Volver al inicio
EonEon
Privacidad y datos

Política de Privacidad

Cómo recopilamos, usamos, almacenamos y protegemos tu información personal cuando utilizas Eon. Tu privacidad es nuestra prioridad.

Marzo 2026
Versión 2.0
Ley 1581 · LFPDPPP · PIPEDA · CCPA · GDPR
Bogotá D.C.

Sección 01

Introducción y Alcance

Eon App SAS (en adelante "Eon", "nosotros" o "el Responsable") se compromete a proteger la privacidad y los datos personales de sus usuarios. Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos, compartimos y protegemos tu información cuando utilizas la plataforma Eon, sus aplicaciones, APIs y demás canales oficiales.

Esta Política se rige y cumple con:

  • Colombia: Ley Estatutaria 1581 de 2012, Decreto 1377 de 2013, Decreto 1074 de 2015 (Cap. 25), Decreto 090 de 2018, Decreto 255 de 2022, Circular Externa 002 de 2015 SIC.
  • México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento (2011), Lineamientos del Aviso de Privacidad y NOM-151-SCFI-2016.
  • Canadá: Personal Information Protection and Electronic Documents Act (PIPEDA), Canada's Anti-Spam Legislation (CASL), Digital Privacy Act (2015), Quebec Loi 25, PIPA (BC, AB) y FIPPA/PHIPA (ON).
  • Estados Unidos: FTC Act §5, COPPA, HIPAA, GLBA, CAN-SPAM, TCPA, ECPA. Estatales: CCPA/CPRA (California), VCDPA (Virginia), CPA (Colorado), CTDPA (Connecticut), UCPA (Utah), TDPSA (Texas), SHIELD Act (NY), BIPA (Illinois), entre otras 18+ leyes estatales.
  • Unión Europea / EEE: Reglamento (UE) 2016/679 (GDPR), Directiva ePrivacy (2002/58/CE), DSA (2022/2065), Cláusulas Contractuales Tipo (SCC 2021/914).
  • Brasil: Lei Geral de Proteção de Dados (LGPD, Ley 13.709/2018) y Marco Civil da Internet.
  • Otras jurisdicciones: aplicación de los principios de finalidad, calidad, transparencia, seguridad y confidencialidad como estándar mínimo.

Al usar el Servicio, manifiestas haber leído, comprendido y aceptado esta Política. Si no estás de acuerdo, debes abstenerte de utilizar el Servicio.

Sección 02

Responsable del Tratamiento

El responsable del tratamiento de tus datos personales es:

  • Razón social: Eon App SAS
  • Domicilio principal: Bogotá D.C., Colombia
  • Operación internacional: Colombia · Canadá · Estados Unidos
  • Correo de privacidad: privacy@eonapp.co
  • Oficial de Protección de Datos (DPO): dpo@eonapp.co

Para efectos del GDPR, en jurisdicciones donde Eon ofrezca el Servicio sin establecimiento permanente, podrá designar un representante en la Unión Europea según lo dispuesto en el artículo 27 del Reglamento.

Sección 03

Información que Recopilamos

3.1 Información que tú nos proporcionas

  • Datos de registro: nombre, correo electrónico, teléfono, país, idioma preferido.
  • Datos empresariales: empresa, cargo, NIT, tamaño, industria, sitio web.
  • Documentos: facturas de servicios públicos (PDF, imagen), reportes y archivos cargados.
  • Datos de consumo: consumo energético, hídrico, gas, huella de carbono, mediciones.
  • Comunicaciones: mensajes al chatbot EVA, formularios de contacto, encuestas y feedback.
  • Datos de pago: nombre del titular, últimos 4 dígitos de tarjeta y país de facturación (los datos completos los procesa nuestro proveedor de pagos certificado PCI-DSS).

3.2 Información recopilada automáticamente

  • Datos de uso: páginas visitadas, funciones utilizadas, duración y frecuencia de sesión.
  • Datos técnicos: dirección IP (truncada cuando es posible), tipo de navegador, sistema operativo, ID de dispositivo.
  • Datos de geolocalización aproximada derivada de la IP, no precisa por GPS salvo consentimiento expreso.
  • Cookies, identificadores y tecnologías similares (ver sección 9).

