Anexo de Tratamiento de Datos Personales

Qintilab S.A.S. — Anexo al Contrato de Servicio SaaS (C3) Versión: 1.0 Fecha de vigencia: Mayo 2026

Este Anexo regula la relación entre Qintilab S.A.S. como encargado del tratamiento y el Administrador como responsable del tratamiento, conforme al Artículo 25 del Decreto 1377 de 2013 y la Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio (SIC) de Colombia, y los Artículos 50 a 59 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México. Este Anexo forma parte integral e indivisible del Contrato de Servicio SaaS (C3) suscrito entre las partes.

1. Identificación de las Partes

1.1 Responsable del Tratamiento — El Administrador

El Responsable del Tratamiento es la persona natural o jurídica identificada en la Orden de Servicio como cliente de Vivaru:

| Campo | Dato | |-------|------| | Nombre o razón social | [Nombre del Administrador — completar en la Orden de Servicio] | | NIT / Cédula / RFC | [Identificación tributaria — completar en la Orden de Servicio] | | Dirección | [Dirección del Administrador — completar en la Orden de Servicio] | | Correo electrónico | [Correo del Administrador — completar en la Orden de Servicio] | | Conjunto o edificio | [Nombre del conjunto — completar en la Orden de Servicio] |

El Responsable del Tratamiento es quien determina los fines y los medios del tratamiento de los datos personales de los residentes, visitantes y personal del conjunto. Es responsable ante los titulares de los datos y ante las autoridades de protección de datos.

1.2 Encargado del Tratamiento — Qintilab S.A.S.

El Encargado del Tratamiento es Qintilab S.A.S.:

| Campo | Dato | |-------|------| | Razón social | Qintilab S.A.S. | | NIT | 902060869-1 | | Dirección | Calle 110 #15-36 | | Ciudad | Bogotá D.C., Colombia | | Correo electrónico de privacidad | privacidad@grupovivaru.com |

Qintilab S.A.S. trata los datos personales únicamente por instrucción del Responsable y conforme a las condiciones establecidas en este Anexo. Vivaru no determina los fines ni los medios del tratamiento de los datos de los residentes; su rol es estrictamente técnico y operativo.

Qintilab S.A.S. es la persona jurídica colombiana que opera la plataforma Vivaru, marca comercial bajo la cual se prestan servicios SaaS de gestión de propiedad horizontal en Colombia y México. Toda referencia a 'Vivaru' en este documento debe entenderse como referencia al producto/servicio operado por Qintilab S.A.S.

2. Objeto del Tratamiento

Qintilab S.A.S. tratará los datos personales descritos en la cláusula 3 de este Anexo exclusivamente con el fin de prestar los servicios SaaS de gestión de propiedad horizontal contratados por el Responsable, conforme al Contrato de Servicio (C3) y a la Orden de Servicio.

Estas finalidades comprenden el alojamiento, almacenamiento, procesamiento técnico, visualización y gestión de los datos dentro de la plataforma Vivaru para:

  • La gestión de unidades residenciales, residentes y estados de cuenta.
  • El registro y control de visitantes y paquetes.
  • La gestión de peticiones, quejas, reclamos y sugerencias (PQRS).
  • La gestión de reservas de zonas comunes.
  • El envío de comunicados, encuestas y notificaciones operativas del conjunto.
  • La autenticación y gestión del acceso de usuarios a la plataforma.
  • La generación de registros de auditoría de operaciones sensibles.

Vivaru no tratará estos datos para ningún otro fin, incluyendo publicidad, venta de datos, transferencia a terceros distintos a los sub-encargados autorizados en la cláusula 7, ni para mejorar servicios propios de Vivaru más allá del uso técnico estrictamente necesario.

