Contrato de Aceptación de Tratamiento de Datos

1Definiciones

Datos Personales

Toda información que identifique o permita identificar a una persona física, incluyendo —sin limitación— nombre, correo electrónico, identificador de sesión, dirección IP, historial de conversaciones y cualquier otro dato proporcionado por los usuarios finales del Cliente a través de los widgets o APIs de BotIvA.

Tratamiento

Cualquier operación realizada sobre los Datos Personales: recopilación, almacenamiento, consulta, uso, transmisión, anonimización, bloqueo o supresión.

Usuario Final

La persona física que interactúa con los widgets de chat u otras interfaces del Cliente que utilizan la plataforma BotIvA.

Sub-encargado

Tercero contratado por BotIvA para ejecutar parte del Tratamiento en nombre del Cliente, sujeto a obligaciones equivalentes a las de este Contrato.

Incidente de Seguridad

Acceso no autorizado, destrucción, pérdida, alteración o divulgación accidental de Datos Personales.

Titular

La persona natural cuyos Datos Personales son objeto de Tratamiento, conforme a la definición del artículo 3 de la Ley 1581 de 2012 de Colombia.

Autorización

Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus Datos Personales, otorgado mediante un acto inequívoco, demostrable y conservado por el Responsable.

Transmisión Internacional

Envío de Datos Personales a un Encargado o tercero ubicado fuera del territorio colombiano para la ejecución de operaciones de Tratamiento en nombre del Responsable, conforme al artículo 26 de la Ley 1581 de 2012 y al Decreto 1377 de 2013.

2Objeto y alcance del tratamiento

BotIvA actuará como Encargado del Tratamiento exclusivamente para prestar los servicios contratados por el Cliente y bajo sus instrucciones documentadas. El Tratamiento abarca:

• Almacenamiento del historial de conversaciones del widget durante el plazo máximo de retención asociado al plan contratado por el Cliente. Vencido dicho plazo, BotIvA suprime automáticamente las conversaciones más antiguas conforme a la tabla detallada en la cláusula 9 (Retención y supresión de datos).
• Procesamiento de consultas contra modelos de lenguaje (LLMs) de terceros para generar respuestas.
• Indexación de documentos cargados por el Cliente para funcionalidad de almacenamiento (Retrieval-Augmented Generation).
• Registro de métricas de uso anonimizadas para facturación y mejora del servicio.
• Autenticación e identificación de los usuarios finales cuando el Cliente habilite dicha función.

BotIvA no realizará ningún Tratamiento adicional sin instrucción previa y documentada del Cliente, salvo obligación legal expresa.

3Obligaciones del Encargado del Tratamiento (BotIvA)

BotIvA se compromete a:

1. Confidencialidad. Garantizar que las personas autorizadas para tratar los Datos Personales estén sujetas a obligaciones de confidencialidad legales o contractuales.
2. Seguridad técnica y organizativa. Implementar y mantener medidas adecuadas al riesgo, incluyendo cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), control de acceso basado en roles, registros de auditoría y revisiones periódicas de seguridad.
3. Asistencia al Responsable. Colaborar razonablemente para que el Cliente pueda atender solicitudes de ejercicio de derechos de los Usuarios Finales (acceso, rectificación, supresión, oposición, portabilidad), sin coste adicional salvo que el volumen supere lo razonable.
4. Notificación de Incidentes y soporte para reporte ante la SIC. Informar al Cliente sin dilación indebida —y en todo caso dentro de las 72 horas siguientes al conocimiento del hecho— sobre cualquier Incidente de Seguridad que afecte a los Datos Personales del Cliente. La notificación incluirá, como mínimo, la naturaleza del incidente, las categorías y el volumen aproximado de Datos Personales y Titulares afectados, las medidas adoptadas o propuestas para mitigarlo y sus consecuencias probables. BotIvA proporcionará al Cliente toda la información técnica y documental necesaria con la antelación suficiente para que el Cliente pueda cumplir su obligación de reportar el incidente a la Superintendencia de Industria y Comercio (SIC) dentro de los 15 días hábiles siguientes a su conocimiento, conforme a la Circular Externa 002 de 2024 y demás normativa colombiana aplicable.
5. Supresión o devolución. Al término del Contrato, y a elección del Cliente, suprimir o devolver todos los Datos Personales en un plazo máximo de 30 días calendario, salvo obligación legal de conservación.
6. Auditoría. Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento de este Contrato y permitir, con preaviso razonable, auditorías o inspecciones realizadas por el Cliente o un auditor designado por él.

