Política de tratamiento de datos personales
1. Introducción
NEBULA MEDICAL S.A.S. (NIT 901962749-3), en adelante "LA COMPAÑÍA", es una sociedad por acciones simplificada constituida bajo las leyes de la República de Colombia, dedicada al desarrollo y prestación de servicios de software basado en inteligencia artificial aplicada a la medicina, con el propósito de optimizar el tiempo médico y mejorar la atención del paciente.
En el desarrollo de su objeto social, LA COMPAÑÍA recolecta y administra datos personales de sus diferentes grupos de interés. Con el fin de dar cumplimiento a las disposiciones constitucionales y legales consagradas en el artículo 15 de la Constitución Política, la Ley 1581 de 2012, el Decreto 1074 de 2015 y demás normas que regulen la protección de datos personales, LA COMPAÑÍA, en su calidad de Responsable del Tratamiento, ha adoptado la presente Política.
LA COMPAÑÍA, en calidad de Responsable del Tratamiento de las bases de datos objeto de esta política, tiene los siguientes datos de contacto:
Razón social: Nebula Medical S.A.S.
NIT: 901962749-3
Dirección y domicilio: Carrera 18 # 93-80
Teléfono: 315 632 0743
Página web: https://nebula.med
Correo electrónico de contacto: privacy@nebula.med
Correo electrónico del Oficial de Protección de Datos: privacy@nebula.med
2. Objeto
La presente Política tiene por objeto desarrollar el derecho constitucional al Hábeas Data que tienen todas las personas sobre las cuales LA COMPAÑÍA realice Tratamiento de información de carácter personal. El alcance del Tratamiento está delimitado por las finalidades que han sido informadas y autorizadas por el Titular.
Adicionalmente, se describen los lineamientos definidos para proteger los Datos Personales de los Titulares con los cuales se relaciona LA COMPAÑÍA, las finalidades de tratamiento de la información, el responsable de atender las consultas, peticiones, quejas y reclamos, y los procedimientos que se deben tener en cuenta para que los Titulares puedan ejercer su derecho a conocer, actualizar, rectificar y suprimir su información, así como los canales a través de los cuales pueden ejercerlos.
3. Aplicación y Alcance
La presente Política se aplica a las bases de datos y archivos físicos y digitales que contengan datos personales y que estén bajo la administración de LA COMPAÑÍA, o que puedan ser conocidas por esta en virtud de relaciones comerciales, alianzas, convenios o acuerdos de interoperabilidad tecnológica con instituciones prestadoras de servicios de salud (IPS), entidades promotoras de salud (EPS), profesionales de la salud independientes u otros actores del sistema de salud.
En los casos en que LA COMPAÑÍA administre directamente las bases de datos, actuará como Responsable del Tratamiento. Cuando reciba datos personales de un tercero para su procesamiento mediante sus soluciones de software de inteligencia artificial, podrá actuar como Encargada del Tratamiento, según lo que se haya pactado contractualmente.
La Política aplica cuando el tratamiento de los datos se dé en territorio colombiano. En aquellos casos en que el tratamiento suponga la participación de un encargado no establecido en Colombia, se buscará que sus estándares y políticas permitan a LA COMPAÑÍA cumplir con los deberes fundamentales que tiene bajo el marco legal colombiano. Si se trata de transferencia internacional de datos, esta solamente podrá darse si se han cumplido los presupuestos establecidos en la normatividad colombiana.
La presente Política está dirigida a los usuarios de la plataforma (profesionales de la salud, instituciones de salud), pacientes cuyos datos puedan ser tratados a través de los servicios de LA COMPAÑÍA, candidatos, empleados, exempleados, proveedores, aliados y, en general, los grupos de interés sobre los cuales LA COMPAÑÍA realice tratamiento de información personal.
Todos los colaboradores de LA COMPAÑÍA deben cumplir esta Política. LA COMPAÑÍA adelantará las campañas pedagógicas y de capacitación necesarias para que las áreas con mayor nivel de interacción con la administración de datos personales conozcan la ley y las disposiciones internas adoptadas para asegurar su cumplimiento.
Así mismo, a los aliados, proveedores, contratistas e instituciones de salud que, en desarrollo de su labor o de la prestación de servicios tecnológicos, tengan acceso a datos personales de Titulares administrados por LA COMPAÑÍA, se les exigirá el cumplimiento de la ley y de esta Política mediante cláusulas contractuales específicas de protección de datos.
