Documento contractual · Anexo del MSA

Acuerdo de Tratamiento de Datos Personales

Última actualización: 7 de mayo de 2026 · Versión 1.0 · Borrador para revisión legal
Borrador · Revisión legal pendiente Este documento es un Acuerdo de Tratamiento de Datos (DPA) modelo, redactado para clientes Enterprise de Clio Circle. Antes de ser firmado por una contraparte real, debe ser revisado y validado por asesoría legal especializada en protección de datos. Las cláusulas marcadas con [VARIABLE] deben completarse al momento de la firma.

El presente Acuerdo de Tratamiento de Datos Personales (en adelante, el "DPA") se celebra entre [NOMBRE LEGAL DEL CLIENTE], identificado con NIT/RUT/Tax ID [VARIABLE], con domicilio en [VARIABLE] (en adelante, el "Responsable" o "Cliente"), y CLIO CIRCLE S.A.S., identificada con NIT [VARIABLE], con domicilio en [VARIABLE], Bogotá D.C., Colombia (en adelante, "Clio" o el "Encargado"), conjuntamente denominados "las Partes".

Este DPA forma parte integral del Contrato de Servicios (Master Service Agreement o "MSA") suscrito entre las Partes. En caso de conflicto entre el MSA y este DPA respecto al tratamiento de datos personales, prevalecerá lo dispuesto en este DPA.

Índice

  1. Antecedentes
  2. Definiciones
  3. Objeto del DPA
  4. Roles de las Partes
  5. Duración
  6. Obligaciones del Encargado
  7. Obligaciones del Responsable
  8. Subencargados
  9. Derechos de los Titulares
  10. Medidas de seguridad
  11. Notificación de brechas
  12. Transferencias internacionales
  13. Auditoría
  14. Responsabilidad
  15. Terminación · devolución/borrado
  16. Ley aplicable y jurisdicción
  17. Modificaciones al DPA
  18. Contacto · DPO
  19. Anexo 1: Detalles del Tratamiento
  20. Anexo 2: Subencargados autorizados
  21. Anexo 3: Medidas Técnicas y Organizativas
  22. Firmas

I. Antecedentes

El Responsable, en el desarrollo de su actividad, requiere los servicios de Clio para el monitoreo, evaluación y análisis del comportamiento socio-emocional de sus empleados, miembros, colaboradores u otros titulares vinculados a su organización, mediante el uso del Software propiedad de Clio, incluyendo la herramienta de inteligencia artificial Clio AI.

Para la prestación de dichos servicios, el Responsable transfiere o pone a disposición del Encargado Datos Personales y, en algunos casos, Datos Personales Sensibles de los Titulares.

Las Partes celebran este DPA para regular el Tratamiento de dichos Datos Personales, en cumplimiento de la Ley 1581 de 2012 (Colombia), el Decreto 1377 de 2013 (Colombia), el Reglamento General de Protección de Datos (UE) 2016/679 (GDPR), la California Consumer Privacy Act (CCPA), y demás normativa aplicable en las jurisdicciones donde residan los Titulares.

II. Definiciones

Los términos en mayúscula utilizados en este DPA tendrán el significado que se les atribuye a continuación. Los términos no definidos tendrán el significado que les asigna la legislación aplicable.

Datos Personales: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, conforme a la Ley 1581 de 2012 y al artículo 4(1) del GDPR.

Datos Personales Sensibles: aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación, incluyendo datos de salud, datos relativos al estado mental, comportamiento socio-emocional, orientación sexual, origen racial o étnico, convicciones religiosas, entre otros, conforme al artículo 5 de la Ley 1581 de 2012 y al artículo 9 del GDPR.

Titular: la persona natural cuyos Datos Personales son objeto de Tratamiento. En el contexto de este DPA, los Titulares son típicamente empleados, miembros, colaboradores o personas vinculadas al Responsable.

Tratamiento: cualquier operación o conjunto de operaciones sobre Datos Personales, tales como la recolección, almacenamiento, uso, circulación, supresión, transmisión o transferencia.

Responsable del Tratamiento (Controller): la persona jurídica que decide sobre la finalidad, contenido y uso del Tratamiento de los Datos Personales. Para efectos de este DPA, el Responsable es el Cliente.

Encargado del Tratamiento (Processor): la persona jurídica que realiza el Tratamiento de los Datos Personales por cuenta del Responsable. Para efectos de este DPA, el Encargado es Clio Circle.

