ACUERDO DE ENCARGO DE TRATAMIENTO DE DATOS PERSONALES

● RESPONSABLE DEL TRATAMIENTO: [XXXXXXXXXXXX] identificada con NIT. [XXXXXXXXXXXX] y domicilio

en la [XXXXXXXXXXXX], [XXXXXXXXXXXX], [XXXXXXXXXXXX] en adelante [XXXXXXXXXXXX] o EL
RESPONSABLE.
● ENCARGADO DEL TRATAMIENTO: [XXXXXXXXXXXX] identificada con NIT. [XXXXXXXXXXXX] y domicilio en
la [XXXXXXXXXXXX], [XXXXXXXXXXXX], [XXXXXXXXXXXX] en adelante [XXXXXXXXXXXX] o EL ENCARGADO.

Cada uno de ellos la “Parte”, y en conjunto las “Partes”, han convenido celebrar el presente Acuerdo, el cual se
regirá por las siguientes cláusulas:

1. DEFINICIONES E INTERPRETACIÓN

1.1. Autorización: Consentimiento previo, expreso e informado del Titular de los Datos Personales para llevar a
cabo el Tratamiento de Datos Personales.
1.2. Base de datos: Conjunto organizado de Datos Personales que sea objeto de Tratamiento.
1.3. Consulta: Solicitud del Titular del dato o de las personas autorizadas por éste o por la ley para conocer la
información que reposa sobre ella en bases de datos o archivos.
1.4. Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales
determinadas o determinables.
1.5. Dato Público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre
otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante
o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en
registros públicos, documentos públicos, gacetas y boletines oficiales, y sentencias judiciales debidamente
ejecutoriadas que no estén sometidas a reserva.
1.6. Dato Personal Privado: Toda información personal que tiene un conocimiento restringido, y en principio
privado para el público en general.
1.7. Dato Semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo
conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a
la sociedad en general.
1.8. Dato Sensible: Es una categoría especial de datos de carácter personal especialmente protegido, por
tratarse de aquellos concernientes a la salud, sexo, filiación política, raza u origen étnico, huellas
biométricas, entre otros, que hacen parte del fuero íntimo de la persona y pueden ser recolectados
únicamente con el consentimiento expreso e informado de su Titular, informándole previamente que no
está obligado a autorizar su tratamiento, y en los casos previstos en la ley.
1.9. Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con
otros, realiza el Tratamiento de Datos Personales por cuenta del RESPONSABLE del Tratamiento.
1.10. Incidente de seguridad de datos personales: Un Incidente de seguridad de datos personales se refiere a la
violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de datos personales que
sean tratados bien sea por el responsable del Tratamiento o por su Encargado.
1.11. LEPDP: significa “Ley 1581 de 2012 Por la cual se dictan disposiciones generales para la protección de datos
personales”.
1.12. Principios para el Tratamiento: Son las reglas fundamentales, de orden legal y/o jurisprudencial, que
inspiran y orientan el Tratamiento de Datos Personales, a partir de los cuales se determinan acciones y
criterios para dar solución a la posible colisión entre el derecho a la intimidad, habeas data y protección de
los Datos Personales, y el derecho a la información.
1.13. Reclamo: Solicitud del Titular del dato o de las personas autorizadas por éste o por la Ley para corregir,
actualizar o suprimir sus Datos Personales o para revocar la autorización en los casos establecidos en la ley.

Página 1 de 13
1.14. Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio
con otros, decide sobre la base de datos y/o el Tratamiento de los datos.
1.15. Titular: Persona natural cuyos Datos Personales sean objeto de Tratamiento.
1.16. Transferencia: La Transferencia de datos tiene lugar cuando EL RESPONSABLE y/o ENCARGADO del
Tratamiento de Datos Personales, envía la información o los Datos Personales a un receptor, que a su vez es
RESPONSABLE del Tratamiento, y se encuentra dentro o fuera de Colombia.
1.17. Transmisión: Tratamiento de Datos Personales que implica la comunicación de estos dentro o fuera del
territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el
ENCARGADO por cuenta del RESPONSABLE.
1.18. Tratamiento: Cualquier operación o conjunto de operaciones y procedimientos técnicos de carácter
automatizado o no que se realizan sobre Datos Personales, tales como la recolección, grabación,
almacenamiento, conservación, uso, circulación, modificación o supresión, entre otros.

