myLuks
Documento legal

Política de Tratamiento de Datos Personales

Conforme a la Ley 1581 de 2012, el Decreto 1377 de 2013 y la Circular Externa 001 de 2025 de la SIC

myLuks S.A.S. · Versión 1.0 · Vigente desde 24 de mayo de 2026

Índice de contenidos

1. Responsable del Tratamiento

La presente Política aplica a todo Titular de datos personales cuya información sea tratada por:

Concepto
Razón social
Detalle
myLuks S.A.S.
Concepto
NIT
Detalle
En trámite de asignación por la DIAN — proceso de constitución de myLuks S.A.S. en curso.
Concepto
Domicilio
Detalle
Bogotá D.C., Colombia (dirección física de notificaciones judiciales en proceso de registro una vez finalizada la constitución de la sociedad).
Concepto
Correo electrónico
Concepto
Sitio web
Detalle
https://myluks.com

La Empresa actúa como Responsable del Tratamiento de los datos personales recolectados a través de la aplicación móvil myLuks, sus sitios web y demás canales digitales operados por la Empresa.

2. Marco normativo aplicable

  • Artículo 15 de la Constitución Política de Colombia — derecho fundamental al habeas data.
  • Ley 1581 de 2012 — Régimen General de Protección de Datos Personales.
  • Decreto 1377 de 2013 — reglamentación parcial de la Ley 1581.
  • Decreto Único Reglamentario 1074 de 2015 — Sector Comercio, Industria y Turismo.
  • Ley 1266 de 2008 — Hábeas Data Financiero.
  • Circular Externa 002 de 2015 de la SIC — Registro Nacional de Bases de Datos.
  • Circular Externa 001 de 2025 de la SIC — directrices específicas para fintech.
  • Circular Externa 007 de 2018 de la SFC — requisitos mínimos de seguridad para servicios financieros digitales (aplicada como buena práctica).

3. Definiciones

Para efectos de esta Política, y en concordancia con el artículo 3 de la Ley 1581 de 2012 y el Decreto 1377 de 2013, se adoptan las siguientes definiciones:

Autorización:
consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales.
Aviso de Privacidad:
comunicación dirigida al Titular para informarle sobre la existencia de las políticas de tratamiento de información aplicables, la forma de acceder a ellas y las finalidades del tratamiento.
Base de Datos:
conjunto organizado de datos personales que sea objeto de Tratamiento.
Dato Personal:
cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato Sensible:
aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, incluyendo los datos biométricos y los datos financieros y crediticios, sujetos a un régimen de tratamiento reforzado.
Encargado del Tratamiento:
persona natural o jurídica que, por sí misma o en asocio con otros, realiza el Tratamiento de datos personales por cuenta del Responsable.
Responsable del Tratamiento:
myLuks S.A.S., persona jurídica que decide sobre la base de datos y/o el Tratamiento de los datos.
Titular:
la persona natural cuyos datos personales son objeto de Tratamiento; equivale al Usuario de la Aplicación.
Tratamiento:
cualquier operación sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Transferencia internacional de datos:
el envío de datos personales por el Responsable o el Encargado a un receptor que a su vez es Responsable del Tratamiento, ubicado dentro o fuera del país.
Transmisión internacional de datos:
el Tratamiento de datos personales que implica su comunicación dentro o fuera de Colombia, cuando tenga por objeto un Tratamiento por el Encargado por cuenta del Responsable.

4. Datos personales recolectados

Para prestar los servicios de la aplicación, myLuks recolecta y trata las siguientes categorías de datos personales:

4.1. Datos de identificación y contacto

  • Nombre completo.
  • Dirección de correo electrónico.
  • Número de teléfono móvil (opcional).
  • Contraseña (almacenada cifrada con Argon2id; nunca en texto plano).
  • Documento de identidad (cuando se solicite el puntaje DataCrédito).

4.2. Datos financieros agregados (cuentas bancarias conectadas)

  • Identificador de la entidad financiera.
  • Tipo de cuenta y número parcial (los últimos cuatro dígitos cuando estén disponibles).
  • Saldo actual.
  • Historial de transacciones: fecha, monto, descripción y comercio.
  • Categoría asignada por el motor de categorización propio.

myLuks NO almacena credenciales de banca electrónica del Usuario. Dichas credenciales son procesadas exclusivamente por el Proveedor de Open Banking (Belvo Technologies, S.A.P.I. de C.V.) conforme a sus propios términos.

