En esta página
- 1.Objeto y roles
- 2.Entidad legal aplicable
- 3.Alcance del tratamiento
- 4.Instrucciones de tratamiento
- 5.Confidencialidad
- 6.Medidas de seguridad
- 7.Subencargados
- 8.Transferencias internacionales
- 9.Atención de solicitudes de titulares
- 10.Notificación de incidentes
- 11.Devolución y supresión de datos
- 12.Información y auditoría
- 13.Vigencia
- 14.Cómo obtener un ejemplar firmado
Cuando tu empresa registra en WELLFLEX ERP datos de sus clientes, empleados o proveedores, tu empresa es la responsable de esos datos y WELLFLEX su encargada. Este acuerdo define esa relación: qué hacemos con los datos, qué no hacemos nunca, y qué puedes exigirnos.
1. Objeto y roles
Este acuerdo regula el tratamiento que WELLFLEX realiza, por cuenta de tu empresa, de los datos que tu empresa registra en WELLFLEX ERP. En la terminología de la Ley 1581 de 2012 (y su equivalente internacional):
- Tu empresa — Responsable del tratamiento (controller)
- Decide qué datos registra en la plataforma, para qué finalidades y quién de su equipo accede. Garantiza contar con la autorización o base legal para tratar los datos personales de terceros que registra (clientes, empleados, proveedores).
- WELLFLEX — Encargado del tratamiento (processor)
- Trata esos datos exclusivamente para prestar el servicio, siguiendo las instrucciones de tu empresa y las obligaciones de este acuerdo.
Para los datos de las cuentas de usuario en sí (correo, credenciales), WELLFLEX actúa como responsable según la Política de privacidad.
2. Entidad legal aplicable
WELLFLEX ERP es el producto; lo operan las entidades del grupo WELLFLEX. Según tu país y tu relación comercial, la entidad que contrata contigo puede ser una de las siguientes:
- WELLFLEX S.A.S. — Colombia
- NIT 901.728.428-2 · Cra. 13 # 80-44, Soledad, Atlántico, 083010, Colombia. Sociedad por acciones simplificada constituida en Colombia. Entidad contratante por defecto para clientes en Colombia.
- WELLFLEX LLC — Estados Unidos
- EIN 36-5134136 · 30 N Gould St Ste 43564, Sheridan, WY 82801, Estados Unidos. Sociedad de responsabilidad limitada constituida en Estados Unidos. Entidad contratante para clientes fuera de Colombia cuando así se indique.
La entidad aplicable a tu caso es la que aparece en tu contrato, en tu factura, en los términos que aceptaste al contratar o, en su defecto, la que corresponde a tu relación comercial con WELLFLEX. Si tienes dudas sobre cuál entidad te aplica, escríbenos y te lo confirmamos.
3. Alcance del tratamiento
Naturaleza y finalidad
Alojamiento, procesamiento, respaldo, visualización y exportación de los datos como parte del servicio SaaS de gestión empresarial.
Categorías de datos
Datos operativos del negocio: clientes, proveedores, productos, inventario, ventas, compras, gastos, nómina, contabilidad, reportes, archivos adjuntos, bitácoras y configuración. Pueden incluir datos personales de contacto, identificación y, en nómina, datos laborales y de seguridad social.
Titulares
Clientes, proveedores, empleados y contratistas de tu empresa, y los usuarios que tu empresa invita a la plataforma.
Duración
Mientras exista la cuenta de tu empresa, más los plazos de supresión pactados.
4. Instrucciones de tratamiento
WELLFLEX tratará los datos de tu empresa únicamente:
- Según las instrucciones documentadas de tu empresa, que se expresan a través del uso de la plataforma, su configuración y las solicitudes por los canales de soporte.
- Para prestar, mantener y asegurar el servicio contratado.
- Cuando una obligación legal lo exija; en ese caso, te informaremos antes salvo que la ley lo prohíba.
WELLFLEX no usa los datos de tu empresa para fines propios, no los vende y no los cede para publicidad.
