Política de Tratamiento de Datos Personales

ZABIO S.A.S.

Versión 2.1 – Mayo de 2026

1. Introducción

Gracias por usar Zabio. La presente Política de Tratamiento de Datos Personales (en adelante, la "Política") describe la forma en que Zabio S.A.S. recolecta, usa, almacena, transmite, transfiere y, en general, trata los datos personales de los titulares vinculados a la plataforma tecnológica Zabio, así como las garantías y derechos que les asisten.

Esta Política se complementa con los Términos y Condiciones de Uso de la Plataforma Zabio, los contratos de mandato aplicables, el Manual SAGRILAFT y los demás documentos contractuales y regulatorios que rigen la operación. Te recomendamos leerla con atención antes de utilizar la Plataforma. Al aceptar la autorización para el tratamiento de datos personales, manifiestas haber leído, comprendido y aceptado esta Política.

Si en algún momento no estás de acuerdo con el tratamiento de tus datos personales en los términos aquí descritos, puedes optar por no proporcionar tu autorización. Sin embargo, ello podrá implicar la imposibilidad de acceder a parte o a la totalidad de los servicios de la Plataforma.

2. Objeto

La presente Política tiene por objeto: (i) informar a los titulares la forma en que Zabio S.A.S. realiza el Tratamiento de sus datos personales; (ii) describir las finalidades, los principios y las medidas de seguridad aplicables; (iii) detallar los derechos que asisten a los titulares y los procedimientos para ejercerlos; (iv) identificar a los terceros con quienes Zabio comparte información en el marco de la operación; y (v) garantizar el cumplimiento de la normativa colombiana aplicable.

3. Identificación del Responsable

Razón social: Zabio S.A.S.

NIT: 901.818.731-6.

Domicilio principal: Carrera 15 # 95-35, oficina 205, Bogotá D.C., Colombia.

Canal oficial para hábeas data: info@zabio.com

Sitio web: www.zabio.com

Área responsable: las solicitudes relativas al tratamiento de datos personales son atendidas por el área de Cumplimiento de Zabio S.A.S., a través del canal indicado en la sección 25 de esta Política.

Para la prestación de determinados servicios, Zabio S.A.S. podrá apoyarse en entidades relacionadas o aliados que operen infraestructura internacional. En particular, los servicios de bridging y de analítica blockchain podrán ser canalizados a través de SureFX LLC, sociedad constituida en el Estado de Wyoming (EE. UU.), entidad relacionada que actúa exclusivamente como infraestructura de soporte. Zabio S.A.S. mantiene en todo caso la calidad de Responsable del Tratamiento respecto de los datos personales de los titulares vinculados a la Plataforma.

Para efectos de protección de datos personales, SureFX LLC y los demás terceros que intervengan en servicios de bridging, analítica blockchain, infraestructura tecnológica, validación, monitoreo o procesamiento de operaciones podrán actuar, según el caso concreto, como Encargados del Tratamiento, subencargados o Responsables independientes. Cuando actúen por cuenta de Zabio S.A.S., deberán tratar los datos personales exclusivamente conforme a las instrucciones documentadas de Zabio, bajo acuerdos de transmisión de datos o instrumentos contractuales equivalentes que incluyan obligaciones de confidencialidad, seguridad, finalidad limitada, atención de incidentes, restricciones de uso y retorno, supresión o anonimización de la información cuando corresponda.

4. Ámbito de aplicación

Esta Política aplica a todos los titulares cuyos datos personales sean tratados por Zabio S.A.S. en el marco de la Plataforma o de su operación, incluyendo, entre otros: usuarios y usuarios finales, prospectos, aliados operadores, aliados tecnológicos, proveedores, contratistas, accionistas, empleados, candidatos a empleo, beneficiarios y visitantes.

La Política aplica a todo Tratamiento de datos personales realizado dentro del territorio de la República de Colombia y, asimismo, a aquellos casos en los que el Responsable o Encargado se encuentre fuera de Colombia pero, por normas internacionales o tratados vigentes, deba sujetarse a la legislación colombiana en materia de protección de datos personales, en particular cuando el titular sea residente en Colombia. Cuando, por la residencia del titular, el lugar de prestación del servicio, la ubicación de un Encargado o Responsable independiente, o la naturaleza internacional de la operación, resulte aplicable una normativa extranjera de protección de datos, Zabio podrá complementar esta Política con avisos de privacidad, anexos jurisdiccionales o autorizaciones específicas, sin perjuicio de los derechos mínimos reconocidos al titular bajo la normativa colombiana cuando esta resulte aplicable.