3.3 Información de terceros integrados

  • Google Sign-In: nombre, correo, foto de perfil cuando usas autenticación federada.
  • Firebase Analytics / Performance: métricas de uso anonimizadas y agregadas.
  • Procesadores de pago: confirmaciones de transacción, tokens, sin números completos de tarjeta.

3.4 Categorías especiales

Eon no solicita ni procesa intencionalmente categorías especiales de datos (origen étnico, salud, biometría, orientación sexual, etc.). Si por error subes este tipo de información, te pedimos comunicarlo a privacy@eonapp.co para su eliminación.

Sección 04

Finalidades y Bases Legales del Tratamiento

Tratamos tus datos personales con las siguientes finalidades y bases jurídicas:

FinalidadBase Legal
Prestación del Servicio (registro, análisis, cálculo de huella, generación de reportes)Ejecución del contrato
Atención al cliente, soporte técnico y comunicaciones operativasEjecución del contrato
Personalización de experiencia y recomendacionesConsentimiento / Interés legítimo
Marketing directo, newsletters y promocionesConsentimiento (revocable en todo momento)
Mejora del Servicio, analítica y desarrollo de nuevas funcionalidadesInterés legítimo
Entrenamiento de modelos de IA con datos agregados y anonimizadosInterés legítimo
Prevención de fraude, abuso y seguridad de la informaciónInterés legítimo / Obligación legal
Cumplimiento de obligaciones tributarias, contables y regulatoriasObligación legal
Defensa de derechos en procesos judiciales o administrativosInterés legítimo

Sección 05

Con Quién Compartimos tu Información

No vendemos ni alquilamos tus datos personales a terceros. Podemos compartir información con:

  • Proveedores tecnológicos (encargados): Google Cloud / Firebase (hosting, base de datos, autenticación, almacenamiento), Vertex AI / Gemini (procesamiento de IA), procesadores de pago certificados (Stripe, PSE), servicios de email transaccional, herramientas de analítica.
  • Proveedores de IA conversacional: únicamente cuando interactúas con EVA y bajo políticas de no entrenamiento sobre tus datos.
  • Auditores y certificadores: entidades autorizadas para verificar reportes ESG, cuando tú lo solicites.
  • Autoridades: cuando exista requerimiento legal válido (orden judicial, autoridad de control, normas tributarias).
  • Procesos corporativos: en caso de fusión, adquisición o reestructuración, los datos podrán transferirse al sucesor con notificación previa.

Todos los encargados firman acuerdos de tratamiento de datos (DPA) que incluyen cláusulas de confidencialidad, seguridad técnica y organizativa, y restricciones de finalidad.

Sección 06

Transferencias Internacionales

Eon opera infraestructura en la nube con proveedores que tienen presencia global. Tus datos pueden ser transferidos y almacenados en países distintos al de tu residencia, incluidos los Estados Unidos, Canadá y la Unión Europea.

Estas transferencias se realizan bajo mecanismos legalmente reconocidos:

  • Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, cuando aplique GDPR.
  • Decisiones de adecuación de las autoridades competentes.
  • Autorización del Titular conforme a la Ley 1581 de 2012, en el caso colombiano.
  • Salvaguardas técnicas: cifrado en tránsito y reposo, segregación de datos, controles de acceso.

Sección 07

Plazo de Conservación

Conservamos tus datos personales únicamente durante el tiempo necesario para cumplir las finalidades descritas:

  • Cuenta activa: mientras mantengas tu Cuenta y un período razonable adicional para soporte post-cancelación.
  • Documentos contables y tributarios: hasta 10 años conforme a la legislación colombiana aplicable.
  • Logs técnicos y de seguridad: entre 6 y 24 meses según el tipo de registro.
  • Cookies y datos analíticos: según se detalla en la sección 9.
  • Comunicaciones de marketing: hasta que revoques tu consentimiento.

Cumplido el plazo, los datos serán eliminados o anonimizados de forma irreversible, salvo obligación legal de conservación o deber de defensa en procesos judiciales en curso.