4.3. Datos de uso de la aplicación

  • Identificador único del dispositivo y token de notificaciones push.
  • Sistema operativo y versión de la aplicación.
  • Eventos de uso anonimizados o seudonimizados (cuando el Usuario haya otorgado consentimiento separado para analytics).
  • Direcciones IP y registros de auditoría de inicio de sesión.

4.4. Datos biométricos (autenticación local)

Si el Usuario activa la autenticación biométrica (huella o reconocimiento facial), la verificación se realiza exclusivamente en el dispositivo del Usuario a través de los servicios nativos de iOS y Android. myLuks NO recibe, almacena ni transmite la plantilla biométrica del Usuario.

4.5. Datos de conversación con el Coach Luks

  • Mensajes enviados por el Usuario y respuestas generadas por la IA.
  • Memoria persistente: hechos relevantes destilados del comportamiento financiero del Usuario.

4.6. Datos de pagos

  • Historial de suscripciones y pagos.
  • Identificadores de transacción emitidos por la pasarela de pagos.

myLuks no almacena el número completo de la tarjeta, su fecha de expiración ni el código de seguridad. Esos datos son tratados directamente por Wompi conforme al estándar PCI-DSS.

5. Finalidades del tratamiento

Los datos personales recolectados serán tratados con las siguientes finalidades:

  • Crear, autenticar y administrar la Cuenta del Usuario.
  • Conectar y mantener actualizada la información de las cuentas bancarias autorizadas por el Usuario.
  • Categorizar transacciones, detectar suscripciones recurrentes y anomalías de gasto, y generar reportes y predicciones financieras.
  • Calcular y entregar el puntaje Luks Score.
  • Brindar el servicio de coach conversacional Luks (con consentimiento separado para el uso de IA).
  • Procesar pagos del Plan Premium y, cuando aplique, del puntaje DataCrédito.
  • Enviar notificaciones transaccionales y de seguridad obligatorias (recuperación de contraseña, verificación de email, alertas de inicio de sesión).
  • Enviar notificaciones de producto (alertas de presupuesto, anomalías, suscripciones detectadas), conforme a las preferencias del Usuario.
  • Atender PQRSD y solicitudes de derechos del Titular.
  • Cumplir obligaciones legales, contables, tributarias y regulatorias.
  • Prevenir fraude, lavado de activos y uso indebido de la plataforma.
  • Mostrar productos financieros referidos por terceros (cuando el Usuario haya otorgado consentimiento separado).
  • Realizar analítica de uso para mejorar la aplicación (con consentimiento separado para analytics).

6. Base legal del tratamiento

El tratamiento de los datos personales se fundamenta en alguna de las siguientes bases legales, dependiendo de la finalidad:

Finalidad
Ejecución del contrato (T&C)
Base legal
Artículo 10, lit. b) del Decreto 1377/2013
Finalidad
Cumplimiento legal o regulatorio
Base legal
Artículo 10, lit. a) Ley 1581/2012
Finalidad
Datos sensibles (biométricos, financieros)
Base legal
Autorización previa, expresa y separada
Finalidad
Marketing y analytics
Base legal
Autorización previa, expresa y revocable
Finalidad
Consulta a centrales de riesgo (DataCrédito)
Base legal
Ley 1266/2008 — autorización expresa por consulta
Finalidad
Prevención de fraude
Base legal
Interés legítimo del Responsable y obligación legal

7. Datos sensibles y consentimiento reforzado (Circular SIC 001/2025)

En cumplimiento de la Circular Externa 001 de 2025 de la SIC, aplicable al sector fintech, myLuks recolecta los siguientes consentimientos en pantallas separadas durante el onboarding:

  • Consentimiento para la operación de la aplicación (incluye el tratamiento de datos financieros agregados estrictamente necesarios para el servicio).
  • Consentimiento para analytics y mejora de la aplicación (opcional).
  • Consentimiento para el uso de datos biométricos en la autenticación local (opcional).

Cada consentimiento se obtiene mediante una acción afirmativa clara y puede ser revocado en cualquier momento desde la configuración de la aplicación o solicitándolo a privacidad@myluks.com.

