El presente Acuerdo tiene por objeto establecer las condiciones bajo las cuales Cedula Cheque S.A.S. (en adelante, el "Encargado") realizará el tratamiento de datos personales por cuenta de la empresa Cliente (en adelante, el "Responsable").
Este acuerdo regula:
- El tratamiento de datos de visitantes verificados a través de la plataforma
- Las medidas de seguridad aplicables al tratamiento
- Los derechos y obligaciones de cada parte
- El uso de subencargados autorizados
- Los procedimientos de retención y eliminación de datos
Para los efectos de este Acuerdo, se entiende por:
- Dato Personal: Cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable (Artículo 3, Ley 1581 de 2012).
- Responsable del Tratamiento: Persona natural o jurídica que decide sobre la base de datos y/o el tratamiento de los datos. En este acuerdo: el Cliente (hotel/establecimiento).
- Encargado del Tratamiento: Persona natural o jurídica que realiza el tratamiento de datos personales por cuenta del Responsable. En este acuerdo: Cedula Cheque S.A.S.
- Titular: Persona natural cuyos datos personales sean objeto de tratamiento. En este contexto: los visitantes verificados.
- Tratamiento: Cualquier operación sobre datos personales: recolección, almacenamiento, uso, circulación, supresión, o cualquier otra actividad.
- Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento, independientemente de la forma de acceso, creación o almacenamiento.
El Cliente actúa como RESPONSABLE del Tratamiento
- • Determina las finalidades del tratamiento de datos de visitantes
- • Tiene la obligación legal de recopilar datos de huéspedes (Decreto 2590/2009, Ley 2068/2020)
- • Decide qué datos se recopilan y por cuánto tiempo
- • Es responsable ante los titulares y la Superintendencia de Industria y Comercio
Cedula Cheque actúa como ENCARGADO del Tratamiento
- • Procesa los datos únicamente según las instrucciones del Responsable
- • Proporciona la plataforma tecnológica para el tratamiento
- • Implementa medidas de seguridad técnicas y organizativas
- • No determina las finalidades ni los medios del tratamiento
El Cliente, como Responsable del Tratamiento, se compromete a:
Base Legal
Garantizar que cuenta con la base legal adecuada para el tratamiento de datos de visitantes (obligación legal bajo Decreto 2590 de 2009).
Información al Titular
Informar a los visitantes sobre la recopilación de sus datos, la finalidad y los derechos que les asisten.
Instrucciones Lícitas
Proporcionar al Encargado instrucciones lícitas y documentadas sobre el tratamiento de datos.
Calidad de Datos
Verificar la exactitud de los datos ingresados y actualizarlos cuando sea necesario.
Gestión de Derechos
Atender las solicitudes de los titulares respecto a sus derechos de acceso, rectificación, cancelación y oposición (ARCO).
Registro de Bases de Datos
Registrar sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio.
Cedula Cheque S.A.S., como Encargado del Tratamiento, se compromete a:
Tratamiento según Instrucciones
Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable y las finalidades del servicio contratado.
Confidencialidad
Garantizar que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad.
Medidas de Seguridad
Implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
Asistencia al Responsable
Asistir al Responsable en el cumplimiento de sus obligaciones, incluyendo la atención de solicitudes de titulares.
Notificación de Incidentes
Notificar al Responsable sin dilación indebida cualquier incidente de seguridad que afecte los datos personales.
Devolución o Eliminación
A elección del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación de servicios.
Información para Auditorías
Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de sus obligaciones.
El Responsable autoriza expresamente al Encargado a utilizar los siguientes subencargados para la prestación del servicio:
| Subencargado | Ubicación | Finalidad |
|---|---|---|
| Amazon Web Services (AWS) | EE.UU. (us-east-1) | Infraestructura cloud, almacenamiento |
| Supabase Inc. | EE.UU. | Base de datos PostgreSQL, autenticación |
| Render Services Inc. | EE.UU. | Hosting de API y dashboard |
| Wompi (Bancolombia) | Colombia | Procesamiento de pagos |
| Expo / React Native | EE.UU. | Distribución de app móvil |
| New Relic | EE.UU. | Monitoreo y diagnóstico |
El Encargado informará al Responsable de cualquier cambio previsto en la adición o sustitución de subencargados, dando al Responsable la oportunidad de oponerse a dichos cambios.