2. OBJETO DE ESTE ACUERDO

2.1. El objeto del presente acuerdo es determinar de manera clara y precisa los propósitos y la manera en que
los Datos Personales pueden ser accedidos o tratados por EL ENCARGADO.
2.2. Las Partes han celebrado un Contrato de prestación de servicios con el fin de beneficiarse de las
capacidades del encargado para asegurar y procesar los Datos Personales para los fines establecidos en el
Anexo 2. Las disposiciones de este Acuerdo de tratamiento de datos regirán y permanecerán vigentes
incluso en caso de conflicto entre cualquier disposición del Contrato.

En el Anexo 2 se proporciona una descripción general de las categorías de Datos personales, las categorías de los
Sujetos de datos, la naturaleza y fines para los que se procesan los Datos personales.

3. PROPIEDAD DE LA INFORMACIÓN

3.1 Las bases de datos, los manuales de procedimiento y la documentación relacionada con el tratamiento que se
asigne a EL ENCARGADO son propiedad del RESPONSABLE. Por lo tanto, EL ENCARGADO no podrá en manera
alguna, directa ni indirectamente, utilizarla para fines distintos al encargo de tratamiento que aquí se
establece; queda expresamente prohibida la reproducción y utilización de tales materiales, documentos e
insumos por parte de EL ENCARGADO, para fines distintos del presente encargo y con posterioridad a su
ejecución. En esta medida EL ENCARGADO no podrá utilizar comercialmente los datos que le suministre EL
RESPONSABLE, ni para fines distintos al encargo del tratamiento que aquí se establece, ni compartirlos, ni
enajenarlos, ni prestar con ellos servicios a terceros, no podrá eliminar, alterar ni modificar los títulos, marcas
registradas, propiedad intelectual y avisos de derechos limitados que se encuentren en ellos. EL ENCARGADO
se obliga a administrar técnica y adecuadamente la información, siguiendo las indicaciones recibidas del
RESPONSABLE.

4. EL RESPONSABLE DEL TRATAMIENTO y EL ENCARGADO DEL TRATAMIENTO

4.1 EL ENCARGADO tratará los Datos Personales solo como se establece en las instrucciones dadas por
RESPONSABLE y no tratará Datos Personales a menos que el RESPONSABLE lo instruya de manera explícita.
4.2 EL ENCARGADO solo tratará los Datos Personales mediante instrucciones documentadas del RESPONSABLE, en
la medida en que esto sea necesario para el cumplimiento del objeto del presente Acuerdo.
4.3 Si EL ENCARGADO cree razonablemente que se requiere una actividad de tratamiento específica más allá del
alcance de las instrucciones dadas por el RESPONSABLE para cumplir con una obligación legal que se
encuentre a cargo de ésta, EL ENCARGADO deberá informar y solicitar autorización explícita de RESPONSABLE
antes de iniciar dicho tratamiento.
4.4 EL ENCARGADO notificará inmediatamente al RESPONSABLE de datos si, en su opinión, alguna de las
instrucciones otorgadas infringe las disposiciones de la LEPDP. Dicha notificación no constituirá una obligación

Página 2 de 13
 general por parte del ENCARGADO para monitorear o interpretar las leyes aplicables al RESPONSABLE, ni
constituirá asesoramiento legal para esta.
4.5 EL ENCARGADO podrá ejercer su propio criterio en la selección y el uso de los medios que considere
necesarios para alcanzar fines establecidos en el Anexo 2, siempre que tal discreción sea compatible con los
dispuesto en este Acuerdo.
4.6 RESPONSABLE garantiza que cuenta con todos los derechos necesarios para permitir el tratamiento de datos
para que EL ENCARGADO cumpla con las obligaciones estipuladas en este acuerdo.

