Acuerdo de Tratamiento de Datos con el Operador
1. Partes y Alcance
El presente Acuerdo de Tratamiento de Datos ("Acuerdo") se celebra entre el centro educativo suscriptor del Servicio ("Operador" o "Responsable") y Acivem Solutions ("HWA" o "Encargado"). Regula el tratamiento de datos personales realizado por HWA por cuenta del Operador en virtud de los Términos del Operador.
2. Definiciones
Los términos "datos personales", "tratamiento", "titular", "responsable" y "encargado" tienen el significado previsto en la Ley 1581 de 2012 y el Decreto 1377 de 2013.
3. Objeto y Duración
HWA trata datos personales únicamente para prestar el Servicio al Operador. El tratamiento se mantendrá durante la vigencia de los Términos del Operador y los plazos de cierre previstos en la Sección 11.
4. Naturaleza y Finalidad del Tratamiento
- Gestión de cuentas de acudientes, estudiantes y personal.
- Funcionalidades de calendario, asistencia y comunicaciones.
- Monitoreo de seguridad, copias de respaldo y continuidad operativa.
- Soporte técnico solicitado por el Operador.
5. Categorías de Datos y de Titulares
- Titulares: personal del Operador, estudiantes, padres/representantes, acudientes.
- Categorías: identificadores, datos de contacto, rol/pertenencia, registros de asistencia, entradas de calendario, mensajes internos, datos técnicos/de registro.
- No deberán cargarse datos sensibles salvo cuando una funcionalidad del Servicio lo permita expresamente.
6. Obligaciones del Operador
- Obtener y documentar todas las autorizaciones requeridas a los titulares, incluida la de los padres o representantes legales en el caso de menores.
- Entregar avisos de privacidad veraces y oportunos a sus titulares.
- Utilizar el Servicio conforme a la legislación colombiana aplicable.
- Configurar adecuadamente controles de acceso, roles y políticas de retención.
7. Obligaciones de HWA
- Tratar los datos personales únicamente conforme a las instrucciones documentadas del Operador.
- Asegurar que el personal autorizado esté sujeto a obligaciones de confidencialidad.
- Implementar las medidas técnicas y organizativas descritas en el Anexo A.
- Asistir al Operador en la atención de solicitudes de los titulares y de las autoridades.
- Notificar al Operador sin dilación indebida y, en todo caso, dentro de las setenta y dos (72) horas siguientes, cualquier incidente de seguridad confirmado que afecte los datos del Operador.
8. Sub-encargados
El Operador autoriza a HWA a contratar los sub-encargados listados en el Anexo B, incluidos:
- Auth0 (Okta): gestión de identidad y acceso.
- Proveedor de nube: infraestructura y almacenamiento.
- Proveedor de correo transaccional: notificaciones del sistema.
HWA notificará al Operador las adiciones o sustituciones con al menos treinta (30) días de antelación. El Operador podrá oponerse por motivos razonables relacionados con la protección de datos.
9. Transferencias Internacionales
Cuando los sub-encargados operen fuera de Colombia, HWA implementará garantías contractuales acordes con los lineamientos de la SIC sobre transferencias internacionales de datos.
10. Medidas de Seguridad (Resumen del Anexo A)
- Cifrado en tránsito (TLS 1.2+) y en reposo para los almacenamientos productivos.
- Control de acceso basado en roles y administración bajo mínimo privilegio.
- Registros de auditoría centralizados y monitoreo.
- Escaneo periódico de vulnerabilidades y gestión de parches.
- Procedimientos documentados de copias de respaldo y recuperación ante desastres.
- Capacitación en seguridad para el personal con acceso a datos personales.
11. Devolución o Eliminación
Una vez terminados los Términos del Operador, HWA, a elección del Operador, devolverá o eliminará los datos personales del Operador dentro de los noventa (90) días siguientes, salvo cuando la ley exija su conservación.
12. Derechos de Auditoría
El Operador podrá, con preaviso escrito de treinta (30) días y no más de una vez al año, solicitar evidencia razonable de auditoría (certificaciones, resúmenes de pruebas de penetración o respuestas a cuestionarios).
13. Responsabilidad
La responsabilidad derivada de este Acuerdo se rige por el límite de responsabilidad establecido en los Términos del Operador.
14. Ley Aplicable
Este Acuerdo se rige por las leyes de la República de Colombia.
15. Contacto
Para asuntos de este Acuerdo: dpo@acivem-solutions.com.