Politica de Tratamiento de Datos Personales

1. Identificacion del Responsable del Tratamiento

El responsable del tratamiento de los datos personales recopilados a traves de la plataforma NotaRapidaMD (en adelante, la “Plataforma”) es:

• Razon social: TruLab Consulting
• Pais de constitucion: Canada
• Sitio web: https://notarapidamd.com
• Correo electronico de contacto: admin@notarapidamd.com
• Direccion fisica: [DIRECCION FISICA — COMPLETAR]

TruLab Consulting opera la Plataforma en cumplimiento de la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y demas normas concordantes de la Republica de Colombia en materia de proteccion de datos personales.

2. Definiciones

Para efectos de la presente Politica, se adoptan las siguientes definiciones conforme al articulo 3 de la Ley 1581 de 2012 y al Decreto 1377 de 2013:

• Dato personal: Cualquier informacion vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato sensible: Dato personal que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminacion. Incluye, entre otros, datos relativos a la salud, la vida sexual, datos biometricos y datos de origen racial o etnico.
• Titular: Persona natural cuyos datos personales son objeto de tratamiento. En el contexto de la Plataforma, se refiere tanto a los profesionales de la salud que utilizan el servicio como a los pacientes cuyos datos clinicos son procesados.
• Responsable del tratamiento: Persona natural o juridica, publica o privada, que por si misma o en asocio con otros, decide sobre la base de datos y/o el tratamiento de los datos. En este caso, TruLab Consulting.
• Encargado del tratamiento: Persona natural o juridica, publica o privada, que por si misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del Responsable.
• Tratamiento: Cualquier operacion o conjunto de operaciones sobre datos personales, tales como la recoleccion, almacenamiento, uso, circulacion o supresion.
• Autorizacion: Consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de sus datos personales.
• Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.
• Aviso de privacidad: Comunicacion verbal o escrita generada por el Responsable, dirigida al Titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las politicas de tratamiento de informacion que le seran aplicables.
• Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del tratamiento de datos personales, ubicado en Colombia, envia la informacion o los datos personales a un receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del pais.
• Transmision: Tratamiento de datos personales que implica la comunicacion de los mismos dentro o fuera del territorio de la Republica de Colombia cuando tenga por objeto la realizacion de un tratamiento por el Encargado por cuenta del Responsable.

3. Datos que Recopilamos

En el desarrollo de la operacion de la Plataforma, TruLab Consulting recopila y trata las siguientes categorias de datos personales:

3.1 Datos de identificacion y cuenta

• Nombre completo del profesional de la salud
• Direccion de correo electronico
• Especialidad medica
• Institucion prestadora de servicios de salud (IPS)
• Codigo de referido (si aplica)

3.2 Datos clinicos (dato sensible)

La Plataforma procesa datos de salud de pacientes que los profesionales de la salud ingresan para la generacion de documentacion clinica. Estos datos son clasificados como datos sensibles conforme al articulo 5 de la Ley 1581 de 2012. Incluyen:

• Notas clinicas y transcripciones de consultas medicas
• Motivo de consulta, historia de la enfermedad actual
• Signos vitales, hallazgos del examen fisico
• Resultados de laboratorio e imagenes diagnosticas
• Diagnosticos, planes de tratamiento y disposicion
• Instrucciones al momento del alta
• Grabaciones de audio de consultas de telemedicina (cuando el profesional de la salud utiliza la funcion de transcripcion)

3.3 Datos de uso

• Registros de actividad en la Plataforma (funcionalidades utilizadas, horarios de acceso)
• Direccion IP, tipo de navegador, sistema operativo, resolucion de pantalla
• Preferencias de configuracion del usuario

3.4 Datos de pago

Los datos financieros de pago (numero de tarjeta de credito, datos bancarios) son procesados exclusivamente por nuestro procesador de pagos, LemonSqueezy, en calidad de comerciante registrado (merchant of record). TruLab Consulting no almacena ni tiene acceso a numeros de tarjetas de credito ni datos bancarios completos. Unicamente recibimos confirmaciones de transacciones, identificadores de suscripcion y estado del pago.

