Inicio Acuerdo de Encargo del Tratamiento (DPA)
Ley 1581/2012 · Decreto 1377/2013 · Art. 25

Acuerdo de Encargo
del Tratamiento de Datos

Este acuerdo (DPA, por sus siglas en inglés) regula los términos en los que Agendi trata datos personales por cuenta del Usuario (negocio suscrito) al prestar el servicio. Forma parte integral de los Términos y Condiciones y se entiende aceptado al contratar la Plataforma.

Última actualización: 21 de enero de 2026
Vigencia: desde 21 de enero de 2026
Versión: 1.0

01 Objeto del acuerdo

El presente Acuerdo de Encargo del Tratamiento de Datos Personales (en adelante, el "DPA") tiene por objeto regular los términos y condiciones en los que INERTRONLAB S.A.S., propietaria de Agendi (el "Encargado"), trata datos personales por cuenta del Usuario suscrito a la Plataforma (el "Responsable" o el "Cliente"), en el marco del contrato principal de servicios SaaS celebrado entre las partes.

Este DPA constituye el contrato escrito al que se refiere el artículo 25 del Decreto 1377 de 2013 (hoy compilado en el Decreto 1074 de 2015) y se rige por la Ley 1581 de 2012 y demás normas concordantes.

En caso de discrepancia entre este DPA y los Términos y Condiciones o la Política de Tratamiento de Datos, prevalecerán las disposiciones del DPA exclusivamente respecto del tratamiento de datos personales por cuenta del Responsable.

02 Partes y roles

Para los efectos de la legislación colombiana de protección de datos, las partes reconocen y aceptan los siguientes roles respecto de los datos personales de los Clientes Finales del Cliente (consumidores que interactúan con el Bot a través de WhatsApp):

Responsable

El Cliente (negocio suscrito)

Determina las finalidades del tratamiento, recolecta los datos en el marco de su actividad comercial y es titular de la relación con sus Clientes Finales.

Encargado

Agendi (INERTRONLAB S.A.S.)

Trata los datos por cuenta y orden del Responsable, exclusivamente con las finalidades y bajo las instrucciones aquí descritas.

Este DPA no aplica respecto de los datos personales del propio Cliente (representantes, contactos, datos de facturación), frente a los cuales Agendi actúa como Responsable autónomo, según se desarrolla en la Política de Tratamiento de Datos.

03 Definiciones

Para los efectos de este DPA, los siguientes términos tendrán el significado que aquí se indica, sin perjuicio de las definiciones previstas en la Ley 1581 de 2012:

  • Cliente Final: persona natural que interactúa con el Bot de WhatsApp del Cliente para agendar, modificar o consultar una cita u otra interacción comercial.
  • Datos Personales del Cliente Final: cualquier información asociada o asociable al Cliente Final, tratada a través de la Plataforma.
  • Subencargado: tercero contratado por Agendi para apoyar la prestación del servicio que, en tal carácter, también trata datos por cuenta del Responsable.
  • Incidente de seguridad: evento que vulnera la confidencialidad, integridad o disponibilidad de los datos personales (acceso no autorizado, pérdida, alteración, divulgación indebida).

04 Naturaleza y duración del encargo

Naturaleza: el encargo consiste en la recolección, almacenamiento, uso, circulación, conservación y supresión de los datos personales de los Clientes Finales del Responsable, exclusivamente con el fin de prestar las funcionalidades de la Plataforma contratadas.

Duración: el encargo tendrá la misma duración que el contrato principal de servicios. Las obligaciones de confidencialidad, seguridad y devolución sobrevivirán a la terminación.

Carácter intuitu personae: el Responsable contrata el encargo con base en las capacidades técnicas y organizativas de Agendi. El Encargado no podrá ceder este acuerdo sin autorización escrita previa del Responsable, salvo en los supuestos contemplados en los Términos y Condiciones.

05 Categorías de datos y titulares

Titulares cuyos datos se tratan: Clientes Finales del Responsable, es decir, personas naturales que interactúan con el Bot del negocio o cuyos datos sean cargados por el Responsable en la Plataforma.

