Política de Tratamiento de Datos Personales

Identificación del Responsable

La Plataforma es operada por Geronimo López Sánchez, persona natural comerciante, identificado con cédula de ciudadanía No. 1.100.950.505 de Bogotá, con domicilio en Bogotá, dirección de notificaciones Calle 48A # 6-44, Edificio Toledo 48, Bogotá, titular de la marca “Oralink”. Oralink no es una sociedad: opera como comerciante persona natural y las obligaciones de esta Política las asume Geronimo López Sánchez a título personal.

Correo para el ejercicio de derechos de habeas data: oralinkclinic@gmail.com · WhatsApp / teléfono: +57 310 398 9560 · Sitio web: oralinkclinic.com

1. Doble rol de Oralink: Responsable y Encargado

Esta Política se lee en dos planos. (a) Oralink como ENCARGADO de los datos de los pacientes y del personal de las clínicas: cada clínica usuaria es la Responsable del Tratamiento de los datos de sus pacientes y de su personal, decide sobre la base de datos, las finalidades y la relación con el titular, y es quien obtiene la autorización del paciente. Oralink actúa como Encargado: trata esos datos por cuenta y bajo las instrucciones de la clínica, con deberes de seguridad y confidencialidad (artículo 25 del Decreto 1377 de 2013); el régimen detallado consta en el Contrato de Transmisión de Datos (DPA) suscrito con cada clínica. Si usted es paciente de una clínica que usa Oralink, su Responsable es la clínica que lo atiende: para ejercer sus derechos diríjase primero a su clínica. (b) Oralink como RESPONSABLE de los datos de la relación comercial B2B: datos de contacto del personal administrativo de las clínicas, datos de facturación y datos de personas que solicitan información comercial (leads).

2. Finalidades del tratamiento

Los datos personales y de salud (datos sensibles bajo el artículo 5 de la Ley 1581 de 2012) se tratan con las siguientes finalidades: (i) prestar y operar el servicio de la Plataforma —almacenar, organizar, visualizar en 2D y, cuando la clínica lo habilita, en 3D, compartir y respaldar los estudios radiológicos por cuenta de la clínica—; (ii) gestionar y conservar la historia clínica por cuenta de la clínica, conforme a la Resolución 1995 de 1999 del Ministerio de Salud; (iii) permitir que el odontólogo tratante autorizado por la clínica consulte los estudios que le corresponden; (iv) permitir la entrega de un estudio mediante enlace temporal cuando la clínica lo decide; (v) gestionar la relación comercial con las clínicas: contratación, facturación, soporte y cobranza; (vi) garantizar la seguridad y la trazabilidad de los accesos mediante registros de auditoría; (vii) cumplir obligaciones legales, contables y tributarias. Oralink no vende los datos personales ni los usa con fines comerciales no autorizados.

3. Datos que se recolectan

(a) Datos de la relación comercial B2B, en los que Oralink actúa como Responsable: nombre, documento, cargo, correo, teléfono y datos de la clínica; datos de facturación; y registros técnicos de uso de la Plataforma (registros de acceso, dirección IP en forma cifrada (hash), dispositivo y navegador) necesarios para la seguridad y la trazabilidad. (b) Datos tratados por cuenta de las clínicas, en los que Oralink actúa como Encargado: datos de identificación y contacto de los pacientes y datos sensibles de salud —imágenes radiográficas y de tomografía (DICOM/CBCT), fotografías clínicas, informes y registros odontológicos que conforman la historia clínica—. Los datos de salud son datos sensibles conforme al artículo 5 de la Ley 1581 de 2012 y su tratamiento requiere autorización expresa del titular, salvo las excepciones del artículo 6 aplicables a la atención en salud.

4. Transferencia y transmisión internacional de datos

La Plataforma se apoya en proveedores de infraestructura tecnológica ubicados fuera de Colombia. El alojamiento de la aplicación y de la base de datos, el almacenamiento de archivos y la autenticación se realizan sobre la infraestructura de Supabase, Inc. y Vercel, Inc., con servidores en Estados Unidos. Adicionalmente, cuando la clínica habilita el visor 3D de estudios CBCT, las imágenes se procesan en la nube mediante Modal, proveedor con infraestructura de cómputo (GPU) ubicada en los Estados Unidos de América; siempre que es técnicamente posible las imágenes se envían anonimizadas, eliminando los datos identificadores del paciente. Los Estados Unidos de América figuran en la lista de países con nivel adecuado de protección de datos declarada por la Superintendencia de Industria y Comercio mediante la Circular Externa 005 de 2017 (Capítulo Tercero del Título V de la Circular Única); en consecuencia, la transferencia y transmisión de datos hacia Estados Unidos está permitida bajo la Ley 1581 de 2012. Como salvaguarda adicional, por tratarse de datos sensibles de salud, las operaciones con estos proveedores se amparan en acuerdos de tratamiento de datos (DPA) y, cuando corresponde, en las Cláusulas Contractuales Modelo adoptadas por la Circular Externa SIC 003 de 2025; cuando la finalidad concreta lo exige, la clínica recaba la autorización del paciente para esta transferencia.

