1.1 El presente documento aplica a la plataforma tecnológica TODOSALUD (la “Plataforma”). Sustituye versiones anteriores y será publicado en su sitio web oficial y demás canales digitales.
1.2 La presente Política se expide conforme al artículo 15 de la Constitución Política de Colombia, la Ley 1581 de 2012, el Decreto 1377 de 2013 compilado en el Decreto 1074 de 2015 y los lineamientos de la Superintendencia de Industria y Comercio (SIC).
1.3 En caso de contradicción entre esta Política General y políticas específicas de módulos o funcionalidades, prevalecerá la disposición que otorgue mayor nivel de protección al titular y la que refleje de manera más precisa el flujo real de tratamiento, debiendo armonizarse por actualización documental.
2.1.1 Esta Política se aplica a toda actividad de Tratamiento de datos personales realizada a través de la Plataforma TODOSALUD por parte de TODOSALUD HOLDING S.A.S., así como por sus Encargados y subencargados autorizados.
2.1.2 Cubre web, App, integraciones, formularios, grabaciones consentidas, herramientas de análisis y cookies.
2.1.3 Aplica a titulares usuarios/pacientes, profesionales de la salud, aliados, proveedores y visitantes del sitio www.todosalud.co
2.2.1 Se rige por la Constitución Política, la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto 1074 de 2015 y los lineamientos de la SIC.
2.2.2 Tratándose de datos de salud, se aplica la Resolución 1995 de 1999, la Resolución 839 de 2017 y la Resolución 2654 de 2019.
2.2.3 Se adoptan los principios de legalidad, finalidad, libertad, veracidad, transparencia, acceso y circulación restringida, seguridad, confidencialidad, responsabilidad demostrada y privacidad por diseño y por defecto.
2.3.1 Vincula a:
2.3.2 Lo anterior no implica corresponsabilidad automática en el tratamiento asistencial. La corresponsabilidad solo existirá si se documenta expresamente conforme a la ley y al acuerdo aplicable.
2.4.1 TODOSALUD aplica criterios de minimización de datos, segmentación de accesos y controles reforzados para el tratamiento de datos sensibles y datos de salud.
2.5.1 TODOSALUD implementa un programa integral de privacidad que incluye gobernanza de datos, inventario y RAT, gestión de riesgos, contratos con Encargados, procedimientos para la atención de derechos e incidentes, capacitación y trazabilidad de evidencias.
2.6.1 Los titulares reciben información clara sobre las finalidades del tratamiento, las medidas de seguridad aplicables y los mecanismos de consentimiento, revocatoria, control de cookies y comunicaciones comerciales.
3.1 Responsable: TODOSALUD HOLDING S.A.S. (en adelante, “TODOSALUD”).
3.2 NIT: 901.306.285-5.
3.3 Domicilio: Carrera 48A # 15 Sur 58, Medellín, Antioquia, Colombia.
3.4 Portal web: https://www.todosalud.co
3.5 Correo Oficial/Área de Protección de Datos (DPO): contactenos@todosalud.co
3.6 Canal PQRS (Cuenta de usuario)
3.7 Formulario web: https://www.todosalud.co/pqrs
3.8 Fundamento legal: Ley 1581 de 2012 y Decreto 1074 de 2015.
4.1 La presente Política regula el Tratamiento de Datos Personales, la Privacidad y el Uso de Cookies en TODOSALUD.
4.2 TODOSALUD no es una Institución Prestadora de Servicios de Salud (IPS) ni sustituye el acto médico.
4.3 Los servicios de telesalud y telemedicina se gestionan conforme a la Resolución 2654 de 2019.
5.1 Constitución Política de Colombia, artículo 15.
5.2 Ley 1581 de 2012.
5.3 Decreto 1377 de 2013.
5.4 Decreto 1074 de 2015.
5.5 Lineamientos de la Superintendencia de Industria y Comercio (SIC).
5.6 Resolución 1995 de 1999 (historia clínica).
5.7 Resolución 839 de 2017 (retención mínima de historia clínica).
5.8 Resolución 2654 de 2019 (telesalud y telemedicina).
5.9 Ley 2300 de 2023 (contacto comercial y protección al consumidor).
6.1.1 Legalidad; finalidad; libertad; veracidad o calidad; transparencia; acceso y circulación restringida; seguridad; confidencialidad; necesidad y proporcionalidad; responsabilidad demostrada; privacidad por diseño y por defecto.
6.2.1 Dato personal: información vinculada o que pueda asociarse a una persona natural determinada o determinable.
6.2.2 Dato público: información que no sea semiprivada, privada o sensible; por ejemplo, calidad de comerciante o servidor público.
