Esta política explica qué datos personales recopila Surco, por qué los necesitamos, con quién los compartimos y qué control tienes sobre ellos. La escribimos para que puedas leerla, no para protegernos ocultando información en lenguaje legal.
Versión
2.0
Fecha de vigencia
13 de junio de 2026
Aplica a
Surco para Android e iOS
Regulación principal
Ley 1581 de 2012 (Colombia)
Sección 1
Responsable del tratamiento
Surco es desarrollada y operada por Diego Sanabria, con sede en Colombia. Cuando usas la app, Diego Sanabria actúa como responsable del tratamiento de tus datos personales en el sentido de la Ley 1581 de 2012 y el Decreto 1377 de 2013. Para usuarios en la Unión Europea o el Reino Unido, también actúa como responsable del tratamiento en el sentido del RGPD (Reglamento General de Protección de Datos, UE 2016/679).
Puedes contactarnos sobre cualquier asunto de privacidad en privacidad@surco.app. Respondemos todas las solicitudes dentro de los 15 días hábiles siguientes a su recepción.
Sección 2
Datos que recopilamos
Solo recopilamos los datos que necesitamos para ofrecerte las funciones de Surco. A continuación te explicamos exactamente qué recopilamos y por qué.
Datos que tú nos proporcionas directamente
Cuenta
Dirección de correo electrónico y credenciales de acceso, gestionadas por Firebase Authentication de Google. Nunca almacenamos tu contraseña en texto plano.
Base: consentimiento
Datos de finca y cultivo
Nombre de la finca, descripción, área, cultivos, variedades, etapas fenológicas, lotes, coordenadas geoespaciales (polígonos GeoJSON) y registros de labores agrícolas que creas en la app.
Base: ejecución del contrato
Datos pecuarios
Información del hato bovino y porcino: identificación de animales, eventos reproductivos, vacunaciones, registros de peso y condición corporal, aforos de pastura y métricas de producción.
Base: ejecución del contrato
Cumplimiento EUDR
Polígonos geoespaciales de predios, declaraciones de no-deforestación, registros de cosecha para exportación a la Unión Europea y referencias de declaración de diligencia debida (DDS) conforme al Reglamento (UE) 2023/1115.
Base: obligación legal / ejecución del contrato
Imágenes
Fotografías de hojas, cultivos y animales que capturas o seleccionas para diagnóstico de enfermedades, análisis de clorofila (SPAD) o estimación de peso. Las imágenes analizadas on-device no salen de tu dispositivo. Las enviadas al asistente de IA en la nube son transmitidas cifradas.
Base: consentimiento
Voz
Grabaciones de voz breves para programar labores desde el widget de pantalla de inicio. El audio se procesa localmente en tu dispositivo mediante reconocimiento de voz del sistema operativo. No almacenamos ni transmitimos el audio a nuestros servidores.
Base: consentimiento
Consultas al asistente de IA
El texto que escribes en el chat agronómico y el contexto de tu finca (cultivo, lote, etapa fenológica) que la app incluye automáticamente para personalizar la respuesta. Este contenido se transmite a nuestros proveedores de IA —Anthropic y Google— para generar la respuesta.
Base: ejecución del contrato
Datos que recopilamos automáticamente
Datos de uso y analítica
Eventos de navegación dentro de la app, funciones utilizadas, duración de sesiones y errores —de forma anónima y agregada. Usamos Firebase Analytics para esto. Puedes desactivarlo desde la configuración de tu dispositivo.
Base: interés legítimo
Datos del dispositivo
Modelo del dispositivo, versión del sistema operativo (Android o iOS) e identificador anónimo de instalación. No vinculamos este identificador con tu identidad.
Base: interés legítimo
Reportes de errores
Cuando la app falla, Firebase Crashlytics registra automáticamente información técnica del error (stack trace, modelo y versión del SO). Estos reportes no contienen datos de tu finca ni información personal identificable.
Base: interés legítimo
Datos de suscripción
Estado de tu suscripción (free, pro, proTécnico) e historial de transacciones de compra en Google Play o App Store, gestionados por RevenueCat. RevenueCat recibe un identificador anónimo de usuario —no tu nombre ni correo.
Base: ejecución del contrato
Lo que no recopilamos. Surco no recopila números de documento de identidad, información de salud humana, datos financieros personales (números de tarjeta, cuentas bancarias) ni datos de menores de 14 años. Los costos agrícolas que registras son datos de tu operación y permanecen bajo tu control exclusivo.
