Política de Tratamiento de Datos Personales

Condiciones que rigen el tratamiento de datos personales en la plataforma AVEX conforme a la Ley 1581 de 2012 y el Decreto 1377 de 2013.

Última actualización: 22 de mayo de 2026

Responsable del tratamiento

Razón social:MIMMERS SAS

NIT:900.752.320-3

Domicilio:Bucaramanga, Colombia

Correo electrónico:[email protected]

Teléfono:+57 315 202 8205

Marco legal

La presente política se rige por la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1377 de 2013, y las demás normas que las complementen, modifiquen o sustituyan, en materia de protección de datos personales en Colombia.

Finalidades del tratamiento

MIMMERS SAS, como operador de la plataforma AVEX, trata datos personales para las siguientes finalidades:

3.1. Como responsable del tratamiento

Datos que recopilamos directamente:

Atender solicitudes de demostración y contacto comercial recibidas a través del formulario de nuestra página web.
Gestionar el registro y la autenticación de usuarios administradores de la plataforma.
Enviar comunicaciones relacionadas con el servicio contratado.
Cumplir obligaciones legales y regulatorias.

3.2. Como encargado del tratamiento

Datos procesados por cuenta de clientes institucionales:

Generar y gestionar credenciales digitales (pases) en Apple Wallet y Google Wallet por instrucciones del cliente institucional contratante.
Almacenar y procesar datos de portadores del pase (nombre, identificación, fotografía, vertical, estado de vigencia) únicamente según las instrucciones del responsable.
Enviar notificaciones y comunicaciones al portador del pase por cuenta del cliente institucional.

Tipos de datos que tratamos

Datos de contacto

nombre, correo electrónico, nombre de la institución (formulario de contacto).

Datos de usuarios administradores

nombre, correo electrónico, contraseña cifrada, rol, dirección IP de acceso.

Datos de portadores del pase (procesados como encargado)

nombre, número de identificación, fotografía, vertical, período de vigencia, estado, código QR generado.

Datos de navegación agregados (páginas públicas de marketing)

dirección IP anonimizada, identificador de dispositivo agregado generado por la cookie _ga, páginas vistas, fuente de tráfico, duración de sesión, eventos de interacción agregados (scroll, clicks de salida). Recopilados únicamente en avex.com.co y sus subdominios de marketing; nunca en URLs con tokens de capacidad.

Derechos del titular

De conformidad con el Artículo 8 de la Ley 1581 de 2012, como titular de datos personales usted tiene derecho a:

Conocer, actualizar y rectificar sus datos personales.
Solicitar prueba de la autorización otorgada para el tratamiento de sus datos.
Ser informado sobre el uso que se ha dado a sus datos personales.
Revocar la autorización y/o solicitar la supresión de sus datos cuando considere que no se han respetado los principios, derechos y garantías constitucionales y legales.
Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la ley.
Acceder de forma gratuita a sus datos personales objeto de tratamiento.

Canal de atención de PQR

Para ejercer sus derechos, puede comunicarse a través de los siguientes canales:

Responsable del tratamiento de datos personales:MIMMERS SAS · NIT 900.752.320-3 · Bucaramanga, Colombia

La Ley 1581 de 2012 no obliga la figura formal de DPO (a diferencia del GDPR); el responsable del tratamiento, identificado arriba, es el punto único de contacto operativo para solicitudes de Habeas Data (Ley 1581 art. 14-17). Plazo de respuesta legal: 15 días hábiles.

Buzón dedicado de Habeas Data:[email protected]

Buzón en aprovisionamiento; hasta su puesta en producción, las solicitudes se atienden por el correo institucional indicado abajo.

Correo institucional alterno:[email protected]

Domicilio postal certificado:MIMMERS SAS — Bucaramanga, Colombia

Canal self-service en plataforma:Usuarios con cuenta pueden ejercer derechos vía /api/me/export, /api/me/anonymize y /api/me/delete (acceso, anonimización, supresión)

De conformidad con la Ley 1581 de 2012, las consultas se atienden en máximo diez (10) días hábiles y los reclamos en máximo quince (15) días hábiles desde la recepción documentable, conforme al detalle de la sección 7.

Indicando en el asunto «Solicitud de datos personales» y proporcionando su nombre completo, número de identificación y la descripción de su solicitud.

