---

1. RESPONSABLE DEL TRATAMIENTO

1.1. SOCIEDAD TECNOLÓGICA DE COLOMBIA S.A.S., sociedad comercial constituida bajo las leyes de la República de Colombia, identificada con NIT 902.064.873-1, con domicilio principal en la ciudad de Medellín, Colombia (en adelante, "Dok" o "el Responsable"), en cumplimiento de la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1074 de 2015 y demás normas concordantes, presenta la presente Política de Tratamiento de Datos Personales.

1.2. Esta Política tiene como objetivo informar a los Titulares de los datos personales sobre las finalidades, los derechos que les asisten, los procedimientos para ejercerlos y las medidas de seguridad adoptadas por Dok para la protección de su información personal.

1.3. Dok opera una plataforma tecnológica de productividad que asiste a profesionales de la salud en la documentación clínica mediante herramientas de inteligencia artificial. Dok actúa como Responsable del Tratamiento respecto de los datos personales de sus usuarios, y como Encargado del Tratamiento respecto de los datos de pacientes ingresados por los profesionales de la salud que utilizan la plataforma.

2. DEFINICIONES

Para efectos de la presente Política, se adoptan las definiciones establecidas en el artículo 3 de la Ley 1581 de 2012 y el artículo 2.2.2.25.1.3 del Decreto 1074 de 2015, en particular:

• a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales.
• b) Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• c) Dato Sensible: Aquel dato que afecta la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, así como los datos relativos a la salud, a la vida sexual y los datos biométricos.
• d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable.
• e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos.
• f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
• g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
• h) Transferencia: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país.
• i) Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del Responsable.

3. PRINCIPIOS RECTORES

El Tratamiento de datos personales por parte de Dok se regirá por los siguientes principios, de conformidad con el artículo 4 de la Ley 1581 de 2012:

• a) Principio de legalidad: El Tratamiento de datos personales se realizará conforme a las disposiciones vigentes y aplicables.
• b) Principio de finalidad: El Tratamiento obedecerá a una finalidad legítima de acuerdo con la Constitución y la ley, la cual será informada al Titular.
• c) Principio de libertad: El Tratamiento solo podrá ejercerse con el consentimiento previo, expreso e informado del Titular.
• d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.
• e) Principio de transparencia: En el Tratamiento se garantizará el derecho del Titular a obtener del Responsable o del Encargado, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
• f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación masiva, salvo que el acceso sea técnicamente controlable.
• g) Principio de seguridad: La información sujeta a Tratamiento se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

4. DATOS PERSONALES OBJETO DE TRATAMIENTO

Dok recolecta y trata las siguientes categorías de datos personales:

4.1. Datos de identificación y contacto del Usuario:

• Nombre completo
• Dirección de correo electrónico
• Información de autenticación y credenciales de acceso
• Dirección IP, tipo de navegador, sistema operativo y datos de navegación
• Preferencias y configuración de la plataforma

4.2. Datos sensibles de salud (tratados por cuenta del Usuario):

De conformidad con el artículo 5 de la Ley 1581 de 2012, los siguientes datos constituyen datos sensibles y están sujetos a protección reforzada:

• Contenido de notas clínicas y documentación médica (texto libre)
• Códigos de diagnóstico médico (CIE-10)
• Grabaciones de voz de consultas médicas
• Transcripciones de audio clínico
• Contexto clínico del paciente, incluyendo edad, sexo, motivo de consulta y antecedentes relevantes
• Historial de interacciones con el asistente de inteligencia artificial

Dok trata estos datos exclusivamente por cuenta y bajo las instrucciones del profesional de salud que los ingresa a la plataforma, en su calidad de Encargado del Tratamiento conforme al artículo 18 de la Ley 1581 de 2012.

Minimización de datos activa. Dok aplica minimización de datos en dos capas:

• A nivel de esquema: Dok no provee campos estructurados para almacenar identificadores directos del paciente, tales como nombre completo, número de documento de identidad, fecha de nacimiento, dirección, teléfono o correo electrónico.
• A nivel del asistente de inteligencia artificial: el agente está instruido para asignar al paciente un alias no identificable y para excluir el nombre del paciente del resumen clínico aun cuando el Usuario lo proporcione.

