1. Responsable del Tratamiento
La presente Política aplica a todo Titular de datos personales cuya información sea tratada por:
| Concepto | Detalle |
|---|---|
| Razón social | myLuks S.A.S. |
| NIT | En trámite de asignación por la DIAN — proceso de constitución de myLuks S.A.S. en curso. |
| Domicilio | Bogotá D.C., Colombia (dirección física de notificaciones judiciales en proceso de registro una vez finalizada la constitución de la sociedad). |
| Correo electrónico | privacidad@myluks.com |
| Sitio web | https://myluks.com |
La Empresa actúa como Responsable del Tratamiento de los datos personales recolectados a través de la aplicación móvil myLuks, sus sitios web y demás canales digitales operados por la Empresa.
2. Marco normativo aplicable
- Artículo 15 de la Constitución Política de Colombia — derecho fundamental al habeas data.
- Ley 1581 de 2012 — Régimen General de Protección de Datos Personales.
- Decreto 1377 de 2013 — reglamentación parcial de la Ley 1581.
- Decreto Único Reglamentario 1074 de 2015 — Sector Comercio, Industria y Turismo.
- Ley 1266 de 2008 — Hábeas Data Financiero.
- Circular Externa 002 de 2015 de la SIC — Registro Nacional de Bases de Datos.
- Circular Externa 001 de 2025 de la SIC — directrices específicas para fintech.
- Circular Externa 007 de 2018 de la SFC — requisitos mínimos de seguridad para servicios financieros digitales (aplicada como buena práctica).
3. Definiciones
Para efectos de esta Política, y en concordancia con el artículo 3 de la Ley 1581 de 2012 y el Decreto 1377 de 2013, se adoptan las siguientes definiciones:
- Autorización:
- consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales.
- Aviso de Privacidad:
- comunicación dirigida al Titular para informarle sobre la existencia de las políticas de tratamiento de información aplicables, la forma de acceder a ellas y las finalidades del tratamiento.
- Base de Datos:
- conjunto organizado de datos personales que sea objeto de Tratamiento.
- Dato Personal:
- cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- Dato Sensible:
- aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, incluyendo los datos biométricos y los datos financieros y crediticios, sujetos a un régimen de tratamiento reforzado.
- Encargado del Tratamiento:
- persona natural o jurídica que, por sí misma o en asocio con otros, realiza el Tratamiento de datos personales por cuenta del Responsable.
- Responsable del Tratamiento:
- myLuks S.A.S., persona jurídica que decide sobre la base de datos y/o el Tratamiento de los datos.
- Titular:
- la persona natural cuyos datos personales son objeto de Tratamiento; equivale al Usuario de la Aplicación.
- Tratamiento:
- cualquier operación sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
- Transferencia internacional de datos:
- el envío de datos personales por el Responsable o el Encargado a un receptor que a su vez es Responsable del Tratamiento, ubicado dentro o fuera del país.
- Transmisión internacional de datos:
- el Tratamiento de datos personales que implica su comunicación dentro o fuera de Colombia, cuando tenga por objeto un Tratamiento por el Encargado por cuenta del Responsable.
4. Datos personales recolectados
Para prestar los servicios de la aplicación, myLuks recolecta y trata las siguientes categorías de datos personales:
4.1. Datos de identificación y contacto
- Nombre completo.
- Dirección de correo electrónico.
- Número de teléfono móvil (opcional).
- Contraseña (almacenada cifrada con Argon2id; nunca en texto plano).
- Documento de identidad (cuando se solicite el puntaje DataCrédito).
4.2. Datos financieros agregados (cuentas bancarias conectadas)
- Identificador de la entidad financiera.
- Tipo de cuenta y número parcial (los últimos cuatro dígitos cuando estén disponibles).
- Saldo actual.
- Historial de transacciones: fecha, monto, descripción y comercio.
- Categoría asignada por el motor de categorización propio.
myLuks NO almacena credenciales de banca electrónica del Usuario. Dichas credenciales son procesadas exclusivamente por el Proveedor de Open Banking (Belvo Technologies, S.A.P.I. de C.V.) conforme a sus propios términos.
