DPA – Anexo de Tratamiento de Datos

1 Roles

El Cliente actúa como Responsable del Tratamiento. Intro actúa como Encargado del Tratamiento para prestar iKreo conforme a las instrucciones del Cliente.

2 Instrucciones de tratamiento

Intro tratará datos personales únicamente conforme a instrucciones documentadas del Cliente y a este DPA. Ante instrucciones que considere contrarias a la ley, Intro lo notificará de inmediato.

3 Subencargados

Autorización general otorgada. Intro mantiene una lista pública de subencargados y notificará cambios con antelación razonable, otorgando derecho de objeción razonada al Cliente.

4 Seguridad

Intro aplicará controles técnicos y organizativos razonables, que incluyen:

• Cifrado en tránsito (TLS) y en reposo cuando aplique.
• Controles de acceso basados en roles.
• Registro de eventos relevantes.
• Backups regulares y pruebas de restauración.

5 Asistencia al Cliente

Intro asistirá al Cliente en la atención de solicitudes de titulares y en evaluaciones de impacto (EIPD/DPIA) cuando proceda, en la medida que corresponda al rol de Encargado.

6 Gestión de incidentes

Intro notificará sin demora injustificada los incidentes de seguridad que afecten datos del Cliente, cooperará en la investigación y mantendrá registro de los mismos.

7 Transferencias internacionales

Las transferencias a terceros países se realizarán con las salvaguardas adecuadas según la normativa colombiana aplicable.

8 Fin del tratamiento

A la terminación del servicio, Intro devolverá o eliminará los datos personales según instrucciones del Cliente, salvo retención mínima exigida por ley. El proceso se completará en un plazo máximo de 30 días.

9 Auditorías

Intro proporcionará información razonable y facilitará revisiones documentales para verificar el cumplimiento de este DPA, sin comprometer la seguridad de otros clientes o de la plataforma.