Política de Tratamiento de Datos Personales — FROMUS S.A.S.

1. Identificación del Responsable

FROMUS S.A.S. (en adelante, “FROMUS”), sociedad por acciones simplificada constituida bajo las leyes de la República de Colombia, identificada con NIT 902.074.666-4, es responsable del tratamiento de los datos personales recolectados a través de su plataforma y de los canales descritos en esta Política.

Esta Política se expide en cumplimiento de la Ley Estatutaria 1581 de 2012, el Decreto 1074 de 2015 (que compila el Decreto 1377 de 2013) y demás normas concordantes, así como del artículo 15 de la Constitución Política (derecho de hábeas data).

2. Definiciones

Para los efectos de esta Política, se adoptan las definiciones del artículo 3 de la Ley 1581 de 2012:

• Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales.
• Base de datos: conjunto organizado de datos personales objeto de Tratamiento.
• Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato público: el dato que no sea semiprivado, privado o sensible; entre otros, los relativos a la calidad de comerciante y a la condición de contratista del Estado contenidos en registros públicos.
• Dato sensible: aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminación (origen racial o étnico, salud, datos biométricos, entre otros). FROMUS no recolecta datos sensibles de manera deliberada.
• Encargado del Tratamiento: persona que realiza el Tratamiento de datos personales por cuenta del Responsable.
• Responsable del Tratamiento: persona que decide sobre la base de datos y/o el Tratamiento de los datos.
• Titular: persona natural cuyos datos personales son objeto de Tratamiento.
• Tratamiento: cualquier operación sobre datos personales, como la recolección, almacenamiento, uso, circulación o supresión.
• Cliente: persona jurídica o natural que adquiere una suscripción a la plataforma de FROMUS.
• Usuario: persona natural que accede a la plataforma a nombre de un Cliente.

3. Ámbito de aplicación y aceptación

Esta Política aplica a todo Tratamiento de datos personales que realice FROMUS en su sitio web, su plataforma y sus canales de contacto, respecto de visitantes, Usuarios, Clientes, prospectos y demás Titulares descritos en la sección 4.

El acceso al sitio, el registro de una cuenta, el uso de la plataforma o la entrega de datos personales a FROMUS implican el conocimiento y la aceptación de esta Política y de las finalidades aquí descritas.

4. Titulares y datos que tratamos

FROMUS trata datos personales de las siguientes categorías de Titulares y, según el caso, los siguientes datos:

FROMUS no dispone de formularios de captación de datos en su sitio web; el único punto de recolección directa de datos personales es el registro de cuenta.

5. Finalidades del Tratamiento

FROMUS trata los datos personales para las siguientes finalidades:

• Crear, autenticar y administrar la cuenta del Usuario y la suscripción del Cliente.
• Prestar las funcionalidades de la plataforma: identificación, análisis y preparación de propuestas para procesos de contratación pública, incluido el procesamiento de los documentos que el Cliente cargue.
• Enviar comunicaciones inherentes al servicio, incluidas las alertas diarias sobre procesos de interés del Usuario o del Cliente. El destinatario puede solicitar la baja de estas comunicaciones en cualquier momento.
• Gestionar el cobro de la suscripción a través de la pasarela de pagos.
• Atender consultas, peticiones, quejas y reclamos.
• Realizar análisis de mercado e inteligencia competitiva a partir de información pública de contratación estatal, e identificar prospectos comerciales (ver sección 8).
• Cumplir obligaciones legales, contables y tributarias, y atender requerimientos de autoridades.
• Velar por la seguridad de la plataforma y prevenir el fraude.

FROMUS no vende, arrienda ni comercializa los datos personales de los Titulares, ni los utiliza para publicidad de terceros o corredores de datos.

6. Doble rol: Responsable y Encargado

FROMUS actúa como Responsable respecto de los datos de sus Usuarios, Clientes, prospectos y de la información pública que recolecta por iniciativa propia.