6.2.3 Dato semiprivado: información cuyo conocimiento interesa al titular y a un sector o grupo determinado de personas; por ejemplo, datos financieros y crediticios.
6.2.4 Dato privado: información de naturaleza íntima o reservada cuya divulgación compromete la intimidad del titular.
6.2.5 Dato sensible: datos que afectan la intimidad o cuyo uso indebido puede generar discriminación, incluidos datos de salud y biométricos.
6.2.6 Dato de salud: información sobre pasado, presente o futuro del estado de salud físico o mental del titular, incluida la historia clínica.
6.2.7 Tratamiento: operación u operaciones sobre datos personales, tales como recolección, almacenamiento, uso, circulación, transmisión, transferencia o supresión.
6.2.8 Responsable del Tratamiento: persona natural o jurídica que decide sobre la base de datos y/o el tratamiento. Para efectos de esta Política, el responsable es TODOSALUD HOLDING S.A.S.
6.2.9 Encargado del Tratamiento: quien trata datos personales por cuenta del responsable y conforme a sus instrucciones.
6.2.10 Subencargado: tercero contratado por un Encargado, autorizado por el responsable, para actividades de tratamiento.
6.2.11 Transmisión de datos: comunicación de datos a un Encargado para su tratamiento por cuenta del responsable.
6.2.12 Transferencia de datos: entrega de datos a otro responsable, dentro o fuera de Colombia, que decide autónomamente sobre su tratamiento.
6.2.13 Autorización: consentimiento previo, expreso e informado del titular.
6.2.14 Aviso de privacidad: documento que informa al titular sobre la existencia de esta Política y las finalidades del tratamiento.
6.2.15 Historia clínica: documento privado y reservado que registra el acto asistencial conforme a la Resolución 1995 de 1999 y la Resolución 839 de 2017.
7.1 Responsable del Tratamiento: TODOSALUD HOLDING S.A.S. actúa como responsable del Tratamiento de los datos personales tratados en el marco de la Plataforma, define las finalidades y los medios del tratamiento y garantiza el ejercicio de los derechos de los titulares.
7.2 Encargados del Tratamiento: Son Encargados aquellos terceros que, por instrucción de TODOSALUD y bajo vínculo contractual, realizan actividades de tratamiento de datos personales, obligándose a cumplir las instrucciones impartidas, las medidas de seguridad exigidas y los deberes legales aplicables.
7.3 Subencargados: Los Encargados podrán vincular subencargados únicamente con autorización previa y expresa de TODOSALUD, garantizando obligaciones equivalentes en materia de confidencialidad, seguridad y protección de datos personales.
7.4 Oficial o Área de Protección de Datos (OPD/DPO): El OPD/DPO coordina el cumplimiento normativo en materia de protección de datos personales, gestiona el RNBD, atiende incidentes de seguridad, canaliza el ejercicio de derechos de los titulares y conserva evidencias de responsabilidad demostrada.
7.5 Profesionales de la salud: Los profesionales de la salud que operan en la Plataforma actúan de manera independiente y son responsables del acto médico y del diligenciamiento de la historia clínica, conforme a la normativa del sector salud.
7.6 Comité interno (opcional): TODOSALUD podrá contar con un comité interno de privacidad y seguridad encargado de la gestión de riesgos, definición de controles, seguimiento de incidentes y mejora continua.
7.7 Esquemas de responsabilidad en salud.
8.1 TODOSALUD mantiene un Inventario de Bases de Datos y un Registro de Actividades de Tratamiento por proceso.
8.2 El RAT incluye, como mínimo: finalidades del tratamiento, categorías de datos y de titulares, base jurídica o autorización, plazos de conservación, medidas de seguridad, Encargados, transmisiones y transferencias, evaluación de riesgos, ubicación de la información y evidencias de cumplimiento.
8.3 El RAT constituye la base para el cumplimiento de las obligaciones ante el Registro Nacional de Bases de Datos (RNBD), cuando aplique.
9.1 El tratamiento de datos personales se realiza con autorización previa, expresa e informada del titular, obtenida a través de mecanismos físicos, electrónicos o equivalentes, tales como formularios, casillas de verificación, firmas electrónicas u otros medios que permitan su posterior verificación.
9.2 Tratándose de datos sensibles y, en especial, de datos de salud, la autorización será expresa, destacada y específica, y su suministro no será obligatorio para la prestación de servicios no esenciales.
9.3 El titular podrá revocar la autorización otorgada en cualquier momento, con la misma facilidad con la que la concedió, siempre que no exista un deber legal o contractual que impida su supresión.