5. Marco normativo aplicable

Esta Política se rige por la siguiente normativa colombiana, así como por las normas que la modifiquen, complementen o sustituyan:

Constitución Política de Colombia, artículos 15 y 20.
Ley 1266 de 2008 (manejo de información financiera, crediticia, comercial y de servicios).
Ley 1273 de 2009 (delitos informáticos).
Ley 1581 de 2012 (régimen general de protección de datos personales).
Decreto 1074 de 2015, que compila el Decreto 1377 de 2013 (reglamentario de la Ley 1581).
Ley 2157 de 2021 (Ley de Habeas Data Financiero) y normas concordantes.
Circulares y resoluciones expedidas por la Superintendencia de Industria y Comercio (SIC).

Adicionalmente, Zabio S.A.S. observa los marcos regulatorios sectoriales aplicables a la operación con activos digitales y a la prevención de Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva (LA/FT/FPADM), así como, cuando resulte aplicable, el Crypto-Asset Reporting Framework (CARF) adoptado por la OCDE en la medida en que la normativa colombiana lo incorpore.

6. Definiciones

Para efectos de esta Política se adoptan las siguientes definiciones, sin perjuicio de las definiciones contenidas en los Términos y Condiciones de Uso de la Plataforma Zabio, las cuales aplican supletoriamente:

Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el Tratamiento de sus datos personales.

Aviso de Privacidad: comunicación verbal o escrita generada por el Responsable, dirigida al titular para el Tratamiento de sus datos personales, mediante la cual se informan las políticas que le serán aplicables.

Base de Datos: conjunto organizado de datos personales objeto de Tratamiento.

Dato Personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Dato Público: dato calificado como tal según los mandatos de la ley o de la Constitución, así como aquellos que no sean semi-privados, privados o sensibles.

Dato Semi-privado: dato que no tiene naturaleza íntima, reservada ni pública y cuyo conocimiento o divulgación puede interesar a su titular y a un determinado sector o grupo de personas.

Dato Privado: dato que por su naturaleza íntima o reservada solo es relevante para el titular.

Dato Sensible: dato que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales o de derechos humanos, datos relativos a la salud, a la vida sexual y los datos biométricos.

Encargado del Tratamiento: persona natural o jurídica que, por sí misma o en asocio con otros, realiza el Tratamiento de datos personales por cuenta del Responsable.

Responsable del Tratamiento: persona natural o jurídica que decide sobre el Tratamiento de los datos personales. Para efectos de esta Política, el Responsable es Zabio S.A.S.

Titular: persona natural cuyos datos personales son objeto de Tratamiento.

Transferencia: envío de datos personales por parte del Responsable a un receptor que también es Responsable, ubicado dentro o fuera del país.

Transmisión: comunicación de datos personales por parte del Responsable a un Encargado, ubicado dentro o fuera del país, para que los trate por cuenta del Responsable conforme a un contrato de transmisión de datos.

Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como recolección, almacenamiento, uso, circulación, transmisión, transferencia, supresión o cualquier otra forma de uso.

7. Principios

El Tratamiento de los datos personales por parte de Zabio se realiza de conformidad con los siguientes principios:

Legalidad: el Tratamiento se sujeta a la Constitución, la Ley 1581 de 2012 y demás normas concordantes.
Finalidad: los datos solo se tratan para finalidades legítimas, las cuales son informadas al titular.
Libertad: el Tratamiento solo se realiza con consentimiento previo, expreso e informado del titular, salvo en los casos exceptuados por la ley.
Veracidad o calidad: la información objeto de Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
Transparencia: se garantiza al titular el derecho a obtener información sobre los datos que sobre él existan.
Acceso y circulación restringida: el Tratamiento solo podrá hacerse por personas autorizadas o por quienes tengan facultad legal para ello.
Seguridad: se adoptan medidas técnicas, humanas y administrativas razonables para proteger los datos.
Confidencialidad: las personas que intervienen en el Tratamiento deben garantizar la reserva de la información, incluso después de finalizada su relación con Zabio.

8. Categorías de datos personales tratados

Zabio podrá recolectar y tratar las siguientes categorías de datos personales, según el tipo de titular, el canal de acceso, el producto o servicio y los requerimientos legales aplicables:

8.1. Datos de identificación

Nombres y apellidos completos; tipo y número de documento de identidad; fecha y lugar de expedición; nacionalidad; firma; foto.

8.2. Datos de contacto

Dirección física; correo electrónico; número de teléfono fijo o celular; ciudad y país de residencia; código postal.

8.3. Datos sociodemográficos

Fecha de nacimiento; sexo; género; estado civil; nivel educativo; profesión u ocupación; clasificación en el Sistema de Identificación de Potenciales Beneficiarios de Programas Sociales (Sisbén) cuando aplique.