4.3. Datos de uso de la aplicación
- Identificador único del dispositivo y token de notificaciones push.
- Sistema operativo y versión de la aplicación.
- Eventos de uso anonimizados o seudonimizados (cuando el Usuario haya otorgado consentimiento separado para analytics).
- Direcciones IP y registros de auditoría de inicio de sesión.
4.4. Datos biométricos (autenticación local)
Si el Usuario activa la autenticación biométrica (huella o reconocimiento facial), la verificación se realiza exclusivamente en el dispositivo del Usuario a través de los servicios nativos de iOS y Android. myLuks NO recibe, almacena ni transmite la plantilla biométrica del Usuario.
4.5. Datos de conversación con el Coach Luks
- Mensajes enviados por el Usuario y respuestas generadas por la IA.
- Memoria persistente: hechos relevantes destilados del comportamiento financiero del Usuario.
4.6. Datos de pagos
- Historial de suscripciones y pagos.
- Identificadores de transacción emitidos por la pasarela de pagos.
myLuks no almacena el número completo de la tarjeta, su fecha de expiración ni el código de seguridad. Esos datos son tratados directamente por Wompi conforme al estándar PCI-DSS.
5. Finalidades del tratamiento
Los datos personales recolectados serán tratados con las siguientes finalidades:
- Crear, autenticar y administrar la Cuenta del Usuario.
- Conectar y mantener actualizada la información de las cuentas bancarias autorizadas por el Usuario.
- Categorizar transacciones, detectar suscripciones recurrentes y anomalías de gasto, y generar reportes y predicciones financieras.
- Calcular y entregar el puntaje Luks Score.
- Brindar el servicio de coach conversacional Luks (con consentimiento separado para el uso de IA).
- Procesar pagos del Plan Premium y, cuando aplique, del puntaje DataCrédito.
- Enviar notificaciones transaccionales y de seguridad obligatorias (recuperación de contraseña, verificación de email, alertas de inicio de sesión).
- Enviar notificaciones de producto (alertas de presupuesto, anomalías, suscripciones detectadas), conforme a las preferencias del Usuario.
- Atender PQRSD y solicitudes de derechos del Titular.
- Cumplir obligaciones legales, contables, tributarias y regulatorias.
- Prevenir fraude, lavado de activos y uso indebido de la plataforma.
- Mostrar productos financieros referidos por terceros (cuando el Usuario haya otorgado consentimiento separado).
- Realizar analítica de uso para mejorar la aplicación (con consentimiento separado para analytics).
6. Base legal del tratamiento
El tratamiento de los datos personales se fundamenta en alguna de las siguientes bases legales, dependiendo de la finalidad:
| Finalidad | Base legal |
|---|---|
| Ejecución del contrato (T&C) | Artículo 10, lit. b) del Decreto 1377/2013 |
| Cumplimiento legal o regulatorio | Artículo 10, lit. a) Ley 1581/2012 |
| Datos sensibles (biométricos, financieros) | Autorización previa, expresa y separada |
| Marketing y analytics | Autorización previa, expresa y revocable |
| Consulta a centrales de riesgo (DataCrédito) | Ley 1266/2008 — autorización expresa por consulta |
| Prevención de fraude | Interés legítimo del Responsable y obligación legal |
7. Datos sensibles y consentimiento reforzado (Circular SIC 001/2025)
En cumplimiento de la Circular Externa 001 de 2025 de la SIC, aplicable al sector fintech, myLuks recolecta los siguientes consentimientos en pantallas separadas durante el onboarding:
- Consentimiento para la operación de la aplicación (incluye el tratamiento de datos financieros agregados estrictamente necesarios para el servicio).
- Consentimiento para analytics y mejora de la aplicación (opcional).
- Consentimiento para el uso de datos biométricos en la autenticación local (opcional).
