Acuerdo de Encargo de Tratamiento de Datos

Última actualización: 16 de junio de 2026

Data Processing Agreement (DPA) — Anexo a los Términos y Condiciones

1. Objeto y Alcance

Este Acuerdo de Encargo de Tratamiento de Datos ("DPA") constituye un anexo vinculante a los Términos y Condiciones del Servicio de Paperclip Work OS y se aplica a todo tratamiento de datos personales que Paperclip Work OS ("el Encargado") realice por cuenta del Usuario o la organización que contrata el servicio ("el Responsable").

Este DPA cumple con los requisitos establecidos en:

✓ Ley Estatutaria 1581 de 2012 (Colombia) — Protección de Datos Personales

✓ Decreto 1377 de 2013 (Colombia) — Reglamentario de la Ley 1581

✓ Reglamento General de Protección de Datos (GDPR) — Art. 28, cuando aplique

✓ Circular Única de la SIC — Título V, Capítulo Segundo

2. Roles de las Partes

Responsable del Tratamiento

La organización (agencia, consultora o empresa) que crea una cuenta en Paperclip Work OS y determina la finalidad y los medios del tratamiento de datos personales de sus clientes, empleados y proveedores.

Encargado del Tratamiento

Paperclip Work OS, operado por Paperclip Software, actúa exclusivamente como Encargado. Procesamos datos personales únicamente para prestar el servicio SaaS contratado, siguiendo las instrucciones del Responsable y las obligaciones de este DPA.

3. Finalidad del Tratamiento

El Encargado trata los datos personales exclusivamente para las siguientes finalidades:

→ Prestar el servicio SaaS descrito en los Términos y Condiciones
→ Almacenar, procesar y mostrar datos operativos (proyectos, tareas, cotizaciones, facturas, CRM)
→ Ejecutar el asistente de IA "Clip" dentro del contexto aislado de la organización
→ Enviar comunicaciones transaccionales (invitaciones, alertas de seguridad, notificaciones)
→ Mantener registros de auditoría para seguridad y cumplimiento legal

Prohibición Expresa

El Encargado no utilizará los datos personales para fines propios, comercialización, elaboración de perfiles, ni para entrenar modelos de inteligencia artificial. Los datos del Responsable jamás se cruzan ni comparten con los de otras organizaciones.

4. Tipos de Datos Tratados

→

Datos de Identificación

Nombre, correo electrónico, foto de perfil de los miembros de la organización.

→

Datos de Organización

Razón social, NIT/ID fiscal, teléfono, correo de contacto, logotipo.

→

Datos Operativos

Proyectos, tareas, cotizaciones, facturas, gastos, ingresos, proveedores, leads (CRM) y archivos adjuntos.

→

Datos Técnicos

Dirección IP, tipo de navegador, registros de actividad (logs de auditoría).

✓ Datos sensibles

Paperclip Work OS no solicita ni procesa datos sensibles (datos de salud, orientación sexual, creencias religiosas, datos biométricos, etc.) según la definición del Art. 5 de la Ley 1581 de 2012.

5. Lista de Subprocesadores

El Encargado utiliza los siguientes subprocesadores para prestar el servicio. El Responsable autoriza su uso al aceptar este DPA:

Subprocesador	Finalidad	Ubicación	Retención
Supabase (AWS)	Base de datos, autenticación, almacenamiento de archivos	Estados Unidos (us-east-1)	Mientras la cuenta esté activa
Google (Gemini API vía OpenRouter)	Procesamiento de lenguaje natural del asistente "Clip"	Estados Unidos	Sin retención (zero-data-retention)
OpenRouter	Enrutamiento de solicitudes al modelo de IA	Estados Unidos	Sin retención de contenido
Resend	Envío de correos transaccionales	Estados Unidos	Logs de envío por 30 días
Netlify	Hospedaje de la aplicación web	Estados Unidos / Global CDN	Sin almacenamiento de datos de usuario
Cloudflare	CDN, protección DNS y DDoS del sitio corporativo	Global	Logs de tráfico por 72 horas
Google OAuth	Autenticación social (opcional)	Estados Unidos	Solo token de sesión

El Encargado notificará al Responsable con al menos 15 días de anticipación antes de añadir o cambiar un subprocesador. El Responsable podrá objetar por escrito.

