Legal — Patuu

1. Identificación del Responsable

Patuu es una plataforma digital (PWA + app móvil) que conecta dueños de mascotas con veterinarias, peluquerías, tiendas y fundaciones, y ofrece un sistema de reconocimiento visual por IA para ayudar a localizar mascotas perdidas. Mientras se completa la constitución como Patuu S.A.S. en la Cámara de Comercio de Bogotá, el Responsable del Tratamiento es:

Nombre completo	Jhojan Steven Cortés Méndez
Tipo de persona	Persona natural
Documento	C.C. 1.000.777.636
Dirección	Diagonal 57C Sur N.° 69A-60, Torre 2, Apto 210, Bogotá D.C., Colombia
Correo Habeas Data	privacidad@patuu.app
Oficial de Protección de Datos	Jhojan Steven Cortés Méndez — privacidad@patuu.app

Marco legal: Ley 1581 de 2012 · Decreto 1377 de 2013 · Decreto 090 de 2018 · Circular Externa 002 de 2015 de la SIC y demás normas concordantes.

Una vez inscrita Patuu S.A.S., actualizaremos esta sección con razón social, NIT y matrícula mercantil, notificando a los titulares con mínimo 15 días de anticipación.

2. Qué datos recolectamos

2.1 Del dueño de mascota

Nombre, correo, contraseña (hash), celular/WhatsApp opcional.
Ubicación aproximada (ciudad/barrio) y, con tu autorización, geolocalización precisa.
Foto de perfil (opcional) y preferencias de comunicación.

2.2 De la mascota

Nombre, especie, raza, sexo, fecha de nacimiento, color y señas particulares.
Fotografías para perfil público, feed social y sistema de reconocimiento.
Embeddings biométricos generados por DINOv2 a partir de las fotos (dato sensible derivado — ver Sección 7).
Historial médico: vacunas, medicamentos activos, alergias, peso, condiciones crónicas y archivos.
Estado: activa, en adopción, perdida, fallecida o transferida.

2.3 De aliados (vets, peluquerías, tiendas, fundaciones)

Razón social, NIT o cédula, dirección, teléfono, licencias sanitarias y profesionales.
Datos bancarios o de MercadoPago para liquidaciones y comisión del marketplace.

2.4 De reportantes sin cuenta (finders)

Quien reporta una mascota en los flujos /reportar, /emergencia o al escanear un QR en modo pérdida puede compartirnos foto, ubicación (con permiso) y un canal de contacto que decida. No creamos cuenta a su nombre ni le enviamos correos de marketing.

2.5 Datos de pago

No almacenamos números completos de tarjeta (PAN). Todo se tokeniza con MercadoPago. Guardamos solo: últimos 4, marca, vencimiento, token y alias.

2.6 Datos técnicos y de uso

IP, user-agent, identificador de dispositivo, logs de acceso, eventos de seguridad y cookies (ver Política de Cookies).

3. Para qué los usamos (finalidades)

Crear, autenticar y mantener tu cuenta.
Construir el perfil público de tu mascota (feed, fotos, likes, seguidores).
Gestionar historial médico y recordatorios de vacunación.
Operar el sistema de mascotas perdidas (QR, IA, avistamientos, chat y, si lo activas, canales de contacto público — ver Sección 7-ter).
Generar y comparar embeddings biométricos (DINOv2) para hacer coincidencias.
Permitir agendamiento, cobro y liquidación de citas con aliados.
Gestionar adopciones y transferencias de perfil entre dueños.
Enviar notificaciones transaccionales y de seguridad.
Con tu autorización separada: enviarte comunicaciones comerciales.
Cumplir obligaciones legales, contables y tributarias.
Prevenir fraude y abuso.

No usamos tus datos para entrenar modelos de IA externos, vender tu información ni hacer perfilamiento publicitario de datos sensibles.

4. Base legal

Consentimiento expreso, previo e informado (Art. 9, Ley 1581); ejecución de contrato; cumplimiento legal; e interés legítimo en seguridad y prevención de fraude. Para datos sensibles exigimos consentimiento explícito y específico.

5. Menores de edad

Patuu no está dirigida a menores de 18 años. Si detectamos una cuenta de menor, la suspendemos salvo autorización expresa del representante legal.

