Política de Privacidad — Nexalud

NEXALUD S.A.S. Nit: 901.203.042-1

POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES

Historia Clínica Digital (HCD)

Versión 2.2 · mayo 2026 · Envigado, Antioquia

Reemplaza versiones 2.1 y anteriores

 
CampoDetalle
Razón SocialCOMERCIALIZADORA NEXALUD S.A.S.
NIT901.203.042-1
Versión2.2 – Versión final consolidada
Fecha de aprobación10 de mayo de 2026
Publicada enhttps://nexalud.com/politica-de-privacidad/
Canal de atenciónadmin@nexalud.com | WhatsApp 315 663 9846
Oficial de DatosRocio Durango – Representante Legal

IDENTIFICACIÓN DEL RESPONSABLE Y NATURALEZA JURÍDICA

COMERCIALIZADORA NEXALUD S.A.S. (en adelante Nexalud) es una empresa de tecnología que provee infraestructura y servicios en la nube (TI-IA) para que personas naturales gestionen y almacenen su información de salud de forma digital.

Nexalud no es una Institución Prestadora de Servicios de Salud (IPS), no emite diagnósticos médicos y no es el custodio legal de la historia clínica. La custodia legal recae exclusivamente en el prestador de servicios de salud o en el propio usuario, conforme a la Resolución 1995 de 1999 y sus modificaciones.

El acceso y uso de la plataforma HCD implica la aceptación total de la presente política. Nexalud actúa exclusivamente como proveedor tecnológico, garantizando que el usuario conserve en todo momento la titularidad y custodia integral de su información de salud.

MARCO NORMATIVO APLICABLE
NormaDescripción
Ley 1581 de 2012Protección de Datos Personales y Habeas Data. Régimen aplicable al tratamiento de datos sensibles de salud.
Decreto 1377 de 2013Reglamentación de la Ley 1581 en materia de autorización y aviso de privacidad.
Ley 1480 de 2011Estatuto del Consumidor. Regula la relación comercial entre Nexalud y sus usuarios.
Ley 2015 de 2020Interoperabilidad de Historia Clínica Electrónica. Reconoce al usuario como único titular de su información clínica.
Resolución 1995 de 1999Normas para el manejo de la historia clínica. La custodia corresponde al prestador de salud, no al proveedor tecnológico.
Resolución 839 de 2017Modifica la Res. 1995/1999. Manejo, custodia y disposición final de historias clínicas.
Resolución 866 de 2021Lineamientos de interoperabilidad de datos clínicos relevantes de la historia clínica electrónica.
Resolución 1888 de 2025Tratamiento de datos en salud y Resumen Digital de Atención (RDA).
Ley 23 de 1981Ética médica. Establece la reserva legal de la historia clínica y condiciones de divulgación.
Ley 1581 Art. 26Transferencia internacional de datos: exige autorización expresa del titular cuando los datos se transfieren a países sin nivel de protección adecuado.

DATOS PERSONALES RECOLECTADOS

Datos de identificación

  • Nombre completo
  • Número de cédula de ciudadanía (ID principal de comunicación en la plataforma)
  • Fecha de nacimiento
  • Correo electrónico
  • Número de celular
  • Ciudad de residencia

Datos sensibles de salud (requieren autorización expresa)

  • Historial clínico e historia clínica digital
  • Diagnósticos médicos y códigos CIE-10
  • Prescripciones y fórmulas médicas
  • Resultados de exámenes de laboratorio e imágenes diagnósticas
  • Signos vitales y medidas antropométricas
  • Antecedentes patológicos, quirúrgicos, farmacológicos y familiares
  • Datos biométricos (foto de perfil, cédula digitalizada)

Datos de uso de la plataforma

  • Dirección IP y datos de sesión
  • Registros de acceso y actividad en la plataforma
  • Metadatos de documentos subidos

FINALIDAD DEL TRATAMIENTO

  • Prestación del servicio tecnológico de Historia Clínica Digital (HCD).
  • Gestión, almacenamiento y organización de la información clínica del usuario.
  • Procesamiento mediante Inteligencia Artificial (IA) para importación automática de documentos clínicos y lectura de exámenes (ver sección de IA).
  • Cumplimiento de deberes legales de interoperabilidad según Ley 2015 de 2020.
  • Envío de notificaciones administrativas, alertas de citas y comunicaciones del servicio al correo registrado, únicamente cuando el usuario haya otorgado autorización expresa.
  • Fines estadísticos o científicos, únicamente con datos anonimizados, sin posibilidad de identificación del titular.
  • Atención de solicitudes, reclamos y ejercicio de derechos del titular.
  • Comunicaciones comerciales y promocionales, únicamente cuando el usuario haya autorizado expresamente esta finalidad de forma separada e independiente.

AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS SENSIBLES

En cumplimiento del artículo 9 de la Ley 1581 de 2012, el tratamiento de datos sensibles de salud requiere autorización expresa, previa e informada del titular. Esta autorización se obtiene mediante mecanismos de consentimiento explícito separados por finalidad en el formulario de registro de la plataforma, antes de que el usuario complete su inscripción:  
CheckboxTextoCarácterFinalidad
#1 — ObligatorioHe leído y acepto la Política de Privacidad y Tratamiento de Datos Personales de Nexalud S.A.S.Obligatorio. Sin esta marca el registro no puede completarse.Habilita el tratamiento de datos para la prestación del servicio.
#2 — OpcionalAutorizo recibir notificaciones, alertas y comunicaciones del servicio al correo electrónico registrado.Opcional. El usuario puede registrarse sin marcarlo.Habilita el envío de comunicaciones por correo electrónico.

REGISTRO TÉCNICO: El sistema debe guardar por cada usuario: fecha y hora del registro, dirección IP, y estado de cada checkbox. Este registro constituye la prueba de autorización exigida por la SIC ante cualquier requerimiento.

Revocación de autorización  El usuario puede revocar cualquiera de las autorizaciones en cualquier momento escribiendo a soporte@nexalud.com con su número de cédula como asunto. La revocación del checkbox #1 implicará la suspensión del servicio y exportación de los datos al titular. La revocación del checkbox #2 implicará únicamente la exclusión de comunicaciones por correo, sin afectar el servicio.

Consentimiento para menores de edad

En cumplimiento del artículo 7 de la Ley 1581 de 2012, el tratamiento de datos de menores de edad requiere autorización del padre, madre o representante legal. Para registrar a un menor en la plataforma:
  • El registro debe ser realizado por el padre, madre o representante legal, no por el menor.
  • El representante legal declara su condición al momento del registro mediante campo específico en el formulario.
  • Nexalud podrá solicitar en cualquier momento documentación que acredite la representación legal.
  • El representante legal asume plena responsabilidad por el uso de la plataforma en nombre del menor.
  • El menor, al cumplir la mayoría de edad, podrá solicitar la titularidad directa de su cuenta mediante soporte@nexalud.com.

TRANSFERENCIA INTERNACIONAL DE DATOS — USO DE INTELIGENCIA ARTIFICIAL IA

En el marco del servicio de importación de historia clínica con IA y lectura de exámenes con IA (disponible en el Plan Premium), Nexalud utiliza la API de Anthropic, Inc. (548 Market St PMB 90375, San Francisco, CA 94104, EE.UU.) para procesar los documentos PDF que el usuario sube voluntariamente a la plataforma.   Alcance de la transferencia 
  • Los documentos PDF son enviados a los servidores de Anthropic para su procesamiento automático mediante el modelo de IA Claude.
  • Anthropic actúa como Encargado del Tratamiento (procesador de datos); Nexalud actúa como Responsable del Tratamiento.
  • Anthropic procesa estos datos exclusivamente para generar la extracción estructurada solicitada.
  • Los datos se transmiten con cifrado TLS de extremo a extremo en tránsito.

Garantía de no entrenamiento con datos de la API

Conforme a los Términos Comerciales de Servicio de Anthropic (Commercial Terms of Service), Anthropic no utiliza los datos de entrada ni de salida procesados a través de la API comercial para entrenar sus modelos de inteligencia artificial. Esta garantía aplica por defecto a todos los clientes de API y no requiere configuración adicional.
VERIFICACIÓN: Centro de Privacidad de Anthropic: https://privacy.claude.com/en/articles/7996868 | Términos Comerciales: https://www.anthropic.com/legal/commercial-terms — Nexalud conserva copia fechada de estos documentos.  Limitaciones y advertencia sobre la IA  Los modelos de inteligencia artificial pueden cometer errores en la interpretación de documentos clínicos (fenómeno conocido como 'alucinación'). En consecuencia:
  • Los resultados generados por la IA son de carácter orientativo y de apoyo a la organización documental, NO constituyen diagnósticos médicos ni reemplazan el criterio profesional.
  • El usuario es responsable de verificar y validar la información extraída por la IA antes de incorporarla a su historial.
  • Nexalud no responde por decisiones médicas o de salud tomadas con base en la información procesada por la IA.
  • En caso de discrepancia entre el documento original y la extracción de la IA, prevalece siempre el documento original.

Consentimiento y alternativa sin IA

Al activar las funciones de IA en la plataforma, el usuario otorga autorización expresa para esta transferencia internacional conforme al artículo 26 de la Ley 1581 de 2012. El usuario que no desee esta transferencia puede usar la plataforma en modo manual (Plan Básico) sin que sus datos sean procesados por IA.

Cesión del negocio

En caso de fusión, adquisición, venta total o parcial del negocio de Nexalud, los datos personales de los usuarios podrán ser transferidos al nuevo responsable del tratamiento, bajo las mismas condiciones de protección establecidas en esta política. Nexalud notificará a los usuarios con mínimo 30 días de anticipación mediante correo electrónico, informando la identidad del nuevo responsable y las opciones disponibles, incluyendo la posibilidad de solicitar la supresión de sus datos antes de la transferencia.

