos personales: recolección, almacenamiento, uso, circulación, supresión.
Autorización
Consentimiento previo, expreso e informado del titular para el tratamiento de sus datos.
Base de datos
Conjunto organizado de datos personales objeto de tratamiento.
Transferencia
Comunicación de datos a un receptor dentro o fuera de Colombia.
Transmisión
Tratamiento de datos por un Encargado por cuenta del Responsable.
3. Datos Personales que se Recopilan y Tratan
En el marco del servicio Merecity CRM, MERECITY puede recopilar y tratar las siguientes categorías de datos:
3.1 Datos del Cliente (empresa suscriptora)
Nombre o razón social
NIT o cédula
Nombre del representante legal
Dirección, ciudad, país
Correo electrónico corporativo
Número de teléfono
Datos de pago (titular de cuenta, entidad bancaria — no se almacenan números de tarjeta)
3.2 Datos de Usuarios (personas autorizadas por el Cliente dentro de la plataforma)
Nombre completo
Correo electrónico
Teléfono
Contraseña (almacenada en forma encriptada)
Registros de actividad dentro de la plataforma (logs)
3.3 Datos de Contactos y Leads del Cliente (datos de terceros ingresados por el Cliente)
El Cliente puede ingresar en la plataforma datos de sus propios clientes, prospectos o leads, incluyendo:
Nombre completo
Número de teléfono (incluyendo WhatsApp)
Correo electrónico
Documentos de identidad
Historial de conversaciones
Datos de pagos o transacciones comerciales
Cualquier información adicional que el Cliente decida ingresar
En este caso, el Cliente actúa como Responsable del tratamiento de dichos datos frente a sus propios titulares, y MERECITY actúa como Encargado. El Cliente es responsable de obtener las autorizaciones necesarias de sus titulares conforme a la Ley 1581 de 2012.
4. Finalidades del Tratamiento
MERECITY trata los datos personales para las siguientes finalidades:
Prestación del servicio
Configurar, parametrizar, operar y mantener la plataforma Merecity CRM para el Cliente.
Gestión comercial
Facturación, cobro de suscripciones, registro de pagos.
Soporte técnico
Atender solicitudes, incidentes y requerimientos del Cliente.
Comunicaciones del servicio
Enviar notificaciones sobre el estado del servicio, actualizaciones y alertas críticas.
Mejora del servicio
Análisis agregado y anónimo del uso de la plataforma para mejorar funcionalidades.
Cumplimiento legal
Cumplir obligaciones legales, tributarias o regulatorias en Colombia y otros países.
Seguridad
Prevenir fraudes, accesos no autorizados y garantizar la integridad de la plataforma.
MERECITY NO utilizará los datos para fines distintos a los aquí declarados sin previo consentimiento del titular.
5. Base Jurídica del Tratamiento
El tratamiento de datos personales por parte de MERECITY se fundamenta en:
Autorización expresa del titular (art. 9, Ley 1581 de 2012): obtenida al momento de la suscripción y registro en la plataforma.
Relación contractual: el tratamiento es necesario para la ejecución del contrato de servicio SaaS.
Cumplimiento de obligaciones legales: cuando la ley exige el tratamiento (ej. obligaciones tributarias, SARLAFT).
Interés legítimo: para fines de seguridad y prevención de fraude, siempre que no prevalezca sobre los derechos del titular.
Para datos sensibles, se requerirá autorización expresa y por escrito del titular, salvo que aplique una excepción legal.
6. Derechos del Titular de los Datos
De conformidad con los artículos 8 y 22 de la Ley 1581 de 2012, los titulares de datos personales tienen los siguientes derechos:
Conocer
Conocer los datos que MERECITY tiene sobre el titular y las finalidades de su tratamiento.
Actualizar
Solicitar la actualización de datos incompletos, inexactos o desactualizados.
Rectificar
Solicitar la corrección de datos erróneos.
Suprimir
Solicitar la eliminación de datos cuando no exista obligación legal de conservarlos.
Revocar
Revocar la autorización otorgada, cuando no exista deber legal de conservarlos.
Acceder
Acceder de forma gratuita a los datos tratados, al menos una vez por periodo de calendario.
