DoctorHoy S.A.S. | NIT 901.293.663-8

Politica de Tratamiento y Protección de Datos Personales

Versión 3.0 Manual Interno de Políticas y Procedimientos

Entrada en vigencia: 02 de mayo de 2026

Aprobada por: Gerencia y Representación Legal

Carmen Gaitán Villalba Gerente y Representante Legal

Registrada ante la Superintendencia de Industria y Comercio (RNBD)

1. Introducción

La presente Política de Tratamiento y Protección de Datos Personales (en adelante, la “Política”) establece los lineamientos, principios y procedimientos que DoctorHoy S.A.S., identificada con NIT 901.293.663-8, sociedad domiciliada en la ciudad de Cali, República de Colombia, aplica a toda actividad de tratamiento de datos personales, en su condición de Responsable y de Encargada del Tratamiento, conforme a la normatividad colombiana vigente.

Esta Política se dirige a todas las personas naturales cuyos datos personales hayan sido recolectados directamente por DoctorHoy a través de su sitio web, plataforma SaaS, formularios comerciales, canales digitales y de servicio al cliente, o que hayan sido suministrados a DoctorHoy en virtud de la prestación de los servicios de su producto FacturaHoy y demás soluciones del ecosistema DoctorHoy 360°.

Como compañía de salud digital, DoctorHoy reconoce que el tratamiento responsable de los datos personales y muy especialmente de los datos sensibles de salud constituye un pilar de confianza con los profesionales médicos, las Instituciones Prestadoras de Servicios de Salud (IPS) y los pacientes que se benefician indirectamente del uso de la plataforma.

2. Responsable del Tratamiento de Datos

Razón Social: DoctorHoy S.A.S.

NIT: 901.293.663-8

Domicilio: Cali, Valle del Cauca, República de Colombia

Representante Legal: Carmen Gaitán Villalba

Gerente y Representante Legal

Correo electrónico para asuntos de protección de datos: [email protected]

Sitio web oficial: www.doctorhoy.com

2.1. Doble rol de DoctorHoy en el tratamiento de datos

DoctorHoy actúa frente a los datos personales bajo dos calidades distintas, las cuales determinan el alcance de sus responsabilidades:

  • Como Responsable del Tratamiento: respecto de los datos personales de sus clientes (médicos, IPS, suscriptores), aspirantes laborales, empleados, ex empleados, proveedores, contratistas, visitantes del sitio web y suscriptores a comunicaciones comerciales, cuyos datos son recolectados directamente por DoctorHoy con finalidades propias.
  • Como Encargada del Tratamiento: respecto de los datos personales de pacientes y terceros que los profesionales de la salud, IPS y demás clientes (en calidad de Responsables) ingresan a la plataforma FacturaHoy y demás soluciones del ecosistema, en cuyo caso DoctorHoy actúa por cuenta y bajo las instrucciones del cliente, exclusivamente para los fines del servicio contratado.

Esta distinción es fundamental: cuando un médico o IPS registra datos clínicos de un paciente en FacturaHoy, el Responsable del Tratamiento es ese médico o IPS, y DoctorHoy actúa como Encargado, sin disponer de dichos datos para finalidades distintas a las contratadas, ni transferirlos a terceros sin autorización del Responsable.

2.2. Responsabilidades de DoctorHoy

En cumplimiento del artículo 17 de la Ley 1581 de 2012, DoctorHoy se compromete a:

  • Garantizar al Titular, en todo momento, el pleno y efectivo ejercicio del derecho de hábeas data.
  • Solicitar y conservar copia de la autorización otorgada por el Titular para el tratamiento de sus datos.
  • Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten.
  • Conservar la información bajo estrictas medidas de seguridad técnicas, administrativas y físicas para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
  • Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Actualizar y rectificar la información cuando corresponda y comunicar oportunamente los cambios a los Encargados, cuando aplique.
  • Tramitar las consultas, peticiones y reclamos formulados en los términos señalados por la ley.
  • Identificar cuando determinada información se encuentra en discusión por parte del Titular.
  • Informar a la Superintendencia de Industria y Comercio (SIC) cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información, dentro de los quince (15) días hábiles siguientes al momento en que se detecten los hechos, conforme a la Circular Externa 002 de 2024 de la SIC.
  • Cumplir con las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
  • Mantener actualizado el Registro Nacional de Bases de Datos (RNBD) ante la SIC.