FROMUS actúa como Encargado respecto de los datos personales de terceros que el Cliente cargue a la plataforma embebidos en sus documentos (por ejemplo, datos del personal técnico contenidos en un RUP o en un pliego). En su calidad de Encargado, FROMUS trata esos datos únicamente por cuenta del Cliente y conforme a sus instrucciones, y no los utiliza para fines propios.

Es responsabilidad del Cliente, en su condición de Responsable de esos datos, contar con la autorización de los terceros titulares y garantizar la licitud de la información que carga a la plataforma. Las obligaciones y garantías correspondientes se detallan en los Términos y Condiciones de FROMUS.

7. Inicio de sesión con Google y datos de las API de Google

FROMUS ofrece la opción de iniciar sesión mediante la cuenta de Google del Usuario, a través del protocolo OAuth 2.0 de Google. Esta sección describe el tratamiento de los datos obtenidos de las API de Google.

Uso Limitado (Limited Use)

El uso y la transferencia que FROMUS realice, hacia cualquier otra aplicación, de la información recibida de las API de Google se ajustará a la Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), incluidos sus requisitos de Uso Limitado (Limited Use).

FROMUS S.A.S.'s use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), including the Limited Use requirements.

Alcances mínimos solicitados

FROMUS solicita únicamente los alcances (scopes) mínimos e indispensables para autenticar al Usuario y crear su cuenta. Durante el flujo de consentimiento de Google se solicitan los siguientes alcances: openid, email y profile (nombre y foto de perfil). FROMUS no solicita acceso a Gmail, Drive, Calendario ni a ningún otro dato de Google que no sea necesario para el inicio de sesión.

Compromisos de Uso Limitado

De forma consistente con los requisitos de Uso Limitado, FROMUS afirma que la información recibida de las API de Google no es:

• usada ni transferida para mostrar publicidad, incluida la publicidad personalizada, segmentada o de retargeting;
• usada ni transferida para determinar la solvencia crediticia ni con fines de préstamo;
• vendida ni transferida a corredores de datos, revendedores de información ni a otros proveedores de servicios de información;
• usada para entrenar, ajustar (fine-tune) ni mejorar modelos generales de inteligencia artificial o aprendizaje automático (AI/ML);
• leída por seres humanos, salvo (a) con el consentimiento expreso del Usuario afectado, (b) para fines de seguridad o investigación de cumplimiento, (c) para cumplir una obligación legal aplicable, o (d) cuando los datos se hayan agregado y se utilicen para operaciones internas conforme a la normatividad aplicable.

Seguridad de los datos de Google

Los datos obtenidos de las API de Google se transmiten cifrados mediante HTTPS/TLS y se almacenan cifrados en reposo mediante el estándar AES-256. El acceso de personal de FROMUS a estos datos está restringido al estrictamente necesario para operar y dar soporte al servicio.

Revocación y eliminación

El Usuario puede revocar el acceso de FROMUS a su cuenta de Google en cualquier momento desde la configuración de seguridad de su cuenta de Google (myaccount.google.com/permissions) o desconectando la integración desde su cuenta en FROMUS. Asimismo, el Usuario puede solicitar la eliminación irreversible de sus datos y de los tokens asociados escribiendo a datos@fromus.tech; atendida la solicitud, FROMUS suprime de forma definitiva los datos y revoca los tokens correspondientes.

8. Información pública de contratación e inteligencia competitiva

La plataforma de FROMUS accede a información pública de contratación estatal (SECOP / Colombia Compra Eficiente), publicada como datos abiertos del Estado colombiano y consultada a través de la API de Socrata (datos.gov.co), así como a otros portales públicos oficiales de contratación. Con base en esa información, FROMUS organiza y presenta análisis de mercado, demanda pública e inteligencia competitiva, que pueden incluir perfiles de entidades, de empresas y de personas naturales que contratan con el Estado (historial de contratos, montos, categorías y entidades).

Este Tratamiento se ampara en el carácter público de la información, conforme al artículo 10 de la Ley 1581 de 2012 —que permite el Tratamiento de datos de naturaleza pública sin autorización del Titular— y a la Ley 1712 de 2014. FROMUS limita este Tratamiento a la información que consta en el registro público, no la enriquece con datos no públicos y no infiere datos sensibles.

