Política de Privacidad

El responsable del tratamiento de los datos personales recolectados a través de la plataforma es Omar A. Cuadros León, persona natural domiciliada en la República de Colombia, quien opera el servicio bajo el nombre comercial Kreium.

Cualquier comunicación oficial relacionada con el tratamiento de datos personales, ejercicio de derechos o solicitudes asociadas al presente documento, deberá dirigirse al correo electrónico contacto@kreium.com, dispuesto como canal único de atención al titular.

1.1. Naturaleza jurídica del documento: Política de Tratamiento y Aviso de Privacidad

La presente Política de Privacidad constituye, de manera simultánea: (i) la Política de Tratamiento de Información de Kreium, exigida por el artículo 13 del Decreto 1377 de 2013 y por la Ley 1581 de 2012; y (ii) el Aviso de Privacidad formal previsto en el artículo 10 del Decreto 1377 de 2013, mediante el cual se comunica al titular, con anterioridad o como máximo al momento de la recolección de los datos personales, la existencia de las políticas aplicables, las finalidades del tratamiento, los derechos que le asisten y los medios dispuestos para conocer el contenido íntegro de las mismas.

En consecuencia, el usuario reconoce que, al diligenciar el formulario de registro y aceptar este documento mediante la marcación de la casilla correspondiente, recibe en forma previa, expresa, clara e informada la información exigida por la normatividad colombiana de protección de datos personales.

La presente Política de Privacidad se rige por la Ley 1581 de 2012 (Régimen General de Protección de Datos Personales), el Decreto 1377 de 2013 (reglamentario de la Ley 1581 de 2012), la Ley 1266 de 2008 (Habeas Data financiero, en lo aplicable) y demás disposiciones concordantes vigentes en la República de Colombia.

De forma complementaria, la prestación del servicio se enmarca en la normatividad colombiana sobre Tecnologías de la Información y las Comunicaciones (TIC) y de la sociedad de la información, en particular la Ley 1341 de 2009 (Ley de TIC) y la Ley 1978 de 2019, que la modifica y actualiza el marco institucional del sector. La Ley 527 de 1999 (comercio electrónico y mensajes de datos) y el Decreto 2364 de 2012 (firma electrónica) resultan igualmente aplicables a la relación electrónica entre Kreium y el usuario, según lo previsto en los Términos y Condiciones.

La autoridad competente para vigilar el cumplimiento de la normatividad de protección de datos personales es la Superintendencia de Industria y Comercio (SIC), a través de su Delegatura para la Protección de Datos Personales. La Superintendencia de Industria y Comercio es, asimismo, la autoridad de protección al consumidor conforme a la Ley 1480 de 2011, en lo que resulte aplicable a los servicios digitales prestados por Kreium.

Las transferencias internacionales de datos hacia países cuya legislación no garantice estándares equivalentes a los colombianos —como ocurre con los proveedores localizados en los Estados Unidos de América— se realizan con fundamento en el consentimiento expreso e informado del titular, otorgado al aceptar esta política y los Términos y Condiciones, conforme al artículo 26 de la Ley 1581 de 2012.

Kreium recopila únicamente los datos personales estrictamente necesarios para la prestación del servicio. Estos se agrupan en las siguientes categorías:

3.1. Datos de registro

Nombre y apellidos, institución educativa o entidad a la cual se encuentra vinculado el usuario, correo electrónico, contraseña y calendario escolar (A o B). La contraseña se almacena exclusivamente bajo un esquema de cifrado unidireccional (hash bcrypt) y no es accesible en texto plano ni siquiera por el personal de Kreium.

3.2. Datos de uso

Planes de área cargados por el usuario, documentos pedagógicos generados a través de la plataforma (planes de aula, talleres, evaluaciones, guías didácticas, planes de apoyo, PIAR y demás), historial de generaciones realizadas, así como la fecha y hora de los accesos al servicio.

3.3. Datos de pago

Kreium no almacena datos de tarjetas de crédito, débito ni cuentas bancarias. Los datos relacionados con los medios de pago son recolectados y procesados directamente por MercadoPago a través de su pasarela, conforme a sus propios términos, políticas de privacidad y estándares de seguridad PCI-DSS.