2.3. Responsabilidades del Titular

  • Leer cuidadosamente la presente Política antes de suministrar sus datos personales. Suministrar información veraz, completa, exacta y actualizada.
  • Si actúa como cliente bajo contrato (médico, IPS u organización), revisar las cláusulas adicionales del contrato comercial o de licencia que pueden ampliar la información sobre el tratamiento.
  • Si suministra datos personales de terceros (por ejemplo, pacientes en su calidad de profesional de la salud), confirmar que cuenta con la autorización legal o contractual para hacerlo y que cumple, a su vez, con las obligaciones que la Ley 1581 de 2012 le impone como Responsable.

3. Marco Legal y Principios Rectores

La presente Política se elabora en cumplimiento de las siguientes normas y demás disposiciones que las modifiquen, adicionen o complementen:

3.1. Normatividad general en protección de datos

  • Constitución Política de Colombia, artículos 15 y 20.
  • Ley 1266 de 2008 – Habeas data financiero y crediticio.
  • Ley 1581 de 2012 – Régimen general de protección de datos personales.
  • Decreto 1377 de 2013 – Reglamentación parcial de la Ley 1581 de 2012.
  • Decreto 886 de 2014 – Registro Nacional de Bases de Datos.
  • Decreto 1074 de 2015 – Decreto Único Reglamentario del sector Comercio, Industria y Turismo.
  • Circulares Externas y Guías de la Superintendencia de Industria y Comercio.

3.2. Normatividad sectorial aplicable a salud y facturación electrónica

  • Resolución 1995 de 1999 del Ministerio de Salud – Manejo de la historia clínica y reserva legal.
  • Resolución 1557 de 2023 del Ministerio de Salud y Protección Social – Reglamenta aspectos de la facturación electrónica de servicios de salud.
  • Resolución 2275 de 2023 – Estructura de los Registros Individuales de Prestación de Servicios de Salud (RIPS).
  • Resolución 1888 de 2025 del Ministerio de Salud – Reglamenta la Interoperabilidad de la Historia Clínica Electrónica (IHCE) y los Repositorios de Datos Acreditados (RDA), aplicable a DoctorHoy en su rol como prestador de servicios tecnológicos en salud.
  • Resolución 000165 de 2023 de la DIAN y demás resoluciones aplicables a facturación electrónica, en virtud de la autorización de DoctorHoy como proveedor tecnológico.
  • Ley 2300 de 2023 – Ley de protección al consumidor frente a abusos en la comunicación, que regula los horarios y mecanismos de contacto comercial.
  • Ley 23 de 1981 y Ley 1751 de 2015 – Reserva profesional médica y derecho fundamental a la salud.

3.3. Principios rectores

DoctorHoy aplica los siguientes principios en todas sus operaciones de tratamiento, conforme al artículo 4 de la Ley 1581 de 2012:

  • Legalidad: el tratamiento es una actividad reglada por la ley.
  • Finalidad: el tratamiento obedece a una finalidad legítima informada al Titular.
  • Libertad: el tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del Titular.
  • Veracidad o calidad: la información debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
  • Transparencia: se garantiza al Titular el derecho a obtener información sobre la existencia de datos que le conciernan.
  • Acceso y circulación restringida: el tratamiento se sujeta a los límites derivados de la naturaleza de los datos.
  • Seguridad: se adoptan medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros.
  • Confidencialidad: todas las personas que intervienen en el tratamiento están obligadas a guardar reserva sobre la información, incluso después de finalizada su relación con DoctorHoy.
  • Temporalidad: los datos no se conservan por períodos superiores a los necesarios para cumplir con las finalidades del tratamiento.