Procedimiento y plazos de respuesta

Consultas

Serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Si no fuere posible atender dentro de dicho término, se informará al interesado, con una prórroga máxima de cinco (5) días hábiles adicionales.

Reclamos

Serán atendidos en un término máximo de quince (15) días hábiles contados a partir de la fecha de recibo. Si no fuere posible atender dentro de dicho término, se informará al interesado, con una prórroga máxima de ocho (8) días hábiles adicionales.

Medidas de seguridad

MIMMERS SAS implementa las siguientes medidas técnicas y organizacionales:

Cifrado AES-256-GCM para credenciales y datos sensibles almacenados.
Tokens de autenticación con cookies httpOnly y renovación automática.
Aislamiento de datos por cliente (multi-tenancy) con controles de acceso por rol.
Registro de auditoría de todas las operaciones administrativas.
Copias de seguridad diarias automatizadas con retención de 7 días, 4 semanas y 3 meses.

Uso de cookies y tecnologías similares

AVEX utiliza dos categorías de cookies con propósitos diferenciados:

Cookies funcionales de sesión: gestionan la autenticación de usuarios administradores en las áreas privadas de la plataforma. Son de tipo httpOnly, no son accesibles desde JavaScript del navegador, no recopilan datos personales adicionales y no se utilizan para seguimiento entre sitios.
Cookies analíticas (Google Analytics 4): activas únicamente en las páginas públicas de marketing (avex.com.co y subdominios de marketing). Establecen los identificadores agregados _ga y _ga_<id> para medir tráfico, fuentes de visita y engagement de forma estadística. Estas cookies están desactivadas en todas las URLs con tokens de capacidad (instalación de pases, verificación, panel administrativo, autenticación, historial de notificaciones) para garantizar que ningún token alcance servidores de terceros. La transferencia de los datos agregados a Google se realiza bajo los Términos de Tratamiento de Datos firmados conforme al artículo 26 del Decreto 1377 de 2013 (estándar contractual para transferencia internacional de datos).

El titular puede desactivar las cookies analíticas configurando su navegador para rechazar cookies de terceros, instalando un bloqueador de cookies, o utilizando el complemento oficial de inhabilitación de Google Analytics disponible en tools.google.com/dlpage/gaoptout. La desactivación no afecta el funcionamiento de la plataforma.

Adicionalmente, AVEX utiliza una herramienta de monitoreo de errores auto-hospedada (GlitchTip en infraestructura propia) que captura información técnica de la sesión cuando ocurre un error, con el fin de mejorar la calidad del servicio. Estos datos no se comparten con terceros.

10.

Vigencia

Las bases de datos tendrán una vigencia igual al tiempo en que se mantenga la finalidad del tratamiento o la relación contractual.

Los datos del formulario de contacto se conservarán durante un período máximo de doce (12) meses contados a partir de la solicitud, o hasta que el titular solicite su supresión.

Los datos procesados como encargado se conservarán de acuerdo con las instrucciones del cliente institucional responsable y las condiciones del contrato de prestación de servicios.

11.

Modificaciones

MIMMERS SAS se reserva el derecho de modificar la presente política en cualquier momento. Cualquier cambio será publicado en esta página con la fecha de actualización correspondiente.

12.

Integraciones reguladas

Para el vertical de servicios públicos domiciliarios, AVEX opera respetando los estándares de manejo de datos de la Superintendencia de Servicios Públicos Domiciliarios (SSPD) y las prácticas de facturación electrónica de la Dirección de Impuestos y Aduanas Nacionales (DIAN). AVEX no declara certificaciones específicas ante estos organismos — el cumplimiento concreto corresponde a cada cliente institucional según su habilitación.

13.

Tratamiento de datos de menores de edad

De conformidad con el artículo 7 de la Ley 1581 de 2012 y el artículo 12 del Decreto 1377 de 2013, el tratamiento de datos personales de niños, niñas y adolescentes está sujeto a las siguientes condiciones especiales:

AVEX no recolecta intencionalmente datos personales de menores de edad en sus canales públicos de marketing (avex.com.co y subdominios).
Cuando un cliente institucional contratante (por ejemplo, una institución educativa en el vertical de educación) incorpora datos de menores de edad a la plataforma para emitir credenciales digitales, dicho cliente actúa como responsable del tratamiento y MIMMERS SAS actúa exclusivamente como encargado del tratamiento — el cliente institucional declara contractualmente haber obtenido la autorización del representante legal del menor antes de cargar los datos a AVEX.
El tratamiento debe responder y respetar el interés superior del menor y garantizar sus derechos fundamentales (art. 7 Ley 1581).

