Acuerdo de Procesamiento de Datos (DPA)

Entre: El Negocio que se registra y opera en la plataforma Luriun (en adelante, el "Negocio" o el "Responsable").

Y: Gama Intelligence S.A.S., NIT 902.059.248-6, con domicilio en Carrera 38 N° 7C-70, Popayán, Cauca, Colombia (en adelante, "Gama Intelligence" o el "Encargado").

1. Objeto

1.1. El presente Acuerdo de Procesamiento de Datos (en adelante, el "DPA") regula el tratamiento que Gama Intelligence realizará, en su calidad de Encargado, sobre los datos personales de los Clientes Finales y demás personas cuyos datos sean cargados, registrados o procesados por el Negocio dentro de la plataforma Luriun.

1.2. Este DPA forma parte integral de los Términos y Condiciones de Uso de Luriun publicados en luriun.co/legal/terms. Al aceptar dichos Términos y registrar un Negocio en la Plataforma, el Negocio acepta también este DPA.

1.3. Este DPA se firma electrónicamente mediante la aceptación del Negocio en el flujo de onboarding de la Plataforma. Gama Intelligence conserva evidencia electrónica de la aceptación (identificador del Owner, fecha, hora, IP y versión del DPA aceptado).

2. Definiciones

Las definiciones del art. 3 de la Ley 1581 de 2012 aplican a este DPA. Adicionalmente:

• Datos del Negocio: toda información cargada por el Negocio o sus Usuarios en la Plataforma.
• Datos de Clientes Finales: los datos personales de los clientes del Negocio que éste registra en la Plataforma.
• Plataforma o Servicio o Luriun: la aplicación web Luriun y servicios asociados ofrecidos por Gama Intelligence.
• Subencargado: cualquier tercero contratado por Gama Intelligence para prestar servicios que impliquen acceso a Datos de Clientes Finales (hosting, base de datos, proveedores de IA, pasarelas de pago, canales de mensajería, proveedor de facturación electrónica, correo transaccional).
• Incidente de seguridad: evento que comprometa la confidencialidad, integridad o disponibilidad de los Datos de Clientes Finales (ej.: acceso no autorizado, pérdida, alteración, exfiltración).

3. Roles de las partes

3.1. El Negocio es Responsable del tratamiento de los Datos de sus Clientes Finales y de sus propios Usuarios del Negocio. Como tal:

• Determina las finalidades y los medios del tratamiento
• Recolecta y conserva la autorización del titular conforme a la Ley 1581
• Atiende los derechos de los titulares en primera instancia
• Asume la responsabilidad legal y reputacional del tratamiento

3.2. Gama Intelligence es Encargado del tratamiento de los Datos de Clientes Finales que el Negocio registra en la Plataforma. Como tal:

• Trata los datos por cuenta del Negocio y conforme a sus instrucciones legítimas
• No utiliza los datos para finalidades propias distintas de la prestación del Servicio, salvo lo previsto en este DPA y en la Política de Tratamiento de Datos
• Garantiza las medidas de seguridad y confidencialidad descritas en este DPA

3.3. Cada parte conserva la responsabilidad legal por las obligaciones que le corresponden en su rol.

4. Alcance del tratamiento

4.1. Categorías de datos. Los Datos de Clientes Finales tratados por Gama Intelligence en la Plataforma pueden incluir, sin limitarse a:

• Identificación: nombre, documento de identidad, fecha de nacimiento (cuando el Negocio la registre)
• Contacto: teléfono, correo, dirección
• Comerciales: historial de compras, productos adquiridos, métodos de pago utilizados (sin almacenamiento de datos de tarjeta), preferencias
• Crédito: cuentas por cobrar, condiciones de crédito, abonos, condonaciones, partner shares
• Otros datos que el Negocio decida registrar conforme a su giro

4.2. Categorías de titulares. Los titulares cuyos datos pueden tratarse incluyen: clientes personas naturales del Negocio; representantes de clientes personas jurídicas; proveedores; otros contactos comerciales del Negocio.