3. Categorías de Datos Tratados

Las categorías de datos personales objeto de este Anexo son las siguientes:

3.1 Datos de Residentes (propietarios e inquilinos)

  • Nombre completo
  • Número de unidad residencial (apartamento o casa)
  • Correo electrónico
  • Número de teléfono
  • Tipo de vinculación con la unidad (propietario / inquilino)
  • Historial de pagos de cuotas de administración (estados de cuenta)
  • Comprobantes de pago en formato de imagen

3.2 Datos de Visitantes

  • Nombre completo
  • Tipo y número de documento de identidad
  • Número de placa del vehículo (cuando aplica)
  • Fecha y hora de entrada y salida del conjunto
  • Nombre del residente que autoriza la visita

3.3 Datos del Personal de Seguridad (guardias)

  • Nombre completo
  • Correo electrónico (credencial de acceso a la plataforma)

3.4 Datos de Paquetes y Correspondencia

  • Descripción del paquete o envío
  • Fecha de recepción en portería
  • Nombre del residente destinatario
  • Confirmación o firma de recepción

3.5 Datos de PQRS

  • Nombre del solicitante
  • Descripción del caso
  • Historial de respuestas y estado de gestión

3.6 Datos de Reservas de Zonas Comunes

  • Nombre del residente solicitante
  • Zona reservada y horario

Datos NO incluidos: Vivaru no trata, en virtud de este Anexo, datos de categorías especiales o sensibles conforme a la Ley 1581 de 2012 y la LFPDPPP, tales como: datos de salud o condición médica, origen racial o étnico, filiación u opinión política, creencias religiosas o filosóficas, datos biométricos, ni datos de menores de edad sin autorización parental. El Responsable se obliga expresamente a no ingresar esta clase de datos a la plataforma.

4. Instrucciones del Responsable al Encargado

4.1 El Encargado (Vivaru) tratará los datos personales única y exclusivamente conforme a las instrucciones del Responsable (Administrador), las cuales se materializan en: (a) la Orden de Servicio, (b) el uso que el Responsable y sus usuarios autorizados hagan de las funcionalidades de la plataforma, y (c) instrucciones escritas adicionales que el Responsable comunique a privacidad@grupovivaru.com.

4.2 El Encargado no tratará los datos para fines propios ni distintos a los indicados por el Responsable.

4.3 Si el Encargado considera que una instrucción del Responsable viola la normativa de protección de datos aplicable (Ley 1581/2012, Decreto 1377/2013, LFPDPPP o sus equivalentes), lo comunicará de inmediato al Responsable por escrito a su correo registrado. En ese caso, el Encargado podrá suspender la ejecución de la instrucción hasta recibir confirmación escrita del Responsable o hasta que la cuestión sea aclarada.

4.4 El Encargado no está obligado a ejecutar instrucciones que impliquen tratar datos de categorías especiales para las que no se ha habilitado la plataforma, transferir datos a terceros no autorizados en este Anexo, o realizar acciones que puedan comprometer la seguridad del sistema o los derechos de otros titulares.

5. Obligaciones del Encargado (Qintilab S.A.S.)

Qintilab S.A.S. se compromete a cumplir las siguientes obligaciones en su calidad de Encargado del Tratamiento:

5.1 Limitación de finalidad. Tratar los datos personales únicamente para los fines del servicio contratado, conforme a la cláusula 2 de este Anexo, y no usarlos para fines propios.

5.2 Medidas de seguridad. Implementar y mantener las medidas técnicas y organizativas de seguridad descritas en la cláusula 9 de este Anexo, adecuadas a los riesgos del tratamiento.

5.3 Confidencialidad del personal. Garantizar que las personas con acceso a los datos personales (empleados o colaboradores de Vivaru) estén sujetas a obligaciones de confidencialidad y hayan recibido formación adecuada en protección de datos.

5.4 Gestión de sub-encargados. No subcontratar el tratamiento de datos personales con terceros distintos a los autorizados en la cláusula 7 de este Anexo, sin notificación previa al Responsable con al menos 30 días calendario de anticipación y sin darle la oportunidad de objetar con fundamento.

5.5 No divulgación a terceros. No revelar, transferir ni compartir los datos personales con terceros no autorizados, salvo obligación legal expresa, en cuyo caso notificará al Responsable con la mayor anticipación posible.