Sin perjuicio de lo anterior, las grabaciones de voz, las transcripciones de audio y las notas clínicas de texto libre pueden contener identificadores dichos o escritos por el Usuario. El Usuario es responsable de aplicar el principio de minimización al determinar qué información incluir conforme a la finalidad clínica.

4.3. Datos de uso y calidad del servicio:

• Eventos de interacción con la plataforma (analítica de producto)
• Registros de errores técnicos y rendimiento
• Trazas de uso de inteligencia artificial, sin contenido clínico identificable

5. AUTORIZACIÓN Y RÉGIMEN APLICABLE

La presente sección distingue dos regímenes aplicables según el tipo de dato tratado por Dok.

5.1. Datos personales del Usuario (Dok como Responsable).

Al aceptar la presente Política de Privacidad, el Usuario, en calidad de Titular, AUTORIZA de manera previa, expresa e informada a Dok para el Tratamiento de sus datos personales descritos en las secciones 4.1 y 4.3, en los términos del artículo 9 de la Ley 1581 de 2012.

El Usuario reconoce que los datos descritos en las secciones 4.1 y 4.3 no constituyen datos sensibles en los términos del artículo 5 de la Ley 1581 de 2012. El Usuario podrá revocar su autorización en cualquier momento dirigiendo solicitud escrita a dok.lat.sas@gmail.com. La revocación implicará la cancelación de la cuenta y la supresión de los datos personales del Usuario conforme a la sección 12, sin perjuicio de las obligaciones legales de conservación aplicables y de las obligaciones que correspondan al Usuario como Responsable del Tratamiento de los datos de sus pacientes.

5.2. Datos sensibles de salud de pacientes (Dok como Encargado).

Los datos sensibles de salud descritos en la sección 4.2 corresponden a pacientes del Usuario. Estos datos no son aportados por el Usuario en calidad de Titular ni autorizados por él bajo el artículo 6 de la Ley 1581 de 2012. Su Tratamiento se rige por el contrato de encargo contenido en la sección 5 de los Términos y Condiciones, en el cual el Usuario actúa como Responsable del Tratamiento y Dok como Encargado.

La autorización del paciente Titular para el Tratamiento de sus datos sensibles, incluida la utilización de herramientas de inteligencia artificial en su atención y documentación clínica, debe ser obtenida por el Usuario conforme a la sección 4.1.b de los Términos y Condiciones y a la Ley 23 de 1981 sobre ética médica. Dok no recolecta autorización directa del paciente.

El paciente Titular podrá ejercer ante Dok los derechos previstos en la sección 8 de la presente Política mediante solicitud dirigida a dok.lat.sas@gmail.com, sin perjuicio de los derechos que pueda ejercer directamente ante el Usuario en su calidad de Responsable del Tratamiento.

6. AUTORIZACIÓN PARA TRANSFERENCIA Y TRANSMISIÓN INTERNACIONAL DE DATOS

Al aceptar la presente Política de Privacidad, el Usuario, en calidad de Titular de sus propios datos personales, AUTORIZA la transferencia y transmisión de dichos datos a los Sub-encargados del Tratamiento de Dok ubicados fuera de la República de Colombia, en los términos del artículo 26 de la Ley 1581 de 2012. Respecto de los datos sensibles de salud de pacientes, la transferencia y transmisión internacional se realiza bajo el contrato de encargo descrito en la sección 5.2, siendo el Usuario quien obtiene la autorización del paciente Titular conforme a la sección 4.1.b de los Términos y Condiciones.

6.1. Para la prestación del Servicio, los datos personales son procesados por Sub-encargados del Tratamiento ubicados fuera de Colombia, que cumplen las siguientes funciones:

6.2. Dok exige a sus Sub-encargados del Tratamiento el cumplimiento de medidas de seguridad, confidencialidad y protección de datos personales equivalentes a las establecidas en la legislación colombiana. Dok evalúa las prácticas de seguridad y privacidad de sus Sub-encargados antes de confiarles el procesamiento de datos personales.