Categorías de datos:

CategoríaDetalle
IdentificaciónNombres, apellidos, alias en WhatsApp.
ContactoNúmero de teléfono móvil, correo electrónico (opcional).
TransaccionalesCitas reservadas, servicios solicitados, fechas, montos.
ComunicacionesMensajes intercambiados con el Bot, transcripciones de notas de voz, marcas temporales.
ComportamientoHistorial de uso, frecuencia, etiquetas y notas asignadas por el Responsable.

Agendi no solicita ni requiere datos sensibles del Cliente Final para la prestación del servicio. Si el Cliente Final voluntariamente comparte información sensible (por ejemplo, datos de salud al pedir un servicio específico), esta será tratada con medidas reforzadas y únicamente para la finalidad expresada.

06 Finalidades del tratamiento

Agendi tratará los datos personales del Cliente Final exclusivamente para las siguientes finalidades, instruidas por el Responsable:

  • Recibir, interpretar y responder mensajes provenientes del número de WhatsApp conectado al Responsable.
  • Gestionar el agendamiento, modificación, recordatorio, confirmación y cancelación de citas.
  • Transcribir notas de voz para permitir su procesamiento automático.
  • Generar histórico de citas y comunicaciones consultable por el Responsable.
  • Generar reportes estadísticos a favor del Responsable (limitados a su propio negocio).
  • Atender solicitudes de los Titulares cuando estos las dirijan al Encargado.

Cualquier finalidad distinta a las anteriores requerirá instrucción documentada del Responsable. Agendi no comercializará los datos personales del Cliente Final ni los utilizará para fines propios distintos a los técnicos necesarios para prestar el servicio.

07 Instrucciones del Responsable

Agendi tratará los datos personales únicamente conforme a las instrucciones documentadas del Responsable. Las instrucciones del Responsable se materializan a través de:

  • La aceptación de este DPA, los Términos y Condiciones y la configuración de la cuenta.
  • Las acciones que el Responsable realice en el panel de administración (alta y baja de servicios, asignación de staff, edición de plantillas, configuración del Bot).
  • Solicitudes formales escritas dirigidas al correo de soporte.

Si Agendi considera que una instrucción del Responsable infringe la ley, lo comunicará por escrito y podrá suspender su ejecución hasta que la situación sea aclarada.

08 Obligaciones de Agendi (Encargado)

Conforme a los artículos 18 de la Ley 1581 de 2012 y 26 del Decreto 1377 de 2013, Agendi se obliga a:

  • Tratar los datos personales exclusivamente conforme a las instrucciones del Responsable y a las finalidades autorizadas.
  • Garantizar al Titular, en cualquier tiempo, el pleno y efectivo ejercicio de sus derechos.
  • Conservar la información bajo condiciones de seguridad adecuadas para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Realizar oportunamente la actualización, rectificación o supresión de los datos cuando lo solicite el Responsable o el Titular.
  • Tramitar las consultas y reclamos formulados por los Titulares en los términos previstos en la ley, o remitirlas al Responsable cuando corresponda.
  • Adoptar políticas internas para garantizar el adecuado cumplimiento de la ley, especialmente respecto de la atención de consultas y reclamos.
  • Registrar en la base de datos las leyendas "reclamo en trámite" o "información en discusión judicial" cuando corresponda.
  • Insertar en la base de datos las indicaciones que ordene la Superintendencia de Industria y Comercio.
  • Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por la SIC.
  • Permitir el acceso a la información únicamente a las personas autorizadas.
  • Informar a la SIC sobre las violaciones a los códigos de seguridad y riesgos en la administración de la información.
  • Cumplir las instrucciones e impartir las que sean del caso al Responsable para garantizar el cumplimiento de la ley.

09 Obligaciones del Cliente (Responsable)

El Cliente, en su calidad de Responsable, se obliga a:

  • Garantizar que cuenta con la autorización previa, expresa e informada de cada Cliente Final cuyos datos sean tratados a través de la Plataforma.
  • Adoptar y mantener vigente su propia Política de Tratamiento de Datos Personales y comunicarla a los Titulares conforme a la Ley 1581 de 2012.
  • Suministrar a Agendi únicamente datos veraces, completos, exactos, actualizados, comprobables y comprensibles.
  • Informar de manera oportuna a Agendi todas las novedades respecto de los datos previamente suministrados.
  • Conservar prueba de las autorizaciones de los Titulares por todo el tiempo en que se traten sus datos.
  • Atender directamente las consultas y reclamos que formulen los Titulares cuando le sean dirigidos.
  • Indemnizar a Agendi por las pérdidas, multas o daños derivados del incumplimiento de las obligaciones que le corresponden como Responsable.
Importante La autorización del Titular es responsabilidad exclusiva del Cliente. Agendi no asume responsabilidad si el Cliente carga datos sin contar con dicha autorización. La SIC ha sancionado a Responsables por esta omisión incluso cuando los datos fueron tratados a través de un Encargado.

