Política de Tratamiento de Datos Personales

• Razón social: BoletoPass — Jose Daniel Rojas Serrano
• NIT / Cédula: 1.098.726.149
• Domicilio: Carrera 18 #88-72, Bucaramanga, Santander, Colombia
• Correo: datos@boletopass.com
• Sitio web: https://boletopass.com

BoletoPass actúa con un doble rol según el dato:

• Responsable respecto a los datos de las personas que crean cuenta en la plataforma (titulares de organizaciones, administradores y operadores).
• Encargado respecto a los datos de los asistentes a eventos que cada organización cliente registra. La organización contratante es la Responsable y BoletoPass se limita a procesar los datos según sus instrucciones y conforme a esta política.

Los datos personales se tratan para:

1. Crear, mantener y gestionar la cuenta del usuario en la plataforma.
2. Autenticar el acceso al sistema (incluyendo autenticación en dos pasos).
3. Procesar pagos de suscripción mediante terceros autorizados (Mercado Pago).
4. Generar credenciales con código QR para asistentes a eventos.
5. Registrar accesos en puntos de control mediante escaneo.
6. Enviar comunicaciones transaccionales: confirmaciones, recordatorios, recuperación de contraseña.
7. Cumplir obligaciones legales, contables y fiscales en Colombia.
8. Atender solicitudes de los titulares (consulta, rectificación, supresión, revocatoria, reclamo).
9. Generar estadísticas internas agregadas y anonimizadas para mejorar el servicio.

De usuarios del sistema: nombre completo, correo electrónico, teléfono, cargo, contraseña (cifrada).

De asistentes a eventos (suministrados por organizaciones clientes): nombre, correo, teléfono, documento de identidad (cuando aplique), empresa, categoría asignada.

Generados por uso: dirección IP, registros de acceso, fecha y hora de eventos del sistema.

BoletoPass no solicita datos sensibles en el sentido del Art. 5 de la Ley 1581/2012 (origen racial, orientación política, vida sexual, datos biométricos, etc.). Si una organización cliente requiere capturarlos, debe obtener consentimiento expreso por su cuenta.

La recolección sólo ocurre tras la autorización expresa, libre, previa e informada del titular. Al crear cuenta o registrarse como asistente, el titular marca una casilla específica que constituye su consentimiento.

Cada autorización se almacena con: fecha y hora, dirección IP, versión de esta política vigente al momento del consentimiento, y la finalidad específica para la cual se otorgó.

El consentimiento puede revocarse en cualquier momento desde el portal /habeas-data.

• Consulta: conocer qué datos tenemos y cómo los tratamos.
• Rectificación: corregir datos inexactos, incompletos o desactualizados.
• Supresión: solicitar eliminación cuando ya no sea necesaria la conservación.
• Revocatoria: retirar la autorización otorgada.
• Portabilidad: recibir los datos en formato estructurado (JSON).
• Reclamo: presentar queja por presunto uso indebido.
• Acceder gratuitamente a los datos al menos una vez al mes.
• Ser informado sobre el uso dado a los datos cuando lo solicite.

Las solicitudes se atienden a través del portal boletopass.com/habeas-data o por correo a datos@boletopass.com.

Plazos legales (días hábiles):

• Consultas: 10 días hábiles, prorrogables 5 más con justificación.
• Reclamos: 15 días hábiles, prorrogables 8 más con justificación.

Para verificación de identidad, el titular acredita con documento válido o copia.

BoletoPass utiliza proveedores tecnológicos ubicados fuera de Colombia. Esto implica transferencia internacional con las siguientes garantías (cláusulas contractuales tipo y/o certificaciones SOC 2 / GDPR):

Al aceptar esta política, el titular autoriza expresamente estas transferencias bajo el Art. 26 de la Ley 1581/2012.

• Cifrado en tránsito (TLS 1.3) y en reposo (AES-256 a nivel de proveedor).
• Aislamiento por organización mediante Row Level Security en la base de datos.
• Autenticación opcional en dos pasos (TOTP) para administradores.
• Bloqueo de contraseñas filtradas (HaveIBeenPwned).
• Auditoría de accesos a recursos sensibles.
• Copias de respaldo cifradas y procedimiento de recuperación.
• Acceso interno restringido por roles y trazable.

Los datos se conservan mientras la cuenta esté activa y por el plazo necesario para cumplir obligaciones legales (contables: 5 años; tributarias: lo aplicable). Tras la terminación, el titular puede solicitar la supresión; BoletoPass elimina los datos en máximo 30 días, salvo conservación obligatoria por ley.

Las organizaciones pueden eliminar su cuenta desde el panel: se inicia un período de gracia de 30 días, tras el cual los datos se borran de forma permanente.

BoletoPass usa cookies estrictamente necesarias para mantener la sesión iniciada y preservar preferencias (organización activa, idioma). No usamos cookies de publicidad ni de seguimiento de terceros.

BoletoPass no recolecta datos de menores de 14 años de forma directa. Si una organización cliente registra asistentes menores, debe contar previamente con el consentimiento del representante legal y respetar los derechos prevalentes del menor (Sentencia T-260/12, Corte Constitucional).

Esta política rige desde el 2026-05-26. Cualquier modificación sustancial será comunicada por correo electrónico a los titulares registrados con al menos 10 días hábiles de anticipación. Las versiones anteriores quedan archivadas y disponibles a solicitud.

Sin perjuicio de los canales internos, el titular puede acudir a la Superintendencia de Industria y Comercio (SIC) — Delegatura para la Protección de Datos Personales, como autoridad de control en Colombia. Sitio: www.sic.gov.co.