13.1. Canal para representantes legales

El representante legal de un menor cuyos datos se encuentren tratados por AVEX (como encargado por cuenta de un cliente institucional) puede:

Solicitar acceso, rectificación o supresión escribiendo al buzón [email protected] (o, mientras dicho buzón se encuentre en aprovisionamiento, al correo institucional alterno indicado en la sección 6) con asunto «Solicitud — Datos de menor de edad», adjuntando documento de identidad del menor, documento del representante legal y prueba del vínculo (registro civil, sentencia de custodia o equivalente).
Solicitar directamente al cliente institucional responsable (la institución que emitió el pase del menor) — AVEX redirige la solicitud al responsable cuando aplique.

13.2. Proceso de supresión

Una vez verificada la identidad del representante legal y la legitimidad de la solicitud, MIMMERS SAS coordina con el cliente institucional responsable la supresión de los datos del menor en un plazo máximo de quince (15) días hábiles desde la recepción documentable. La supresión incluye:

Invalidación inmediata del pase digital en Apple Wallet y Google Wallet.
Eliminación de fotografía y datos de identificación del almacenamiento S3 cifrado.
Anonimización de registros transaccionales históricos que conserven evidencia de cumplimiento contractual o legal (los registros se conservan despersonalizados conforme al art. 11 Ley 1581 mientras dure la obligación legal del responsable).
Notificación documentada al representante legal con la fecha efectiva de supresión.

Texto redactado conforme al marco normativo aplicable (Ley 1581 de 2012, Decreto 1377 de 2013 y Sentencia C-748 de 2011). La revisión por asesoría legal externa especializada está programada como trigger contractual al onboarding del primer cliente institucional que procese datos de menores de edad; cualquier ajuste derivado de esa revisión quedará registrado en la fecha de última actualización del documento.

14.

Transferencias internacionales de datos

Algunos servicios técnicos que soportan la plataforma AVEX residen en infraestructura ubicada fuera de Colombia. De conformidad con el artículo 26 del Decreto 1377 de 2013, la transferencia internacional de datos personales se realiza bajo alguno de los siguientes supuestos:

Nivel adecuado de protección en el país de destino (inciso primero del art. 26 del Decreto 1377): la transferencia procede sin requerir autorización adicional cuando el ordenamiento del país receptor garantiza un estándar de protección equiparable al exigido por la Ley 1581 de 2012.
Autorización expresa e inequívoca del titular para la transferencia (art. 26 literal a, Decreto 1377). Este es el supuesto aplicable a los subencargados ubicados en Estados Unidos: el titular otorga la autorización al registrarse en la plataforma y al aceptar la presente política.
Transferencias necesarias para la ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales (art. 26 literal e, Decreto 1377). En todos los casos, MIMMERS SAS suscribe con cada subencargado un acuerdo de tratamiento de datos (Data Processing Agreement / DPA) que replica el nivel de protección equivalente al exigido por la Ley 1581 y reproduce los deberes del encargado del art. 17 del Decreto 1377.

14.1. Países donde residen los subencargados

La tabla en la sección 15 (Encargados y subencargados) detalla el país de residencia de cada subencargado activo. Resumen a la fecha de esta política:

Estados Unidos: Amazon Web Services (almacenamiento de imágenes en S3), Cloudflare (CDN, protección DDoS y DNS), Resend (entrega de correos transaccionales), Apple Inc. (API de Apple Wallet), Google LLC — Google Wallet API, Google LLC — Google Tag Manager y Google Analytics 4 (analítica activa únicamente en las páginas públicas de marketing).
Alemania (Unión Europea): Hostinger International, UAB (VPS en datacenter alemán) — aloja el servidor de aplicación, la base de datos PostgreSQL y la herramienta de monitoreo de errores auto-hospedada (GlitchTip). La transferencia a un Estado miembro de la Unión Europea procede bajo el criterio de nivel adecuado de protección previsto en el inciso primero del artículo 26 del Decreto 1377 de 2013, en concordancia con el Reglamento (UE) 2016/679 (GDPR) vigente en Alemania, cuyos estándares de protección son comparables a los exigidos por la Ley 1581 de 2012.
Colombia: Alegra (al activarse la integración DIAN — facturación electrónica) procesará exclusivamente datos fiscales del cliente institucional (no del portador del pase). El detalle se actualizará al activarse.