La información asociada a clasificación Sisbén se tratará exclusivamente como variable complementaria de consistencia socioeconómica, prevención de fraude, análisis de riesgo, asignación o restricción de cupos, monitoreo transaccional y cumplimiento de políticas internas de LA/FT/FPADM. Zabio no utilizará esta información para adoptar decisiones discriminatorias ni para excluir titulares de manera automática por su condición socioeconómica, sin perjuicio de la aplicación de controles reforzados cuando exista inconsistencia entre el perfil declarado, los soportes disponibles y el comportamiento transaccional.

8.4. Datos financieros, tributarios y económicos

Información sobre ingresos, egresos, activos, pasivos, productos financieros vinculados; entidad financiera y número de cuenta; extractos bancarios; declaraciones de renta; certificaciones laborales o de fuente de ingresos; residencia fiscal; información de soportes de origen de fondos; información tributaria requerida por marcos como CARF; estructura societaria, accionistas y beneficiarios finales para usuarios jurídicos.

8.5. Datos transaccionales y de la operación

Direcciones de wallets; tipos de criptoactivos; número de unidades; tasas y montos; número de operaciones; valor en moneda de curso legal; contrapartes; canal de la operación; fecha y hora; aceptación de mandatos; instrucciones impartidas; logs.

8.6. Datos técnicos y electrónicos

Dirección IP; identificadores de dispositivo; navegador; sistema operativo; geolocalización aproximada; cookies y tecnologías de seguimiento; registros de acceso y navegación.

8.7. Datos biométricos y de validación de identidad

Fotografía del documento de identidad; selfie; vídeo de prueba de vida; rasgos faciales y plantillas biométricas obtenidas para verificación de identidad. Estos datos tienen la calidad de Datos Sensibles y reciben el tratamiento previsto en el numeral 9 de esta Política.

8.8. Datos de cumplimiento y prevención de riesgos

Información obtenida de Listas Restrictivas (OFAC, ONU, listas locales de PEP, lista interna de observación de Zabio); resultados de validación contra fuentes públicas; información sobre antecedentes judiciales o de reportes negativos en centrales de información cuando aplique; resultados de analítica blockchain (asociación de wallets con riesgo, screening); información sobre operaciones inusuales o sospechosas.

La consulta de antecedentes, fuentes públicas, información financiera, crediticia, comercial, de servicios o reportes negativos se realizará únicamente cuando exista autorización del titular o habilitación legal, y se limitará a la información necesaria, pertinente y proporcional para la finalidad de prevención de fraude, validación de identidad, cumplimiento contractual, gestión de riesgo, prevención LA/FT/FPADM o atención de requerimientos de autoridad.

8.9. Datos comerciales y de relacionamiento

Información sobre interacciones con Zabio (PQR, soporte, encuestas); preferencias; comunicaciones; consentimientos otorgados; histórico de servicios prestados.

9. Datos sensibles

Zabio solo trata Datos Sensibles cuando se cumple alguna de las siguientes condiciones: (i) el titular ha otorgado autorización expresa, previa, informada y específica para dicho Tratamiento, salvo que la ley exima de tal autorización; (ii) el Tratamiento es necesario para salvaguardar el interés vital del titular y este se encuentra física o jurídicamente incapacitado; (iii) el Tratamiento es efectuado en el curso de actividades legítimas y con las debidas garantías; (iv) el Tratamiento se refiere a datos necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial; o (v) el Tratamiento tiene una finalidad histórica, estadística o científica, en cuyo caso se adoptan medidas de anonimización.

En la operación de Zabio, los principales Datos Sensibles tratados son los biométricos requeridos para la validación de identidad (selfie, prueba de vida, plantillas faciales). Estos datos solo se tratan con autorización expresa y específica del titular, otorgada al momento de la vinculación, y se utilizan exclusivamente para finalidades de identificación, autenticación, prevención de fraude y cumplimiento de obligaciones legales y regulatorias.

La autorización para el Tratamiento de Datos Sensibles, incluyendo datos biométricos, deberá solicitarse de manera expresa, destacada y diferenciada de otras autorizaciones generales, informando al titular que no está obligado legalmente a autorizar su Tratamiento. No obstante, cuando dichos datos sean necesarios para verificar identidad, prevenir fraude, cumplir obligaciones legales, ejecutar operaciones de alto riesgo o proteger la seguridad de la Plataforma, la negativa a suministrarlos podrá impedir la vinculación, autenticación o ejecución de determinadas operaciones.

El titular tiene derecho a no responder a preguntas que versen sobre Datos Sensibles. La negativa a suministrar datos biométricos podrá implicar la imposibilidad de completar el proceso de vinculación o de ejecutar determinadas operaciones.