Cada consentimiento se obtiene mediante una acción afirmativa clara y puede ser revocado en cualquier momento desde la configuración de la aplicación o solicitándolo a privacidad@myluks.com.
La revocación del consentimiento de operación (consentimiento #1) implica la eliminación de la Cuenta, dado que sin él no es posible prestar el servicio.
8. Encargados del Tratamiento
Para la prestación del servicio, myLuks transfiere y transmite datos personales a los siguientes Encargados del Tratamiento, todos los cuales han suscrito o suscribirán acuerdos de tratamiento de datos (DPA) que garantizan estándares equivalentes a los exigidos por la Ley 1581:
| Encargado | Finalidad | Jurisdicción |
|---|---|---|
| Belvo Technologies, S.A.P.I. de C.V. | Conexión Open Banking — lectura de cuentas y transacciones | México / Brasil |
| Supabase, Inc. | Base de datos relacional gestionada (PostgreSQL) | EE. UU. / región sa-east-1 |
| Upstash, Inc. | Caché Redis (idempotencia, bloqueos) | EE. UU. / región sa-east-1 |
| Anthropic, PBC | Modelos de IA del Coach Luks (Claude) | EE. UU. |
| Wompi S.A.S. (NIT 900.499.068-7), sociedad subordinada de Bancolombia S.A. | Procesamiento de pagos del Plan Premium | Colombia |
| Resend, Inc. | Envío de correos transaccionales | EE. UU. |
| Fly.io, Inc. | Infraestructura de cómputo (hosting) | EE. UU. / región GRU São Paulo |
| Cloudflare, Inc. | CDN, DNS y protección DDoS | Global (anycast) |
| Apple, Inc. y Google LLC | Distribución de la aplicación y push notifications | EE. UU. / Global |
| Apitude S.A.S. | Consulta al puntaje DataCrédito (solo cuando el Usuario lo solicite) | Colombia |
9. Transferencia internacional de datos
Algunos Encargados del Tratamiento están ubicados fuera de Colombia. La transferencia internacional se realiza con base en alguna de las causales del artículo 26 de la Ley 1581 de 2012, principalmente:
- Autorización expresa e inequívoca del Titular para la transferencia.
- Necesidad de la transferencia para la ejecución del contrato entre el Titular y el Responsable.
- Países cuyo régimen ofrece niveles adecuados de protección de datos según los estándares de la SIC.
Para países que no cuenten con un nivel adecuado, myLuks suscribe cláusulas contractuales tipo o acuerdos equivalentes con sus Encargados.
10. Derechos del Titular (Habeas Data)
El Titular tiene los siguientes derechos sobre sus datos personales:
- Conocer, actualizar y rectificar sus datos personales.
- Solicitar prueba de la autorización otorgada.
- Ser informado sobre el uso que se le ha dado a sus datos personales.
- Presentar quejas ante la Superintendencia de Industria y Comercio.
- Revocar la autorización y solicitar la supresión de sus datos personales.
- Acceder gratuitamente a sus datos personales que hayan sido objeto de Tratamiento.
- Solicitar la portabilidad de sus datos personales en formato estructurado y de uso común.
11. Procedimiento para ejercer los derechos
11.1. Canales de atención.
El Titular podrá ejercer sus derechos a través de los siguientes canales:
- Correo electrónico: privacidad@myluks.com
- Dirección física: Bogotá D.C., Colombia (dirección de notificaciones en proceso de registro una vez finalizada la constitución de la sociedad).
- Desde la propia aplicación, sección «Configuración → Privacidad».
11.2. Requisitos de la solicitud.
La solicitud debe contener:
- Identificación plena del Titular (nombre, número de documento, correo registrado).
- Descripción precisa del derecho que se desea ejercer.
- Dirección de notificación.
- Documentos que soporten la solicitud, cuando aplique.
