Acuerdo de Tratamiento de Datos (DPA)

v1.0 Actualizado: Bucaramanga · Colombia

1. Objeto y alcance del Acuerdo

El presente Acuerdo de Tratamiento de Datos (en adelante, "DPA") regula el tratamiento de los datos personales de los clientes finales del programa de fidelidad gestionado por Inversiones RM S.A.S., identificada con NIT 901778029-0, con domicilio en Bucaramanga, Santander, Colombia (en adelante, "Punsel" o el "Encargado"), por encargo del cliente empresarial B2B contratante del Servicio (en adelante, el "Responsable" o el "Cliente B2B").

Este DPA aplica desde la activación del Servicio para el Cliente B2B y se mantiene vigente durante toda la duración del contrato principal, así como durante los periodos de retención posteriores establecidos en la sección 8. Las cláusulas relativas a confidencialidad y auditoría subsisten a la terminación.

2. Roles de las partes

Conforme a la Ley 1581 de 2012 y al Decreto 1377 de 2013:

  • Punsel actúa como encargado del tratamiento (data processor): procesa los datos personales de los titulares únicamente conforme a las instrucciones documentadas del Responsable y a los términos de este DPA.
  • El Cliente B2B actúa como responsable del tratamiento (data controller): determina las finalidades y los medios del tratamiento, obtiene la autorización previa e informada de los titulares (clientes finales) y mantiene la comunicación directa con ellos.
  • Los titulares son las personas naturales inscritas en el programa de fidelidad del Cliente B2B.

Los subencargados (subprocesadores) listados en la sección 4 actúan como encargados a su vez de Punsel, bajo las mismas obligaciones esenciales del presente Acuerdo.

3. Datos personales tratados

Categorías de datos personales tratados por Punsel por encargo del Responsable, en relación con los clientes finales del programa de fidelidad:

  • Identificadores: nombre, número de documento de identidad, correo electrónico, teléfono.
  • Datos transaccionales de fidelidad: puntos acumulados y redimidos, historial de visitas, premios obtenidos.
  • Datos opcionales (con consentimiento expreso del titular): fecha de nacimiento, género, fotografía, geolocalización aproximada.

Las finalidades del tratamiento se detallan en la sección 3 de la Política de Tratamiento de Datos Personales.

Duración del tratamiento: por toda la vigencia del contrato principal y por los periodos de retención posteriores establecidos para cumplimiento de obligaciones legales (sección 8).

4. Subencargados (subprocesadores)

Para la prestación del Servicio, Punsel utiliza los siguientes subprocesadores. Esta lista está sincronizada con la sección 6 de la Política de Privacidad y con la sección 9 de la Política de Tratamiento de Datos (REQ-LSL-PR4-7).

  • Hetzner Online GmbH (Alemania — datacenter en Ashburn, Virginia, Estados Unidos) — provisión de infraestructura: servidor de aplicación, PostgreSQL y Redis.
  • Cloudflare, Inc. (Estados Unidos) — red de distribución de contenido (CDN), Web Application Firewall (WAF), DNS autoritativo y caché de activos estáticos.
  • Microsoft Corporation (Estados Unidos / Unión Europea — O365 multi-región) — servicio SMTP de Office 365 para envío de correos electrónicos transaccionales (autenticación, notificaciones operacionales).
  • Postmark (Estados Unidos) — envío de correos electrónicos de marketing y campañas promocionales (sujeto a consentimiento del titular).

Los cambios materiales en la lista de subprocesadores serán notificados al Cliente B2B con un preaviso mínimo de treinta (30) días calendario. El Cliente B2B podrá objetar la incorporación de un nuevo subprocesador dentro de los quince (15) días calendario siguientes a la notificación; en tal caso las partes acordarán de buena fe una solución alternativa.