Sección 08

Medidas de Seguridad

Implementamos medidas técnicas, organizativas y administrativas razonables para proteger tus datos contra acceso no autorizado, alteración, divulgación o destrucción:

  • Cifrado: TLS 1.3 en tránsito y AES-256 en reposo para datos sensibles.
  • Autenticación: doble factor (MFA) opcional, OAuth 2.0, App Check para mitigación de abuso.
  • Control de accesos: principio de mínimo privilegio, segregación de roles, registros de auditoría.
  • Monitoreo continuo: alertas de seguridad, detección de anomalías, escaneo de vulnerabilidades.
  • Respaldos: copias automáticas con cifrado y geo-redundancia.
  • Pruebas de penetración: auditorías periódicas internas y externas.
  • Capacitación: personal entrenado en privacidad y seguridad de la información.

A pesar de estas medidas, ningún sistema es 100% inviolable. En caso de incidente de seguridad que afecte tus datos, notificaremos a las autoridades competentes y a los Titulares afectados conforme a los plazos legales aplicables (72 horas para GDPR, los plazos colombianos correspondientes).

Sección 09

Cookies y Tecnologías Similares

Utilizamos cookies y tecnologías similares para diferentes finalidades:

TipoFinalidadDuración
Estrictamente necesariasSesión, autenticación, seguridadSesión / 30 días
PreferenciasIdioma, tema (claro/oscuro), país1 año
AnalíticasEstadísticas de uso anonimizadas13 meses
Marketing (opcionales)Personalización de contenido y ofertas6 meses

Puedes gestionar tus preferencias de cookies desde la configuración de tu navegador o eliminando los datos del sitio. La desactivación de cookies estrictamente necesarias puede afectar la funcionalidad del Servicio.

Sección 10

Tus Derechos como Titular

De acuerdo con la normativa aplicable, tienes los siguientes derechos sobre tus datos personales:

  • Acceso: conocer qué datos tenemos sobre ti y cómo los tratamos.
  • Rectificación: actualizar o corregir información inexacta o incompleta.
  • Supresión / Olvido: solicitar la eliminación de tus datos cuando ya no sean necesarios.
  • Oposición: oponerte al tratamiento basado en interés legítimo o marketing directo.
  • Limitación: restringir el tratamiento durante la verificación de una solicitud.
  • Portabilidad: recibir tus datos en formato estructurado y de uso común (JSON/CSV).
  • Revocación del consentimiento: en cualquier momento, sin afectar el tratamiento previo.
  • No ser objeto de decisiones automatizadas que produzcan efectos jurídicos significativos sin intervención humana.
  • Reclamación: presentar quejas ante la Superintendencia de Industria y Comercio (SIC) en Colombia o la autoridad de control competente en tu jurisdicción.

Para ejercer estos derechos escribe a privacy@eonapp.co. Responderemos en máximo 15 días hábiles en Colombia y 30 días en jurisdicciones GDPR, prorrogables conforme a la normativa.

Sección 11

Inteligencia Artificial y Decisiones Automatizadas

El Servicio utiliza modelos de IA para análisis de facturas, cálculos de huella, recomendaciones y el asistente conversacional EVA.

  • Los resultados son orientativos, no constituyen asesoría profesional vinculante.
  • No realizamos perfilamiento que produzca efectos jurídicos significativos sin tu consentimiento explícito.
  • Las decisiones automatizadas relevantes incluyen siempre la posibilidad de revisión humana.
  • Tus datos no son utilizados para entrenar modelos de terceros sin tu consentimiento expreso.
  • El entrenamiento interno de modelos se realiza con datos agregados y anonimizados.

Sección 12

Menores de Edad

El Servicio no está dirigido a menores de 18 años. No recopilamos intencionalmente información personal de menores. Si tomamos conocimiento de que hemos recibido datos de un menor sin autorización del titular de la patria potestad, procederemos a su eliminación inmediata.

Si eres padre, madre o representante legal y consideras que tu hijo nos ha proporcionado información personal, escríbenos a privacy@eonapp.co.