6. Imagen y contenido (UGC)

Al publicar fotos, texto o videos nos otorgas una licencia no exclusiva, mundial, gratuita y limitada para alojarlos y mostrarlos dentro del servicio, incluyendo ampliar el alcance de una mascota perdida para maximizar el reencuentro. Casos de éxito (#PatuuReencuentro, #PatuuManada) requieren autorización específica y previa por cada caso.

6-bis. Consentimiento para datos sensibles (Art. 6, Ley 1581)

Para datos sensibles (biométricos y de salud) aplicamos los cuatro requisitos acumulativos que exige la Ley:

Consentimiento explícito y específico por cada finalidad.
Te informamos en el momento que es un dato sensible.
No estás obligado a responder: puedes negarte y seguir usando el núcleo del servicio.
Te informamos la finalidad específica y tus derechos ARCO-S.

7. IA biométrica (DINOv2)

Cuando subes fotos, el sistema extrae un vector numérico (embedding) que describe rasgos visuales únicos del animal. No es una foto reconstruible; es un conjunto de números usado únicamente para comparar mascotas perdidas con halladas dentro de Patuu.

Por analogía con datos biométricos humanos, Patuu lo trata como dato sensible y exige consentimiento explícito específico al activar la IA.

Puedes revocarlo en cualquier momento desde Configuración → Privacidad → IA de perdidas; al hacerlo eliminamos los embeddings y la mascota deja de ser elegible para matching, aunque su perfil se conserva.

7-bis. Acceso al historial médico — modelo gradual

El historial clínico de tu mascota es dato sensible y se protege en tres niveles:

Nivel 0 — Información pública

Visible para cualquier persona que consulte el perfil: nombre, especie, raza, color, señas, foto, estado de búsqueda y el código de serial impreso bajo el QR. No se muestran datos médicos.

Nivel 1 — Ficha de emergencia (Art. 6 lit. a)

Tú la activas desde Mi mascota → Ficha de emergencia. Sólo contiene información crítica para atender una urgencia:

Alergias críticas.
Condiciones que comprometen la vida.
Medicación que no se puede interrumpir.
Tipo de sangre.
Notas breves del dueño.

Se muestra al personal veterinario autenticado cuando consulta a tu mascota en el Portal Vet por su serial. Base legal: Art. 6 lit. a de la Ley 1581 — interés vital del titular. Es opcional: si no la activas, el vet no ve nada médico.

Nivel 2 — Historial clínico completo (consentimiento explícito)

Diagnósticos, SOAP, prescripciones, peso, vacunas y archivos de otras clínicas sólo se muestran si autorizas expresamente:

La clínica solicita el acceso desde su Portal.
Te enviamos un correo con el nombre de la clínica, el profesional, el motivo y el plazo pedido.
Abres el link y revisas.
Autorizas o rechazas. Si autorizas, se crea un permiso con fecha de expiración precisa.
Puedes revocar en cualquier momento desde Mi mascota → Accesos médicos.

Fuera de esa ventana y sin tu autorización, ninguna clínica puede leer el historial. Está bloqueado a nivel de base de datos por Row Level Security.

7-ter. Canales de contacto públicos en mascotas perdidas

De forma opcional y bajo consentimiento expreso, previo, específico e informado (Art. 9, Ley 1581), puedes elegir que tu WhatsApp, teléfono o correo aparezcan como botón de contacto directo en la página pública de tu mascota cuando sea escaneada por QR o reconocida por IA.

Privacidad por defecto: ningún canal se publica si tú no lo activas. La autorización dada al registrarte no cubre esta finalidad.
Visibilidad mínima: por defecto los canales sólo se muestran mientras la mascota esté marcada como perdida. Puedes desactivar este filtro bajo tu responsabilidad.
Revelado bajo registro: los datos no aparecen en HTML plano. Quien encuentre a tu mascota debe tocar "Mostrar contacto"; cada revelado se audita (IP hasheada, user-agent, timestamp).
Anti-abuso: aplicamos límite de 10 revelados por hora por IP y mascota.
Revocación inmediata: desde Mi mascota → Contacto público puedes desactivar cualquier canal en cualquier momento.
Auto-ocultamiento: al marcar a tu mascota como encontrada, los canales dejan de mostrarse automáticamente.

Base legal: consentimiento expreso del titular para la finalidad específica de facilitar el reencuentro. Puedes ejercer tus derechos ARCO-S en cualquier momento (Sección 13).

