Maloca · Documento legal

Política de tratamiento de datos personales
Habeas Data — Ley 1581 de 2012

Versión: 2026-05-01 Última actualización: 2026-05-11 Aplica a: maloca.marduk.pro

Resumen ejecutivo: Maloca, como plataforma institucional de la Rama Judicial de Colombia, trata sus datos personales con base en la Ley 1581 de 2012. Usted tiene derecho a acceder, corregir, suprimir y oponerse al tratamiento de sus datos. Para ejercer cualquier derecho, escríbanos a admin@marduk.pro. Si no obtenemos respuesta en 15 días hábiles puede presentar queja ante la Superintendencia de Industria y Comercio (SIC).

1 Identificación del responsable del tratamiento

Entidad responsable	Dirección Ejecutiva de Administración Judicial (DEAJ) — Unidad de Transformación Digital e Innovación (UTDI), Rama Judicial de Colombia
Plataforma	Maloca Digital — Banco de Soluciones para la Transformación Judicial
Dominio	maloca.marduk.pro
Correo de contacto para datos	admin@marduk.pro
Área designada (Art. 13, Decreto 1377/2013)	Unidad de Transformación Digital e Innovación — UTDI
Ciudad	Bogotá D.C., Colombia

2 Marco normativo aplicable

El tratamiento de datos personales en Maloca se rige por las siguientes normas, en orden jerárquico:

Artículo 15 de la Constitución Política de Colombia (1991) — Derecho fundamental al habeas data y a la intimidad personal.
Ley Estatutaria 1581 de 2012 — Régimen general de protección de datos personales. Regula la recolección, almacenamiento, uso, circulación y supresión de datos de personas naturales.
Decreto Reglamentario 1377 de 2013 — Reglamenta la Ley 1581. Define formas válidas de autorización, contenido mínimo de la política, procedimientos de atención al titular y transmisión internacional de datos.
Decreto Único Reglamentario 1074 de 2015 — Compila los decretos reglamentarios del sector. Capítulos 25 y 26: protección de datos y Registro Nacional de Bases de Datos (RNBD).
Decreto 090 de 2018 — Inscripción obligatoria de bases de datos de entidades públicas en el RNBD ante la SIC.
Ley 270 de 1996 (Estatutaria de Administración de Justicia) — Regula los plazos de conservación de datos procesales en la Rama Judicial.
Ley 2300 de 2023 ("Ley Dejen de Fregar") — Protección frente a comunicaciones publicitarias no solicitadas. Aplica si Maloca envía boletines o notificaciones opcionales.
Circular Externa 001 de 2024 (SIC) — Instrucciones para entidades vigiladas sobre protección del consumidor digital.
Guía Oficial de Protección de Datos Personales (SIC, 2023) — Referencia técnica de la autoridad de control para el cumplimiento de la Ley 1581.

3 Definiciones clave (Art. 3, Ley 1581 de 2012)

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato sensible: Dato que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación: origen racial o étnico, orientación política, convicciones religiosas, datos de salud, vida sexual, datos biométricos o datos de menores de edad.
Dato público: Dato que no es semiprivado, privado ni sensible. Ejemplo: nombre, profesión, cargo público, condición de comerciante.
Titular: La persona natural cuyos datos personales son objeto de tratamiento. En Maloca: los usuarios registrados y los visitantes que interactúen con la plataforma.
Responsable del tratamiento: La entidad que decide sobre la finalidad, el contenido y el uso del tratamiento. En Maloca: la DEAJ-UTDI.
Encargado del tratamiento: Persona natural o jurídica que realiza el tratamiento por cuenta del responsable (p. ej. proveedor de hosting, servicios de IA en la nube).
Tratamiento: Cualquier operación sobre datos personales: recolección, almacenamiento, uso, circulación, supresión, etc.
Autorización: Consentimiento previo, expreso e informado del titular para tratar sus datos.
Aviso de privacidad: Comunicación al titular sobre la existencia de la política de tratamiento y las finalidades, cuando la política completa no puede entregarse en el momento de la recolección.