9.4 TODOSALUD conservará prueba de la autorización otorgada, incluyendo, entre otros, marcas de tiempo, direcciones IP, versión vigente de la política o del aviso de privacidad y registros de aceptación.
9.5 Las excepciones a la autorización solo procederán en los casos expresamente previstos en la ley.
9.6 Tratándose de niños, niñas y adolescentes (NNA), el tratamiento será excepcional, atenderá al interés superior del menor y requerirá autorización del representante legal, aplicando medidas reforzadas de seguridad y confidencialidad.
10.1 Datos de identificación y contacto: gestión de registro, autenticación, verificación de identidad y comunicaciones operativas.
10.2 Datos de perfil y rol: administración de cuentas de usuarios/pacientes, profesionales de la salud, aliados y proveedores.
10.3 Datos transaccionales: gestión de pagos, comprobantes, facturación y cumplimiento de obligaciones contables y tributarias.
10.4 Datos técnicos y de uso: seguridad de la Plataforma, integridad del servicio, análisis de desempeño y mejora continua, preferiblemente mediante anonimización o seudonimización.
10.5 Datos sensibles y de salud: soporte del proceso asistencial, custodia tecnológica y trazabilidad de la historia clínica.
10.6 Datos de menores de edad: tratados únicamente cuando sea necesario, con autorización del representante legal y bajo el interés superior del menor.
10.7 Datos para comunicaciones comerciales: tratados únicamente con autorización previa y conforme a la Ley 2300 de 2023.
11.1 Los titulares podrán ejercer los derechos de acceso, conocimiento, obtención de copia, actualización, rectificación, supresión cuando no exista deber legal, revocatoria de autorización y presentación de quejas ante la SIC, previo trámite interno.
11.2 Las consultas serán atendidas en un término máximo de diez (10) días hábiles, prorrogables por cinco (5) días hábiles adicionales cuando sea necesario.
11.3 Los reclamos serán atendidos en un término máximo de quince (15) días hábiles, prorrogables por ocho (8) días hábiles adicionales.
11.4 Si el reclamo resulta incompleto, se requerirá al titular para su subsanación y se registrará la leyenda “reclamo en trámite”.
11.5 TODOSALUD generará constancias digitales de recepción y respuesta.
12.1 El acceso a los datos personales se encuentra estrictamente restringido a personas no autorizadas.
12.2 Los datos de salud y la historia clínica tienen carácter privado y reservado, conforme a la normativa del sector salud.
12.3 Toda persona que intervenga en el tratamiento de datos personales está obligada a garantizar la confidencialidad de la información, aun después de finalizada su relación con TODOSALUD.
13.1 TODOSALUD implementa un enfoque basado en riesgos y responsabilidad demostrada.
13.2 Medidas técnicas: autenticación multifactor (MFA), control de accesos por mínimos privilegios, cifrado de la información en tránsito y en reposo cuando sea viable, trazabilidad mediante registros (logs), copias de seguridad y planes de continuidad.
13.3 Medidas administrativas: políticas internas, procedimientos documentados, gestión de proveedores, auditorías y revisión periódica de controles.
13.4 Medidas humanas: capacitación anual y obligaciones de confidencialidad para personal y terceros con acceso a datos personales.
14.1 Se consideran incidentes, entre otros: acceso no autorizado, fuga o pérdida de información, malware, suplantación, exposición de credenciales, ransomware o indisponibilidad severa.
14.2 Clasificación de severidad: crítica, alta, media y baja.
14.3 Metas operativas:
14.4 Notificación a la Superintendencia de Industria y Comercio y a los titulares cuando aplique; para obligados al RNBD, dentro de los quince (15) días hábiles siguientes al conocimiento del incidente.
14.5 El reporte incluirá: descripción de los hechos, datos afectados, evaluación de riesgo, medidas adoptadas, recomendaciones y datos de contacto.
14.6 Participarán las áreas de Privacidad, Seguridad, Legal y Operaciones, conservando evidencias técnicas y administrativas.
15.1 La historia clínica es un documento privado, obligatorio y sometido a reserva, conforme a la Resolución 1995 de 1999 y la Resolución 839 de 2017.
15.2 El profesional de la salud o la IPS correspondiente es el responsable del diligenciamiento, contenido, custodia asistencial y reserva legal de la historia clínica.
15.3 TODOSALUD no modifica, interpreta ni altera el contenido clínico y no sustituye al responsable asistencial.
15.4 Cuando TODOSALUD actúe como custodio tecnológico de la historia clínica, garantizará acceso restringido, trazabilidad de accesos y medidas reforzadas de seguridad de la información.
