Política de Tratamiento de Datos Personales

1. IDENTIFICACIÓN DEL RESPONSABLE

La presente Política de Tratamiento de Datos Personales es adoptada por:

In-Sight Investments SAS actúa como Encargado del Tratamiento de los datos personales de los Pacientes, y como Responsable del Tratamiento de los datos personales de los Psicólogos usuarios de la Plataforma.

2. MARCO LEGAL

La presente Política se fundamenta en la siguiente normatividad:

• Constitución Política de Colombia, Artículo 15: Derecho a la intimidad, al buen nombre y al habeas data.
• Ley Estatutaria 1581 de 2012: Régimen General de Protección de Datos Personales.
• Decreto 1377 de 2013: Reglamentario parcial de la Ley 1581 de 2012.
• Decreto 1074 de 2015 (Título 26): Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, en lo relativo a protección de datos.
• Ley 1090 de 2006: Reglamentación de la profesión de psicología y código deontológico (secreto profesional).
• Ley 2015 de 2020: Historia Clínica Electrónica Interoperable.

3. DEFINICIONES

De conformidad con la Ley 1581 de 2012 y para efectos de esta Política:

• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato sensible: Aquel dato que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación. Incluye los datos relativos a la salud, la vida sexual y los datos biométricos.
• Titular: Persona natural cuyos datos personales sean objeto de tratamiento. En el contexto de AI-SARA, los titulares son tanto los Psicólogos como los Pacientes.
• Responsable del Tratamiento: Persona natural o jurídica que decide sobre la base de datos y/o el tratamiento de los datos. Para los datos de Pacientes, el Responsable es el Psicólogo. Para los datos de los Psicólogos, el Responsable es In-Sight.
• Encargado del Tratamiento: Persona natural o jurídica que realiza el tratamiento de datos por cuenta del Responsable. In-Sight actúa como Encargado respecto de los datos de los Pacientes.
• Tratamiento: Cualquier operación sobre datos personales, incluyendo recolección, almacenamiento, uso, circulación, procesamiento y supresión.
• Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de sus datos personales.
• Transferencia: Envío de datos personales a un tercero ubicado dentro o fuera de Colombia, que a su vez es responsable del tratamiento.
• Transmisión: Comunicación de datos personales a un encargado, dentro o fuera de Colombia, para que realice el tratamiento por cuenta del responsable.

4. PRINCIPIOS RECTORES

El tratamiento de datos personales en AI-SARA se rige por los siguientes principios establecidos en el artículo 4 de la Ley 1581 de 2012:

• Legalidad: El tratamiento se realiza conforme a la ley y las disposiciones vigentes.
• Finalidad: El tratamiento obedece a una finalidad legítima, la cual es informada al titular.
• Libertad: El tratamiento solo se ejerce con el consentimiento previo, expreso e informado del titular.
• Veracidad: La información sujeta a tratamiento debe ser veraz, completa, exacta y actualizada.
• Transparencia: El titular puede obtener información acerca de sus datos en cualquier momento.
• Acceso y circulación restringida: Los datos solo son accesibles a personas autorizadas por el titular o por la ley.
• Seguridad: Se adoptan medidas técnicas, humanas y administrativas para proteger los datos.
• Confidencialidad: Las personas que intervienen en el tratamiento están obligadas a garantizar la reserva de la información.

5. DATOS PERSONALES RECOLECTADOS

5.1 Datos de los Psicólogos (Usuarios)

• Nombre completo, correo electrónico, número de documento de identidad.
• Número de tarjeta profesional, universidad de egreso, especialización.
• País y ciudad de ejercicio profesional.
• Información de facturación (procesada por ePayco; In-Sight no almacena datos de tarjetas).
• Datos de uso de la Plataforma (estadísticas de consumo, créditos, sesión).

5.2 Datos de los Pacientes (Datos Sensibles)

Los siguientes datos son tratados por In-Sight en calidad de Encargado del Tratamiento, bajo las instrucciones del Psicólogo (Responsable):

• Datos de identificación: nombre, documento de identidad, fecha de nacimiento, sexo biológico, datos de contacto, datos del representante legal (menores de edad).
• Datos clínicos (SENSIBLES): motivo de consulta, historia clínica, evoluciones de sesión, diagnósticos (CIE-10), examen mental, análisis funcional, áreas de ajuste, formulación clínica conductual.
• Datos de ubicación: departamento, municipio, país de residencia (para fines de RIPS).
• Archivos clínicos: documentos, imágenes y grabaciones de audio/video subidos por el Psicólogo.
• Transcripciones de sesiones generadas por inteligencia artificial.

5.3 Datos de Menores de Edad

Cuando el Paciente sea menor de edad, el tratamiento de sus datos se realizará conforme al artículo 7 de la Ley 1581 de 2012 y al artículo 12 del Decreto 1377 de 2013. El Psicólogo es responsable de obtener la autorización del representante legal del menor, garantizando el respeto de sus derechos fundamentales y su interés superior.