11.3. Términos legales de respuesta.
| Tipo de solicitud | Plazo máximo de respuesta |
|---|---|
| Consultas | 10 días hábiles, prorrogables por 5 más |
| Reclamos | 15 días hábiles, prorrogables por 8 más |
| Solicitud de supresión / revocación | 15 días hábiles |
11.4. Botón «Eliminar cuenta y datos».
En cumplimiento de la Circular SIC 001/2025, la aplicación cuenta con un botón visible para la eliminación de la cuenta y de los datos del Usuario, accesible desde la pantalla de Configuración.
12. Seguridad de la información
myLuks implementa medidas técnicas, humanas y administrativas razonables para proteger los datos personales del Titular contra acceso no autorizado, pérdida, alteración o destrucción. Entre dichas medidas se encuentran:
- Cifrado en tránsito mediante TLS 1.3 en todas las comunicaciones cliente-servidor.
- Cifrado en reposo de identificadores sensibles (AES-256-GCM) y hashing irreversible de contraseñas (Argon2id).
- Autenticación basada en JSON Web Tokens firmados con RS256 (claves RSA 2048-bit).
- Bloqueo automático de cuenta tras seis intentos fallidos en treinta minutos.
- Validación HMAC-SHA256 de webhooks entrantes y comparación en tiempo constante.
- Aislamiento de privilegios en base de datos mediante rol PostgreSQL con permisos limitados.
- Monitoreo continuo de eventos de seguridad y logs de auditoría inmutables.
- Plan de continuidad y recuperación ante desastres con respaldos diarios.
- Política de mínimo privilegio y revisión periódica documentada de medidas de seguridad.
13. Notificación de incidentes de seguridad
En caso de detectarse una brecha o incidente de seguridad que afecte los datos personales de los Titulares, myLuks notificará al Titular y a la Superintendencia de Industria y Comercio dentro de los quince (15) días hábiles siguientes a la confirmación del incidente, conforme al artículo 17 de la Ley 1581 y al Plan de Respuesta a Incidentes interno.
14. Tiempo de conservación
Los datos personales se conservarán por el tiempo que sea razonable y necesario para cumplir las finalidades del tratamiento, o por el tiempo exigido por la ley. A título informativo:
| Categoría | Tiempo de retención típico |
|---|---|
| Datos de cuenta activa | Mientras la cuenta esté activa |
| Datos de cuenta eliminada | 60 días para reactivación + eliminación o anonimización |
| Información tributaria y de facturación | 10 años — Estatuto Tributario |
| Registros de auditoría de seguridad | 2 años |
| Logs de transacciones | 5 años — soporte ante reclamaciones financieras |
| Datos de procesos litigiosos abiertos | Mientras dure el proceso |
15. Tratamiento de datos de menores de edad
La aplicación está dirigida exclusivamente a mayores de dieciocho (18) años. myLuks no recolecta intencionalmente datos personales de menores de edad. Si se identifica que un menor se ha registrado, la cuenta será eliminada de inmediato y los datos suprimidos.
16. Cookies y tecnologías de rastreo
El uso de cookies y tecnologías similares en el sitio web y en la aplicación se rige por la «Política de Cookies y Tecnologías de Rastreo», documento que el Titular declara conocer.
17. Habeas Data Financiero y centrales de riesgo
Cuando el Usuario solicite el reporte de su puntaje en DataCrédito, autorizará expresamente y por separado la consulta a la base de datos administrada por Experian Colombia S.A., conforme a la Ley 1266 de 2008. Esta autorización se registra en la tabla «credit_bureau_reports» con marca temporal del consentimiento («consentedAt») y permanece como evidencia legal del acto.
18. Registro Nacional de Bases de Datos (RNBD)
Conforme al Decreto 090 de 2018, la inscripción de bases de datos en el RNBD es obligatoria únicamente para responsables cuyos activos totales superen 100.000 UVT. En tanto myLuks no supere dicho umbral, esta obligación no es exigible. No obstante, se mantiene documentación interna de las bases de datos y se realizará el registro tan pronto se cumpla el supuesto.
19. Modificaciones a la Política
myLuks podrá modificar la presente Política. Las modificaciones se publicarán en la aplicación y entrarán en vigor a partir del día indicado en la notificación. Cuando los cambios sean sustanciales, se notificarán con al menos quince (15) días de anticipación al correo registrado.