10 Subencargados autorizados

El Cliente autoriza expresamente a Agendi para apoyarse en los siguientes subencargados, todos los cuales están sujetos a obligaciones de protección de datos equivalentes a las aquí previstas:

SubencargadoServicioJurisdicción
Meta Platforms, Inc.Transporte de mensajes WhatsApp.EE.UU. / Irlanda
Anthropic, PBCModelo de lenguaje (Claude).EE.UU.
OpenAI, OpCo, LLCModelos de lenguaje (GPT).EE.UU.
Deepgram, Inc.Transcripción de notas de voz (STT).EE.UU.
Amazon Web ServicesAlmacenamiento (S3) e infraestructura.EE.UU.
Google LLCGoogle Sheets, autenticación.EE.UU. / Irlanda
Wompi (Bancolombia S.A.)Procesamiento de pagos del Cliente.Colombia
Proveedor SMTPCorreos transaccionales.EE.UU. / Colombia

Agendi podrá actualizar esta lista sustituyendo o incorporando nuevos subencargados, notificándolo previamente a través de esta misma URL y/o por correo. El Cliente podrá objetar la incorporación, en cuyo caso podrá dar por terminado el contrato sin penalidad cuando la objeción esté fundada en motivos serios y razonables.

11 Transferencias internacionales

Las partes reconocen que, dada la naturaleza global de los proveedores tecnológicos, podrán realizarse transmisiones internacionales de datos personales a subencargados ubicados fuera de Colombia.

Estas transmisiones se ampararán en:

  • El contrato escrito con cada subencargado, en los términos del artículo 26 del Decreto 1377 de 2013.
  • Los estándares de seguridad equivalentes a los previstos por la ley colombiana.
  • Cuando aplique, los listados de países con nivel adecuado de protección reconocidos por la SIC.

El Cliente, al aceptar este DPA, otorga su autorización expresa para que se realicen tales transmisiones, sin perjuicio de la obligación del Responsable de informar y obtener autorización de sus propios Titulares conforme a la ley.

12 Derechos de los titulares

Si Agendi recibe directamente una solicitud de un Titular relacionada con datos tratados por cuenta del Cliente, podrá:

  • Reenviarla al Cliente para que sea atendida en calidad de Responsable, dentro de los plazos legales, o
  • Atenderla de manera técnica cuando ello esté dentro de sus capacidades y haya sido instruido por el Cliente.

El Cliente se compromete a proporcionar a Agendi colaboración razonable para responder a estas solicitudes en los plazos de la Ley 1581 de 2012 (10 días hábiles para consultas; 15 días hábiles para reclamos, con las prórrogas legales).

13 Seguridad de la información

Agendi implementa y mantiene medidas técnicas, humanas y administrativas razonables y proporcionales al riesgo del tratamiento, incluyendo:

  • Cifrado de contraseñas mediante funciones de hash seguras.
  • Conexiones cifradas (TLS) para todo el tráfico de la Plataforma.
  • Control de accesos basado en roles y permisos (RBAC) por usuario.
  • Aislamiento estricto por tenant (multi-tenancy por team_id): los datos de un Cliente no son visibles desde la cuenta de otro.
  • Registro de auditoría inmutable sobre operaciones críticas de datos.
  • Copias de seguridad periódicas con planes de recuperación.
  • Limitación de accesos del equipo interno conforme al principio de menor privilegio.
  • Acuerdos de confidencialidad con personal y subencargados.

14 Notificación de incidentes

Agendi notificará al Cliente sin demora indebida, y en todo caso dentro de los cinco (5) días hábiles siguientes a tener conocimiento, sobre cualquier Incidente de Seguridad que afecte datos personales tratados por cuenta del Cliente.