6.3. Dok informará al Titular de cualquier cambio sustancial en la lista de Sub-encargados o en los países de destino con una antelación no inferior a quince (15) días calendario.

6.4. La lista detallada de Sub-encargados del Tratamiento está disponible previa solicitud dirigida a dok.lat.sas@gmail.com.

6.5. Las transferencias y transmisiones internacionales de datos se realizan con base en: (a) la autorización expresa del Titular otorgada mediante la aceptación de la presente Política; (b) la verificación de que los Sub-encargados cumplen con medidas de seguridad y confidencialidad adecuadas para la protección de datos personales; y (c) la necesidad de la transferencia para la ejecución del contrato de prestación del Servicio, de conformidad con el literal d) del artículo 26 de la Ley 1581 de 2012.

7. FINALIDADES DEL TRATAMIENTO

7.1. Finalidades principales (necesarias para la prestación del Servicio):

• a) Autenticación, registro y gestión de la cuenta del Usuario.
• b) Generación asistida de documentación clínica mediante modelos de inteligencia artificial, incluyendo la producción de sugerencias y redacciones de notas clínicas y sugerencias de codificación diagnóstica (CIE-10).
• c) Transcripción de grabaciones de voz de consultas médicas.
• d) Almacenamiento, organización y consulta de notas clínicas del Usuario.
• e) Asistencia clínica contextualizada mediante agente de inteligencia artificial.
• f) Cumplimiento de obligaciones legales y regulatorias aplicables al Responsable.
• g) Atención de consultas, peticiones, quejas y reclamos del Titular.

7.2. Finalidades secundarias (mejora del Servicio):

• a) Análisis de uso del producto para mejora de funcionalidades y experiencia de usuario.
• b) Monitoreo de errores, rendimiento técnico y disponibilidad del Servicio.
• c) Seguimiento de costos de procesamiento de inteligencia artificial.
• d) Comunicaciones informativas y de servicio al Usuario.

7.3. Finalidades expresamente excluidas:

Dok NO utilizará los datos personales ni los datos sensibles de salud del Titular en forma identificable para:

• a) Entrenamiento, afinamiento o mejora de modelos de inteligencia artificial propios o de terceros.
• b) Comercialización, venta o cesión a terceros con fines de mercadeo, publicidad o perfilamiento comercial.
• c) Elaboración de perfiles de riesgo crediticio, asegurabilidad o similares.

7.4. Dok podrá utilizar datos agregados, anonimizados e irreversiblemente desvinculados de cualquier persona natural para el análisis estadístico y la mejora del Servicio, de conformidad con la normativa vigente en materia de protección de datos personales. Estos datos no permiten, directa ni indirectamente, la identificación del Titular.

8. DERECHOS DE LOS TITULARES

8.1. De conformidad con los artículos 8 y 15 de la Ley 1581 de 2012, el Titular de los datos personales tiene derecho a:

• a) Conocer, actualizar y rectificar sus datos personales frente al Responsable del Tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido autorizado.
• b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.
• c) Ser informado por el Responsable del Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales.
• d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, una vez haya agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento.
• e) Revocar la autorización y/o solicitar la supresión del dato personal cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
• f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
• g) Oponerse al Tratamiento de sus datos personales para finalidades secundarias.

9. PROCEDIMIENTO PARA EL EJERCICIO DE DERECHOS

9.1. El Titular o su representante podrá ejercer sus derechos dirigiendo solicitud escrita al canal habilitado por Dok:

• Correo electrónico: dok.lat.sas@gmail.com
• Dirección física: WeWork Vía Primavera, Carrera 43A No. 1-50, El Poblado, Medellín, Colombia

9.2. La solicitud deberá contener como mínimo: (a) nombre e identificación del Titular; (b) descripción de los hechos que dan lugar a la solicitud; (c) dirección de notificación; y (d) documentos que acrediten la identidad o la representación, según corresponda.