5. CONFIDENCIALIDAD

5.1 Sin perjuicio de los acuerdos contractuales existentes entre las Partes, EL ENCARGADO tratará todos los Datos
Personales como confidenciales e informará a todos sus empleados, agentes o SUBENCARGADOS que
participan en el tratamiento de los Datos Personales.
5.2 EL ENCARGADO garantiza que las personas que tengan acceso a la información, incluyendo a sus directores,
empleados, dependientes o asesores, reconozcan su carácter confidencial. En consecuencia, se obliga a que
todo el personal que de manera necesaria deba conocer la información, suscriba los compromisos de
confidencialidad correspondientes; así mismo se obliga a tomar e implementar todas las medidas necesarias
para impedir que la información confidencial sea copiada, divulgada, revelada o utilizada en forma indebida o
no autorizada.
5.3 EL ENCARGADO protegerá la confidencialidad de la información verbal, escrita o que por cualquier otro medio
reciba, restringiendo su uso de manera exclusiva a sus directores, empleados dependientes o asesores que
tengan absoluta necesidad de conocerla.
5.4 EL ENCARGADO se abstendrá de copiar, divulgar o revelar a cualquier título la información objeto de
protección, salvo que el RESPONSABLE autorice por escrito efectuar esa operación.

6. SEGURIDAD

Teniendo en cuenta el estado del arte, los costos de implementación, la naturaleza, el alcance, el contexto, los
propósitos del tratamiento y el riesgo potencial que el tratamiento podría causar a los derechos y libertades de los
titulares de información personal, EL ENCARGADO, implementará las medidas técnicas, legales y organizacionales
necesarias para garantizar un nivel de seguridad adecuado al riesgo que pueda causar dicho tratamiento. Estas
medidas incluirán, como mínimo, las medidas de seguridad acordadas por las Partes en el Anexo 3.

6.1 EL ENCARGADO mantendrá por escrito políticas y procedimientos para gestionar los riesgos y amenazas de
seguridad de la información y ciberseguridad, incluyendo la adopción de estándares internacionalmente
aceptados de conformidad con las líneas de negocio y servicios prestados por EL ENCARGADO. Como
mínimo, tales políticas deben incluir la asignación de responsabilidades internas para la gestión de la
seguridad de la información, dedicar recursos de personal adecuados, llevar a cabo verificaciones de
personal permanente que tendrá acceso a los datos personales, requerir a los empleados , proveedores y
otras personas con acceso a los Datos Personales para celebrar contratos por escrito de confidencialidad, y
capacitación en materia de privacidad y seguridad de la información para que los empleados y otras
personas con acceso a los Datos Personales conozcan los riesgos de seguridad de la información que
presenta el tratamiento de datos.
6.2 Permitir al RESPONSABLE o a quien este designe, la realización de auditorías durante la ejecución del
presente Acuerdo, con el fin de verificar el cumplimiento de los procesos que EL ENCARGADO ejecute para
prevenir, detectar, responder, recuperar la información de RESPONSABLE ante un Evento de seguridad de la
información, Ciberseguridad o un Incidente.
6.3 EL ENCARGADO cooperará con dichas auditorías llevadas a cabo por o en nombre del RESPONSABLE y
otorgará a los auditores de ésta acceso razonable a cualquier instalación o dispositivo involucrado con el
Tratamiento de los Datos Personales sobre los cuales EL RESPONSABLE ostente la calidad de RESPONSABLE.

Página 3 de 13
6.4 EL ENCARGADO deberá proporcionar al RESPONSABLE y/o los auditores de ésta, acceso a cualquier
información relacionada con el Tratamiento de Datos Personales que RESPONSABLE pueda requerir
razonablemente para determinar el cumplimiento de la LEPDP y este Acuerdo por parte del ENCARGADO
6.5 A solicitud del RESPONSABLE, EL ENCARGADO deberá demostrar las medidas que ha tomado de
conformidad con la cláusula 6 y el anexo 3 del presente Acuerdo, en un término no mayor a 48 horas.

7. MEJORAS A LA SEGURIDAD

7.1 Las Partes reconocen que los requisitos de seguridad cambian constantemente y que la seguridad efectiva
requiere evaluaciones frecuentes y mejoras regulares de las medidas de seguridad obsoletas. Por lo tanto, EL
ENCARGADO evaluará las medidas implementadas de conformidad con el Artículo 6 de manera continua con
el fin de mantener el cumplimiento de los requisitos establecidos en el mencionado artículo.