6. FINALIDAD DEL TRATAMIENTO

Los datos personales recolectados a través de AI-SARA se utilizan exclusivamente para las siguientes finalidades:

6.1 Datos de Psicólogos

• Creación y gestión de la cuenta del Usuario en la Plataforma.
• Procesamiento de pagos y facturación de suscripciones y créditos.
• Comunicaciones esenciales del Servicio (soporte, seguridad, actualizaciones).
• Mejora continua de la Plataforma mediante análisis agregados y anonimizados de uso.
• Cumplimiento de obligaciones legales y regulatorias.

6.2 Datos de Pacientes

• Gestión de la historia clínica electrónica del Paciente por parte del Psicólogo.
• Generación de contenido asistido por IA (notas de evolución, sugerencias clínicas, transcripciones).
• Generación de documentos clínicos (consentimientos informados, informes clínicos).
• Generación de reportes regulatorios (RIPS) cuando el Psicólogo lo solicite.
• Auditoría y trazabilidad de operaciones sobre datos clínicos.

In-Sight nunca utilizará los Datos Clínicos de los Pacientes con fines comerciales, publicitarios, de perfilamiento, ni para entrenar modelos de inteligencia artificial propios.

7. AUTORIZACIÓN PARA EL TRATAMIENTO

7.1 Psicólogos: La autorización se obtiene al momento de la creación de la cuenta mediante la aceptación expresa de los Términos y Condiciones de Servicio y de la presente Política.

7.2 Pacientes: La autorización para el tratamiento de datos de Pacientes es responsabilidad del Psicólogo en su calidad de Responsable del Tratamiento. El Psicólogo debe obtener el consentimiento informado de cada Paciente, que incluya expresamente:

• La autorización para el tratamiento de datos sensibles de salud.
• La autorización para el uso de herramientas tecnológicas e inteligencia artificial.
• La autorización para la transferencia internacional de datos a Estados Unidos.
• La información sobre los derechos del titular y los canales para ejercerlos.

La Plataforma proporciona un modelo de consentimiento informado que cumple con estos requisitos. No obstante, el Psicólogo es responsable de adaptarlo a su contexto específico y de obtener la firma del Paciente.

7.3 Casos en que no se requiere autorización: Conforme al artículo 10 de la Ley 1581 de 2012, no se requerirá autorización cuando los datos sean requeridos por una entidad pública en ejercicio de sus funciones, se trate de datos de naturaleza pública, o en casos de urgencia médica o sanitaria.

8. DERECHOS DE LOS TITULARES

De conformidad con el artículo 8 de la Ley 1581 de 2012, los titulares de datos personales tienen los siguientes derechos:

• Conocer: Acceder de forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
• Actualizar: Solicitar la actualización de sus datos cuando estos sean parciales, inexactos, incompletos o estén desactualizados.
• Rectificar: Solicitar la corrección de información que sea inexacta o errónea.
• Suprimir: Solicitar la eliminación de sus datos cuando no exista una obligación legal o contractual que justifique su conservación.
• Revocar: Revocar la autorización otorgada para el tratamiento de sus datos, cuando no exista una obligación legal o contractual que lo impida.
• Presentar quejas: Acudir ante la Superintendencia de Industria y Comercio (SIC) cuando considere que sus derechos han sido vulnerados.

8.1 Procedimiento para Ejercer los Derechos

El titular podrá ejercer sus derechos mediante solicitud escrita enviada a:

• Correo electrónico: atencion@ai-sara.com

La solicitud deberá contener:

• Nombre completo y documento de identidad del titular.
• Descripción de los hechos y el derecho que desea ejercer.
• Dirección de correo electrónico para la respuesta.
• Documentos de soporte, cuando aplique.

8.2 Plazos de Respuesta

In-Sight dará respuesta a las solicitudes dentro de los siguientes plazos, contados a partir de la recepción de la solicitud completa:

• Consultas: Diez (10) días hábiles, prorrogables por cinco (5) días hábiles adicionales.
• Reclamos: Quince (15) días hábiles, prorrogables por ocho (8) días hábiles adicionales.

8.3 Datos de Pacientes

Cuando un Paciente desee ejercer sus derechos respecto de datos almacenados en AI-SARA, deberá dirigir su solicitud en primera instancia al Psicólogo (Responsable del Tratamiento). Si el Psicólogo no atiende la solicitud, el Paciente podrá contactar directamente a In-Sight al correo atencion@ai-sara.com, quien coordinará la atención con el Psicólogo correspondiente.

9. TRANSFERENCIA INTERNACIONAL DE DATOS

9.1 Los datos personales tratados a través de AI-SARA se almacenan en servidores de Oracle Cloud Infrastructure (OCI) ubicados en Chicago, Illinois, Estados Unidos.