4.3. Finalidades del tratamiento por parte del Encargado. Gama Intelligence trata los Datos de Clientes Finales únicamente para:

• Prestar el Servicio contratado por el Negocio
• Operar las funcionalidades activadas por el Negocio (POS, créditos, reportes, impresión, facturación electrónica, motor de promociones, Empleados Digitales)
• Dar soporte técnico al Negocio
• Cumplir obligaciones legales aplicables a Gama Intelligence
• Proteger la seguridad de la Plataforma

4.4. Datos sensibles y de menores. El Negocio se compromete a no incorporar datos sensibles ni de menores de edad en campos no destinados a ese fin sin haber obtenido la autorización previa, expresa e informada del titular o del representante legal cuando aplique. Gama Intelligence no destina espacios específicos para datos sensibles.

5. Obligaciones del Encargado (Gama Intelligence)

Gama Intelligence se obliga a:

5.1. Tratar los Datos de Clientes Finales únicamente para los fines descritos en este DPA y conforme a las instrucciones legítimas del Negocio.

5.2. Garantizar la confidencialidad de los Datos de Clientes Finales. Su personal que tenga acceso está sujeto a obligaciones de confidencialidad equivalentes a las de este DPA.

5.3. Aplicar las medidas técnicas, humanas y administrativas razonables descritas en la Política de Tratamiento de Datos para proteger los Datos contra adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

5.4. Asistir al Negocio, en la medida de lo razonable y mediante medidas técnicas y organizativas apropiadas, en la atención de las solicitudes de los titulares para el ejercicio de sus derechos (acceso, actualización, rectificación, supresión, revocación).

5.5. Permitir al Negocio exportar los Datos del Negocio, incluidos los Datos de Clientes Finales, en formato estructurado y legible (CSV, JSON o el que la Plataforma habilite), durante la vigencia de la cuenta y antes de la eliminación definitiva.

5.6. Tramitar el uso de Subencargados conforme a la Cláusula 6.

5.7. Notificar al Negocio sin demora indebida cualquier Incidente de seguridad que afecte sus Datos, conforme a la Cláusula 8.

5.8. Conservar los Datos por los plazos definidos en la Política de Tratamiento de Datos y, al término de la relación, devolver o eliminar los Datos según instrucción del Negocio, salvo conservación por obligación legal.

5.9. No transferir los Datos a terceros con fines comerciales propios. Las únicas transferencias permitidas son las indispensables para prestar el Servicio (Subencargados técnicos), las requeridas por autoridad competente, y las que el Negocio autorice expresamente.

5.10. Mantener registros de las actividades de tratamiento realizadas por cuenta del Negocio.

5.11. Cuando lo solicite expresamente el Negocio y mediando aviso razonable, suministrar la información necesaria para acreditar el cumplimiento de sus obligaciones bajo este DPA, incluyendo pero no limitándose a documentación técnica, descripción de medidas de seguridad y certificaciones cuando existan. Las auditorías in situ requerirán acuerdo previo sobre alcance, frecuencia y costos.

6. Subencargados

6.1. Autorización general. El Negocio autoriza a Gama Intelligence a utilizar Subencargados para prestar el Servicio.

6.2. Subencargados actuales. Al momento de este DPA, los principales Subencargados son los listados en la Política de Tratamiento de Datos, sección 10.2 (entre otros: Railway para hosting; proveedor de base de datos; Anthropic / OpenAI u otros para los modelos de IA de los Empleados Digitales; ePayco para pasarela de pago; Meta para WhatsApp Cloud API; proveedor tecnológico DIAN para facturación electrónica; proveedor de correo transaccional). La lista vigente se mantiene actualizada en luriun.co/legal/encargados o como anexo a este DPA.

6.3. Garantías exigidas a Subencargados. Gama Intelligence se asegurará de que los Subencargados ofrezcan garantías equivalentes de protección y confidencialidad mediante: contratos escritos, términos de servicio aplicables, certificaciones de seguridad públicas (SOC 2, ISO 27001 cuando estén disponibles), y estándares de seguridad declarados por cada proveedor.

