Legal
Política de tratamiento de datos personales
Última actualización: 2026-05-23
1. Responsable del tratamiento
| Empresa | FlowWare LST S.A.S |
| NIT | 902.064.887-2 |
| Ciudad | Bogotá, Colombia |
| Contacto | [email protected] |
2. Ámbito de aplicación
Esta política aplica a los datos personales que FlowWare LST S.A.S recopila a través de:
- El sitio web flowcaresolutions.co, incluyendo el formulario de solicitud de demo.
- La plataforma Flow Care CRM (CRM para profesionales de la salud), incluyendo los datos de pacientes y contactos que los negocios ingresan.
- La plataforma FlowReach CRM (CRM de leads para cualquier industria), incluyendo los datos de prospectos, leads y los mensajes recibidos a través de las APIs de Meta Platforms, Inc. (Instagram, Facebook, WhatsApp).
Se rige por la Ley 1581 de 2012, el Decreto 1377 de 2013 y la Ley 1480 de 2011 de la República de Colombia, y por los Meta Platform Terms en lo que respecta al uso de APIs de Meta.
3. Datos que recopilamos
3.1 Sitio web — formulario de demo
Cuando solicitas una demo recopilamos:
- Nombre completo — para identificarte y personalizar la comunicación
- Correo electrónico — para enviarte confirmación y coordinación de la demo
- Teléfono / WhatsApp — (opcional) para contacto comercial directo
- Especialidad médica — (opcional, solo demos de Flow Care) para personalizar la demostración
- Mensaje libre — (opcional) para entender tus necesidades específicas
3.2 FlowReach CRM — datos de leads
Los negocios que usan FlowReach ingresan y gestionan datos de sus prospectos:
- Nombre completo, teléfono, correo electrónico — cifrados en reposo con AES-128 Fernet
- Datos comerciales — etapa del pipeline, fuente del lead, notas (no cifradas)
- Registros de consentimiento — texto mostrado al titular, hash SHA-256, fecha e IP
3.3 FlowReach CRM — mensajería vía APIs de Meta
Cuando un negocio conecta su cuenta de Instagram, Facebook o WhatsApp Business a FlowReach, la plataforma recibe los siguientes datos a través de webhooks de Meta:
- Identificador de usuario externo (
external_user_id) — para asociar el hilo de conversación - Contenido del mensaje — cifrado en reposo con AES-128 Fernet; visible solo para el negocio
- Marca de tiempo — para ordenar el historial de conversación
- Nombre de display — cuando Meta lo entrega, para identificación en el inbox
No recopilamos datos sensibles (salud, raza, religión, filiación política) ni datos de menores de edad.
4. Finalidad del tratamiento
4.1 Sitio web
- Agendar y realizar la demo personalizada que solicitaste
- Responderte consultas sobre los productos (precios, funcionalidades, cumplimiento normativo)
- Enviarte información comercial — solo si diste consentimiento explícito
4.2 FlowReach CRM — leads y mensajería
- Gestionar el pipeline comercial del negocio (captura, seguimiento y conversión de prospectos)
- Centralizar en el inbox las conversaciones de Instagram, Facebook y WhatsApp del negocio
- Permitir al negocio responder mensajes directamente desde la plataforma
- Generar sugerencias de respuesta mediante el agente IA de FlowReach — los borradores se presentan al usuario humano para su revisión y aprobación; el agente nunca envía mensajes de forma autónoma
- Generar métricas internas de efectividad por canal de captación
Uso limitado de datos de Meta: Los datos obtenidos mediante las APIs de Instagram, Facebook y WhatsApp se usan exclusivamente para habilitar la funcionalidad de mensajería dentro del CRM del negocio. No se usan para publicidad, perfilamiento de terceros, ni se venden o transfieren con fines comerciales propios de FlowWare LST S.A.S.
No vendemos, cedemos ni transmitimos tus datos a terceros para fines publicitarios propios de esos terceros.
5. Autorización previa
Antes de enviar el formulario del sitio web, te pedimos que marques explícitamente la casilla de autorización. Sin esa autorización el formulario no se puede enviar. La autorización no está pre-marcada. Puedes revocarla en cualquier momento escribiendo a [email protected].
