POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES CARDIOVIDA COLOMBIA S.A.S.
La presente política de tratamiento de datos personales se basa en lo consagrado en la Ley 1581 de 2012, el Decreto Reglamentario 1377 de 2013, en concordancia con la Constitución Política de Colombia y demás disposiciones aplicables a la materia, junto con sus modificaciones, supresiones, ampliaciones y correcciones.
En cumplimiento de las normas tendientes a regular el tratamiento de datos personales y promoviendo el respeto de los derechos del titular de la información, CARDIOVIDA COLOMBIA S.A.S, en adelante “CARDIOVIDA” adopta la siguiente política de privacidad y tratamiento de datos personales (la “política”) de obligatorio cumplimiento en todas las actividades que desarrolle la sociedad, que involucre el tratamiento de datos personales.
CARDIOVIDA es una Institución Prestadora de servicios de salud con carácter privado, responsable del tratamiento de los datos personales de sus usuarios, pacientes, representantes del paciente, colaboradores, contratistas y demás personas que puedan tener contacto con la compañía , por tal motivo, será necesaria la recolección y el tratamiento de dicha información respecto de todas las personas, que se encuentren en proceso de vinculación contractual de cualquier naturaleza con la sociedad, con el propósito de ejecutar de la manera más adecuada sus actividades sociales, administrativas, contractuales y comerciales.
Para CARDIOVIDA es muy importante mantener la confianza de las diferentes partes interesadas, por ello, está comprometida en realizar un tratamiento de datos personales acorde con lo que establece la normatividad colombiana en materia de protección de datos personales, permitiéndole paralelamente desarrollar sus actividades orientadas al logro de sus objetivos estratégicos.
Esta política permite a los titulares identificar al Responsable del tratamiento, las finalidades utilizadas por este para realizar el tratamiento de los datos personales, conocer sus derechos y los canales de atención dispuestos por el Responsable del tratamiento para que puedan elevar consultas y reclamos frente a un posible mal tratamiento de sus datos personales.
Glosario:
Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Titular: persona natural cuyos datos personales sean objeto de tratamiento.
Autorización: consentimiento previo, expreso e informado del titular para llevar a cabo el Tratamiento de datos personales.
Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
Base de datos: conjunto organizado de datos personales que sea objeto de Tratamiento.
Responsable del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos.
Encargado del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
Dato público: es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas.
Dato semiprivado: es el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general.
Dato privado: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
Dato sensible: se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
CARDIOVIDA COMO RESPONSABLE DEL TRATAMIENTO DE DATOS
CARDIOVIDA COLOMBIA S.A.S, identificada con NIT 900480482-1 actúa frente al cumplimento de la Ley 1581 de 2012 sobre protección de datos personales como el Responsable del tratamiento de sus datos. Es una sociedad comercial de naturaleza privada, con domicilio principal en el municipio de Rionegro Antioquia y tiene como objeto social: La prestación de servicios médicos de cardiología y ayudas diagnósticas cardiovasculares, comercialización de equipos biomédicos, tanto en el mercado nacional como internacional (importaciones y exportaciones), así mismo la realización de cualquier otra actividad económica lícita tanto en Colombia como en el extranjero. Ahora, la sociedad podrá llevar a cabo, en general, todas las operaciones, de cualquier naturaleza que ellas fueren, relacionadas con el objeto mencionado, así como cualquier actividad similar, conexa o complementaria o que permitan facilitar o desarrollar el comercio o la industria de la sociedad.
CARDIOVIDA, como responsable del tratamiento de datos personales, cuenta con una sede principal ubicada en la Carrera 55 A # 35-227 City Médica Torre 1. Consultorio 515 Rionegro, Antioquia, y tres sedes o puntos de atención ubicados así: Sede Medellín: Cl. 2 #20-50, of 505 barrio El Poblado, Medellín, sede dentro de la Clínica de la Ceja Antioquia Km 0.8 Vía Pontezuela, Vereda San Nicolás, y sede ubicada en el Hospital San Juan de Dios de Rionegro en la Carrera 48 # 56-59. Teléfono principal (320) 567-6831, correo electrónico [email protected], y sitio web www.cardiovida.com.co El tratamiento de los datos personales de las diferentes partes interesadas de CARDIOVIDA es realizado bajo el marco de los principios rectores de legalidad en el tratamiento, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad, todos ellos definidos en el artículo 4 de Ley 1581 de 2012
DEBERES
- Garantizar al Titular, el ejercicio del derecho de hábeas data.
- Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la respectiva autorización otorgada por el Titular.
- Informar al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
- Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o
fraudulento. - Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
- Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las novedades respecto de los datos que previamente le haya
suministrado y adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada. - Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento.
- Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la ley 1581 de 2012.
- Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
- Tramitar las consultas y reclamos formulados en los términos señalados en la ley 1581 de 2012.
- Adoptar un procedimiento para garantizar el adecuado cumplimiento de la ley 1581 de 2012 y en especial, para la atención de consultas y reclamos.
- Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo. - Informar a solicitud del Titular sobre el uso de sus datos.
- Informar a la autoridad competente cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los
Titulares. - Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio en materia de cumplimiento de protección de datos.
- Cumplir las instrucciones que imparta el Ministerio de Salud y la Secretaría de Salud Local.
CARDIOVIDA COMO ENCARGADO DEL TRATAMIENTO DE DATOS
TRATAMIENTO DE LOS DATOS PERSONALES
El tratamiento que CARDIOVIDA realiza como Responsable del tratamiento a los datos personales de sus diferentes partes interesadas, comprende la recolección, almacenamiento, uso, circulación y eliminación de estos.
Recolección
Se realiza la recolección de datos personales a través de diferentes medios, entre los que se encuentran formularios físicos, electrónicos dispuestos en el sitio web, formatos físicos utilizados por los empleados y contratistas de diferentes áreas en las cuales es necesaria la recolección, línea celular, WhatsApp, videovigilancia, correo electrónico.
Entre los datos personales que CARDIOVIDA recolecta de los titulares para el desarrollo de su objeto social están: número de identificación, nombres y apellidos, correo electrónico, número de teléfono fijo y móvil, aseguradora, tipo sanguíneo, fecha de nacimiento, ciudad, departamento, país, sexo, estado de salud, edad.
Almacenamiento
El almacenamiento que realiza CARDIOVIDA a los datos personales recolectados es en un alto grado a través de servicios de computación en la nube, así como de manera física, posibilitando que los empleados y contratistas autorizados tengan acceso permanente a estos para el desarrollo de las actividades de la empresa
Uso
La compañía usa los datos recolectados en concordancia con el principio de finalidad, proporcionalidad y necesidad requeridos para el cumplimiento de su objeto social. Cuando un tercero deba hacer uso de los datos personales recolectados por CARDIOVIDA para realizar una labor para esta, actuará en calidad de Encargado del tratamiento, y deberá usar los datos teniendo presente las finalidades definidas por CARDIOVIDA, las cuales se encuentran descritas en la presente política de protección de datos personales.
Circulación
CARDIOVIDA en el desarrollo de su objeto social puede establecer contratos y convenios con diferentes aseguradoras, instituciones o proveedores con los cuales le sea necesario compartir bases de datos con información personal o permitirles el acceso a estos. Cuando esto ocurra, CARDIOVIDA propenderá por asegurar que se incluya lo respectivo a la transmisión de datos personales como parte de los requisitos que deberá contener cada alianza en el cual se presente la circulación de datos personales.
Supresión
CARDIOVIDA eliminará los datos personales una vez cumplida la finalidad para la cual se recolectaron o a solicitud del Titular, en cualquier caso, verificará en primera instancia que no exista un deber legal de conservarlos.
En todo caso la eliminación total o parcial, estará sujeta a lo reglamentado por la normatividad vigente y aplicable a lo que los registros médicos se refieren. Siendo esta una causal de impedimento para acceder a lo solicitado por el titular, por cuanto la eliminación total o parcial de la información personal podría ser parte integral de documentos integrantes del acto médico, sin perjuicio de las demás personas a las cuales se dirige la presente política.
Así mismo, CARDIOVIDA podrá negar la solicitud de supresión cuando el dato sea necesario, en atención al deber legal o contractual que le asiste o, si la solicitud de eliminación obstaculiza actuaciones judiciales o administrativas o cuando los datos sean necesarios para proteger los intereses jurídicamente tutelados del Titular.
En caso de que aplique la eliminación de los datos, CARDIOVIDA realizará la supresión del(os) dato(s) de tal manera que la eliminación no permita la recuperación de la información.
FINALIDADES TRATAMIENTO A LOS DATOS PERSONALES
Las finalidades indicadas en esta política, así como en los formularios, formatos físicos y electrónicos utilizados para la recolección y posterior uso de los datos personales de sus diferentes partes interesadas fueron identificadas durante el levantamiento del inventario de las bases de datos, y están definidas acorde con los propósitos y necesidades que CARDIOVIDA requiere para el desarrollo de su objeto social. A continuación se detallan las principales finalidades:
- Atención médica ambulatoria, consulta externa, servicios y ayudas diagnósticas
- Transcripción de imágenes diagnósticas
- Admisión de pacientes, programación y cancelación de citas o procedimientos médicos
- Atender las solicitudes de servicios que provengan tanto de los usuarios directamente como por terceros como por ejemplo entidad pública o privada.
- Tratamiento de datos estadísticos, históricos o científicos.
- Desarrollar actividades comerciales y de mercadeo, tales como perfilamiento de clientes, trazabilidad de servicios prestados, envío de resultados médicos, publicidad, promociones, ofertas, novedades, descuentos, investigación, generación de campañas y eventos de marca propia, gestión de redes sociales y comunicaciones internas y externas.
- Efectuar la gestión pertinente para el desarrollo de la etapa precontractual, contractual y postcontractual de cualquier titular con CARDIOVIDA, respecto de cualquier proceso de contratación o referente a los servicios ofrecidos por esta.
- Relacionamiento con clientes, proveedores, accionistas y otros terceros con los cuales la empresa tenga relaciones contractuales, comerciales o legales;
- Informar, transferir y/o transmitir datos personales dentro y fuera del país a terceros como consecuencia de un contrato, ley o vínculo lícito que así lo requiera, o para usar e implementar servicios de computación en la nube.
- Gestionar consultas, solicitudes, peticiones, quejas y reclamos relacionados con los servicios ofrecidos por CARDIOVIDA.
- Verificar la identidad del titular, realizar estudios de seguridad y/o aplicar los protocolos de seguridad a fin de prevenir y mitigar el riesgo de fraude, lavado de activos y/o financiación del terrorismo si es del caso.
- Realizar actividades de orden tributario, contable, fiscal y de facturación
- Gestionar la información personal de los empleados, requerida para dar cumplimiento al código sustantivo de trabajo y demás normas vigentes aplicable en materia laboral, así como desarrollar actividades que se desprenden del sistema de gestión de seguridad y salud en el trabajo (SG-SST).
- Gestionar la inscripción, selección y contratación de proveedores y contratistas.
- Gestión del sistema de calidad en salud
- Los demás que contemple la Ley y que Cardiovida ha integrado dentro de sus procesos de atención de pacientes y usuarios
DERECHOS DE LOS TITULARES
- Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
- Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando expresamente se exceptúa como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
- Ser informado por el Responsable del Tratamiento o el Encargado del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
- Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen.
- Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o supresión procederá cuando la Superintendencia de Industria y Comercio haya determinado que en el Tratamiento el Responsable o Encargado han incurrido en conductas contrarias a Ley 1581 de 2012 y a la Constitución.
- Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento, sin perjuicio de los protocolos inherentes y la normatividad vigente,
respecto al manejo de historias clínicas.
MEDIDAS DE SEGURIDAD
Dando cumplimiento al principio de seguridad establecido en la vigente Ley 1581 de 2012 CARDIOVIDA adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento por parte de terceros. CARDIOVIDA adoptará una directriz general sobre estas medidas que serán de obligatorio acatamiento por parte de los destinatarios de esta política.
Para la aplicación de Historia Clínica se tienen estos elementos técnicos que ayudan a mejorar la seguridad:
- Acceso seguro a los servidores. Autenticación requerida con usuario y contraseña;
- Almacenamiento seguro de contraseñas en el servidor (SHA-256);
- Datos cifrados entre el cliente y el servidor (HTTPS/TLS). Certificados de confianza firmados por entidades autorizadas;
- Acceso restringido a los servidores y bases de datos.
- Auditoría de los datos modificados. Permite identificar qué usuario consulta, modifica o elimina datos de clientes/usuarios.
AUTORIZACIÓN
La recolección, almacenamiento, uso, circulación, transmisión o supresión de datos personales por CARDIOVIDA, requerirá del consentimiento previo, libre, informado y expreso del Titular de estos, salvo en los eventos expresamente establecidos en el artículo 6, 10 y 26 de la Ley 1581 de 2013 y el artículo 4º del Decreto 1377 de 2013, dentro de las que se destacan las siguientes excepciones:
- Atención médica de urgencias.
- Tratamiento de datos estadísticos, históricos o científicos.
Cualquiera sea el canal a través del cual se recolectan datos personales, Cardiovida aporta la información necesaria para que el Titular pueda identificar al Responsable del tratamiento, conocer los datos que se están recolectando, las finalidades específicas del tratamiento, los derechos que como Titular posee frente al tratamiento de sus datos personales e información sobre dónde consultar esta política de tratamiento de datos personales, en la cual podrá conocer las demás finalidades del tratamiento de sus datos personales.