4. Definiciones
Término | Definición |
|---|---|
Autorización | Consentimiento previo, expreso e informado que da el Titular para llevar a cabo el tratamiento de sus datos personales. |
Dato personal | Cualquier información que pueda asociar o identificar a una persona natural determinada (como su nombre o número de identificación) o determinable (como sus rasgos físicos). |
Dato público | Son los datos o la información (como estado civil, profesión u oficio) que puede estar contenida en registros o documentos públicos, tales como gacetas, boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. |
Dato semiprivado | Cualquier información que no tiene naturaleza íntima, reservada ni pública, y cuyo conocimiento o divulgación puede interesar no sólo a su Titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios. |
Dato sensible | Aquellos datos que afectan la intimidad del Titular o pueden dar lugar a que sea discriminado. Incluyen, entre otros, datos relativos a la salud, origen racial o étnico, orientación política, convicciones religiosas o filosóficas, pertenencia a sindicatos u organizaciones sociales, vida sexual y datos biométricos. En el contexto de LA COMPAÑÍA, los datos de salud de pacientes procesados mediante las soluciones de IA tienen esta naturaleza. |
Base de datos | Conjunto de información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables, ordenada de modo sistemático para su posterior recuperación, análisis y/o transmisión. |
Encargado del Tratamiento | Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento. LA COMPAÑÍA puede actuar como Encargada cuando procesa datos por cuenta de una institución de salud cliente. |
Responsable del Tratamiento | Persona natural o jurídica, pública o privada, que decide sobre la finalidad de las bases de datos y/o el tratamiento de los mismos. |
Titular | Persona natural cuyos datos personales son objeto de tratamiento. En el contexto de LA COMPAÑÍA, pueden ser pacientes, profesionales de la salud, empleados, proveedores u otros grupos de interés. |
Tratamiento | Cualquier conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. En el contexto de LA COMPAÑÍA, incluye el procesamiento mediante algoritmos de inteligencia artificial. |
PQR | Manifestación de inconformidad o solicitud expresada por un Titular respecto del tratamiento de sus datos personales, puesta en conocimiento de LA COMPAÑÍA, de la Superintendencia de Industria y Comercio o de instituciones competentes. Es la vía establecida por la ley para hacer efectivos los derechos de los Titulares |
Grupos de interés | Todas aquellas personas que en conjunto son parte de LA COMPAÑÍA o que se vinculan con sus actuaciones: usuarios de la plataforma, pacientes, empleados, proveedores, aliados e instituciones de salud clientes. |
Datos inferidos | Datos obtenidos a partir del procesamiento analítico de datos personales, las interacciones de los Titulares con los servicios de LA COMPAÑÍA, hábitos, preferencias, tendencias y comportamientos como usuario. |
5. Principios
Es un compromiso de LA COMPAÑÍA entender y desarrollar de manera armónica los principios establecidos en la Ley 1581 de 2012 y sus normas reglamentarias:
Principio de legalidad en materia de tratamiento de datos. El tratamiento es una actividad regulada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la desarrollen.
Principio de finalidad. El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la ley, y debe ser informada al Titular.
Principio de libertad. El tratamiento sólo puede ejercerse con el consentimiento previo, expreso e informado del Titular. Los datos personales no pueden ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.
Principio de veracidad o calidad. La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
Principio de transparencia. En el tratamiento debe garantizarse el derecho del Titular a obtener del Responsable o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
Principio de acceso y circulación restringida. El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales y de las disposiciones legales y constitucionales. Los datos personales, salvo la información pública, no pueden estar disponibles en internet ni en otros medios de divulgación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados.
Principio de seguridad. La información sujeta a tratamiento se debe manejar con las medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Dado que LA COMPAÑÍA opera soluciones de inteligencia artificial en salud, se aplicarán estándares reforzados de seguridad de la información.
Necesidad y proporcionalidad. Los datos personales registrados en una base de datos deben ser los estrictamente necesarios para el cumplimiento de la finalidad del tratamiento. Deben ser adecuados, pertinentes y acordes con esa finalidad.9. Principio de confidencialidad. Todas las personas que intervengan en el tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento.
Temporalidad o caducidad. El periodo de conservación de los datos personales será el necesario que permita alcanzar la finalidad para la cual se han recolectado.
