Política de Tratamiento de Datos

El responsable del tratamiento de los datos personales recolectados a través del servicio Citaliza es:

• Razón social: Farallones Ventures SAS.
• NIT: [NIT].
• Domicilio principal: [Legal address], Colombia.
• Sitio web: citaliza.com.
• Canal de Peticiones, Quejas y Reclamos (PQR) — incluye solicitudes Habeas Data: pqr@citaliza.com.
• WhatsApp Business de contacto: +57 315 522 6931.

Conforme al Decreto 1377 de 2013, Farallones Ventures SAS no requiere designar un Oficial de Protección de Datos (Data Protection Officer) en esta etapa por operar con bases de datos de tamaño pequeño y sin tratamientos masivos de información sensible al público. El canal PQR unificado opera como punto de contacto para peticiones, quejas, reclamos y solicitudes Habeas Data.

• Titular: persona natural cuyos datos personales son objeto de tratamiento.
• Responsable del tratamiento: Farallones Ventures SAS (Citaliza) frente a los datos del profesional usuario; el profesional usuario es responsable frente a los datos de sus pacientes.
• Encargado del tratamiento: Citaliza, frente a los datos de pacientes que el profesional usuario administra a través de la plataforma.
• Tratamiento: cualquier operación sobre datos personales — recolección, almacenamiento, uso, circulación, supresión.
• Autorización: consentimiento previo, expreso e informado del titular para el tratamiento de sus datos.
• Datos sensibles: datos que afectan la intimidad del titular o cuyo uso indebido puede generar discriminación — incluyen datos relativos a la salud.

Citaliza trata datos personales para las siguientes finalidades operativas, vinculadas a la prestación del servicio:

3.1 Datos del profesional usuario

• Crear y administrar la cuenta del profesional usuario.
• Procesar pagos, emitir facturación electrónica DIAN y cumplir con obligaciones tributarias.
• Prestar soporte técnico y atención al cliente.
• Cumplir con obligaciones legales, contables y regulatorias.
• Enviar comunicaciones operativas sobre el servicio (cambios de funcionalidad, mantenimientos, actualizaciones de términos).
• Enviar comunicaciones comerciales sobre nuevos planes o features, condicionado a autorización separada del titular y con opción de revocatoria por cada envío.

3.2 Datos de pacientes administrados por el profesional usuario

• Permitir al profesional usuario gestionar las comunicaciones operativas con sus pacientes a través de WhatsApp Business — agendamiento, recordatorios, pagos, preguntas operativas.
• Generar, enviar y custodiar consentimientos informados firmados bajo Ley 527 de 1999.
• Custodiar la historia clínica conforme a la Resolución 1995 de 1999 — documento privado, obligatorio y sometido a reserva.
• Generar la trazabilidad técnica que el profesional usuario necesita para cumplir con auditorías de la SIC, requerimientos Colpsic o solicitudes Habeas Data de sus propios pacientes.

3.3 Lo que Citaliza no hace con tus datos

• No vende ni cede datos personales a terceros con fines comerciales.
• No entrena modelos de IA generales sobre los datos de pacientes sin consentimiento explícito y separado del usuario y, cuando aplique, del paciente.
• No accede a los datos clínicos de pacientes salvo cuando es estrictamente necesario para prestar soporte técnico al profesional usuario y bajo controles de acceso auditados.

4.1 Datos del profesional usuario

• Nombre, apellido, número de tarjeta profesional Colpsic, correo electrónico, número de teléfono celular, dirección de práctica, documento de identidad, RUT.
• Datos de pago — procesados por nuestros proveedores (Wompi, Stripe, MercadoPago, PSE, Nequi, Daviplata). Citaliza no almacena números completos de tarjetas de crédito en sus propios servidores.
• Datos de uso — logs de acceso, interacción con la plataforma, métricas operativas.