14.2. Garantías equivalentes

Para los subencargados ubicados en Estados Unidos, MIMMERS SAS confirma:

Acuerdos de tratamiento de datos (Data Processing Agreements / DPA) firmados con cada proveedor.
Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256) para todos los datos personales transferidos.
Restricción de acceso por roles dentro de cada plataforma proveedora.
Compromiso contractual del proveedor de no usar los datos para finalidades distintas a las contratadas.
Procedimientos documentados de notificación de incidentes que afecten datos personales (Art. 17(n) Ley 1581).

El titular puede solicitar copia de los acuerdos vigentes con cada subencargado escribiendo al buzón de Habeas Data indicado en la sección 6.

15.

Encargados y subencargados del tratamiento

MIMMERS SAS contrata los siguientes encargados y subencargados para operar funciones técnicas de la plataforma AVEX. Cada uno cuenta con acuerdo de tratamiento de datos vigente y procesa los datos exclusivamente bajo instrucción documentada de MIMMERS SAS:

Inventario de encargados y subencargados del tratamiento de datos personales contratados por MIMMERS SAS para operar la plataforma AVEX. Columnas: subencargado, finalidad del tratamiento, datos compartidos, país de residencia y enlace a la política de privacidad aplicable.
Subencargado	Finalidad	Datos compartidos	País	Política de privacidad
Amazon Web Services — S3	Almacenamiento cifrado de fotografías, logos institucionales y assets de pase.	Fotografía del portador, logo institucional, assets gráficos.	Estados Unidos	aws.amazon.com/privacy
Hostinger International, UAB — VPS	Alojamiento del servidor de aplicación, base de datos PostgreSQL y herramienta auto-hospedada de monitoreo de errores (GlitchTip).	Acceso a la infraestructura subyacente: todos los datos personales almacenados por la plataforma residen físicamente en estos discos cifrados.	Alemania (Unión Europea)	hostinger.com/legal/privacy-policy
Cloudflare	Red de distribución de contenido (CDN), protección DDoS y resolución DNS para avex.com.co.	Dirección IP del visitante, metadata de petición HTTP (anonimizada para analítica).	Estados Unidos	cloudflare.com/privacypolicy
Resend	Entrega de correos transaccionales (invitaciones, notificaciones, restablecimiento de contraseña).	Correo electrónico del destinatario, nombre, contenido del mensaje transaccional.	Estados Unidos	resend.com/legal/privacy-policy
GlitchTip — auto-hospedado en infraestructura de MIMMERS	Monitoreo de errores backend y reportes CSP. El software es de un tercero (open-source); los datos no salen del VPS de MIMMERS.	Identificadores de usuario y trazas técnicas de error (sin contenido sensible).	Alemania (Unión Europea) — co-localizado con el VPS principal	Esta misma política (auto-hospedado)
Apple Inc. — Apple Wallet API	Emisión y actualización de pases digitales (.pkpass) en Apple Wallet.	Nombre del portador, número de pase, vertical, vigencia, imagen del pase.	Estados Unidos	apple.com/legal/privacy
Google LLC — Google Wallet API	Emisión y actualización de pases digitales en Google Wallet.	Nombre del portador, número de pase, vertical, vigencia, imagen del pase.	Estados Unidos	policies.google.com/privacy
Google LLC — Google Tag Manager y Google Analytics 4	Analítica agregada de tráfico activa únicamente en las páginas públicas de marketing (avex.com.co y subdominios). Suprimida por configuración en todas las URLs con tokens de capacidad.	Dirección IP anonimizada (anonymizeIp activado), eventos de navegación, identificadores agregados _ga y _ga_<id>. No incluye tokens, contraseñas, ni datos del portador del pase.	Estados Unidos	policies.google.com/privacy
Alegra	(Pendiente de activación — integración DIAN para facturación electrónica)	NIT, razón social y datos fiscales del cliente institucional (no del portador).	Colombia	alegra.com/colombia/politica-de-privacidad

Esta lista se mantiene actualizada en el mismo ciclo de despliegue que cualquier nueva integración con tercero que procese datos personales. La fuente operativa interna vive en .planning/compliance/data-protection-officer.md y el titular puede solicitar copia de los acuerdos de tratamiento (DPA) firmados con cada subencargado escribiendo al buzón de Habeas Data.