POLÍTICAS Y PROCEDIMIENTOS PARA EL TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES DE ELEMENTHAL HEALTH IPS S.A.S.

TÍTULO I: DISPOSICIONES GENERALES

1. OBJETO

El presente documento tiene como objeto establecer las políticas y procedimientos obligatorios para el tratamiento de datos personales por parte de ELEMENTHAL HEALTH IPS S.A.S. Nit: 901.171.273 – 5 (en adelante, «LA EMPRESA»), garantizando el estricto cumplimiento del Derecho Constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos, de conformidad con la Ley 1581 de 2012, el Decreto 1377 de 2013, el Decreto Único Reglamentario 1074 de 2015, y demás normas concordantes.

2. ÁMBITO DE APLICACIÓN

Aplica para el tratamiento de los datos personales (incluyendo datos sensibles) registrados en las bases de datos de LA EMPRESA, tanto en formato físico como digital, y cubre a:

• Pacientes/Usuarios de los servicios.
• Empleados, exempleados y aspirantes.
• Contratistas y proveedores.
• Cualquier otra persona natural de la que LA EMPRESA obtenga información personal.

3. DEFINICIONES CLAVE (Ley 1581 de 2012)

• Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.¹
• Dato Sensible: Aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación datos relativos a la salud, vida sexual, datos biométricos ya que enel sector salud, la Historia Clínica es la principal fuente de Datos Sensibles.
• Titular: Persona natural cuyos datos personales son objeto de Tratamiento como son el paciente, empleado, etc.
• Tratamiento: Cualquier operación o conjunto de operaciones sobre los Datos Personales como recolección, almacenamiento, uso, circulación o supresión.
• Responsable del Tratamiento: LA EMPRESA, que decide sobre la base de datos y el Tratamiento de los datos.
• Encargado del Tratamiento: Persona natural o jurídica que realiza el Tratamiento de datos personales por cuenta del responsable como el Proveedor de software de Historias Clínicas u otras personas que tengan acceso a la información
• Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento.

4. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS

LA EMPRESA se compromete a cumplir rigurosamente con los siguientes principios:

• Principio de Legalidad: El Tratamiento de datos se sujeta a lo establecido en la Ley.
• Principio de Finalidad: El Tratamiento obedece a una finalidad legítima y explícita (ej. Prestación del servicio de salud).
• Principio de Libertad: Solo se tratarán datos con el consentimiento previo, expreso e informado del Titular o Autorización autenticada ante notario.
• Principio de Veracidad o Calidad: La información tratada debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
• Principio de Transparencia: Se garantiza el derecho del Titular a obtener información sobre sus datos en cualquier momento.
• Principio de Acceso y Circulación Restringida: El Tratamiento se limita a personas autorizadas por el Titular y/o por la Ley. Los Datos Sensibles no podrán ser objeto de circulación libre.
• Principio de Seguridad: Se adoptan medidas técnicas, humanas y administrativas para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado.
• Principio de Confidencialidad: Todas las personas que intervengan en el Tratamiento están obligadas a garantizar la reserva de la información.

TÍTULO II: DERECHOS DEL TITULAR Y PROCEDIMIENTO DE TRATAMIENTO

5. DERECHOS DE LOS TITULARES (Derechos ARCO)

Todo Titular de datos personales tiene derecho a:

1. Acceder: Conocer y obtener copia de sus datos personales objeto de Tratamiento.
2. Rectificar: Actualizar o rectificar sus datos incompletos o inexactos.
3. Conocer: Solicitar prueba de la autorización otorgada, salvo cuando la Ley lo exceptúe.
4. Oponerse/Revocar: Revocar la autorización y/o solicitar la supresión de los datos, cuando no exista un deber legal o contractual de permanecer en la base de datos como lo es la Historia Clínica.

6. DEBERES DE LA EMPRESA COMO RESPONSABLE DEL TRATAMIENTO

LA EMPRESA se compromete, entre otros, a:

• Garantizar el ejercicio de los Derechos ARCO al Titular.
• Conservar la copia de la autorización dada por el Titular.
• Informar al Titular sobre la finalidad de la recolección y sus derechos.
• Informar a la SIC en caso de violación a los códigos de seguridad o riesgos en la administración de la información.
• Cumplir con las instrucciones y requerimientos de la SIC.

7. AUTORIZACIÓN Y RECOLECCIÓN DE DATOS SENSIBLES

7.1. Autorización:

Se solicitará la Autorización de manera clara, previa y expresa, generalmente de forma escrita o mediante mecanismos técnicos que permitan su posterior consulta antes de la recolección de cualquier dato personal. Dicha autorización debe especificar la finalidad del Tratamiento.

