Callia

Documento legal

Política de Tratamiento de Datos Personales

Versión 1.0 · Vigente desde 2026-05-07

1. Quiénes somos

Callia es una plataforma SaaS multi-empresa que provee asistentes IA conversacionales en WhatsApp y voz. La plataforma opera bajo la marca Callia y es desarrollada y operada por:

  • Responsable del tratamiento: NCM MEDIA SAS (NIT: 902.052.562-2)
  • Domicilio: CR 97 NO. 70 D 140 TO 54 AP 9803, Medellín, Antioquia, Colombia
  • Email de contacto para temas de datos: privacidad@callia.solutions
  • País de la sede operativa: Colombia
Importante para los usuarios finales del bot: cuando una persona conversa con un asistente Callia desplegado por una empresa cliente (por ejemplo, una clínica, una tienda o un restaurante), la empresa cliente es la responsable del tratamiento de los datos de sus propios clientes. Callia actúa allí como encargado del tratamiento según el art. 25 de la Ley 1581/2012, procesando los datos por cuenta y orden de la empresa cliente conforme al contrato de servicio.

2. Marco legal aplicable

  • Colombia: Ley 1581 de 2012 (Habeas Data) y su Decreto Reglamentario 1377 de 2013.
  • Unión Europea / Reino Unido: Reglamento (UE) 2016/679 (GDPR) cuando el titular o el responsable estén domiciliados en la UE/UK.
  • México: LFPDPPP cuando el responsable esté constituido en territorio mexicano.
  • California, EE. UU.: CCPA/CPRA cuando aplique por residencia del titular.

Cuando un cliente de Callia opera en una jurisdicción distinta a Colombia, su política de privacidad propia (configurada vía privacy_policy_url del tenant) prevalece sobre los puntos donde haya conflicto, siempre dentro de los mínimos exigidos por la ley local.

3. Qué datos se recolectan

Cuando una persona conversa con un asistente Callia, el sistema almacena:

  • Número de teléfono desde el que escribe (identificador del contacto).
  • Contenido textual de los mensajes enviados y recibidos.
  • Metadatos del canal: identificadores de Twilio/Meta, marca de tiempo, idioma detectado.
  • Datos que la persona comparta voluntariamente durante la conversación (nombre, email, motivo de consulta, fecha de cita, etc.).

Callia no procesa categorías especiales del Art. 9 del GDPR (salud, religión, orientación sexual, opiniones políticas, datos biométricos) salvo cuando la empresa cliente operadora pertenezca a una vertical donde estos datos sean necesarios para el servicio (por ejemplo, un consultorio médico) y haya contratado el módulo correspondiente con base legal apropiada.

4. Finalidad del tratamiento

Los datos se procesan para:

  1. Atender la consulta que la persona inició por WhatsApp o voz.
  2. Agendar citas, gestionar pedidos o ejecutar acciones que el asistente esté autorizado a realizar para la empresa cliente.
  3. Mejorar la calidad del servicio mediante revisión interna de conversaciones (anonimizadas siempre que sea técnicamente posible).
  4. Cumplir obligaciones legales del responsable (facturación, contabilidad, requerimientos de autoridad).

Los datos no se venden a terceros ni se ceden con fines de publicidad de terceros.

5. Conservación de los datos

  • Conversaciones activas: se conservan mientras la relación comercial entre la persona y la empresa cliente esté vigente.
  • Conversaciones cerradas: se conservan por un máximo de 24 meses desde el último mensaje, salvo que la empresa cliente fije un plazo distinto en su propia política.
  • Borrado por solicitud del titular: se ejecuta dentro de los plazos legales (15 días hábiles para Habeas Data CO, 30 días para GDPR).

Tras el plazo de conservación, los datos se eliminan físicamente vía ON DELETE CASCADE en la base de datos. El proceso queda registrado en la tabla de audit logs con marca de tiempo, sin retener datos personales.