8. Reportantes sin cuenta

Antes de enviar un reporte, mostramos un aviso claro. La geolocalización solo se captura si la persona autoriza. La foto y ubicación se usan únicamente para conectar con el dueño o para el matching de IA durante 90 días, tras lo cual se anonimizan. El reportante puede pedir eliminación inmediata a privacidad@patuu.app.

9. Con quién compartimos datos

9.1 Encargados

Encargado	Servicio	País
Supabase Inc.	Base de datos, Auth, Storage	EE. UU. / UE
Vercel Inc.	Hosting y edge functions	EE. UU.
Modal Labs Inc.	IA (DINOv2 embeddings)	EE. UU.
Resend Inc.	Correo transaccional	EE. UU.
MercadoPago Colombia S.A.S.	Procesamiento de pagos	Colombia / Argentina

9.2 Terceros autorizados (Responsables independientes)

Veterinarias, peluquerías, tiendas y fundaciones acceden a datos cuando existe relación de servicio. Firman un Contrato de Tratamiento de Datos con Patuu. En adopciones, la transferencia del perfil al nuevo dueño requiere autorización expresa de ambos.

9.3 Autoridades

Compartimos datos con autoridades judiciales, policiales o administrativas cuando exista orden legal válida.

9.4 Nunca

No vendemos datos. No compartimos el historial médico con anunciantes. No cedemos embeddings biométricos.

10. Transferencia internacional

Algunos encargados procesan los datos fuera de Colombia. Aplicamos cláusulas contractuales estándar y medidas técnicas (cifrado en tránsito TLS 1.3, en reposo AES-256). Al aceptar esta política autorizas expresamente esta transferencia (Art. 26, Ley 1581).

11. Seguridad

Cifrado TLS 1.3 en tránsito y AES-256 en reposo para archivos sensibles.
Row Level Security (RLS) en Supabase con políticas por rol.
Tokenización PCI-DSS vía MercadoPago — nunca vemos el PAN.
Hashing Argon2id para contraseñas.
Webhooks firmados e idempotentes.
Auditoría de accesos sensibles mínimo 2 años.
Revisión periódica de dependencias y protocolo de incidentes con notificación a la SIC cuando aplique.

12. Conservación

Categoría	Periodo
Cuenta activa	Mientras esté activa
Cuenta eliminada	30 días en papelera + 30 días en backups
Historial médico	Vida de la cuenta + 5 años
Embeddings biométricos	Hasta que revoques el consentimiento
Reportes de hallazgo	90 días identificables · luego anonimizados
Logs de acceso	2 años
Datos fiscales	10 años (Estatuto Tributario)

13. Tus derechos (ARCO-S)

Conocer, actualizar y rectificar tus datos.
Consultar gratuitamente al menos una vez al mes.
Solicitar prueba de la autorización otorgada.
Ser informado del uso dado a tus datos.
Revocar la autorización y solicitar la supresión.
Acceder gratis a tus datos.
Presentar quejas ante la SIC.

Ejerce tus derechos desde Configuración → Privacidad → Mis datos o escribiendo a privacidad@patuu.app.

Procedimiento de consultas (Art. 14, Decreto 1377)

Respondemos en 10 días hábiles. Si necesitamos más tiempo, te informamos motivo y fecha nueva (máx. 5 días hábiles adicionales).

Procedimiento de reclamos (Art. 15, Decreto 1377)

Presentación: envía el reclamo con identificación, descripción, dirección para notificaciones y documentos de respaldo.
Acuse de recibo: en 24 horas hábiles te confirmamos con un número de radicado.
Completitud: si falta información te pedimos completar en 2 días hábiles; si no lo haces en 5 días, archivamos.
Leyenda "reclamo en trámite": marcamos el registro afectado durante el proceso.
Resolución: 15 días hábiles desde el reclamo completo (máx. 8 días adicionales con motivo).
Respuesta: por el mismo canal por el que entró.
Recurso ante la SIC: si no quedas satisfecho, puedes acudir a la Superintendencia de Industria y Comercio una vez agotado el trámite interno.

14. Cookies

Consulta la Política de Cookies.

15. Cambios

Los cambios sustanciales se notifican con al menos 15 días de anticipación. Si la ley lo exige, pediremos nueva autorización.

16. Autoridad de control

Superintendencia de Industria y Comercio (SIC) — Delegatura para la Protección de Datos Personales. Carrera 13 N° 27-00, Bogotá D.C. · habeasdata@sic.gov.co · sic.gov.co