Presentar quejas
Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la ley.
No recibir publicidad
Solicitar ser excluido de bases de datos de publicidad o mercadeo.
Para clientes en la Unión Europea o países con GDPR aplicable, se garantizan adicionalmente los derechos de portabilidad, oposición y no estar sujeto a decisiones automatizadas con efectos jurídicos significativos.
El ejercicio de estos derechos se realiza mediante solicitud escrita a: [email protected]. MERECITY responderá dentro de los plazos establecidos por la Ley 1581 de 2012 (10 días hábiles para consultas, 15 días hábiles para reclamos).
7. Almacenamiento y Seguridad de los Datos
7.1 Los datos personales son almacenados en los servidores de GoHighLevel Inc. (Highlevel), proveedor de infraestructura cloud de MERECITY, ubicados principalmente en los Estados Unidos. GoHighLevel actúa como Encargado del tratamiento bajo los estándares de seguridad de la industria.
7.2 MERECITY implementa las siguientes medidas de seguridad:
Cifrado de datos en tránsito (TLS/HTTPS)
Cifrado de contraseñas de usuarios
Control de acceso por roles dentro de la plataforma
Monitoreo de accesos y actividad sospechosa
Políticas internas de manejo confidencial de datos
7.3 No obstante, MERECITY no puede garantizar la seguridad absoluta de la información frente a ataques informáticos externos, fallas de infraestructura de terceros o eventos de fuerza mayor.
7.4 En caso de una brecha de seguridad que afecte datos personales, MERECITY notificará al Cliente y, cuando lo exija la ley, a la SIC, en los plazos establecidos por la normativa vigente.
8. Transferencia Internacional de Datos
En razón de la infraestructura utilizada (GoHighLevel Inc., con servidores en EE.UU.) y las integraciones con terceros (OpenAI, Meta, Google, entre otros), los datos personales pueden ser transferidos y tratados fuera de Colombia.
MERECITY garantiza que dichas transferencias se realizarán bajo las siguientes condiciones:
GoHighLevel Inc. (EE.UU.): Proveedor de infraestructura cloud. Los datos se almacenan y procesan en sus servidores conforme a sus políticas de privacidad y seguridad, disponibles en https://www.gohighlevel.com/privacy-policy.
OpenAI: Proveedor de inteligencia artificial. Datos de conversaciones pueden ser procesados por sus modelos conforme a sus políticas de uso de datos empresariales.
Meta (WhatsApp Business API): Datos de mensajes y contactos se gestionan según las políticas de Meta Platforms, Inc.
Google: Para integraciones de calendario, correo y otros servicios, aplican las políticas de privacidad de Google LLC.
El Cliente reconoce y acepta esta transferencia internacional al momento de contratar el servicio. MERECITY exige contractualmente a sus proveedores el cumplimiento de estándares de seguridad equivalentes o superiores a los exigidos por la normativa colombiana.
Para titulares bajo el GDPR, MERECITY garantiza que las transferencias internacionales se realizan bajo cláusulas contractuales tipo u otros mecanismos de protección adecuados.
9. Conservación de los Datos
9.1 Los datos personales serán conservados durante el tiempo necesario para cumplir la finalidad para la cual fueron recopilados y mientras subsista la relación contractual con el Cliente.
9.2 Al momento de la terminación del contrato, el Cliente dispondrá de quince (15) días calendario para exportar sus datos. Transcurrido dicho plazo, MERECITY procederá a eliminar los datos del Cliente de la plataforma, salvo obligación legal de conservación.
9.3 Los datos que deban conservarse por obligaciones legales (tributarias, contables, entre otras) se mantendrán por los períodos establecidos en la normativa correspondiente.
9.4 Los registros de logs y auditoría de la plataforma se conservarán por un período mínimo de doce (12) meses.
10. Responsabilidades del Cliente como Responsable de Datos de Terceros
Cuando el Cliente ingresa datos personales de sus propios clientes, prospectos o leads en la plataforma Merecity CRM, el Cliente asume la condición de Responsable del tratamiento de dichos datos y declara:
Haber obtenido la autorización previa, expresa e informada de sus titulares para el tratamiento de datos, de conformidad con la Ley 1581 de 2012.