4. Finalidades del Tratamiento

Los datos personales recopilados seran utilizados para las siguientes finalidades:

1. Prestacion del servicio de documentacion clinica: Generar, almacenar y gestionar notas clinicas y documentacion medica asistida por inteligencia artificial.
2. Generacion de RIPS: Producir los Registros Individuales de Prestacion de Servicios de Salud en formato JSON para su transmision por parte de la IPS a traves del Mecanismo Unico de Validacion (MUV) del Ministerio de Salud.
3. Inteligencia de facturacion: Analizar la documentacion clinica para sugerir niveles de evaluacion y manejo (E/M) y apoyar la gestion administrativa de la IPS.
4. Servicios de telemedicina: Facilitar consultas de telemedicina interactiva mediante videoconferencia, incluyendo la transcripcion de audio en tiempo real para generacion de notas clinicas.
5. Mejora del servicio: Analizar patrones de uso agregados y anonimizados para mejorar la funcionalidad, la experiencia del usuario y el rendimiento de la Plataforma.
6. Cumplimiento normativo: Cumplir con obligaciones legales, regulatorias y contractuales aplicables, incluyendo las disposiciones de la Ley 1581 de 2012, la Resolucion 1995 de 1999 y las normas de telemedicina vigentes.
7. Comunicaciones del servicio: Enviar notificaciones tecnicas, actualizaciones de seguridad, comunicaciones sobre cambios en el servicio y avisos administrativos.
8. Soporte al usuario: Atender consultas, solicitudes y reclamos de los Titulares en relacion con el servicio.

Los datos personales no seran utilizados para finalidades diferentes a las aqui expresadas sin la autorizacion previa, expresa e informada del Titular.

5. Tratamiento de Datos Sensibles

De conformidad con los articulos 5 y 6 de la Ley 1581 de 2012, los datos de salud de los pacientes procesados a traves de la Plataforma constituyen datos sensibles.

TruLab Consulting informa al Titular que:

• El suministro de datos sensibles de salud no es obligatorio. Ninguna persona esta obligada a proporcionar datos relativos a su estado de salud.
• Sin embargo, el suministro de dichos datos es necesario para la prestacion del servicio de documentacion clinica. Sin ellos, la Plataforma no puede generar las notas clinicas ni la documentacion medica que constituyen su funcion principal.
• La consecuencia de no autorizar el tratamiento de datos sensibles es la imposibilidad de utilizar las funcionalidades clinicas de la Plataforma.
• El tratamiento de datos sensibles se realiza exclusivamente para las finalidades descritas en la Seccion 4 de esta Politica, con las protecciones reforzadas que establece la ley.

De conformidad con el articulo 6 de la Ley 1581 de 2012, se requiere autorizacion explicita y especifica para el tratamiento de datos sensibles, la cual se obtiene mediante un formulario de consentimiento independiente presentado al Titular antes de la recopilacion de cualquier dato de salud.

Protecciones reforzadas aplicadas a datos sensibles

• Cifrado de datos en reposo y en transito
• Control de acceso basado en roles (Row-Level Security en la base de datos)
• Registros de auditoria de todos los accesos a datos clinicos
• Acuerdos de procesamiento de datos con todos los Encargados del tratamiento
• Acceso limitado estrictamente al profesional de la salud que creo la nota clinica

6. Derechos del Titular

De conformidad con el articulo 8 de la Ley 1581 de 2012, los Titulares de datos personales tienen los siguientes derechos:

1. Derecho de Acceso: Conocer, actualizar y solicitar copia de los datos personales que obren en las bases de datos de TruLab Consulting, asi como conocer el uso que se ha dado a los mismos.
2. Derecho de Rectificacion: Solicitar la actualizacion o correccion de los datos personales cuando estos sean parciales, inexactos, incompletos, fraccionados, induzcan a error o aquellos cuyo tratamiento este expresamente prohibido o no haya sido autorizado.
3. Derecho de Cancelacion (Supresion): Solicitar la supresion de los datos personales cuando: (a) no se respeten los principios, derechos y garantias constitucionales y legales; (b) los datos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual fueron recabados; (c) se haya superado el periodo necesario para el cumplimiento de los fines.
4. Derecho de Oposicion: Oponerse al tratamiento de datos personales cuando exista un motivo legitimo y fundado, referido a una situacion personal concreta, salvo en los casos en que la ley no permita dicha oposicion.
5. Derecho a revocar la autorizacion: Revocar en cualquier momento la autorizacion otorgada para el tratamiento de sus datos personales.
6. Derecho a presentar quejas: Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a lo dispuesto en la Ley 1581 de 2012.