4. Finalidades del Tratamiento

DoctorHoy podrá tratar los datos personales recolectados para las siguientes finalidades, según corresponda al tipo de Titular y al rol en que actúe:

4.1. Finalidades comerciales y contractuales

  • Ejecutar y dar cumplimiento a la relación contractual con clientes, proveedores, trabajadores y aspirantes, incluyendo el pago y cobro de obligaciones contractuales.
  • Proveer los servicios y productos contratados, especialmente FacturaHoy y las demás soluciones del ecosistema DoctorHoy 360°.
  • Procesar pagos, devoluciones, facturación y cobranza.
  • Gestionar el ciclo de vida del cliente: prospección, demostración, suscripción, soporte, renovación y cancelación.

4.2. Finalidades operativas y de mejora del servicio

  • Garantizar el correcto funcionamiento, disponibilidad, seguridad y rendimiento de la plataforma FacturaHoy y los demás servicios.
  • Realizar soporte técnico y servicio al cliente.
  • Realizar análisis estadísticos, estudios internos sobre uso de la plataforma y mejora continua del producto.
  • Desarrollar nuevas funcionalidades y mejorar la experiencia de usuario.
  • Atender requerimientos de auditoría interna o externa, así como auditorías de certificación (por ejemplo, ISO/IEC 27001).

4.3. Finalidades de comunicación y mercadeo

  • Informar a los clientes y suscriptores sobre nuevos productos, funcionalidades, actualizaciones, eventos, capacitaciones y contenidos relevantes para su práctica profesional.
  • Enviar comunicaciones comerciales, publicitarias o promocionales por correo electrónico, teléfono, mensajería instantánea (WhatsApp) o redes sociales, dentro de los horarios y bajo las condiciones establecidas por la Ley 2300 de 2023.
  • Realizar encuestas de satisfacción y calidad del servicio.
  • Segmentar audiencias y elaborar perfiles agregados para fines de marketing, sin que ello implique decisiones automatizadas con efectos jurídicos sobre el Titular.
  • Invitar a participar en eventos comerciales, ferias del sector salud, webinars y campañas conjuntas con aliados estratégicos.

4.4. Finalidades regulatorias y de cumplimiento

  • Cumplir con las obligaciones derivadas de la condición de DoctorHoy como proveedor tecnológico autorizado por la DIAN para la emisión de factura electrónica.
  • Reportar información a la DIAN, Ministerio de Salud y Protección Social, MinTIC, Superintendencia Nacional de Salud, Superintendencia de Industria y Comercio y demás autoridades competentes.
  • Cumplir con obligaciones tributarias, laborales, de seguridad social y comerciales aplicables.
  • Atender requerimientos judiciales, administrativos o de policía judicial.
  • Implementar protocolos de prevención de fraude, lavado de activos y financiación del terrorismo cuando corresponda.

4.5. Finalidades específicas para datos de salud (en calidad de Encargado)

Cuando DoctorHoy actúa como Encargado del Tratamiento de datos clínicos de pacientes ingresados por los clientes Responsables (médicos, IPS), el tratamiento se limita exclusivamente a:

  • Almacenar, procesar y custodiar la historia clínica electrónica generada en la plataforma, conforme a la Resolución 1995 de 1999.
  • Permitir la consulta, edición y descarga de la información por parte del Responsable autorizado.
  • Generar e intercambiar los Registros Individuales de Prestación de Servicios de Salud (RIPS) conforme a la Resolución 2275 de 2023.
  • Habilitar la interoperabilidad de la historia clínica electrónica conforme a la Resolución 1888 de 2025, cuando el cliente así lo decida y autorice.
  • Generar facturación electrónica de servicios de salud conforme a la Resolución 1557 de 2023.
  • Realizar copias de respaldo, restauración y continuidad operativa.