Sección 3
Permisos del dispositivo
Surco solicita los siguientes permisos de sistema. Todos son opcionales: si los denegas, las funciones relacionadas no estarán disponibles pero el resto de la app seguirá funcionando. Puedes revocarlos en cualquier momento desde la configuración de tu dispositivo.
Ubicación precisa o aproximada. Para centrar el mapa en tu finca y asociar datos climáticos a tu ubicación. Solo se accede mientras usas la app activamente —nunca en segundo plano sin tu conocimiento.
Cámara. Para capturar fotos de hojas, cultivos o animales y analizarlas con los modelos de IA.
Galería / almacenamiento. Para seleccionar imágenes existentes de tu dispositivo y exportar reportes PDF del cuaderno de campo.
Micrófono. Exclusivamente para el widget de pantalla de inicio: permite dictar labores agrícolas por voz sin abrir la app. El audio se procesa localmente mediante el reconocimiento de voz del sistema operativo y no es transmitido a nuestros servidores.
Notificaciones push. Para enviarte alertas agronómicas contextuales —alertas fitosanitarias, recordatorios de riego, eventos fenológicos, alertas del hato— que configuraste dentro de la app.
Internet. Para sincronizar datos con la nube, consultar el pronóstico climático, acceder al asistente de IA y verificar el estado de tu suscripción.
Sección 4
Cómo usamos tus datos
Usamos tus datos exclusivamente para las siguientes finalidades:
Prestación del servicio
Almacenamos y procesamos los datos de tu finca, cultivos, hato y eventos agrícolas para mostrártelos, calcular recomendaciones (balance hídrico, GDD, índice de presión de plagas) y generar reportes. Sin estos datos, la app no puede funcionar.
Diagnóstico con inteligencia artificial
Los modelos de detección básica de enfermedades y análisis de clorofila corren directamente en tu dispositivo —las imágenes no salen de él. Cuando usas el asistente agronómico avanzado (el chat de IA), tu consulta y el contexto de tu finca se envían a los servidores de Anthropic o Google para generar la respuesta. Ambas empresas procesan estos datos bajo cifrado y, según sus términos de servicio para uso empresarial por API, no los utilizan para entrenar sus modelos.
Cumplimiento regulatorio EUDR
Si tu operación exporta a la Unión Europea, usamos los polígonos geoespaciales y los registros de cosecha que proporcionas para generar la documentación exigida por el Reglamento (UE) 2023/1115. Estos datos se conservan por un mínimo de cinco años según lo requiere dicho reglamento.
Suscripciones y pagos
Verificamos el estado de tu suscripción con RevenueCat para habilitarte las funciones correspondientes a tu plan. No procesamos directamente ningún dato de pago —eso lo gestionan Google Play, App Store y RevenueCat.
Mejora del servicio
Analizamos datos de uso anónimos y agregados para entender qué funciones son más útiles, detectar problemas de rendimiento y priorizar el desarrollo. Estos análisis no te identifican individualmente.
Lo que no hacemos. No vendemos tus datos a terceros. No usamos tu información agrícola para publicidad. No compartimos datos personales identificables sin tu consentimiento, salvo requerimiento legal expreso por autoridad competente.
Sección 5
Con quién compartimos tus datos
Compartimos datos con los siguientes proveedores de servicios. Cada uno tiene acceso únicamente a los datos que necesita para la función que cumple, y todos operan bajo acuerdos que les prohíben usar esos datos para fines distintos.
Firebase Authentication — Google LLC
Gestiona el inicio de sesión y la seguridad de tu cuenta. Google procesa tu correo electrónico y dirección IP durante la autenticación. No tiene acceso a tus datos de finca.
Datos compartidos: correo electrónico, dirección IP durante autenticación.
Base de datos en la nube donde se sincronizan tus fincas, lotes, eventos agrícolas, datos pecuarios y registros EUDR. Los servidores pueden estar en EE.UU. o la Unión Europea según la región de tu cuenta.
Datos compartidos: toda la información que sincronizas con la nube desde la app.
Procesa tus consultas al asistente agronómico avanzado cuando el modelo Claude está activo. Cuando escribes en el chat, tu mensaje y el contexto de finca que la app incluye automáticamente —nombre de cultivo, lote, etapa fenológica— se envían a los servidores de Anthropic en EE.UU. Las imágenes que adjuntas al chat también son procesadas por Anthropic. Según los términos de la API de Anthropic, los datos no se usan para entrenar modelos.