4Obligaciones del Responsable del Tratamiento (Cliente)

El Cliente se compromete a:

1. Autorización previa, expresa e informada del Titular. Obtener y conservar de manera previa, expresa e informada la autorización de cada Titular para el Tratamiento de sus Datos Personales y para su Transmisión Internacional, conforme al artículo 9 de la Ley 1581 de 2012. El Cliente implementará mecanismos demostrables de captación del consentimiento (por ejemplo, una casilla de aceptación obligatoria previa al inicio de la conversación con el agente de Inteligencia Artificial) y conservará evidencia auditable de dicha autorización. BotIvA únicamente procesará Datos Personales respecto de los cuales el Cliente declare contar con autorización válida y vigente.
2. Indemnidad por falta de autorización. El Cliente, en su calidad de Responsable del Tratamiento, mantendrá indemne a BotIvA frente a cualquier sanción, multa, reclamación, investigación administrativa o judicial impuesta por la Superintendencia de Industria y Comercio (SIC) u otra autoridad competente que se derive de la falta, insuficiencia o invalidez de la autorización del Titular, de información incompleta o engañosa en su política de privacidad, o del incumplimiento de sus obligaciones como Responsable. Esta obligación incluye honorarios de defensa legal y montos pagados por concepto de transacción o condena.
3. Informar a sus Usuarios Finales sobre el uso de BotIvA como herramienta de procesamiento, conforme a su propia política de privacidad y a los principios de transparencia y libertad de la Ley 1581 de 2012.
4. No transmitir a BotIvA datos de categorías especiales o sensibles (salud, opiniones políticas, datos biométricos, creencias religiosas, orientación sexual, datos de niñas, niños y adolescentes u otros datos sensibles según el artículo 5 de la Ley 1581 de 2012) sin suscribir un addendum específico y contar con la autorización reforzada exigida por la ley.
5. Notificar a BotIvA de forma inmediata si toma conocimiento de cualquier acción legal, demanda regulatoria o reclamación relacionada con los Datos Personales tratados a través de la plataforma.
6. Impartir instrucciones de Tratamiento por escrito (correo electrónico o formulario en el panel de administración) y asumir responsabilidad por las instrucciones que contradigan la normativa aplicable.

5Sub-encargados autorizados

El Cliente autoriza de forma general a BotIvA a contratar Sub-encargados para la prestación del servicio. BotIvA publicará y mantendrá actualizada la lista de Sub-encargados en BotIvA.app/sub-encargados. Ante cualquier incorporación o sustitución, BotIvA notificará al Cliente con al menos 15 días de antelación, período durante el cual el Cliente podrá oponerse con causa justificada. Los Sub-encargados estarán sujetos a obligaciones equivalentes a las de este Contrato.

Sub-encargados actuales

6Transmisión y transferencia internacional de datos

Para la prestación del servicio, BotIvA utiliza Sub-encargados que pueden procesar y almacenar Datos Personales fuera del territorio colombiano, principalmente en los Estados Unidos de América y otras jurisdicciones donde operan los proveedores de infraestructura en la nube (Google Cloud, MongoDB Atlas, OpenAI, Anthropic, Vercel, Stripe, entre otros). Esta operación constituye una Transmisión Internacional de Datos en los términos del artículo 26 de la Ley 1581 de 2012 y del Decreto 1377 de 2013.

BotIvA garantiza al Cliente que los países de destino cuentan con niveles adecuados de protección de datos según los estándares fijados por la Superintendencia de Industria y Comercio (SIC), o que, en su defecto, la transmisión se ampara en alguno de los mecanismos legales reconocidos por la normativa colombiana, los cuales pueden incluir:

• Cláusulas Contractuales Tipo (CCT) o acuerdos de transmisión suscritos con cada Sub-encargado, en los que se replican las obligaciones de la Ley 1581 de 2012 y su decreto reglamentario.
• Certificaciones o marcos de adecuación internacionalmente reconocidos (p. ej., EU-US Data Privacy Framework, certificaciones ISO/IEC 27001, SOC 2 Tipo II).
• Declaración de conformidad de los países de destino con los principios de la Ley 1581 de 2012 conforme al listado y criterios publicados por la SIC.
• Autorización expresa e inequívoca del Titular obtenida por el Cliente como Responsable del Tratamiento, cuando ninguno de los mecanismos anteriores resulte aplicable.

El Cliente podrá solicitar en cualquier momento, a través del canal de soporte, la documentación de los mecanismos aplicables a cada Sub-encargado, así como la lista actualizada de países donde se almacenan o procesan los Datos Personales.

7Derechos de los Usuarios Finales

BotIvA provee al Cliente los mecanismos técnicos necesarios para que este pueda atender las solicitudes de derechos de sus Usuarios Finales. Dichos derechos incluyen, según la legislación aplicable:

Las solicitudes deben dirigirse al Cliente, quien es el Responsable del Tratamiento. BotIvA asistirá al Cliente en la ejecución técnica dentro de los plazos acordados.