5. Tipos de Datos que Recolectamos

Según el tipo de Titular y la finalidad, DoctorHoy puede recolectar las siguientes categorías de datos personales:

Categoría Datos incluidos
Datos de identificación Nombres y apellidos, tipo y número de documento de identidad, número de tarjeta profesional, registro médico, especialidad, fecha de nacimiento, género, nacionalidad.
Datos de contacto Correo electrónico, teléfono fijo y celular, dirección de correspondencia, ciudad, departamento, país.
Datos profesionales Cargo, organización (IPS, consultorio, EPS), NIT, razón social, especialidad médica, sede, número de empleados, volumen de pacientes.
Datos financieros Información de facturación, número de cuenta bancaria, datos de tarjetas de crédito o débito (procesados a través de pasarelas de pago certificadas PCI-DSS), historial de pagos.
Datos de navegación y uso Dirección IP, identificadores de dispositivo, tipo y versión de navegador, sistema operativo, configuración de zona horaria, geolocalización aproximada, URL de acceso, páginas visitadas, tiempos de respuesta, errores del sistema, frecuencia de uso, módulos utilizados, fechas y horas de acceso, registros de auditoría.
Datos sensibles de salud (en calidad de Encargado) Historia clínica, antecedentes médicos, diagnósticos (CIE-10), procedimientos (CUPS), prescripciones, exámenes, imágenes diagnósticas, evolución clínica, datos biométricos cuando aplique. Estos datos son ingresados por el Responsable (médico/IPS) y DoctorHoy los trata bajo el contrato de Encargo del Tratamiento.
Datos de comunicaciones Contenido de tickets de soporte, transcripciones de llamadas de servicio al cliente (cuando el Titular lo autoriza), mensajes enviados a través de los canales oficiales.

5.1. Datos sensibles

Conforme al artículo 5 de la Ley 1581 de 2012, son datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar discriminación, tales como datos relativos a la salud, la vida sexual, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales o de derechos humanos, así como los datos biométricos. DoctorHoy reconoce que, dada la naturaleza de su servicio, trata datos sensibles de salud principalmente en su calidad de Encargada del Tratamiento. En estos casos: El Responsable (médico o IPS) es quien debe contar con la autorización previa, expresa e informada del paciente para el tratamiento de sus datos sensibles. DoctorHoy adopta medidas reforzadas de seguridad: cifrado en tránsito (TLS 1.3) y en reposo (AES-256), control de acceso basado en roles, registros de auditoría inmutables, y trazabilidad de cada consulta o modificación de la historia clínica. Cuando DoctorHoy recolecte directamente datos sensibles del Titular (por ejemplo, en formularios de la web), solicitará autorización expresa y le informará que no está obligado a suministrarlos.

5.2. Datos de menores de edad

DoctorHoy es una plataforma B2B y B2P (Business-to-Professional) dirigida a profesionales de la salud y organizaciones legalmente constituidas. No se recolectan deliberadamente datos personales de menores de 18 años a través de los formularios comerciales del sitio web. No obstante, dado que FacturaHoy se utiliza en consultas médicas, los profesionales clientes pueden registrar datos clínicos de pacientes menores de edad. En tales casos, el tratamiento responde al interés superior del menor (artículo 7 de la Ley 1581 de 2012) y debe contar con la autorización del representante legal del menor, obligación que recae en el Responsable (médico o IPS), no en DoctorHoy como Encargado.

6. Bases de Datos Administradas

DoctorHoy administra las siguientes bases de datos, todas inscritas en el Registro Nacional de Bases de Datos (RNBD) ante la Superintendencia de Industria y Comercio cuando corresponda:

6.1. Base de datos de clientes y suscriptores de FacturaHoy

Contiene los datos personales y empresariales de los profesionales de la salud, IPS y demás clientes que han suscrito una licencia de uso de FacturaHoy o de cualquier otro producto del ecosistema DoctorHoy. DoctorHoy actúa como Responsable. Su finalidad es la ejecución del contrato, soporte, facturación, cobranza y comunicación comercial.

