1. Identificación del Responsable del Tratamiento

INNCLOD SAS es el responsable del tratamiento de los datos personales recolectados en el desarrollo de su objeto social, de conformidad con lo establecido en la Ley 1581 de 2012 y el Decreto Único Reglamentario 1074 de 2015.

2. Marco Normativo

La presente política se desarrolla en cumplimiento de:

• Ley 1581 de 2012 — Régimen general de protección de datos personales en Colombia.
• Decreto Único Reglamentario 1074 de 2015 (artículos 2.2.2.25.1.1 y siguientes) — Reglamenta parcialmente la Ley 1581 de 2012.
• Artículo 15 de la Constitución Política de Colombia — Derecho al habeas data.
• Circular Única de la Superintendencia de Industria y Comercio — SIC, en materia de protección de datos personales.

3. Ámbito de Aplicación

La presente política aplica a todas las bases de datos y actividades de tratamiento de datos personales realizadas por INNCLOD SAS en el desarrollo de su objeto social, que comprende el diseño, desarrollo, implementación y mantenimiento de soluciones de software para sus clientes, así como a cualquier producto o servicio tecnológico desarrollado, operado o comercializado por INNCLOD SAS, presente o futuro

Esta política regula el tratamiento de datos de los siguientes tipos de titulares:

• Clientes empresariales de INNCLOD SAS.
• Usuarios finales de los productos desarrollados (empleados o clientes de los clientes de INNCLOD SAS).
• Contratistas, proveedores y aliados comerciales de INNCLOD SAS.
• Visitantes del sitio web www.innclod.com.

4. Definiciones

Para los efectos de la presente política, se adoptan las definiciones previstas en el artículo 3 de la Ley 1581 de 2012:

5. Principios Rectores del Tratamiento

INNCLOD SAS adelanta el tratamiento de datos personales observando los siguientes principios (artículo 4, Ley 1581 de 2012):

• Legalidad: El tratamiento se realiza conforme a la ley y a las disposiciones de la presente política.
• Finalidad: Los datos se recolectan con finalidades determinadas, explícitas y legítimas, y no serán tratados de manera incompatible con dichas finalidades.
• Libertad: El tratamiento solo puede realizarse con la autorización previa, expresa e informada del titular.
• Veracidad: Los datos deben ser veraces, completos, exactos, actualizados y verificables.
• Transparencia: El titular puede obtener en cualquier momento información sobre los datos que INNCLOD SAS tiene sobre él.
• Acceso y circulación restringida: Los datos solo serán compartidos con quienes el titular haya autorizado o la ley lo permita.
• Seguridad: Se adoptarán medidas técnicas, humanas y administrativas para proteger los datos.
• Confidencialidad: Quienes participen en el tratamiento están obligados a guardar reserva sobre los datos.

6. Categorías de Datos Personales Tratados

6.1 Datos de identificación y contacto

• Nombre completo, tipo y número de documento de identidad.
• Correo electrónico, número de teléfono, dirección física.
• Cargo y empresa a la que pertenece.

6.2 Datos laborales y contractuales

• Información contractual de contratistas y proveedores.
• Historial de servicios prestados y pagos realizados.

6.3 Datos de uso de plataforma (comportamiento)

• Logs de acceso, navegación e interacción con las funcionalidades del software.
• Dirección IP, tipo de dispositivo y sistema operativo.
• Preferencias y configuraciones del usuario dentro de la plataforma.

6.4 Datos de geolocalización

• Ubicación geográfica de sucursales y puntos de operación de clientes.
• Coordenadas GPS cuando el usuario habilita esta función en la aplicación móvil.

6.5 Datos sensibles — tratamiento especial

INNCLOD SAS, en calidad de encargado del tratamiento y en el marco de los productos desarrollados para sus clientes, puede tener acceso a los siguientes datos sensibles:

• Datos de salud: resultados de exámenes médicos (colesterol, ETS y otros indicadores de bienestar laboral) recolectados a través de aplicaciones de pausas activas y bienestar. INNCLOD SAS actúa exclusivamente como encargado técnico; el cliente es el responsable del tratamiento de estos datos.

Aviso importante sobre datos sensibles: El titular no está obligado a autorizar el tratamiento de datos sensibles. La negativa a proporcionar datos de salud no generará consecuencias adversas, salvo que dichos datos sean estrictamente necesarios para la prestación del servicio contratado. El tratamiento de estos datos se realizará únicamente con autorización explícita y diferenciada del titular.

7. Finalidades del Tratamiento

Los datos personales recolectados por INNCLOD SAS serán tratados para las siguientes finalidades, según el tipo de titular:

7.1 Clientes empresariales

• Gestión y ejecución de contratos de desarrollo de software.
• Facturación, cobro y registro contable de servicios.
• Comunicaciones comerciales, técnicas y de soporte relacionadas con los productos contratados.
• Cumplimiento de obligaciones legales y reportes a autoridades de vigilancia y control.

7.2 Usuarios finales (empleados o clientes de los clientes de InnClod)

• Prestación y personalización de los servicios de software para los cuales fueron enrolados por el cliente responsable.
• Registro de actividad dentro de la plataforma para auditoría, seguridad y mejora continua del producto.
• Geolocalización de sucursales para funcionalidades de la aplicación contratada por el cliente.
• Seguimiento de indicadores de bienestar laboral, cuando el usuario haya otorgado autorización expresa al cliente responsable.

7.3 Contratistas y proveedores

• Gestión de la relación contractual, pagos y cumplimiento de obligaciones legales.
• Registro en bases de datos internas de InnClod SAS para efectos tributarios y contables.

7.4 Visitantes del sitio web

• Análisis de navegación y mejora de la experiencia en el sitio web.
• Atención de solicitudes de contacto, demos o información comercial.
• Envío de información comercial cuando el visitante lo haya solicitado expresamente.

8. Rol de INNCLOD SAS: Responsable y Encargado

INNCLOD SAS puede actuar en dos calidades distintas frente al tratamiento de datos:

En todos los contratos de desarrollo de software con sus clientes, INNCLOD SAS incluirá un Acuerdo de Encargo de Tratamiento (AET) que delimite las obligaciones de cada parte respecto a los datos de los usuarios finales, conforme al artículo 25 de la Ley 1581 de 2012.

9. Transferencias y Transmisiones Internacionales de Datos

INNCLOD SAS utiliza infraestructura de Amazon Web Services (AWS) con servidores ubicados en los Estados Unidos de América para el almacenamiento, procesamiento y operación de sus plataformas de software. Esta operación constituye una transferencia internacional de datos personales en los términos del artículo 26 de la Ley 1581 de 2012.

INNCLOD SAS adopta las siguientes medidas para garantizar la protección adecuada de los datos en estas transferencias:

• Celebración de acuerdos contractuales con AWS bajo los Data Processing Agreements (DPA) que establecen estándares de seguridad equivalentes o superiores a los exigidos por la normativa colombiana.
• Uso de servicios de AWS certificados bajo estándares ISO 27001, SOC 2 y otras certificaciones de seguridad reconocidas internacionalmente.
• Cifrado en tránsito (TLS/SSL) y en reposo de los datos almacenados en la infraestructura de AWS.

Al otorgar su autorización para el tratamiento de datos conforme a la presente política, el titular consiente expresamente la transferencia de sus datos a los servidores de AWS en Estados Unidos bajo las condiciones aquí descritas.

INNCLOD SAS no venderá, cederá ni transferirá datos personales a terceros distintos a sus clientes cuando ello sea necesario para la prestación del servicio contratado, salvo autorización expresa del titular o mandato legal.

10. Derechos de los Titulares

De conformidad con el artículo 8 de la Ley 1581 de 2012, el titular de los datos personales tiene los siguientes derechos:

1. Conocer: Acceder de forma gratuita a sus datos personales que hayan sido objeto de tratamiento por parte de INNCLOD SAS.
2. Actualizar: Solicitar la actualización de sus datos cuando estos hayan cambiado o estén incompletos.
3. Rectificar: Solicitar la corrección de datos inexactos, imprecisos o incompletos.
4. Suprimir: Solicitar la eliminación de sus datos cuando el tratamiento no respete los principios, derechos y garantías de la Ley 1581 de 2012, o cuando hayan dejado de ser necesarios para la finalidad que justificó su recolección.
5. Revocar la autorización: Retirar en cualquier momento el consentimiento otorgado para el tratamiento, siempre que no exista una obligación legal o contractual que lo impida.
6. Ser informado: Ser notificado sobre el uso que se ha dado a sus datos personales previa solicitud.
7. Presentar quejas ante la SIC: Acudir ante la Superintendencia de Industria y Comercio (www.sic.gov.co) cuando considere que INNCLOD SAS ha vulnerado sus derechos sobre protección de datos personales.

Nota para usuarios finales de clientes de InnClod: Si usted es usuario final de una aplicación desarrollada por InnClod SAS para un cliente, el responsable directo de sus datos es dicho cliente. Le recomendamos dirigir sus solicitudes ARCO al cliente que le proporcionó el acceso a la aplicación. InnClod SAS cooperará con el responsable en la atención de estas solicitudes.

11. Procedimiento de Atención de Solicitudes

11.1 Canal de contacto

El titular podrá ejercer sus derechos enviando su solicitud al correo electrónico datospersonales@innclod.com o a la dirección física: Diagonal 82 # 75-40 Apto 205, Bogotá D.C., Colombia.