9.2 Esta transferencia internacional se realiza al amparo de la autorización expresa otorgada por el titular, conforme al literal a) del artículo 26 de la Ley 1581 de 2012.

9.3 Oracle Cloud Infrastructure cuenta con certificaciones de seguridad internacionales y cumple con estándares reconocidos de protección de datos, incluyendo pero no limitado a ISO 27001, SOC 1, SOC 2 y SOC 3.

9.4 Adicionalmente, los datos clínicos son procesados por proveedores de servicios de inteligencia artificial (transmisión de datos) para la generación de contenido asistido. Estos proveedores:

• Reciben los datos exclusivamente para procesar la solicitud específica.
• No almacenan los datos más allá del tiempo necesario para generar la respuesta.
• Están sujetos a contratos que prohíben el uso de datos para entrenamiento de modelos.

10. MEDIDAS DE SEGURIDAD

In-Sight implementa medidas técnicas, humanas y administrativas para proteger los datos personales conforme al artículo 17 de la Ley 1581 de 2012:

10.1 Medidas Técnicas

• Encriptación de datos en tránsito mediante TLS/SSL.
• Encriptación de campos clínicos sensibles a nivel de base de datos.
• Control de acceso basado en roles con aislamiento estricto por propietario.
• Autenticación segura con tokens JWT y renovación automática.
• Escaneo antivirus de archivos subidos a la Plataforma.
• Respaldos automáticos diarios con almacenamiento cifrado.
• Registro de auditoría de todas las operaciones sobre datos clínicos.
• Infraestructura en nube con redundancia y protección contra desastres.

10.2 Medidas Administrativas

• Políticas internas de acceso restringido a datos personales.
• Capacitación del personal en protección de datos personales.
• Procedimientos de respuesta a incidentes de seguridad.
• Revisión periódica de medidas de seguridad.

11. CONSERVACIÓN DE LOS DATOS

11.1 Datos de Psicólogos con suscripción activa: Los datos se conservan durante toda la vigencia de la relación contractual.

11.2 Datos tras cancelación: Los datos clínicos se conservan en modo de solo lectura de forma indefinida, permitiendo al Psicólogo consultar y exportar la información de sus Pacientes. Transcurridos veinticuatro (24) meses desde la cancelación, In-Sight podrá contactar al Psicólogo para coordinar la exportación previa a la eliminación.

11.3 Obligaciones legales: Algunos datos podrán conservarse por periodos superiores cuando exista una obligación legal que así lo exija (por ejemplo, la obligación de custodia de historias clínicas).

11.4 Registros de auditoría: Los registros de auditoría se conservan durante un mínimo de cinco (5) años con fines de trazabilidad y compliance.

12. INCIDENTES DE SEGURIDAD

En caso de que se presente un incidente de seguridad que comprometa la confidencialidad, integridad o disponibilidad de datos personales, In-Sight procederá a:

• Documentar el incidente, su alcance y las medidas adoptadas.
• Notificar al Psicólogo afectado dentro de las setenta y dos (72) horas siguientes a la detección del incidente.
• Informar a la Superintendencia de Industria y Comercio cuando el incidente represente un riesgo significativo para los titulares, conforme a la normatividad vigente.
• Implementar medidas correctivas para evitar la recurrencia del incidente.

13. COOKIES Y TECNOLOGÍAS DE SEGUIMIENTO

La Plataforma utiliza cookies estrictamente necesarias para el funcionamiento del Servicio, tales como cookies de autenticación y sesión. AI-SARA no utiliza cookies de rastreo, cookies publicitarias ni tecnologías de perfilamiento comercial.

14. MODIFICACIONES A LA POLÍTICA

In-Sight se reserva el derecho de modificar la presente Política en cualquier momento. Las modificaciones serán comunicadas a los titulares mediante:

• Publicación de la versión actualizada en https://ai-sara.com/politica-de-datos.
• Notificación por correo electrónico a los Usuarios registrados.
• Aviso visible dentro de la Plataforma.

Los titulares dispondrán de un plazo de quince (15) días hábiles para ejercer su derecho de revocación si no están de acuerdo con los cambios. El uso continuado de la Plataforma después de dicho plazo constituirá la aceptación de la Política modificada.

15. AUTORIDAD DE CONTROL

La Superintendencia de Industria y Comercio (SIC) es la autoridad competente para la protección de datos personales en Colombia. Los titulares que consideren que sus derechos han sido vulnerados podrán presentar quejas ante:

16. VIGENCIA

La presente Política de Tratamiento de Datos Personales entra en vigor a partir de su publicación en el sitio web https://ai-sara.com y permanecerá vigente mientras In-Sight Investments SAS continúe operando la Plataforma AI-SARA.

In-Sight Investments SAS — NIT 901.895.602-2

Bogotá D.C., Colombia

Canal de atención para protección de datos: atencion@ai-sara.com

https://ai-sara.com