8. TRANSFERENCIAS Y TRANSMISIONES DE DATOS

8.1 EL ENCARGADO notificará sin demora a RESPONSABLE cualquier transferencia y/o transmisión planificada,
permanente o temporal de Datos Personales a un tercer país y solo realizará dicha transferencia y/o
transmisión después de obtener autorización explícita del RESPONSABLE. El Anexo 4 proporciona información
sobre cuales transferencias y/o transmisiones son permitidas por EL RESPONSABLE.

9. OBLIGACIONES DE INFORMACIÓN Y GESTIÓN DE INCIDENTES

9.1 Cuando EL ENCARGADO se enteré que un incidente de seguridad de datos personales afecta información
de titulares que se procesa en virtud del presente Acuerdo, informará inmediatamente al RESPONSABLE
acerca del incidente, cooperará en todo momento y seguirá las instrucciones dadas por EL RESPONSABLE
respecto a tales incidentes, a fin de permitir que RESPONSABLE realice una investigación exhaustiva,
formule una respuesta correcta y tome las medidas adicionales que sean adecuadas respecto al incidente
sufrido.
9.2 El término "incidente" utilizado en el Artículo 9.1. se entenderá en cualquier caso así:
b) Ocurrencia de una situación que afecta la protección o el aseguramiento de los datos, sistemas y
aplicaciones que son esenciales para el negocio
d) Cualquier acceso no autorizado o accidental, tratamiento, eliminación, pérdida o cualquier forma de
tratamiento ilegal de los Datos Personales;
e) cualquier violación de la seguridad y / o confidencialidad según lo establecido en los artículos 5 y 6 de
este Acuerdo.
f) A la destrucción accidental, ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos
personales, o cualquier indicio de que dicho incumplimiento haya tenido lugar o esté a punto de producirse;
9.3 EL ENCARGADO debe contar con procedimientos escritos que le permitan responder e informar de manera
inmediata al RESPONSABLE sobre la ocurrencia del incidente para que este reporte dicha situación en el
RNBD.
9.4 Cualquier notificación hecha al RESPONSABLE de conformidad con esta cláusula 9 del presente Acuerdo,
deberá dirigirse al empleado del RESPONSABLE cuyos datos de contacto se proporcionan en el Anexo 1 de
este Acuerdo, y deberá contener como mínimo la siguiente información:
a) Fecha y hora, detalle de lo ocurrido, recurso afectado, acciones de remediación aplicadas o
pendientes de aplicación, estado del Incidente al momento del reporte y tiempo máximo de solución
al Incidente
b) Descripción de la naturaleza del incidente, incluidas, cuando sea posible, los tipos de datos
comprometidos, número aproximado de titulares afectados y registros de datos personales.
c) Nombre y los datos de contacto del oficial de protección de datos del ENCARGADO u otro punto de
contacto donde se puede obtener más información;
d) Descripción de las posibles consecuencias del incidente; y

Página 4 de 13
 e) Descripción detallada de las medidas tomadas o propuestas a ser tomadas por EL ENCARGADO para
abordar el incidente, incluyendo, cuando sea apropiado, medidas para mitigar sus posibles efectos
adversos.
9.4 EL ENCARGADO deberá realizar todas las medidas tendientes a solucionar el Incidente y a cumplir todas las
solicitudes o requerimientos que EL RESPONSABLE considere pertinentes. EL ENCARGADO se obliga a
conservar todos los soportes y evidencias del Incidente y de las actividades realizadas como respuesta a
dicho Incidente por un término de 10 años. En caso de que sea requerido por una autoridad competente, EL
ENCARGADO suministrará la información necesaria para atender la respectiva solicitud.
PARÁGRAFO: EL ENCARGADO se obliga a indemnizar al RESPONSABLE y a terceros afectados, por la
totalidad de perjuicios derivados del incumplimiento de las obligaciones establecidas en esta cláusula.

