Legal
Política de Privacidad
JVstratica SAS · Colombia · Última actualización: 18 de mayo de 2026
1. Responsable del tratamiento
JVstratica SAS, sociedad constituida bajo las leyes de la República de Colombia, es responsable del tratamiento de los datos personales recopilados a través de la plataforma Operat-IA y del sitio web www.operatia.co.
Contacto: contacto@jvstratica.com
2. Datos que recopilamos
A través del proceso de onboarding y del uso de Operat-IA, recopilamos las siguientes categorías de información:
- Datos de identificación personal: nombre del gerente, correo electrónico, número de celular.
- Datos de la empresa: nombre, sector/industria, tamaño.
- Datos financieros empresariales: rangos de ingresos, días de caja, nivel de deuda, concentración de clientes. Estos son datos de la empresa —no datos personales en sentido estricto según la Ley 1581— pero se tratan con el mismo nivel de confidencialidad.
- Perfil gerencial: cargo, arquetipo decisional, estilo de toma de decisiones.
- Decisiones estratégicas registradas: descripción, tipo, contexto, estado y resultado de cada decisión.
- Historial de sesiones de coaching: resúmenes de conversaciones con el agente Druker IA, aprendizajes registrados y sesgos cognitivos detectados.
- Datos de uso: fecha de acceso, consumo de tokens de IA.
3. Finalidad del tratamiento
Los datos recopilados se usan exclusivamente para:
- Personalizar la experiencia del agente Druker IA con el contexto real del gerente y su empresa.
- Registrar y hacer seguimiento a las decisiones gerenciales y sus resultados.
- Guardar el historial de sesiones de coaching estratégico.
- Mejorar la calidad del servicio prestado.
- Gestionar la relación comercial y la facturación del servicio.
No vendemos, compartimos ni cedemos datos personales a terceros con fines comerciales.
4. ¿Se comparte mi información con otras empresas?
No. Cada empresa en la plataforma tiene su propio espacio privado, identificado por un código único (ClienteId). Toda consulta y almacenamiento de datos está filtrado por ese identificador, lo que garantiza que:
- Ningún otro cliente de la plataforma puede acceder a los datos de su empresa.
- Los datos financieros, decisiones y sesiones de una empresa nunca son visibles para otra organización en la plataforma.
- El aislamiento es técnico y no depende únicamente de políticas: los filtros de ClienteId se aplican en cada operación de lectura y escritura.
4a. Confidencialidad de conversaciones y datos financieros
Este punto es especialmente importante y queremos ser explícitos:
- Las conversaciones con DRUKER IA son estrictamente confidenciales. El contenido de cada sesión —incluyendo temas tratados, resúmenes, aprendizajes detectados, sesgos cognitivos observados y el mapa cognitivo del gerente— no es accesible para el equipo de JVstratica SAS a través de ninguna herramienta del producto.
- Los datos financieros individuales (ingresos, días de caja, nivel de deuda, concentración de clientes) no son accesibles para el administrador de la plataforma. Solo el cliente y su consultor asignado pueden verlos.
- El panel administrativo de JVstratica SAS tiene acceso únicamente a datos operativos: nombre, email, estado de la cuenta, plan contratado, fecha de inicio y métricas de uso (número de sesiones y costo de cómputo de IA). Ningún campo de contenido estratégico o financiero está disponible en ese panel.
- Los consultores asignados a una empresa solo pueden acceder a los datos de los clientes que explícitamente les han sido asignados por el gerente titular. Este control es técnico, no declarativo.
Esta separación está implementada mediante restricciones de campos a nivel de API: las funciones del panel administrativo solicitan explícitamente solo los campos operativos necesarios, y el servidor no devuelve ningún campo adicional aunque exista en la base de datos.
4b. Uso de datos para benchmarking
Operat-IA genera comparativos de industria (benchmark) para contextualizar el DRUKER Score de cada empresa. Esta funcionalidad opera exclusivamente con datos agregados y anónimos:
- El benchmark utiliza únicamente el DRUKER Score numérico y la categoría de industria. Ningún otro campo —nombre, empresa, datos financieros ni contenido de decisiones— es accesible para este cálculo.
- No es posible identificar a ninguna empresa específica a partir de los datos usados en el benchmark.
- JVstratica SAS no vende ni licencia datos agregados a terceros.
5. Subprocesadores
Para prestar el servicio, JVstratica SAS utiliza los siguientes proveedores tecnológicos:
- Airtable (Formagrid Inc., EE.UU.) — almacenamiento de datos de clientes. Certificación SOC 2 Type II. La transferencia internacional se realiza bajo las garantías del artículo 26 de la Ley 1581 de 2012.
- Anthropic, PBC (EE.UU.) — motor de inteligencia artificial (Claude API). Las conversaciones con el agente son procesadas por Anthropic conforme a sus políticas de privacidad. El prompt del sistema incluye contexto del gerente y, cuando ha sido proporcionado, contexto financiero de la empresa, para personalizar la experiencia. No se transmiten contraseñas a Anthropic.
- Resend (EE.UU.) — servicio de envío de correo electrónico transaccional.
- Vercel Inc. (EE.UU.) — alojamiento de la plataforma web y funciones serverless.
6. Retención de datos
Los datos se conservan mientras la cuenta esté activa y por un período de 12 meses adicionales tras la cancelación del servicio, para efectos de auditoría y soporte post-venta. Transcurrido ese plazo, los datos son eliminados de forma permanente o, si el titular lo solicita antes, en un plazo no mayor a 30 días hábiles.
7. Derechos del titular
De acuerdo con la Ley 1581 de 2012 y el Decreto 1377 de 2013, usted tiene derecho a:
- Acceder a sus datos personales.
- Actualizar y rectificar información inexacta.
- Suprimir sus datos cuando no sean necesarios para la finalidad del tratamiento.
- Revocar la autorización de tratamiento en cualquier momento.
- Presentar quejas ante la Superintendencia de Industria y Comercio (SIC).
Para ejercer estos derechos, escriba a contacto@jvstratica.com con el asunto "HABEAS DATA". Responderemos en un plazo máximo de 15 días hábiles.
8. Seguridad técnica
Implementamos las siguientes medidas técnicas y administrativas para proteger los datos:
- Tokens de sesión firmados con HMAC con expiración automática, para evitar suplantación de identidad y accesos no autorizados por caché del navegador.
- Control de acceso por ClienteId en todas las operaciones de datos: cada lectura y escritura está filtrada por el identificador único del cliente autenticado.
- Protección contra IDOR (Insecure Direct Object Reference): el servidor valida que el identificador del token de sesión coincida con el del recurso solicitado en cada operación.
- Restricción de campos en APIs administrativas: las funciones del panel de administración solicitan explícitamente solo los campos operativos requeridos mediante parámetros
fields[], impidiendo que datos sensibles sean retornados aunque existan en la base de datos.
- Transmisión cifrada mediante HTTPS/HSTS en toda la plataforma (HSTS con vigencia de 2 años).
- Headers de seguridad: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options y Referrer-Policy configurados en todas las rutas.
- Protección contra bots: verificación de tiempo mínimo de formulario y campo honeypot en todos los formularios de registro e inicio de sesión.
- Sin caché de páginas autenticadas: las páginas del dashboard (inicio, chat, decisiones) se sirven con
Cache-Control: no-store para evitar que el navegador almacene sesiones activas.
9. Modificaciones
JVstratica SAS se reserva el derecho de actualizar esta política. Los cambios se publicarán en esta misma página con la fecha de actualización correspondiente. El uso continuado de la plataforma implica aceptación de los cambios.