SEGURIDAD DE LA INFORMACIÓN Y RESPALDO
ControlDescripción
Protección Perimetral (WAF)Wordfence Premium: bloquea ataques de fuerza bruta, inyección de código y bots en tiempo real.
Control de Acceso (2FA)Autenticación de Doble Factor obligatoria para el administrador, vinculada a dispositivo móvil único.
Robustez de ContraseñasMínimo 12 caracteres con mayúsculas, minúsculas, números y caracteres especiales. Validación contra filtraciones globales. Bloqueo de IP por 30 minutos tras 5 intentos fallidos.
Verificación HumanaCaptcha matemático para prevenir accesos automatizados (bots).
Cifrado de TransporteCertificados SSL/TLS (HTTPS) en toda comunicación con la plataforma.
Cifrado en ReposoAlmacenamiento en disco cifrado en servidor independiente.
Backup DiarioCopias de seguridad automáticas cada 24 horas con corte a las 11:00 p.m. Restauración garantizada en máximo 24 horas hábiles desde la detección del evento.
Gestión de IncidentesAnte violación de seguridad: notificación a titulares afectados y a la SIC dentro de los quince (15) días hábiles siguientes a la detección, conforme a la Ley 1581 de 2012.

DERECHOS DEL TITULAR

Conforme al artículo 8 de la Ley 1581 de 2012 y la Ley 2015 de 2020, el titular tiene derecho a:
Conocer: Acceder gratuitamente a sus datos personales almacenados en la plataforma.
Actualizar y rectificar: Corregir datos inexactos, incompletos o desactualizados.
Suprimir: Solicitar la eliminación de sus datos cuando no medie deber legal de permanencia.
Prueba de autorización: Solicitar copia del consentimiento otorgado a Nexalud, incluyendo el registro de checkboxes marcados al momento del registro.
Portabilidad: Obtener su información en formato PDF estándar para trasladarla a otras plataformas conforme a la Ley 2015 de 2020. Este derecho se mantiene activo hasta el día 365.
Revocar autorización: Retirar el consentimiento para el tratamiento de datos sensibles o para el envío de comunicaciones, de forma independiente.
Presentar quejas: Acudir ante la Superintendencia de Industria y Comercio (SIC) cuando considere que se han vulnerado sus derechos.

Para ejercer cualquiera de estos derechos, escribir a admin@nexalud.com con el número de cédula como asunto.
Las solicitudes por WhatsApp no tendrán validez para efectos de Habeas Data — ese canal es exclusivo de soporte técnico. Tiempos de respuesta: consultas, máximo 10 días hábiles; reclamos, máximo 15 días hábiles.

COOKIES Y DATOS DE NAVEGACIÓN

La plataforma utiliza cookies técnicas necesarias para el funcionamiento del servicio (gestión de sesión, seguridad, autenticación). No se utilizan cookies de rastreo publicitario ni se comparten datos de navegación con terceros para fines comerciales.
Tipo de cookieFinalidadDuraciónObligatoria
Sesión (session_token)Mantener la sesión activa del usuario autenticadoHasta cerrar sesión
Seguridad (csrf_token)Prevenir ataques de falsificación de solicitudesPor sesión
Preferencias (wp_*)Recordar configuraciones del usuario en la plataforma30 días

El usuario puede configurar su navegador para rechazar cookies, aunque esto puede afectar el funcionamiento de la plataforma. No se requiere consentimiento adicional para cookies técnicas necesarias conforme a la normativa vigente.


REGISTRO NACIONAL DE BASES DE DATOS (RNBD)


En cumplimiento de la Ley 1581 de 2012 y el Decreto 1074 de 2015, NEXALUD S.A.S. garantiza la protección de los datos personales tratados en sus operaciones. De acuerdo con la normativa vigente, la sociedad se encuentra exenta de la obligación de inscripción en el Registro Nacional de Bases de Datos (RNBD) por no cumplir con los topes de activos exigidos; no obstante, mantiene a disposición de los titulares su Política de Tratamiento de Información y los canales de atención.


VIGENCIA Y MODIFICACIONES


La presente política rige a partir de su publicación en https://nexalud.com/pol/ y permanece vigente hasta que sea modificada o sustituida. Cualquier modificación sustancial será comunicada a los usuarios registrados mediante correo electrónico con un mínimo de 30 días de antelación a su entrada en vigencia. El uso continuado de la plataforma tras la notificación implica la aceptación de la nueva versión.


Aprobada y publicada por:
Representante Legal / Oficial de Protección de Datos
Fecha: 10 de mayo de 2026


Versión 2.2

Para consultas escriba a soporte@nexalud.com. Los Términos y Condiciones de Uso están disponibles en nexalud.com/terminos/

⇐ ⇐ Inicio