heyllave
Cupo

Legal

Acuerdo de Procesamiento de Datos

Última actualización: 7 de mayo, 2026 · Versión 1.0

Este Acuerdo de Procesamiento de Datos (DPA) regula el tratamiento de datos personales que heyllave realiza por cuenta del Comerciante al prestarle el Servicio. Forma parte integral de los Términos y Condiciones y se complementa con la Política de Privacidad.

1. Roles de las partes

Para los datos personales de los Clientes Finales y demás titulares cuya información cargue el Comerciante al Servicio:

  • El Comerciante actúa como Responsable del tratamiento (en términos GDPR: controller).
  • heyllave actúa como Encargado del tratamiento (en términos GDPR: processor).

Cada parte cumple las obligaciones que le corresponden según la Ley 1581 de 2012 (Habeas Data — Colombia), el Decreto 1377 de 2013 y normas complementarias, así como GDPR cuando aplique.

2. Objeto, naturaleza y duración

heyllave tratará los datos personales únicamente con el fin de prestar el Servicio al Comerciante según las instrucciones documentadas en los Términos, esta DPA y la configuración que el Comerciante realice en la plataforma.

El tratamiento durará mientras esté vigente el contrato de Servicio entre las partes. Las obligaciones de devolución, supresión y confidencialidad sobreviven a la terminación.

3. Categorías de titulares y datos

Titulares cuyos datos pueden ser tratados:

  • Clientes finales del Comerciante (compradores, pacientes, asistentes, conductores u otros, según el vertical).
  • Empleados, contratistas o usuarios internos del Comerciante.
  • Proveedores y contactos comerciales del Comerciante.

Categorías de datos personales tratados:

  • Datos identificativos: nombre, identificación, fecha de nacimiento.
  • Datos de contacto: correo electrónico, teléfono, dirección.
  • Datos transaccionales: registros, órdenes, citas, pagos, historial.
  • Datos de comunicación: mensajes intercambiados a través de la plataforma.
  • Identificadores propios del vertical: placa de vehículo, número de paciente, código interno, etc.
  • Metadatos técnicos: IP, timestamps, identificadores de sesión.

El Comerciante no debe cargar datos sensibles (de salud, biométricos, religión, etc.) salvo que su plan lo permita expresamente y exista justificación legal. Si lo hace, será su responsabilidad recolectar el consentimiento cualificado correspondiente.

4. Obligaciones de heyllave (Encargado)

heyllave se compromete a:

  • Tratar los datos únicamente conforme a las instrucciones del Comerciante y a las leyes aplicables.
  • Garantizar que su personal autorizado esté sujeto a obligaciones de confidencialidad.
  • Implementar las medidas técnicas y organizacionales descritas en la sección 7.
  • Asistir al Comerciante en el ejercicio de los derechos de los titulares (sección 8).
  • Notificar incidentes de seguridad sin dilación indebida (sección 9).
  • Permitir y contribuir a auditorías razonables (sección 10).
  • Devolver o suprimir los datos al término del contrato (sección 11).

5. Obligaciones del Comerciante (Responsable)

El Comerciante se compromete a:

  • Tener una base legal válida para tratar los datos que carga (consentimiento, contrato, interés legítimo, obligación legal, etc.).
  • Informar a los titulares sobre el tratamiento que realiza y los derechos que les asisten.
  • Configurar correctamente roles y permisos dentro de la plataforma para limitar el acceso a personal autorizado.
  • No cargar datos que excedan los necesarios para la finalidad contratada.
  • Mantener actualizada la información de contacto del responsable y del oficial de privacidad cuando aplique.

6. Subencargados

El Comerciante autoriza a heyllave a contratar subencargados para prestar el Servicio. La lista actual está publicada en heyllave.co/subprocessors y se actualiza con notificación previa de al menos 30 días.

heyllave celebrará con cada subencargado un contrato que imponga obligaciones equivalentes a las de esta DPA y será responsable solidariamente por sus actuaciones.