10 CONTRATACIÓN CON SUB ENCARGADOS DEL TRATAMIENTO

10.1 El ENCARGADO declara y garantiza que en caso de que sea necesario sub encargar los Datos Personales a
terceros, pondrá esta circunstancia en conocimiento del RESPONSABLE, debiendo obtener previa
autorización por escrito del RESPONSABLE para realizar dicho sub-encargo.
10.2 En caso de que EL ENCARGADO pretenda subcontratar con terceros la ejecución del presente Acuerdo y el
subcontratista, si fuera contratado, deba acceder a Datos Personales, EL ENCARGADO lo pondrá en
conocimiento previo del RESPONSABLE, identificando qué tratamiento de datos personales conlleva, para
que RESPONSABLE decida, en su caso, si otorgar o no su autorización a dicha subcontratación. En todo caso,
para autorizar la contratación, es requisito que se cumplan las siguientes condiciones (si bien, aun
cumpliéndose las mismas, corresponde al RESPONSABLE la decisión de si otorgar, o no, dicho
consentimiento):
a) Que el tratamiento de datos personales por parte del subcontratista se ajuste a la legalidad vigente,
lo contemplado en este documento y a las instrucciones del RESPONSABLE.
b) Que EL ENCARGADO y la empresa subcontratista formalicen un contrato de encargo de tratamiento,
el cual será puesto a disposición del RESPONSABLE al momento de su solicitud para verificar su
existencia y contenido.
c) EL ENCARGADO informará a RESPONSABLE de cualquier cambio previsto en la incorporación o
sustitución de otros subcontratistas, dando así al RESPONSABLE la oportunidad de otorgar el
consentimiento previsto en esta cláusula.
d) La no respuesta del RESPONSABLE a dicha solicitud por EL ENCARGADO equivale a oponerse a dichos
cambios.

11 DEVOLUCIÓN O DESTRUCCIÓN DE DATOS PERSONALES

11.1 Tras el cumplimiento de todos los fines acordados en el contexto del presente Acuerdo que no requiera
ningún tratamiento adicional, EL ENCARGADO deberá: 1. Entregar dentro de los tres (3) días hábiles
siguientes a la terminación del presente Acuerdo, toda la información que haya obtenido durante el
tratamiento llevado a cabo, 2. Eliminar los Datos Personales objeto del presente encargo y certificar esta
circunstancia a RESPONSABLE dentro de los XX (XX) días hábiles siguientes a la terminación del presente
Acuerdo o a la fecha en la que el RESPONSABLE así lo solicite. En el evento en que la legislación aplicable al
ENCARGADO le impida eliminar total o parcialmente los Datos Personales encargados, éste guardará
secreto sobre los datos y no volverá a someterlos a Tratamiento. En este último evento, dicha información
deberá permanecer bloqueada e implementar las medidas de seguridad adecuadas para garantizar su
conservación. La eliminación, así como el proceso de devolución deberá constar en acta que deberá ser
suscrita por el ENCARGADO, y entregada en los mismos términos de este numeral.
11.2 Igualmente, EL ENCARGADO deberá notificar a todos los terceros que respaldan su propio tratamiento de
Datos Personales de la terminación del presente Acuerdo y se asegurará de que dichos terceros destruyan
los Datos Personales o devuelvan los Datos Personales al RESPONSABLE en el término establecido en el
presente artículo.

Página 5 de 13
12 ASISTENCIA AL RESPONSABLE DEL TRATAMIENTO DE DATOS

12.1 EL ENCARGADO ayudará en la medida de lo posible al RESPONSABLE con las medidas técnicas, legales y
organizativas adecuadas y necesarias, para cumplir la obligación del RESPONSABLE de responder a las
solicitudes de ejercicio de los derechos de protección de datos de los titulares en virtud de la LEPDP.
12.2 EL ENCARGADO deberá poner a disposición del RESPONSABLE toda la información necesaria en un término
no mayor a 48 horas para demostrar el cumplimiento de acuerdo con el principio de responsabilidad
demostrada en materia de protección de datos, además de permitir y contribuir a las auditorías, incluidas
las inspecciones, que pueda realizar EL RESPONSABLE u otro auditor ordenado por esta.

13 CLÁUSULA PENAL

13.1 El incumplimiento muy grave debidamente probado de las obligaciones del presente acuerdo dará lugar a
que EL ENCARGADO pague a título de pena a favor de la otra PARTE VEINTE SALARIOS MÍNIMOS LEGALES
MENSUALES VIGENTES (20 SMLMV) por cada evento, salvo circunstancias de fuerza mayor o caso fortuito
conforme a las definiciones del artículo 1° de la Ley 95 de 1890.