6. Tratamiento
A. Tratamiento de datos sensibles
En el desarrollo de su actividad de proveer software de inteligencia artificial en medicina, LA COMPAÑÍA puede tratar datos personales de carácter sensible, en particular datos relativos a la salud de pacientes. De conformidad con lo establecido en el Artículo 5 de la Ley 1581 de 2012, la información referida a la salud tiene naturaleza sensible.
LA COMPAÑÍA, respetando los derechos de los Titulares de la información, informará cuando corresponda que los datos de salud son de naturaleza sensible y que el Titular goza de plena libertad para autorizar o no su tratamiento. Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles, conforme a lo dispuesto en la ley.
LA COMPAÑÍA no condicionará la prestación de sus servicios al suministro de datos personales sensibles. Si un usuario decide no proporcionar determinados datos sensibles, LA COMPAÑÍA le informará sobre las funcionalidades que podrían verse limitadas, sin que ello implique la negación del servicio en su totalidad. En ningún caso se conservarán datos de un usuario que no haya otorgado su autorización.
Cuando LA COMPAÑÍA actúe como Encargada del Tratamiento por cuenta de una institución de salud (IPS, EPS, profesional independiente), el tratamiento de datos sensibles se realizará conforme a las instrucciones del Responsable y dentro de los límites pactados contractualmente, sin perjuicio de las obligaciones legales directas de LA COMPAÑÍA como Encargada.
Los datos biométricos que eventualmente se soliciten (como fotografías para autenticación en la plataforma) tienen por finalidad garantizar la identidad del usuario, prevenir fraude por suplantación y garantizar un servicio más eficiente.
LA COMPAÑÍA pone a disposición de sus usuarios plataformas tecnológicas a través de las cuales profesionales de la salud e instituciones pueden acceder a funcionalidades de inteligencia artificial. Ciertas funcionalidades pueden requerir que los usuarios proporcionen datos personales que pueden ser considerados sensibles, tales como datos de salud, antecedentes médicos e imágenes diagnósticas. Cuando haya lugar a dicho tratamiento, LA COMPAÑÍA cumplirá con todas las obligaciones legales correspondientes. El suministro de estos datos es facultativo en todos los casos.
B. Tratamiento de datos de niños, niñas y adolescentes
Si en el contexto de la prestación de servicios de software de IA en salud, LA COMPAÑÍA llegare a tratar datos de niños, niñas y adolescentes (por ejemplo, como pacientes cuya información sea procesada a través de la plataforma), dicho tratamiento se realizará velando por el respeto de los derechos fundamentales que les asisten, garantizando que la información sea pertinente y adecuada para la finalidad del servicio de salud correspondiente. La autorización deberá ser otorgada por el representante legal del menor, atendiendo al interés superior del niño, niña o adolescente.
C. Tratamiento de datos mediante inteligencia artificial
LA COMPAÑÍA utiliza algoritmos de inteligencia artificial y técnicas de procesamiento de datos para optimizar el tiempo médico y mejorar la atención del paciente. Este tratamiento podrá incluir, según lo autorizado:
Procesamiento de datos clínicos para generación de sugerencias o asistencia diagnóstica.
Análisis estadístico y de tendencias para mejorar los servicios ofrecidos.
Generación de datos inferidos a partir del procesamiento analítico de la información.
LA COMPAÑÍA se compromete a que el tratamiento de datos mediante IA cumpla con los principios de necesidad, proporcionalidad y finalidad, y a mantener supervisión humana en las decisiones que puedan afectar significativamente los derechos de los Titulares.
7. Finalidades del tratamiento de los datos
A. Usuarios de la plataforma (profesionales de la salud e instituciones)
Utilizar las bases de datos para la debida prestación del servicio de software de IA contratado por el usuario.
Desarrollar las actividades propias de los contratos celebrados, incluyendo el envío de información relevante para su ejecución.
Medir el nivel de satisfacción respecto de los productos y/o servicios contratados.
Realizar actividades de analítica, procesamiento, investigación y análisis estadístico con el fin de mejorar los productos y servicios ofrecidos, la experiencia de usuario y la identificación de posible ofertas de valor.
Contactar, enviar y/o suministrar información sobre innovaciones en los productos y servicios, lanzamiento de funcionalidades, eventos, novedades y promociones, a través de los medios autorizados por el usuario (correo electrónico, teléfono, celular, SMS, redes sociales, aplicaciones o medios similares).