Sección 13

Violación de Datos e Incidentes

En caso de un incidente de seguridad que afecte la confidencialidad, integridad o disponibilidad de tus datos personales:

  • Activamos nuestro plan de respuesta ante incidentes en menos de 24 horas.
  • Notificamos a la autoridad de control competente en los plazos legales (72 horas bajo GDPR).
  • Informamos a los Titulares afectados sin demora indebida cuando exista riesgo alto.
  • Documentamos el incidente, sus efectos y las medidas correctivas adoptadas.
  • Realizamos análisis post-incidente y aplicamos mejoras preventivas.

Sección 14

Infraestructura y Subprocesadores

Los principales proveedores y subprocesadores que tratan datos en nombre de Eon son:

  • Google Cloud Platform / Firebase — Hosting, base de datos (Firestore), autenticación, storage, functions.
  • Google Vertex AI / Gemini — Procesamiento de IA conversacional y análisis.
  • Stripe / PSE — Procesamiento de pagos certificado PCI-DSS.
  • SendGrid / Resend — Envío de correos transaccionales.
  • Cloudflare — CDN, mitigación DDoS y WAF.

La lista completa y actualizada de subprocesadores puede solicitarse a privacy@eonapp.co. Te notificaremos con antelación razonable la incorporación de nuevos subprocesadores que traten datos personales.

Sección 15

Marketing y Comunicaciones

Solo enviamos comunicaciones de marketing cuando has dado tu consentimiento expreso. Puedes revocarlo en cualquier momento:

  • Haciendo clic en el enlace "darse de baja" en cualquier correo.
  • Desde la configuración de notificaciones de tu Cuenta.
  • Escribiendo a privacy@eonapp.co.

La revocación del marketing no afecta las comunicaciones operativas necesarias para la prestación del Servicio (confirmaciones, alertas de seguridad, cambios contractuales).

Sección 16

Datos de Pago

Los datos completos de tarjetas de crédito o débito no son almacenados por Eon. Son procesados directamente por nuestro proveedor certificado PCI-DSS Nivel 1 (Stripe), quien actúa como responsable independiente respecto a los datos de pago.

Solo conservamos información mínima de transacción (últimos 4 dígitos, marca de tarjeta, monto, fecha, ID de transacción) con fines contables, tributarios y de prevención de fraude.

Sección 17

Marco Normativo y Disposiciones por Jurisdicción

Eon opera y presta servicios en distintas jurisdicciones, sometiéndose al marco normativo aplicable en cada una de ellas. A continuación se detallan los derechos, autoridades de control, plazos y particularidades por país.

17.1 Colombia 🇨🇴 — Régimen General de Protección de Datos

Marco normativo principal:

  • Constitución Política de Colombia, art. 15 — Derecho fundamental al hábeas data.
  • Ley Estatutaria 1581 de 2012 — Régimen General de Protección de Datos Personales.
  • Decreto Reglamentario 1377 de 2013 — Reglamentación parcial.
  • Decreto 1074 de 2015 (Decreto Único Reglamentario del Sector Comercio) — Capítulo 25 sobre protección de datos.
  • Decreto 090 de 2018 — Modificación del registro nacional de bases de datos (RNBD).
  • Decreto 255 de 2022 — Lineamientos sobre transferencia internacional.
  • Circular Externa 002 de 2015 (SIC) — Lineamientos para el tratamiento.
  • Ley 1266 de 2008 — Hábeas data financiero, comercial y crediticio.
  • Ley 527 de 1999 — Comercio electrónico y firma digital.
  • Ley 1480 de 2011 — Estatuto del Consumidor (en lo aplicable a usuarios consumidores).

Autoridad de control: Superintendencia de Industria y Comercio (SIC) — Delegatura para la Protección de Datos Personales.

Derechos del Titular (Hábeas Data): conocer, actualizar, rectificar, suprimir, revocar autorización, oponerse, portar y reclamar.

Plazos: 10 días hábiles para consultas / 15 días hábiles para reclamos, prorrogables por 8 días hábiles adicionales.

Sanciones: hasta 2.000 SMMLV por violación, suspensión temporal o cierre definitivo de la base de datos.