6.2. Base de datos de pacientes y usuarios finales (en calidad de Encargado)

Contiene los datos personales y sensibles de salud de los pacientes registrados por los clientes en la plataforma. DoctorHoy actúa como Encargada del Tratamiento, conforme al contrato de licencia y al anexo de tratamiento de datos firmado con cada cliente. La información se aloja en infraestructura segura, con cifrado y controles de acceso, y no se utiliza para finalidades distintas a las contratadas por el Responsable.

6.3. Base de datos de prospectos y contactos comerciales

Contiene los datos de personas que han manifestado interés en los productos de DoctorHoy a través de formularios web, eventos, ferias o referidos. DoctorHoy actúa como Responsable y trata estos datos para fines de propección comercial, demostración del producto y comunicaciones de mercadeo, hasta que el Titular solicite su supresión o revoque la autorización.

6.4. Base de datos de empleados, ex empleados y aspirantes

Contiene la información del personal vinculado mediante contrato laboral, contratistas, practicantes y aspirantes que han postulado a vacantes. Se utiliza para gestionar la relación laboral, afiliaciones al Sistema de Seguridad Social Integral, nómina, certificaciones, bienestar, seguridad y salud en el trabajo, reportes a autoridades de control, y procesos de selección. La administra el área Administrativa y Financiera.

6.5. Base de datos de proveedores

Contiene la información personal y empresarial de las personas naturales y jurídicas que prestan servicios o suministran bienes a DoctorHoy. Se utiliza para gestión de pagos, retenciones, reportes tributarios y demás obligaciones contractuales y fiscales.

7. Autorización del Titular

De conformidad con el artículo 9 de la Ley 1581 de 2012, el tratamiento de datos personales requiere el consentimiento previo, expreso e informado del Titular.

7.1. Mecanismos de obtención de la autorización

DoctorHoy obtiene la autorización del Titular a través de los siguientes mecanismos:

  • Casilla de aceptación expresa (opt-in) en formularios web, durante el registro o suscripción a la plataforma.
  • Aceptación de los Términos y Condiciones de Uso y de la presente Política al momento de crear una cuenta.
  • Cláusulas de tratamiento de datos personales incorporadas en contratos comerciales, laborales y con proveedores.
  • Aviso de privacidad publicado en los puntos de captura de información.
  • Conductas inequívocas que permitan concluir razonablemente que el Titular otorgó su autorización (por ejemplo, entrega voluntaria de una tarjeta de presentación en un evento comercial).

7.2. Solicitud de autorización para nuevos usos

Si DoctorHoy requiere tratar datos personales para finalidades distintas a las informadas en esta Política, solicitará una nueva autorización expresa al Titular antes de iniciar el nuevo tratamiento. Dicha solicitud podrá realizarse por correo electrónico, mediante notificación dentro de la plataforma o por cualquier otro medio idóneo.

8. Derechos del Titular

De acuerdo con el artículo 8 de la Ley 1581 de 2012, los Titulares de los datos personales tienen los siguientes derechos:

Derecho Descripción
Conocer, actualizar y rectificar Acceder a sus datos personales y solicitar su corrección frente a información parcial, inexacta, incompleta, fraccionada o que induzca a error.
Solicitar prueba de la autorización Solicitar prueba del consentimiento otorgado, salvo cuando la ley exceptúe ese requisito.
Ser informado Recibir información, previa solicitud, sobre el uso que se ha dado a sus datos personales.
Presentar quejas Presentar quejas ante la Superintendencia de Industria y Comercio por infracciones a la Ley 1581 de 2012.
Revocar y suprimir Revocar la autorización y solicitar la supresión de sus datos cuando el tratamiento no respete los principios, derechos y garantías constitucionales y legales, salvo que exista un deber legal o contractual de conservación.
Acceso gratuito Acceder de forma gratuita a sus datos personales que hayan sido objeto de tratamiento, al menos una vez cada mes calendario.
Portabilidad (cuando aplique) Recibir, cuando técnicamente sea posible, una copia estructurada y de uso común de sus datos para portarlos a otro responsable.