5.6 Notificación de incidentes de seguridad. En caso de detectar una brecha de seguridad que afecte datos personales del Responsable, notificar al Responsable dentro de las 72 horas siguientes al conocimiento del incidente, conforme a lo establecido en la cláusula 11 de este Anexo.

5.7 Asistencia en el ejercicio de derechos. Asistir al Responsable, en la medida en que sea técnicamente posible desde la plataforma, para que este pueda atender las solicitudes de los titulares en el ejercicio de sus derechos de Habeas Data (Colombia) o ARCO (México): acceso, rectificación, cancelación/supresión, oposición y portabilidad de datos.

5.8 Apoyo en obligaciones de cumplimiento. Proporcionar al Responsable la información razonable que este requiera para demostrar su cumplimiento ante las autoridades de protección de datos, conforme a la cláusula 12 de este Anexo.

5.9 Retención y borrado. Conservar los datos durante la vigencia del contrato y eliminarlos o devolverlos al Responsable conforme al procedimiento establecido en la cláusula 10 de este Anexo.

5.10 Registro de actividades de tratamiento. Mantener registros internos de las actividades de tratamiento realizadas en nombre del Responsable, en cumplimiento de las obligaciones del encargado bajo la normativa aplicable.

6. Obligaciones del Responsable (Administrador)

El Administrador, en su calidad de Responsable del Tratamiento, se compromete a:

6.1 Obtener autorizaciones previas. Obtener la autorización libre, previa e informada de los titulares (residentes) para el tratamiento de sus datos personales antes de ingresarlos a la plataforma, conforme a los requisitos de la Ley 1581 de 2012 y el Decreto 1377 de 2013 (Colombia) o la LFPDPPP (México), según la jurisdicción aplicable.

6.2 Entregar el aviso de privacidad. Proporcionar a cada residente el Aviso de Privacidad para Residentes (documento C5) antes o al momento de ingresar sus datos a la plataforma. Vivaru proporcionará una plantilla de este aviso como apoyo. El Responsable puede adaptar la plantilla a las condiciones específicas de su conjunto.

6.3 Exactitud de los datos. Mantener actualizados y exactos los datos de los residentes ingresados a la plataforma.

6.4 Informar ejercicio de derechos. Notificar a Vivaru (privacidad@grupovivaru.com) cuando un titular ejerza un derecho que requiera una acción técnica en la plataforma (por ejemplo, eliminación de datos o exportación de información de un residente específico), para que Vivaru pueda asistir en su ejecución.

6.5 No ingresar datos sensibles. Abstenerse de ingresar a la plataforma datos de categorías especiales conforme a la Ley 1581 de 2012 o la LFPDPPP, incluyendo datos de salud, origen racial, orientación sexual, filiación política, datos biométricos o datos de menores de edad sin autorización parental.

6.6 Notificación a autoridades. Ser el responsable de notificar a las autoridades de protección de datos —Superintendencia de Industria y Comercio (SIC) en Colombia o Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en México— ante una brecha de seguridad que afecte datos personales, dentro de los plazos legales aplicables (15 días hábiles en Colombia conforme a la Ley 1581 de 2012 y su regulación concordante). La notificación de Vivaru conforme a la cláusula 11 servirá como insumo para dicha notificación a la autoridad.

6.7 Cumplimiento del reglamento interno. Asegurarse de que el uso de la plataforma por parte de los residentes y del personal de seguridad del conjunto se ajuste a estos Términos y a la normativa de protección de datos aplicable.

7. Sub-encargados Autorizados

El Responsable, mediante la firma de este Anexo, autoriza expresamente a Vivaru a utilizar los siguientes sub-encargados para la prestación del servicio:

7.1 Google LLC — Proveedor de Infraestructura

| Atributo | Detalle | |----------|---------| | Razón social | Google LLC | | Domicilio | 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos | | Rol | Sub-encargado técnico de infraestructura en la nube | | Servicios utilizados | Firebase (Firestore, Authentication, Storage, App Hosting), Google Cloud Functions, Google Cloud Platform | | Región de almacenamiento | us-central1 (Iowa, Estados Unidos) | | Certificaciones | ISO/IEC 27001, SOC 2 Tipo II, ISO/IEC 27017, ISO/IEC 27018 | | Términos de procesamiento de datos | [URL de DPA de Google — insertar enlace al Data Processing Amendment de Google Cloud] |

Google LLC accede a los datos únicamente para operar la infraestructura técnica de la plataforma, conforme a sus propios términos de procesamiento de datos, y no los utiliza para fines propios.