Realizar campañas comerciales y actividades de mercadeo.
Realizar contactos referentes a investigaciones de mercado.
Contactar a la finalización del contrato con LA COMPAÑÍA, con el fin de informar sobre productos y/o servicios que permitan reactivar el vínculo comercial.
Las demás finalidades que determine LA COMPAÑÍA y que sean comunicadas y autorizadas por los Titulares en el momento de la recolección de los datos.
B. Pacientes (datos tratados a través de la plataforma)
Cuando LA COMPAÑÍA trate datos de pacientes a través de sus soluciones de IA, las finalidades serán:
Procesar la información clínica en el contexto de la prestación del servicio de software contratado por la institución o profesional de la salud.
Contribuir a la mejora de la atención del paciente mediante herramientas de asistencia diagnóstica y optimización del tiempo médico.
Realizar análisis estadístico anonimizado o seudonimizado, cuando aplique y previa autorización, para el mejoramiento continuo de los algoritmos de IA.
Cumplir con las obligaciones legales en materia de seguridad del paciente y normatividad sanitaria.
C. Candidatos, empleados y exempleados
En relación con candidatos:
Evaluar la hoja de vida y las calidades del candidato para el proceso de selección, lo que incluye práctica de pruebas y demás requisitos.
Utilizar los datos de contacto para comunicar los avances del proceso.
Si el candidato no resulta elegido, conservar la información en la base de datos para futuros procesos.
En relación con empleados:
Desarrollar las relaciones laborales durante su vinculación y de manera posterior si se requiere.
Hacerles partícipes de actividades de bienestar previstas por LA COMPAÑÍA.
Invitarlos a capacitaciones o eventos.
Validar la información suministrada para su vinculación.
Control, seguimiento y cumplimiento de obligaciones como empleador y de las obligaciones a cargo de los empleados.
Implementar garantías de seguridad, protección, bienestar, condiciones de salud y prevención de riesgos laborales.
Cumplir con procesos de archivo, actualización de sistemas, protección y custodia de información.
Llevar historial de empleados para expedición de certificaciones.
Llevar control de nómina y afiliaciones al Sistema de Seguridad Social.
Contactar familiares en caso de emergencias.
Realizar registros contables, tributarios y demás requeridos por la ley.
En relación con exempleados:
Conservar datos para el suministro de información a Titulares, autoridades y entidades del sistema deseguridad social.
D. Proveedores personas naturales
Desarrollar las actividades propias de los contratos celebrados, incluyendo suscripción, ejecución y terminación.
Efectuar el pago de servicios prestados.
Contactar, enviar y/o suministrar información sobre productos, eventos, novedades y promociones.
E. Soporte documental
La base de datos de soporte documental respalda el desarrollo de los procesos de LA COMPAÑÍA y la relación con usuarios, proveedores y colaboradores.
F. Videovigilancia
La información personal recolectada a través de cámaras de videovigilancia en las instalaciones de LA COMPAÑÍA tiene como propósito el control de acceso y la seguridad en las instalaciones y del personal que allí labora.
8. Período de vigencia y duración del tratamiento
Los datos personales estarán sujetos a tratamiento por LA COMPAÑÍA durante el término en el que el Titular tenga vigente el producto, servicio, contrato o relación, más el término que establezca la ley. Adicionalmente, los datos se conservarán de acuerdo con los principios de necesidad y razonabilidad.
En el caso de exclientes e instituciones desvinculadas, la información se conservará durante el término previsto en la normatividad vigente que resulte aplicable o aquella que la modifique o derogue.
9. Derechos del Titular
LA COMPAÑÍA garantiza y respeta los derechos que asisten a los Titulares conforme a la Ley 1581 de 2012, los cuales incluyen:
Contar con canales establecidos para conocer, actualizar y rectificar sus datos personales, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
Solicitar prueba de la autorización otorgada a LA COMPAÑÍA, salvo cuando, de acuerdo con la ley, el tratamiento no lo requiera.
Ser informado por LA COMPAÑÍA, previa solicitud a través de los canales dispuestos, respecto del uso que se le ha dado a sus datos personales.
Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a la Ley 1581 de 2012, una vez agotado el requisito de procedibilidad establecido en el Artículo 16 de dicha ley.