Registro Nacional de Bases de Datos (RNBD): Eon mantiene actualizado su registro ante la SIC cuando supera los umbrales legales.

17.2 México 🇲🇽 — LFPDPPP / LGPDPPSO

Marco normativo principal:

  • Constitución Política de los Estados Unidos Mexicanos, arts. 6 y 16 — Protección de datos personales.
  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) — Régimen aplicable al sector privado.
  • Reglamento de la LFPDPPP (2011) — Reglas técnicas y operativas.
  • Lineamientos del Aviso de Privacidad (DOF 2013) — Estructura y contenido del aviso.
  • Parámetros de Autorregulación Vinculante — Esquemas de mejores prácticas reconocidos por el INAI.
  • Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) — Sector público.
  • NOM-151-SCFI-2016 — Conservación de mensajes de datos.
  • Ley Federal de Protección al Consumidor (LFPC) — En lo aplicable a usuarios consumidores.

Autoridad de control: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

Derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. Adicionalmente: revocación del consentimiento, limitación de uso y portabilidad.

Aviso de Privacidad: Eon publica un aviso integral, simplificado y corto conforme a los Lineamientos vigentes, incluyendo finalidades primarias y secundarias claramente diferenciadas.

Plazos: 20 días hábiles para responder solicitudes ARCO, prorrogables por 20 días hábiles adicionales. Procedimiento de protección de derechos ante el INAI: 50 días hábiles.

Transferencias internacionales: permitidas con consentimiento del titular o bajo los supuestos del art. 37 LFPDPPP, con compromisos contractuales del receptor de mantener equivalencia de protección.

Sanciones: de 100 a 320.000 días de salario mínimo, duplicables en caso de reincidencia o tratamiento de datos sensibles.

17.3 Canadá 🇨🇦 — PIPEDA y leyes provinciales

Marco normativo federal:

  • Personal Information Protection and Electronic Documents Act (PIPEDA) — Ley federal de protección de información personal en el sector privado.
  • Canada's Anti-Spam Legislation (CASL) — Ley contra el spam y comunicaciones electrónicas.
  • Digital Privacy Act (2015) — Modificaciones a PIPEDA, notificación obligatoria de brechas.
  • Bill C-27 / Consumer Privacy Protection Act (CPPA) — Reforma legislativa en curso (proyecto).

Marco normativo provincial:

  • Quebec — Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels): en pleno vigor desde 2024, con requisitos reforzados de consentimiento, evaluaciones de impacto (EIVP), notificación de incidentes y portabilidad.
  • British Columbia — Personal Information Protection Act (PIPA BC).
  • Alberta — Personal Information Protection Act (PIPA AB).
  • Ontario — Freedom of Information and Protection of Privacy Act (FIPPA) y normativa sectorial específica (PHIPA en salud).

Autoridades de control:

  • Office of the Privacy Commissioner of Canada (OPC) — Federal.
  • Commission d'accès à l'information du Québec (CAI).
  • Office of the Information and Privacy Commissioner — BC, AB, ON.

Principios PIPEDA (10 fair information principles): rendición de cuentas, identificación de propósitos, consentimiento, limitación de recolección, limitación de uso/divulgación/retención, exactitud, salvaguardas, apertura, acceso individual y posibilidad de impugnar el cumplimiento.

Notificación de brechas: obligatoria al OPC y a los individuos afectados cuando exista real risk of significant harm (RROSH).

CASL: Eon recaba consentimiento expreso o implícito para envíos comerciales electrónicos, con mecanismo claro de baja en cada mensaje.

17.4 Estados Unidos 🇺🇸 — Régimen federal y estatal

Marco federal sectorial:

  • FTC Act §5 — Prohibición de prácticas desleales o engañosas (autoridad transversal de la Federal Trade Commission).
  • Children's Online Privacy Protection Act (COPPA) — Protección de menores de 13 años.
  • HIPAA — Protección de información de salud (cuando aplica).
  • Gramm-Leach-Bliley Act (GLBA) — Información financiera (cuando aplica).
  • CAN-SPAM Act — Comunicaciones comerciales electrónicas.
  • Telephone Consumer Protection Act (TCPA) — Llamadas y SMS comerciales.
  • Electronic Communications Privacy Act (ECPA).

