Política de Tratamiento de Datos Personales
Versión 1.0 · Vigente desde el 17 de julio de 2026 · En cumplimiento de la Ley 1581 de 2012 y el Decreto 1377 de 2013
Responsable / Encargado identificado
La plataforma Taxon es operada por Hayver Andres Davila Lozada, persona natural, identificado con cédula de ciudadanía No. 8.026.260, domiciliado en Medellín, Colombia. Correo de contacto y canal de protección de datos: hayver.davila@taxon.co.
1. Roles: Responsable y Encargado
1.1. Respecto de los datos de los Clientes finales, el Usuario (contador) es el Responsable del Tratamiento y Taxon actúa como Encargado, tratando esos datos por cuenta e instrucción del Usuario. Esto incluye los datos que el Cliente final entrega directamente a través del Portal del Cliente, el cual opera por instrucción del Usuario que generó el enlace.
1.2. Respecto de los datos de la cuenta del propio Usuario (registro, facturación), Taxon es el Responsable.
2. Definiciones
Se adoptan las definiciones de la Ley 1581 de 2012 (Titular, Tratamiento, Responsable, Encargado, Dato personal, Dato sensible, entre otras).
3. Datos que tratamos
(a) Del Usuario (contador): nombre, correo, teléfono celular (verificado por SMS cuando la verificación esté activa), rol; NIT, tarjeta profesional, plan contratado e historial de pagos (sin números completos de tarjeta); y datos de uso y registro técnico (dirección IP, tipo de navegador y metadatos de acceso) que la infraestructura procesa de forma inevitable para operar y asegurar el servicio.
(b) De los Clientes finales (por cuenta del Usuario):
- Identificación: nombre, cédula/NIT, tipo de documento, género, correo, teléfono, notas del contador.
- Clave de acceso al portal MUISCA de la DIAN (ver §8 sobre su protección específica).
- Datos de la declaración: año gravable, información de exógena, cédulas calculadas (trabajo, honorarios, capital, no laboral, pensiones, dividendos), resumen del cálculo, impuesto, saldo a favor e inputs editados.
- Extractos bancarios: entidad, número de cuenta (almacenado enmascarado, solo los últimos 4 dígitos), saldos, período y el resumen fiscal extraído mediante inteligencia artificial.
- Documentos cargados (certificados, exógena, extractos) en almacenamiento seguro.
- Respuestas y documentos que el Cliente final entrega directamente a través del Portal del Cliente.
4. Finalidades
Prestar el servicio de elaboración de declaraciones de renta; procesar y calcular la información tributaria; extraer datos de documentos mediante IA; gestionar la cuenta, la facturación y el soporte; enviar comunicaciones operativas y recordatorios; prevenir el fraude y el abuso; y cumplir obligaciones legales.
5. Autorización y datos de terceros
El Usuario, como Responsable, garantiza que obtuvo la autorización de sus Clientes finales para el tratamiento de sus datos por parte de Taxon como Encargado, incluida la transferencia internacional descrita en el §7. Si una autoridad requiere prueba de la autorización de un Cliente final, corresponde al Usuario aportarla. Taxon facilita un modelo de autorización sugerido sin que su uso sea obligatorio.
6. Subprocesadores (Encargados que Taxon utiliza)
Para prestar el servicio, Taxon se apoya en proveedores que tratan datos por su cuenta, exigiéndoles medidas de seguridad equivalentes:
| Proveedor | Función | Ubicación de los datos |
|---|---|---|
| Supabase (AWS) | Base de datos, autenticación y almacenamiento | EE.UU. |
| Vercel | Alojamiento de la aplicación | EE.UU. |
| Resend | Envío de correos transaccionales | EE.UU. |
| Google Cloud / Vertex AI | Extracción de datos de documentos (IA) | EE.UU. |
| Twilio (vía Supabase Auth) | Envío de códigos SMS para verificación de teléfono | EE.UU. |
| Wompi | Procesamiento de pagos | Colombia |
Taxon podrá incorporar proveedores adicionales, incluidos proveedores de inteligencia artificial, comprometiéndose a exigirles niveles de protección equivalentes; los cambios relevantes se reflejarán en esta Política.
7. Transferencia internacional de datos
El Tratamiento implica la transferencia y almacenamiento de datos en los Estados Unidos por parte de los subprocesadores indicados. El Usuario la autoriza expresamente mediante la casilla de autorización de datos del registro y, respecto de sus Clientes finales, garantiza contar con la autorización correspondiente (§5), conforme al artículo 26 de la Ley 1581 de 2012.
8. Medidas de seguridad
- Aislamiento de datos entre Usuarios mediante seguridad a nivel de fila (RLS) en todas las tablas: un contador nunca puede ver datos de otro.
- Cifrado en tránsito (HTTPS) y en reposo (cifrado del almacenamiento de la base de datos).