5. Confidencialidad
Las personas autorizadas por WELLFLEX para tratar datos de clientes están sujetas a obligaciones de confidencialidad contractuales que sobreviven a la terminación de su vínculo. El acceso interno se limita a lo necesario para operar y dar soporte, bajo el principio de mínimo privilegio descrito en Seguridad.
6. Medidas de seguridad
WELLFLEX implementa medidas técnicas y organizativas apropiadas, descritas en detalle en la página de Seguridad, que incluyen:
- Aislamiento multi-tenant aplicado con Row Level Security en la base de datos.
- Control de acceso por roles y permisos granulares, verificado en múltiples capas.
- Cifrado del tráfico (TLS) y cifrado en reposo en la infraestructura.
- Respaldos automáticos y bitácoras de auditoría.
- Credenciales privilegiadas restringidas al servidor.
Las medidas pueden evolucionar, siempre sin reducir el nivel de protección global.
7. Subencargados
Tu empresa autoriza de forma general el uso de los subencargados listados en Subencargados, necesarios para operar la plataforma. WELLFLEX:
- Impone a cada subencargado obligaciones de protección de datos equivalentes a las de este acuerdo.
- Responde ante tu empresa por el desempeño de sus subencargados.
- Avisará los cambios de subencargados con antelación razonable, por los canales de la plataforma o por correo, para que puedas objetar con fundamento.
8. Transferencias internacionales
El tratamiento se realiza en la infraestructura de los subencargados, principalmente en Estados Unidos. WELLFLEX garantiza que toda transferencia internacional se ampara en compromisos contractuales con proveedores que ofrecen niveles adecuados de protección, conforme a los artículos 26 y 27 de la Ley 1581 de 2012 y a la Política de privacidad.
9. Atención de solicitudes de titulares
Si un titular (por ejemplo, un cliente o empleado de tu empresa) ejerce sus derechos de acceso, corrección o supresión:
- La solicitud corresponde a tu empresa como responsable; la plataforma te da las herramientas para consultar, corregir y eliminar registros.
- Si el titular contacta directamente a WELLFLEX, le indicaremos que dirija la solicitud a tu empresa y te la remitiremos sin demora injustificada.
- WELLFLEX te asistirá razonablemente cuando la atención de la solicitud requiera soporte técnico adicional.
10. Notificación de incidentes
Ante un incidente de seguridad confirmado que afecte datos de tu empresa, WELLFLEX tomará medidas razonables para investigarlo, contenerlo y mitigarlo, y lo notificará sin dilación indebida a los contactos administradores de tu cuenta — y a las autoridades competentes cuando la ley lo exija — con la información disponible sobre naturaleza, alcance, medidas de contención y recomendaciones, completándola a medida que avance la investigación.
11. Devolución y supresión de datos
Al terminar el servicio, tu empresa puede:
- Exportar su información en formatos estándar desde la plataforma antes del cierre.
- Solicitar la supresión definitiva de todos sus datos escribiendo a soporte@wellflex.co. Verificada la solicitud, WELLFLEX eliminará, anonimizará o restringirá el acceso a los datos dentro de un plazo razonable, salvo que su conservación sea necesaria por motivos legales, tributarios, contables, de seguridad, de resolución de disputas, de prevención de fraude o contractuales. La supresión ejecutada es irreversible, sujeta a la rotación normal de respaldos.
12. Información y auditoría
WELLFLEX pondrá a disposición de tu empresa la información razonablemente necesaria para demostrar el cumplimiento de este acuerdo: la documentación pública del Centro legal, respuestas a cuestionarios de seguridad razonables y, para clientes empresariales, sesiones de revisión con nuestro equipo técnico previa coordinación. Las auditorías no podrán comprometer la seguridad ni los datos de otros clientes de la plataforma multi-tenant.
13. Vigencia
Este acuerdo rige mientras WELLFLEX trate datos por cuenta de tu empresa y termina cuando se complete la supresión o devolución de los datos. Las obligaciones de confidencialidad sobreviven a la terminación.
14. Cómo obtener un ejemplar firmado
Esta página es la versión pública del acuerdo. Si tu empresa requiere un DPA firmado por las partes (por ejemplo, para su propio programa de cumplimiento), solicítalo a soporte@wellflex.co y coordinaremos la suscripción del documento correspondiente.