8Medidas de seguridad

BotIvA aplica un programa de seguridad de la información que incluye, entre otras, las siguientes medidas:

• Cifrado en tránsito con TLS 1.2 o superior en todos los endpoints.
• Cifrado en reposo (AES-256) para bases de datos y almacenamiento de archivos.
• Autenticación multifactor (MFA) obligatoria para el acceso administrativo a la infraestructura.
• Control de acceso basado en el principio de mínimo privilegio.
• Revisiones de seguridad periódicas y pruebas de penetración anuales realizadas por terceros.
• Registro y monitoreo de eventos de acceso y modificación de datos.
• Plan de respuesta a incidentes con procedimientos documentados de notificación.

9Retención y supresión de datos

En cumplimiento del principio de finalidad de la Ley 1581 de 2012, los Datos Personales se conservan durante el tiempo estrictamente necesario para la prestación del servicio contratado. El plazo máximo de retención del historial de conversaciones depende del plan suscrito por el Cliente y se aplica de forma automática mediante un proceso de supresión periódica:

Adicionalmente, se aplican los siguientes plazos para otras categorías de información:

• Registros de auditoría de la cuenta (AuditLog): Se generan en tiempo real ante cada evento relevante (inicio y cierre de sesión, registro, actualización de perfil, ejercicio de derechos RGPD/Habeas Data, eventos de facturación) y se conservan mientras la cuenta del Cliente esté activa, para fines de trazabilidad y demostración de cumplimiento.
• Registros de eventos de seguridad del widget (SecurityLog): Se generan en tiempo real ante incidentes técnicos (intentos de acceso no autorizado, rate-limiting, detección de prompt injection, tokens inválidos, abuso de cuota) y se suprimen automáticamente a los 90 días mediante un mecanismo TTL en la base de datos.
• Datos de facturación y obligaciones fiscales: El tiempo requerido por la legislación tributaria colombiana aplicable (generalmente hasta 5 años, conforme al Estatuto Tributario).
• Tras la cancelación o baja del servicio: Supresión o devolución de todos los Datos Personales en un máximo de 30 días calendario, salvo obligación legal de conservación o solicitud expresa de devolución por parte del Cliente.
• Cambio de plan a uno inferior: El nuevo plazo de retención se aplicará a partir del primer ciclo de supresión posterior al cambio, eliminando las conversaciones que excedan el nuevo límite.

El Cliente podrá, en cualquier momento, solicitar la supresión anticipada de conversaciones específicas o de la totalidad del historial desde el panel de administración o mediante solicitud al canal de soporte.

10Responsabilidad y limitación de daños

Cada parte será responsable ante la otra por los daños directos causados por el incumplimiento de sus obligaciones bajo este Contrato. La responsabilidad total acumulada de BotIvA frente al Cliente en relación con el Tratamiento de Datos no excederá el importe total abonado por el Cliente en los 12 meses anteriores al evento que da lugar a la reclamación.

BotIvA no será responsable de daños indirectos, lucro cesante o pérdida de datos atribuibles a instrucciones erróneas del Cliente, incumplimiento de sus propias obligaciones de seguridad o actuaciones de terceros ajenos a la relación contractual.

11Modificaciones al Contrato

BotIvA podrá actualizar este Contrato para reflejar cambios normativos, tecnológicos o en su modelo de negocio. Cualquier modificación sustancial será notificada al Cliente con al menos 30 días de antelación mediante correo electrónico o aviso prominente en el panel de administración. El uso continuado del servicio tras la fecha de entrada en vigor de la modificación constituirá aceptación de los nuevos términos.

12Legislación aplicable y resolución de conflictos

Este Contrato se rige por las leyes de la República de Colombia, incluyendo la Ley 1581 de 2012 (Régimen General de Protección de Datos Personales), el Decreto 1377 de 2013 y demás normas concordantes expedidas por la Superintendencia de Industria y Comercio (SIC), sin perjuicio de la normativa de protección de datos aplicable en la jurisdicción de residencia del Cliente.

Ante cualquier controversia, las partes intentarán resolverla de forma amistosa en un plazo de 30 días. Si no se alcanza acuerdo, la disputa se someterá a la jurisdicción de los jueces y tribunales competentes de la ciudad de Bogotá D.C., Colombia.

13Contacto del Responsable de Privacidad

Para ejercer derechos, reportar incidentes o formular preguntas sobre este Contrato, el Cliente puede contactar al Responsable de Privacidad de BotIvA a través de: