Política de Tratamiento y Privacidad de Datos de Glya

Fecha de actualización: 13 de agosto de 2025

“Glya” se refiere a Glya Salud SAS en Colombia o Glya de Chile SpA en Chile. o cualquiera de sus subsidiarias o filiales.

En Glya consideramos que proteger los datos personales es parte del cuidado de la salud.
Esta Política, redactada en lenguaje claro, explica qué información se recopila, con qué fines se utiliza, con quién se comparte cuando resulta necesario,
cómo se protege y qué derechos asisten a las personas titulares de la información.

1. Introducción y objetivos

1.1 Introducción

Modelos de servicio:

  • Modelo institucional: cuando el paciente utiliza Glya por vinculación de un prestador o un profesional de la salud, dicho prestador mantiene la custodia legal de la historia clínica y actúa como responsable del tratamiento de los datos de salud del acto asistencial. En este modelo, Glya actúa como encargado y custodio delegado, operando la plataforma por cuenta del prestador.
  • Modelo directo al paciente: cuando el paciente se registra directamente, Glya es responsable de los datos de cuenta, uso y comunicaciones. Si posteriormente interviene un prestador y se genera historia clínica, dicho prestador será responsable de esa historia clínica y Glya actuará como encargado en la operación tecnológica asociada.
  • Modelo combinado (opcional): puede iniciar como directo al paciente y continuar con intervención de un prestador; desde ese momento coexisten responsabilidades conforme a lo indicado.

Canales: privacidad y derechos de datos personales: [email protected]. Soporte general y seguridad: [email protected].

Nota: Glya no es un servicio de emergencias ni sustituye la atención médica presencial.

1.2 Objetivos

  1. Brindar claridad sobre las categorías de datos tratados (incluidos datos de salud, considerados sensibles) y los derechos del titular.
  2. Respetar la custodia clínica: en el modelo institucional, el prestador mantiene la custodia legal de la historia clínica; Glya opera como custodio delegado/encargado.
  3. Aplicar medidas de seguridad proporcionales (cifrado, control de acceso, trazabilidad y gestión de incidentes).
  4. Ejecutar interoperabilidad responsable con prestadores, aseguradores/pagadores y proveedores autorizados, bajo salvaguardas.
  5. Emplear inteligencia artificial con propósito, límites y supervisión humana.
  6. Cumplir con la normativa aplicable y comunicar cambios de forma oportuna.
  7. Ofrecer canales de contacto efectivos para consultas y ejercicio de derechos.

2. Definiciones

  • Dato personal: información que identifica o puede identificar a una persona natural.
  • Dato sensible: información que requiere protección reforzada; incluye datos de salud y biométricos.
  • Dato de salud / historia clínica: información sobre estado de salud y registros clínicos del acto asistencial, con reserva legal.
  • Tratamiento: operaciones sobre datos (recolección, almacenamiento, uso, análisis, transmisión, supresión).
  • Titular: persona natural dueña de los datos.
  • Autorización: consentimiento previo, expreso e informado del titular.
  • Responsable del tratamiento: quien decide sobre la base de datos y/o finalidades.
  • Encargado del tratamiento: quien trata datos por cuenta del responsable.
  • Custodia legal (historia clínica): tenencia y responsabilidad jurídica principal, que permanece en el prestador.
  • Custodia delegada (operativa): encargo a Glya de operar y salvaguardar técnicamente la información para prestar el servicio.
  • Subencargado: proveedor que trata datos por cuenta del encargado.
  • Transferencia internacional: envío de datos a un responsable en otro país.
  • Transmisión internacional: tratamiento por un encargado ubicado fuera del país, por cuenta del responsable.
  • Telesalud / telemedicina: prestación de servicios de salud a distancia con soporte tecnológico y evidencias del acto asistencial.
  • Dispositivo biomédico / pasarela: equipo que captura y transmite mediciones clínicas.
  • Interoperabilidad clínica: intercambio seguro y trazable de información de salud entre sistemas y actores autorizados.
  • Cookies/SDK y tecnologías de seguimiento: herramientas para registrar eventos de uso y navegación con fines operativos, de seguridad y mejora.

3. Principios del tratamiento

3.1 Legalidad y lealtad: el tratamiento se realiza conforme a la ley y de manera transparente.

3.2 Finalidad específica: los datos se recolectan para fines determinados, explícitos y legítimos, informados desde el inicio.

3.3 Libertad y consentimiento: la autorización es libre, previa, expresa e informada, con salvaguardas reforzadas para datos sensibles.

3.4 Calidad y minimización: solo se tratan los datos estrictamente necesarios, procurando exactitud e integridad.

3.5 Acceso y circulación restringida: el acceso se limita a personas autorizadas con registro de accesos y operaciones relevantes.

3.6 Seguridad y confidencialidad: se implementan medidas técnicas y organizativas adecuadas, y obligaciones de confidencialidad para personal y proveedores.

3.7 Transparencia y control del titular: el titular puede conocer el tratamiento y ejercer sus derechos.

3.8 Conservación limitada: conservación solo por el tiempo necesario para la finalidad y los plazos legales; luego eliminación o anonimización.

3.9 Responsabilidad demostrada: capacidad de demostrar cumplimiento mediante políticas, contratos, bitácoras, evaluaciones y controles.

3.10 Privacidad desde el diseño y por defecto: incorporación de la privacidad en arquitectura y procesos desde su diseño y por defecto.

3.11 Aplicación por modelo de servicio:

  • Modelo institucional: el prestador es responsable de los datos de salud e historia clínica y mantiene su custodia legal. Glya actúa como encargado y custodio delegado, operando bajo instrucciones del prestador con controles de acceso, segregación de ambientes, registros de auditoría y obligaciones equivalentes para subencargados.
  • Modelo directo al paciente: Glya es responsable de los datos de cuenta, uso y comunicaciones; si interviene un prestador y se genera historia clínica, ese prestador será responsable de dicha historia clínica y Glya actuará como encargado para la operación tecnológica asociada.

Funciones de IA: las funciones de inteligencia artificial (resúmenes, educación, interpretación asistida y alertas) operan con supervisión humana y no sustituyen criterio clínico.

4. Ámbito y destinatarios

4.1 Alcance: esta Política aplica al tratamiento de datos personales realizado a través de sitios web, aplicaciones móviles, canales de mensajería autorizados, dispositivos biomédicos y pasarelas de comunicación, así como integraciones con prestadores, aseguradores/pagadores, laboratorios y otros terceros autorizados que intervengan en la atención.

4.2 Titulares incluidos:

  • Pacientes (modelo institucional, directo al paciente o combinado).
  • Cuidadores o representantes debidamente autorizados.
  • Profesionales de la salud usuarios de la plataforma.
  • Contactos institucionales de prestadores o aseguradores.
  • Visitantes de canales digitales (según cookies/SDK).

4.3 Distribución de responsabilidades:

  • Modelo institucional: responsable (datos de salud/historia clínica): prestador; encargado y custodio delegado: Glya (operación, hosting, interoperabilidad, soporte).
  • Modelo directo al paciente: responsable (cuenta/uso/comunicaciones): Glya; si participa un prestador y se genera historia clínica, el prestador será responsable de dicha historia clínica y Glya actuará como encargado.

4.4 Canales autorizados y trazabilidad: los canales oficiales para datos personales y seguridad son [email protected] e [email protected]. Se mantienen bitácoras y evidencias de accesos y operaciones relevantes. No se gestionan asuntos por canales no autorizados.

4.5 Territorio y operación internacional: la prestación principal se realiza en Colombia; cuando existan operaciones transfronterizas, se aplican salvaguardas contractuales y de seguridad, detalladas más adelante.

4.6 Relación con otros documentos: esta Política complementa los Términos y Condiciones y, en protección de datos personales, prevalece. Las cookies/SDK se desarrollan en documento específico o sección dedicada.

5. Categorías y origen de los datos

5.1 Categorías de datos tratados:

  • Identificación y contacto: nombres, identificación, datos de contacto, información de cuenta y autenticación.
  • Datos de salud (sensibles): signos vitales, mediciones, diagnósticos, antecedentes, indicaciones, adherencia, resultados, imágenes y documentos clínicos asociados al episodio de atención e historia clínica.
  • Datos de uso y telemetría: actividad en aplicaciones, módulos utilizados, eventos de sesión, tipo de dispositivo, sistema operativo, versión, dirección IP aproximada.
  • Soporte y comunicaciones: registros de atención por canales autorizados, tickets, retroalimentaciones y adjuntos compartidos.
  • Seguridad y auditoría: registros de acceso, intentos fallidos, cambios, y bitácoras técnicas.
  • Facturación y gestión administrativa: información de plan/servicio, cobros permitidos y soportes.
  • Preferencias y configuración: ajustes de notificaciones, idioma y consentimientos.
  • Cookies/SDK: identificadores técnicos y eventos, conforme a la Política de Cookies.

