Paloma · Acuerdo de Tratamiento de Datos

🕊️ paloma · by ADA

Acuerdo de Tratamiento de Datos Personales

Data Processing Agreement (DPA) — Uso Institucional

BORRADOR v1.0 Para revisión por abogado Para: Colegios · EPS · Clínicas · Centros terapéuticos · Ibagué, Colombia · 2026

⚠️ Documento borrador — Requiere revisión jurídica

Este es un borrador para planificación. Debe ser revisado por un abogado antes de firmarse con cualquier institución. ADA S.A.S. no asume responsabilidad por el uso de este borrador sin la debida revisión legal.

Contenido

Partes del acuerdo
Objeto y propósito
Roles en el tratamiento de datos
Datos que se comparten y accesos por rol
Obligaciones de la institución
Obligaciones de ADA (Paloma)
Medidas de seguridad
Subprocesadores de datos
Incidentes de seguridad
Vigencia y terminación
Ley aplicable
Firmas

1. Partes del acuerdo

Responsable del Tratamiento / Proveedor

Aplicaciones Digitales Avanzadas S.A.S. (ADA)

NIT

Domicilio

Representante legal

Correo DPA

Encargado del Tratamiento / Institución

Institución aliada

Razón social

NIT / RUT

Representante legal

Tipo

En adelante ADA se denominará "el Proveedor" y la institución se denominará "la Institución". Conjuntamente se les llamará "las Partes".

2. Objeto y propósito

Este Acuerdo de Tratamiento de Datos (ATD) regula las condiciones bajo las cuales el Proveedor otorga a la Institución acceso parcial a la plataforma Paloma y a ciertos datos de bienestar de niños y adolescentes vinculados a dicha institución, para los siguientes propósitos exclusivos:

Tipo de institución	Propósito autorizado
🏫 Colegio / institución educativa	Monitoreo colectivo anonimizado del clima emocional estudiantil; recepción de alertas de crisis individuales únicamente con autorización parental previa; herramientas para orientadores escolares.
🏥 EPS / aseguradora de salud	Oferta de Paloma como beneficio complementario de bienestar para afiliados; acceso a reportes de uso anonimizados y agregados; sin acceso a datos individuales identificados.
🩺 Clínica / centro terapéutico	Dashboard clínico multi-paciente para los profesionales de la institución que hayan sido autorizados individualmente por cada acudiente; hilo clínico; exportación de reportes.

Propósitos prohibidos: Está absolutamente prohibido usar los datos accedidos a través de Paloma para: perfilamiento comercial de menores, publicidad dirigida, venta o cesión de datos a terceros, investigación académica sin consentimiento adicional, o cualquier fin distinto al descrito en la tabla anterior.

3. Roles en el tratamiento de datos

Actor	Rol bajo la Ley 1581	Responsabilidades principales
ADA (Proveedor)	Responsable del Tratamiento	Define las finalidades; garantiza los derechos de los titulares; mantiene la seguridad de la infraestructura; es el punto de contacto ante la SIC.
La Institución	Encargado del Tratamiento	Accede a los datos solo para los fines autorizados; garantiza la confidencialidad de sus usuarios; notifica incidentes a ADA; no cede datos a terceros.
Acudiente / padre de familia	Titular (representante del menor)	Otorga o revoca el consentimiento de vinculación con la institución; puede limitar el acceso en cualquier momento.
Niño / adolescente	Titular de los datos	Sus datos solo se comparten con la institución cuando el acudiente lo autoriza expresamente.

