VDA

Legal · Régimen B2B (Encargado)

Acuerdo de Tratamiento de Datos Personales (DPA)

Última actualización: 12 de julio de 2026

Este documento explica cómo VDA Studio trata los datos personales cuando actúa como Encargado del tratamiento por cuenta de un cliente — es decir, cuando procesamos datos que un cliente Responsable nos entrega para prestarle el servicio contratado. No es un contrato firmable: es la referencia pública del régimen que formalizamos como anexo específico al contrato de servicios de cada cliente, con sus propias finalidades, categorías de datos y subprocesadores. Si evalúas contratar a VDA y necesitas el DPA como documento suscribible, escríbenos a legal@vectordata.studio.

Rol y alcance

Cuando prestamos un servicio a un cliente que decide sobre el tratamiento de los datos de sus propios titulares (huéspedes, usuarios, empleados, según el caso), VDA Studio actúa como Encargado del tratamiento y el cliente como Responsable, en los términos de la Ley 1581 de 2012 y el Decreto 1074 de 2015 (Título 2.2.2). Tratamos esos datos única y exclusivamente para las finalidades documentadas en el contrato de cada cliente y bajo sus instrucciones — nunca para un uso propio, comercial o distinto del pactado.

Obligaciones del Encargado

Como Encargado, VDA Studio trata los datos solo bajo instrucciones documentadas del Responsable; garantiza su seguridad y confidencialidad; los conserva bajo condiciones que impiden su adulteración, pérdida o acceso no autorizado; los actualiza, rectifica o suprime cuando el Responsable lo instruye; y se abstiene de tratar datos para los que no fue autorizado. Si la Superintendencia de Industria y Comercio (SIC) formula un requerimiento, lo atendemos en coordinación con el Responsable.

Medidas de seguridad

Cifrado en tránsito y en reposo; control de acceso por rol bajo el principio de mínimo privilegio; segregación de datos y ambientes entre clientes; registro de auditoría (audit log) de accesos y operaciones sobre los datos, disponible para el Responsable; gestión segura de credenciales y secretos con rotación periódica; y revisión periódica de accesos.

No-entrenamiento de modelos de IA

Los datos que procesamos por cuenta de un cliente no se usan, bajo ninguna circunstancia, para entrenar, reentrenar, ajustar ni mejorar modelos de inteligencia artificial — ni los nuestros ni los de nuestros subprocesadores. Configuramos a nuestro proveedor de IA en modo de no-retención y exclusión (opt-out) de entrenamiento, y acreditamos esa configuración a solicitud del cliente. Esta es una cláusula invariante en VDA Studio: no se flexibiliza por deal ni por presión comercial.

Subprocesadores

Para operar nuestros servicios nos apoyamos en un número acotado de subprocesadores, cada uno bajo sus propios compromisos contractuales de seguridad y confidencialidad, y con obligaciones no menos exigentes que las nuestras frente al cliente: Vercel (infraestructura y alojamiento), Resend (entrega de correo transaccional), Supabase (base de datos y autenticación) y Anthropic (inferencia de IA, configurado en modo no-retención / sin entrenamiento, ver arriba). El anexo específico de cada cliente incluye el registro completo de subprocesadores aplicables a su servicio, con ubicación de procesamiento y base de legitimación; toda alta o cambio se notifica con antelación y puede objetarse por causa razonable.

Transmisión internacional

Varios de nuestros subprocesadores procesan datos fuera de Colombia, principalmente en Estados Unidos. Esto constituye una transmisión internacional en los términos del artículo 25 del Decreto 1074 de 2015: el anexo de tratamiento de datos que suscribimos con cada cliente opera como el contrato de transmisión internacional exigido por la normativa, de modo que la transmisión no requiere autorización adicional del titular. Mantenemos disponible, a solicitud del cliente, la evidencia de las garantías de nuestros subprocesadores.

Notificación de incidentes

Si detectamos una violación de la seguridad de los datos que tratamos por cuenta de un cliente, se lo notificamos sin dilación indebida y, en todo caso, dentro de un máximo de 48 horas desde que tenemos conocimiento del incidente, indicando su naturaleza, las categorías y el volumen de datos afectados y las medidas de mitigación adoptadas. Cuando el incidente sea reportable ante la SIC, colaboramos con el cliente en esa notificación y conservamos evidencia forense razonable para la investigación y remediación.

Derechos de los titulares (Habeas Data)

Los titulares de los datos ejercen sus derechos de Habeas Data —conocer, actualizar, rectificar y suprimir sus datos, y revocar su autorización— ante el Responsable del tratamiento, que normalmente es nuestro cliente, no VDA Studio. Como Encargado, asistimos a nuestro cliente para atender esas solicitudes dentro de los plazos de ley; si una persona nos escribe directamente a nosotros por un tratamiento que hacemos por cuenta de un cliente, remitimos la solicitud al Responsable correspondiente.

Conservación y supresión

Conservamos los datos que tratamos por cuenta de un cliente solo durante la vigencia del servicio y bajo la arquitectura acordada con cada uno — por defecto, en la infraestructura propia del cliente cuando aplica. A la terminación del servicio o por instrucción del cliente, suprimimos o devolvemos las copias operativas, cachés, credenciales y artefactos temporales bajo nuestro control dentro de un máximo de 30 días calendario, salvo obligación legal de conservación, y emitimos certificación escrita de la supresión cuando se solicita.

El anexo específico de tu contrato

Este documento describe el régimen general que aplicamos como Encargado del tratamiento. Cuando contratas los servicios de VDA Studio, formalizamos un Acuerdo de Tratamiento de Datos Personales específico como anexo al contrato de prestación de servicios, con las finalidades, categorías de titulares y datos, arquitectura de conservación y registro de subprocesadores propios de tu proyecto — y ese anexo prevalece sobre el cuerpo del contrato en materia de datos personales. Si necesitas revisarlo antes de contratar, escríbenos a legal@vectordata.studio.

Confidencialidad antes del discovery

Antes de compartir información sensible en un discovery o en una propuesta, VDA Studio firma con cada prospecto un acuerdo de confidencialidad mutuo (NDA). A diferencia de este documento, el NDA es un acuerdo bilateral que negociamos por relación —contraparte, alcance del proyecto y condiciones propias de cada caso— y no lo publicamos aquí como plantilla abierta. Si ya estás en conversaciones con nosotros, tu punto de contacto te lo comparte en el momento oportuno del proceso.