Acuerdo de Encargado del Tratamiento.

Este Acuerdo de Encargado del Tratamiento (en adelante, el “Acuerdo”) complementa los Términos y Condiciones del servicio Flotia y regula el tratamiento de datos personales que el Cliente carga, captura o pone a disposición a través de la plataforma.

Para efectos del presente Acuerdo, las partes acuerdan que:

• El Cliente actúa como Responsable del Tratamiento de los datos personales que ingresa o procesa a través de la plataforma.
• Flotia^™, operada por Inversiones Nupa S.A.S. (NIT 901.683.137-9), actúa como Encargado del Tratamiento, conforme a la Ley 1581 de 2012 y el Decreto 1377 de 2013.

Flotia tratará los datos personales únicamente para los fines necesarios para prestar el servicio, incluyendo:

• Almacenar, ordenar, conservar, consultar, transmitir y suprimir datos cargados por el Cliente.
• Generar reportes, alertas y comprobantes solicitados por el Cliente.
• Permitir el acceso desde las aplicaciones PWA del conductor y del mecánico.
• Mantener registros de auditoría, copias de seguridad y logs de seguridad.

Flotia no usará los datos del Cliente para finalidades propias distintas a las anteriores, salvo cuando los datos hayan sido previamente anonimizados o agregados de forma que no permitan identificar a los Titulares.

A título enunciativo, los datos personales que el Cliente puede procesar a través de la plataforma son:

• Conductores: nombres, identificación, licencia de conducción, fotografía, datos de contacto, datos de licencias y documentos asociados al vehículo asignado.
• Mecánicos y personal interno: nombres, identificación, datos de contacto.
• Clientes finales del Cliente: nombres o razón social, datos de contacto, datos de facturación.
• Datos operativos: ubicaciones registradas por la PWA del conductor con su autorización, bitácoras PESV, fotografías de comprobantes y documentos.

Flotia se obliga a cumplir, en particular, las obligaciones del artículo 18 de la Ley 1581 de 2012:

• Tratar los datos personales únicamente bajo instrucciones del Responsable.
• Garantizar al Titular, en todo momento, el pleno y efectivo ejercicio del derecho de Habeas Data.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Mantener la confidencialidad de los datos, aun después de la terminación del contrato.
• Tramitar de manera diligente las consultas y reclamos formulados por los Titulares.
• Permitir al Responsable verificar el cumplimiento del Acuerdo y entregar la información que le sea requerida por la autoridad.
• Notificar al Responsable de inmediato cualquier incidente de seguridad que afecte datos personales bajo su tratamiento.

El Cliente se obliga a:

• Recabar previamente la autorización expresa e informada de los Titulares cuyos datos se carguen en la plataforma (conductores, mecánicos, clientes finales, etc.) o contar con una causal legal que exonere de dicha autorización.
• Cargar únicamente datos veraces, exactos y actualizados y respetar las finalidades autorizadas por el Titular.
• Atender directamente las consultas y reclamos de sus propios Titulares, salvo que delegue esa labor expresamente en Flotia.
• Mantener actualizadas las cuentas de Usuario y revocar accesos a personas que ya no deban tratar los datos.
• Implementar las medidas de seguridad de su lado (claves robustas, cierre de sesión, dispositivos confiables).

Flotia aplica medidas técnicas, humanas y administrativas razonables para proteger los datos, descritas con mayor detalle en la Política de Tratamiento de Datos Personales. En particular:

• Cifrado en tránsito (TLS 1.2+) y en reposo en proveedores de infraestructura.
• Control de acceso por roles, aislamiento lógico por organización (multitenancy) y URLs firmadas con expiración para archivos privados.
• Registros de auditoría, copias de respaldo periódicas y procedimientos de recuperación.
• Acuerdos de confidencialidad con personal y subencargados con acceso a los datos.

Flotia podrá apoyarse en proveedores tecnológicos (subencargados) para prestar el servicio: infraestructura en la nube, pasarelas de pago, facturación electrónica, correo transaccional, observabilidad y antifraude. Estos subencargados quedan sujetos a obligaciones contractuales equivalentes a las del presente Acuerdo.

La lista actualizada de subencargados está disponible escribiendo a privacidad@flotia.co. Flotia informará al Cliente con razonable antelación cuando se incorporen nuevos subencargados, sin perjuicio de la continuidad del servicio.

Algunos subencargados pueden alojar datos en servidores ubicados fuera de Colombia. Flotia verifica que dichos países otorguen un nivel adecuado de protección o suscribe cláusulas contractuales que garanticen el cumplimiento de la Ley 1581 de 2012, conforme a la Circular Externa 005 de 2017 de la SIC. Con la celebración del contrato de servicio, el Cliente autoriza expresamente la transferencia y transmisión internacional necesarias para la prestación del servicio.

Si Flotia detecta un incidente que afecte la confidencialidad, integridad o disponibilidad de los datos personales del Cliente, notificará a la dirección de correo registrada en la cuenta del Cliente sin dilaciones indebidas, describiendo la naturaleza del incidente, las medidas adoptadas y las recomendaciones. Cuando aplique, el Cliente informará a la Superintendencia de Industria y Comercio dentro de los términos legales.

El presente Acuerdo permanece vigente mientras esté en curso la relación contractual entre el Cliente y Flotia.

Terminada la relación, el Cliente cuenta con un plazo razonable para exportar sus datos. Vencido dicho plazo, Flotia procederá a la supresión definitiva de los datos personales del Cliente, salvo cuando una norma legal o tributaria obligue a conservarlos por un tiempo mayor.

Este Acuerdo se rige por las leyes de la República de Colombia y se somete a las disposiciones sobre solución de controversias previstas en los Términos y Condiciones.