10. Datos de niños, niñas y adolescentes

La Plataforma Zabio está dirigida exclusivamente a personas mayores de edad. Zabio no vincula intencionalmente a niños, niñas o adolescentes como usuarios de la Plataforma ni permite que ejecuten operaciones con activos digitales, stablecoins o recursos fiat, salvo que exista una habilitación legal expresa, autorización válida de sus representantes legales y verificación de que el Tratamiento responde a su interés superior y respeta sus derechos prevalentes. En caso de detectar que un usuario es menor de edad, Zabio podrá rechazar, suspender o terminar la vinculación, conforme a sus políticas internas de cumplimiento.

11. Doble rol como Responsable y Encargado del Tratamiento

Dependiendo del flujo y de la relación contractual aplicable, Zabio S.A.S. podrá actuar como:

(a) Responsable del Tratamiento, cuando recolecte datos directamente del titular en el marco de su vinculación, ejecución de operaciones bajo mandato directo o cualquier interacción directa con la Plataforma; y

(b) Encargado del Tratamiento, cuando, en el marco de un mandato sucesivo, reciba datos personales del Aliado Operador (en su calidad de Operador Jurídico frente al usuario final) para ejecutar la operación backend bajo instrucciones de aquel, conforme al contrato de mandato aplicable. En tal caso, el Aliado Operador conserva la calidad de Responsable del Tratamiento frente al usuario final, y Zabio actúa por cuenta de aquel sujeto a las instrucciones impartidas, las medidas de seguridad y los demás términos contractuales.

La condición específica que asume Zabio en cada flujo se determinará conforme al contrato de mandato aplicable, los Términos y Condiciones de la Plataforma y los demás documentos contractuales.

En los esquemas de mandato sucesivo, aunque Zabio pueda actuar como Encargado del Tratamiento respecto de datos recibidos del Aliado Operador para la ejecución backend de la operación, podrá actuar como Responsable independiente respecto de los Tratamientos que deba realizar para el cumplimiento de obligaciones legales, regulatorias, tributarias, de prevención de fraude, SAGRILAFT, CARF, atención de autoridades, conservación de evidencia o defensa de sus derechos. En tales casos, Zabio tratará los datos conforme a las finalidades informadas en esta Política y a la normativa aplicable.

12. Finalidades del Tratamiento

Zabio trata los datos personales de los titulares para las siguientes finalidades, según el tipo de titular y el contexto de la relación:

12.1. Finalidades comunes a todos los titulares

Vinculación, validación de identidad y autenticación.
Cumplimiento de obligaciones legales, regulatorias y contractuales.
Prevención de Lavado de Activos, Financiación del Terrorismo y de la Proliferación de Armas de Destrucción Masiva (SAGRILAFT/LA/FT/FPADM).
Validación contra Listas Restrictivas nacionales e internacionales (OFAC, ONU, PEP, lista interna).
Atención de PQR (peticiones, quejas y reclamos), reclamaciones, consultas y solicitudes.
Seguridad de la información, prevención y detección de fraude, suplantación o uso indebido.
Trazabilidad y conservación de evidencia digital.
Cumplimiento de requerimientos de autoridades competentes.
Reportería tributaria nacional e internacional, incluyendo, cuando aplique, CARF.

12.2. Finalidades respecto de usuarios y prospectos

Ejecución del mandato (directo o sucesivo) y de las operaciones de tokenización, destokenización, conversión, transferencia, entrega, recepción o liquidación de activos digitales, stablecoins y recursos fiat.
Asignación, ajuste, restricción, suspensión o retiro del Cupo Mensual Autorizado (CMA).
Monitoreo transaccional, identificación de operaciones inusuales o sospechosas y reporte ante autoridades cuando aplique.
Procesamiento de cobros, comisiones, márgenes y conciliación contable de operaciones.
Comunicaciones operativas relacionadas con la cuenta, las operaciones y los servicios.
Envío de comunicaciones comerciales, promocionales, publicitarias o de mercadeo de servicios propios o de aliados, únicamente cuando el titular haya otorgado autorización específica para esta finalidad y sin que la negativa a recibir tales comunicaciones afecte el acceso a los servicios operativos de la Plataforma. El titular podrá revocar esta autorización u optar por no recibir comunicaciones comerciales en cualquier momento.
Mejora de la experiencia, analítica de uso, desarrollo de nuevos productos y personalización de servicios.
Determinación de obligaciones pendientes y, cuando aplique, consulta y reporte ante centrales de información financiera o crediticia, conforme a la Ley 1266 de 2008.

12.3. Finalidades respecto de aliados, proveedores y contratistas

Debida diligencia previa a la vinculación contractual.
Suscripción y ejecución de contratos, incluyendo facturación, pagos y conciliación.
Cumplimiento de obligaciones contables, tributarias y de control interno.

