Legal
v1.0
Política de Privacidad y Tratamiento de Datos Personales
Actualización: 28 de mayo de 2026
Vigencia: 28 de mayo de 2026 en adelante · Estado: En Producción
Marco Legal Aplicable
Esta política cumple con toda la normativa colombiana sobre protección de datos personales y salud:
| Norma | Requisito Clave |
|---|---|
| Ley 1581/2012 | Protección de datos personales — consentimiento expreso, finalidad específica, derechos ARCO |
| Decreto 1377/2013 | Procedimientos de consentimiento, registro de responsables, plazos consultas/reclamos |
| Ley 23/1981 | Confidencialidad e integridad de historias clínicas |
| Ley 1751/2015 | Protección especial de datos sensibles de salud y consentimiento informado |
| Resolución 1995/1999 | Registros clínicos no alterables, firma digital, trazabilidad, retención mínima |
| Resolución 2654/2019 | Telemedicina — consentimiento para videoconsulta, verificación médico, notificación previa |
1. Responsable del Tratamiento
Razón Social: [POR DEFINIR]
NIT: [POR DEFINIR]
Dirección: [POR DEFINIR]
Teléfono: [POR DEFINIR]
Email de Privacidad: privacidad@sbeltiq.com
Encargados de área: privacidad@sbeltiq.com · seguridad@sbeltiq.com · legal@sbeltiq.com
2. Datos Personales y Sensibles Recolectados
Datos Personales (Ley 1581/2012 Art. 5)
- Identificación: Nombre completo, tipo y número de documento (CC/CE/PA), fecha de nacimiento
- Contacto: Correo electrónico, teléfono móvil, dirección (opcional)
- Profesional (médicos): Número RETHUS, especialidad, institución afiliada
- Técnicos: Dirección IP, user-agent, ID de sesión, coordenadas de dispositivo
- Transaccionales: Historial de pagos, facturación, método de pago
Datos Sensibles de Salud (Ley 1751/2015 · Res. 1995/1999)
- Antecedentes médicos: Enfermedades previas, cirugías, alergias, medicamentos actuales
- Consultas clínicas: Motivo de consulta, síntomas, hallazgos, diagnóstico provisional
- Historias clínicas: Notas SOAP inmutables (Subjetivo, Objetivo, Análisis, Plan)
- Prescripciones digitales: Medicamentos prescritos, dosis, indicaciones, duración
- Biométricos: Peso, talla, presión arterial, saturación de oxígeno, frecuencia cardíaca
- Resultados de laboratorio: Exámenes solicitados, valores, interpretación clínica
- Consentimientos: Aceptación con timestamp, IP, user-agent y versión del documento
3. Principios de Protección de Datos
- Legalidad: Solo datos recolectados con consentimiento válido o deber legal expreso
- Finalidad: Los datos se usan exclusivamente para los propósitos declarados en esta política
- Minimización: Solo se recopilan datos necesarios y suficientes para el servicio
- Transparencia: Información clara sobre qué datos se tratan, por qué y quién los consulta
- Acceso: El titular puede consultar, rectificar, cancelar u oponerse al tratamiento
- Seguridad: Controles técnicos y organizacionales contra pérdida, uso no autorizado o alteración
- Confidencialidad: Solo personal autorizado accede a datos clínicos (Ley 23/1981)
- Integridad: Registros clínicos inmutables tras firma digital (Res. 1995/1999)
4. Finalidades del Tratamiento
Finalidades Primarias — obligatorias para usar la plataforma
- Prestación de servicios telemédicos: Evaluación médica por videoconsulta, elaboración de historia clínica digital, prescripción digital de medicamentos, seguimiento y ajuste de tratamiento
- Gestión administrativo-sanitaria: Facturación y cobros, coordinación de citas, comunicaciones operativas (confirmaciones, recordatorios), cumplimiento tributario y regulatorio
- Cumplimiento legal y regulatorio: Verificación de licencias médicas (RETHUS/INVIMA), auditoría de registros clínicos (Res. 1995/1999), reporte a Superintendencia de Salud, defensa legal
- Seguridad y prevención de fraude: Detección de accesos no autorizados, prevención de suplantación, protección contra ataques, registro de auditoría de accesos y cambios
Finalidades Secundarias — consentimiento separado y opcional
- Envío de comunicaciones comerciales, boletines educativos y encuestas de satisfacción
- Análisis anónimo de uso para mejora de algoritmos de IA y del producto
- Investigación clínica anonimizada (requiere aprobación ética adicional)
5. Encargados del Tratamiento (Procesadores)
Conforme Decreto 1377/2013 Art. 29, los siguientes terceros procesan datos en nuestro nombre bajo acuerdo de confidencialidad y seguridad:
| Procesador | Función | Ubicación |
|---|---|---|
| Supabase Inc. | Base de datos PostgreSQL y autenticación | AWS Madrid (EU) |
| Groq Inc. | IA clínica — transcripción y generación de notas SOAP | EE.UU. |
| Daily.co | Hosting de videoconsultas | EE.UU. / EU |
| Bold Colombia | Procesamiento de pagos | Colombia |
| Resend Inc. | Envío de correos transaccionales | EE.UU. |
6. Retención de Datos