11.2 Consultas (artículo 14, Ley 1581 de 2012)

Las consultas sobre datos personales serán atendidas en un plazo máximo de diez (10) días hábiles contados desde la fecha de recibo de la solicitud. Cuando no sea posible atender la consulta en dicho plazo, se informará al interesado indicando los motivos de la demora y la fecha en que se atenderá, la cual no podrá superar los cinco (5) días hábiles siguientes.

11.3 Reclamos (artículo 15, Ley 1581 de 2012)

Los reclamos relacionados con el ejercicio de los derechos de actualización, rectificación, supresión o revocación se atenderán en un plazo máximo de quince (15) días hábiles contados desde el día siguiente a la fecha de su recibo. Cuando no sea posible atender el reclamo dentro de dicho plazo, se informará al interesado indicando los motivos de la demora y la fecha en que se atenderá su reclamo, plazo que en ningún caso podrá superar los ocho (8) días hábiles siguientes.

Si la solicitud está incompleta, INNCLOD SAS requerirá al titular dentro de los cinco (5) días hábiles siguientes a su recibo para que la corrija. Si el titular no subsana la solicitud dentro de los dos (2) meses siguientes, se entenderá desistida.

12. Medidas de Seguridad

INNCLOD SAS implementa medidas técnicas, humanas y administrativas para proteger los datos personales contra acceso no autorizado, pérdida, alteración o uso indebido, que incluyen entre otras:

• Cifrado de datos en tránsito mediante protocolos TLS/SSL.
• Cifrado de datos en reposo en los servicios de almacenamiento en AWS.
• Control de acceso basado en roles (RBAC) para el personal de INNCLOD SAS.
• Registro de auditoría (logs) de acceso a datos personales.
• Procedimientos de respaldo y recuperación ante desastres.
• Capacitación al personal en protección de datos y seguridad de la información.
• Acuerdos de confidencialidad suscritos con todo el personal y contratistas.

13. Tiempo de Conservación de los Datos

Los datos personales se conservarán durante el tiempo que sea necesario para cumplir con la finalidad que justificó su recolección, con sujeción a los siguientes criterios:

• Datos de clientes y contratos: mínimo cinco (5) años después de la terminación de la relación contractual, por obligaciones tributarias y contables.
• Datos de contratistas: mínimo cinco (5) años por obligaciones legales y fiscales.
• Datos de salud de usuarios finales: según lo acordado en el Acuerdo de Encargo de Tratamiento con el cliente responsable, y conforme a las obligaciones legales aplicables.
• Datos de visitantes del sitio web: máximo dos (2) años desde la última interacción, salvo que el visitante haya establecido una relación contractual con INNCLOD SAS.
• Datos de comportamiento en plataforma (logs): máximo dos (2) años para fines de auditoría y mejora del producto.

Vencidos los plazos anteriores, los datos serán suprimidos o anonimizados de forma irreversible, de modo que no permitan identificar al titular.

14. Autorización del Titular

De conformidad con el artículo 9 de la Ley 1581 de 2012, el tratamiento de datos personales requiere la autorización previa, expresa e informada del titular, salvo en los casos expresamente exceptuados por la ley.

La autorización podrá obtenerse mediante:

• Aceptación de la presente política al momento del registro en cualquier plataforma de INNCLOD SAS.
• Firma de contrato o acuerdo que haga referencia expresa a esta política.
• Manifestación verbal registrada por cualquier medio idóneo.

AUTORIZACIÓN DE TRATAMIENTO DE DATOS PERSONALES

Leída la presente Política de Tratamiento de Datos Personales de INNCLOD SAS, autorizo de manera previa, expresa, informada e inequívoca a INNCLOD SAS para el tratamiento de mis datos personales conforme a las finalidades, condiciones y medidas de seguridad aquí descritas. Declaro ser el titular de la información suministrada, que la he entregado de forma voluntaria y que es completa, confiable, veraz, exacta y verídica.

15. Vigencia y Actualización de la Política

La presente Política de Tratamiento de Datos Personales rige a partir del 1 de septiembre de 2024 y estará disponible permanentemente en www.innclod.com.

Cualquier modificación sustancial será comunicada a los titulares con al menos diez (10) días hábiles de anticipación a su entrada en vigencia, a través del sitio web de INNCLOD SAS y/o mediante correo electrónico dirigido a los titulares que hayan suministrado dicho dato. La versión vigente siempre será la publicada en el sitio web.

INNCLOD SAS

Juan Guillermo Gutiérrez Martínez

Representante Legal

C.C. 80.843.195

NIT 900.805.143-5

Bogotá D.C., enero de 2026