7.2 Incorporación de nuevos sub-encargados

Si Vivaru desea incorporar un sub-encargado adicional distinto a Google LLC, notificará al Responsable por escrito con al menos 30 días calendario de anticipación. El Responsable podrá objetar la incorporación del nuevo sub-encargado con fundamento razonable dentro de los 15 días calendario siguientes a la notificación. Si no presenta objeción en ese plazo, se entenderá que acepta la incorporación.

8. Transferencia Internacional de Datos

8.1 Los datos personales tratados a través de la plataforma Vivaru se almacenan en servidores de Google LLC ubicados en Estados Unidos (región us-central1). Esta ubicación implica una transferencia internacional de datos personales desde Colombia y México hacia los Estados Unidos.

8.2 Esta transferencia se realiza bajo las siguientes garantías:

  • Para datos de titulares colombianos: la transferencia se ampara en los mecanismos de garantía previstos en el artículo 26 de la Ley 1581 de 2012, incluyendo los compromisos contractuales de Google Cloud (alineados con Cláusulas Contractuales Estándar reconocidas como referencia por la SIC colombiana).
  • Para datos de titulares mexicanos: la transferencia se realiza con las salvaguardas previstas en los artículos 36 y 37 de la LFPDPPP, sobre la base de los compromisos contractuales de Google Cloud en su Adenda de Procesamiento de Datos.

8.3 Al firmar este Anexo, el Responsable declara conocer y autoriza expresamente la transferencia internacional de los datos de los residentes y del conjunto hacia los servidores de Google LLC en Estados Unidos, bajo las condiciones y garantías aquí descritas.

8.4 Vivaru notificará al Responsable si la ubicación de almacenamiento cambiara a una región diferente, con al menos 30 días calendario de anticipación.

9. Medidas de Seguridad Implementadas por Vivaru

Vivaru implementa y mantiene las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento:

9.1 Medidas técnicas

| Medida | Descripción | |--------|-------------| | Cifrado en tránsito | Todas las comunicaciones entre los usuarios y la plataforma utilizan HTTPS con TLS versión 1.2 o superior. Ningún dato se transmite en texto plano. | | Cifrado en reposo | Los datos almacenados en Firestore y Firebase Storage son cifrados en reposo por Google Cloud Platform por defecto, utilizando AES-256. | | Control de acceso basado en roles (RBAC) | Cada usuario accede únicamente a los datos y funciones correspondientes a su rol (administrador, residente, guardia, superadmin de Vivaru). Los roles se verifican mediante Firebase Custom Claims en cada operación. | | Aislamiento lógico multi-tenant | Cada conjunto (tenant) tiene su propio espacio de datos aislado dentro de la base de datos Firestore. Las reglas de seguridad (700+ líneas de reglas Firestore) impiden que un tenant acceda a los datos de otro en cualquier operación de lectura o escritura. | | Pista de auditoría | Se registran automáticamente las operaciones sensibles (creación, modificación y eliminación de datos críticos) en un log de auditoría (auditLogs) dentro de la plataforma. | | Autenticación de usuarios | La autenticación se gestiona mediante Firebase Authentication. Los usuarios acceden con correo electrónico y contraseña. La contraseña se almacena en formato hash; Vivaru no tiene acceso a las contraseñas en texto plano. | | Backups automatizados | Backups automáticos con retención de 30 días (en implementación). Permiten la recuperación de datos ante incidentes técnicos. | | App Check | Mecanismo de verificación de integridad del cliente que accede a la plataforma para prevenir accesos desde clientes no autorizados (en implementación). |