6.4. Cambios en Subencargados. Cuando Gama Intelligence incorpore un nuevo Subencargado o sustituya uno existente que implique acceso a Datos de Clientes Finales, lo notificará al Negocio con al menos quince (15) días calendario de anticipación a través de la Plataforma o por correo electrónico al Owner. El Negocio podrá oponerse por motivos razonables relacionados con la protección de datos. En tal caso, las partes harán esfuerzos comercialmente razonables para encontrar una solución. Si no fuere posible, el Negocio podrá cancelar el Servicio sin penalidad.

7. Transferencia internacional de datos

7.1. Hosting y proveedores fuera de Colombia. Algunos Subencargados se encuentran fuera de Colombia, principalmente en Estados Unidos (Railway, base de datos gestionada, proveedores de IA, Meta WhatsApp, correo transaccional). Esta circunstancia es necesaria por el estado actual del mercado de proveedores tecnológicos de la calidad y escala que el Servicio requiere.

7.2. Base legal. La transferencia internacional de datos personales se realiza al amparo de:

• La autorización del titular obtenida por el Negocio conforme a la Ley 1581 de 2012
• Las cláusulas contractuales, términos de servicio y compromisos de privacidad de cada Subencargado, que vinculan a estándares equivalentes a la Ley 1581
• Lo previsto en el art. 26 de la Ley 1581 y sus normas reglamentarias

7.3. El Negocio reconoce y acepta esta transferencia internacional al aceptar los Términos y este DPA, y declara haber informado a sus Clientes Finales en los términos requeridos por su propia política de tratamiento.

8. Incidentes de seguridad

8.1. Notificación al Negocio. En caso de un Incidente de seguridad que afecte los Datos de Clientes Finales o los Datos del Negocio, Gama Intelligence notificará al Owner del Negocio sin demora indebida y en cualquier caso dentro de las setenta y dos (72) horas siguientes a haber tomado conocimiento del Incidente, salvo que las circunstancias técnicas o legales requieran un plazo mayor para confirmar el alcance.

8.2. Contenido de la notificación. La notificación incluirá, en lo posible, una descripción del Incidente, las categorías y volumen aproximado de datos afectados, las medidas adoptadas o propuestas, y los puntos de contacto técnico para coordinar acciones.

8.3. Cooperación. Gama Intelligence cooperará razonablemente con el Negocio en la mitigación del Incidente, en la atención de requerimientos de autoridad competente y, cuando aplique, en la comunicación a los titulares afectados.

8.4. Notificación a la SIC. El Negocio, en su rol de Responsable, evaluará la obligación de notificar el Incidente a la Superintendencia de Industria y Comercio. Gama Intelligence proporcionará la información técnica necesaria para esa evaluación.

9. Derechos de los titulares

9.1. Atención por el Negocio. Los titulares deben dirigirse al Negocio para ejercer sus derechos sobre los Datos de Clientes Finales, ya que el Negocio es el Responsable.

9.2. Asistencia de Gama Intelligence. Cuando el Negocio reciba una solicitud que requiera acceso, exportación, rectificación o supresión de datos almacenados en la Plataforma, podrá ejecutar la acción directamente desde el panel de la Plataforma o, cuando lo requiera, solicitar el apoyo de Gama Intelligence al correo contact@gamaintelligence.co. Gama Intelligence brindará asistencia razonable en plazos compatibles con los previstos por la Ley 1581.

9.3. Solicitudes recibidas directamente por Gama Intelligence. Cuando un titular dirija una solicitud directamente a Gama Intelligence sobre datos en los que Gama actúa como Encargado, Gama Intelligence trasladará la solicitud al Negocio Responsable y, cuando aplique, indicará al titular la vía directa para ejercer sus derechos.

10. Devolución y eliminación de datos al término

10.1. Al término de la relación contractual entre el Negocio y Gama Intelligence, por cualquier causa, Gama Intelligence:

• Dejará disponible la exportación de los Datos del Negocio durante el período de gracia previsto en los Términos
• Eliminará o anonimizará los Datos restantes una vez vencido el plazo de conservación previsto en la Política de Tratamiento de Datos
• Conservará los datos cuya retención sea exigida por ley (registros contables, tributarios, evidencias de cumplimiento) por el plazo legal aplicable

10.2. Backups. Las copias de seguridad pueden contener Datos después del momento del cierre de la cuenta, hasta su rotación natural conforme a las políticas operativas de Gama Intelligence. Estos backups se mantienen bajo las mismas medidas de seguridad y no son utilizables para finalidades distintas de restauración ante incidentes.