4.2 Datos de pacientes administrados por el profesional usuario

• Datos de identificación — nombre, número de documento, fecha de nacimiento.
• Datos de contacto — número de WhatsApp, correo electrónico.
• Datos sensibles relacionados con la salud — únicamente aquellos que el profesional usuario considere necesarios para la gestión operativa de la consulta (no datos clínicos profundos, no notas terapéuticas íntegras — la historia clínica completa queda bajo el alcance del profesional usuario en su rol como responsable).
• Historial de comunicaciones operativas — mensajes WhatsApp gestionados por el asistente IA, consentimientos firmados, registros de cita, pagos.

Conforme al artículo 8 de la Ley 1581 de 2012, los titulares tienen los siguientes derechos:

1. Consultar sus datos personales en cualquier momento.
2. Actualizar, rectificar o suprimir sus datos cuando sean parciales, inexactos, incompletos, fraccionados, induzcan a error o cuando su tratamiento esté prohibido o no autorizado.
3. Solicitar prueba de la autorización otorgada para el tratamiento.
4. Ser informados sobre el uso que se le ha dado a sus datos.
5. Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la Ley 1581 de 2012.
6. Revocar la autorización y solicitar la supresión de sus datos cuando el tratamiento no respete los principios, derechos y garantías constitucionales y legales.
7. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

6.1 Canal único

Todas las solicitudes Habeas Data, peticiones, quejas y reclamos se canalizan por:

• Correo: pqr@citaliza.com.
• WhatsApp Business: +57 315 522 6931.

6.2 Plazos de respuesta — Ley 1581 de 2012

• Consultas: hasta 10 días hábiles desde la recepción de la solicitud. En caso de no poder atenderse en ese plazo, se informa al titular los motivos y la fecha en que se atenderá, que en ningún caso superará los 5 días hábiles adicionales.
• Reclamos: hasta 15 días hábiles desde el día siguiente a la recepción del reclamo. En caso de no poder atenderse en ese plazo, se informa al titular los motivos y la fecha en que se atenderá, que en ningún caso superará los 8 días hábiles adicionales.

6.3 Procedimiento para reclamos

Si el titular considera que sus datos personales son objeto de tratamiento indebido, puede presentar reclamo cumpliendo con:

1. Identificación del titular (nombre, documento de identidad).
2. Descripción de los hechos que motivan el reclamo.
3. Dirección de notificación (correo electrónico o WhatsApp).
4. Documentos que soporten el reclamo, cuando aplique.

Si el reclamo está incompleto, Citaliza requiere al titular dentro de los 5 días hábiles siguientes para subsanar las fallas. Transcurridos 2 meses sin subsanación, se entiende desistido el reclamo.

Citaliza implementa medidas técnicas, humanas y administrativas para proteger los datos personales:

• Cifrado en reposo — datos almacenados con cifrado AES-256.
• Cifrado en tránsito — comunicaciones TLS 1.3.
• Controles de acceso — acceso por roles, autenticación multifactor para administradores, registros de auditoría.
• Infraestructura — alojada en Amazon Web Services (AWS) con la postura de cumplimiento documentada públicamente por AWS.
• Modelos de IA — operados a través de Anthropic con cláusulas contractuales de no-uso de datos para entrenamiento de modelos generales sin consentimiento explícito.
• Mensajería — operada a través de la API oficial de WhatsApp Business Cloud (Meta).
• Backups — copias de seguridad cifradas con retención conforme a las reglas Habeas Data y de historia clínica.

8.1 Transmisiones (a encargados)

Citaliza transmite datos a los siguientes encargados, todos con contratos de tratamiento de datos vigentes:

• Amazon Web Services (AWS) — almacenamiento e infraestructura (regiones AWS con compliance documentado).
• Anthropic — procesamiento de lenguaje natural para el asistente IA, con cláusulas de no-entrenamiento.
• WhatsApp / Meta Platforms — operación del canal de mensajería WhatsApp Business Cloud API.
• Procesadores de pago — Wompi, Stripe, MercadoPago, PSE, Nequi, Daviplata.
• Proveedor de correo transaccional — para envío de notificaciones operativas a usuarios y pacientes.

8.2 Transferencias internacionales

Algunos de los encargados mencionados procesan datos fuera de Colombia. Citaliza solo transfiere datos a países que ofrecen un nivel adecuado de protección conforme al concepto de la SIC, o cuando existe consentimiento expreso del titular para esa transferencia.

