Politica de Privacidad y Proteccion de Datos Personales

POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES - iD WAY MEDICAL 1. Responsable del Tratamiento iD Way S.A.S. BIC (en adelante "iD Way Medical"), sociedad comercial identificada con NIT 901.627.487-3, con domicilio principal en la ciudad de Bucaramanga, Santander, Colombia, es la entidad responsable del tratamiento de los datos personales y datos sensibles recolectados a traves de la plataforma iD Way Medical (la "Plataforma"). Correo de contacto: contacto@idway.com.co Sitio web: idway.com.co 2. Marco Legal La presente politica se rige por la legislacion colombiana vigente en materia de proteccion de datos personales, en particular: - Constitucion Politica de Colombia, Articulo 15 (Derecho a la intimidad y habeas data). - Ley Estatutaria 1581 de 2012 (Regimen General de Proteccion de Datos Personales). - Decreto 1377 de 2013 (Reglamentario de la Ley 1581 de 2012). - Ley 1266 de 2008 (Habeas Data Financiero). - Ley 23 de 1981 (Etica Medica). - Resolucion 1995 de 1999 (Manejo de Historias Clinicas). - Decreto 1074 de 2015 (Decreto Unico Reglamentario del Sector Comercio, Industria y Turismo, Titulo 26, Capitulo 25 y 26). - Demas normas concordantes y complementarias. 3. Definiciones Para los efectos de la presente politica, se entiende por: - Dato personal: Cualquier informacion vinculada o que pueda asociarse a una persona natural determinada o determinable. - Dato sensible: Dato que afecta la intimidad del titular o cuyo uso indebido puede generar discriminacion, incluyendo datos relativos a la salud, vida sexual, datos biometricos, origen racial o etnico, opiniones politicas, convicciones religiosas o filosoficas, y pertenencia a sindicatos u organizaciones sociales o de derechos humanos. - Titular: Persona natural cuyos datos personales sean objeto de tratamiento. - Responsable del tratamiento: Persona natural o juridica que decide sobre la base de datos y el tratamiento de los datos. - Encargado del tratamiento: Persona natural o juridica que realiza el tratamiento de datos personales por cuenta del responsable. - Tratamiento: Cualquier operacion o conjunto de operaciones sobre datos personales, tales como la recoleccion, almacenamiento, uso, circulacion o supresion. - Autorizacion: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales. 4. Datos que Recolectamos iD Way Medical recolecta las siguientes categorias de datos personales: a) Datos de identificacion: Nombre completo, tipo y numero de documento de identidad, fecha de nacimiento, genero, ciudad de residencia, correo electronico, numero de telefono. b) Datos sensibles de salud: Grupo sanguineo y factor RH, alergias (medicamentos, alimentos, ambientales, otras), medicamentos actuales (nombre, dosis, frecuencia), condiciones medicas activas, antecedentes medicos, notas medicas adicionales, valores de signos vitales (presion arterial, frecuencia cardiaca, temperatura, saturacion de oxigeno, glucosa, peso, altura), e informacion de salud importada desde dispositivos o aplicaciones de terceros. c) Datos de contactos de emergencia: Nombre completo, parentesco o relacion, y numero de telefono de las personas designadas por el titular como contactos de emergencia. d) Fotografia del titular: Imagen del rostro del usuario para identificacion visual en situaciones de emergencia. e) Documentos medicos: Archivos (imagenes, PDF u otros formatos) que el usuario suba voluntariamente a la Plataforma, tales como resultados de examenes, formulas medicas, epicrisis u otros documentos clinicos. f) Datos tecnicos: Direccion IP, tipo de navegador, sistema operativo, fecha y hora de acceso, registros de escaneo del codigo QR (fecha, hora y ubicacion aproximada cuando este disponible), y datos de uso de la Plataforma. 