9.2 Medidas organizativas

  • Acceso a datos de producción restringido al personal técnico mínimo necesario de Vivaru, bajo el principio de mínimo privilegio.
  • Todos los empleados y colaboradores de Vivaru con acceso a datos personales están sujetos a acuerdos de confidencialidad.
  • Revisión periódica de las reglas de seguridad de Firestore y de los controles de acceso.
  • Canal dedicado para la gestión de incidentes de seguridad y el ejercicio de derechos de los titulares: privacidad@grupovivaru.com.
  • Evaluación de riesgos de seguridad antes de la incorporación de nuevos sub-encargados o de cambios significativos en la arquitectura técnica.

10. Retención y Borrado de Datos

10.1 Durante la vigencia del contrato

Los datos del conjunto (tenant) se mantienen activos y accesibles para el Administrador y sus usuarios durante toda la vigencia del Contrato de Servicio (C3).

10.2 Post-cancelación — Período de exportación

Una vez cancelado el contrato, independientemente de la causa, los datos del conjunto permanecerán accesibles para exportación por el Administrador durante 90 días calendario desde la fecha efectiva de cancelación.

El Administrador podrá descargar sus datos (residentes, estados de cuenta, PQRS, visitantes, registros históricos, entre otros) en formato CSV y/o JSON desde el Portal del Administrador o mediante solicitud a soporte@grupovivaru.com.

10.3 Borrado definitivo

Transcurridos los 90 días del período de exportación, Vivaru procederá al borrado definitivo e irreversible de todos los datos del tenant, incluyendo:

  • Datos de residentes, visitantes, paquetes, PQRS y reservas.
  • Archivos subidos (comprobantes de pago, documentos, logos).
  • Configuración del conjunto.
  • Registros de comunicaciones y encuestas.

El borrado se realizará conforme a los estándares técnicos de Google Cloud Platform y las buenas prácticas del sector.

10.4 Excepción por obligación legal

Los logs de auditoría y los registros técnicos necesarios para el cumplimiento de obligaciones legales (contables, tributarias, de seguridad informática o de protección de datos) se conservarán por el período que exija la ley aplicable, con un mínimo de 5 años, en forma restringida y únicamente para los fines legales que justifican su retención.

10.5 Certificado de borrado

Si el Administrador lo solicita expresamente a privacidad@grupovivaru.com dentro de los 30 días siguientes al borrado definitivo, Vivaru emitirá un certificado de borrado en el que se acredite la eliminación de los datos del tenant.

11. Notificación de Incidentes de Seguridad

11.1 Si Qintilab S.A.S. detecta o tiene conocimiento de una brecha de seguridad que afecte datos personales del Responsable (acceso no autorizado, divulgación, pérdida, destrucción o alteración de datos), notificará al Responsable por escrito a su correo registrado dentro de las 72 horas siguientes al momento en que Vivaru tenga conocimiento del incidente.

11.2 La notificación incluirá, en la medida en que la información esté disponible en ese momento:

  • Descripción de la naturaleza del incidente de seguridad.
  • Categorías y volumen aproximado de datos personales afectados.
  • Categorías y número aproximado de titulares afectados.
  • Nombre y datos de contacto del responsable de seguridad de Vivaru.
  • Consecuencias probables del incidente.
  • Medidas adoptadas o propuestas para mitigar los efectos adversos.

11.3 Si en el momento de la notificación inicial no se dispone de toda la información indicada, Vivaru la proporcionará de forma complementaria a la mayor brevedad posible, sin demora injustificada.

11.4 La notificación de Vivaru al Responsable no reemplaza la obligación del Responsable de notificar a las autoridades de protección de datos y a los titulares afectados, conforme a los plazos y requisitos de la normativa aplicable:

  • Colombia: Superintendencia de Industria y Comercio (SIC) — plazo de notificación conforme a la normativa vigente.
  • México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — conforme al artículo 63 del Reglamento de la LFPDPPP.