La revocación del consentimiento de operación (consentimiento #1) implica la eliminación de la Cuenta, dado que sin él no es posible prestar el servicio.

8. Encargados del Tratamiento

Para la prestación del servicio, myLuks transfiere y transmite datos personales a los siguientes Encargados del Tratamiento, todos los cuales han suscrito o suscribirán acuerdos de tratamiento de datos (DPA) que garantizan estándares equivalentes a los exigidos por la Ley 1581:

Encargado
Belvo Technologies, S.A.P.I. de C.V.
Finalidad
Conexión Open Banking — lectura de cuentas y transacciones
Jurisdicción
México / Brasil
Encargado
Supabase, Inc.
Finalidad
Base de datos relacional gestionada (PostgreSQL)
Jurisdicción
EE. UU. / región sa-east-1
Encargado
Upstash, Inc.
Finalidad
Caché Redis (idempotencia, bloqueos)
Jurisdicción
EE. UU. / región sa-east-1
Encargado
Anthropic, PBC
Finalidad
Modelos de IA del Coach Luks (Claude)
Jurisdicción
EE. UU.
Encargado
Wompi S.A.S. (NIT 900.499.068-7), sociedad subordinada de Bancolombia S.A.
Finalidad
Procesamiento de pagos del Plan Premium
Jurisdicción
Colombia
Encargado
Resend, Inc.
Finalidad
Envío de correos transaccionales
Jurisdicción
EE. UU.
Encargado
Fly.io, Inc.
Finalidad
Infraestructura de cómputo (hosting)
Jurisdicción
EE. UU. / región GRU São Paulo
Encargado
Cloudflare, Inc.
Finalidad
CDN, DNS y protección DDoS
Jurisdicción
Global (anycast)
Encargado
Apple, Inc. y Google LLC
Finalidad
Distribución de la aplicación y push notifications
Jurisdicción
EE. UU. / Global
Encargado
Apitude S.A.S.
Finalidad
Consulta al puntaje DataCrédito (solo cuando el Usuario lo solicite)
Jurisdicción
Colombia

9. Transferencia internacional de datos

Algunos Encargados del Tratamiento están ubicados fuera de Colombia. La transferencia internacional se realiza con base en alguna de las causales del artículo 26 de la Ley 1581 de 2012, principalmente:

  • Autorización expresa e inequívoca del Titular para la transferencia.
  • Necesidad de la transferencia para la ejecución del contrato entre el Titular y el Responsable.
  • Países cuyo régimen ofrece niveles adecuados de protección de datos según los estándares de la SIC.

Para países que no cuenten con un nivel adecuado, myLuks suscribe cláusulas contractuales tipo o acuerdos equivalentes con sus Encargados.

10. Derechos del Titular (Habeas Data)

El Titular tiene los siguientes derechos sobre sus datos personales:

  • Conocer, actualizar y rectificar sus datos personales.
  • Solicitar prueba de la autorización otorgada.
  • Ser informado sobre el uso que se le ha dado a sus datos personales.
  • Presentar quejas ante la Superintendencia de Industria y Comercio.
  • Revocar la autorización y solicitar la supresión de sus datos personales.
  • Acceder gratuitamente a sus datos personales que hayan sido objeto de Tratamiento.
  • Solicitar la portabilidad de sus datos personales en formato estructurado y de uso común.

11. Procedimiento para ejercer los derechos

11.1. Canales de atención.

El Titular podrá ejercer sus derechos a través de los siguientes canales:

  • Correo electrónico: privacidad@myluks.com
  • Dirección física: Bogotá D.C., Colombia (dirección de notificaciones en proceso de registro una vez finalizada la constitución de la sociedad).
  • Desde la propia aplicación, sección «Configuración → Privacidad».

11.2. Requisitos de la solicitud.

La solicitud debe contener:

  • Identificación plena del Titular (nombre, número de documento, correo registrado).
  • Descripción precisa del derecho que se desea ejercer.
  • Dirección de notificación.
  • Documentos que soporten la solicitud, cuando aplique.