Subencargado (Sub-processor): cualquier tercero contratado por el Encargado para realizar Tratamiento de los Datos Personales por cuenta del Encargado.

Brecha de Seguridad: cualquier incidente que cause la destrucción, pérdida, alteración, divulgación o acceso no autorizado a los Datos Personales, accidental o ilícito.

Transferencia Internacional: el envío de Datos Personales fuera del territorio de Colombia, de la Unión Europea o de cualquier otra jurisdicción aplicable, conforme a las normativas vigentes.

SIC: Superintendencia de Industria y Comercio de Colombia, autoridad de protección de datos en Colombia.

Cláusulas Contractuales Tipo (SCCs): las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea conforme al artículo 46(2)(c) del GDPR para transferencias internacionales de datos.

III. Objeto del DPA

El objeto del presente DPA es establecer las condiciones bajo las cuales Clio, en su calidad de Encargado, realizará el Tratamiento de los Datos Personales que el Responsable le entregue o ponga a su disposición para la prestación de los servicios contratados en el MSA, garantizando el cumplimiento de la legislación aplicable de protección de datos.

El detalle específico del Tratamiento (categorías de datos, finalidades, duración, categorías de Titulares) se describe en el Anexo 1 de este documento.

IV. Roles de las Partes

El Cliente actúa como Responsable del Tratamiento. Determina las finalidades y medios del Tratamiento, es titular de los Datos Personales que entrega al Encargado, y es responsable de obtener el consentimiento informado de los Titulares cuando aplique.

Clio actúa como Encargado del Tratamiento. Realiza el Tratamiento exclusivamente conforme a las instrucciones documentadas del Responsable, sin determinar de manera autónoma las finalidades del Tratamiento, salvo en los servicios prestados directamente a Consumidores individuales (no organizacionales), en los cuales Clio actúa como Responsable independiente.

Cuando Clio procese Datos Personales con finalidades distintas a las instruidas por el Responsable (por ejemplo, mejora del Software, investigación interna, prevención de fraude), lo hará únicamente sobre datos previamente anonimizados o pseudonimizados, de manera que no sea posible reidentificar al Titular.

V. Duración

Este DPA entrará en vigor en la fecha de la última firma y permanecerá vigente durante toda la duración del MSA, así como durante cualquier período posterior en el cual Clio conserve Datos Personales del Responsable, hasta que se cumpla la devolución o eliminación definitiva de los mismos conforme a la Sección XV.

VI. Obligaciones del Encargado (Clio)

Clio se obliga a:

  1. Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable y para las finalidades descritas en el Anexo 1, salvo cuando una disposición legal aplicable exija un Tratamiento distinto, en cuyo caso Clio informará previamente al Responsable.
  2. Garantizar que las personas autorizadas para tratar los Datos Personales se hayan comprometido contractualmente a respetar la confidencialidad o estén sujetas a un deber legal de confidencialidad equivalente.
  3. Implementar y mantener las medidas técnicas y organizativas descritas en el Anexo 3 para garantizar un nivel de seguridad adecuado al riesgo.
  4. No subcontratar el Tratamiento sin la autorización previa del Responsable, conforme a la Sección VIII.
  5. Asistir al Responsable, mediante medidas técnicas y organizativas apropiadas, para que pueda responder a las solicitudes de ejercicio de derechos de los Titulares descritas en la Sección IX.
  6. Asistir al Responsable en el cumplimiento de sus obligaciones de seguridad, notificación de brechas, evaluaciones de impacto y consultas previas a la autoridad de protección de datos competente.
  7. Notificar al Responsable cualquier Brecha de Seguridad sin dilación indebida y en todo caso dentro de las setenta y dos (72) horas siguientes a haber tenido conocimiento de la misma, conforme a la Sección XI.
  8. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA, así como permitir y contribuir a auditorías conforme a la Sección XIII.
  9. Una vez finalizada la prestación de los servicios, devolver o eliminar los Datos Personales conforme a las instrucciones del Responsable y la Sección XV.
  10. Mantener un registro actualizado de las actividades de Tratamiento realizadas por cuenta del Responsable, conforme al artículo 30(2) del GDPR.