El Titular persona natural cuya información pública sea objeto de este Tratamiento puede ejercer su derecho de oposición, actualización, rectificación o supresión escribiendo a datos@fromus.tech, conforme a la sección 11.

9. Inteligencia artificial y decisiones automatizadas

FROMUS utiliza herramientas de inteligencia artificial para asistir en tareas como la extracción de campos de documentos, la búsqueda y consulta sobre documentos, y la generación de borradores de propuestas. Estas herramientas operan a través de Amazon Web Services (Amazon Bedrock); los datos procesados no se utilizan para entrenar modelos ni son accesibles para el proveedor del modelo (ver sección 10).

La inteligencia artificial de FROMUS asiste, pero no reemplaza el criterio del Usuario ni constituye asesoría legal. Sus resultados deben ser verificados por el Usuario antes de utilizarse. FROMUS no adopta decisiones automatizadas que produzcan efectos jurídicos sobre un Titular ni que lo afecten de manera significativa sin intervención humana; las funcionalidades de priorización de procesos clasifican oportunidades, no personas.

10. Encargados y transferencias internacionales

Para operar la plataforma, FROMUS se apoya en los siguientes Encargados, a quienes transmite datos personales únicamente para las finalidades aquí descritas:

Algunos Encargados se encuentran fuera de Colombia, por lo que el Tratamiento implica transmisiones internacionales de datos. Conforme al Decreto 1074 de 2015 (que compila el Decreto 1377 de 2013), estas transmisiones se realizan al amparo de contratos de tratamiento (DPA) que obligan a los Encargados a cumplir los estándares de protección de la Ley 1581 de 2012, a tratar los datos solo para las finalidades autorizadas y a aplicar medidas de seguridad.

Respecto del pago, los datos completos de la tarjeta del Usuario (número y código de seguridad) se ingresan directamente en el entorno seguro de Wompi y nunca son almacenados por FROMUS; en sus sistemas, FROMUS conserva únicamente el correo electrónico, el estado y el monto de la transacción. Respecto de la inteligencia artificial, FROMUS no almacena el contenido de las solicitudes ni de las respuestas, y el proveedor de infraestructura no utiliza ese contenido para entrenar modelos.

11. Derechos del Titular

De conformidad con el artículo 8 de la Ley 1581 de 2012, el Titular tiene derecho a:

• Conocer, actualizar y rectificar sus datos personales.
• Solicitar prueba de la autorización otorgada, salvo en los casos exceptuados por la ley.
• Ser informado, previa solicitud, sobre el uso que se ha dado a sus datos.
• Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la ley.
• Revocar la autorización y/o solicitar la supresión del dato cuando no se respeten los principios, derechos y garantías legales, sin perjuicio de los deberes legales o contractuales de conservación.
• Acceder de forma gratuita a sus datos personales objeto de Tratamiento.
• Oponerse al Tratamiento en los casos en que proceda.

12. Deberes de FROMUS

FROMUS, como Responsable, observa los deberes del artículo 17 de la Ley 1581 de 2012, entre ellos: garantizar al Titular el pleno y efectivo ejercicio de sus derechos; conservar la información bajo condiciones de seguridad; tramitar las consultas y reclamos en los términos legales; usar los datos solo para las finalidades autorizadas; e informar a la autoridad sobre incidentes de seguridad cuando corresponda.

13. Autorización

FROMUS recolecta la autorización del Titular al momento del registro, del uso de la plataforma o de la entrega de sus datos, por medios que permiten su posterior consulta. Conforme al artículo 10 de la Ley 1581 de 2012, no se requiere autorización del Titular cuando se trata de datos de naturaleza pública, de información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial, o en casos de urgencia médica o sanitaria, entre otros previstos por la ley.

14. Procedimiento para consultas y reclamos

El Titular o sus causahabientes pueden ejercer sus derechos escribiendo a datos@fromus.tech, indicando su identificación, el derecho que desea ejercer y los hechos que dan lugar a la solicitud.

