Política de Tratamiento de Datos Personales
Kairos Health S.A.S. (Kairos Health) · NIT: por confirmar · Bogotá D.C., Colombia
Canal de atención: Área de Protección de Datos Personales — privacidad@kairoshealth.co
Esta Política de Tratamiento de Datos Personales describe cómo se recolectan, usan, almacenan, protegen y suprimen los datos personales tratados a través de la plataforma Kairos Health, en cumplimiento de la Ley 1581 de 2012, el Decreto 1377 de 2013 y demás normas concordantes del régimen de Habeas Data en Colombia.
La plataforma se ofrece a fundaciones y centros de tratamiento (los “Responsables”). Respecto de la información clínica y de los pacientes, Kairos Health actúa como Encargado del Tratamiento, tratando los datos únicamente siguiendo las instrucciones de cada fundación y conforme al contrato de transmisión/encargo suscrito. Respecto de los datos de las cuentas de usuario, contactos comerciales y visitantes del sitio, Kairos Health actúa como Responsable.
1. Identificación del Responsable / Encargado
El tratamiento de los datos personales está a cargo de la entidad identificada al inicio de esta política, con domicilio en Bogotá D.C., Colombia. Cualquier solicitud relacionada con datos personales puede dirigirse al canal de atención indicado en la sección “Canales de atención”.
2. Tratamiento y finalidades
Los datos personales se tratan para: (i) la prestación y administración de los servicios asistenciales y administrativos de la fundación; (ii) la gestión de admisiones, historia clínica, planes de tratamiento y seguimiento; (iii) la facturación y cumplimiento de obligaciones legales, contables y reglamentarias; (iv) la comunicación con el titular o su representante; y (v) fines estadísticos y de mejora del servicio sobre datos disociados.
3. Datos sensibles y datos de salud
La plataforma trata datos sensibles, en particular datos relativos a la salud (diagnósticos, evaluaciones clínicas, historial de consumo de sustancias, medicación) y datos de niños, niñas y adolescentes. Estos datos solo se tratan con la autorización previa, expresa e informada del titular o de su representante legal, salvo las excepciones legales, y se sujetan a medidas reforzadas de seguridad y acceso restringido por roles.
4. Derechos del titular
El titular tiene derecho a: conocer, actualizar y rectificar sus datos; solicitar prueba de la autorización otorgada; ser informado sobre el uso de sus datos; presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones; revocar la autorización y/o solicitar la supresión de los datos cuando no exista un deber legal o contractual de conservarlos; y acceder de forma gratuita a sus datos personales.
La supresión de datos no aplica sobre la historia clínica mientras exista el deber legal de conservación (Resolución 1995 de 1999, mínimo 15 años). En tal caso se suprimen o anonimizan los datos que no estén sujetos a dicho deber.
5. Canales de atención y procedimiento
Las consultas y reclamos para ejercer los derechos de Habeas Data se atienden a través del correo electrónico del Área de Protección de Datos indicado al inicio de esta política. Las consultas se atenderán en un término máximo de diez (10) días hábiles y los reclamos en quince (15) días hábiles, conforme a los artículos 14 y 15 de la Ley 1581 de 2012.
6. Encargados, transmisión y transferencia internacional
Para operar la plataforma se utilizan proveedores de infraestructura y procesamiento que pueden almacenar datos en servidores ubicados fuera de Colombia (por ejemplo, en los Estados Unidos). Estas transmisiones/transferencias internacionales se realizan bajo contratos que imponen al encargado los deberes de seguridad y confidencialidad exigidos por la ley, y se entienden autorizadas con la aceptación de esta política.
7. Medidas de seguridad
Se implementan medidas técnicas, humanas y administrativas razonables para proteger los datos: cifrado en tránsito (TLS) y cifrado de los datos clínicos en reposo, control de acceso por roles, aislamiento por organización, registro de auditoría de las operaciones y procedimientos de respuesta ante incidentes. Ante una violación de seguridad que afecte datos personales se notificará a la SIC y a los titulares en los términos legales.
8. Conservación de los datos
Los datos se conservan durante el tiempo necesario para cumplir las finalidades y las obligaciones legales aplicables. La historia clínica se conserva por un término mínimo de quince (15) años (Resolución 1995 de 1999). Vencidos los plazos y deberes de conservación, los datos se suprimen o se anonimizan.
9. Datos de niños, niñas y adolescentes
El tratamiento de datos de menores de edad responde a su interés superior, se realiza con la autorización del representante legal y respeta sus derechos fundamentales. La plataforma registra quién otorga la autorización cuando el titular no es quien la concede.
10. Vigencia y modificaciones
Esta política rige desde su fecha de publicación y puede ser modificada. Los cambios materiales se informarán a través de la plataforma. La versión vigente de la política se identifica con el código de versión indicado al pie de esta página, que queda asociado a cada autorización otorgada.