20. Aceptación
La aceptación de esta Política se otorga mediante autorización previa, expresa e informada al momento del registro y se renueva cada vez que el Usuario acepta una versión actualizada.
Cualquier consulta sobre esta Política puede dirigirse a privacidad@myluks.com.
Documento anexo
Anexo A — Política de Cookies y Tecnologías de Rastreo
Aplicable al sitio web https://myluks.com y a la aplicación móvil myLuks
myLuks S.A.S. · Versión 1.0 · Vigente desde 24 de mayo de 2026
1. ¿Qué son las cookies y las tecnologías similares?
Una «cookie» es un pequeño archivo de texto que un sitio web instala en el navegador del visitante para almacenar información sobre la sesión. En el contexto de aplicaciones móviles existen tecnologías equivalentes, como identificadores de dispositivo, almacenamiento local seguro (Keychain en iOS, Keystore en Android) y SDKs de analítica.
Para efectos de esta Política, se entenderá por «tecnologías de rastreo» tanto las cookies del sitio web como sus equivalentes en la aplicación móvil.
2. Tipos de cookies y tecnologías utilizadas por myLuks
2.1. Estrictamente necesarias
Permiten el funcionamiento básico de la aplicación. Sin ellas el servicio no puede prestarse. No requieren consentimiento.
- Token de sesión (Access Token JWT) — autenticación del Usuario en cada petición a la API.
- Refresh Token (almacenado de forma segura en Keychain/Keystore) — renovación de la sesión.
- Identificador de dispositivo para envío de notificaciones push y prevención de fraude.
2.2. Funcionales
Permiten recordar preferencias y mejorar la experiencia. No identifican personalmente al Usuario.
- Preferencias de visualización (tema oscuro, idioma).
- Última pantalla visitada y filtros aplicados a la lista de transacciones.
2.3. Analíticas (opcionales — consentimiento separado)
Permiten medir el uso de la aplicación para mejorarla. Se activan únicamente si el Usuario otorga el consentimiento separado de analytics descrito en el Documento de Consentimientos Separados.
La herramienta utilizada es OpenPanel, alojada en infraestructura propia de myLuks. No se utilizan SDK de Google Analytics, Meta Pixel, Mixpanel ni similares.
- Eventos seudonimizados de uso de funcionalidades.
- Datos agregados de retención y de funnel de onboarding.
2.4. Publicitarias o de marketing
La aplicación myLuks NO utiliza cookies ni SDKs publicitarios de terceros. No se realiza retargeting ni segmentación con fines de publicidad.
3. Tabla resumen
| Tecnología | Tipo | ¿Requiere consentimiento? | Duración |
|---|---|---|---|
| Access Token JWT | Necesaria | No | 15 minutos |
| Refresh Token | Necesaria | No | 7 días |
| Identificador de dispositivo | Necesaria | No | Hasta desinstalar |
| Preferencias de UI | Funcional | No | Hasta cierre de sesión |
| OpenPanel (analytics) | Analítica | Sí | 12 meses |
4. Cómo gestionar las preferencias
El Usuario puede revisar y modificar en cualquier momento sus preferencias de tecnologías opcionales desde la sección «Configuración → Privacidad» de la aplicación.
La revocación del consentimiento de analítica no afecta el funcionamiento de la aplicación.
5. Cookies del sitio web
El sitio web https://myluks.com utiliza únicamente cookies estrictamente necesarias para su funcionamiento, y, si el Usuario lo consiente mediante el banner correspondiente, cookies analíticas. El sitio web no instala cookies de terceros para publicidad.
6. Actualización de esta Política
myLuks podrá actualizar esta Política para reflejar cambios en las tecnologías utilizadas o en la normativa aplicable. Las modificaciones sustanciales serán comunicadas por los canales habituales de la aplicación.
7. Contacto
Cualquier consulta sobre esta Política puede dirigirse a privacidad@myluks.com.