5. Datos Sensibles de Salud De conformidad con el articulo 5 de la Ley 1581 de 2012, los datos relativos a la salud del titular tienen la calidad de datos sensibles. Por lo tanto, iD Way Medical informa que: - El suministro de datos sensibles de salud es de caracter FACULTATIVO. Ningun usuario esta obligado a proporcionar informacion sobre su estado de salud. - No se condiciona ninguna actividad al suministro de datos sensibles, salvo aquellos estrictamente necesarios para la prestacion del servicio de identificacion medica de emergencia. - El tratamiento de estos datos requiere autorizacion EXPRESA Y REFORZADA del titular, la cual se obtiene de forma separada y especifica al momento de la activacion del accesorio y del registro en la Plataforma. - Los datos sensibles de salud se tratan con la UNICA FINALIDAD de facilitar informacion de referencia en situaciones de emergencia medica y permitir al usuario gestionar su informacion de salud personal. - iD Way Medical NO es un prestador de servicios de salud y la informacion almacenada en la Plataforma NO constituye historia clinica en los terminos de la Resolucion 1995 de 1999. 6. Finalidad del Tratamiento Los datos personales y sensibles recolectados se tratan para las siguientes finalidades: a) Finalidad principal: Proveer informacion medica vital y de identificacion del titular en situaciones de emergencia a traves del codigo QR vinculado a su accesorio fisico. b) Activar y gestionar el accesorio iD Way Medical (manilla, tarjeta u otro), vinculandolo al perfil digital del usuario. c) Permitir al usuario crear, editar, actualizar y administrar su perfil medico de emergencia en la Plataforma. d) Permitir al usuario registrar, consultar y dar seguimiento a sus valores de signos vitales e historial de salud. e) Generar estadisticas anonimas y agregadas sobre el uso de la Plataforma con fines de mejora del servicio. Estas estadisticas NUNCA contendran datos que permitan identificar a un usuario individual. f) Enviar comunicaciones relacionadas con el servicio, incluyendo alertas de seguridad, actualizaciones de terminos legales, y notificaciones operativas. g) Atender solicitudes, quejas, reclamos, peticiones y consultas del titular (derechos ARCO y HABEAS DATA). h) Cumplir obligaciones legales, regulatorias o judiciales aplicables. i) Prevenir fraudes, actividades ilicitas o usos no autorizados de la Plataforma. iD Way Medical NO utilizara los datos personales o sensibles para fines de mercadeo, publicidad de terceros, perfilamiento comercial, ni para ninguna finalidad distinta a las aqui descritas, salvo autorizacion expresa y previa del titular. 7. Autorizacion y Consentimiento De conformidad con la Ley 1581 de 2012 y el Decreto 1377 de 2013, el tratamiento de datos personales requiere autorizacion previa, expresa e informada del titular. iD Way Medical obtiene dicha autorizacion mediante los siguientes mecanismos: - Al momento de la activacion del accesorio iD Way Medical, el usuario debe aceptar expresamente los Terminos y Condiciones y la presente Politica de Privacidad marcando la casilla correspondiente. Esta aceptacion constituye autorizacion para el tratamiento de datos personales. - Para datos sensibles de salud, la autorizacion se obtiene de forma REFORZADA: el usuario acepta de manera expresa, libre, previa, informada e inequivoca que sus datos de salud seran almacenados y tratados con la finalidad especifica de facilitar informacion en emergencias medicas. - Cuando iD Way Medical modifique la presente politica o los terminos y condiciones, se solicitara nueva aceptacion a todos los usuarios al momento de su siguiente ingreso a la Plataforma. El usuario podra no aceptar las modificaciones, caso en el cual podra solicitar la eliminacion de su cuenta. Autorizacion para perfiles de terceros (familiares y dependientes): iD Way Medical permite que un usuario titular de cuenta gestione multiples accesorios y perfiles medicos para beneficiarios distintos (familiares, personas de la tercera edad, personas con discapacidad, hijos menores de edad u otras personas bajo su cuidado). En estos casos: - El usuario titular de cuenta DECLARA Y GARANTIZA que ha obtenido la autorizacion previa, expresa e informada de cada beneficiario (o de su representante legal cuando aplique) para el tratamiento de sus