- Clave MUISCA: se almacena con cifrado reversible de campo (la llave se custodia en una bóveda separada de la base de datos) y solo puede ser revelada por el Usuario propietario mediante una acción explícita. Se trata como dato de altísima confidencialidad. Es cifrado reversible —no un hash— porque el Usuario necesita recuperarla para ingresar al MUISCA; la contraseña de acceso a Taxon, en cambio, sí se almacena de forma irreversible.
- Enmascaramiento de datos personales en extractos (solo se conservan los últimos 4 dígitos de la cuenta), aplicado de forma determinista sobre lo que devuelva la IA.
- Acceso operativo: el acceso a los datos por parte de Taxon se limita a lo estrictamente necesario para soporte, facturación, seguridad y operación de la Plataforma, y queda registrado en una bitácora de auditoría.
El acceso a la cuenta se realiza con correo y contraseña. Taxon no ofrece, por ahora, un segundo factor de autenticación (2FA) para el inicio de sesión; la verificación de teléfono por SMS es una medida antifraude, no un segundo factor.
9. Retención de datos
9.1. Taxon conserva los datos mientras la cuenta del Usuario esté activa. Una cuenta que no se usa entre temporadas sigue activa y no se elimina por ese solo hecho.
9.2. Baja solicitada (derecho de supresión): si el Usuario solicita eliminar su cuenta, sus datos se eliminan en un plazo no mayor a 30 días, con las excepciones del §11.
9.3. Inactividad prolongada:
- Cuentas que nunca han tenido una activación paga: podrán eliminarse tras 14 meses sin actividad.
- Cuentas con al menos una activación paga en su historia: podrán eliminarse tras 24 meses sin actividad.
En ambos casos, Taxon enviará un aviso previo con al menos 30 días de anticipación al correo del Usuario, invitándolo a reactivar la cuenta (basta iniciar sesión) y a exportar su información antes de la eliminación. Estos plazos contemplan la naturaleza estacional y anual del servicio.
10. Derechos del Titular y canal de habeas data
Los Titulares pueden ejercer sus derechos de conocer, actualizar, rectificar y suprimir sus datos y revocar la autorización. Tratándose de datos de Clientes finales, la solicitud se dirige en primer lugar al Usuario (contador) como Responsable, quien la traslada a Taxon si aplica.
Canal: hayver.davila@taxon.co. Plazos legales:
- Consultas: máximo 10 días hábiles (prórroga hasta 5 días hábiles) — Art. 14 Ley 1581.
- Reclamos: máximo 15 días hábiles (prórroga hasta 8 días hábiles) — Art. 15 Ley 1581.
El Titular puede presentar quejas ante la Superintendencia de Industria y Comercio (SIC).
11. Supresión, eliminación y excepciones
11.1. El Usuario puede eliminar directamente un Cliente final o una declaración desde la Plataforma; esta acción borra en cascada las declaraciones, documentos y archivos asociados, con la excepción del numeral 11.4.
11.2. La eliminación de la cuenta completa del Usuario se solicita al canal hayver.davila@taxon.co y se ejecuta en un plazo no mayor a 30 días (§9.2). La eliminación de una cuenta borra en cascada únicamente los datos de esa cuenta; no afecta a otros Usuarios.
11.3. Registros de pago. Los registros de las transacciones de pago se conservan tras la baja por el término exigido por la normativa contable y tributaria aplicable a los soportes del prestador, desvinculados o anonimizados respecto del resto de la cuenta eliminada.
11.4. Registro de comunicaciones (evidencia profesional). Taxon conserva un registro mínimo de las comunicaciones enviadas (fecha, tipo, destinatario, cliente y año gravable) como evidencia profesional del Usuario, análogo a sus papeles de trabajo. Este registro subsiste al borrado de la declaración o del Cliente final y se elimina con la cuenta del Usuario.
11.5. Copias de seguridad. Los datos eliminados pueden persistir en copias de seguridad cifradas por un período limitado adicional, hasta su rotación natural; durante ese período no se usan para ningún tratamiento activo.
12. Datos sensibles
Taxon no solicita ni requiere datos sensibles como campos de la Plataforma. Los documentos de soporte que el Usuario o sus Clientes finales carguen pueden contener incidentalmente datos sensibles (por ejemplo, certificados de discapacidad de dependientes exigidos por la normativa tributaria, o información que revele convicciones religiosas en soportes de donaciones); estos se tratan exclusivamente como soporte documental de la declaración, bajo las mismas medidas reforzadas de seguridad, y su autorización corresponde al Usuario como Responsable (§5).
13. Menores de edad
La Plataforma no está dirigida a menores como Usuarios. Los datos de menores que un Usuario cargue como parte de una declaración (por ejemplo, dependientes o declarantes representados) se tratan bajo la responsabilidad del Usuario como Responsable, quien garantiza contar con la autorización del representante legal correspondiente.
14. Vigencia y cambios de la Política
Esta Política rige desde su publicación. Los cambios materiales se notificarán por la Plataforma y/o correo y requerirán re-aceptación cuando corresponda.