Que los datos ingresados han sido recopilados lícitamente y con finalidades legítimas.
Asumir plena responsabilidad ante reclamaciones de titulares derivadas del tratamiento de sus datos dentro de la plataforma.
Que MERECITY actúa como Encargado del tratamiento respecto de dichos datos, limitando su actuación a lo estrictamente necesario para la prestación del servicio.
MERECITY no se responsabiliza por el incumplimiento del Cliente de sus obligaciones como Responsable del tratamiento frente a sus propios titulares.
11. Datos de Pago
MERECITY no almacena directamente datos de tarjetas de crédito ni débito. Los pagos se realizan mediante transferencia bancaria o a través de la pasarela Mercado Pago. Los datos de pago son gestionados directamente por dichos medios y están sujetos a sus propias políticas de privacidad y seguridad:
Mercado Pago: https://www.mercadopago.com.co/privacidad
MERECITY conserva registros de las transacciones realizadas (monto, fecha, concepto) con fines contables y de cumplimiento tributario, de conformidad con la Ley 1266 de 2008 y la normativa tributaria colombiana.
12. Uso de Cookies y Tecnologías de Seguimiento
La plataforma Merecity CRM puede utilizar cookies y tecnologías similares para:
Mantener la sesión activa del usuario.
Recordar preferencias de configuración.
Analizar el uso de la plataforma de forma agregada y anónima.
Las cookies esenciales para el funcionamiento de la plataforma no pueden desactivarse. Las cookies de análisis pueden gestionarse desde la configuración del navegador. MERECITY no utiliza cookies para publicidad comportamental de terceros.
13. Actualizaciones a esta Política
MERECITY podrá actualizar esta Política de Privacidad cuando lo considere necesario o cuando cambios normativos así lo requieran. Las actualizaciones serán notificadas al Cliente con al menos quince (15) días calendario de antelación, mediante correo electrónico o aviso en la plataforma. La versión vigente estará siempre disponible en la plataforma.
14. Contacto y Ejercicio de Derechos
Para el ejercicio de los derechos ARCOP (Acceso, Rectificación, Corrección, Oposición, Portabilidad) o para cualquier consulta relacionada con el tratamiento de datos personales, el titular puede contactar a MERECITY a través de los siguientes canales:
Correo electrónico
Asunto del correo
"Solicitud de derechos - Datos Personales"
Domicilio
Guarne, Antioquia, Colombia
Horario de atención
Lunes a viernes, 9:30 AM – 5:30 PM (hora Colombia)
MERECITY responderá las solicitudes en los siguientes plazos:
Consultas: dentro de los diez (10) días hábiles siguientes a la recepción de la solicitud (prorrogable por cinco (5) días adicionales).
Reclamos: dentro de los quince (15) días hábiles siguientes a la recepción (prorrogable por ocho (8) días adicionales).
Si el titular considera que su solicitud no fue atendida correctamente, puede acudir a la Superintendencia de Industria y Comercio (SIC) como autoridad de protección de datos en Colombia: www.sic.gov.co.
15. Registro de Bases de Datos
MERECITY S.A.S. mantiene un Registro Nacional de Bases de Datos (RNBD) ante la Superintendencia de Industria y Comercio (SIC), de conformidad con lo dispuesto en el Decreto 1074 de 2015, para las bases de datos que superan los umbrales establecidos por la autoridad de protección de datos.
16. Ley Aplicable
Esta Política de Privacidad se rige por la legislación colombiana, en especial:
Ley Estatutaria 1581 de 2012 — Protección de Datos Personales
Ley 1266 de 2008 — Habeas Data financiero
Decreto 1074 de 2015 (Decreto Único Reglamentario del Sector Comercio, Industria y Turismo)
Circular Externa 002 de 2015 de la SIC
Ley 527 de 1999 — Mensajes de datos y firma electrónica
Para titulares ubicados en la Unión Europea o países con normativa equivalente, se aplica adicionalmente el Reglamento General de Protección de Datos (GDPR — Reglamento UE 2016/679).
MERECITY S.A.S. · NIT 902.049.205-7 · Guarne, Antioquia, Colombia
Política de Privacidad · Versión 1.0 · 2026