1. Objeto y alcance
Este documento complementa la Política de privacidad de GEN.AI y establece los principios, roles y medidas específicas para el tratamiento de datos personales sensibles de salud en el marco del agendamiento clínico, de conformidad con la legislación colombiana.
2. Normativa de referencia en Colombia
- Ley 1581 de 2012: los datos de salud son datos sensibles; su tratamiento requiere autorización expresa del titular, salvo las excepciones legales.
- Resolución 1995 de 1999: regula la historia clínica como documento privado, obligatorio y sometido a reserva, con acceso restringido al equipo de salud y personas autorizadas.
- Resolución 866 de 2021: establece el marco de referencia para la gestión de la seguridad y confidencialidad de la información contenida en la historia clínica.
- Ley 23 de 1981: consagra el deber de guardar secreto profesional sobre la información clínica del paciente.
- Ley Estatutaria 1751 de 2015: reconoce el derecho fundamental a la salud y la protección de la intimidad del paciente.
3. Clasificación de la información
En el contexto de GEN.AI se distinguen:
- Datos de agendamiento: identificación del paciente, contacto, EPS, especialidad, profesional, sede, fecha, hora y estado de la cita.
- Datos clínicos vinculados: información adicional que la institución configure (motivo de consulta, observaciones operativas, autorizaciones EPS), sin reemplazar la historia clínica completa en el HIS.
- Metadatos de canal: registros de interacción por WhatsApp, web o call center con fines de trazabilidad, auditoría y mejora del servicio.
4. Principios aplicables
- Legalidad: tratamiento conforme a la Constitución y leyes colombianas.
- Finalidad: uso exclusivo para gestión de citas y operación autorizada.
- Libertad: con autorización previa, expresa e informada del titular.
- Veracidad: datos exactos, completos y actualizables.
- Transparencia: información clara sobre quién trata los datos y para qué.
- Acceso restringido: solo personal con perfil y necesidad operativa.
- Seguridad: medidas técnicas y organizativas proporcionales al riesgo.
- Confidencialidad: deber de reserva de quienes acceden a la información.
5. Roles: responsable y encargado
Institución de salud (Responsable del tratamiento)
- Define las finalidades del agendamiento y la base legal del tratamiento.
- Obtiene y documenta la autorización del paciente para datos sensibles.
- Designa perfiles de acceso de su personal en la plataforma.
- Atiende derechos de los titulares en primera instancia cuando actúa como responsable.
GEN.AI SAS (Encargado del tratamiento)
- Trata los datos únicamente según instrucciones documentadas del cliente.
- Implementa medidas de seguridad alineadas con la Resolución 866 de 2021.
- Notifica incidentes de seguridad conforme al contrato y a la normativa aplicable.
- No utiliza los datos de pacientes para fines comerciales propios ajenos al servicio contratado.
6. Autorización del titular
El paciente debe ser informado de manera previa, expresa e inequívoca sobre: (i) la finalidad del agendamiento digital; (ii) los canales utilizados (WhatsApp, web, call center); (iii) la identidad del responsable (institución de salud); (iv) sus derechos ARCO; y (v) la posibilidad de revocar la autorización. La institución cliente es responsable de incorporar estos avisos en sus procesos de admisión, portal de citas y comunicaciones al paciente.
7. Medidas de seguridad
GEN.AI adopta, entre otras, las siguientes medidas:
- Cifrado de datos en tránsito (TLS/HTTPS) y cifrado en reposo cuando aplique.
- Control de acceso basado en roles (RBAC) y autenticación segura.
- Registro de auditoría de acciones críticas sobre agendas y citas.
- Copias de seguridad y planes de continuidad operativa.
- Evaluación periódica de riesgos y actualización de controles.
- Cláusulas de confidencialidad con personal y proveedores que acceden a la información.
8. Transferencias y interoperabilidad con HIS
Cuando GEN.AI se integra con sistemas de historia clínica u otros aplicativos de la institución, solo se transmiten los datos estrictamente necesarios para confirmar, registrar o actualizar la cita. Toda integración se documenta contractualmente y se realiza por canales seguros (API REST, VPN u otros acordados), respetando la reserva de la historia clínica.
9. Incidentes de seguridad
Ante un incidente que afecte datos clínicos o sensibles, GEN.AI SAS activará su protocolo interno de respuesta, notificará al cliente responsable en los plazos contractuados y colaborará en las acciones de contención, investigación y, cuando corresponda, reporte a autoridades (Ministerio de Salud, SIC u otras competentes).
10. Derechos del paciente
El paciente puede ejercer ante la institución de salud, y en su caso ante GEN.AI SAS como encargado:
- Acceder a sus datos de agendamiento.
- Rectificar información inexacta.
- Solicitar actualización de datos de contacto.
- Revocar la autorización cuando no exista deber legal de conservación.
- Presentar reclamaciones ante la Superintendencia de Industria y Comercio.
Solicitudes: info@monkeymindsoftware.com. Plazo de respuesta: quince (15) días hábiles, prorrogables ocho (8) días hábiles.
11. Conservación y eliminación
Los datos de agendamiento se conservan mientras exista relación contractual con la institución y durante los términos exigidos por la normativa sanitaria para trazabilidad de atención. Finalizado el contrato, se procederá a la devolución, anonimización o eliminación segura conforme al acuerdo y a la ley, sin perjuicio de los deberes de custodia de la historia clínica a cargo del prestador.