• Datos del profesional usuario: se conservan mientras la cuenta esté activa y durante 5 años después de la cancelación, conforme a obligaciones tributarias y contables. Vencido ese plazo, los datos se suprimen salvo obligación legal de conservación.
• Datos de pacientes: conforme a la Resolución 1995 de 1999, la historia clínica se conserva mínimo 20 años desde la última atención en establecimientos privados de salud. Citaliza mantiene la custodia técnica durante el tiempo que el profesional usuario lo requiera y respeta el plazo regulatorio mínimo.
• Consentimientos informados firmados bajo Ley 527 de 1999 — se conservan junto con la historia clínica conforme a la Resolución 1995 de 1999.

El asistente con IA de Citaliza opera en modo curador: redacta borradores de respuesta a mensajes operativos entrantes, y el profesional usuario revisa y aprueba cada respuesta antes de que se envíe al paciente. Ninguna respuesta se envía automáticamente sin la aprobación del profesional usuario, salvo que el propio usuario habilite expresamente una configuración futura y opcional de aprobación reducida para preguntas frecuentes estrictamente no clínicas.

El asistente con IA opera dentro del alcance que tendría un asistente administrativo humano:

• En alcance: agendamiento, recordatorios, pagos, preguntas frecuentes operativas (tarifas, ubicación, horario, modalidad, política de cancelación), envío de consentimientos.
• Fuera de alcance: consejos clínicos, interpretación de síntomas, diagnósticos, recomendaciones de tratamiento, intervención en crisis, discusión de medicación, interpretación terapéutica.

El paciente, en cualquier mensaje, puede solicitar hablar con el profesional humano — la conversación se escala de inmediato. El asistente IA también escala automáticamente cuando detecta una situación clínica, ambigua o fuera de alcance.

No-entrenamiento sin consentimiento: Citaliza no usa datos de pacientes para entrenar modelos de IA generales sin consentimiento explícito y separado del usuario y, cuando aplique, del paciente. Las mejoras al asistente con IA específico de Citaliza pueden incorporar señales operativas anonimizadas, sin reidentificación posible, conforme a esta política.

Citaliza no recolecta datos directamente de menores de edad. Cuando un paciente menor de edad es agendado a través de la plataforma, el profesional usuario es responsable de obtener la autorización del representante legal del menor conforme al Decreto 1377 de 2013.

Citaliza puede modificar esta Política de Tratamiento de Datos con aviso previo de treinta (30) días por correo electrónico a la dirección registrada del usuario. La versión vigente siempre estará disponible en /privacidad con la fecha de última actualización claramente visible.

La aceptación de esta Política de Tratamiento de Datos se realiza al marcar la casilla “Acepto la Política de Tratamiento de Datos” durante el flujo de registro, junto con los Términos y Condiciones. Esta aceptación constituye una manifestación de voluntad válida y vinculante conforme a la Ley 527 de 1999 sobre comercio electrónico y firma electrónica.

La autoridad de control en materia de protección de datos personales en Colombia es la Superintendencia de Industria y Comercio (SIC):

• Sitio web: www.sic.gov.co.
• Los titulares pueden presentar quejas ante la SIC cuando consideren que sus derechos Habeas Data han sido vulnerados y Citaliza no ha atendido satisfactoriamente sus solicitudes.

• Esta política rige a partir del 1 de junio de 2026, versión 1.0.
• Próxima revisión sugerida: cuando cambie la normativa aplicable o cuando un cambio operativo en la plataforma altere materialmente el alcance del tratamiento.
• Referencias legales: Ley 1581 de 2012, Decreto 1377 de 2013, Decreto 886 de 2014, Ley 1266 de 2008, Resolución 1995 de 1999, Ley 1090 de 2006, Ley 527 de 1999, Ley 1480 de 2011.

Para cualquier consulta, queja, reclamo o solicitud Habeas Data sobre esta política, escríbenos a pqr@citaliza.com o al WhatsApp Business +57 315 522 6931.