ACUERDO DE TRATAMIENTO DE DATOS PERSONALES

Ley 1581 de 2012 — Decreto 1377 de 2013

Versión 1.0  |  Abril de 2026

---

1. Partes del Acuerdo

El presente Acuerdo de Tratamiento de Datos Personales (en adelante, el «ATD») se celebra entre las siguientes partes:

Responsable del Tratamiento:

Encargado del Tratamiento:

En adelante, «VeloBot» actuará como Responsable del Tratamiento de los datos de los Clientes del Servicio, y como Encargado del Tratamiento de los datos de los usuarios finales de los chatbots gestionados por el Cliente.

2. Objeto

El presente ATD regula los términos y condiciones bajo los cuales VeloBot trata datos personales de terceros (usuarios finales del chatbot) en nombre y por instrucción del Cliente del Servicio, en el marco de la prestación del servicio de automatización de atención al cliente descrito en el contrato de servicios suscrito entre las partes.

El ATD complementa y hace parte integral del contrato de servicios.

En caso de contradicción entre este ATD y los Términos y Condiciones del Servicio en materia de protección de datos personales, prevalece el presente ATD.

3. Categorías de datos tratados

En el marco de la prestación del Servicio, VeloBot trata, por instrucción del Cliente, las siguientes categorías de datos personales de los usuarios finales:

• Identificadores de contacto: número de teléfono (WhatsApp), ID de usuario en Instagram o Messenger.
• Contenido de mensajes: texto de las conversaciones mantenidas a través del chatbot y metadatos asociados (ID de mensaje, marca temporal).
• Datos de reservas y citas: nombre del usuario, servicio seleccionado, fecha y hora de la cita, estado de la reserva, identificador del evento en Google Calendar.
• Datos de transacciones: información de pedidos o ventas cuando el chatbot actúe como canal transaccional, según la configuración del Cliente.
• Datos proporcionados voluntariamente: cualquier dato personal que el usuario final comparta en el curso de la conversación.

Datos sensibles: VeloBot no solicita ni trata datos sensibles (salud, origen étnico, opiniones políticas, etc.). Si un usuario los comparte espontáneamente, se aplican las mismas medidas de seguridad descritas en este ATD.

4. Finalidades del tratamiento

VeloBot trata los datos de los usuarios finales exclusivamente para las siguientes finalidades, por instrucción del Cliente:

• Recibir y enviar mensajes a través de las APIs de Meta (WhatsApp, Instagram, Messenger) en nombre del Cliente.
• Generar respuestas automatizadas mediante inteligencia artificial (OpenAI), según las instrucciones configuradas por el Cliente.
• Gestionar reservas y citas: consultar disponibilidad, crear, modificar y cancelar eventos en Google Calendar en nombre del Cliente.
• Enviar recordatorios de cita a los usuarios finales vía WhatsApp, según la configuración del Cliente.
• Gestionar pedidos y ventas cuando el chatbot actúe como canal transaccional.
• Almacenar historiales de conversación para soporte operativo y auditoría, durante el tiempo establecido en este ATD.
• Prevenir el procesamiento duplicado de eventos de webhook (almacenamiento temporal de identificadores de mensaje, máximo 24 horas).

Prohibición: VeloBot no utilizará los datos de los usuarios finales para fines publicitarios, de perfilamiento de marketing, ni los cederá a terceros no autorizados. El uso está estrictamente limitado a la prestación del Servicio.

5. Obligaciones de VeloBot

En su calidad de encargado del tratamiento de datos de usuarios finales, VeloBot se obliga a:

• Tratar los datos personales únicamente conforme a las instrucciones del Cliente y a lo establecido en este ATD y en la Política de Privacidad de VeloBot.
• No ceder, vender ni transferir los datos a terceros no autorizados, salvo a los subencargados descritos en la sección 7.
• Implementar y mantener medidas técnicas y organizativas adecuadas para proteger los datos contra acceso no autorizado, pérdida, destrucción o alteración (ver sección 8).
• Notificar al Cliente, sin demora indebida y en un plazo máximo de 72 horas desde su conocimiento, cualquier incidente de seguridad que afecte los datos personales tratados en nombre del Cliente.
• Asistir al Cliente en el cumplimiento de las solicitudes de derechos de los titulares (acceso, rectificación, supresión, etc.) en la medida en que sea técnicamente posible.
• Eliminar o devolver los datos al Cliente al término de la relación contractual, salvo que exista obligación legal de conservarlos.
• Mantener registros suficientes que demuestren el cumplimiento de este ATD.