Para los datos de leads en FlowReach CRM, el negocio es responsable de obtener el consentimiento explícito del titular antes de ingresar sus datos, conforme al artículo 9 de la Ley 1581/2012. FlowReach exige ese consentimiento mediante un checkbox no pre-marcado con texto auditable en cada formulario de creación de lead.
6. Transferencias y transmisiones a terceros
FlowWare LST S.A.S transmite datos a los siguientes encargados del tratamiento para la prestación del servicio:
| Tercero | País | Datos transmitidos | Garantía |
|---|---|---|---|
| Meta Platforms, Inc. (Instagram, Facebook, WhatsApp) | Estados Unidos | Mensajes de respuesta del negocio, tokens de acceso | Meta Platform Terms + Data Processing Terms |
| Proveedor de hosting | Colombia / EE.UU. | Datos en reposo (cifrados) | Contrato con cláusulas de confidencialidad |
Para transferencias internacionales se implementan las garantías contractuales adecuadas conforme al artículo 26 del Decreto 1377/2013.
7. Tus derechos (ARCO)
Como titular de los datos tienes derecho a:
Acceso
Conocer qué datos tenemos sobre ti y cómo los usamos.
Rectificación
Corregir datos inexactos o incompletos.
Cancelación
Solicitar que eliminemos tus datos cuando ya no sean necesarios.
Oposición
Oponerte al tratamiento para fines específicos, como comunicaciones comerciales.
Para ejercer cualquiera de estos derechos escribe a [email protected] con asunto "Derechos ARCO". Responderemos en un plazo máximo de 10 días hábiles conforme al Decreto 1377/2013.
Si eres usuario de Instagram, Facebook o WhatsApp cuyos mensajes fueron recibidos a través de FlowReach, puedes solicitar la eliminación de tu conversación y datos asociados a través del mismo canal: [email protected].
8. Seguridad de los datos
Implementamos las siguientes medidas técnicas para proteger los datos personales:
- Cifrado en reposo — nombre, teléfono, email y contenido de mensajes almacenados con AES-128-CBC + HMAC (Fernet)
- Cifrado en tránsito — TLS 1.2 o superior obligatorio en producción
- Tokens de acceso a redes sociales — cifrados en base de datos; nunca expuestos en logs ni respuestas JSON
- Autenticación — contraseñas hasheadas con bcrypt; JWT firmados con clave de mínimo 256 bits
- Webhooks — firma HMAC
X-Hub-Signature-256validada en tiempo constante para prevenir falsificación - Control de acceso — cada negocio solo accede a sus propios datos; sin acceso cruzado entre cuentas
- Auditoría — registro de toda lectura y escritura sobre leads y mensajes
En caso de incidente de seguridad que afecte datos personales, notificaremos a la Superintendencia de Industria y Comercio (SIC) dentro de los 15 días hábiles siguientes al conocimiento del hecho, conforme a la Ley 1581/2012.
9. Tiempo de conservación
| Tipo de dato | Retención | Eliminación |
|---|---|---|
| Datos del formulario de demo (web) | 5 años desde último contacto | Solicitud ARCO en 10 días hábiles |
| Leads en FlowReach CRM | Hasta solicitud de cancelación o 5 años desde último contacto | Eliminación inmediata (Ley 1581 art. 8) |
| Mensajes de Instagram / Facebook / WhatsApp | Misma retención del lead vinculado | Se eliminan en cascada con el lead |
| Registros de consentimiento | 5 años desde la revocación | No se eliminan; solo se revoca con fecha y motivo |
| Logs de auditoría | 5 años | No eliminables (evidencia de cumplimiento) |
10. Cambios a esta política
Podemos actualizar esta política. Publicaremos la nueva versión en esta página con la fecha de actualización. Si los cambios son sustanciales y tienes datos registrados, te informaremos por email.
¿Preguntas sobre tus datos?
Escríbenos a [email protected] con el asunto "Privacidad" o "Derechos ARCO". Atendemos en días hábiles.
FlowWare LST S.A.S · NIT 902.064.887-2 · Bogotá, Colombia