9.3. Consultas: De conformidad con el artículo 14 de la Ley 1581 de 2012, serán atendidas en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de la solicitud. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

9.4. Reclamos: De conformidad con el artículo 15 de la Ley 1581 de 2012, serán atendidos en un término máximo de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.

10. DEBERES DE DOK COMO RESPONSABLE DEL TRATAMIENTO

En cumplimiento del artículo 17 de la Ley 1581 de 2012, Dok se compromete a:

• a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
• b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• c) Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos de la ley.
• d) Tramitar las consultas y reclamos formulados en los términos señalados en la presente Política.
• e) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular.
• f) Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares.

11. MEDIDAS DE SEGURIDAD

11.1. De conformidad con el principio de seguridad establecido en el artículo 4, literal g) de la Ley 1581 de 2012 y los lineamientos de la Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio, Dok implementa las siguientes medidas técnicas, humanas y administrativas:

Medidas técnicas:

• Cifrado de datos en tránsito mediante protocolo TLS/HTTPS en todas las comunicaciones.
• Cifrado de datos en reposo en bases de datos y sistemas de almacenamiento de archivos.
• Control de acceso basado en autenticación multifactor.
• Aislamiento lógico de datos por Usuario en todas las capas de almacenamiento.
• URLs temporales con expiración para acceso a archivos de audio.
• Monitoreo continuo de errores, amenazas y eventos de seguridad.

Medidas administrativas:

• Registro de auditoría de acceso, creación, modificación y eliminación de datos clínicos.
• Acuerdos de confidencialidad con todo el personal que tenga acceso a datos personales.
• Revisión periódica de controles de seguridad y acceso.
• Procedimiento documentado de respuesta a incidentes de seguridad.

12. VIGENCIA DEL TRATAMIENTO Y SUPRESIÓN DE DATOS

12.1. Los datos personales serán tratados durante la vigencia de la relación contractual entre el Usuario y Dok, y por el período adicional que resulte necesario para el cumplimiento de obligaciones legales, contractuales, contables o fiscales.

12.2. El Usuario podrá solicitar la supresión de sus datos personales en cualquier momento, dirigiendo solicitud a dok.lat.sas@gmail.com. Dok procederá a la supresión en un plazo máximo de quince (15) días hábiles, salvo que exista un deber legal o contractual que impida la eliminación.

12.3. Tras la terminación de la relación contractual, el Usuario dispondrá de un período de treinta (30) días calendario para exportar sus datos. Transcurrido dicho período, Dok procederá a la eliminación segura e irreversible de los datos del Usuario.

13. MODIFICACIONES A LA PRESENTE POLÍTICA

13.1. Dok se reserva el derecho de modificar la presente Política en cualquier momento. Cualquier modificación sustancial — entendida como aquella que afecte la identificación del Responsable, las finalidades del Tratamiento, o los derechos de los Titulares — será comunicada al Usuario mediante correo electrónico y/o aviso en la plataforma con una antelación no inferior a quince (15) días calendario a su entrada en vigencia.

13.2. De conformidad con el artículo 2.2.2.25.3.2 del Decreto 1074 de 2015, si las modificaciones implican cambios sustanciales en las finalidades del Tratamiento, Dok obtendrá una nueva autorización del Titular antes de implementar dichos cambios.

14. LEGISLACIÓN APLICABLE

La presente Política se rige por la Constitución Política de Colombia, la Ley Estatutaria 1581 de 2012, el Decreto Reglamentario 1074 de 2015 (Capítulo 25), el Decreto 1377 de 2013, la Circular Externa 002 de 2015 de la Superintendencia de Industria y Comercio, y las demás normas que las modifiquen, adicionen o complementen.

15. VIGENCIA

La presente Política de Tratamiento de Datos Personales entra en vigencia a partir del 11 de mayo de 2026 y estará vigente mientras SOCIEDAD TECNOLÓGICA DE COLOMBIA S.A.S. desarrolle su objeto social y subsistan las finalidades del Tratamiento de datos personales aquí descritas.