5. Medidas de seguridad técnicas y organizativas

Punsel implementa, mantiene y supervisa las siguientes medidas técnicas y organizativas para la protección de los datos personales tratados:

  • Cifrado en tránsito: TLS 1.3 en todo el tráfico HTTP entre clientes y la plataforma (Cloudflare Full Strict).
  • Cifrado en reposo: cifrado AES-256 sobre columnas sensibles de la base de datos mediante pgcrypto.
  • Hash de contraseñas: algoritmo Argon2id con parámetros memory=64 MiB, iteraciones=3, paralelismo=4.
  • Autenticación y autorización: JWT firmados con rotación periódica + refresh tokens opacos + control de acceso basado en roles (RBAC).
  • Registro de auditoría: audit log append-only en base de datos relacional con retención mínima de dos (2) años (artículo 17 Ley 1581).
  • Copias de respaldo: cifrado GPG asimétrico y almacenamiento off-site en Cloudflare R2, con política de retención 30 días / 6 meses / 2 años.
  • Acceso administrativo: autenticación multifactor obligatoria (MFA) para todas las consolas administrativas; SSH en puerto no estándar; fail2ban; firewall en hardware (Hetzner Cloud) y software (UFW).

6. Notificación de incidentes de seguridad

En caso de que Punsel tenga conocimiento de un incidente de seguridad que afecte la confidencialidad, integridad o disponibilidad de los datos personales tratados por encargo del Cliente B2B, Punsel notificará al Cliente B2B en un plazo no mayor a 72 horas contadas desde el momento en que tenga conocimiento efectivo del incidente.

La notificación incluirá, como mínimo:

  • naturaleza del incidente y vector de la afectación,
  • categorías y volumen aproximado de datos personales afectados,
  • medidas adoptadas o propuestas para contener el incidente,
  • punto de contacto para coordinación adicional.

El Cliente B2B, en su calidad de responsable, podrá entonces iniciar el reporte a la Superintendencia de Industria y Comercio (SIC) conforme a los plazos legales aplicables (típicamente 15 días hábiles según la guía vigente de la SIC).

7. Asistencia en derechos de los titulares

Punsel asistirá razonablemente al Cliente B2B para responder dentro de los plazos legales (artículos 14 y 15 de la Ley 1581) a las solicitudes de los titulares que ejerzan los derechos previstos en el artículo 8 de la misma ley: acceso, conocimiento, actualización, rectificación, supresión, revocatoria de la autorización y solicitud de prueba de la autorización otorgada.

El Cliente B2B mantiene el control y la responsabilidad final sobre la respuesta al titular. El canal interno de coordinación entre Cliente B2B y Punsel es [email protected].

8. Terminación del contrato y devolución de datos

A la terminación del contrato principal, por cualquier causa, Punsel ejecutará el siguiente procedimiento:

  • (a) Entrega: pondrá a disposición del Cliente B2B los datos personales tratados en un formato exportable estructurado (CSV o JSON) dentro de un plazo de treinta (30) días calendario contados desde la terminación efectiva.
  • (b) Destrucción segura: procederá a la destrucción segura de los datos personales según las instrucciones documentadas del Cliente B2B, incluyendo la eliminación lógica en sistemas productivos y la rotación de las copias de respaldo conforme al ciclo de retención (sección 5).
  • (c) Certificado: emitirá un certificado de destrucción de datos a solicitud escrita del Cliente B2B.
  • (d) Retención mínima legal: retendrá únicamente aquellos datos que la ley obligue a conservar, principalmente el audit log de cumplimiento (mínimo 2 años según el artículo 17 de la Ley 1581).

9. Derechos de auditoría

El Cliente B2B podrá solicitar a Punsel una auditoría del cumplimiento de las obligaciones del presente DPA, con un preaviso mínimo de treinta (30) días calendario y máximo una vez al año (salvo incidente material previo). Los costos de la auditoría serán a cargo del Cliente B2B, incluyendo los honorarios del auditor independiente y los recursos internos de Punsel dedicados al ejercicio.

Certificaciones de terceros — declaración honesta pre-launch: Punsel no cuenta actualmente con certificaciones formales del tipo SOC 2 o ISO 27001. Cuando estas certificaciones sean obtenidas, Punsel podrá ofrecer el reporte de auditoría correspondiente como evidencia alternativa válida del cumplimiento, lo cual eximirá al Cliente B2B de ejercer su derecho de auditoría in situ salvo causa justificada.

Toda la información obtenida durante una auditoría queda sujeta a las obligaciones de confidencialidad del contrato principal y de este DPA, las cuales subsisten a la terminación.

Inversiones RM S.A.S.

NIT 901778029-0 · Bucaramanga, Santander, Colombia

Habeas Data: [email protected]