9. Procedimiento para Ejercer los Derechos

9.1. Canales habilitados

Los Titulares pueden ejercer sus derechos a través de cualquiera de los siguientes canales, sin costo: Correo electrónico: [email protected] Formulario web: disponible en www.doctorhoy.com en la sección de Privacidad. Comunicación escrita: dirigida a la dirección física de DoctorHoy S.A.S. en Cali, a la atención del Área de Protección de Datos.

9.2. Consultas

Las consultas se atenderán en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá la consulta, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

9.3. Reclamos

El Titular o sus causahabientes que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un reclamo ante DoctorHoy, el cual se tramitará bajo las siguientes reglas:

  1. Presentación: el reclamo se formulará mediante solicitud que contenga la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección de notificación y los documentos que se quieran hacer valer.
  2. Subsanación: si el reclamo resulta incompleto, DoctorHoy requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
  3. Traslado por incompetencia: si DoctorHoy no es competente para resolver el reclamo, dará traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al interesado.
  4. Marca de reclamo en trámite: una vez recibido el reclamo completo, se incluirá en la base de datos la leyenda “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Esta leyenda se mantendrá hasta que el reclamo sea decidido.
  5. Decisión: el término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá, la cual no podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

9.4. Requisito de procedibilidad

El Titular solo podrá presentar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante DoctorHoy.

10. Seguridad de la Información

DoctorHoy adopta un Sistema de Gestión de Seguridad de la Información alineado con los principios de la norma ISO/IEC 27001, que incluye medidas técnicas, administrativas y físicas para proteger los datos personales contra acceso no autorizado, alteración, pérdida o destrucción. 10.1. Medidas técnicas: Cifrado de datos en tránsito mediante TLS 1.3. Cifrado de datos en reposo mediante AES-256. Autenticación de usuarios con políticas robustas de contraseñas y autenticación de doble factor (2FA) para perfiles administrativos y profesionales. Control de acceso basado en roles (RBAC), bajo el principio de mínimo privilegio. Registros de auditoría inmutables sobre creación, consulta, modificación y eliminación de información sensible. Copias de seguridad automatizadas, cifradas y geográficamente distribuidas. Pruebas periódicas de vulnerabilidades, penetration testing y análisis de seguridad. Protección perimetral (firewall, WAF, prevención de intrusiones, mitigación de ataques DDoS). Monitoreo continuo 24/7 de la infraestructura y los servicios. 10.2. Medidas administrativas: Cláusulas de confidencialidad y tratamiento de datos en todos los contratos laborales y con proveedores. Capacitaciones periódicas al personal en protección de datos personales y seguridad de la información. Procedimientos documentados de gestión de incidentes y notificación a autoridades competentes. Designación de un Oficial de Protección de Datos responsable del cumplimiento normativo. Auditorías internas y externas periódicas.

10.3. Notificación de incidentes de seguridad

En caso de detectarse un incidente de seguridad que afecte datos personales, DoctorHoy: Activará el plan de respuesta a incidentes para contener, mitigar y remediar el incidente. Notificará a la Superintendencia de Industria y Comercio dentro de los quince (15) días hábiles siguientes al momento en que se detecten los hechos, conforme a las instrucciones de la Circular Externa 002 de 2024 de la SIC. Informará a los Titulares afectados cuando el incidente represente un riesgo significativo para sus derechos y libertades. Cuando el incidente afecte datos clínicas custodiados en calidad de Encargado, notificará al Responsable (cliente médico o IPS) sin demora indebida. 10.4. Responsabilidad del usuario: Las credenciales de acceso (usuario y contraseña) son personales e intransferibles. El Titular es responsable de su custodia y confidencialidad. DoctorHoy no almacena contraseñas en texto plano; estas se cifran mediante algoritmos de hash con salt. Se recomienda el cambio periódico de contraseña, no compartirla con terceros y activar la autenticación de doble factor. Es responsabilidad del usuario mantener actualizados los controles de seguridad de sus equipos y redes (antivirus, sistema operativo, navegador). Si el Titular sospecha que su privacidad ha sido vulnerada, debe notificarlo de inmediato al correo [email protected].