7.2. Tratamiento de Datos Sensibles (Especialmente Historias Clínicas):

El tratamiento de datos sensibles como datos de salud, historial clínico, etc. está prohibido, salvo en los casos expresamente autorizados por la Ley, siendo el principal:

• Cuando el Tratamiento sea necesario para la ejecución de los servicios de salud que el Titular haya solicitado y/o autorizado, en cumplimiento de la Ley 23 de 1981 y la Resolución 1995 de 1999 sobre la Historia Clínica.

7.3. Excepciones de Uso de Datos Sensibles:

LA EMPRESA se compromete a:

• Informar al Titular que, por tratarse de datos sensibles, no está obligado a autorizar su Tratamiento, salvo las obligaciones legales o contractuales inherentes al servicio de salud.
• Utilizar los datos sensibles únicamente para los fines estipulados en la Autorización y la Ley.

8. PROCEDIMIENTO PARA EL EJERCICIO DE LOS DERECHOS DEL TITULAR (Peticiones, Quejas y Reclamos – PQR)

• Área Responsable: El área encargada de atender las PQR relacionadas con datos personales es el representante legal.
• Medios de Contacto:
  • Dirección Física: Calle 68 No 38 – 10 Barranquilla
  • Correo Electrónico: elementhalhealthips@gmail.com
  • Teléfono comercial: 3855959

Tipo de Solicitud	Procedimiento y Términos
Consulta (Acceder, Conocer)	El Titular podrá consultar de forma gratuita sus datos. La solicitud será atendida en un término máximo de diez (10) días hábiles desde la recepción. Si no es posible responder en este tiempo, se informará al interesado antes del vencimiento del plazo, indicando los motivos y señalando la nueva fecha de respuesta, que no podrá superar los cinco (5) días hábiles siguientes al primer vencimiento.
Reclamo (Rectificar, Actualizar, Suprimir/Revocar)	El reclamo debe incluir la identificación del Titular, la descripción de los hechos que dan lugar al reclamo, la dirección, y los documentos que se quiera hacer valer. Si el reclamo está incompleto, se solicitará al interesado que lo subsane en cinco (5) días hábiles. Transcurridos dos (2) meses sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. Una vez recibido el reclamo completo, se incluirá una «leyenda en trámite» en la base de datos. El término máximo para resolver el reclamo es de quince (15) días hábiles.

---

TÍTULO III: MEDIDAS DE SEGURIDAD Y CONSERVACIÓN

9. SEGURIDAD DE LA INFORMACIÓN Y LEY DE HISTORIA CLÍNICA

LA EMPRESA adoptará las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los registros, en especial los que contienen Datos Sensibles, y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

• Nivel de Seguridad Aplicable: Dada la naturaleza de los datos tratados de salud, se aplicarán medidas de SEGURIDAD ALTA en todos los procesos.
• Acceso a la Historia Clínica: El acceso a la Historia Clínica se limitará estrictamente al personal de salud tratante y administrativo que lo requiera para la prestación del servicio. El acceso debe estar soportado en mecanismos de autenticación fuerte
• Conservación: La Historia Clínica y sus soportes se conservarán por el término previsto en la legislación vigente (actualmente 15 años contados a partir de la fecha de la última atención, según la Ley 594 de 2000 y el Decreto 1074 de 2015, o las normas que las modifiquen).

10. REGISTRO NACIONAL DE BASES DE DATOS (RNBD)

LA EMPRESA realizará el registro de sus bases de datos ante la Superintendencia de Industria y Comercio (SIC) a través del RNBD, dentro del plazo establecido por la Ley, y mantendrá actualizada la información registrada.

11. OFICIAL DE PROTECCIÓN DE DATOS (OPD)

LA EMPRESA designa a Álvaro Francisco Ruiz Castillo como el Oficial de Protección de Datos, responsable de vigilar, coordinar e implementar las políticas de protección de datos personales dentro de la entidad, incluyendo la atención de PQR y la interlocución con la SIC.

DISPOSICIONES FINALES

El presente documento entra en vigencia a partir del 01 de noviembre de 2025.

Las políticas y procedimientos podrán ser modificados en cualquier momento por LA EMPRESA, informando de cualquier cambio sustancial a los Titulares a través de los canales de comunicación de la entidad.

GERENTE PRINCIPAL

ÁLVARO RUIZ CASTILLO

ELEMENTHAL HEALTH IPS S.A.S.