Forma y Mecanismos para Otorgar la Autorización
La autorización podrá constar en un documento físico o electrónico o en cualquier otro formato que permita garantizar su posterior consulta, mediante un mecanismo técnico o tecnológico idóneo; con el que se pueda concluir con certeza, la manifestación de la recepción de la información por parte del Titular. No es necesario firmar una autorización una sobre documento físico o electrónico del Titular. En algunos casos, la autorización se puede obtener mediante aceptación de condiciones en una aplicación (software), o la respuesta aprobatoria, o ausencia de la misma a correos electrónicos enviados por CARDIOVIDA al Titular.
CANALES DE ATENCIÓN (CONSULTAS Y RECLAMOS)
Los canales dispuestos por CARDIOVIDA a través de los cuales pueden ejercer sus derechos, entre ellos a tramitar las peticiones, consultas y reclamos en materia de protección de datos personales, son; Sede principal: Carrera 55 A # 35-227 City Médica Torre 1. Consultorio 514 Rionegro, Antioquia y correo electrónico [email protected]
PROCEDIMIENTO PARA EL EJERCICIO DE SUS DERECHOS
- El Titular de los datos o su representante y/o apoderado puede ejercer sus derechos a consultar, actualizar, rectificar, suprimir y revocar la autorización a través de los siguientes procedimientos:
Procedimiento de consulta:
El titular o su representante y/o apoderado puede enviar la solicitud al correo [email protected] o ser presentada por medio escrito en la sede principal ubicada en la carrera 55 A # 35-227 City Médica Torre 1. Consultorio 514 Rionegro, Antioquia.
La solicitud debe incluir la siguiente información:
- Nombre completo del Titular con identificación respectiva.
- En caso de no ser el Titular, el representante y/o apoderado del Titular, debe adjuntar constancia de previa acreditación de la representación o apoderamiento.
- Adjuntar fotocopia del documento de identificación del Titular.
- Descripción de los hechos que dan lugar a la solicitud. (Opcional)
- Dirección de contacto para dar respuesta a la solicitud, cuando esta haya sido escrita en medio físico.
Pasos:
- Realizar la consulta específica a través de los canales dispuestos por CARDIOVIDA o por sus Encargados en la Política de tratamiento de datos personales, para que el Titular pueda hacer ejercer sus derechos.
- CARDIOVIDA es responsable entre otras de la atención de peticiones, consultas o reclamos, una vez recibida la consulta, iniciará la gestión correspondiente para dar respuesta en un plazo no mayor a 10 días hábiles, contados a partir de la fecha de recibida esta. Solo en caso de no ser posible atender la consulta dentro de los 10 días hábiles, informará al Titular o a su representante y/o apoderado explicándole las causas de la demora, e informando la nueva fecha en que se atenderá la consulta, la cual no podrá ser superior a 5 días hábiles.
- El Titular podrá solicitar a CARDIOVIDA una copia de la consulta realizada como evidencia de realización de esta.
NOTA: Según el artículo 16 de la ley de Protección de Datos, el Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento.
Procedimiento reclamos:
El titular o su representante y/o apoderado puede enviar la solicitud al correo [email protected] o ser presentada por medio escrito en la sede principal de ubicada en la carrera 55 A # 35-227 City Médica Torre 1. Consultorio 514 Rionegro, Antioquia
La solicitud debe incluir la siguiente información:
- Nombre completo del Titular con identificación respectiva.
- En caso de no ser el Titular, el representante y/o apoderado del Titular, debe adjuntar constancia de previa acreditación de la representación o apoderamiento.
- Adjuntar fotocopia del documento de identificación del Titular.
- Descripción de los hechos que dan lugar al reclamo. (opcional)
- Dirección de contacto para dar respuesta a la solicitud, cuando ésta haya sido escrita en medio físico.
Paso a paso:
- Realizar el reclamo específico a través de los canales dispuestos por CARDIOVIDA o por sus Encargados en la Política de tratamiento de datos personales, para que el Titular pueda hacer ejercer sus derechos.
- El reclamo se formulará mediante solicitud dirigida a CARDIOVIDA o a sus Encargados, con la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección y acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo, por mandato de la Ley. En caso de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
- Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
- El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
NOTA: Según el artículo 16 de la ley de Protección de Datos, el Titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o Encargado del Tratamiento
PERSONA O ÁREA RESPONSABLE DE LA PROTECCIÓN DE LOS DATOS PERSONALES
VIGENCIA
La presente política fue aprobada y publicada el día 19 de febrero de 2021 conforme lo previsto en las normas relativas al hábeas data expedidas por las autoridades nacionales correspondientes.
Actualización de la presente Política: 08 de junio de 2023.
La vigencia de la base de datos será el tiempo razonable y necesario para cumplir las finalidades del tratamiento teniendo en cuenta lo dispuesto en el artículo 11 del decreto 1377 de 2013.