VII. Obligaciones del Responsable (Cliente)

El Responsable se obliga a:

  1. Obtener y conservar el consentimiento informado, libre, expreso y específico de los Titulares para el Tratamiento de sus Datos Personales, en los términos exigidos por la Ley 1581 de 2012, el GDPR y la normativa aplicable en cada jurisdicción.
  2. Cuando el Tratamiento incluya Datos Personales Sensibles (incluyendo datos relativos al estado emocional, salud mental o respuestas a cuestionarios socio-emocionales), obtener autorización expresa, escrita y específica del Titular conforme al artículo 6 de la Ley 1581 de 2012 y al artículo 9 del GDPR.
  3. Informar a los Titulares sobre la existencia de este DPA, la identidad de Clio como Encargado, las finalidades del Tratamiento y los derechos que les asisten.
  4. Garantizar que los Datos Personales transferidos a Clio sean veraces, completos, exactos, actualizados, comprobables y comprensibles.
  5. Atender, en primera instancia, las solicitudes de ejercicio de derechos de los Titulares, y trasladar a Clio aquellas que requieran asistencia técnica, conforme a la Sección IX.
  6. Notificar a Clio cualquier modificación en las finalidades del Tratamiento o en las categorías de Datos Personales tratados, mediante actualización al Anexo 1.
  7. Cumplir con sus propias obligaciones como Responsable conforme a la legislación aplicable, incluyendo el registro de bases de datos ante la autoridad competente cuando corresponda.

VIII. Subencargados

El Responsable autoriza a Clio a contratar Subencargados para el Tratamiento de los Datos Personales, siempre que se cumplan las siguientes condiciones:

  1. La lista actual de Subencargados autorizados se encuentra en el Anexo 2.
  2. Clio celebrará con cada Subencargado un contrato escrito que imponga al Subencargado obligaciones de protección de datos sustancialmente equivalentes a las establecidas en este DPA.
  3. Clio será plenamente responsable ante el Responsable por las acciones u omisiones del Subencargado en el Tratamiento de los Datos Personales.
  4. Cuando Clio pretenda incorporar un nuevo Subencargado o reemplazar uno existente, lo notificará al Responsable con al menos treinta (30) días calendario de anticipación, mediante actualización del Anexo 2 publicado en cliocircle.com/dpa y notificación por correo electrónico al contacto designado por el Responsable.
  5. El Responsable podrá oponerse motivadamente a la incorporación de un nuevo Subencargado dentro de los quince (15) días calendario siguientes a la notificación. En tal caso, las Partes negociarán de buena fe una solución alternativa. Si no es posible llegar a un acuerdo, el Responsable podrá terminar el MSA sin penalidad respecto a los servicios afectados.

IX. Derechos de los Titulares

Clio asistirá al Responsable, en la medida de lo posible y mediante medidas técnicas y organizativas apropiadas, para responder a las solicitudes de los Titulares en ejercicio de sus derechos:

Cuando un Titular dirija una solicitud directamente a Clio, Clio remitirá la solicitud al Responsable dentro de los cinco (5) días hábiles siguientes y prestará la asistencia necesaria para que el Responsable pueda responder dentro de los plazos legales aplicables (quince [15] días hábiles bajo la Ley 1581 de Colombia, treinta [30] días bajo el GDPR).

X. Medidas de seguridad

Clio implementará y mantendrá medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme a lo descrito en el Anexo 3.

Estas medidas serán revisadas y actualizadas periódicamente para reflejar el estado de la técnica, los costos de aplicación, la naturaleza, alcance, contexto y finalidades del Tratamiento, así como los riesgos para los derechos y libertades de los Titulares.

XI. Notificación de brechas de seguridad

En caso de Brecha de Seguridad que afecte a los Datos Personales del Responsable, Clio:

  1. Notificará al Responsable sin dilación indebida y, en todo caso, dentro de las setenta y dos (72) horas siguientes a haber tenido conocimiento de la Brecha.
  2. La notificación se realizará por correo electrónico al contacto de seguridad designado por el Responsable, e incluirá como mínimo:
    • La naturaleza de la Brecha, incluyendo, cuando sea posible, las categorías y el número aproximado de Titulares afectados y los tipos y volúmenes de registros afectados.
    • Los datos de contacto del responsable de seguridad de Clio para obtener más información.
    • Las consecuencias probables de la Brecha.
    • Las medidas adoptadas o propuestas para hacer frente a la Brecha y mitigar sus efectos.
  3. Documentará todas las Brechas, incluyendo los hechos relacionados, sus efectos y las medidas correctivas adoptadas.
  4. Cooperará con el Responsable para realizar las notificaciones requeridas a la autoridad de protección de datos competente y, cuando aplique, a los Titulares afectados.

XII. Transferencias internacionales

Clio podrá transferir Datos Personales fuera del país de origen del Titular, incluyendo a Estados Unidos, Unión Europea u otros países donde Clio o sus Subencargados operen. Estas transferencias se realizarán únicamente cuando se cumpla al menos una de las siguientes condiciones:

  1. El país de destino haya sido reconocido por la Comisión Europea o por la SIC como un país que ofrece un nivel adecuado de protección de datos.
  2. Se hayan implementado garantías adecuadas, incluyendo la suscripción de las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea conforme al artículo 46(2)(c) del GDPR, las cuales se incorporan al presente DPA por referencia.
  3. Cuando aplique a transferencias desde Colombia, se cuente con la autorización previa de la SIC o se configure alguna de las excepciones del artículo 26 de la Ley 1581 de 2012 y del Decreto 1377 de 2013.
  4. Exista consentimiento expreso e inequívoco del Titular para la transferencia internacional.

Clio mantendrá un registro de las jurisdicciones a las que transfiere Datos Personales y los pondrá a disposición del Responsable cuando sea solicitado.

XIII. Auditoría e inspección

Clio pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA. Adicionalmente:

  1. El Responsable podrá solicitar, una vez al año durante la vigencia del MSA, una auditoría sobre el cumplimiento de este DPA por parte de Clio. Auditorías adicionales se permitirán únicamente en caso de Brecha de Seguridad o requerimiento de una autoridad competente.
  2. Las auditorías se realizarán en horario laboral, con un preaviso mínimo de treinta (30) días calendario, y de manera que no interfieran indebidamente con la operación de Clio.
  3. El Responsable podrá realizar la auditoría directamente o a través de un auditor independiente sujeto a obligaciones de confidencialidad. Clio podrá objetar al auditor por motivos razonables.
  4. Como alternativa a una auditoría in-situ, el Responsable podrá aceptar reportes de auditoría externa válidos (por ejemplo, SOC 2 Type II, ISO 27001) emitidos en los doce (12) meses anteriores.
  5. Cada Parte asumirá sus propios costos de auditoría, salvo cuando la auditoría revele un incumplimiento material de Clio, en cuyo caso Clio asumirá los costos razonables del Responsable.

XIV. Responsabilidad e indemnización

Cada Parte responderá por los daños efectivamente causados a la otra Parte o a los Titulares como consecuencia del incumplimiento de sus obligaciones bajo este DPA o la legislación aplicable de protección de datos.

La responsabilidad agregada de Clio bajo este DPA estará sujeta a los límites de responsabilidad establecidos en el MSA, salvo en los siguientes casos, en los que no aplicará límite alguno: (i) dolo o culpa grave; (ii) violación de obligaciones de confidencialidad; (iii) sanciones impuestas por autoridades de protección de datos imputables exclusivamente a Clio.

Cada Parte indemnizará a la otra por las multas, sanciones, indemnizaciones y costos legales razonables que ésta deba pagar a Titulares o autoridades como consecuencia directa del incumplimiento de la Parte indemnizante.

XV. Terminación · devolución y eliminación de datos

A la finalización del MSA, por cualquier causa, Clio:

  1. Cesará todo Tratamiento de los Datos Personales del Responsable, salvo el necesario para cumplir con la obligación de devolución o eliminación.
  2. A elección del Responsable, devolverá todos los Datos Personales en un formato estructurado, de uso común y lectura mecánica, o eliminará todos los Datos Personales en su poder y certificará por escrito al Responsable que la eliminación ha sido completada.
  3. El Responsable deberá comunicar su elección dentro de los treinta (30) días calendario siguientes a la terminación del MSA. Transcurrido dicho plazo sin pronunciamiento, Clio procederá con la eliminación definitiva.
  4. Clio completará la devolución o eliminación dentro de los noventa (90) días calendario siguientes a la terminación del MSA o a la recepción de la instrucción del Responsable, lo que sea posterior.
  5. Clio podrá conservar Datos Personales únicamente cuando una obligación legal aplicable le exija hacerlo, en cuyo caso continuará aplicándoles las obligaciones de seguridad y confidencialidad de este DPA hasta su eliminación.
  6. Las copias de seguridad cifradas se eliminarán según el ciclo de retención técnico estándar, no superior a treinta (30) días adicionales tras la eliminación principal.

XVI. Ley aplicable y jurisdicción

Este DPA se rige por las leyes de la República de Colombia, sin perjuicio de la aplicación obligatoria del GDPR, la CCPA u otras normas de protección de datos cuando los Titulares residan en jurisdicciones donde dichas normas resulten aplicables.

Cualquier controversia derivada de este DPA será resuelta de conformidad con lo dispuesto en la cláusula de resolución de disputas del MSA. En ausencia de tal cláusula, las controversias se someterán a la jurisdicción de los jueces de Bogotá D.C., Colombia.

XVII. Modificaciones al DPA

Clio podrá actualizar este DPA cuando sea necesario para reflejar cambios en la legislación aplicable, en las prácticas operativas o en los Subencargados utilizados. Las modificaciones materiales serán notificadas al Responsable con al menos treinta (30) días calendario de anticipación.

Si las modificaciones disminuyen materialmente las protecciones otorgadas a los Datos Personales del Responsable, éste podrá oponerse y, de no llegar a un acuerdo, terminar el MSA sin penalidad.

XVIII. Contacto · Oficial de Protección de Datos

El Oficial de Protección de Datos (DPO) de Clio Circle es el punto de contacto único para cualquier asunto relacionado con este DPA o con el Tratamiento de Datos Personales:

Email: dpo@cliocircle.com
Email general: clio@cliocircle.com
Dirección postal: [VARIABLE — dirección legal de Clio Circle S.A.S.]

Solicitudes de ejercicio de derechos por parte de Titulares: privacy@cliocircle.com

Anexo 1 Detalles del Tratamiento

A. Categorías de Titulares

  • Empleados, contratistas, miembros y colaboradores del Responsable que utilicen el Software de Clio Circle.
  • Representantes legales o tutores cuando el Titular sea menor de edad conforme a la legislación aplicable.

B. Categorías de Datos Personales

CategoríaDatos específicos¿Sensible?
IdentificaciónNombre, apellido, correo electrónico, número de teléfono, fecha de nacimiento, género, país de residencia.No
Vínculo organizacionalCargo, área, equipo, fecha de ingreso, identificador interno asignado por el Responsable.No
Cuestionario socio-emocionalRespuestas a preguntas sobre estilos de afrontamiento, regulación emocional, percepción de bienestar.
Contenido de Clio AITexto libre escrito por el Titular sobre situaciones personales, familiares o laborales.
Datos de usoFrecuencia de uso, secciones visitadas, tiempo de sesión, dispositivo, dirección IP.No
Métricas derivadasPerfil socio-emocional inferido, indicadores de comportamiento, tendencias.

C. Finalidades del Tratamiento

  • Provisión del Software al Responsable para el monitoreo agregado del bienestar socio-emocional de su organización.
  • Generación de perfiles socio-emocionales individuales accesibles al Titular.
  • Generación de métricas y reportes agregados para el Responsable, sin identificación individual cuando aplique segmentación pequeña.
  • Operación de la herramienta Clio AI para interacción del Titular.
  • Soporte técnico y atención de incidencias.
  • Cumplimiento de obligaciones legales y respuesta a requerimientos de autoridades.

D. Duración del Tratamiento

El Tratamiento se realizará durante toda la vigencia del MSA y por el período adicional necesario para completar la devolución o eliminación de los Datos Personales conforme a la Sección XV. Las copias de respaldo cifradas se conservarán por un máximo de treinta (30) días adicionales.

E. Naturaleza del Tratamiento

Recolección, almacenamiento, organización, análisis automatizado, generación de perfiles, anonimización, agregación estadística, transmisión cifrada y eliminación.

Anexo 2 Subencargados autorizados

La siguiente es la lista vigente de Subencargados que Clio Circle utiliza para la prestación de los servicios. La lista actualizada se mantiene en cliocircle.com/dpa.

SubencargadoServicioUbicación del tratamientoTipo de datos
Amazon Web Services, Inc.Hosting, almacenamiento, base de datosEE.UU. (us-east-1)Todos los datos cifrados
OpenAI, L.L.C.Procesamiento de lenguaje natural para Clio AIEE.UU.Texto de Clio AI (sin retención por OpenAI bajo Zero Data Retention)
Vercel Inc.Hosting de frontend y edge functionsGlobal (CDN)Identificadores de sesión, no datos sensibles
Google LLC (Workspace)Email transaccional, calendario (plugin Gmail Add-on)EE.UU.Email del Titular, contenido de notificaciones
Stripe, Inc.Procesamiento de pagos del ResponsableEE.UU.Datos de facturación del Responsable, no Datos Personales de Titulares
Sentry / observabilidadMonitoreo de erroresEE.UU.Logs técnicos sin datos personales identificables

Nota: la lista de subencargados arriba es un borrador y debe ser confirmada con la operación real antes de la primera firma. Cualquier proveedor adicional (analytics, soporte, CRM) debe agregarse antes de su uso.