6. Obligaciones del Cliente del Servicio

En su calidad de responsable del tratamiento frente a sus usuarios finales, el Cliente se obliga a:

• Contar con una base legal válida para el tratamiento de los datos de sus usuarios finales antes de utilizar el Servicio.
• Disponer de una política de privacidad propia, visible y accesible para sus usuarios finales, que informe sobre el uso de VeloBot y Google Calendar para la gestión de citas.
• Obtener el consentimiento o autorización de sus usuarios finales en los casos en que la ley así lo exija.
• Instruir a VeloBot únicamente para tratamientos que sean legales y conformes a la normativa aplicable.
• Notificar a VeloBot cualquier solicitud de derechos de titulares que reciba y que deba atenderse a través del Servicio.
• No transmitir a través del Servicio datos de menores de edad ni datos sensibles, salvo que cuente con la autorización expresa exigida por ley.

7. Subencargados autorizados

El Cliente autoriza expresamente a VeloBot a subcontratar el tratamiento de datos con los siguientes proveedores, quienes actúan como subencargados bajo instrucciones contractuales y medidas de seguridad adecuadas:

VeloBot informará al Cliente con antelación razonable sobre cualquier cambio en la lista de subencargados que pueda afectar el nivel de protección de los datos.

8. Medidas de seguridad

VeloBot implementa las siguientes medidas técnicas y organizativas para proteger los datos personales:

• Cifrado HTTPS en todas las comunicaciones externas.
• Contraseñas de acceso al panel almacenadas con hash PBKDF2-SHA256; nunca en texto plano.
• Tokens de acceso OAuth (Meta y Google) almacenados cifrados en base de datos con acceso restringido.
• Control de acceso basado en roles (Admin / Cliente) en el panel de administración.
• Validación de firma de webhook (X-Hub-Signature-256) para verificar la autenticidad de los mensajes entrantes.
• Registro de eventos de seguridad: logs de acceso, intentos de autenticación fallidos y actividades sospechosas.
• Copias de seguridad periódicas de la base de datos.

9. Conservación y eliminación de datos

Los datos personales de usuarios finales se conservarán durante la vigencia del contrato de servicios y por el tiempo adicional necesario para cumplir obligaciones legales o resolver reclamaciones.

Al término del contrato, VeloBot eliminará los datos personales de usuarios finales del Cliente en un plazo máximo de 30 días calendario, salvo que la ley exija un período de conservación mayor. El Cliente podrá solicitar la eliminación anticipada mediante comunicación escrita a privacidad@velobot.co.

10. Ejercicio de derechos por titulares

De conformidad con la Ley 1581 de 2012, los usuarios finales (titulares) tienen derecho a conocer, actualizar, rectificar y suprimir sus datos, así como a revocar la autorización. Las solicitudes pueden dirigirse a privacidad@velobot.co o al Cliente del Servicio directamente.

VeloBot atenderá las solicitudes en los plazos establecidos por la ley: 10 días hábiles para consultas y 15 días hábiles para reclamos (artículos 14 y 15, Ley 1581 de 2012). Cuando la solicitud deba ser resuelta por el Cliente, VeloBot redirigirá al titular y asistirá técnicamente según lo requerido.

11. Transferencias internacionales

Los datos pueden ser procesados fuera de Colombia por los subencargados listados en la sección 7. VeloBot adopta las garantías adecuadas conforme a la normativa colombiana (Ley 1581 de 2012, artículos 26 y 27), incluyendo cláusulas contractuales y verificación del nivel de protección de los países destinatarios.

12. Vigencia y terminación

El presente ATD entrará en vigor en la fecha de aceptación por el Cliente (firma del contrato o marcación del checkbox de aceptación digital) y permanecerá vigente mientras dure la relación contractual con VeloBot.

La terminación del contrato de servicios implica la terminación automática de este ATD, sin perjuicio de las obligaciones de confidencialidad y eliminación de datos, que subsistirán por el tiempo establecido en la sección 9.

13. Modificaciones

VeloBot podrá actualizar este ATD para reflejar cambios en el Servicio, en los subencargados o en la normativa aplicable. La versión vigente estará disponible en velobot.co/atd. Los cambios materiales serán notificados al Cliente con al menos 15 días de antelación. El uso continuado del Servicio tras la publicación constituye aceptación de la versión actualizada.

14. Ley aplicable y resolución de conflictos

Este ATD se rige por las leyes de la República de Colombia, en particular la Ley 1581 de 2012 y el Decreto 1377 de 2013. Cualquier controversia se resolverá, en primer lugar, mediante negociación directa entre las partes. De no llegarse a un acuerdo, las partes se someten a la jurisdicción de los jueces competentes de la ciudad de Pereira, Risaralda, Colombia.

Los titulares de datos en Colombia pueden presentar reclamaciones ante la Superintendencia de Industria y Comercio (SIC), autoridad de protección de datos, en www.sic.gov.co.

---

ACEPTACIÓN DEL ACUERDO

Las partes declaran haber leído y comprendido el presente ATD y lo aceptan en todas sus partes, de manera libre, expresa e informada.

VeloBot — Juan Sebastián Valencia Torres  |  NIT 1088259999-6  |  privacidad@velobot.co  |  velobot.co