Política de Privacidad y Tratamiento de Datos Personales

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recolectados a través de la Plataforma Amalia es:

• Razón social: Casa Orrego, Inc.
• Nombre comercial (DBA): Amalia
• Tipo societario: Corporation constituida bajo las leyes del Estado de Delaware, Estados Unidos
• Correo de contacto: privacidad@casaorrego.com
• Oficial de Protección de Datos: privacidad@casaorrego.com

Aunque Casa Orrego, Inc. está domiciliada en Estados Unidos, presta servicios dirigidos a residentes en la República de Colombia y, en consecuencia, somete el tratamiento de los datos personales de los titulares colombianos a la Ley 1581 de 2012, el Decreto 1377 de 2013 y demás normas concordantes del ordenamiento colombiano, conforme al artículo 26 de la misma Ley sobre transferencias internacionales. Esta política se expide en cumplimiento del artículo 17 de la Ley 1581 de 2012.

2. Definiciones

Para efectos de esta política, se entiende por:

• Titular: persona natural cuyos datos personales son objeto de tratamiento;
• Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación, supresión);
• Dato personal: cualquier información vinculada o asociable a una o varias personas determinadas o determinables;
• Dato sensible: aquel que afecta la intimidad del titular o cuyo uso indebido pueda generar discriminación (datos de salud, biométricos, orientación sexual, entre otros);
• Autorización: consentimiento previo, expreso e informado del titular para el tratamiento de sus datos;
• Encargado: persona natural o jurídica que realiza el tratamiento por cuenta del responsable;
• Habeas Data: derecho constitucional del titular a conocer, actualizar, rectificar y suprimir sus datos personales.

3. Datos personales tratados

Amalia recolecta y trata las siguientes categorías de datos personales del titular:

3.1 Datos de identificación

• Nombres y apellidos
• Tipo y número de documento de identidad
• Fecha de nacimiento, edad, sexo
• Dirección de residencia, ciudad, departamento
• Teléfono móvil, correo electrónico

3.2 Datos clínicos (sensibles)

• Peso, estatura, IMC, presión arterial, circunferencia de cintura
• Antecedentes médicos personales y familiares
• Medicamentos en uso, alergias
• Resultados de exámenes de laboratorio
• Historia clínica generada por el servicio
• Información sobre hábitos de alimentación, actividad física y sueño

3.3 Datos de pago

• Información de tarjeta o medio de pago (procesada por nuestra pasarela de pagos certificada)
• Historial de transacciones de la membresía

3.4 Datos de uso y técnicos

• Dirección IP, identificador de dispositivo, navegador
• Páginas visitadas, tiempos de sesión
• Cookies y tecnologías similares (ver sección 9)

4. Datos sensibles

Conforme al artículo 5 de la Ley 1581 de 2012, los datos de salud son considerados datos sensibles. Su tratamiento requiere autorización expresa y explícita del titular, salvo en los casos previstos por la ley (por ejemplo, urgencias médicas, finalidades históricas, estadísticas o científicas con datos anonimizados).

5. Finalidades del tratamiento

Los datos personales del titular se tratan para las siguientes finalidades:

1. Prestación del servicio médico: evaluación clínica, prescripción, seguimiento, generación y custodia de historia clínica.
2. Comunicación con el titular: envío de recordatorios, alertas de tratamiento, mensajería clínica.
3. Facturación y cobro: procesamiento de pagos de la membresía y gestión contable conforme a la normatividad tributaria.
4. Cumplimiento de obligaciones legales: reportes a entidades de salud, farmacovigilancia (INVIMA), cumplimiento de la Resolución 1995 de 1999 sobre historia clínica.
5. Mejora del servicio: análisis estadístico, calidad asistencial, investigación científica con datos anonimizados.
6. Mercadeo: envío de información comercial y educativa, previa autorización separada y revocable del titular en cualquier momento.
7. Seguridad y prevención de fraude: verificación de identidad, monitoreo técnico, prevención de uso indebido de la Plataforma.

6. Autorización del titular

El tratamiento de datos personales requiere autorización previa, expresa e informada del titular. La autorización se obtiene al momento del registro, mediante la aceptación de esta política, y en el caso de datos sensibles (salud), mediante consentimiento explícito adicional al iniciar el proceso clínico.

El titular puede revocar su autorización en cualquier momento siguiendo el procedimiento de la sección 8, sin que ello implique efectos retroactivos sobre tratamientos ya realizados conforme a la ley.

7. Derechos del titular

El titular de los datos personales tiene los siguientes derechos consagrados en el artículo 8 de la Ley 1581 de 2012:

• Conocer los datos personales que existen sobre él y solicitar copia de su historia clínica;
• Actualizar y rectificar datos parciales, inexactos, incompletos, fraccionados o que induzcan a error;
• Solicitar prueba de la autorización otorgada para el tratamiento de sus datos;
• Ser informado sobre el uso que se le ha dado a sus datos personales;
• Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la Ley 1581 de 2012;
• Revocar la autorización o solicitar la supresión de sus datos cuando no se respeten los principios y garantías constitucionales y legales;
• Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

8. Procedimiento para ejercer derechos

El titular puede ejercer sus derechos siguiendo este procedimiento:

1. Envío de la solicitud: escribir a privacidad@casaorrego.com con los siguientes datos:
   • Nombre completo y número de identificación;
   • Descripción clara de los hechos y derecho a ejercer;
   • Dirección de notificación (física o electrónica);
   • Documentos de soporte, si aplica.
2. Plazos de respuesta:
   • Consultas: diez (10) días hábiles, prorrogables por cinco (5) días más (artículo 14 Ley 1581/2012);
   • Reclamos: quince (15) días hábiles, prorrogables por ocho (8) días más (artículo 15 Ley 1581/2012).
3. Si la solicitud está incompleta, se requerirá al titular para completarla dentro de los cinco (5) días siguientes; transcurridos dos meses sin respuesta, se entenderá desistida.
4. Reclamación ante la SIC: si la respuesta no es satisfactoria, el titular puede acudir ante la Superintendencia de Industria y Comercio una vez agotado el trámite ante Amalia.

9. Cookies y tecnologías similares

La Plataforma utiliza cookies propias y de terceros con las siguientes finalidades:

• Cookies técnicas (esenciales): permiten el funcionamiento básico del sitio, autenticación y seguridad. No requieren autorización.
• Cookies de analítica: medir uso del sitio (Google Analytics 4) para mejorar la experiencia. Anonimizadas en la medida de lo técnicamente posible.
• Cookies de mercadeo: medir efectividad de campañas publicitarias (Meta Pixel, TikTok Pixel). Sólo se activan con autorización previa.

El usuario puede gestionar las cookies desde la configuración de su navegador o desde el panel de preferencias de la Plataforma.

10. Transferencia y transmisión de datos

Amalia podrá compartir datos personales con los siguientes terceros, exclusivamente para las finalidades autorizadas:

• Profesionales de la salud vinculados a Amalia (endocrinólogos, nutricionistas, enfermería) en Colombia;
• Proveedores tecnológicos: Vercel Inc. (Estados Unidos) para alojamiento web, Google LLC (Estados Unidos) para almacenamiento de formularios y mensajería transaccional, y otros proveedores bajo acuerdos de tratamiento que garantizan los principios de la Ley 1581;
• Autoridades competentes en cumplimiento de requerimientos legales (INVIMA, Ministerio de Salud, autoridades judiciales);
• Pasarela de pagos autorizada por la Superintendencia Financiera de Colombia, exclusivamente para procesar transacciones de la membresía;
• Farmacias autorizadas únicamente para verificar la autenticidad de la prescripción médica.

Las transferencias internacionales a Estados Unidos y otros países se realizan conforme al artículo 26 de la Ley 1581 de 2012, mediante cláusulas contractuales tipo o niveles adecuados de protección, y previa autorización del titular.

11. Seguridad de la información

Amalia implementa medidas técnicas, administrativas y físicas razonables para proteger los datos personales contra pérdida, uso indebido, acceso no autorizado, alteración o destrucción:

• Cifrado de datos en tránsito (TLS 1.2+) y en reposo;
• Control de acceso por roles y autenticación de dos factores para personal clínico;
• Registros de auditoría y monitoreo continuo;
• Acuerdos de confidencialidad con todo el personal y proveedores;
• Capacitación periódica en seguridad de la información y privacidad.

A pesar de estas medidas, ninguna plataforma puede garantizar seguridad absoluta. Si detectas una vulnerabilidad, escríbenos a seguridad@casaorrego.com.

12. Datos de menores de edad

Amalia no presta servicios a menores de 18 años. No recolectamos intencionalmente datos personales de menores. Si detectamos que se ha registrado un menor, procederemos a suprimir su cuenta y los datos asociados.

13. Vigencia y conservación

Los datos personales se conservan por el tiempo razonablemente necesario para cumplir las finalidades para las cuales fueron recolectados, atendiendo:

• Historia clínica: mínimo veinte (20) años contados a partir de la última atención, conforme a la Resolución 839 de 2017;
• Información de facturación: mínimo diez (10) años conforme al Estatuto Tributario;
• Datos comerciales: mientras esté vigente la relación o se mantenga la autorización del titular.

14. Modificaciones a esta política

Amalia podrá modificar esta política cuando lo considere necesario. Los cambios sustanciales serán notificados al titular con al menos quince (15) días de anticipación. El uso continuado de la Plataforma tras la entrada en vigencia constituye aceptación de la nueva política.

15. Atención al usuario y SIC

Para cualquier inquietud sobre tratamiento de datos personales:

• Correo: privacidad@casaorrego.com
• Empresa: Casa Orrego, Inc. (DBA Amalia) — Delaware, Estados Unidos
• Horario de atención: lunes a viernes, 8:00 a.m. – 6:00 p.m. (hora de Colombia)

Si consideras que tus derechos han sido vulnerados, también puedes presentar queja ante la Superintendencia de Industria y Comercio (SIC) — Delegatura para la Protección de Datos Personales, a través de su sitio web sic.gov.co.

16. Registro Nacional de Bases de Datos (RNBD)

Cuando la base de datos de Amalia alcance los umbrales establecidos por el Decreto 1377 de 2013 y la Circular Externa 002 de 2015 de la SIC, será registrada en el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio.

Esta política se rige por la Constitución Política de Colombia, la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto Único Reglamentario 1074 de 2015, la Circular Externa 002 de 2015 de la SIC y demás normas concordantes.