Cedula Cheque implementa las siguientes medidas de seguridad técnicas y organizativas:
Cifrado
- • TLS 1.3 en tránsito
- • AES-256 en reposo
- • Cifrado de fotos de documentos
Control de Acceso
- • RBAC (Control basado en roles)
- • Autenticación JWT segura
- • Sesiones con expiración
Monitoreo
- • Logs de auditoría completos
- • Monitoreo 24/7
- • Alertas de seguridad
Infraestructura
- • Backups automáticos diarios
- • Redundancia geográfica
- • DDoS protection
Datos de Visitantes Procesados:
Datos de Identificación
- • Nombre completo
- • Número de documento (cédula)
- • Tipo de documento
- • Fecha de nacimiento
- • Nacionalidad
Datos de Verificación
- • Fecha y hora de verificación
- • Propiedad donde se verificó
- • Usuario que realizó la verificación
- • Foto del documento (cifrada)
Limitación de Derechos de Visitantes
Conforme al Artículo 2 de la Ley 1581 de 2012, los datos recopilados para cumplimiento de obligaciones legales ante autoridades (Migración Colombia, Policía Nacional) no están sujetos a los mismos derechos de supresión que aplicarían en otros contextos. Los visitantes pueden ejercer su derecho de acceso para conocer qué datos han sido registrados, pero la supresión está limitada por el período de retención legal.
Los titulares de datos personales tienen los siguientes derechos conforme a la Ley 1581 de 2012:
Acceso
Conocer, actualizar y rectificar sus datos personales.
Rectificación
Solicitar la corrección de información inexacta o incompleta.
Cancelación (Supresión)
Solicitar la eliminación de datos cuando no exista obligación legal de conservarlos.Nota: Limitado para datos de visitantes por obligación legal de retención.
Oposición
Oponerse al tratamiento cuando no exista obligación legal.
Procedimiento
Las solicitudes de titulares deben dirigirse al Responsable (el hotel/establecimiento). Cedula Cheque asistirá al Responsable en la atención de dichas solicitudes dentro de los plazos legales establecidos (15 días hábiles).
Los datos personales pueden ser transferidos a servidores ubicados fuera de Colombia, específicamente a Estados Unidos, donde se encuentran los subencargados del tratamiento.
Mecanismos de Protección:
- Cláusulas contractuales tipo con subencargados
- Certificaciones SOC 2 y ISO 27001 de proveedores
- Cifrado de datos en tránsito y en reposo
El Responsable tiene derecho a verificar el cumplimiento de las obligaciones del Encargado establecidas en este Acuerdo.
Derechos de Auditoría:
- Información: Solicitar información sobre las medidas de seguridad implementadas.
- Certificaciones: Acceder a los certificados y auditorías de terceros (SOC 2, ISO 27001) de los subencargados.
- Logs: Solicitar reportes de acceso y actividad relacionados con sus datos.
Las auditorías in situ podrán realizarse con previo aviso de 30 días, durante horario laboral, y asumiendo el Responsable los costos asociados.
La notificación incluirá:
- Descripción de la naturaleza del incidente
- Categorías y número aproximado de titulares afectados
- Consecuencias probables del incidente
- Medidas adoptadas o propuestas para remediar el incidente
- Punto de contacto para más información
| Tipo de Datos | Período de Retención | Justificación |
|---|---|---|
| Datos de visitantes | Configurable por el establecimiento (pred. 180 días, máx. 5 años) | Definido por el establecimiento según sus obligaciones legales |
| Fotos de documentos | Igual que datos del visitante | Se eliminan junto al registro del visitante |
| Logs de auditoría | 3 años | Trazabilidad y seguridad |
| Datos del Cliente | Duración del contrato + 5 años | Obligaciones fiscales y legales |
Al Terminar el Servicio
El Responsable podrá solicitar la exportación de sus datos dentro de los 30 días siguientes a la terminación. Transcurrido este plazo sin solicitud, los datos serán eliminados de forma segura, excepto aquellos que deban conservarse por obligación legal.
Vigencia
Este Acuerdo entrará en vigor desde la aceptación de los Términos y Condiciones del servicio y permanecerá vigente mientras el Responsable mantenga una suscripción activa con Cedula Cheque.
Terminación
Este Acuerdo terminará automáticamente cuando finalice la relación contractual principal (suscripción al servicio), sin perjuicio de las obligaciones que por su naturaleza deban sobrevivir a la terminación.
Obligaciones que Sobreviven
- • Confidencialidad: 5 años después de la terminación
- • Retención legal de datos de visitantes: según períodos establecidos
- • Asistencia en auditorías o investigaciones en curso
Este Acuerdo se rige por las leyes de la República de Colombia, especialmente:
Ley 1581 de 2012
Régimen General de Protección de Datos Personales
Decreto 1377 de 2013
Reglamentario de la Ley 1581 de 2012
Decreto 2590 de 2009
Registro Nacional de Turismo y obligaciones de establecimientos
Ley 2068 de 2020
Registro de Alojamiento Turístico (TRA)
Ley 679 de 2001
Protección de menores contra explotación sexual
Resolución de Controversias
Cualquier controversia derivada de este Acuerdo será resuelta conforme al procedimiento establecido en los Términos y Condiciones del servicio, con jurisdicción exclusiva de los tribunales de Medellín, Colombia.
Para consultas relacionadas con este Acuerdo de Tratamiento de Datos:
Cedula Cheque S.A.S.
Correo electrónico
privacidad@cedulacheque.comTeléfono / WhatsApp
+57 302 415 3967Dirección
Carrera 43A # 11A-44, Medellín 050031, Colombia