6. Medidas de Seguridad

El Encargado implementa las siguientes medidas técnicas y organizativas para proteger los datos personales. Los detalles completos están disponibles en el Trust Center:

✓ Cifrado AES-256 en reposo

✓ TLS/HTTPS obligatorio en tránsito

✓ Row-Level Security (RLS) en todas las tablas

✓ Content-Security-Policy (CSP)

✓ URLs firmadas temporales para archivos

✓ Autenticación multifactor (MFA/TOTP)

✓ Rate limiting en endpoints críticos

✓ Bitácora de auditoría inmutable

7. Notificación de Brechas de Seguridad

En caso de una brecha de seguridad que afecte datos personales del Responsable:

Notificación al Responsable

El Encargado notificará al Responsable dentro de las 72 horas siguientes al descubrimiento de la brecha, incluyendo: naturaleza de la brecha, categorías y número aproximado de titulares afectados, consecuencias probables y medidas adoptadas.

Notificación a la SIC (Colombia)

El Encargado cooperará con el Responsable para cumplir con la obligación de notificación a la Superintendencia de Industria y Comercio (SIC) cuando la brecha represente un riesgo para los derechos y libertades de los titulares, conforme a las instrucciones de la Delegatura para la Protección de Datos Personales.

Cooperación

El Encargado proporcionará al Responsable toda la información y asistencia razonable para cumplir con sus obligaciones de notificación ante autoridades de control y titulares afectados.

8. Transferencia Internacional de Datos

Los datos personales son almacenados y procesados en infraestructura ubicada en Estados Unidos (AWS us-east-1, a través de Supabase).

Base Legal de la Transferencia

Conforme al artículo 26 de la Ley 1581 de 2012 y el Decreto 1377 de 2013, la transferencia se ampara en: (a) el consentimiento informado del Responsable al aceptar estos Términos y este DPA, y (b) la necesidad contractual para la prestación del servicio. Adicionalmente, AWS cuenta con certificaciones SOC 2 Tipo II e ISO 27001 que garantizan un nivel adecuado de protección.

9. Derechos de los Titulares y Asistencia

El Encargado asistirá al Responsable en el cumplimiento de las solicitudes de los titulares de datos:

→ Acceso y Rectificación: Los titulares pueden acceder y corregir sus datos directamente desde la Plataforma (Mi Perfil).
→ Eliminación: El Owner puede eliminar toda la organización y sus datos. Los miembros pueden eliminar su propia cuenta.
→ Portabilidad: Exportación de datos en formatos CSV y PDF disponible en cualquier momento.
→ Solicitudes formales: Las peticiones que el Responsable no pueda resolver a través de la Plataforma se canalizan a privacidad@paperclipsoftware.com.

10. Retención y Eliminación

Al finalizar la relación contractual (cancelación de la cuenta u organización):

✓ Los datos operativos serán eliminados en un plazo máximo de 30 días.
✓ Los registros de auditoría (bitácora inmutable) podrán conservarse como excepción legal, al amparo de la obligación de mantener registros para procesos legales, peritajes informáticos o requerimientos de autoridades competentes (Ley 1581, Art. 10, lit. d).
✓ Los archivos almacenados en la bóveda documental serán eliminados junto con los datos operativos.

11. Auditoría

El Responsable tiene derecho a solicitar evidencia razonable de que el Encargado cumple con las obligaciones de este DPA. Esto puede incluir:

→ Certificados de seguridad de los subprocesadores (SOC 2, ISO 27001)
→ Resultados de escaneos de seguridad (sin revelar vulnerabilidades activas)
→ Confirmación de políticas de retención y eliminación

Las solicitudes de auditoría se realizan por escrito a privacidad@paperclipsoftware.com con al menos 30 días de anticipación.

12. Vigencia

Este DPA entra en vigor con la aceptación de los Términos y Condiciones y permanece vigente mientras el Encargado trate datos personales del Responsable. Las obligaciones de confidencialidad y eliminación sobreviven a la terminación del contrato.

13. Contacto del Área de Protección de Datos

Para consultas, solicitudes o reportes relacionados con el tratamiento de datos personales:

Paperclip Work OS — Protección de Datos

Correo: privacidad@paperclipsoftware.com

Web: paperclipsoftware.com

Tiempo de respuesta: consultas en 10 días hábiles; reclamos en 15 días hábiles.