3.4. Datos técnicos

Información de sesión necesaria para la autenticación y el funcionamiento del servicio (tokens JWT generados por Supabase Auth) e información básica del dispositivo (navegador, tipo de plataforma). Estos datos se utilizan exclusivamente con fines operativos y de seguridad; no se emplean para perfilamiento publicitario.

Los datos personales serán tratados con las siguientes finalidades, las cuales son aceptadas por el titular al registrarse y hacer uso del servicio:

• Crear, administrar y dar mantenimiento a la cuenta del usuario.
• Prestar el servicio de generación asistida por inteligencia artificial de documentos pedagógicos.
• Gestionar pagos, suscripciones, facturación y demás procesos económicos asociados a los planes contratados.
• Enviar comunicaciones operativas (confirmaciones, notificaciones de generación, alertas de cuenta, cambios en los términos o en la política de privacidad).
• Atender solicitudes de soporte técnico y consultas del usuario.
• Cumplir las obligaciones legales aplicables, incluyendo las derivadas de la normatividad tributaria, contractual y de protección de datos.
• Mejorar la calidad, estabilidad y experiencia de la plataforma a partir de métricas agregadas y anonimizadas, sin identificación individual del titular.

Para la prestación del servicio, Kreium se apoya en proveedores especializados que actúan en calidad de encargados del tratamiento. El usuario reconoce y autoriza de forma expresa el acceso de los siguientes terceros a sus datos personales, conforme al artículo 26 de la Ley 1581 de 2012:

• Supabase Inc. (Estados Unidos de América) — proveedor de la infraestructura de base de datos, autenticación y Storage. Almacena los datos del usuario en servidores con cifrado en tránsito (TLS) y cifrado en reposo. La transferencia internacional se realiza con fundamento en el consentimiento expreso del titular.
• Anthropic PBC (Estados Unidos de América) — provee los modelos de lenguaje (Claude) utilizados para la generación de documentos. El contenido pedagógico se transmite de forma segura mediante su API. Conforme a sus términos de uso comerciales, Anthropic no almacena de forma persistente los datos transmitidos ni los emplea para entrenar sus modelos.
• MercadoPago S.A. (operación en Colombia, casa matriz en Argentina) — pasarela de pago. Actúa como responsable independiente respecto de los datos financieros del usuario, sujeto a sus propias políticas y al estándar de seguridad PCI-DSS.

Kreium no vende, arrienda ni comparte datos personales con terceros con fines comerciales, publicitarios o de perfilamiento.

En los planes institucionales, el administrador o representante de la institución contratante podrá visualizar la actividad agregada de los docentes vinculados al plan (número de generaciones, generaciones disponibles, documentos generados). Esta información es de carácter interno a la institución contratante y se limita a lo necesario para administrar el plan.

Kreium ofrece, de forma opcional, una integración con la cuenta de Google del usuario para que pueda guardar los documentos generados en su propio Google Drive y enviarlos por correo desde su propia cuenta de Gmail. La conexión se realiza mediante el protocolo estándar OAuth 2.0 y solo se activa cuando el usuario lo autoriza explícitamente desde la sección Conectores del panel.

5.1.1. Permisos (scopes) que solicita Kreium y para qué se usan

El uso que Kreium hace de la información obtenida mediante las APIs de Google se ajusta de manera estricta a la Google API Services User Data Policy, incluidos los Limited Use requirements. Los permisos solicitados son:

• https://www.googleapis.com/auth/drive.file — Permite a Kreium crear en el Google Drive del usuario únicamente los archivos PDF que la propia plataforma genera (planes de aula, talleres, evaluaciones, guías, PIAR, etc.) cuando el usuario solicita explícitamente la acción "Guardar en Drive". Bajo este permiso restringido, Kreium no puede leer, modificar ni eliminar ningún otro archivo preexistente del Drive del usuario.
• https://www.googleapis.com/auth/gmail.send — Permite a Kreium enviar un correo electrónico desde la cuenta del usuario únicamente cuando este pulsa la acción "Enviar por Gmail" y aprueba el destinatario y el contenido. Kreium no lee, no busca, no modifica ni elimina correos del buzón del usuario, ni accede a su bandeja de entrada, borradores, etiquetas o configuraciones.
• https://www.googleapis.com/auth/userinfo.email y openid — Permiten a Kreium identificar la cuenta de Google que el usuario acaba de conectar (correo y un identificador estable) para mostrarla en la UI ("Conectado como nombre@gmail.com") y asociarla a su perfil. No se recolectan datos adicionales del perfil de Google.

5.1.2. Limited Use — Uso limitado de los datos de Google

Kreium declara expresamente que el uso y la transferencia hacia cualquier otra aplicación de la información recibida de las APIs de Google se ajustarán a la Google API Services User Data Policy, incluyendo los requisitos de Limited Use. En particular, Kreium no:

• Usa los datos de Drive o Gmail para servir publicidad o hacer perfilamiento.
• Vende, alquila ni transfiere los datos obtenidos a terceros, intermediarios de datos ni redes publicitarias.
• Permite que personas humanas lean estos datos, salvo (i) con consentimiento expreso del usuario para resolver un caso de soporte, (ii) por motivos de seguridad (p. ej. investigar abuso), (iii) para cumplir la ley aplicable, o (iv) cuando los datos hayan sido agregados y anonimizados con fines de operación interna.
• Usa los datos para entrenar modelos de inteligencia artificial generales o de terceros.

5.1.3. Almacenamiento y seguridad de los tokens OAuth

Los tokens de acceso y de refresco emitidos por Google se almacenan en la base de datos de Kreium cifrados con AES-256-GCM, en una tabla protegida por políticas de Row Level Security (RLS). La clave de cifrado se gestiona como secreto del servidor y no se expone al cliente. Kreium nunca accede a los servicios de Google desde el navegador del usuario; todas las llamadas se realizan servidor-a-servidor.

5.1.4. Revocación del acceso

El usuario puede desconectar su cuenta de Google en cualquier momento desde la sección Conectores del panel de Kreium. Al hacerlo, Kreium revoca el token frente a Google (oauth2.googleapis.com/revoke) y elimina los tokens cifrados de su base de datos. Adicionalmente, el usuario puede revocar el acceso directamente desde su cuenta de Google en myaccount.google.com/permissions.

• Documentos generados: se eliminan automáticamente del almacenamiento 24 horas después de su generación, mediante un proceso programado de eliminación (cron). Esta política reduce la exposición de los materiales pedagógicos del usuario.
• Planes de área cargados: permanecen almacenados mientras la cuenta del usuario se encuentre activa, ya que son la base para la generación de documentos.
• Datos de cuenta: se conservan durante la vigencia de la relación contractual. El titular puede solicitar la supresión inmediata de su cuenta y de todos sus datos personales desde la sección “Perfil”de la plataforma, mediante la opción “Eliminar mi cuenta” de la zona de peligro. La eliminación se ejecuta en tiempo real, sin períodos de gracia ni retención posterior por parte de Kreium.
• Datos tras la eliminación de la cuenta: al confirmar la eliminación se borran de forma permanente e irreversible el perfil, los planes de área, los documentos generados, los archivos en los buckets de almacenamiento y el usuario en el sistema de autenticación. Kreium no conserva respaldos ni copias de la información eliminada. Los registros transaccionales (facturas y comprobantes de pago) podrán conservarse únicamente durante los plazos exigidos por la normatividad tributaria y comercial colombiana, de manera disociada cuando sea técnicamente posible.
• Marco normativo de la supresión: el procedimiento descrito da cumplimiento al derecho de supresión previsto en el artículo 8, literal e), de la Ley 1581 de 2012 y, en lo aplicable, al derecho al olvido del artículo 17 del Reglamento General de Protección de Datos (GDPR) de la Unión Europea.

Kreium implementa medidas técnicas, administrativas y humanas razonables para preservar la confidencialidad, integridad y disponibilidad de los datos personales:

• Cifrado en tránsito: todas las comunicaciones entre el usuario y la plataforma se realizan sobre HTTPS/TLS.
• Cifrado en reposo: gestionado por la infraestructura de Supabase tanto para la base de datos como para el almacenamiento de archivos.
• Autenticación: uso de tokens JWT de corta duración mediante Supabase Auth; las contraseñas se almacenan exclusivamente como hashes unidireccionales (bcrypt).
• Control de acceso granular: políticas de Row Level Security (RLS) en PostgreSQL que garantizan que cada usuario solo pueda acceder a sus propios datos.
• Almacenamiento privado: el bucket documentos y demás recursos de Storage se configuran como privados; no son accesibles públicamente.
• Sin almacenamiento de datos financieros: Kreium no guarda en sus servidores datos de tarjeta del titular; estos son procesados directamente por MercadoPago.

En caso de presentarse un incidente de seguridad que comprometa la confidencialidad, integridad o disponibilidad de los datos personales, Kreium notificará a los titulares afectados en un plazo máximo de setenta y dos (72) horas contadas desde el momento en que tenga conocimiento efectivo del incidente, conforme al artículo 17 literal n) de la Ley 1581 de 2012 y reportará a la SIC cuando corresponda, según el Capítulo Segundo del Título V de la Circular Única.

Conforme al artículo 8 de la Ley 1581 de 2012, el titular de los datos personales tiene los siguientes derechos:

• Conocer en todo momento los datos personales que Kreium tiene sobre él.
• Actualizar y rectificar sus datos cuando sean inexactos, incompletos o se encuentren desactualizados, ya sea desde su perfil o mediante solicitud escrita.
• Suprimir sus datos personales y solicitar la eliminación de su cuenta, salvo cuando exista obligación legal de conservación.
• Revocar la autorización de tratamiento previamente otorgada, lo que implicará la cancelación del servicio.
• Solicitar prueba de la autorización otorgada para el tratamiento.
• Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) cuando considere que sus derechos han sido vulnerados.

Para ejercer cualquiera de estos derechos, el titular deberá escribir al correo contacto@kreium.com con el asunto "Derechos de datos personales", identificando claramente su solicitud. Kreium responderá dentro de los diez (10) días hábiles siguientes a la recepción de la solicitud, plazo que podrá prorrogarse hasta por cinco (5) días hábiles adicionales cuando la complejidad del caso lo amerite, informando al titular las razones de la demora, conforme a los artículos 14 y 15 de la Ley 1581 de 2012.

Kreium utiliza únicamente las cookies técnicas estrictamente necesarias para el funcionamiento de la autenticación y el mantenimiento de sesión del usuario (tokens emitidos por Supabase Auth). Estas cookies son indispensables para que la plataforma funcione y, por lo tanto, no requieren consentimiento adicional al de la presente política.

Kreium no utiliza cookies de seguimiento, analítica de terceros, retargeting, ni publicidad comportamental. Tampoco integra píxeles de redes sociales ni herramientas de perfilamiento publicitario.

El servicio está dirigido exclusivamente a docentes, directivos docentes y personal educativo mayor de edad. Kreium no recopila intencionalmente datos personales de menores de edad.

Si Kreium detecta que se ha registrado una cuenta a nombre de un menor, procederá a eliminar la cuenta y los datos asociados sin previo aviso. Padres, madres o representantes legales que adviertan dicha situación pueden notificarlo a contacto@kreium.com para gestionar la eliminación inmediata.

Kreium podrá actualizar la presente Política de Privacidad cuando lo considere necesario para reflejar cambios en la operación del servicio, en la normatividad aplicable o en las mejores prácticas de protección de datos.

Los cambios relevantes serán notificados al usuario por correo electrónico con una antelación mínima de siete (7) días calendario a su entrada en vigor. El uso continuado del servicio después de la notificación implicará la aceptación tácita de la política actualizada. Si el usuario no está de acuerdo, podrá ejercer su derecho de revocación de la autorización y solicitar la cancelación de su cuenta.

Para cualquier consulta, solicitud o reclamación relacionada con el tratamiento de sus datos personales, el titular puede dirigirse a:

contacto@kreium.com
kreium.com

Autoridad de control: Superintendencia de Industria y Comercio (SIC) — Delegatura para la Protección de Datos Personales — www.sic.gov.co.