11.3. Términos legales de respuesta.

Tipo de solicitud
Consultas
Plazo máximo de respuesta
10 días hábiles, prorrogables por 5 más
Tipo de solicitud
Reclamos
Plazo máximo de respuesta
15 días hábiles, prorrogables por 8 más
Tipo de solicitud
Solicitud de supresión / revocación
Plazo máximo de respuesta
15 días hábiles

11.4. Botón «Eliminar cuenta y datos».

En cumplimiento de la Circular SIC 001/2025, la aplicación cuenta con un botón visible para la eliminación de la cuenta y de los datos del Usuario, accesible desde la pantalla de Configuración.

12. Seguridad de la información

myLuks implementa medidas técnicas, humanas y administrativas razonables para proteger los datos personales del Titular contra acceso no autorizado, pérdida, alteración o destrucción. Entre dichas medidas se encuentran:

  • Cifrado en tránsito mediante TLS 1.3 en todas las comunicaciones cliente-servidor.
  • Cifrado en reposo de identificadores sensibles (AES-256-GCM) y hashing irreversible de contraseñas (Argon2id).
  • Autenticación basada en JSON Web Tokens firmados con RS256 (claves RSA 2048-bit).
  • Bloqueo automático de cuenta tras seis intentos fallidos en treinta minutos.
  • Validación HMAC-SHA256 de webhooks entrantes y comparación en tiempo constante.
  • Aislamiento de privilegios en base de datos mediante rol PostgreSQL con permisos limitados.
  • Monitoreo continuo de eventos de seguridad y logs de auditoría inmutables.
  • Plan de continuidad y recuperación ante desastres con respaldos diarios.
  • Política de mínimo privilegio y revisión periódica documentada de medidas de seguridad.

13. Notificación de incidentes de seguridad

En caso de detectarse una brecha o incidente de seguridad que afecte los datos personales de los Titulares, myLuks notificará al Titular y a la Superintendencia de Industria y Comercio dentro de los quince (15) días hábiles siguientes a la confirmación del incidente, conforme al artículo 17 de la Ley 1581 y al Plan de Respuesta a Incidentes interno.

14. Tiempo de conservación

Los datos personales se conservarán por el tiempo que sea razonable y necesario para cumplir las finalidades del tratamiento, o por el tiempo exigido por la ley. A título informativo:

Categoría
Datos de cuenta activa
Tiempo de retención típico
Mientras la cuenta esté activa
Categoría
Datos de cuenta eliminada
Tiempo de retención típico
60 días para reactivación + eliminación o anonimización
Categoría
Información tributaria y de facturación
Tiempo de retención típico
10 años — Estatuto Tributario
Categoría
Registros de auditoría de seguridad
Tiempo de retención típico
2 años
Categoría
Logs de transacciones
Tiempo de retención típico
5 años — soporte ante reclamaciones financieras
Categoría
Datos de procesos litigiosos abiertos
Tiempo de retención típico
Mientras dure el proceso

15. Tratamiento de datos de menores de edad

La aplicación está dirigida exclusivamente a mayores de dieciocho (18) años. myLuks no recolecta intencionalmente datos personales de menores de edad. Si se identifica que un menor se ha registrado, la cuenta será eliminada de inmediato y los datos suprimidos.

16. Cookies y tecnologías de rastreo

El uso de cookies y tecnologías similares en el sitio web y en la aplicación se rige por la «Política de Cookies y Tecnologías de Rastreo», documento que el Titular declara conocer.

17. Habeas Data Financiero y centrales de riesgo

Cuando el Usuario solicite el reporte de su puntaje en DataCrédito, autorizará expresamente y por separado la consulta a la base de datos administrada por Experian Colombia S.A., conforme a la Ley 1266 de 2008. Esta autorización se registra en la tabla «credit_bureau_reports» con marca temporal del consentimiento («consentedAt») y permanece como evidencia legal del acto.

18. Registro Nacional de Bases de Datos (RNBD)

Conforme al Decreto 090 de 2018, la inscripción de bases de datos en el RNBD es obligatoria únicamente para responsables cuyos activos totales superen 100.000 UVT. En tanto myLuks no supere dicho umbral, esta obligación no es exigible. No obstante, se mantiene documentación interna de las bases de datos y se realizará el registro tan pronto se cumpla el supuesto.

19. Modificaciones a la Política

myLuks podrá modificar la presente Política. Las modificaciones se publicarán en la aplicación y entrarán en vigor a partir del día indicado en la notificación. Cuando los cambios sean sustanciales, se notificarán con al menos quince (15) días de anticipación al correo registrado.

20. Aceptación

La aceptación de esta Política se otorga mediante autorización previa, expresa e informada al momento del registro y se renueva cada vez que el Usuario acepta una versión actualizada.

Cualquier consulta sobre esta Política puede dirigirse a privacidad@myluks.com.

Documento anexo

Anexo A — Política de Cookies y Tecnologías de Rastreo

Aplicable al sitio web https://myluks.com y a la aplicación móvil myLuks

myLuks S.A.S. · Versión 1.0 · Vigente desde 24 de mayo de 2026

1. ¿Qué son las cookies y las tecnologías similares?

Una «cookie» es un pequeño archivo de texto que un sitio web instala en el navegador del visitante para almacenar información sobre la sesión. En el contexto de aplicaciones móviles existen tecnologías equivalentes, como identificadores de dispositivo, almacenamiento local seguro (Keychain en iOS, Keystore en Android) y SDKs de analítica.

Para efectos de esta Política, se entenderá por «tecnologías de rastreo» tanto las cookies del sitio web como sus equivalentes en la aplicación móvil.

2. Tipos de cookies y tecnologías utilizadas por myLuks

2.1. Estrictamente necesarias

Permiten el funcionamiento básico de la aplicación. Sin ellas el servicio no puede prestarse. No requieren consentimiento.

  • Token de sesión (Access Token JWT) — autenticación del Usuario en cada petición a la API.
  • Refresh Token (almacenado de forma segura en Keychain/Keystore) — renovación de la sesión.
  • Identificador de dispositivo para envío de notificaciones push y prevención de fraude.

2.2. Funcionales

Permiten recordar preferencias y mejorar la experiencia. No identifican personalmente al Usuario.

  • Preferencias de visualización (tema oscuro, idioma).
  • Última pantalla visitada y filtros aplicados a la lista de transacciones.

2.3. Analíticas (opcionales — consentimiento separado)

Permiten medir el uso de la aplicación para mejorarla. Se activan únicamente si el Usuario otorga el consentimiento separado de analytics descrito en el Documento de Consentimientos Separados.

La herramienta utilizada es OpenPanel, alojada en infraestructura propia de myLuks. No se utilizan SDK de Google Analytics, Meta Pixel, Mixpanel ni similares.

  • Eventos seudonimizados de uso de funcionalidades.
  • Datos agregados de retención y de funnel de onboarding.

2.4. Publicitarias o de marketing

La aplicación myLuks NO utiliza cookies ni SDKs publicitarios de terceros. No se realiza retargeting ni segmentación con fines de publicidad.

3. Tabla resumen

Tecnología
Access Token JWT
Tipo
Necesaria
¿Requiere consentimiento?
No
Duración
15 minutos
Tecnología
Refresh Token
Tipo
Necesaria
¿Requiere consentimiento?
No
Duración
7 días
Tecnología
Identificador de dispositivo
Tipo
Necesaria
¿Requiere consentimiento?
No
Duración
Hasta desinstalar
Tecnología
Preferencias de UI
Tipo
Funcional
¿Requiere consentimiento?
No
Duración
Hasta cierre de sesión
Tecnología
OpenPanel (analytics)
Tipo
Analítica
¿Requiere consentimiento?
Duración
12 meses

4. Cómo gestionar las preferencias

El Usuario puede revisar y modificar en cualquier momento sus preferencias de tecnologías opcionales desde la sección «Configuración → Privacidad» de la aplicación.

La revocación del consentimiento de analítica no afecta el funcionamiento de la aplicación.

5. Cookies del sitio web

El sitio web https://myluks.com utiliza únicamente cookies estrictamente necesarias para su funcionamiento, y, si el Usuario lo consiente mediante el banner correspondiente, cookies analíticas. El sitio web no instala cookies de terceros para publicidad.

6. Actualización de esta Política

myLuks podrá actualizar esta Política para reflejar cambios en las tecnologías utilizadas o en la normativa aplicable. Las modificaciones sustanciales serán comunicadas por los canales habituales de la aplicación.

7. Contacto

Cualquier consulta sobre esta Política puede dirigirse a privacidad@myluks.com.