Para efectos de esta cláusula se entenderá como incumplimiento muy grave cualquiera de los siguientes eventos:

Eventos
Incumplimiento de las medidas de seguridad, en los términos de la cláusula sexta de este acuerdo de
tratamiento de datos, así como el incumplimiento de las obligaciones de confidencialidad, seguridad
física y lógica de la información, suplantación o pérdida de documentos previstas en este acuerdo y sus
anexos.

Incumplimiento de cualquiera de las obligaciones establecidas en la cláusula 9 del presente acuerdo

PARÁGRAFO PRIMERO: Las PARTES dejan expresa constancia que la presente cláusula no constituye una
estimación anticipada de los perjuicios y, por lo tanto, esta no obsta para que la parte cumplida pueda iniciar las
acciones legales correspondientes para perseguir la indemnización de los perjuicios causados. Igualmente, las
partes convienen de manera expresa que este acuerdo prestará mérito ejecutivo de conformidad con lo estipulado
en el artículo 422 del Código General del Proceso, sin necesidad de que la parte que pretenda su ejecución tenga
que hacer algún requerimiento a la otra parte, o deba constituirla en mora o en incumplimiento, beneficios a los
cuales se renuncia, de acuerdo con lo previsto en el artículo 1608 y siguientes del Código Civil.

PARÁGRAFO SEGUNDO: La acumulación de XXXXXX eventos que constituyan incumplimiento muy grave le darán al
RESPONSABLE el derecho de terminar el presente Acuerdo de manera unilateral y sin que haya lugar al
reconocimiento y pago de indemnización de perjuicios.

14 MULTAS

En caso de que esté debidamente probado que el ENCARGADO incumplió total o parcialmente las obligaciones
previstas en el Acuerdo de Tratamiento de Datos y/o en sus Anexos, por causas imputables a este, deberá pagar a
favor del RESPONSABLE una multa equivalente a CINCO SALARIOS MÍNIMOS MENSUALES LEGALES VIGENTES (5
SMLMV) por cada evento grave; TRES SALARIOS MÍNIMOS LEGALES MENSUALES VIGENTES (3 SMLMV) por cada
dos eventos graves que se presenten en un rango de 6 meses y UN SALARIO MÍNIMO LEGAL MENSUAL VIGENTE (1
SMLMV) por cada tres eventos leves que se presenten en un rango de tiempo de 6 meses.

Página 6 de 13
Para efectos de esta cláusula los eventos y la tipificación que dará lugar a la imposición de las multas es la
siguiente:

Evento para sancionar Tipificación

Comisión de un delito informático por un hecho
probado y atribuible al ENCARGADO, su Grave
directores, empleados dependientes o asesores
Por motivo del pliego de cargos o requerimientos
formulados por la autoridad de protección de Grave
datos
Falta de autorización para el tratamiento de datos
de algún titular del dato de la base de datos o
Leve
falta en el protocolo en el tratamiento de datos
por un agente

PARÁGRAFO: Independiente de la existencia de esta cláusula nada obsta para que RESPONSABLE pueda ejercer los
derechos y las acciones que correspondan.

15 RESPONSABILIDAD E INDEMNIDAD

15.1 Con la firma del presente Acuerdo, el ENCARGADO acepta (i) mantener indemne y libre de daño al
RESPONSABLE, así como a sus asociados, directores y empleados (cada uno, la “Persona Indemnizada”) de
toda pérdida, demanda, daño, o responsabilidad de cualquier clase que sufran terceros en general,
relacionados con perjuicios ocasionados como consecuencia de hechos directamente relacionados con las
actividades realizadas por el ENCARGADO, y (ii) a reembolsar a cada una de las Personas Indemnizadas
todos los costos o gastos que razonablemente sean incurridos por dichas Personas Indemnizadas
(incluyendo honorarios razonables de abogados), en relación con cualquier investigación, preparación, o
defensa en cualquier procedimiento administrativo o judicial que se surta en cualquier jurisdicción y que
resulte directamente de las actividades objeto del presente Acuerdo.

15 DURACIÓN Y TERMINACIÓN

15.1 Este Acuerdo entrará en vigor desde la suscripción de este.

15.2 EL ENCARGADO tratará Datos Personales hasta [XXXXXXXXXXXX] [la fecha de vencimiento o terminación del
contrato de prestación de servicios suscrito, a menos que EL RESPONSABLE indique lo contrario o hasta que
dichos datos sean devueltos o destruidos por instrucciones del RESPONSABLE.]
15.3 La terminación o el vencimiento de este Acuerdo no eximirá al ENCARGADO de sus obligaciones de
confidencialidad de conformidad con el Artículo 5 y demás artículos concordantes.