Como ejercer sus derechos

El Titular podra ejercer sus derechos mediante comunicacion escrita dirigida a TruLab Consulting a traves de los siguientes canales:

• Correo electronico: admin@notarapidamd.com
• Asunto del correo: “Ejercicio de Derechos — Proteccion de Datos Personales”

La solicitud debera contener como minimo:

• Nombre completo e identificacion del Titular o de su representante legal
• Descripcion precisa de los hechos que dan lugar a la solicitud
• Direccion de correspondencia y/o correo electronico
• Documentos que soporten la solicitud (cuando sea aplicable)

Plazos de respuesta

Conforme al articulo 15 de la Ley 1581 de 2012:

• Consultas: Se atenderan en un termino maximo de diez (10) dias habiles contados a partir de la fecha de recibo de la solicitud. Cuando no fuere posible atender la consulta dentro de dicho termino, se informara al interesado y se atendera en un plazo maximo de cinco (5) dias habiles adicionales.
• Reclamos: El termino maximo para atender el reclamo sera de quince (15) dias habiles contados a partir del dia siguiente a la fecha de su recibo. Si no fuere posible atenderlo dentro de dicho termino, se informara al Titular los motivos de la demora y la fecha en que se atendera su reclamo, la cual en ningun caso podra superar los ocho (8) dias habiles siguientes al vencimiento del primer termino.

7. Transferencia Internacional de Datos

Para la prestacion del servicio, los datos personales pueden ser transferidos o transmitidos a los siguientes paises:

• Estados Unidos: Donde se alojan los servidores de la base de datos (Supabase), los proveedores de inteligencia artificial (Anthropic, Google), la plataforma de videoconferencia (Daily.co) y el procesador de pagos (LemonSqueezy).
• Canada: Donde se encuentra constituido TruLab Consulting, Responsable del tratamiento.

Conforme a la Circular Externa 005 de 2017 de la Superintendencia de Industria y Comercio, tanto Estados Unidos como Canada se encuentran en la lista de paises que cuentan con un nivel adecuado de proteccion de datos personales. En consecuencia, la transferencia internacional de datos a dichos paises no requiere autorizacion adicional del Titular mas alla de la autorizacion general de tratamiento.

En todo caso, TruLab Consulting ha suscrito acuerdos de procesamiento de datos con cada Encargado del tratamiento internacional para garantizar que los datos personales cuenten con protecciones equivalentes a las establecidas en la legislacion colombiana. Si en el futuro se utilizaran servidores ubicados en paises no incluidos en la lista de paises con nivel adecuado de proteccion, se obtendra la autorizacion previa y expresa del Titular.

8. Medidas de Seguridad

TruLab Consulting implementa medidas tecnicas, humanas y administrativas para proteger los datos personales contra el acceso no autorizado, la perdida, la alteracion, la destruccion o el uso indebido, incluyendo:

• Cifrado en transito: Todas las comunicaciones entre el navegador del usuario y los servidores de la Plataforma se realizan mediante protocolo TLS/HTTPS.
• Cifrado en reposo: Los datos almacenados en la base de datos se encuentran cifrados utilizando algoritmos de cifrado estandar de la industria (AES-256).
• Control de acceso basado en roles: Se implementa Row-Level Security (RLS) en la base de datos PostgreSQL, lo que garantiza que cada profesional de la salud solo pueda acceder a los datos clinicos que el mismo ha creado.
• Autenticacion segura: Autenticacion de usuarios mediante protocolos seguros gestionados por Supabase Auth, con soporte para autenticacion de doble factor (2FA).
• Registros de auditoria: Se mantienen registros de los accesos y modificaciones realizadas a los datos personales y clinicos.
• Respaldo y recuperacion: Copias de seguridad periodicas y procedimientos de recuperacion ante desastres para garantizar la disponibilidad de la informacion.
• Evaluacion continua: Revision periodica de las medidas de seguridad para adaptarlas a las mejores practicas y requisitos regulatorios vigentes.