4 Tipos de datos personales que tratamos

Maloca recolecta y trata las siguientes categorías de datos:

4.1 Datos de registro e identificación

Nombre completo y correo electrónico (obligatorios para crear cuenta).
Organización o entidad, cargo o rol judicial (opcionales, enriquecen el perfil).
Fotografía de perfil (opcional, proporcionada por el usuario).
Contraseña almacenada mediante función hash irreversible (bcrypt); nunca en texto plano.

4.2 Datos de autenticación y seguridad

Tokens de sesión (marduk_session) y mecanismos de doble factor (TOTP, OTP, magic link, backup codes) para proteger el acceso a la cuenta.
Registro de intentos de inicio de sesión y eventos de seguridad (audit log).

4.3 Datos de navegación y técnicos

Dirección IP de origen, agente de usuario (navegador / dispositivo), geolocalización aproximada a nivel de ciudad.
Páginas visitadas, búsquedas realizadas, hora y duración de las sesiones.
Identificador de visitante anónimo (maloca_vid, cookie de 90 días) para usuarios no registrados.
Datos de rendimiento y errores generados automáticamente por la plataforma.

4.4 Datos de interacción y contenido publicado

Soluciones, recursos, guías, fragmentos de código y archivos cargados a la plataforma.
Comentarios, valoraciones y reseñas sobre soluciones publicadas.
Consultas realizadas al asistente de inteligencia artificial (Maloca AI). Los mensajes de chat se conservan en forma de resumen para mantener el contexto de la conversación y no se comparten con terceros.
Participación en foros, eventos y campañas institucionales.

Datos sensibles: Maloca no solicita deliberadamente datos sensibles (salud, origen étnico, orientación política o sexual). Si el usuario los incluye voluntariamente en publicaciones o mensajes, los tratamos con la misma reserva aplicable a cualquier otro dato personal y el usuario asume la responsabilidad de su divulgación.

5 Finalidades del tratamiento (Art. 4 lit. b, Ley 1581 de 2012)

Sus datos se usan exclusivamente para las siguientes finalidades determinadas, explícitas y legítimas:

Finalidad	Base jurídica
Crear, gestionar y autenticar su cuenta de usuario en la plataforma.	Ejecución del servicio / consentimiento
Publicar, catalogar y recomendar soluciones de transformación judicial.	Función pública institucional
Personalizar la experiencia: sugerencias de contenido, asistente IA con memoria de contexto.	Consentimiento / interés legítimo
Enviar notificaciones del servicio: actualizaciones de cuenta, avisos de seguridad, respuestas a solicitudes.	Ejecución del servicio
Enviar comunicaciones institucionales opcionales (boletines, convocatorias). Solo con consentimiento explícito y con mecanismo de baja gratuito (Ley 2300/2023).	Consentimiento
Garantizar la seguridad, integridad y disponibilidad de la plataforma; detectar y prevenir fraudes o abusos.	Obligación legal / interés legítimo
Generar métricas agregadas y anonimizadas para reportes institucionales de la DEAJ.	Función pública institucional
Cumplir obligaciones legales de la Rama Judicial: trazabilidad de auditoría, conservación de registros (Ley 270 de 1996).	Obligación legal
Gestionar solicitudes de habeas data (acceso, rectificación, supresión) y atender quejas.	Obligación legal

Sus datos no se venden, ni se ceden a terceros con fines comerciales. Las transferencias a encargados del tratamiento (proveedores de hosting, servicios de IA) se realizan mediante contratos que garantizan el mismo nivel de protección exigido por la ley colombiana.