5. Procesamiento asistido por inteligencia artificial (opcional)

Si la clínica tratante activa el asistente de informes, las imágenes radiográficas y fotografías clínicas del estudio podrán ser procesadas por proveedores de modelos de lenguaje multimodal (Anthropic y/o OpenAI, a través del Vercel AI Gateway), exclusivamente con el fin de generar un borrador de informe no diagnóstico que el odontólogo debe revisar, editar y firmar. Antes del envío: (i) las imágenes se recodifican y se eliminan los metadatos (EXIF, etiquetas DICOM, identificadores de paciente o estudio); (ii) no se envía nombre, documento ni ningún dato personal del titular. Los proveedores operan bajo cláusulas que prohíben el uso de los datos para entrenamiento de modelos (retención cero / Zero Data Retention para inferencia). El borrador nunca constituye diagnóstico médico. Esta funcionalidad se rige además por la Circular Externa SIC 002 de 2024 (tratamiento de datos en sistemas de inteligencia artificial). El titular puede oponerse a este procesamiento en cualquier momento ante su clínica, sin afectar el resto del servicio.

6. Derechos del titular

Como titular de los datos usted tiene derecho a: conocer, actualizar y rectificar sus datos; solicitar prueba de la autorización otorgada; ser informado sobre el uso dado a sus datos; presentar quejas ante la Superintendencia de Industria y Comercio (SIC); revocar la autorización y/o solicitar la supresión de los datos cuando no exista deber legal o contractual de conservarlos; y acceder en forma gratuita a sus datos (artículos 8 y 14 a 15 de la Ley 1581 de 2012).

7. Procedimiento para ejercer derechos

El canal depende del tipo de dato. Si usted es paciente de una clínica, su Responsable es la clínica que lo atiende: diríjase a ella; Oralink, como Encargado, puede recibir su solicitud y enrutarla a la clínica, pero no resuelve sobre sus datos de salud. Si su dato lo trata Oralink como Responsable (personal administrativo de clínica, contacto comercial), diríjase a Oralink al correo oralinkclinic@gmail.com. Las consultas se atienden en diez (10) días hábiles y los reclamos en quince (15) días hábiles, prorrogables en los términos de los artículos 14 y 15 de la Ley 1581 de 2012. Oralink no ofrece un panel ni una cuenta de usuario para pacientes: el paciente accede a sus estudios, cuando la clínica lo decide, mediante un enlace temporal.

8. Seguridad de la información

Oralink aplica medidas técnicas, humanas y administrativas razonables, entre ellas: cifrado en tránsito (HTTPS/TLS); almacenamiento privado de los archivos con enlaces firmados de vigencia limitada; aislamiento de la información entre clínicas a nivel de base de datos (Row Level Security); control de acceso por rol; y registros de auditoría de los accesos.

9. Conservación, supresión y vigencia

Los datos se tratan mientras dure la relación que los justifica y por los plazos de conservación legal. La historia clínica y los estudios asociados se conservarán por un mínimo de quince (15) años desde la última atención, conforme a la Resolución 1995 de 1999 del Ministerio de Salud y las normas que la modifiquen. Ante una solicitud de supresión prevalece este deber de conservación: se anonimizan los datos personales accesorios, pero el registro clínico se conserva durante el plazo legal; la revocación o supresión se registra y no se elimina la prueba. Esta Política rige desde su fecha de publicación; toda modificación sustancial constituirá una nueva versión, que se publicará con su fecha de vigencia.

10. Contacto

Para ejercer sus derechos o presentar consultas o reclamos puede dirigirse al correo electrónico de su clínica tratante o, cuando Oralink actúa como Responsable, al correo oralinkclinic@gmail.com. La Superintendencia de Industria y Comercio (SIC) es la autoridad competente para vigilar el cumplimiento de la Ley 1581 de 2012 y resolver las reclamaciones de los titulares en Colombia.

11. Autoridad de control

La Superintendencia de Industria y Comercio (SIC) es la autoridad competente para vigilar el cumplimiento de la Ley 1581 de 2012 y resolver las reclamaciones de los titulares en Colombia.