Consultas (artículo 14, Ley 1581 de 2012)

Las consultas se atenderán en un término máximo de diez (10) días hábiles contados desde la fecha de su recibo. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Reclamos (artículo 15, Ley 1581 de 2012)

El reclamo se atenderá en un término máximo de quince (15) días hábiles contados desde el día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término. Si el reclamo resulta incompleto, se requerirá al interesado para que subsane las fallas dentro de los cinco (5) días siguientes; transcurridos dos (2) meses sin que presente la información requerida, se entenderá que ha desistido.

15. Seguridad de la información

FROMUS adopta medidas técnicas, humanas y administrativas razonables para proteger los datos personales contra acceso no autorizado, pérdida, alteración o divulgación. Entre ellas:

• Cifrado de la información en tránsito (HTTPS/TLS) y en reposo (AES-256).
• Aislamiento de la información entre Clientes mediante políticas de seguridad a nivel de fila (RLS), de modo que un Cliente no accede a los datos de otro.
• Almacenamiento de archivos en repositorios privados, con acceso mediante enlaces firmados de vigencia limitada.
• Acceso a la información restringido al personal estrictamente necesario.
• Acceso a la cuenta mediante usuario y contraseña.
• Copias de seguridad automáticas gestionadas por el proveedor de infraestructura.

En caso de incidentes de seguridad que afecten datos personales, FROMUS los gestionará y, cuando corresponda, los notificará a los Titulares afectados y a la Superintendencia de Industria y Comercio.

16. Cookies y tecnologías similares

El sitio y la plataforma de FROMUS utilizan cookies y tecnologías similares necesarias para el funcionamiento del servicio y para analítica de uso del producto (a través de PostHog), que permite entender cómo se usa la plataforma y mejorarla. Estas herramientas pueden registrar la actividad de navegación; FROMUS aplica configuraciones de enmascaramiento para evitar la captura de información personal sensible. El Usuario puede gestionar el uso de cookies a través del aviso de cookies del sitio y de la configuración de su navegador.

17. Conservación y supresión de los datos

FROMUS conserva los datos personales mientras exista una relación con el Titular o el Cliente y mientras sea necesario para las finalidades descritas o para cumplir obligaciones legales.

Cuando un Cliente cancela su suscripción, dispone de un plazo de sesenta (60) días para exportar su información; vencido ese plazo, y a solicitud del Cliente o del Titular, FROMUS procede a la supresión de los datos, que abarca tanto los archivos almacenados como el texto y los vectores derivados de ellos, así como los datos asociados de la cuenta. El Usuario también puede solicitar la eliminación de su cuenta y sus datos a través de la plataforma o escribiendo a datos@fromus.tech. La supresión no procederá cuando exista un deber legal o contractual de conservación.

18. Menores de edad

FROMUS presta un servicio dirigido a empresas y profesionales que contratan con el Estado. El servicio no está dirigido a menores de edad y FROMUS no recolecta de manera consciente datos personales de menores. Si se advierte que se han recolectado datos de un menor sin la debida autorización, se procederá a su supresión.

19. Vigencia y modificaciones

Esta Política rige a partir del 16 de junio de 2026. Las bases de datos administradas por FROMUS tendrán la vigencia necesaria para cumplir las finalidades descritas.

FROMUS podrá modificar esta Política en cualquier momento. Los cambios se publicarán en https://www.fromus.tech con indicación de su fecha de actualización. Cuando un cambio modifique de forma sustancial el Tratamiento de los datos obtenidos de las API de Google, FROMUS lo notificará al Usuario y solicitará su consentimiento antes de aplicar el nuevo uso.

20. Aceptación y contacto

Al utilizar el sitio y la plataforma de FROMUS, el Titular declara conocer y aceptar esta Política de Tratamiento de Datos Personales.

Para cualquier consulta, solicitud o reclamo relacionado con sus datos personales, el Titular puede comunicarse con FROMUS al correo datos@fromus.tech o a la dirección Carrera 83 A No. 48 B B 81, Apartamento 109, Medellín, Antioquia, Colombia.