7. Medidas de seguridad

heyllave implementa, como mínimo, las siguientes medidas:

  • Cifrado en tránsito (TLS 1.2 o superior) y en reposo (AES-256).
  • Control de acceso por roles, autenticación multifactor para personal interno.
  • Registros de auditoría inmutables (bitácora) por al menos 12 meses.
  • Aislamiento lógico estricto entre tenants (no compartido a nivel de fila).
  • Backups cifrados con prueba de restauración periódica.
  • Monitoreo continuo, detección de intrusos y revisiones de seguridad anuales.
  • Política de contraseñas robusta y rotación periódica de claves.
  • Plan de respuesta ante incidentes de seguridad.
  • Formación obligatoria en privacidad y seguridad para todo el personal.

8. Derechos de los titulares

heyllave proporciona al Comerciante herramientas para responder a las solicitudes de los titulares (acceso, rectificación, supresión, oposición, portabilidad, revocación). Cuando el Comerciante reciba directamente una solicitud, podrá usar la plataforma para atenderla.

Si heyllave recibiera una solicitud directamente de un titular cuyos datos trata por cuenta del Comerciante, no responderá la solicitud y la remitirá al Comerciante en un plazo máximo de 5 días hábiles.

9. Notificación de incidentes de seguridad

heyllave notificará al Comerciante sin dilación indebida y, en cualquier caso, dentro de las 72 horas siguientes a haber tenido conocimiento de cualquier incidente que afecte la confidencialidad, integridad o disponibilidad de los datos personales tratados.

La notificación incluirá, en la medida de lo posible:

  • Descripción del incidente y su naturaleza.
  • Categorías y número aproximado de titulares afectados.
  • Categorías y volumen aproximado de datos involucrados.
  • Medidas adoptadas o propuestas para mitigar el incidente.
  • Datos del punto de contacto para más información.

10. Auditorías

Una vez al año, con notificación de al menos 30 días, el Comerciante (o un auditor independiente que designe, sujeto a acuerdo de confidencialidad) podrá auditar el cumplimiento de esta DPA. Las auditorías:

  • Se realizarán en horario laboral y sin afectar la operación normal.
  • Pueden satisfacerse mediante la entrega de informes de auditoría externa (SOC 2, ISO 27001) cuando estén disponibles.
  • Los costos corren por cuenta del Comerciante salvo que la auditoría revele incumplimiento material.

11. Devolución y supresión

Al término del contrato, el Comerciante podrá exportar sus datos durante los 30 días siguientes mediante las herramientas de exportación de la plataforma. Pasado ese plazo, heyllave eliminará todos los datos personales de sus sistemas activos en un máximo de 90 días, salvo cuando la ley exija conservarlos.

Las copias de seguridad cifradas serán sobrescritas en el ciclo regular de rotación, en un plazo máximo de 12 meses.

12. Transferencias internacionales

El Comerciante autoriza la transferencia internacional de los datos personales hacia los países donde operan los subencargados listados, sujeta a las salvaguardas adecuadas (cláusulas contractuales tipo, decisiones de adecuación) cuando la jurisdicción de destino lo requiera.

13. Limitación de responsabilidad

La responsabilidad de cada parte bajo esta DPA está sujeta a los mismos límites establecidos en los Términos y Condiciones, salvo cuando la ley imperativa disponga lo contrario en materia de protección de datos.

14. Modificaciones

Podemos actualizar esta DPA con notificación previa de al menos 30 días. Si los cambios reducen las protecciones del Comerciante, este podrá dar por terminado el contrato sin penalidad si no acepta los nuevos términos.

15. Contacto

Para asuntos relacionados con esta DPA escríbenos a privacidad@heyllave.co.

heyllave S.A.S. — Barranquilla, Atlántico, Colombia.

¿Dudas sobre este documento? Escríbenos a legal@heyllave.co.