Datos compartidos: texto de tu consulta, contexto de finca (cultivo, lote, etapa), imágenes cuando se adjuntan al chat.
Alternativa al asistente de IA cuando el modelo Google Gemini está activo. Igual que con Anthropic, tu consulta y contexto de finca se envían a los servidores de Google. Según los términos de la API de Gemini para uso empresarial, los datos no se usan para entrenar modelos sin consentimiento explícito.
Datos compartidos: texto de tu consulta, contexto de finca, imágenes cuando se adjuntan al chat.
Todas las consultas al asistente de IA pasan por un servidor intermediario (proxy) que operamos sobre Google Cloud Run (producción) o Hugging Face Spaces (entorno de pruebas). Este proxy actúa como intermediario entre la app y los proveedores de IA, aplica controles de seguridad y gestiona las claves de API. No almacena el contenido de tus consultas de forma permanente. Los logs operativos se eliminan en un máximo de 30 días.
Datos en tránsito: texto de consulta, contexto de finca, imágenes adjuntas. Estos datos se reenvían cifrados a Anthropic o Google y no se conservan en el proxy.
Gestiona las suscripciones in-app y verifica las compras realizadas en Google Play o App Store. RevenueCat recibe un identificador anónimo de usuario —no tu nombre ni correo electrónico— junto con el historial de transacciones de tu suscripción.
Datos compartidos: identificador anónimo de usuario (no vinculado a tu correo), estado de suscripción, historial de compras, plataforma (Android/iOS).
Analytics recopila datos anónimos y agregados sobre el uso de funciones. Crashlytics registra reportes técnicos cuando la app falla. Ninguno de los dos accede a datos de tu finca ni a información que te identifique personalmente.
Datos compartidos: eventos de uso anónimos, modelo de dispositivo, versión de SO, stack trace de errores.
Proveedor de datos meteorológicos de código abierto, operado en Alemania bajo legislación RGPD. Cuando consultas el pronóstico, la app envía las coordenadas de tu finca para obtener el clima local. Open-Meteo no retiene datos personales según su política de uso.
Datos compartidos: coordenadas GPS de tu finca, dirección IP del dispositivo.
Proveedor de mapas de código abierto. Al visualizar el mapa de tu finca, tu dispositivo descarga imágenes de mapa (tiles) del servidor de OpenStreetMap, que puede registrar tu dirección IP.
Datos compartidos: dirección IP del dispositivo durante la visualización del mapa.
Compromisos con terceros. Evaluamos periódicamente a cada proveedor para asegurarnos de que mantiene estándares de privacidad equivalentes o superiores a los que aplican a Surco. Si incorporamos un nuevo proveedor que acceda a datos personales, actualizaremos esta política antes de activarlo.
Sección 6
Transferencias internacionales de datos
Algunos de los proveedores listados almacenan o procesan datos fuera de Colombia. La Ley 1581 de 2012 (art. 26) y el RGPD exigen que estas transferencias cuenten con garantías adecuadas. Las garantías vigentes para cada proveedor son:
Proveedor
País / región
Garantía
Google (Firebase, Firestore, Gemini, Analytics)
EE.UU. / UE según región
Cláusulas Contractuales Estándar (SCCs) · Marco de Privacidad UE-EE.UU.
Anthropic (Claude API)
EE.UU.
Términos de API con cláusulas de protección de datos · Sin entrenamiento con datos de API
Hugging Face (proxy de pruebas)
EE.UU. / UE
Datos en tránsito sin almacenamiento permanente · Política de privacidad de HF
RevenueCat
EE.UU.
Cláusulas Contractuales Estándar (SCCs) · Acuerdo de procesamiento de datos empresarial
Open-Meteo
Alemania (UE)
Operado bajo el RGPD · Sin retención de datos personales
Al aceptar esta Política de Privacidad consientes expresamente la transferencia de tus datos personales a los países indicados, bajo las garantías descritas y conforme al artículo 26 de la Ley 1581 de 2012.
Sección 7
Retención y seguridad
Por cuánto tiempo conservamos tus datos
Conservamos tus datos personales el tiempo necesario para cumplir las finalidades descritas en esta política, más los períodos adicionales que exija la ley:
Datos de cuenta y finca: mientras tu cuenta esté activa. Tras una solicitud de eliminación, se borran dentro de los 60 días hábiles siguientes.
Datos EUDR: mínimo 5 años desde la fecha de la declaración, conforme al artículo 9 del Reglamento (UE) 2023/1115.
Datos de suscripción (RevenueCat): hasta 3 años desde la última transacción, según requisitos contables y la política de RevenueCat.
Firebase Analytics: máximo 14 meses en datos anónimos agregados.
Reportes de crashes (Crashlytics): 90 días en los servidores de Firebase.
Logs del proxy de IA: eliminados en un máximo de 30 días. No se almacena el contenido de las consultas de forma permanente.
Cómo protegemos tus datos
Cifrado en tránsito. Toda comunicación entre la app y nuestros servidores usa HTTPS con TLS 1.3.
Cifrado local. La base de datos local en tu dispositivo que contiene datos sensibles (animales, eventos) está cifrada con AES-256.
Autenticación gestionada por Firebase. Las credenciales de acceso son administradas por Firebase Authentication usando mecanismos de seguridad de nivel empresarial. No almacenamos contraseñas.
Acceso basado en identidad. Las reglas de seguridad de Firestore verifican tu identidad en cada operación de lectura y escritura. Ningún otro usuario puede acceder a tus fincas.
Integridad de la app. La versión publicada en Google Play está protegida mediante Play App Signing, que garantiza que solo compilaciones auténticas de Surco pueden autenticarse con nuestros servicios.
IA on-device. Los modelos de detección básica de enfermedades y análisis de clorofila corren localmente en tu dispositivo mediante TFLite. Estas imágenes no salen del dispositivo.
Ningún sistema de seguridad es infalible. Te recomendamos usar una contraseña robusta y no compartir tu cuenta. Si detectas actividad sospechosa, escríbenos de inmediato a privacidad@surco.app.
Sección 8
Tus derechos y opciones
Tienes los siguientes derechos sobre tus datos personales. Para ejercer cualquiera de ellos, escríbenos a privacidad@surco.app con el asunto "Ejercicio de derechos – [nombre del derecho]". Responderemos dentro de los 15 días hábiles siguientes.
Acceso
Saber exactamente qué datos personales tuyos tenemos y cómo los usamos.
Rectificación
Corregir datos inexactos o incompletos. Puedes editar la mayoría directamente en la app.
Eliminación
Solicitar que borremos tu cuenta y todos los datos asociados. Los datos EUDR sujetos a obligación legal (mínimo 5 años) se conservan por ese período.
Portabilidad
Recibir una copia de tus datos en formato estructurado y legible por máquina (JSON o CSV).
Oposición
Oponerte al tratamiento de tus datos para fines de analítica o cualquier otra finalidad basada en interés legítimo.
Limitación
Solicitar que suspendamos el procesamiento de tus datos mientras se resuelve una disputa sobre su exactitud o su uso.
Retirar el consentimiento
Para datos cuyo tratamiento se basa en tu consentimiento, puedes retirarlo en cualquier momento sin afectar la licitud del tratamiento previo.
Habeas Data
Derecho constitucional colombiano a conocer, actualizar, rectificar y suprimir la información que sobre ti tenemos, conforme a la Ley 1581 de 2012.
Opciones adicionales
Analítica. Puedes desactivar Firebase Analytics desde la configuración de privacidad de tu dispositivo (Android: Configuración → Google → Anuncios; iOS: Configuración → Privacidad → Seguimiento).
Notificaciones push. Puedes desactivarlas desde la configuración de notificaciones de tu dispositivo en cualquier momento.
Permisos del dispositivo. Puedes revocar cualquier permiso (ubicación, cámara, micrófono) desde la configuración de aplicaciones de tu dispositivo.
Si no estás satisfecho con nuestra respuesta, tienes derecho a presentar una reclamación ante la Superintendencia de Industria y Comercio (SIC) de Colombia en www.sic.gov.co. Los usuarios en la UE pueden acudir a la autoridad de protección de datos de su país miembro.
Sección 9
Privacidad de menores
Surco está diseñada para agricultores, técnicos agropecuarios y profesionales del campo. No está dirigida a personas menores de 14 años en Colombia, ni menores de 16 años en la Unión Europea o el Reino Unido.
No recopilamos conscientemente datos personales de menores. Si eres padre, madre o tutor y crees que tu hijo ha proporcionado datos personales en nuestra app, contáctanos a privacidad@surco.app y los eliminaremos de inmediato.