4. Datos que se comparten y nivel de acceso por tipo de institución

Dato	🏫 Colegio	🏥 EPS	🩺 Clínica/terapeuta
Nombre del estudiante	Solo en alerta Nivel 0	❌ Nunca	✅ Sí (autorizado por acudiente)
Indicador semanal de bienestar	✅ Anonimizado (grupo)	✅ Solo agregados	✅ Individual autorizado
Registros emocionales detallados	❌ Nunca	❌ Nunca	✅ Solo si acudiente lo autoriza
Pensamientos libres (texto)	❌ Nunca	❌ Nunca	❌ Nunca (cifrado de extremo a extremo)
Alertas de crisis (Nivel 0 y 1)	Solo Nivel 0 con autorización	❌ Nunca	✅ Niveles 0 y 1 (autorizado)
Estadísticas de uso agregadas	✅ Del grupo completo	✅ De la población afiliada	✅ Del paciente autorizado
Datos de facturación / pago	❌ Nunca	❌ Nunca	❌ Nunca

Principio de mínima exposición: La institución solo tiene acceso a la cantidad mínima de datos necesaria para cumplir su propósito. El acudiente puede modificar o revocar estos permisos en cualquier momento desde la app, sin que esto afecte la prestación del servicio básico al menor.

5. Obligaciones de la institución

Al suscribir este acuerdo, la Institución se compromete a:

Tratar los datos accedidos única y exclusivamente para los propósitos autorizados en la Cláusula 2.
Designar un responsable interno de protección de datos que será el punto de contacto con ADA.
Garantizar que solo el personal expresamente autorizado (orientadores, terapeutas con rol asignado) acceda a los datos de la plataforma.
No descargar, copiar ni almacenar en sistemas propios los datos individuales de los estudiantes o pacientes obtenidos a través de Paloma, salvo exportaciones expresamente autorizadas por ADA y por el acudiente.
No ceder, vender, compartir ni divulgar los datos accedidos a ningún tercero bajo ninguna circunstancia.
Implementar medidas de seguridad razonables para proteger las credenciales de acceso a la plataforma (contraseñas robustas, no compartir credenciales, reportar accesos sospechosos).
Notificar a ADA dentro de las 24 horas siguientes a la detección de cualquier incidente de seguridad, acceso no autorizado o uso indebido de los datos.
Cumplir con la Ley 1581 de 2012 y demás normativa aplicable en el tratamiento de datos personales de menores.
Obtener y documentar el consentimiento de los acudientes de cada estudiante o paciente antes de vincularlos a la plataforma a través de la licencia institucional.
Destruir o devolver todos los datos obtenidos a través de Paloma al término de este acuerdo.

6. Obligaciones de ADA (Paloma)

Implementar y mantener las medidas de seguridad técnicas y organizativas descritas en la Política de Privacidad.
Garantizar que los datos de los menores vinculados a la Institución solo sean accesibles por los usuarios autorizados de la misma.
Notificar a la Institución dentro de las 48 horas de detectar un incidente de seguridad que afecte datos de sus estudiantes o pacientes.
Prestar soporte técnico y de onboarding para la correcta configuración del dashboard institucional.
Proporcionar capacitación básica al personal de la Institución sobre el uso responsable de la plataforma.
Mantener la disponibilidad del servicio conforme a los acuerdos de nivel de servicio (SLA) del plan Institucional.
Informar a la Institución con al menos 30 días de anticipación sobre cambios materiales en el tratamiento de datos o en estos Términos.
Permitir a la Institución, previa solicitud razonada, verificar el cumplimiento de las medidas de seguridad implementadas.

7. Medidas de seguridad

Medida	Descripción
Cifrado en tránsito	TLS 1.3 en todas las comunicaciones entre app, plataforma web y servidores
Cifrado en reposo	AES-256 para datos sensibles. Los pensamientos libres del menor usan cifrado de extremo a extremo — ADA no tiene acceso
Control de acceso por roles (RBAC)	Row Level Security en base de datos: cada usuario institucional solo ve los datos de sus estudiantes/pacientes autorizados
Autenticación segura	Contraseñas con hash bcrypt · JWT de corta duración · Soporte 2FA para cuentas institucionales
Logs de auditoría	Registro de todos los accesos a datos sensibles con timestamp, IP y usuario — retención 12 meses
Gestión de incidentes	Protocolo documentado de respuesta a incidentes con notificación a SIC en 72 horas

8. Subprocesadores de datos

ADA utiliza los siguientes subprocesadores para prestar el servicio. La Institución acepta estos subprocesadores al firmar este acuerdo:

Subprocesador	Propósito	Ubicación	Garantías
Supabase	Base de datos e infraestructura cloud	EU / EE.UU.	GDPR · SOC 2 · DPA firmado
Expo / React Native	Plataforma de apps móviles	EE.UU.	Solo procesamiento técnico · sin acceso a datos
OneSignal	Notificaciones push	EE.UU.	GDPR compliant · solo tokens anónimos de dispositivo
PostHog	Analíticas de producto (auto-alojado)	Servidor propio	Sin transferencia a terceros · solo datos anonimizados
Stripe / Wompi	Procesamiento de pagos	EE.UU. / Colombia	PCI DSS · datos de pago nunca pasan por servidores de ADA

ADA notificará a la Institución con al menos 15 días de anticipación ante la adición de nuevos subprocesadores que puedan afectar los datos de la institución.

9. Incidentes de seguridad — Protocolo de notificación

Evento	ADA notifica a la Institución	ADA notifica a la SIC
Acceso no autorizado a datos de la institución	Dentro de 24 horas	Dentro de 72 horas
Brecha de datos confirmada que afecta menores	Dentro de 24 horas	Dentro de 72 horas
Vulnerabilidad crítica sin explotación confirmada	Dentro de 72 horas	Según evaluación de riesgo
Indisponibilidad del servicio > 4 horas	Inmediatamente por el canal de soporte	No aplica

La notificación incluirá: (1) naturaleza del incidente, (2) datos posiblemente afectados, (3) número estimado de titulares, (4) medidas adoptadas y en curso, (5) punto de contacto para seguimiento. La notificación no implica reconocimiento de responsabilidad.

10. Vigencia y terminación

Este acuerdo entra en vigor en la fecha de firma y tiene una vigencia de un (1) año, renovable automáticamente por períodos iguales salvo que cualquiera de las partes notifique su intención de no renovar con 30 días de anticipación.

Terminación anticipada

Por cualquier parte: Con 30 días de aviso escrito, sin expresión de causa, con derecho a reembolso proporcional si aplica.
Por causa: Inmediatamente si la otra parte incumple materialmente este acuerdo y no subsana el incumplimiento dentro de los 10 días hábiles siguientes a la notificación.
Por ADA: Inmediatamente si detecta uso indebido de los datos de menores, sin derecho a reembolso.

Efectos de la terminación

Al término del acuerdo, la Institución deberá: (1) cesar inmediatamente el acceso a la plataforma, (2) destruir o devolver a ADA toda información obtenida, (3) confirmar por escrito el cumplimiento de estas obligaciones dentro de los 5 días hábiles siguientes a la terminación.

11. Ley aplicable y resolución de conflictos

Este acuerdo se rige por las leyes de la República de Colombia, en particular la Ley 1581 de 2012, el Decreto 1377 de 2013 y el Código de Comercio. Las controversias se resolverán conforme al mecanismo establecido en los Términos y Condiciones de Uso de Paloma (negociación → conciliación → jueces de Ibagué).

Para instituciones del sector salud: Este acuerdo complementa (no reemplaza) los acuerdos de confidencialidad y protección de datos que la institución pueda tener bajo la normativa del sector salud (Resolución 2654 de 2019 y normas concordantes).

12. Firmas

Las partes, debidamente representadas, suscriben el presente Acuerdo de Tratamiento de Datos en la ciudad de _________________, el día _____ del mes de _________________ de _______.

En señal de aceptación de todas y cada una de las cláusulas aquí establecidas:

Por el Proveedor

ADA S.A.S.

Aplicaciones Digitales Avanzadas S.A.S.

Representante Legal

Nombre: ___________________________

C.C. No.: _________________________

Cargo: ____________________________

Por la Institución

_______________________________

Nombre de la institución

Representante Legal

Nombre: ___________________________

C.C. No.: _________________________

Cargo: ____________________________

Datos de suscripción del acuerdo

No. de acuerdo

DPA-2026-___

Fecha de inicio

____/____/________

Fecha de vencimiento

____/____/________