Cambios a la lista de Subencargados

Clio notificará al Responsable con al menos 30 días de anticipación cualquier incorporación o reemplazo de Subencargados. El Responsable podrá objetar dentro de los 15 días siguientes conforme a la Sección VIII.

Anexo 3 Medidas Técnicas y Organizativas (TOMs)

Clio implementa las siguientes medidas para garantizar la seguridad de los Datos Personales, conforme al artículo 32 del GDPR y al artículo 19 del Decreto 1377 de 2013.

A. Cifrado

  • Cifrado en tránsito mediante TLS 1.2 o superior para toda comunicación con el Software.
  • Cifrado en reposo mediante AES-256 para bases de datos, almacenamiento de archivos y copias de respaldo.
  • Gestión de llaves criptográficas mediante AWS KMS u equivalente, con rotación periódica.

B. Control de accesos

  • Autenticación de dos factores (2FA) obligatoria para todo personal de Clio con acceso a sistemas de producción.
  • Principio de mínimo privilegio: cada miembro del equipo tiene acceso solo a los recursos estrictamente necesarios para su función.
  • Revisión trimestral de privilegios de acceso.
  • Revocación inmediata de accesos al término de la relación laboral o contractual.
  • Registro (logging) y monitoreo de todos los accesos a sistemas de producción y bases de datos.

C. Seguridad de la infraestructura

  • Segregación de entornos: producción, staging y desarrollo aislados con redes virtuales separadas.
  • Firewalls de aplicación web (WAF) y protección contra DDoS en el perímetro.
  • Actualizaciones de seguridad aplicadas conforme a su criticidad: críticas en menos de 72 horas, altas en menos de 7 días.
  • Análisis automatizado de vulnerabilidades en dependencias y código.

D. Pseudonimización y minimización

  • Reemplazo de identificadores directos por identificadores artificiales (UUID) en sistemas internos de análisis.
  • Anonimización de datos en reportes agregados cuando los segmentos no permitan reidentificación (mínimo de N=5 Titulares por segmento).
  • Recolección únicamente de los datos estrictamente necesarios para las finalidades descritas en el Anexo 1.

E. Continuidad del servicio

  • Copias de respaldo cifradas, automatizadas y diarias.
  • Tiempo objetivo de recuperación (RTO): 4 horas. Punto objetivo de recuperación (RPO): 24 horas.
  • Plan de continuidad del negocio probado al menos una vez al año.

F. Personal y procesos

  • Acuerdos de confidencialidad firmados por todo el personal y contratistas con acceso a Datos Personales.
  • Capacitación anual obligatoria en protección de datos y seguridad de la información.
  • Procedimiento documentado de respuesta a incidentes de seguridad.
  • Designación de un Oficial de Protección de Datos (DPO) accesible en dpo@cliocircle.com.

G. Auditoría y certificaciones

  • Pruebas de penetración (penetration testing) realizadas por terceros independientes con frecuencia anual.
  • Roadmap hacia certificación SOC 2 Type II e ISO/IEC 27001 (en progreso).
  • Reportes de auditoría disponibles bajo NDA para clientes Enterprise.

Nota: las medidas descritas reflejan la línea base operativa actual y el roadmap de seguridad. Las certificaciones formales (SOC 2, ISO 27001) están en proceso y se actualizarán en este Anexo a medida que se completen.

Firmas

Las Partes manifiestan haber leído, comprendido y aceptado el contenido íntegro del presente Acuerdo de Tratamiento de Datos Personales y sus Anexos, y lo firman en señal de conformidad.

Por el Responsable (Cliente)
Nombre: [VARIABLE]
Cargo: [VARIABLE]
Empresa: [VARIABLE]
NIT/Tax ID: [VARIABLE]
Fecha: ___ / ___ / ______
Por el Encargado (Clio Circle)
Nombre: [VARIABLE]
Cargo: Representante Legal
Empresa: Clio Circle S.A.S.
NIT: [VARIABLE]
Fecha: ___ / ___ / ______