Sección 10
Incidentes de seguridad
Si ocurre una brecha de seguridad que pueda afectar tus datos personales, actuaremos de la siguiente manera:
Te notificaremos a tu correo electrónico registrado dentro de los 5 días hábiles siguientes a la confirmación del incidente. La notificación describirá la naturaleza de la brecha, los datos afectados, las consecuencias probables y las medidas que tomamos.
Notificaremos a la Superintendencia de Industria y Comercio (SIC) conforme a los plazos establecidos por la Ley 1581 de 2012 y la Circular Externa 02 de 2015.
Para usuarios en la UE o UK, notificaremos a la autoridad de protección de datos competente dentro de las 72 horas siguientes a tener conocimiento del incidente, conforme al artículo 33 del RGPD.
Tomaremos medidas inmediatas para contener el incidente, evaluar su alcance y evitar que se repita.
Sección 11
Cambios a esta política
Podemos actualizar esta política cuando cambie la app, los servicios de terceros que usamos, la legislación aplicable o nuestras prácticas. Cuando lo hagamos:
Actualizaremos la fecha de vigencia en la parte superior de este documento.
Para cambios significativos —nuevos terceros con acceso a datos personales, nuevas finalidades de tratamiento, cambios en la base legal— te notificaremos mediante un aviso dentro de la app antes de que el cambio entre en vigor.
Si el cambio requiere un nuevo consentimiento, te pediremos que lo otorgues explícitamente antes de continuar usando las funciones afectadas.
Mantendremos versiones anteriores disponibles bajo solicitud a privacidad@surco.app.
El uso continuado de Surco después de la publicación de cambios no significativos constituye tu aceptación de la política actualizada.
Sección 12
Contacto
Puedes contactarnos sobre cualquier asunto relacionado con esta política o el tratamiento de tus datos:
Esta sección aplica únicamente a usuarios en la Unión Europea, el Espacio Económico Europeo o el Reino Unido. Para cada tipo de tratamiento indicamos la base legal del artículo 6 del RGPD:
Ejecución de un contrato (art. 6.1.b): datos de finca, cultivos, hato, eventos agrícolas, suscripción y consultas al asistente de IA. Sin este tratamiento no podemos prestarte el servicio.
Consentimiento (art. 6.1.a): datos de ubicación GPS, imágenes, grabaciones de voz y cualquier tratamiento marcado como consentimiento en la sección 2. Puedes retirarlo en cualquier momento.
Obligación legal (art. 6.1.c): datos de cumplimiento EUDR retenidos durante los 5 años exigidos por el Reglamento (UE) 2023/1115.
Interés legítimo (art. 6.1.f): analítica anónima, reportes de errores y datos técnicos del dispositivo para mejorar la estabilidad y el rendimiento de la app. Puedes oponerte a este tratamiento en cualquier momento.
Para ejercer derechos específicos del RGPD —incluidos el derecho a no ser objeto de decisiones automatizadas con efectos jurídicos y el derecho a presentar reclamaciones ante una autoridad supervisora— contacta a privacidad@surco.app.
Sección 14
Divulgaciones regionales suplementarias
Colombia
Esta política cumple íntegramente con la Ley 1581 de 2012, el Decreto 1377 de 2013 y las circulares de la Superintendencia de Industria y Comercio. Los titulares de datos en Colombia pueden ejercer su derecho de Habeas Data escribiendo a privacidad@surco.app. Si nuestra respuesta no es satisfactoria, puedes acudir a la SIC en www.sic.gov.co.
Unión Europea y Espacio Económico Europeo
Los usuarios en la UE/EEA tienen derechos adicionales bajo el RGPD descritos en la Sección 8 y 13, incluido el derecho a presentar reclamaciones ante la autoridad de protección de datos de su Estado miembro. Las transferencias de datos fuera de la UE se realizan bajo las garantías detalladas en la Sección 6.
Reino Unido
Para usuarios en el Reino Unido aplica el UK GDPR. Pueden presentar reclamaciones ante la Information Commissioner's Office (ICO) en ico.org.uk.
Ecuador
Para usuarios en Ecuador, aplica la Ley Orgánica de Protección de Datos Personales (LOPDP) de 2021. Pueden presentar reclamaciones ante la Superintendencia de Protección de Datos Personales.
Brasil
Para usuarios en Brasil, esta política se rige también por la Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018). Los titulares tienen derecho a cancelar el tratamiento en cualquier momento escribiendo a privacidad@surco.app.