11. Almacenamiento, Transferencia y Transmisión Internacional

11.1. Lugar de almacenamiento: Los datos personales se almacenan principalmente en infraestructura de nube de proveedores de clase mundial (Amazon Web Services y/o Microsoft Azure) con regiones de procesamiento certificadas bajo estándares internacionales (SOC 2, ISO 27001, ISO 27017, ISO 27018, HIPAA, entre otros). Para los datos de salud sujetos a la Resolución 1888 de 2025, DoctorHoy adopta las medidas necesarias para que el almacenamiento y procesamiento se realicen conforme a los lineamientos del Repositorio de Datos Acreditado (RDA). 11.2. Transferencia y transmisión internacional: DoctorHoy podrá transferir y transmitir datos personales fuera del territorio colombiano para los siguientes fines: (i) almacenamiento en servidores de proveedores de infraestructura en nube; (ii) prestación de servicios de soporte técnico; (iii) uso de herramientas de mercadeo, analítica y comunicación; (iv) cumplimiento de obligaciones contractuales o legales. En todos los casos, DoctorHoy verifica que el país receptor cuente con niveles adecuados de protección de datos conforme al artículo 26 de la Ley 1581 de 2012, o suscribe acuerdos contractuales que obliguen al receptor a observar los mismos estándares de protección que se aplican en Colombia. Con la aceptación de la presente Política, el Titular autoriza expresamente la transferencia y transmisión internacional de sus datos personales para los fines aquí descritos.

12. Período de Conservación de los Datos

DoctorHoy conserva los datos personales únicamente durante el tiempo necesario para cumplir con las finalidades para las cuales fueron recolectados, atendiendo las obligaciones legales, contractuales o regulatorias que le sean aplicables.

Tipo de dato Período de conservación Fundamento
Datos contractuales y comerciales de clientes Durante la vigencia del contrato y hasta 10 años posteriores a su terminación. Código de Comercio (art. 28) y Estatuto Tributario.
Datos de facturación electrónica Mínimo 5 años, sin perjuicio de plazos mayores establecidos por la DIAN. Estatuto Tributario y normativa DIAN.
Historia clínica electrónica (en calidad de Encargado) Mínimo 15 años contados a partir de la última atención, conforme determine el Responsable. Resolución 1995 de 1999 y Resolución 839 de 2017.
Datos de prospectos comerciales Hasta 2 años desde el último contacto, salvo revocación previa. Principio de temporalidad (Ley 1581/2012).
Datos laborales y de seguridad social Durante la vigencia del contrato y hasta 80 años posteriores, conforme normas laborales. Código Sustantivo del Trabajo y normas pensionales.
Datos de proveedores Durante la relación comercial y hasta 10 años posteriores. Código de Comercio y Estatuto Tributario.
Registros de navegación y cookies Hasta 24 meses, según el tipo de cookie. Política de cookies y mejores prácticas internacionales.

Vencidos estos plazos, los datos serán suprimidos o anonimizados de forma irreversible. Cuando exista una orden judicial, requerimiento de autoridad competente o necesidad legítima de conservación, los plazos podrán extenderse exclusivamente para esos fines.