16 VARIOS

16.1 En caso de cualquier incoherencia o diferencia entre las disposiciones de este Acuerdo y las disposiciones
del Contrato prevalecerán las disposiciones de este Acuerdo de tratamiento de datos
16.2 Este Acuerdo de tratamiento de datos se rige por las leyes de Colombia.

17 POLÍTICAS DE TRATAMIENTO DE DATOS Y MANUAL ATENCIÓN DE CONSULTAS Y RECLAMACIONES

17.1 Las políticas de tratamiento de datos personales y el manual interno de políticas y procedimientos para
atender consultas y reclamaciones de LAS PARTES hacen parte integral del presente Acuerdo.

Página 7 de 13
18 FIRMA ELECTRÓNICA

18.1 Las Partes declaran que este Acuerdo es legalmente vinculante y renuncian expresamente a interponer una
acción con el fin de invalidar su contenido por el solo hecho de usarse el “Intercambio Electrónico de Datos”
(firma electrónica) en cumplimiento de la ley 527 de 1999 y el Decreto 2364 de 2.012.

Para constancia de lo aquí acordado, se firma este Acuerdo a los _________ días del mes de _________ del año
20_____ en dos (2) originales del mismo tenor, uno para cada una de las Partes.

EL RESPONSABLE EL ENCARGADO

[XXXXXXXXXXXX] [XXXXXXXXXXXX]
NIT. [XXXXXXXXXXXX] NIT. [XXXXXXXXXXXX]
[XXXXXXXXXXXX] [XXXXXXXXXXXX]
Representante Legal Representante Legal

Página 8 de 13
 ANEXO 1

INFORMACIÓN DE CONTACTO DEL OFICIAL DE PROTECCIÓN DE DATOS DE RESPONSABLE:

Nombre: ______________
Cargo: ______________
Número telefónico fijo y celular: ______________
Correo electrónico: ______________

INFORMACIÓN DE CONTACTO DEL OFICIAL DE PROTECCIÓN DE DATOS DEL ENCARGADO.

Nombre: ______________
Cargo: ______________
Número telefónico fijo y celular: ______________
Correo electrónico: ______________

Página 9 de 13
 ANEXO 2

MARCAR LOS TIPOS y CATEGORIAS DATOS PERSONALES QUE SE PROCESARÁN EN EL ALCANCE DEL CONTRATO
DE PRESTACIÓN DE SERVICIOS POR PARTE DEL ENCARGADO Y FINALIDADES APLICABLES:
DATOS DE NOMBRE, APELLIDO, DOMICILIO,
IDENTIFICACIÓN TELÉFONO, CORREO ELECTRÓNICO,
FIRMA, CC, NIT, RUT, FECHA DE
NACIMIENTO, EDAD, NACIONALIDAD,
ESTADO CIVIL, SEXO, IMAGEN,
DIRECCIÓN DE IP.
DATOS LABORALES CARGO, EMPLEADOR, DOMICILIO,
CORREO ELECTRÓNICO CORPORATIVO,
TELÉFONO DEL TRABAJO, SALARIO,
SANCIONES, LICENCIAS, EPS, APORTES,
HISTORIAL EN LA COMPAÑÍA, ETC.
DATOS INFORMACIÓN TRIBUTARIA, HISTORIAL
PATRIMONIALES CREDITICIO, CUENTAS BANCARIAS,
INGRESOS Y EGRESOS, INFORMACIÓN
DE CONSUMOS, SITUACIÓN DE
SOLVENCIA, ETC.
DATOS HV, TRAYECTORIA ACADÉMICA, TÍTULOS,
ACADÉMICOS CERTIFICADOS, CONDICIÓN DE
ESTUDIANTE, CALIFICACIONES, ETC.
DATOS CREENCIAS RELIGIOSAS, AFILIACIÓN
IDEOLÓGICOS POLÍTICA, SINDICAL, PERTENENCIA A
ORGANIZACIONES DE LA SOCIEDAD
CIVIL, ASOCIACIONES RELIGIOSAS, ETC.
DATOS DE SALUD ESTADO DE SALUD FÍSICA Y MENTAL,
HISTORIAL CLÍNICO, ENFERMEDADES,
INFORMACIÓN RELACIONADA CON
CUESTIONES DE CARÁCTER
PSICOLÓGICO, PSIQUIÁTRICO, INCA, ETC.
CARACTERÍSTICAS TIPO DE SANGRE, ADN, HUELLA DIGITAL,
PERSONALES Y ALTURA, PESO, DISCAPACIDADES, COLOR
FÍSICAS DE PIEL, IRIS, SEÑALES PARTICULARES,
ETC.
VIDA Y HÁBITOS ORIGEN ÉTNICO Y RACIAL, ORIENTACIÓN
SEXUALES SEXUAL, ANÁLISIS DE PERFILES, ETC.