| Tipo de Dato | Período | Fundamento Legal |
|---|---|---|
| Historia clínica firmada (SOAP) | 15 años | Res. 1995/1999 · Ley 23/1981 |
| Prescripciones digitales | 5 años (fiscal) / 15 años (clínico) | Código Tributario · Res. 1995/1999 |
| Facturación y pagos | 5 años | Código Tributario |
| Consentimientos (evidencia legal) | 5+ años | Decreto 1377/2013 |
| Logs de auditoría | 2 años | Ley 1581/2012 · Seguridad |
| Datos personales generales | Mientras relación activa + 1 año | Ley 1581/2012 |
7. Medidas de Seguridad
Técnicas
- Cifrado en tránsito: TLS 1.3+ en todas las conexiones HTTPS
- Cifrado en reposo: AES-256 en base de datos (Supabase Vault)
- Control de acceso granular: Row-Level Security (RLS) — cada usuario solo ve sus propios datos
- Autenticación: JWT con expiración de sesión, MFA opcional para médicos
- API Gateway: rate limiting, validación de entrada, protección CORS
- Registro de auditoría de accesos, cambios y operaciones sensibles
Organizacionales
- Acceso bajo principio de necesidad de conocimiento (need-to-know)
- Cláusulas de confidencialidad para empleados y contratistas
- Protocolo de respuesta a brechas con notificación en 72 horas
- Respaldos diarios con redundancia geográfica y pruebas trimestrales de recuperación
8. Derechos del Titular (ARCO + Oposición)
Conforme Ley 1581/2012 Arts. 12-16 y Decreto 1377/2013, puedes ejercer los siguientes derechos sin costo:
Acceso (Art. 12)
Conocer qué datos se tratan y cómo. Respuesta con descarga de datos en formato legible en 10 días hábiles.
Rectificación (Art. 13)
Corregir datos incompletos, inexactos o desactualizados. Corrección en 5 días hábiles con confirmación por correo.
Cancelación/Supresión (Art. 14)
Solicitar eliminación de datos cuando no sean necesarios. Nota: las historias clínicas firmadas no pueden eliminarse (Res. 1995/1999 exige retención mínima de 15 años). Respuesta en 15 días hábiles.
Oposición (Art. 16) y Revocatoria del Consentimiento (Art. 8)
Oponerse al tratamiento para finalidades secundarias (marketing, análisis) o revocar el consentimiento en cualquier momento. Efecto inmediato para datos futuros; datos históricos se retienen si hay deber legal.
Presenta tu solicitud en /pqrs-datos o a privacidad@sbeltiq.com. Radicación en menos de 1 día hábil.
9. Consentimiento Previo, Expreso e Informado
Conforme Ley 1581/2012 Art. 8 y Res. 2654/2019, al crear cuenta el usuario acepta explícitamente (tres verificaciones independientes que no pueden omitirse):
- Aceptación de la Política de Privacidad y tratamiento de datos personales conforme Ley 1581/2012, incluyendo recopilación de identificación, correo, teléfono y datos técnicos necesarios para el servicio.
- Autorización del tratamiento de datos sensibles de salud (antecedentes, notas clínicas, prescripciones) conforme Ley 1751/2015, con retención mínima de 15 años y posible reporte a INVIMA cuando la ley lo requiera.
- Consentimiento para prestación de servicios de telemedicina (videoconsultas, historias clínicas digitales, prescripción digital) conforme Res. 2654/2019.
Evidencia guardada en base de datos: timestamp exacto, IP real del dispositivo, user-agent del navegador y versión del documento aceptado.
10. Transferencias de Datos
Nacionales: A autoridades colombianas (INVIMA, Superintendencia de Salud, FGN con orden judicial) y aliados asistenciales (farmacias, laboratorios) con consentimiento del paciente.
Internacionales: Actualmente no se realizan transferencias internacionales sin consentimiento adicional. Los procesadores indicados en la sección 5 actúan como encargados bajo acuerdo, no como destinatarios soberanos de los datos.
11. Procedimiento de PQRS
Conforme Decreto 1377/2013 Arts. 6-7:
| Tipo | Descripción | Plazo |
|---|---|---|
| Consulta (Q) | “¿Qué datos míos tienen?” | 10 días hábiles |
| Petición (P) | “Actualizar mis datos de contacto” | 10 días hábiles |
| Reclamo (R) | “No recibí respuesta a mi consulta” | 15 días hábiles |
| Solicitud ARCO (S) | Acceso / rectificación / cancelación / oposición | 10-15 días hábiles |
Canales de radicación:
- Formulario web: /pqrs-datos (disponible 24/7)
- Email: privacidad@sbeltiq.com (L-V 8am–6pm hora Colombia)
- Correo físico: [POR DEFINIR — dirección y código postal]
12. Vigencia y Cambios
Esta política rige a partir del 28 de mayo de 2026. Los cambios significativos serán notificados con 30 días de anticipación vía correo electrónico y publicados con número de versión actualizado. Si los cambios afectan derechos del titular, se requerirá consentimiento explícito renovado.
13. Quejas ante la Autoridad de Control
Si no estás satisfecho con nuestra respuesta, puedes presentar una queja ante la Superintendencia de Industria y Comercio (SIC), autoridad de protección de datos de Colombia.