Anexo de Tratamiento de Datos Personales (ATD)

Este Anexo de Tratamiento de Datos ("Anexo", "ATD") forma parte integral de los Términos y Condiciones de Uso ("Acuerdo Principal") celebrados entre EL CLIENTE (Responsable) e Integration IT S.A.S. (Encargado). En caso de conflicto con el Acuerdo Principal respecto del tratamiento de datos personales, prevalecerá este ATD.

1. Definiciones

"Leyes de Protección de Datos": todas las normas aplicables, incluyendo la Ley 1581 de 2012 (Colombia) y el GDPR. "Datos Personales": información sobre persona identificada o identificable tratada por el Encargado en nombre del Responsable. "Violación de la Seguridad": incidente que provoque destrucción, pérdida, alteración, divulgación o acceso no autorizado. "Subencargado": tercero contratado por el Encargado para actividades específicas de tratamiento.

2. Objeto y Detalles del Tratamiento

1. Roles: El Cliente actúa como Responsable; Integration IT S.A.S. como Encargado.
2. Objeto: Tratar Datos Personales únicamente para prestar los Servicios descritos en el Acuerdo Principal y la Propuesta Comercial.
3. Detalles: Ver Apéndice 1.

3. Obligaciones del Encargado

1. Instrucciones: Tratar los Datos solo siguiendo instrucciones documentadas y lícitas del Responsable; informar si alguna instrucción fuera contraria a la ley.
2. Confidencialidad: Personal autorizado sujeto a obligaciones estrictas de confidencialidad.
3. Seguridad: Medidas técnicas y organizativas adecuadas (art. 32 GDPR). Ver Apéndice 2.
4. Subencargados: Autorización general. Lista pública en /es/legal/subprocessors (cuando aplique); aviso de cambios (30 días); obligaciones equivalentes por contrato; responsabilidad del Encargado por sus subencargados.
5. Asistencia: Apoyo para atención de derechos de titulares (acceso, rectificación, supresión, oposición, etc.).
6. Notificación de brechas: Sin dilación indebida y en todo caso dentro de 72 horas tras conocerla, incluyendo información mínima requerida.
7. Devolución/supresión: A elección del Responsable al terminar el Servicio; supresión de copias en 30 días salvo obligación legal.
8. Auditorías: Poner a disposición información de cumplimiento y permitir auditorías razonables sujetas a confidencialidad.

4. Obligaciones del Responsable

Garantizar base jurídica válida, información a titulares y licitud de las instrucciones impartidas al Encargado.

5. Transferencias Internacionales

Las transferencias a países sin nivel adecuado de protección se realizarán con salvaguardas apropiadas (p. ej., Cláusulas Contractuales Tipo) u otros mecanismos reconocidos.

6. Disposiciones Generales

• Prevalencia: Este ATD prevalece sobre el Acuerdo Principal en caso de conflicto.
• Responsabilidad: Sujeta a las limitaciones del Acuerdo Principal.
• Ley y Jurisdicción: Leyes de Colombia; tribunales de Medellín.

Apéndice 1: Detalles del Tratamiento

• Objeto y duración: Prestación de los servicios de intuIA.ai durante la vigencia del Acuerdo.
• Naturaleza y finalidad: Recopilación, almacenamiento, procesamiento y análisis para automatizar conversaciones, procesar información, generar respuestas, soporte y mejora del servicio.
• Tipos de datos: Usuarios Autorizados (nombre, correo, teléfono, cargo, autenticación); datos personales en el Contenido del Cliente (definidos por el Responsable); metadatos técnicos (IP, identificadores, logs).
• Categorías de titulares: Empleados/contratistas del Responsable y Usuarios Finales (clientes, leads, proveedores, etc.).

Apéndice 2: Medidas de Seguridad

• Cifrado: TLS 1.2+ en tránsito; AES‑256 en reposo.
• Acceso: Mínimo privilegio; controles físicos/lógicos; MFA en sistemas críticos.
• Infraestructura: Proveedores cloud con certificaciones (ISO 27001, SOC 2); protección DDoS/malware.
• Monitoreo y registros: Monitoreo continuo; registros de auditoría.
• Gestión de incidentes: Plan documentado para respuesta y notificación.
• Desarrollo seguro: Revisiones de código y escaneos de vulnerabilidades periódicos.
• Formación: Capacitación en seguridad y privacidad al personal con acceso.