datos personales y sensibles de salud a traves de la Plataforma. - Dicha autorizacion debe cubrir: la recoleccion y almacenamiento de datos de identificacion y datos sensibles de salud del beneficiario, la exhibicion de cierta informacion del perfil al escanear el codigo QR del accesorio, y la gestion del perfil por parte del usuario titular de cuenta. - El usuario titular de cuenta es el responsable exclusivo de obtener y conservar dicha autorizacion. iD Way Medical podra solicitar evidencia de la autorizacion en cualquier momento. - El beneficiario o su representante legal conserva todos los derechos previstos en la seccion 12 de esta politica (conocer, actualizar, rectificar, revocar, solicitar supresion), los cuales podra ejercer directamente ante iD Way Medical. - Para menores de edad, la autorizacion debera ser otorgada por el padre, madre o representante legal, conforme al articulo 7 de la Ley 1581 de 2012, y el tratamiento respondera al interes superior del menor. El titular o beneficiario podra revocar su autorizacion en cualquier momento, siguiendo el procedimiento descrito en la seccion 12 de esta politica. 8. Niveles de Acceso a la Informacion iD Way Medical implementa un sistema de niveles de acceso para proteger la informacion del titular: - Informacion de emergencia: Cierta informacion basica del perfil del usuario es accesible al escanear el codigo QR sin necesidad de autenticacion. Esta informacion tiene como finalidad exclusiva facilitar la atencion en emergencias medicas. - Informacion protegida con PIN: Informacion medica adicional que el usuario puede proteger mediante un codigo PIN personal. Solo quien conozca el PIN podra acceder a esta informacion. - Informacion privada: Informacion de la cuenta del usuario (correo electronico, contrasena, configuracion) accesible unicamente por el titular mediante inicio de sesion autenticado. El usuario titular de cuenta tiene control sobre la configuracion de cada perfil bajo su administracion y puede decidir que informacion incluir en cada nivel de acceso para cada beneficiario. 9. Seguridad de los Datos iD Way Medical implementa medidas de seguridad tecnicas, administrativas y fisicas para proteger los datos personales y sensibles contra acceso no autorizado, perdida, alteracion, destruccion o uso indebido. Estas medidas incluyen, entre otras: - Cifrado de contrasenas mediante algoritmos de hashing seguros (bcrypt). - Cifrado de comunicaciones mediante protocolo HTTPS/TLS. - Autenticacion basada en tokens con expiracion automatica de sesion por inactividad. - Proteccion de informacion sensible mediante codigo PIN personal del usuario. - Controles de acceso basados en roles para la administracion de la Plataforma. - Prevencion contra ataques comunes (inyeccion SQL, XSS, CSRF). - Respaldos periodicos de la base de datos. - Monitoreo de accesos y registro de actividad (logs de escaneo). - Politicas internas de acceso restringido a datos sensibles. Sin perjuicio de lo anterior, iD Way Medical no puede garantizar la seguridad absoluta de ningun sistema informatico. En caso de detectar una vulnerabilidad o brecha de seguridad, se activara el protocolo de notificacion de incidentes descrito en la seccion 16 de esta politica. 10. Transferencia Internacional de Datos Para la prestacion de sus servicios, iD Way Medical utiliza proveedores de infraestructura tecnologica cuyos servidores pueden estar ubicados fuera de Colombia, incluyendo Estados Unidos y otras jurisdicciones. De conformidad con el articulo 26 de la Ley 1581 de 2012 y el Decreto 1377 de 2013, iD Way Medical informa que: - La transferencia internacional de datos se realiza unicamente a paises que cuenten con niveles adecuados de proteccion de datos, o a proveedores que garanticen contractualmente estandares equivalentes de seguridad y proteccion. - Los proveedores de infraestructura estan obligados contractualmente a proteger los datos personales conforme a estandares de seguridad equivalentes o superiores a los exigidos por la legislacion colombiana. - La transferencia se realiza exclusivamente para las finalidades descritas en la seccion 6 de esta politica. - Al aceptar la presente politica, el titular otorga su autorizacion expresa para la transferencia internacional de sus datos personales y sensibles bajo las condiciones aqui descritas. 