12.4. Finalidades respecto de empleados, candidatos y beneficiarios

Procesos de selección, contratación, ejecución y terminación de relaciones laborales o de prestación de servicios.
Administración de nómina, seguridad social, beneficios, formación y bienestar.
Cumplimiento de obligaciones laborales, de salud y seguridad en el trabajo, y conservación post-contractual conforme a los plazos legales aplicables.

12.5. Finalidades respecto de visitantes y usuarios del sitio web

Funcionamiento, seguridad y mejora del sitio web y de la Plataforma.
Análisis estadístico y de uso.
Atención de comunicaciones recibidas a través de canales digitales.

12.6. Perfilamiento, analítica y decisiones asistidas por tecnología

Zabio podrá utilizar herramientas tecnológicas, reglas de negocio, modelos de riesgo, analítica transaccional, biometría, screening en listas, analítica blockchain y mecanismos automatizados o semiautomatizados para validar identidad, prevenir fraude, asignar o restringir cupos, detectar operaciones inusuales, identificar señales de alerta, monitorear la Plataforma y gestionar riesgos LA/FT/FPADM.

Estas herramientas no sustituyen necesariamente la revisión humana cuando la decisión pueda producir efectos relevantes sobre la vinculación, continuidad del servicio, bloqueo, rechazo o restricción de operaciones. El titular podrá presentar consultas o reclamos frente a dichas decisiones a través de los canales de hábeas data y atención al usuario.

13. Encargados del Tratamiento y terceros con quienes se comparten datos

Para la prestación de los servicios, Zabio podrá compartir datos personales, en calidad de transmisión o transferencia según corresponda, con las siguientes categorías de terceros:

(i) Aliados Operadores y Aliados Tecnológicos que intervengan en el flujo de vinculación, mandato, operación, recaudo, dispersión, validación o atención del usuario;

(ii) proveedores de verificación de identidad, KYC/KYB, biometría, prueba de vida, autenticación, OTP y prevención de fraude;

(iii) proveedores de screening en listas restrictivas, PEP, sanciones, antecedentes, analítica reputacional y fuentes públicas;

(iv) proveedores de analítica blockchain, monitoreo de wallets, trazabilidad de criptoactivos y evaluación de riesgo transaccional;

(v) proveedores de infraestructura tecnológica, nube, hosting, ciberseguridad, comunicaciones, soporte, almacenamiento y procesamiento de datos;

(vi) entidades financieras, pasarelas de pago, proveedores de liquidez, custodios, exchanges, redes blockchain, proveedores de bridging y entidades de infraestructura operativa, incluyendo SureFX LLC cuando intervenga en la operación;

(vii) asesores legales, contables, tributarios, auditores, revisores y consultores sujetos a deberes de confidencialidad;

(viii) autoridades administrativas, judiciales, tributarias, financieras, de supervisión, policía judicial o unidades de inteligencia financiera, cuando exista obligación legal, requerimiento válido o necesidad de defensa de derechos.

Cuando dichos terceros actúen como Encargados, Zabio suscribirá acuerdos de transmisión de datos o instrumentos equivalentes. Cuando actúen como Responsables independientes, deberán tratar los datos conforme a sus propias políticas, la normativa aplicable y las finalidades autorizadas o legalmente permitidas.

14. Transferencia y transmisión internacional de datos

Por la naturaleza tecnológica e internacional de los servicios, Zabio podrá transferir o transmitir datos personales a Encargados o Responsables ubicados fuera de Colombia. En tales casos, Zabio garantiza, conforme al artículo 26 de la Ley 1581 de 2012 y al Decreto 1074 de 2015, que se cumple alguno de los siguientes supuestos: (i) el país receptor proporciona niveles adecuados de protección de datos según los estándares fijados por la SIC; (ii) se ha obtenido la autorización expresa e inequívoca del titular; (iii) la transferencia es necesaria para la ejecución de un contrato o para la atención de una solicitud del titular; (iv) la transferencia es necesaria para el cumplimiento de obligaciones legales o regulatorias; o (v) se han suscrito cláusulas contractuales tipo o instrumentos equivalentes que garanticen la protección de los datos.

Tratándose de transferencias hacia países que no han sido declarados como de protección adecuada, Zabio suscribe con los terceros instrumentos contractuales que aseguran la protección de los datos personales (acuerdos de tratamiento de datos, cláusulas contractuales tipo, anexos de seguridad), así como obligaciones equivalentes en materia de confidencialidad, notificación de incidentes, finalidad limitada y derechos del titular.