TIPOS DE DATOS
SENSIBLES X
PRIVADOS x
SEMI PRIVADOS
PÚBLICOS
TIPOS DE TRATAMIENTO
CAPTURA
REGISTRO

Página 10 de 13
ESTRUCTURACIÓN
MODIFICACIÓN
CONSERVACIÓN O
ALMACENAMIENTO
EXTRACCIÓN
CONSULTA x
CESIÓN
DIFUSIÓN
INTERCONEXIÓN x
(CRUCE)
COTEJO O x
COMPARACIÓN
LIMITACIÓN
SUPRESIÓN
OTROS

FINALIDADES APLICABLES

EL ENCARGADO DEL TRATAMIENTO APLICARÁ LAS SIGUIENTES FINALIDADES

Página 11 de 13
 ANEXO 3
MEDIDAS DE SEGURIDAD

EL ENCARGADO deberá en todo momento:

1. Garantizar que solo personal autorizado pueda acceder a los datos personales para los fines establecidos en
el Anexo 2 de este Acuerdo de tratamiento de datos;
2. Tomar todas las medidas razonables para evitar el acceso no autorizado a los Datos Personales mediante el
uso de controles de entrada físicos y lógicos (contraseñas) adecuados,
3. Utilizar contraseñas seguras, tecnología de detección de intrusos de red, tecnología de encriptación y
autenticación, procedimientos de inicio de sesión seguros y protección contra virus;

Página 12 de 13
4. Tomar en cuenta todos los riesgos que se presentan al procesar, por ejemplo, destrucción, pérdida o
alteración accidental o ilegal, almacenamiento, tratamiento, acceso o divulgación no autorizados o ilícitos
de Datos Personales;
5. Garantizar la seguridad a través de mecanismos de cifrado de los datos personales, según corresponda;
6. Garantizar la seguridad en el transporte de documentación que contenga datos personales de todo tipo,
especialmente datos sensibles.
7. Garantizar el cifrado de los datos personales sensibles tanto en dispositivos extraíbles, discos duros de
portátiles y computadoras, servidores, etc.
8. Mantener la capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia
constantes de los sistemas y servicios de tratamiento;
9. Mantener la capacidad de restablecer la disponibilidad y el acceso a los Datos personales de manera
oportuna en caso de un incidente físico o técnico;
10. Implementar un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas,
legales y organizacionales para garantizar la seguridad del tratamiento de los datos personales;
11. Monitorear el cumplimiento de la LEPDP y la política de tratamiento del RESPONSABLE de manera continua;
12. Implementar medidas para identificar vulnerabilidades con respecto al tratamiento de Datos Personales en
sistemas utilizados para proporcionar servicios al RESPONSABLE;
13. Proporcionar capacitación de empleados y contratistas para garantizar la capacidad continua de llevar a
cabo las medidas de seguridad establecidas en la política.

ANEXO 4.

TRANSFERENCIAS Y/O TRANSMISIONES A SUBENCARGADOS DEL TRATAMIENTO EN TERCEROS PAÍSES:

El ENCARGADO solo podrá transmitir datos personales a los países que cuentan con un nivel adecuado de
protección de datos personales de acuerdo con la autoridad de protección de datos colombiana, la
Superintendencia de Industria y Comercio, previa autorización por escrito del RESPONSABLE DEL TRATAMIENTO.

Página 13 de 13