Política de Privacidad

Recopilamos diferentes tipos de información personal dependiendo de la interacción del usuario con la plataforma:

1.1 Datos de registro y cuenta

• Nombre completo, correo electrónico corporativo, número de teléfono.
• Nombre de la empresa, NIT, dirección comercial.
• Credenciales de acceso (contraseñas almacenadas con hash criptográfico).
• Rol asignado dentro de la plataforma (administrador, contabilidad, recursos humanos, gestión, empleado).

1.2 Datos de empleados y contratistas

• Información de identificación: nombre completo, tipo y número de documento de identidad (cédula de ciudadanía, cédula de extranjería, pasaporte).
• Datos laborales: cargo, fecha de ingreso, tipo de contrato, salario, jornada laboral, equipo asignado.
• Datos bancarios: entidad financiera, tipo y número de cuenta para el pago de nómina.
• Datos de seguridad social: EPS, fondo de pensiones, ARL, caja de compensación.
• Registros de asistencia: marcaciones de entrada y salida, tiempos de almuerzo.
• Novedades: incapacidades, vacaciones, licencias, permisos, ausencias.

1.3 Datos de uso y técnicos

• Dirección IP, tipo de navegador, sistema operativo y dispositivo.
• Páginas visitadas, funcionalidades utilizadas, tiempos de sesión.
• Registros de auditoría de acciones realizadas en la plataforma.

Utilizamos la información recopilada para los siguientes fines:

• Prestación del Servicio: Calcular y procesar nóminas, gestionar novedades, generar desprendibles de pago, crear archivos bancarios (PAB/ACH) y exportaciones contables.
• Autenticación y seguridad: Verificar la identidad del usuario mediante credenciales y autenticación de dos factores (OTP), controlar accesos según roles y permisos.
• Comunicaciones operativas: Enviar códigos de verificación, alertas del sistema, recordatorios de asistencia, notificaciones de nómina y desprendibles de pago.
• Cumplimiento normativo: Garantizar que los cálculos de nómina cumplan con la legislación laboral colombiana vigente, incluyendo el Código Sustantivo del Trabajo y la normativa de seguridad social.
• Mejora del Servicio: Analizar patrones de uso agregados para optimizar la experiencia del usuario y las funcionalidades de la plataforma.
• Soporte técnico: Resolver consultas, incidencias y solicitudes de los usuarios.

El tratamiento de datos personales se fundamenta en las siguientes bases legales:

3.1 Legislación colombiana

• Ley 1581 de 2012 — Régimen General de Protección de Datos Personales, que establece los principios y obligaciones para el tratamiento de datos personales en Colombia.
• Decreto 1377 de 2013 — Reglamentación parcial de la Ley 1581, que detalla los requisitos de autorización, políticas de tratamiento y procedimientos.
• Ley 1266 de 2008 — Habeas Data, aplicable en lo referente a datos de naturaleza financiera y crediticia.
• Decreto 1074 de 2015 — Decreto Único Reglamentario del sector Comercio, Industria y Turismo, Título 26 sobre protección de datos.

3.2 Bases del tratamiento

• Autorización expresa: Los titulares de datos (empleados y contratistas) otorgan autorización informada, previa y expresa para el tratamiento de sus datos conforme al artículo 9 de la Ley 1581 de 2012.
• Ejecución contractual: El tratamiento es necesario para la prestación del servicio contratado entre la empresa usuaria y Harptal.
• Obligación legal: El procesamiento de datos de nómina es necesario para cumplir con obligaciones laborales y de seguridad social establecidas en la legislación colombiana.
• Interés legítimo: Para fines de seguridad de la plataforma, prevención de fraude y mejora del servicio.

No vendemos, alquilamos ni comercializamos datos personales de nuestros usuarios. Solo compartimos información con terceros en las siguientes circunstancias:

• Proveedores de infraestructura: Convex (backend y base de datos), servicios de alojamiento en la nube. Estos proveedores actúan como encargados del tratamiento bajo acuerdos contractuales que garantizan la protección de los datos.
• Servicios de comunicación: Resend (envío de correos electrónicos transaccionales) y Twilio (envío de SMS), estrictamente para funcionalidades operativas de la plataforma.
• Entidades bancarias: Solo cuando el usuario genera archivos de pago (PAB/ACH) y los envía voluntariamente a su entidad financiera para procesamiento de nómina.
• Autoridades competentes: Cuando exista un requerimiento judicial, orden administrativa o mandato legal que obligue a la divulgación de información.

Todos los terceros con acceso a datos personales están sujetos a acuerdos de confidencialidad y protección de datos conformes a la legislación colombiana.

Implementamos medidas técnicas, administrativas y organizativas para proteger los datos personales contra el acceso no autorizado, la pérdida, alteración o destrucción. Estas medidas incluyen:

• Cifrado: Todas las comunicaciones entre el navegador del usuario y nuestros servidores se realizan mediante TLS (Transport Layer Security). Las contraseñas se almacenan con hash criptográfico unidireccional.
• Autenticación de dos factores (2FA): Verificación mediante código OTP enviado al correo electrónico registrado en cada inicio de sesión.
• Control de acceso basado en roles (RBAC): Cada usuario solo puede acceder a la información y funcionalidades autorizadas para su rol (administrador, contabilidad, recursos humanos, gestión, empleado).
• Registros de auditoría: Todas las acciones significativas dentro de la plataforma quedan registradas con fecha, hora, usuario y detalle de la operación.
• Copias de seguridad: Backups automáticos regulares de toda la información almacenada en la plataforma.
• Monitoreo continuo: Supervisión de la infraestructura para detectar y responder a posibles incidentes de seguridad.

Para más información sobre nuestras prácticas de seguridad, consulte nuestra página de Seguridad.

Conservamos los datos personales durante el tiempo necesario para cumplir con los fines para los cuales fueron recopilados, y de acuerdo con las obligaciones legales aplicables:

• Datos de nómina y laborales: Se conservan durante la vigencia de la relación contractual y por un período adicional de diez (10) años conforme a las obligaciones de conservación documental del derecho laboral y tributario colombiano.
• Datos de cuenta: Se mantienen mientras la cuenta permanezca activa. Las cuentas inactivas por más de doce (12) meses podrán ser eliminadas previa notificación.
• Registros de auditoría: Se conservan por un período mínimo de cinco (5) años para fines de seguridad y cumplimiento.
• Datos de uso y técnicos: Se conservan por un período máximo de veinticuatro (24) meses en forma agregada y anonimizada.

Una vez cumplidos los períodos de retención, los datos serán eliminados de forma segura o anonimizados de manera irreversible.

De conformidad con la Ley 1581 de 2012, los titulares de los datos personales tienen los siguientes derechos (derechos ARCO):

• Acceso: Conocer, actualizar y obtener copia de los datos personales que obran en nuestras bases de datos.
• Rectificación: Solicitar la corrección de datos personales que sean inexactos, incompletos o desactualizados.
• Cancelación (Supresión): Solicitar la eliminación de los datos personales cuando ya no sean necesarios para los fines para los que fueron recopilados, salvo que exista una obligación legal de conservación.
• Oposición: Oponerse al tratamiento de sus datos personales cuando existan motivos fundados y legítimos relativos a su situación particular.
• Revocación de la autorización: Revocar la autorización otorgada para el tratamiento de sus datos personales en cualquier momento.

Para ejercer estos derechos, el titular o su representante legal puede presentar una solicitud por escrito dirigida a:

Las solicitudes serán atendidas en un plazo máximo de diez (10) días hábiles para consultas y quince (15) días hábiles para reclamos, conforme a lo establecido en la ley. Si no fuere posible atender la solicitud dentro de dichos términos, se informará al titular antes de su vencimiento, expresando los motivos de la demora y la fecha estimada de respuesta, que en ningún caso podrá superar los cinco (5) días hábiles adicionales.

En caso de no obtener respuesta satisfactoria, el titular podrá presentar queja ante la Superintendencia de Industria y Comercio (SIC).

Algunos de nuestros proveedores de infraestructura tecnológica pueden procesar datos en servidores ubicados fuera de Colombia (Estados Unidos). Estas transferencias internacionales se realizan conforme al artículo 26 de la Ley 1581 de 2012, garantizando:

• Que los países receptores cuenten con niveles adecuados de protección de datos según los estándares de la Superintendencia de Industria y Comercio.
• La existencia de cláusulas contractuales que obliguen al encargado del tratamiento a respetar las políticas de protección de datos del responsable.
• La autorización informada del titular cuando sea requerida conforme a la ley.

Los proveedores actuales que pueden involucrar transferencias internacionales son: Convex (infraestructura de backend), Resend (servicios de correo electrónico) y Twilio (servicios de SMS). Todos operan bajo estrictos acuerdos de procesamiento de datos.

La plataforma Harptal utiliza tecnologías de almacenamiento local para su funcionamiento:

• Token de autenticación (localStorage): Almacenamos un token JWT en el almacenamiento local del navegador bajo la clave “nomina_token” para mantener la sesión del usuario activa. Este token es esencial para el funcionamiento del servicio y no puede ser desactivado.
• Preferencias de interfaz: Almacenamos la preferencia de tema (claro/oscuro) y configuraciones de visualización del usuario.

Actualmente no utilizamos cookies de terceros con fines publicitarios o de seguimiento. Si en el futuro implementamos cookies adicionales, actualizaremos esta política e informaremos a los usuarios.

Nos reservamos el derecho de actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas de tratamiento de datos, requisitos legales o funcionalidades de la plataforma.

Los cambios sustanciales serán notificados a los usuarios mediante correo electrónico y/o aviso destacado dentro de la plataforma con al menos quince (15) días de anticipación a su entrada en vigor. La fecha de última actualización será visible en la parte superior de este documento.

Recomendamos revisar esta política periódicamente para mantenerse informado sobre cómo protegemos sus datos. Para cualquier consulta sobre esta Política de Privacidad, puede comunicarse a: