Resumen en 30 segundos
- Procesamos tu cédula y selfie para verificar tu identidad — luego las eliminamos
- No vendemos, no compartimos, no usamos tus datos para publicidad
- Tu DID y hash criptográficos van en blockchain pública — son anónimos
- Puedes eliminar todo en cualquier momento escribiéndonos
- Cumplimos Ley 1581/2012 (Colombia) y GDPR (usuarios europeos)
Responsable del tratamiento
El responsable del tratamiento de datos personales en el marco de IdentidadLibre es:
| Campo | Información |
|---|---|
| Nombre | Johana Niño Abella — TokenIDS S.A.S. |
| Domicilio | Bogotá D.C., Colombia |
| Correo electrónico | johana.nino.abella@gmail.com |
| Sitio web | identidadlibre.org |
| Naturaleza jurídica | Investigación académica (TFM de maestría) bajo TokenIDS S.A.S. |
IdentidadLibre es el Servicio 1 del ecosistema TokenIDS, completamente independiente del Servicio 2 (tokenización inmobiliaria). Esta política aplica exclusivamente al Servicio 1.
Datos personales que recopilamos
Recopilamos únicamente los datos estrictamente necesarios para el proceso de verificación de identidad:
| Dato | Tipo | Cómo se obtiene | Se almacena permanentemente |
|---|---|---|---|
| Foto cédula (frente) | Biométrico — imagen | Carga manual por el usuario | No — se elimina tras procesamiento |
| Foto cédula (reverso) | Biométrico — imagen | Carga manual por el usuario | No — se elimina tras procesamiento |
| Selfie en tiempo real | Biométrico — imagen | Cámara del dispositivo | No — se elimina tras procesamiento |
| Nombre completo | Identificativo | Extraído de la cédula por IA | Sí — en sistemas de IdentidadLibre |
| Número de cédula | Identificativo | Extraído de la cédula por IA | Sí — en sistemas de IdentidadLibre |
| Fecha de nacimiento | Identificativo | Extraído de la cédula por IA | Sí — en sistemas de IdentidadLibre |
| Correo electrónico | Contacto | Formulario de registro | Sí — para comunicaciones del servicio |
| Wallet address (DID) | Técnico — seudónimo | Generada automáticamente | Sí — en blockchain (inmutable) |
| Hash ZKP edad | Técnico — criptográfico | Generado automáticamente | Sí — en blockchain (inmutable) |
| Hash ZKP KYC | Técnico — criptográfico | Generado automáticamente | Sí — en blockchain (inmutable) |
Tratamiento especial de datos biométricos
Los datos biométricos (fotos de cédula y selfie) son clasificados como datos sensibles bajo el Art. 5 de la Ley 1581/2012 y la Circular Externa 002/2015 de la SIC. Su tratamiento requiere y tiene autorización explícita mediante el Consentimiento Informado I-12.
¿Qué pasa exactamente con tus fotos?
Las imágenes de tu cédula y tu selfie son enviadas a la API de OpenAI (GPT-4o Vision) para extracción de datos y verificación facial. Este procesamiento ocurre en los servidores de OpenAI, no en los nuestros. Una vez completada la verificación (proceso de segundos), las imágenes no son almacenadas por IdentidadLibre. OpenAI procesa las imágenes bajo sus propias políticas de privacidad, disponibles en openai.com/privacy.
La base legal para el tratamiento de datos biométricos es el consentimiento explícito e informado del titular, conforme al Art. 6 de la Ley 1581/2012 y el Art. 9 del GDPR para usuarios en territorio europeo.
Finalidades del tratamiento
Los datos personales recopilados se usan exclusivamente para las siguientes finalidades:
| Finalidad | Base legal |
|---|---|
| Verificar la identidad del titular mediante cédula colombiana y selfie | Consentimiento informado — Art. 6 Ley 1581/2012 |
| Generar el DID W3C (identificador digital soberano) del titular | Consentimiento informado — ejecución del servicio |
| Emitir la Verifiable Credential de KYC | Consentimiento informado — ejecución del servicio |
| Registrar los hash ZKP en blockchain para verificación externa | Consentimiento informado — naturaleza del protocolo |
| Monitoreo continuo de vigencia del KYC (Perpetual KYC diario) | Consentimiento informado — interés legítimo del servicio |
| Cumplimiento de obligaciones legales (SAGRILAFT, OFAC/UIAF) | Obligación legal — Ley 1762/2015 |
| Comunicaciones sobre el estado de tu SSI Passport | Consentimiento informado — ejecución del servicio |
Ningún dato será utilizado para fines de marketing, publicidad, perfilamiento comercial, o para ofrecer productos o servicios de inversión o tokenización.
Datos registrados en blockchain
Por la naturaleza del protocolo de identidad soberana (W3C DID Core 1.0), los siguientes datos se registran en la blockchain de Polygon y son permanentes e inmutables:
⚠ Carácter inmutable del blockchain — léelo con atención
Tu DID (identificador digital soberano) y los hash criptográficos de tus verificaciones quedan registrados permanentemente en la blockchain de Polygon. Esta es una característica estructural de la tecnología blockchain, no un defecto. Es lo que garantiza que tu identidad digital es verdaderamente soberana: ninguna entidad central puede modificarla.
Cuando solicites la eliminación de tu cuenta, tus datos salen de los sistemas activos de IdentidadLibre, pero los registros en blockchain permanecen. Estos registros no contienen tu nombre, tu número de cédula ni ningún dato biométrico — son hashes criptográficos que confirman que una verificación ocurrió, sin revelar quién eres.
Contratos en Polygon Amoy Testnet que almacenan datos públicos:
| Contrato | Dirección | Qué almacena |
|---|---|---|
| TokenIDSDIDRegistry | 0x4356aecd4aa898f3f83dd3674d0cf70753e50568 | Tu DID (wallet address anónima) |
| AgeVerifier (ZKP) | 0x744ec2d0aafd3be5dcd3ba79da71192a78dc6284 | Hash de prueba de mayoría de edad |
| KYCVerifier (ZKP) | 0x74e7b7e4be2b3943037d34adb3015bb50772228e | Hash de verificación KYC completa |
Procesadores externos de datos
| Proveedor | Datos compartidos | Finalidad | País |
|---|---|---|---|
| OpenAI (GPT-4o Vision) | Fotos de cédula y selfie (temporalmente) | Extracción de datos y verificación facial | EE.UU. |
| OpenSanctions | Nombre completo y número de cédula | Screening OFAC/UIAF contra listas de sanciones | Alemania |
| Polygon (blockchain) | DID y hash ZKP | Registro inmutable — no hay control por parte de IdentidadLibre | Descentralizado |
Para transferencias internacionales de datos a OpenAI (EE.UU.), IdentidadLibre aplica las salvaguardias del Art. 26 de la Ley 1581/2012 y las Cláusulas Contractuales Estándar requeridas bajo GDPR para usuarios europeos.
Lo que nunca haremos con tus datos
- Vender tus datos personales a terceros bajo ninguna circunstancia
- Compartir tu información con empresas de marketing o publicidad
- Usar tus datos para publicidad dirigida o perfilamiento comercial
- Guardar las fotos originales de tu cédula o selfie en nuestros servidores
- Redirigirte hacia servicios de inversión o tokenización sin consentimiento explícito separado
- Transferir tu identidad a otra empresa sin notificarte y obtener tu autorización
- Usar tus datos para entrenar modelos de inteligencia artificial propios
Esta política de cero uso comercial de los datos es pública y versionada en nuestro repositorio de GitHub como POLICY.md.
Tus derechos ARCO (Ley 1581/2012)
- Acceso: Tienes derecho a conocer qué datos personales tenemos sobre ti en cualquier momento.
- Rectificación: Tienes derecho a solicitar la corrección de datos inexactos o incompletos.
- Cancelación / Supresión: Tienes derecho a solicitar la eliminación de tus datos cuando ya no sean necesarios. Atendemos en un máximo de 72 horas hábiles para los datos en nuestros sistemas activos.
- Oposición: Tienes derecho a oponerte al tratamiento de tus datos en cualquier momento, incluso cuando el tratamiento sea legítimo.
- Revocación del consentimiento: Puedes revocar el consentimiento otorgado en cualquier momento. La revocación no afecta la licitud del tratamiento anterior.
- Portabilidad: Tienes derecho a recibir tus datos en formato estructurado y legible por máquina. Tu DID puede exportarse directamente desde la blockchain.
Para ejercer cualquiera de estos derechos, escribe a johana.nino.abella@gmail.com con el asunto "Derechos ARCO — IdentidadLibre". Respondemos en un máximo de 10 días hábiles.
Menores de edad
IdentidadLibre no procesa datos de personas menores de 18 años. El proceso de verificación incluye una prueba criptográfica de mayoría de edad (AgeVerifier.sol con ZKP Groth16) que impide técnicamente el registro de menores.
Si en algún caso excepcional datos de un menor llegan a nuestros sistemas, serán eliminados de inmediato al detectarse. Si eres padre, madre o tutor y tienes conocimiento de que un menor ha enviado datos a IdentidadLibre, contáctanos de inmediato en johana.nino.abella@gmail.com.
Usuarios en territorio europeo (GDPR)
Para usuarios ubicados en la Unión Europea o el Espacio Económico Europeo, aplican adicionalmente los siguientes derechos bajo el Reglamento (UE) 2016/679 (GDPR):
| Derecho GDPR | Artículo | Aplicación en IdentidadLibre |
|---|---|---|
| Derecho al olvido | Art. 17 | Eliminación de datos en sistemas activos en 72h. Los hash en blockchain son técnicamente inmutables. |
| Protección de datos biométricos | Art. 9 | Base legal: consentimiento explícito. Implementado en I-12. |
| Portabilidad de datos | Art. 20 | DID exportable directamente desde blockchain. |
| Limitación del tratamiento | Art. 18 | Puedes solicitar la suspensión del tratamiento mientras se resuelve una reclamación. |
| Reclamación ante autoridad de control | Art. 77 | Puedes reclamar ante la autoridad de protección de datos de tu país de residencia. |
El tratamiento de datos de usuarios europeos se basa en el consentimiento explícito (Art. 6.1.a GDPR) y, para datos biométricos, en el Art. 9.2.a GDPR.
Períodos de retención de datos
| Dato | Período de retención | Razón |
|---|---|---|
| Fotos de cédula y selfie | Eliminación inmediata tras verificación | No hay razón para conservarlas |
| Nombre, cédula, fecha nacimiento | Vigencia de la cuenta + 5 años | Obligación SAGRILAFT (Ley 1762/2015) |
| Correo electrónico | Vigencia de la cuenta | Comunicaciones del servicio |
| DID y hash ZKP (blockchain) | Permanente — inmutable por diseño | Naturaleza de la tecnología blockchain |
| Logs de verificación | 5 años | Cumplimiento SAGRILAFT y trazabilidad |
Contacto, quejas y autoridad de control
Canal principal de contacto
Para ejercer derechos ARCO, formular preguntas sobre esta política o reportar cualquier incidente de privacidad:
johana.nino.abella@gmail.com
Asunto: "Privacidad — IdentidadLibre" · Respuesta en máximo 10 días hábiles.
Autoridad de control — Colombia
Si no estás satisfecho con nuestra respuesta, puedes presentar una queja ante la Superintendencia de Industria y Comercio (SIC):
www.sic.gov.co · Teléfono: (601) 592-0400
Esta política puede actualizarse. Los cambios sustanciales se notificarán por correo electrónico con al menos 15 días de anticipación. La versión vigente siempre estará disponible en identidadlibre.org/privacidad.html.