En los eventos de transmisión internacional de datos a Encargados ubicados fuera de Colombia, Zabio procurará que exista un contrato de transmisión o instrumento equivalente que establezca, como mínimo, el alcance del Tratamiento, las actividades autorizadas, las obligaciones del Encargado, las medidas de seguridad, la confidencialidad, las restricciones de subencargo, la atención de derechos de los titulares, la notificación de incidentes y las reglas de devolución, supresión o anonimización de la información.

Cuando la operación implique transferencia internacional a Responsables independientes ubicados en jurisdicciones sin nivel adecuado de protección, Zabio verificará la existencia de una causal legal habilitante o solicitará la autorización expresa e inequívoca del titular, cuando esta sea requerida.

15. Tratamiento en el contexto de blockchain y activos digitales

La operación de Zabio se ejecuta sobre infraestructura blockchain, lo cual impone consideraciones particulares respecto del Tratamiento de datos personales que el titular conoce y acepta:

Inmutabilidad: las transacciones registradas en cadenas de bloques públicas son, por su naturaleza técnica, inmutables y no pueden ser eliminadas. Por ello, Zabio aplica un principio de minimización de datos en cadena: en la cadena se registra exclusivamente la información estrictamente necesaria para la ejecución técnica de la operación (típicamente direcciones de wallet, montos, hashes y referencias seudonimizadas).
Datos identificables off-chain: los datos personales identificables (identidad, biometría, contacto, financieros, soportes documentales) se conservan en bases de datos off-chain bajo controles de seguridad y acceso restringido, y nunca se publican en la cadena.
Seudonimización: las direcciones de wallet se consideran datos seudonimizados; pueden vincularse al titular únicamente mediante la información complementaria almacenada off-chain por Zabio o por sus aliados de cumplimiento.
Transferencia transfronteriza automática: la replicación de los registros blockchain en nodos distribuidos a nivel global implica que los datos en cadena (no identificables por sí solos) circulan internacionalmente. El titular reconoce y acepta esta característica técnica como condición para utilizar la Plataforma.
Limitaciones técnicas al derecho de supresión: el ejercicio del derecho de supresión sobre los datos contenidos en cadena tiene limitaciones técnicas inherentes a la naturaleza inmutable de blockchain. Zabio garantiza la supresión efectiva de los datos identificables conservados off-chain cuando ello sea procedente, e implementa mecanismos de desvinculación o anonimización para mitigar la trazabilidad inversa de los datos en cadena.

La aceptación de estas características técnicas no implica renuncia del titular a sus derechos de hábeas data. Cuando un derecho no pueda ejecutarse materialmente sobre registros en cadena por razones técnicas de inmutabilidad, Zabio adoptará medidas razonables sobre la información off-chain bajo su control, incluyendo actualización, desvinculación, anonimización, restricción de acceso o supresión, según corresponda y siempre que no exista un deber legal o contractual de conservación.

16. Derechos del titular

De conformidad con el artículo 8 de la Ley 1581 de 2012 y normas concordantes, el titular tiene los siguientes derechos:

Conocer, actualizar y rectificar sus datos personales frente a Zabio, en su calidad de Responsable del Tratamiento.
Solicitar prueba de la autorización otorgada a Zabio, salvo en los casos en que la ley no la exija.
Ser informado, previa solicitud, sobre el uso que Zabio le ha dado a sus datos personales.
Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la normativa de protección de datos.
Revocar la autorización y/o solicitar la supresión del dato, cuando en el Tratamiento no se respeten los principios, derechos y garantías legales o cuando ya no sea necesario para las finalidades autorizadas.
Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento, al menos una vez al mes calendario.
Oponerse al Tratamiento cuando este no sea procedente conforme a la ley o cuando la base legal sea el consentimiento y este sea revocado.
Solicitar, cuando sea técnica y jurídicamente procedente, la entrega de sus datos personales en un formato estructurado o interoperable, de acuerdo con las capacidades técnicas de Zabio, las restricciones legales aplicables y sin afectar derechos de terceros, secretos empresariales, seguridad de la Plataforma o deberes de conservación.

El titular puede ejercer estos derechos directamente o a través de su representante legal o apoderado. Los datos solo podrán ser entregados a quien acredite ser titular o representante legítimo, en los términos de la sección 17.

17. Procedimiento para el ejercicio de derechos

17.1. Canal

Las solicitudes para el ejercicio de derechos podrán presentarse a través del correo electrónico info@zabio.com con el asunto "Solicitud de datos personales", o por los demás canales que Zabio habilite.

17.2. Contenido mínimo de la solicitud

Identificación del titular y, cuando aplique, del representante legal o apoderado.
Descripción clara y precisa de los hechos que originan la solicitud y del derecho que se desea ejercer.
Dirección física o electrónica para notificaciones.
Documentos que se quieran hacer valer.