9. Conservacion de Datos

Los datos personales seran conservados durante el tiempo que sea necesario para cumplir con las finalidades descritas en esta Politica, de acuerdo con los siguientes criterios:

• Datos clinicos: Se conservaran durante la vigencia de la cuenta del profesional de la salud y, como minimo, durante diez (10) anos adicionales contados a partir de la ultima anotacion, de conformidad con la Resolucion 1995 de 1999 del Ministerio de Salud que establece los periodos de retencion para historias clinicas. Nota: La IPS que utiliza la Plataforma es la custodia legal de la historia clinica. TruLab Consulting facilita el almacenamiento como Encargado del tratamiento.
• Datos de cuenta: Se conservaran mientras la cuenta se encuentre activa y durante un periodo razonable posterior a la terminacion del servicio para atender solicitudes o reclamos.
• Datos de pago: Los registros transaccionales se conservaran conforme a las obligaciones tributarias aplicables (minimo cinco (5) anos conforme a la legislacion tributaria colombiana y canadiense).
• Datos de uso: Se conservaran en forma agregada y anonimizada por periodos indefinidos para fines estadisticos. Los datos de uso identificables se eliminaran dentro de los veinticuatro (24) meses siguientes a su recoleccion.

Al vencer los periodos de conservacion, los datos personales seran eliminados de forma segura o anonimizados de manera irreversible.

10. Encargados del Tratamiento (Procesadores de Datos)

Para la prestacion del servicio, TruLab Consulting comparte datos personales con los siguientes Encargados del tratamiento, con quienes se han suscrito los correspondientes acuerdos de procesamiento de datos:

Cada Encargado del tratamiento esta contractualmente obligado a tratar los datos personales unicamente para las finalidades autorizadas, implementar medidas de seguridad adecuadas y no compartir los datos con terceros sin autorizacion previa.

11. Procedimiento de Consultas y Reclamos

11.1 Consultas

Los Titulares o sus causahabientes podran consultar la informacion personal del Titular que repose en las bases de datos de TruLab Consulting. El Responsable garantizara el derecho de consulta suministrando a los Titulares la informacion que soliciten, previa verificacion de identidad.

11.2 Reclamos

El Titular o sus causahabientes que consideren que la informacion contenida en una base de datos debe ser objeto de correccion, actualizacion o supresion, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podran presentar un reclamo ante TruLab Consulting, el cual sera tramitado conforme al siguiente procedimiento:

1. El reclamo se formulara mediante solicitud dirigida a admin@notarapidamd.com con la identificacion del Titular, la descripcion de los hechos que dan lugar al reclamo y los documentos que se quieran hacer valer.
2. Si el reclamo resulta incompleto, se requerira al interesado dentro de los cinco (5) dias siguientes a la recepcion del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la informacion requerida, se entendera que ha desistido del reclamo.
3. Una vez recibido el reclamo completo, se incluira en la base de datos una leyenda que diga “reclamo en tramite” y el motivo del mismo, en un termino no mayor a dos (2) dias habiles.
4. El termino maximo para atender el reclamo sera de quince (15) dias habiles contados a partir del dia siguiente a la fecha de su recibo.

11.3 Escalamiento ante la SIC

Si el Titular no recibe respuesta dentro de los terminos legales, o si la respuesta es insatisfactoria, podra presentar queja ante la Superintendencia de Industria y Comercio (SIC):

• Portal web: www.sic.gov.co
• Linea telefonica: (601) 592 04 00
• Direccion: Carrera 13 No. 27 — 00, Bogota D.C., Colombia

El requisito de procedibilidad para acudir ante la SIC es haber presentado previamente la consulta o el reclamo ante el Responsable del tratamiento.

12. Vigencia y Modificaciones

La presente Politica de Tratamiento de Datos Personales entra en vigencia a partir de la fecha indicada al inicio del presente documento.

TruLab Consulting se reserva el derecho de modificar esta Politica en cualquier momento. Cualquier cambio sustancial sera comunicado a los Titulares mediante:

• Aviso destacado en la Plataforma al momento del inicio de sesion
• Notificacion por correo electronico a la direccion registrada en la cuenta del usuario
• Publicacion de la version actualizada en notarapidamd.com/politica-privacidad

El uso continuado de la Plataforma despues de la notificacion de cambios se entendera como aceptacion de la Politica modificada. Si el Titular no esta de acuerdo con las modificaciones, podra solicitar la supresion de sus datos y la cancelacion de su cuenta.

13. Contacto

Para cualquier consulta, reclamo o solicitud relacionada con esta Politica de Tratamiento de Datos Personales o con el ejercicio de sus derechos como Titular, puede comunicarse con nosotros a traves de:

• Responsable del tratamiento: TruLab Consulting
• Correo electronico: admin@notarapidamd.com
• Sitio web: https://notarapidamd.com
• Direccion fisica: [DIRECCION FISICA — COMPLETAR]