13. Política de Cookies y Tecnologías Similares

El sitio web de DoctorHoy utiliza cookies y tecnologías similares (píxeles, etiquetas, almacenamiento local) para mejorar la experiencia del usuario, analizar el uso del sitio y personalizar el contenido. 13.1. Tipos de cookies utilizadas: Cookies estrictamente necesarias: indispensables para el funcionamiento del sitio (sesión, seguridad, balanceo de carga). No requieren consentimiento. Cookies de preferencia: permiten recordar elecciones del usuario (idioma, región). Cookies analíticas: ayudan a entender cómo se utiliza el sitio (Google Analytics, Hotjar u otras herramientas similares). Cookies de mercadeo y publicidad: permiten mostrar publicidad relevante en otros sitios (Meta Pixel, Google Ads, LinkedIn Insight Tag). 13.2. Gestión del consentimiento: Al ingresar al sitio web, el usuario podrá aceptar, rechazar o personalizar el uso de cookies a través del banner de consentimiento. El usuario puede modificar sus preferencias en cualquier momento y bloquear las cookies desde la configuración de su navegador. El bloqueo de ciertas cookies puede afectar la funcionalidad del sitio.

14. Comunicaciones Comerciales y Ley 2300 de 2023

En cumplimiento de la Ley 2300 de 2023, DoctorHoy adopta los siguientes principios para las comunicaciones comerciales: Las llamadas comerciales solo se realizan en días hábiles, dentro de los horarios permitidos por la ley. Toda comunicación comercial enviada por correo electrónico, SMS o mensajería instantánea incluye un mecanismo simple, gratuito e inmediato para que el Titular se desuscriba. DoctorHoy respeta de forma inmediata la solicitud de no recibir más comunicaciones comerciales y la registra en sus sistemas para evitar futuras interacciones de este tipo. DoctorHoy no realiza llamadas con fines comerciales a Titulares que hayan manifestado expresamente su voluntad de no recibirlas.

15. Tratamiento de Datos como Encargado: Anexo Contractual

Cuando un médico, IPS u organización suscribe un contrato de licencia con DoctorHoy para el uso de FacturaHoy o cualquier producto del ecosistema, se entiende celebrado un Acuerdo de Tratamiento de Datos en los términos del artículo 25 del Decreto 1377 de 2013, en virtud del cual: El cliente actúa como Responsable del Tratamiento de los datos personales y sensibles que ingresa a la plataforma (incluidos los datos clínicos de sus pacientes). DoctorHoy actúa como Encargada del Tratamiento, exclusivamente para los fines del servicio contratado. DoctorHoy se obliga a aplicar las medidas de seguridad descritas en la presente Política. DoctorHoy no utilizará los datos para finalidades distintas a las contratadas, no los comercializará y no los transferirá a terceros sin autorización del Responsable, salvo cuando deba hacerlo por orden de autoridad competente. Al finalizar la relación contractual, DoctorHoy entregará al Responsable los datos en formato estándar y los suprimirá de su infraestructura, salvo cuando deba conservarlos por obligación legal.

16. Vigencia y Modificaciones

La presente Política entra en vigencia el 02 de mayo de 2026 y permanecerá vigente hasta tanto sea modificada o derogada por DoctorHoy. DoctorHoy se reserva el derecho de modificar esta Política en cualquier momento, atendiendo a cambios normativos, tecnológicos o de su modelo de negocio. Los cambios sustanciales serán comunicados a los Titulares por correo electrónico, mediante aviso en el sitio web o mediante notificación dentro de la plataforma, con al menos diez (10) días de antelación a su entrada en vigencia. Las bases de datos administradas por DoctorHoy permanecen vigentes mientras subsistan las finalidades para las cuales fueron creadas y se cumplan los principios y obligaciones establecidos en la Ley 1581 de 2012 y normas concordantes.

17. Contacto

Para cualquier consulta, petición, reclamo o ejercicio de derechos relacionados con el tratamiento de datos personales, el Titular puede comunicarse con DoctorHoy a través de:

DoctorHoy S.A.S.

NIT: 901.293.663-8

Domicilio: Cali, Valle del Cauca, Colombia

Correo electrónico: [email protected]

Sitio web: www.doctorhoy.com

Atención: Área de Protección de Datos Personales

DoctorHoy S.A.S. Comprometidos con la salud digital y la protección de tus datos.
Descargar Versión en PDF
© Doctor Hoy. Todos los derechos reservados 2024.