17.3. Plazos de atención

Consultas: serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al titular antes del vencimiento, expresando los motivos de la demora y señalando la fecha en que se atenderá la consulta, la cual no podrá superar los cinco (5) días hábiles adicionales.
Reclamos: el término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al titular los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles adicionales.
Solicitudes incompletas: cuando la solicitud no cuente con la información mínima requerida, se requerirá al solicitante para que la subsane dentro de los cinco (5) días hábiles siguientes; transcurridos dos (2) meses sin respuesta, se entenderá desistida la solicitud.

Para acudir ante la Superintendencia de Industria y Comercio por presuntas infracciones al régimen de protección de datos personales, el titular deberá, cuando así lo exija la normativa aplicable, haber agotado previamente el trámite de consulta o reclamo ante Zabio.

17.4. Autenticación del solicitante

Con el fin de evitar suplantaciones, Zabio podrá solicitar mecanismos adicionales de autenticación del solicitante (preguntas de seguridad, OTP, biometría u otros mecanismos idóneos) antes de atender la solicitud.

18. Deberes de Zabio

18.1. Como Responsable del Tratamiento

Garantizar al titular el pleno y efectivo ejercicio de sus derechos.
Solicitar y conservar la autorización otorgada por el titular.
Informar al titular sobre la finalidad del Tratamiento y los derechos que le asisten.
Conservar la información bajo medidas de seguridad razonables que impidan adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
Garantizar que la información suministrada al Encargado sea veraz, completa, exacta, actualizada, comprobable y comprensible.
Actualizar oportunamente los datos cuando se produzcan cambios y comunicar al Encargado las novedades.
Rectificar los datos cuando sea necesario y comunicar las correcciones al Encargado.
Suministrar al Encargado solo los datos cuyo Tratamiento esté previamente autorizado.
Exigir al Encargado el respeto a las condiciones de seguridad y privacidad de la información del titular.
Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la ley.
Informar al Encargado cuando determinada información se encuentre en discusión por parte del titular.
Notificar a la SIC cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información.
Cumplir las instrucciones impartidas por la SIC.

18.2. Como Encargado del Tratamiento

Garantizar al titular el pleno y efectivo ejercicio de sus derechos.
Conservar la información bajo medidas de seguridad razonables.
Realizar oportunamente la actualización, rectificación o supresión de los datos según lo informado por el Responsable.
Actualizar la información reportada por los Responsables dentro de los cinco (5) días hábiles contados a partir de su recibo.
Tramitar las consultas y reclamos.
Registrar en la base de datos la leyenda "reclamo en trámite" cuando aplique.
Insertar la leyenda "información en discusión judicial" cuando lo ordene la autoridad competente.
Abstenerse de circular información que esté siendo controvertida y cuyo bloqueo haya sido ordenado.
Permitir el acceso a la información únicamente a las personas autorizadas.
Informar a la SIC sobre violaciones a los códigos de seguridad y riesgos en la administración de la información.
Cumplir las instrucciones del Responsable y de la SIC.

19. Seguridad de la información y notificación de incidentes

Zabio adopta medidas técnicas, humanas y administrativas razonables para proteger la confidencialidad, integridad y disponibilidad de los datos personales, incluyendo, entre otras: cifrado en tránsito y en reposo de datos sensibles; controles de acceso basados en perfiles y autenticación multifactor; segregación de ambientes; auditoría y monitoreo de logs; políticas de respaldo y continuidad; capacitación periódica del personal; suscripción de cláusulas de confidencialidad con empleados, contratistas y terceros.

En caso de detectar un incidente de seguridad que comprometa datos personales, Zabio adelantará una investigación inmediata, notificará a la Superintendencia de Industria y Comercio dentro de los plazos legales y, cuando aplique, informará a los titulares afectados con la descripción de la naturaleza del incidente, las categorías de datos comprometidos, las medidas adoptadas y las recomendaciones para mitigar posibles consecuencias.

Zabio mantendrá un procedimiento interno de gestión de incidentes de seguridad que incluya identificación, contención, análisis de impacto, documentación, remediación, reporte a autoridades cuando corresponda y comunicación a titulares afectados cuando el incidente pueda generar un riesgo relevante para sus derechos. La decisión de notificar a titulares se adoptará considerando la naturaleza del incidente, las categorías de datos involucrados, la probabilidad de afectación y las medidas de mitigación disponibles.

20. Conservación, supresión y archivo

Los datos personales serán conservados por el tiempo razonablemente necesario para el cumplimiento de las finalidades autorizadas y, en todo caso, por los plazos legales aplicables. En particular:

La información transaccional, de cumplimiento, KYC y soportes documentales se conservará por un mínimo de diez (10) años contados a partir de la finalización de la relación con el titular, conforme al Manual SAGRILAFT y a la normativa aplicable.
La información laboral y post-contractual de empleados se conservará durante los plazos exigidos por la legislación laboral y de archivo.
Los soportes contables y tributarios se conservarán durante los plazos exigidos por la normativa tributaria y contable.
La información de marketing y de comunicaciones comerciales se conservará mientras se mantenga la autorización del titular y, una vez revocada, durante los plazos necesarios para acreditar el cumplimiento.