11.5 Vivaru cooperará con el Responsable y con las autoridades competentes durante la investigación del incidente, en la medida en que esto corresponda al rol del Encargado.

12. Derecho de Auditoría

12.1 El Responsable tiene derecho a solicitar información razonable sobre las medidas de seguridad y las prácticas de tratamiento de datos implementadas por Vivaru, con el fin de verificar el cumplimiento de las obligaciones establecidas en este Anexo.

12.2 Esta solicitud puede realizarse una vez por año calendario, mediante comunicación escrita a privacidad@grupovivaru.com, describiendo la información o los controles sobre los que se requiere verificación.

12.3 Vivaru responderá por escrito dentro de los 15 días hábiles siguientes a la recepción de la solicitud, proporcionando la información requerida o, cuando la información sea técnicamente sensible, un resumen ejecutivo o la referencia a los informes de auditoría de terceros disponibles (como el informe SOC 2 de Google Cloud o auditorías propias de Vivaru).

12.4 Vivaru no está obligada a proporcionar información que comprometa la seguridad de la plataforma, la confidencialidad de otros clientes, o información protegida por secreto empresarial.

13. Vigencia del Anexo

13.1 Este Anexo entra en vigor en la misma fecha que el Contrato de Servicio (C3) al que está vinculado y tiene la misma vigencia.

13.2 El Anexo se extingue definitivamente una vez que se complete el borrado definitivo de los datos del tenant conforme a la cláusula 10.3, lo cual ocurrirá 90 días calendario después de la cancelación efectiva del contrato.

13.3 Las obligaciones de confidencialidad y las obligaciones relacionadas con incidentes de seguridad ocurridos durante la vigencia del Anexo subsistirán después de su terminación por el plazo necesario para su resolución completa.

14. Jerarquía Normativa

14.1 En caso de conflicto o inconsistencia entre este Anexo y el Contrato de Servicio (C3), prevalecerá este Anexo de Tratamiento de Datos en todo lo relativo al tratamiento, protección, seguridad y derechos sobre los datos personales.

14.2 Para los demás aspectos contractuales no relacionados con datos personales, prevalece el Contrato de Servicio (C3).

14.3 En caso de conflicto entre las cláusulas de este Anexo y la normativa de protección de datos aplicable (Ley 1581/2012, Decreto 1377/2013, LFPDPPP), prevalecerá la normativa legal sobre las disposiciones contractuales. Ambas partes se comprometen a ajustar este Anexo si un cambio normativo así lo requiere.

Firmas

Las partes, debidamente representadas, suscriben este Anexo como parte integral de la Orden de Servicio y el Contrato de Servicio (C3), en la ciudad y fecha indicadas en dicho contrato.

Por el Encargado del Tratamiento — Qintilab S.A.S.

Nombre: ___________________________ Cargo: ___________________________ Firma: ___________________________ Fecha: ___________________________

Por el Responsable del Tratamiento — El Administrador

Nombre: ___________________________ Cargo / Calidad: ___________________________ NIT / Cédula / RFC: ___________________________ Firma: ___________________________ Fecha: ___________________________

Placeholders para completar antes de firmar

Los siguientes campos requieren información definitiva antes de la suscripción de este documento:

  • 902060869-1 — Número de Identificación Tributaria de Qintilab S.A.S.
  • Calle 110 #15-36 — Domicilio social registrado
  • Bogotá D.C. — Ciudad para efectos de jurisdicción y notificaciones
  • [URL de DPA de Google] — Enlace al Data Processing Amendment vigente de Google Cloud Platform (disponible en cloud.google.com/terms/data-processing-addendum o equivalente actualizado)
  • Datos del Responsable (Administrador) en la tabla de la cláusula 1.1 — se completan en cada Orden de Servicio individual

Versión 1.0 — Mayo 2026 Qintilab S.A.S. — Bogotá D.C., Colombia Referencias normativas: Ley 1581 de 2012 · Decreto 1377 de 2013 · Decreto 090 de 2018 · Circular Externa 002/2015 SIC · LFPDPPP México · Reglamento LFPDPPP