Acuerdo de Tratamiento de Datos Personales

Versión: 1.0 | Fecha de vigencia: 2025

Conforme a la Ley 1581 de 2012 - Modelo Multi-tenant

ACUERDO DE TRATAMIENTO DE DATOS entre Agapanto (Encargado) y su Empresa (Responsable), estableciendo las condiciones de tratamiento de datos personales en el modelo multi-tenant.

1. Partes del Acuerdo

1.1 EL RESPONSABLE DEL TRATAMIENTO (Su Empresa)

Empresa: [NOMBRE DE SU EMPRESA]

NIT: [NIT]

Representante Legal: [NOMBRE]

Dirección: [DIRECCIÓN]

Email: [EMAIL]

1.2 EL ENCARGADO DEL TRATAMIENTO (Agapanto)

Razón Social: [NOMBRE LEGAL DE AGAPANTO]

NIT: [NIT DE AGAPANTO]

Dirección: [DIRECCIÓN DE AGAPANTO]

Email: legal@agapanto.com

2. Objeto del Acuerdo

El presente Acuerdo regula el tratamiento de datos personales que EL RESPONSABLE encarga a EL ENCARGADO en el contexto de la plataforma multi-tenant Agapanto, conforme a la Ley 1581 de 2012 y sus decretos reglamentarios.

3. Definición de Roles

3.1 Modelo Multi-tenant - Roles Duales

Dado el modelo multi-tenant de Agapanto, las partes reconocen los siguientes roles diferenciados:

A. Para Datos de Usuarios de la Plataforma

  • AGAPANTO actúa como RESPONSABLE: Para datos de registro de usuarios (nombres, emails, identificación, contraseñas) necesarios para proporcionar acceso a la plataforma.

B. Para Datos de Clientes/Empleados de Su Empresa

  • SU EMPRESA actúa como RESPONSABLE: Determina las finalidades y medios del tratamiento de datos de sus propios clientes, proveedores y empleados.
  • AGAPANTO actúa como ENCARGADO: Trata estos datos únicamente según instrucciones de su empresa, proporcionando infraestructura y herramientas de procesamiento.

4. Alcance del Tratamiento de Datos

4.1 Tipos de Datos Tratados por el Encargado

Agapanto, como Encargado, tratará las siguientes categorías de datos en nombre del Responsable:

  • Datos de clientes de la empresa (nombres, identificación, contacto, direcciones)
  • Datos de proveedores y entidades comerciales
  • Información de transacciones y facturas
  • Datos de empleados asignados por la empresa
  • Información financiera y contable de la empresa
  • Datos de inventario y productos
  • Cualquier otro dato personal ingresado por el Responsable en la plataforma

4.2 Finalidades del Tratamiento

El Encargado tratará los datos únicamente para las siguientes finalidades autorizadas:

  • Almacenamiento seguro en infraestructura cloud
  • Procesamiento de transacciones comerciales
  • Generación de facturas electrónicas
  • Cálculos contables y financieros
  • Generación de reportes según solicitud del Responsable
  • Respaldo y recuperación de datos
  • Mantenimiento de la seguridad y funcionamiento de la plataforma

5. Obligaciones del Encargado (Agapanto)

Agapanto, como Encargado, se compromete a:

5.1 Tratamiento Limitado

  • Tratar los datos personales únicamente según instrucciones documentadas del Responsable
  • No utilizar los datos para fines propios o de terceros
  • No vender, alquilar ni comercializar los datos del Responsable

5.2 Seguridad y Confidencialidad

  • Implementar medidas técnicas y organizativas adecuadas para proteger los datos
  • Cifrado de datos sensibles (SSL/TLS, NaCl para blockchain)
  • Autenticación de dos factores (2FA)
  • Controles de acceso basados en roles
  • Firewalls y sistemas de detección de intrusiones
  • Auditorías periódicas de seguridad

5.3 Aislamiento Multi-tenant

  • Garantizar aislamiento completo de datos entre diferentes empresas (tenants)
  • Implementar controles que impidan acceso cruzado entre tenants
  • Mantener logs de auditoría de todos los accesos a datos

5.4 Subencargados

  • Informar al Responsable sobre subencargados utilizados (proveedores de infraestructura)
  • Subencargados actuales:
    • Proveedores de hosting cloud (Kubernetes infrastructure)
    • MinIO (almacenamiento de archivos)
    • Wompi (procesamiento de pagos - actúa como encargado independiente)
  • Garantizar que subencargados cumplan obligaciones equivalentes de protección de datos

5.5 Notificación de Violaciones

  • Notificar al Responsable en un plazo máximo de 72 horas sobre cualquier violación de seguridad que afecte datos personales
  • Proporcionar información detallada sobre la naturaleza de la violación
  • Cooperar en la investigación y mitigación del incidente

5.6 Asistencia al Responsable

  • Asistir al Responsable en el cumplimiento de solicitudes de titulares (derechos ARCO)
  • Proporcionar herramientas de exportación de datos
  • Facilitar la eliminación o anonimización de datos cuando sea solicitado