Vencidos los plazos legales, los datos serán suprimidos o anonimizados de manera segura, salvo que su conservación adicional sea necesaria para atender investigaciones o reclamaciones en curso.

Los datos biométricos se conservarán únicamente durante el tiempo necesario para las finalidades de validación de identidad, autenticación, prevención de fraude, seguridad, cumplimiento regulatorio, atención de reclamaciones o defensa de derechos, y serán suprimidos, anonimizados o desvinculados cuando dejen de ser necesarios, salvo que exista un deber legal, contractual o probatorio de conservación.

21. Cookies y tecnologías de seguimiento

La Plataforma y el sitio web de Zabio utilizan cookies y tecnologías similares (pixel tags, identificadores de dispositivo, herramientas de analítica) para asegurar el funcionamiento del servicio, mejorar la experiencia de uso, recopilar métricas y, cuando aplique, ofrecer contenido o publicidad personalizada.

El detalle de las cookies utilizadas, su finalidad, su duración y los mecanismos para gestionarlas o deshabilitarlas se encuentran descritos en la Política de Cookies de Zabio, disponible en el sitio web. El usuario puede configurar su navegador para bloquear o eliminar cookies; sin embargo, ello podrá afectar el funcionamiento de algunas secciones de la Plataforma.

Las cookies estrictamente necesarias para el funcionamiento, seguridad, autenticación y prevención de fraude podrán utilizarse como parte de la prestación del servicio. Las cookies de analítica no esencial, personalización o publicidad se gestionarán conforme a las opciones de configuración disponibles y, cuando la normativa aplicable lo exija, con base en la autorización del titular.

22. Modificaciones a la Política

Zabio podrá modificar esta Política para mantenerla actualizada y alineada con cambios normativos, operativos, tecnológicos o de negocio. Las modificaciones serán informadas a los titulares por medios razonables, incluyendo la publicación de la versión vigente en el sitio web y, cuando proceda, comunicaciones directas a los titulares.

Cuando las modificaciones afecten sustancialmente derechos del titular o las finalidades autorizadas, se solicitará una nueva autorización antes de aplicar el Tratamiento bajo las nuevas condiciones, salvo que la ley exima de tal requisito.

Los Tratamientos efectuados bajo la vigencia de versiones anteriores quedarán cobijados por las disposiciones aplicables al momento del Tratamiento, sin perjuicio de los derechos del titular reconocidos por la ley.

23. Vigencia

La presente Política de Tratamiento de Datos Personales (Versión 2.1) entra en vigor en la fecha de su publicación en el sitio web de Zabio (mayo de 2026) y permanecerá vigente hasta que sea modificada o reemplazada por una nueva versión. Las bases de datos administradas por Zabio se mantendrán mientras subsistan las finalidades del Tratamiento y los plazos legales aplicables.

24. Autorización del titular

Al aceptar esta Política y otorgar la autorización correspondiente, el titular autoriza a Zabio S.A.S. para tratar sus datos personales conforme a las finalidades informadas, los tipos de datos descritos y los canales de tratamiento previstos en esta Política. Cuando el Tratamiento involucre Datos Sensibles, comunicaciones comerciales, transferencias internacionales que requieran autorización expresa o finalidades no necesarias para la prestación del servicio, Zabio solicitará la autorización de manera expresa, destacada o separada, según corresponda. La autorización podrá manifestarse por cualquier medio idóneo (casillas de verificación, aceptación digital, OTP, biometría, mensajes de datos, firma electrónica, aceptación verbal soportada en certificados de mandato u otros mecanismos), que tendrán plena validez probatoria.

La negativa del titular a autorizar finalidades no necesarias, como comunicaciones comerciales o publicitarias, no afectará su acceso a los servicios operativos de la Plataforma. La negativa a autorizar tratamientos necesarios para validar identidad, prevenir fraude, cumplir obligaciones legales, ejecutar operaciones o gestionar riesgos podrá impedir la vinculación o ejecución de determinadas operaciones.

La autorización podrá ser revocada por el titular en cualquier momento, salvo que exista un deber legal o contractual que imponga la conservación o el Tratamiento de los datos.

25. Información de contacto

Responsable: Zabio S.A.S., NIT 901.818.731-6.

Domicilio: Carrera 15 # 95-35, oficina 205, Bogotá D.C., Colombia.

Correo electrónico: info@zabio.com