15.5 Las solicitudes de acceso, corrección o copia de la historia clínica serán redireccionadas al responsable asistencial, previa verificación de identidad, legitimación y límites de reserva legal.
15.6 La conservación mínima de la historia clínica será de quince (15) años contados desde la última atención, con duplicación en casos de violaciones a derechos humanos o derecho internacional humanitario, y conservación permanente cuando integre procesos por delitos de lesa humanidad.
15.7 La telesalud y la telemedicina se desarrollan conforme a la Resolución 2654 de 2019, distinguiendo entre teleorientación, teleapoyo y telemedicina, bajo responsabilidad del prestador habilitado.
15.8 El tratamiento de datos sensibles de salud se realiza bajo medidas reforzadas; en casos de urgencia médica podrá prescindirse de autorización previa, informando posteriormente cuando sea legalmente procedente.
16.1 La transmisión de datos a Encargados del Tratamiento se realizará mediante contrato escrito que incluya instrucciones documentadas, deberes de confidencialidad, medidas de seguridad, régimen de subencargados, auditorías y reglas de retorno o eliminación de datos.
16.2 La transferencia internacional de datos personales solo se efectuará cuando el país de destino ofrezca un nivel adecuado de protección, conforme a la lista vigente publicada por la Superintendencia de Industria y Comercio, o cuando exista un mecanismo jurídico válido.
16.3 Los mecanismos válidos incluyen autorización expresa del titular, cláusulas contractuales adecuadas, garantías equivalentes o normas corporativas vinculantes (BCR) aprobadas por la SIC.
16.4 TODOSALUD documentará para cada flujo internacional el mecanismo jurídico aplicable.
16.5 Se prohíbe la transferencia de datos de salud a jurisdicciones que no ofrezcan nivel adecuado de protección, salvo habilitación legal expresa.
17.1 TODOSALUD cumplirá con la obligación de inscripción y actualización de sus bases de datos en el RNBD cuando le sea aplicable, conforme a la Ley 1581 de 2012 y la reglamentación vigente.
17.2 Reportes obligatorios:
18.1 TODOSALUD utiliza cookies y tecnologías similares para el correcto funcionamiento de la Plataforma.
18.2 Categorías de cookies:
18.3 Las cookies no estrictamente necesarias requerirán consentimiento previo, libre, informado y granular.
18.4 El titular podrá gestionar y revocar su consentimiento mediante el panel de preferencias disponible en la Plataforma.
18.5 Las cookies de terceros solo se utilizarán con proveedores que ofrezcan niveles adecuados de protección y acuerdos contractuales vigentes.
18.6 Se publicará una matriz de cookies con nombre, proveedor, finalidad, duración y tipo, y se mantendrá un enlace permanente “Configurar cookies” en el footer del sitio web.
19.1 Las comunicaciones comerciales solo se enviarán con autorización previa, expresa y verificable del titular.
19.2 Se respetarán los siguientes horarios:
19.3 Se garantizará un mecanismo de opt-out inmediato, gratuito y efectivo en cada comunicación.
20.1 TODOSALUD realizará procesos de debida diligencia previos a la vinculación de proveedores y Encargados del Tratamiento.
20.2 Los contratos incluirán, como mínimo, cláusulas de confidencialidad, medidas de seguridad, gestión de incidentes, auditorías, subprocesamiento, retorno o eliminación de datos y responsabilidades.
20.3 El uso de subencargados requerirá autorización previa del responsable y cláusulas espejo de protección de datos.
21.1 Los datos personales se conservarán únicamente por el tiempo necesario para cumplir la finalidad y las obligaciones legales.
21.2 Criterios orientadores adicionales:
21.3 Cuando no proceda la supresión, se aplicará bloqueo para fines archivísticos o de defensa judicial.
21.4 Para usos secundarios, los datos serán sometidos a procesos de anonimización irreversible.
22.1 TODOSALUD podrá modificar la presente Política por cambios normativos, tecnológicos u operativos.
22.2 La versión vigente estará disponible en el portal institucional y se informarán modificaciones sustanciales por medios razonables.
23.1 Oficial/Área de Protección de Datos: TODOSALUD HOLDING S.A.S.
23.2 Correo electrónico: contactenos@todosalud.co
23.3 Dirección: carrera 48A # 15 Sur 58, Medellín, Antioquia, Colombia
23.4 Canales PQRS: pqrs@todosalud.co y https://www.todosalud.co/pqrs
23.5 Procedimiento y plazos: conforme a la sección de Atención de derechos.