Revocar la autorización en los casos que no se enmarcan en la Ley Especial de Hábeas Data y en los que no se refieren a datos esenciales o propios del contrato.
Solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
Acceder en forma gratuita, a través de los canales dispuestos por LA COMPAÑÍA, a sus datos personales que hayan sido objeto de tratamiento.
10. Persona o área responsable de la atención de consultas, peticiones, quejas y reclamos
LA COMPAÑÍA ha designado un Oficial de Protección de Datos, quien es el responsable de velar por el cumplimiento de estas disposiciones, con comunicación directa con las áreas relevantes de la organización, con el fin de garantizar que todos los aspectos queden debidamente recogidos y que los deberes que estipula la ley se cumplan.
Nombre del Oficial de Protección de Datos: (COMPLETAR)
Correo electrónico: privacy@nebula.med
Teléfono: 315 632 0743
11. Procedimientos para garantizar el ejercicio de los derechos de los Titulares
Consultas
Los Titulares o sus causahabientes pueden consultar la información que de ellos reposa en las bases de datos de
LA COMPAÑÍA. Para solicitudes de consulta deben acreditar su identidad así:
Si la presentan mediante documento escrito, deben adjuntar copia del documento de identificación.
Si la presentan a través del canal telefónico, deben responder un cuestionario de validación de identidad.
Si la presentan a través de la página web, deben diligenciar la información requerida.
Los causahabientes deben acreditar el parentesco adjuntando la documentación legal pertinente y copia de su documento de identidad. Los apoderados deben presentar copia autenticada del poder y de su documento de identidad.
Una vez LA COMPAÑÍA recibe la solicitud de consulta, revisa el registro individual correspondiente. Si encuentra alguna diferencia en los documentos, lo informará dentro de los siguientes 5 días hábiles a partir del recibo de la comunicación, para que el solicitante la aclare.
Si LA COMPAÑÍA encuentra conformidad en los documentos, dará su respuesta en un término máximo de 10 días hábiles. Si requiere mayor tiempo, lo informará al Titular y dará respuesta en un término que no excederá los 5 días hábiles siguientes al vencimiento del primer término.
Peticiones, Quejas o Reclamos
El Titular o sus causahabientes que consideren que la información contenida en una base de datos administrada por LA COMPAÑÍA debe ser corregida, actualizada o suprimida, o que adviertan un incumplimiento, pueden presentar un reclamo en los siguientes términos:
El reclamo se formula ante LA COMPAÑÍA o el Encargado del Tratamiento, acompañado del documento de identificación del Titular, la descripción clara de los hechos, los documentos que pretenda hacer valer y la dirección donde desea recibir notificaciones (física o electrónica).
Si el reclamo resulta incompleto, se requerirá al interesado dentro de los 5 días hábiles siguientes a su recepción para que subsane la falla.
Si transcurren 2 meses desde el requerimiento sin que el solicitante presente la información requerida,se entenderá que ha desistido del reclamo.
Si LA COMPAÑÍA o el Encargado no puede o no es competente para resolver la solicitud, dará traslado a quien corresponda en un término máximo de 2 días hábiles e informará al interesado.
Una vez recibido el reclamo completo, se incluirá en la base de datos la leyenda "Reclamo en trámite" y el motivo, en un término máximo de 2 días hábiles.
El término máximo para responder el reclamo es de 15 días hábiles. Si no fuera posible en este término, se informará al interesado el motivo de la demora y la fecha de atención, que no podrá exceder 8 días hábiles siguientes al vencimiento del primer término.
Quejas ante la Superintendencia de Industria y Comercio
El Titular, causahabiente o apoderado deberá agotar el trámite previo de consulta o reclamo ante LA COMPAÑÍA antes de dirigirse a la Superintendencia para formular una queja, conforme con el Artículo 16 de la Ley 1581 de 2012.
12. Canales para ejercer los derechos del Titular
LA COMPAÑÍA ha dispuesto los siguientes canales de atención para garantizar el ejercicio de los derechos del Titular:
Correo electrónico: privacy@nebula.med
Teléfono: 315 632 0743
13. Entrada en vigencia de la política
Esta Política de Tratamiento de Datos Personales fue adoptada por NEBULA MEDICAL S.A.S. en Marzo y puede ser objeto de actualización conforme a la normatividad legal vigente aplicable.
La presente versión fue aprobada en el mes de Marzo.