Leyes estatales de privacidad integrales:

  • California — CCPA (2018) / CPRA (2023): derechos a saber, eliminar, corregir, optar por no vender/compartir, limitar uso de datos sensibles, no discriminación.
  • Virginia — VCDPA, Colorado — CPA, Connecticut — CTDPA, Utah — UCPA.
  • Texas — TDPSA (vigente 2024), Oregon — OCPA, Montana — MCDPA, Iowa — ICDPA, Tennessee — TIPA, Indiana — INCDPA, Delaware, New Jersey, New Hampshire, Kentucky, Maryland, Minnesota, Rhode Island, entre otras (lista en expansión).
  • New York — SHIELD Act: estándares de seguridad razonables y notificación de brechas.
  • Illinois — BIPA: tratamiento de datos biométricos (no recopilados por Eon).

Autoridades:

  • Federal Trade Commission (FTC) — Autoridad federal transversal.
  • California Privacy Protection Agency (CPPA) — Específica para CCPA/CPRA.
  • State Attorneys General — Encargados de hacer cumplir las leyes estatales.

Derechos clave (CCPA/CPRA): conocer, eliminar, corregir, optar por no venta/compartir, limitar uso de información sensible, portabilidad, no discriminación por ejercer derechos. Eon NO vende información personal en el sentido legal de la CCPA y respeta señales Global Privacy Control (GPC).

Plazos: 45 días naturales para responder solicitudes (prorrogables otros 45 con notificación).

Menores (COPPA): el Servicio no está dirigido a menores de 13 años en EE.UU. y no recopila intencionalmente sus datos.

17.5 Unión Europea / EEE 🇪🇺 (GDPR)

Marco normativo:

  • Reglamento (UE) 2016/679 (GDPR).
  • Directiva ePrivacy (2002/58/CE) — Cookies y comunicaciones electrónicas.
  • Reglamento (UE) 2022/2065 (DSA) y 2022/1925 (DMA) — En lo aplicable.
  • Cláusulas Contractuales Tipo (SCC) 2021/914.

Autoridades: autoridades de control nacionales (AEPD en España, CNIL en Francia, BfDI en Alemania, etc.) y Comité Europeo de Protección de Datos (EDPB).

Plazos: 30 días naturales prorrogables a 60 días por complejidad o número de solicitudes.

Sanciones: hasta el mayor de 20 M€ o el 4% de la facturación anual mundial.

17.6 Brasil 🇧🇷 (LGPD)

Ley 13.709/2018. Autoridad: Autoridade Nacional de Proteção de Dados (ANPD). Plazos similares a GDPR. Sanciones de hasta el 2% de la facturación anual con tope de R$ 50M por infracción.

17.7 Otras Jurisdicciones

Para Usuarios en jurisdicciones no mencionadas expresamente, Eon aplicará los principios de buena fe, finalidad, necesidad, calidad, transparencia, seguridad y confidencialidad como estándar mínimo, sin perjuicio de las obligaciones imperativas que resulten aplicables conforme a la legislación local.

Sección 18

Cambios a esta Política

Podemos actualizar esta Política para reflejar cambios legales, técnicos u operativos. Los cambios materiales serán notificados con al menos 30 días de anticipación a través del correo registrado y un aviso destacado en la Plataforma.

Te recomendamos revisar esta Política periódicamente. La fecha de última actualización siempre figura al inicio del documento.

Sección 19

Contacto y Reclamaciones

Para cualquier consulta, ejercicio de derechos o reclamación relacionada con tus datos personales, contáctanos:

Eon App SAS · Bogotá D.C., Colombia · Operación: Colombia · Canadá · Estados Unidos.

Si no quedas satisfecho con nuestra respuesta, puedes acudir a la autoridad de control competente en tu jurisdicción (ver sección 17).

Términos y Condiciones Manejo de Datos Inicio

© 2024–2026 Eon App SAS. Bogotá D.C., Colombia. Esta política se actualiza periódicamente; revisa la fecha al inicio.