11. Encargados del Tratamiento iD Way Medical puede contratar proveedores de servicios tecnologicos que actuan como encargados del tratamiento de datos personales. Estos proveedores: - Estan vinculados contractualmente con obligaciones de confidencialidad y proteccion de datos. - Solo acceden a los datos estrictamente necesarios para la prestacion de sus servicios especificos (almacenamiento, envio de correos transaccionales, procesamiento de datos). - Cumplen con estandares de seguridad de la industria (cifrado, controles de acceso, auditorias). - No estan autorizados a utilizar los datos para fines propios ni a transferirlos a terceros. iD Way Medical supervisa a sus encargados del tratamiento y es responsable ante los titulares por el tratamiento de sus datos, conforme a la Ley 1581 de 2012. 12. Derechos del Titular (HABEAS DATA) De conformidad con el articulo 8 de la Ley 1581 de 2012, el titular de los datos personales tiene los siguientes derechos: a) Conocer: Acceder de forma gratuita a sus datos personales que hayan sido objeto de tratamiento. b) Actualizar: Solicitar la actualizacion de sus datos personales cuando estos sean parciales, inexactos, incompletos, fraccionados o induzcan a error. c) Rectificar: Solicitar la correccion de informacion que sea inexacta o este desactualizada. d) Solicitar prueba de autorizacion: Obtener prueba de la autorizacion otorgada para el tratamiento de sus datos. e) Revocar la autorizacion: Solicitar la revocatoria de la autorizacion otorgada para el tratamiento de sus datos, cuando no haya una obligacion legal o contractual vigente que lo impida. f) Solicitar la supresion: Solicitar la eliminacion de sus datos personales de las bases de datos de iD Way Medical, salvo cuando exista un deber legal o contractual de conservarlos. g) Presentar quejas: Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la Ley 1581 de 2012 y demas normas que la modifiquen, adicionen o complementen, previo tramite de consulta o reclamo ante iD Way Medical. h) Exportar datos: Solicitar una copia de sus datos personales en un formato estructurado y de uso comun. PROCEDIMIENTO PARA EJERCER SUS DERECHOS: 1. El titular debera enviar su solicitud al correo electronico contacto@idway.com.co, indicando: nombre completo, tipo y numero de documento de identidad, descripcion clara del derecho que desea ejercer, y datos de contacto para recibir respuesta. 2. iD Way Medical acusara recibo de la solicitud dentro de los dos (2) dias habiles siguientes a su recepcion. 3. Para consultas: iD Way Medical respondera en un termino maximo de diez (10) dias habiles contados a partir de la recepcion de la solicitud. Cuando no fuere posible atender la consulta en dicho plazo, se informara al titular los motivos de la demora y la fecha en que sera atendida, la cual en ningun caso podra superar los cinco (5) dias habiles siguientes al vencimiento del primer termino. 4. Para reclamos: iD Way Medical respondera en un termino maximo de quince (15) dias habiles contados a partir de la recepcion del reclamo completo. Cuando no fuere posible atender el reclamo en dicho plazo, se informara al titular los motivos de la demora y la fecha en que sera atendido, la cual en ningun caso podra superar los ocho (8) dias habiles siguientes al vencimiento del primer termino. 5. Si el titular no esta satisfecho con la respuesta, podra presentar queja ante la Superintendencia de Industria y Comercio (SIC), conforme al articulo 16 de la Ley 1581 de 2012. 