5.7 Retención y Eliminación

  • Retener datos únicamente durante el período necesario para la prestación del servicio
  • Al finalizar la relación contractual: eliminar o devolver todos los datos personales
  • Excepción: Datos que deban conservarse por obligación legal (ej. registros tributarios - 5 años)

5.8 Auditorías

  • Permitir auditorías por parte del Responsable o auditores autorizados
  • Proporcionar información necesaria para demostrar cumplimiento

6. Obligaciones del Responsable (Su Empresa)

El Responsable se compromete a:

6.1 Instrucciones Legítimas

  • Proporcionar instrucciones claras y documentadas sobre el tratamiento de datos
  • Asegurar que las instrucciones cumplan con la legislación aplicable

6.2 Consentimiento de Titulares

  • Obtener el consentimiento adecuado de sus clientes, empleados y proveedores
  • Informar a los titulares sobre el uso de Agapanto como Encargado
  • Manter registros de consentimientos obtenidos

6.3 Legitimidad de Datos

  • Garantizar que los datos ingresados en la plataforma se obtuvieron legítimamente
  • No cargar datos obtenidos ilícitamente o sin autorización

6.4 Atención a Titulares

  • Atender solicitudes de titulares (clientes, empleados) respecto a sus derechos ARCO
  • Coordinar con Agapanto para ejecutar acciones requeridas (exportación, eliminación)

6.5 Cumplimiento Tributario

  • Asegurar exactitud de datos tributarios y de facturación electrónica
  • Mantener credenciales DIAN actualizadas y válidas

7. Derechos de los Titulares

Ambas partes reconocen y respetarán los derechos de los titulares conforme a la Ley 1581 de 2012:

  • Acceso: Conocer qué datos personales son objeto de tratamiento
  • Rectificación: Actualizar y corregir datos inexactos
  • Cancelación: Solicitar la supresión de datos
  • Oposición: Oponerse a determinados tratamientos

El Responsable es la primera línea de contacto para titulares. Agapanto proporcionará soporte técnico para ejecutar estas solicitudes.

8. Transferencias Internacionales

En caso de que la infraestructura implique transferencias internacionales de datos:

  • El Encargado informará al Responsable sobre ubicación de servidores
  • Se implementarán salvaguardas adecuadas (cláusulas contractuales estándar)
  • Se cumplirá con requisitos de autorización de la SIC si es necesario

9. Incidentes de Seguridad

9.1 Protocolo de Notificación

En caso de violación de seguridad:

  1. 0-24 horas: Detección y contención del incidente
  2. 24-72 horas: Notificación al Responsable con detalles del incidente
  3. 72 horas: Si es necesario, notificación a la SIC (según gravedad)
  4. Seguimiento: Implementación de medidas correctivas y preventivas

9.2 Cooperación

Ambas partes cooperarán en la gestión de incidentes y notificación a autoridades si es requerido.

10. Duración y Terminación

10.1 Vigencia

Este Acuerdo entra en vigor al aceptar los Términos y Condiciones de Agapanto y permanece vigente mientras utilice el Servicio.

10.2 Efectos de la Terminación

Al terminar la relación contractual:

  • Plazo de gracia (30 días): El Responsable puede exportar todos sus datos
  • Eliminación: Tras el plazo, Agapanto eliminará datos del Responsable
  • Excepción legal: Datos retenidos por obligación legal (tributarios: 5 años mínimo)
  • Certificación: A solicitud, Agapanto certificará la eliminación de datos

11. Responsabilidad y Limitaciones

11.1 Responsabilidad del Encargado

Agapanto es responsable de:

  • Tratamiento conforme a instrucciones del Responsable
  • Implementación de medidas de seguridad adecuadas
  • Notificación oportuna de violaciones de seguridad

11.2 Responsabilidad del Responsable

El Responsable es responsable de:

  • Legitimidad de los datos ingresados
  • Obtención de consentimientos necesarios
  • Atención a titulares (primera línea)
  • Cumplimiento de obligaciones tributarias

11.3 Limitación de Responsabilidad

Agapanto no será responsable por:

  • Datos ingresados ilícitamente por el Responsable
  • Instrucciones del Responsable que violen la ley
  • Acciones de usuarios autorizados por el Responsable
  • Pérdida de datos causada por acciones del Responsable

12. Modificaciones al Acuerdo

Este Acuerdo puede modificarse para:

  • Reflejar cambios en la legislación
  • Incorporar nuevos subencargados o servicios
  • Mejorar medidas de seguridad

Las modificaciones sustanciales se notificarán con 30 días de anticipación.

13. Ley Aplicable

Este Acuerdo se rige por:

  • Ley 1581 de 2012 (Protección de Datos Personales)
  • Decreto 1377 de 2013
  • Decreto 1074 de 2015
  • Normativa de la Superintendencia de Industria y Comercio (SIC)
  • Legislación colombiana aplicable

14. Aceptación

Al utilizar la plataforma Agapanto, el Responsable acepta los términos de este Acuerdo de Tratamiento de Datos y se compromete a cumplir con todas sus obligaciones.

El Encargado (Agapanto) se compromete a cumplir estrictamente con todas las obligaciones establecidas en este Acuerdo.

Última actualización: 2025

Versión: 1.0

Volver