La notificación incluirá, en la medida en que sea conocida en ese momento:

  • Naturaleza del incidente y momento de su detección.
  • Categorías y volumen aproximado de Titulares y datos afectados.
  • Consecuencias probables del incidente.
  • Medidas adoptadas o propuestas para contenerlo y mitigarlo.

El Cliente, como Responsable, asume la obligación de reportar el incidente a la Superintendencia de Industria y Comercio cuando legalmente corresponda. Agendi prestará la colaboración razonable que el Cliente le solicite para tal efecto.

15 Auditoría e información

El Cliente podrá solicitar a Agendi información razonable sobre el cumplimiento de este DPA, mediante requerimiento escrito con no menos de quince (15) días calendario de antelación.

Agendi atenderá las solicitudes mediante:

  • Entrega de informes resumidos de medidas de seguridad y cumplimiento.
  • Acceso a certificaciones, informes de auditoría externa o políticas internas relevantes.
  • Respuestas a cuestionarios razonables de debida diligencia.

Las auditorías in situ se limitarán a casos justificados (incidentes de seguridad confirmados u órdenes regulatorias), no podrán exceder una al año, y se realizarán en horario laboral con costos a cargo del Cliente, sin comprometer la confidencialidad de la información de otros clientes.

16 Devolución o supresión al término

Una vez terminada la prestación del servicio por cualquier causa, Agendi procederá, a elección del Cliente y previa solicitud escrita:

  • A devolver al Cliente los datos personales tratados, en un formato estructurado y de uso común, o
  • A suprimirlos de manera segura, junto con las copias existentes.

El plazo máximo para realizar esta acción será de treinta (30) días calendario contados desde la solicitud del Cliente, salvo que exista obligación legal que imponga la conservación por un plazo mayor (por ejemplo, normas tributarias o contables).

Si transcurridos sesenta (60) días desde la terminación el Cliente no ha solicitado la devolución, Agendi procederá a la supresión segura.

17 Confidencialidad

Agendi y su personal mantendrán la más estricta confidencialidad sobre los datos personales tratados por cuenta del Cliente. Esta obligación subsistirá indefinidamente, aún después de terminada la relación contractual.

Agendi exigirá a su personal y subencargados compromisos de confidencialidad equivalentes a los previstos en este DPA.

18 Responsabilidad e indemnidad

Cada parte responderá por las multas, sanciones, daños o perjuicios derivados de sus propios incumplimientos. En particular:

  • El Cliente responderá por la falta de autorización de los Titulares, la inexactitud de los datos suministrados y la falta de información a los Titulares sobre las finalidades del tratamiento.
  • Agendi responderá por el tratamiento contrario a las instrucciones del Cliente y por las fallas de seguridad imputables al Encargado.

Los límites de responsabilidad previstos en los Términos y Condiciones aplican también a este DPA, salvo en los casos en que la ley no permita su limitación.

19 Vigencia y modificaciones

Este DPA entra en vigor al momento de la aceptación de los Términos y Condiciones y permanecerá vigente mientras dure el contrato principal de servicios y las obligaciones de tratamiento de datos.

Agendi podrá modificarlo unilateralmente cuando sea necesario por cambios legales o por la incorporación o sustitución de subencargados, notificando con al menos quince (15) días calendario de antelación. El Cliente podrá objetar cambios sustanciales y, en tal caso, dar por terminado el contrato sin penalidad.

20 Ley aplicable

Este DPA se rige por las leyes de la República de Colombia, en particular por la Ley 1581 de 2012, el Decreto 1377 de 2013 (compilado en el Decreto 1074 de 2015) y demás normas concordantes.

Cualquier controversia derivada de su interpretación o ejecución será resuelta conforme a la cláusula de resolución de conflictos prevista en los Términos y Condiciones.

21 Aceptación y contacto

El presente DPA se entiende aceptado por el Cliente al momento de aceptar los Términos y Condiciones y comenzar a usar la Plataforma. Si el Cliente requiere una versión firmada del documento para fines internos, puede solicitarla escribiendo al correo a continuación.

Encargado del Tratamiento

INERTRONLAB S.A.S. (Agendi)

Correo: hola@agendi.lat

WhatsApp soporte: +57 313 842 1377

Sitio web: https://agendi.lat