11. Confidencialidad

11.1. Cada parte se compromete a mantener confidencial toda información no pública que reciba de la otra parte en el marco del Servicio, durante la vigencia de la relación y por al menos cinco (5) años después de su terminación.

11.2. La obligación de confidencialidad no aplica a información que: (i) sea o se vuelva pública sin culpa de la parte receptora; (ii) ya estuviera en su posesión legítimamente; (iii) sea desarrollada de forma independiente; (iv) deba revelarse por orden de autoridad competente.

12. Responsabilidad y límites

12.1. Cada parte responde por el cumplimiento de sus obligaciones bajo este DPA y las leyes aplicables.

12.2. Responsabilidad de Gama Intelligence como Encargado. Gama Intelligence responde únicamente cuando incumpla expresamente sus obligaciones de Encargado bajo este DPA o las disposiciones de la Ley 1581 aplicables al Encargado.

12.3. Límite de responsabilidad. El límite de responsabilidad establecido en los Términos y Condiciones de Uso de Luriun aplica también a este DPA, salvo que la legislación imperativa disponga lo contrario o se trate de actuaciones dolosas o gravemente negligentes.

12.4. Indemnidad por culpa del Negocio. El Negocio mantendrá indemne a Gama Intelligence frente a reclamaciones de terceros que se deriven de la falta de autorización del titular, la incorporación ilícita de datos sensibles o de menores en la Plataforma, o el incumplimiento de las obligaciones del Negocio como Responsable.

13. Vigencia

13.1. Este DPA entra en vigor en la fecha en que el Negocio acepta los Términos y se mantiene vigente mientras subsista la relación entre el Negocio y Gama Intelligence respecto del Servicio.

13.2. Las cláusulas que por su naturaleza deban sobrevivir (confidencialidad, devolución y eliminación de datos, responsabilidad por incidentes ocurridos durante la vigencia, ley aplicable) permanecerán en vigor tras la terminación del DPA.

14. Modificaciones al DPA

14.1. Gama Intelligence podrá modificar este DPA en concordancia con cambios regulatorios, operativos o de Subencargados. Las modificaciones sustanciales se notificarán con al menos quince (15) días calendario de anticipación al Owner del Negocio.

14.2. El uso continuado del Servicio después de la fecha de entrada en vigor de los cambios constituirá aceptación del DPA modificado. Si el Negocio no está de acuerdo, podrá cancelar el Servicio antes de la fecha de vigencia.

14.3. Versiones históricas. Las versiones anteriores se conservan accesibles para consulta histórica.

15. Ley aplicable y jurisdicción

Este DPA se rige por las leyes de la República de Colombia. Para la resolución de cualquier controversia, las partes se someten a la jurisdicción de los jueces y tribunales competentes de la ciudad de Popayán, Cauca, República de Colombia, sin perjuicio de los fueros imperativos del consumidor cuando aplique la Ley 1480 de 2011.

16. Disposiciones finales

16.1. Interpretación. En caso de contradicción entre este DPA y los Términos respecto del tratamiento de datos personales, prevalece este DPA.

16.2. Divisibilidad. Si alguna disposición fuere declarada nula, las demás mantendrán plena vigencia.

16.3. Independencia. El presente DPA no crea sociedad, joint venture, agencia ni representación entre las partes más allá de la relación proveedor-cliente del Servicio.

17. Identificación del Encargado y canales

• Razón social: Gama Intelligence S.A.S.
• NIT: 902.059.248-6
• Domicilio: Carrera 38 N° 7C-70, Popayán, Cauca, Colombia
• Correo legal y de habeas data: contact@gamaintelligence.co
• Teléfono: +57 320 505 3968

Acuerdo de Procesamiento de Datos Personales — Luriun v1.0 · Gama Intelligence S.A.S.