6. Derechos del titular

Toda persona cuyos datos estén siendo tratados puede ejercer los siguientes derechos:

DerechoLey 1581/2012 (CO)GDPRCómo ejercerlo
Conocer y accederSí (Art. 8)Art. 15Comando /eliminarmisdatos en el bot o copia por email.
RectificarSí (Art. 8)Art. 16Indicarlo directamente en la conversación; queda registrado.
Cancelar / SuprimirSí (Art. 8)Art. 17Comando /eliminarmisdatos — borrado físico inmediato.
OposiciónSí (Art. 8)Art. 21"No quiero más mensajes" o /eliminarmisdatos.
PortabilidadArt. 20Solicitud a privacidad@callia.solutions.
Revocar consentimientoArt. 7Comando /eliminarmisdatos o solicitud por email.

El comando /eliminarmisdatos está activo en todas las conversaciones Callia y opera de forma inmediata: borra el contacto, sus conversaciones y mensajes. La operación queda registrada en audit logs (sin contenido personal) por motivos de trazabilidad regulatoria.

7. Seguridad de la información

Implementamos medidas técnicas, administrativas y operativas de primer nivel para salvaguardar la confidencialidad, integridad y disponibilidad de la información:

  • Cifrado Avanzado: Los datos en tránsito y en reposo se encriptan utilizando protocolos de seguridad estándar de la industria.
  • Aislamiento Estricto: Contamos con arquitectura de segregación de datos que impide el acceso no autorizado entre cuentas corporativas.
  • Protección de Datos Personales: Implementamos mecanismos automáticos de redacción y anonimización de información confidencial en nuestros logs operativos.
  • Monitoreo Continuo: Auditorías preventivas y limitadores de tasa automatizados para prevenir abuso o accesos sospechosos.

El detalle técnico de nuestra arquitectura e infraestructura de ciberseguridad se encuentra disponible bajo Acuerdo de Confidencialidad (NDA) únicamente para auditorías de clientes corporativos calificados.

8. Transferencias y transmisiones de datos

Para operar con la mayor velocidad, precisión y confiabilidad global, Callia transmite datos a proveedores tecnológicos especializados de infraestructura en la nube y procesamiento de datos ubicados en el exterior (principalmente en los Estados Unidos y la Unión Europea):

  • Proveedores de Inteligencia Artificial: Para el procesamiento semántico, comprensión del lenguaje natural y generación de respuestas automatizadas.
  • Proveedores de Telecomunicaciones: Para la transmisión y recepción de mensajería interactiva por WhatsApp y llamadas de voz.
  • Proveedores de Almacenamiento e Infraestructura de Red: Para la base de datos segura, colas de procesamiento en tiempo real y hosting global redundante.

Todos estos servicios se amparan bajo contratos con Cláusulas Contractuales Tipo (SCCs), directrices de la SIC y marcos de cumplimiento internacional de protección de datos (como el Data Privacy Framework), garantizando un nivel de protección adecuado e idéntico al exigido por la ley colombiana.

9. Quejas ante la autoridad

Si la persona considera que sus derechos no se han respetado adecuadamente, puede presentar queja ante:

  • Colombia: Superintendencia de Industria y Comercio (SIC) — sic.gov.co — línea gratuita 01-8000-910165.
  • Unión Europea: la Autoridad de Protección de Datos del país de residencia.
  • México: INAI.

Antes de escalar a la autoridad, recomendamos contactar a privacidad@callia.solutions para resolver el caso directamente.

10. Cambios a esta política

Cuando hagamos cambios materiales, notificaremos por:

  1. Bump de versión y fecha al inicio de este documento.
  2. Email a los titulares de cuenta (clientes empresariales).
  3. En el caso de cambios que afecten al titular final del bot, mensaje en la siguiente interacción del asistente.

Los cambios entran en vigor a partir de la fecha publicada en la cabecera. El uso continuado del servicio después de esa fecha constituye aceptación de la nueva versión.

11. Contacto