13. Datos Compartidos con Terceros iD Way Medical NO vende, alquila ni comercializa datos personales o sensibles de sus usuarios. Los datos solo se comparten en los siguientes escenarios: a) Situaciones de emergencia: La informacion configurada por el usuario como accesible al escanear el codigo QR sera visible para cualquier persona que realice dicho escaneo, con la finalidad exclusiva de facilitar atencion medica de emergencia. b) Proveedores de infraestructura: Con los encargados del tratamiento estrictamente necesarios para la operacion de la Plataforma (almacenamiento, envio de correos, procesamiento), bajo contratos de confidencialidad y proteccion de datos. c) Requerimiento legal: Cuando una autoridad judicial o administrativa competente lo requiera mediante orden debidamente motivada, conforme a la legislacion colombiana vigente. d) Proteccion de derechos: Cuando sea necesario para proteger los derechos, la propiedad o la seguridad de iD Way Medical, sus usuarios o terceros. 14. Conservacion y Eliminacion de Datos Los datos personales se conservaran bajo las siguientes reglas: - Mientras la cuenta del titular se encuentre activa en la Plataforma. - Tras una solicitud de eliminacion de cuenta, los datos seran eliminados en un plazo maximo de treinta (30) dias calendario, excepto aquellos que iD Way Medical deba conservar por obligacion legal. - Los registros anonimizados de estadisticas agregadas podran conservarse indefinidamente, ya que no permiten identificar a ninguna persona. - Los datos que deban conservarse por obligacion legal se mantendran por el periodo exigido por la norma aplicable, con acceso restringido y exclusivamente para cumplir dicha obligacion. - Los respaldos automaticos de la base de datos se depuraran conforme al ciclo operativo establecido por iD Way Medical. 15. Menores de Edad De conformidad con el articulo 7 de la Ley 1581 de 2012 y la jurisprudencia de la Corte Constitucional, el tratamiento de datos personales de menores de edad se realizara bajo las siguientes condiciones: - Se requiere la autorizacion expresa del padre, madre o representante legal debidamente acreditado. - El tratamiento respondera y respetara el interes superior de los ninos, ninas y adolescentes. - Se asegurara el respeto de los derechos fundamentales del menor. - La informacion del menor sera ingresada y gestionada exclusivamente por su representante legal a traves de la Plataforma, quien podra activar y administrar un accesorio iD Way Medical vinculado al perfil del menor desde su propia cuenta de usuario. - El representante legal que gestione perfiles de menores de edad asume la responsabilidad plena sobre la veracidad, actualizacion y uso adecuado de la informacion medica registrada para el menor. 16. Notificacion de Incidentes de Seguridad En caso de que iD Way Medical detecte un incidente de seguridad que comprometa la confidencialidad, integridad o disponibilidad de los datos personales de los titulares, se procedera de la siguiente manera: a) Se contendra y evaluara el alcance del incidente en el menor tiempo posible. b) Se notificara a los titulares afectados a traves de los medios de contacto disponibles (correo electronico registrado en la cuenta), informando la naturaleza del incidente, los datos potencialmente comprometidos, las medidas adoptadas y las recomendaciones para proteger su informacion. c) Se reportara el incidente a la Superintendencia de Industria y Comercio (SIC) conforme a la normatividad vigente. d) Se implementaran las medidas correctivas y preventivas necesarias para evitar la recurrencia del incidente. 17. Modificaciones a la Politica iD Way Medical se reserva el derecho de modificar la presente politica en cualquier momento. Las modificaciones seran notificadas a los usuarios a traves de la Plataforma, solicitandose nueva aceptacion al momento de su siguiente ingreso. El usuario podra no aceptar las modificaciones, caso en el cual podra solicitar la eliminacion de su cuenta. 18. Contacto Para cualquier consulta, reclamo, peticion o ejercicio de derechos relacionados con la proteccion de datos personales, el titular podra comunicarse a traves de: Correo electronico: contacto@idway.com.co Empresa: iD Way S.A.S. BIC Domicilio: Bucaramanga, Santander, Colombia Sitio web: idway.com.co Fecha de vigencia de la presente politica: Abril de 2026.