Acuerdo de Encargo de Tratamiento de Datos

Versión 1.0Vigente desde

Documento modelo basado en la Ley 1581 de 2012 y el Decreto 1377 de 2013. Antes de su uso en producción debe ser revisado por asesoría legal y completarse la identificación del responsable.

El presente Acuerdo de Encargo de Tratamiento (el “Acuerdo”) forma parte de los Términos del Servicio y regula el tratamiento de datos personales de los socios que el Gimnasio (el “Responsable”) encarga a [RAZÓN SOCIAL — completar] (SoftGymVip, el “Encargado”), conforme al artículo 25 del Decreto 1377 de 2013 y a la Ley 1581 de 2012.

1. Roles de las partes

  • El Gimnasio es el Responsable: decide las finalidades del tratamiento de los datos de sus socios y es el titular de la relación con ellos.
  • SoftGymVip es el Encargado: trata esos datos únicamente por cuenta y según las instrucciones del Gimnasio, para prestar el Servicio.

2. Datos y finalidades del encargo

El encargo recae sobre los datos de socios cargados o generados en el Servicio:

  • Identificación y contacto (nombre, documento, correo, teléfono, foto).
  • Membresías, pagos, asistencia, reservas y compras en tienda.
  • Datos sensibles cuando el Gimnasio los registre: datos de salud y valoraciones físicas, y datos biométricos (huella) si activa el control de acceso biométrico.

Finalidades: prestar y administrar el Servicio contratado por el Gimnasio (gestión de socios, cobros, control de acceso y asistencia, clases, tienda, reportes y comunicaciones). SoftGymVip no usará estos datos para finalidades propias.

3. Obligaciones del Encargado (SoftGymVip)

  • Tratar los datos solo conforme a las instrucciones lícitas del Responsable.
  • Garantizar la seguridad y confidencialidad de la información.
  • Tramitar y canalizar al Responsable las consultas y reclamos de los titulares, y colaborar para atenderlos.
  • Actualizar, rectificar o suprimir los datos cuando el Responsable lo indique, y permitir su exportación.
  • Abstenerse de usar los datos para fines distintos a los del encargo.
  • Informar al Responsable, sin demora injustificada, sobre incidentes de seguridad relevantes.
  • Conservar registro del tratamiento realizado por cuenta del Responsable.

4. Obligaciones del Responsable (Gimnasio)

  • Obtener de cada socio la autorización previa, expresa e informadapara el tratamiento, conforme al modelo de Autorización de Datos.
  • Obtener la autorización separada y voluntaria para datos sensibles (salud, biometría) y, en el caso de menores de edad, la de su representante legal.
  • Garantizar la veracidad y actualidad de los datos que carga.
  • Ser el canal principal con los titulares y atender sus derechos.
  • Impartir instrucciones lícitas y ajustadas a las finalidades autorizadas.

5. Subencargados

El Responsable autoriza a SoftGymVip a apoyarse en subencargados (proveedores de infraestructura, correo y pagos) para prestar el Servicio. SoftGymVip les exigirá obligaciones de protección equivalentes a las de este Acuerdo. La lista de proveedores y la información sobre transferencias internacionales se detalla en la Política de Privacidad.

6. Datos sensibles y biométricos

Para datos de salud y biométricos se aplican medidas reforzadas: acceso restringido, segregación por gimnasio y minimización. Cuando se active el control biométrico, SoftGymVip tratará preferentemente una plantilla biométrica(representación matemática) en lugar de la imagen de la huella, y la usará solo para identificar al socio en el control de acceso/asistencia. La activación de esta función exige que el Gimnasio cuente con la autorización biométrica de cada socio.

7. Seguridad e incidentes

SoftGymVip mantiene medidas técnicas y organizativas razonables (control de acceso, cifrado en tránsito, aislamiento por inquilino mediante RLS, auditoría). Ante un incidente que afecte datos del Gimnasio, lo notificará oportunamente con la información disponible para que pueda cumplir sus deberes legales.

8. Confidencialidad

SoftGymVip y su personal guardarán confidencialidad sobre los datos, incluso después de terminada la relación.

9. Duración, terminación y devolución

Este Acuerdo rige mientras el Gimnasio use el Servicio. A su terminación, y tras un período razonable para exportación, SoftGymVip devolverá o suprimirá de forma segura los datos tratados por cuenta del Gimnasio, salvo obligación legal de conservarlos.

10. Responsabilidad

Cada parte responde por el cumplimiento de las obligaciones que le corresponden según la Ley 1581 de 2012. Frente al titular, el Responsable conserva su condición de tal.