6 Base jurídica del tratamiento

El tratamiento de sus datos se fundamenta en alguna de las siguientes bases, según la operación específica (Art. 9 y 10, Ley 1581 de 2012):

Consentimiento libre, previo, expreso e informado (Art. 9): Al registrarse, el usuario marca el checkbox de aceptación de esta política. Cada consentimiento registra la versión vigente del documento y la fecha de aceptación.
Cumplimiento de función pública (Art. 10 lit. c): Cuando el tratamiento es necesario para el ejercicio de las funciones legales de la Rama Judicial, no se requiere autorización adicional del titular; sin embargo, se respetan íntegramente los principios del Art. 4 de la Ley 1581 (Concepto SIC: "Excepción en Ley 1581 exige respetar principios de tratamiento").
Obligación legal o regulatoria: Para los registros de auditoría y conservación de logs exigidos por la normativa de la administración de justicia.

7 Derechos del titular (Art. 8, Ley 1581 de 2012)

Como titular de datos personales, usted tiene los siguientes derechos, todos gratuitos y ejercibles en cualquier momento:

Acceso (Conocer)

Obtener información gratuita y completa sobre los datos suyos que estamos tratando, su origen, las finalidades del tratamiento y a quiénes han sido transferidos. (Art. 8 lit. a)

Rectificación (Actualizar / Corregir)

Solicitar la corrección de datos inexactos, incompletos, fraccionados o que induzcan a error. (Art. 8 lit. b)

Cancelación (Supresión)

Solicitar la eliminación de sus datos cuando no sean necesarios para la finalidad declarada, hayan sido obtenidos sin autorización válida, o haya vencido el plazo de tratamiento. La supresión total implica la eliminación de su cuenta. (Art. 8 lit. c)

Oposición

Oponerse al tratamiento de sus datos cuando no exista base jurídica legítima para ello o cuando el tratamiento vulnere sus derechos fundamentales. (Art. 8 lit. f)

Revocatoria del consentimiento

Revocar su autorización en cualquier momento y por cualquier medio, de manera total o parcial (por finalidad específica). La revocatoria no tiene efecto retroactivo. (Art. 8 lit. f + Decreto 1377, Art. 5)

Prueba de autorización

Solicitar prueba de la autorización que nos otorgó y la versión de la política vigente al momento de aceptarla. (Art. 8 lit. d)

Información sobre el uso

Ser informado del uso que hemos dado a sus datos personales. (Art. 8 lit. e)

Queja ante la SIC

Presentar queja ante la Superintendencia de Industria y Comercio (SIC) si considera que sus derechos fueron vulnerados, después de agotar el trámite directo ante Maloca (requisito de procedibilidad, Art. 16). Ver Sección 9. (Art. 8 lit. g)

8 Procedimiento para ejercer sus derechos

8.1 Canal de contacto

Envíe su solicitud al correo admin@marduk.pro con asunto: "Solicitud habeas data — [tipo de derecho]".

Su solicitud debe incluir:

Nombre completo y correo de la cuenta registrada en Maloca.
Descripción clara del derecho que desea ejercer y los datos a los que se refiere.
Copia de documento de identidad (solo si lo solicitamos para verificar la titularidad).
Si actúa como apoderado: poder o documento que acredite la representación.

8.2 Plazos de respuesta (Arts. 14 y 15, Ley 1581 de 2012)

Tipo de solicitud	Plazo ordinario	Prórroga máxima	Total máximo
Consulta — ejercicio del derecho de acceso (Art. 14)	10 días hábiles	+ 5 días hábiles	15 días hábiles
Reclamo — rectificación, supresión, oposición, revocatoria (Art. 15)	15 días hábiles	+ 8 días hábiles	23 días hábiles

Si la solicitud está incompleta, le notificaremos dentro de los primeros 5 días hábiles para que aporte la información faltante. Si no lo hace en el plazo indicado, se entenderá desistida. Las prórrogas se informarán antes del vencimiento del plazo ordinario, con justificación.

Marcación "reclamo en trámite": Una vez recibido un reclamo completo, lo registraremos como "reclamo en trámite" en nuestra base de datos dentro de los 2 días hábiles siguientes, y esta anotación se mantendrá hasta su resolución (Art. 15, Ley 1581 de 2012).

9 Contacto con la Superintendencia de Industria y Comercio (SIC)

Si después de agotar el trámite ante Maloca (requisito de procedibilidad del Art. 16, Ley 1581) considera que sus derechos no fueron atendidos adecuadamente, puede presentar queja ante la Delegatura para la Protección de Datos Personales de la SIC:

Sede electrónica (preferido)	sedeelectronica.sic.gov.co — Trámite: "Denuncia por incumplimiento a disposiciones de habeas data"
Línea gratuita nacional	018000 910165
Línea local Bogotá	(601) 592 0400
Horario de atención	Lunes a viernes, 8:00 a.m. – 6:00 p.m.
Dirección física	Carrera 13 N.° 27-00, pisos 1-10, Bogotá D.C.
Sitio web oficial	www.sic.gov.co

10 Cookies y tecnologías de rastreo

Maloca utiliza las siguientes tecnologías en el navegador del usuario:

Tecnología / Cookie	Proveedor	Finalidad	Duración
`marduk_session`	Maloca (propio)	Autenticación y gestión de sesión. Esencial para el funcionamiento.	Sesión / 30 días si "Recordarme"
`maloca_vid`	Maloca (propio)	Identificador anónimo de visitante no registrado para contextualizar el asistente IA y el saludo único. No vincula a identidad real.	90 días
Google Analytics (`_ga`, `_gid`)	Google LLC	Análisis de uso agregado y anónimo de la plataforma. No permite identificar usuarios individuales. Datos enviados a servidores de Google (EE. UU.). Ver Política de privacidad de Google.	2 años / 24 h
reCAPTCHA v3	Google LLC (recaptcha.net)	Verificación antispam en formularios de registro y contacto. Analiza el comportamiento de navegación para calcular una puntuación de riesgo. Datos enviados a servidores de Google.	Sesión

El usuario puede configurar su navegador para rechazar cookies; sin embargo, la desactivación de marduk_session impide el inicio de sesión. Las cookies de análisis y reCAPTCHA pueden bloquearse con extensiones de navegador sin afectar el funcionamiento principal.

11 Transferencias internacionales de datos

Algunos de los servicios que utiliza Maloca procesan datos en servidores fuera de Colombia (Arts. 24-26, Decreto 1377 de 2013). En todos los casos se han verificado garantías contractuales o regímenes de protección equivalentes:

Servicios de inteligencia artificial (modelos de lenguaje): Las consultas al asistente Maloca AI pueden transitar por infraestructura de proveedores en la nube con servidores en EE. UU. y Europa. Los mensajes se transmiten por canales cifrados TLS y no se utilizan para entrenar modelos de terceros.
Google Analytics y reCAPTCHA: Datos de navegación a servidores de Google LLC (EE. UU.), sujetos a las Cláusulas Contractuales Estándar de la Unión Europea y al Marco de Privacidad de Datos UE-EE. UU.
Servicio de correo transaccional: Los correos de notificación se envían desde servidores configurados bajo el dominio marduk.pro con registros SPF, DKIM y DMARC. No se ceden listas de destinatarios a terceros.

Maloca no transfiere datos personales a países que no cuenten con niveles adecuados de protección, salvo mediante contratos que garanticen dicho nivel conforme a los estándares de la SIC.

12 Medidas de seguridad (Art. 4 lit. g, Ley 1581 de 2012)

Maloca implementa las siguientes medidas técnicas, humanas y administrativas para proteger sus datos:

Cifrado en tránsito

Todas las comunicaciones usan HTTPS con TLS 1.2/1.3. Certificados renovados automáticamente.

Contraseñas protegidas

Las contraseñas se almacenan con hash bcrypt. Nunca en texto plano. Políticas de contraseña robusta.

Doble factor de autenticación (2FA)

Disponible para todos los usuarios: TOTP, OTP por correo, magic link y códigos de respaldo cifrados con AES-256-GCM.

Auditoría de acciones

Registro inmutable de acciones sensibles (login, cambios de datos, moderación). Conservado mínimo 2 años.

Análisis de contenido

Los archivos cargados son analizados por el pipeline de auditoría: ClamAV, heurísticas de webshell y listas de bloqueo, antes de su publicación.

Pentest externo periódico

Auditorías de ciberseguridad externas con publicación del informe. Última puntuación: 100/100 (mayo 2026).

A pesar de estas medidas, ningún sistema es infalible. En caso de un incidente de seguridad que afecte sus datos personales, le notificaremos conforme a las disposiciones legales aplicables y a la SIC cuando corresponda.

13 Tratamiento de datos de menores de edad (Art. 7, Ley 1581 de 2012)

Maloca es una plataforma institucional orientada a funcionarios, empleados y colaboradores de la Rama Judicial y del ecosistema de justicia, todos mayores de edad. No recolectamos deliberadamente datos de menores de 18 años.

Si un menor se registra sin autorización de su representante legal, el representante puede solicitarnos la eliminación inmediata de la cuenta y todos sus datos escribiendo a admin@marduk.pro. Atenderemos la solicitud de forma prioritaria en un plazo máximo de 5 días hábiles.

14 Propiedad intelectual y cesión de derechos sobre contribuciones

Al publicar contenido en Maloca (soluciones, código, guías, recursos, comentarios, etc.), el usuario:

Conserva la autoría y los derechos morales sobre su contribución. Su nombre aparecerá en los créditos de la publicación.
Cede a la DEAJ una licencia no exclusiva, gratuita, irrevocable y de alcance global para reproducir, adaptar, distribuir, exhibir y comunicar públicamente la contribución, dentro y fuera de la plataforma, con fines no comerciales y de servicio público judicial.
Garantiza que la contribución es de su autoría original o que cuenta con los derechos necesarios para cederla en estos términos, y que no infringe derechos de terceros.
Acepta que la contribución pueda ser revisada, validada y certificada por el equipo curador (UTDI) mediante el sello de madurez institucional antes de su publicación destacada.

Licencia de código fuente

Cuando la contribución incluya código fuente, el autor debe declarar la licencia de software al publicar. Si no se declara ninguna, se asumirá licencia MIT como mínimo institucional, compatible con el uso libre dentro de la Rama Judicial.

Retiro de contribuciones

El autor puede solicitar el retiro de una contribución publicada escribiendo a admin@marduk.pro. El retiro aplica hacia futuro y no afecta copias ya distribuidas legítimamente bajo la licencia vigente al momento de la distribución.

15 Vigencia de la política y de las bases de datos

Vigencia de la política

Esta política rige desde el 1 de mayo de 2026 y permanece vigente hasta que sea reemplazada por una versión posterior. Cualquier actualización significativa se notificará mediante aviso en la plataforma con al menos 15 días de anticipación.

Vigencia de las bases de datos

Datos de cuenta activa: mientras la cuenta permanezca activa.
Datos de auditoría y seguridad (audit_log): mínimo 2 años, conforme a las obligaciones de trazabilidad de la administración de justicia (Ley 270 de 1996).
Consentimientos registrados: conservados permanentemente como evidencia de la autorización otorgada (Art. 9, Ley 1581).
Contribuciones publicadas: disponibilidad histórica indefinida, salvo solicitud expresa de retiro del autor o decisión del equipo curador.

Inscripción en el RNBD

Las bases de datos de Maloca están inscritas en el Registro Nacional de Bases de Datos (RNBD) de la SIC, conforme al Decreto 090 de 2018. La actualización anual se realiza antes del 31 de enero de cada año.

Nota de revisión jurídica: Este documento ha sido elaborado en conformidad con la Ley 1581 de 2012 y sus decretos reglamentarios vigentes a mayo de 2026. La versión definitiva con plena vigencia institucional será emitida y suscrita por la Dirección Jurídica de la Rama Judicial. Los consentimientos ya registrados conservan su validez, pues cada uno guarda la versión de la política vigente al momento de su aceptación.