5.2 Datos sensibles y alcance clínico: los datos de salud se tratan con medidas reforzadas. La historia clínica conserva su naturaleza reservada y los accesos se limitan a personal y prestadores autorizados.

5.3 Origen/Fuentes de los datos:

  • Titular o su representante: registro, cargas, cuestionarios, mediciones manuales.
  • Prestadores y profesionales de la salud: remisiones, órdenes, notas y registros del acto asistencial.
  • Dispositivos biomédicos y pasarelas: captura y transmisión automatizada de mediciones.
  • Interoperabilidad clínica: intercambios con prestadores, aseguradores/pagadores, laboratorios u otros terceros autorizados.
  • Sistemas de Glya: generación de registros de uso y bitácoras de seguridad.
  • Terceros autorizados: proveedores tecnológicos (subencargados) que soportan funcionalidades.

5.4 Datos no solicitados de manera habitual: no se solicitan datos que no guarden relación con la prestación del servicio, salvo contexto clínico o obligación legal.

5.5 Carácter obligatorio de ciertos campos: algunos datos son obligatorios para habilitar funcionalidades clínicas y de seguridad; su ausencia puede limitar la disponibilidad del servicio.

6. Finalidades del tratamiento

6.1 Finalidades esenciales:

  • Prestación del servicio de monitoreo y telesalud.
  • Soporte y operación.
  • Seguridad y prevención de fraude/abuso.
  • Interoperabilidad clínica.
  • Analítica y mejora del servicio.
  • Comunicaciones informativas y educativas.
  • Facturación y gestión administrativa.
  • Cumplimiento normativo y requerimientos de autoridad.

6.2 Finalidades con apoyo de IA: síntesis y organización de información, educación y adherencia, interpretación asistida de imágenes/documentos, detección de patrones y alertas, siempre con supervisión humana y sin sustituir criterio clínico.

6.3 Finalidades según el modelo de servicio:

  • Modelo institucional: el prestador mantiene la custodia legal de la historia clínica y es responsable del tratamiento de datos de salud; Glya actúa como encargado/custodio delegado para operación, alojamiento seguro, interoperabilidad, soporte y trazabilidad.
  • Modelo directo al paciente: Glya es responsable de datos de cuenta, uso y comunicaciones; si interviene un prestador y se genera historia clínica, dicho prestador será responsable de esa historia clínica y Glya actuará como encargado.

6.4 Comunicaciones comerciales: comunicaciones de novedades o encuestas pueden realizarse; el titular puede optar por no recibir las no esenciales. Las comunicaciones clínicas y de seguridad se consideran esenciales.

6.5 Investigación y fines estadísticos: preferencia por datos anonimizados o seudonimizados; si se requiere identificación, se solicitará autorización o se acudirá a otra base jurídica válida.

6.6 Relación con bases jurídicas: las bases legales específicas se detallan en el Capítulo 7.

7. Bases legales y consentimiento

7.1 Enfoque general: el tratamiento se realiza con fundamento en las bases jurídicas previstas por la normativa aplicable: consentimiento del titular; ejecución de relaciones contractuales o precontractuales; cumplimiento de obligaciones legales o sanitarias; protección de intereses vitales; atención de requerimientos de autoridades; y fines históricos, estadísticos o científicos con datos anonimizados.

7.2 Datos sensibles de salud: el tratamiento exige consentimiento expreso, salvo excepciones legales (intereses vitales; disposiciones legales o de autoridad; fines históricos/estadísticos/científicos con datos anonimizados; tratamientos necesarios para la prestación de servicios de salud).

7.3 Gestión del consentimiento: el consentimiento se obtiene por medios previos, expresos e informados, y puede ser granular según la finalidad. Glya conserva evidencias del consentimiento y sus actualizaciones.

7.4 Revocatoria y oposición: el titular puede revocar la autorización y/o oponerse al tratamiento para finalidades no esenciales. La revocatoria no afecta tratamientos exigidos por ley ni indispensables para la prestación del servicio o conservación de historia clínica.

7.5 Efectos de no autorizar: la no autorización, o su revocatoria, puede limitar el acceso a funcionalidades dependientes de los datos respectivos.

7.6 Modelos de servicio: en el modelo institucional, el prestador es responsable de datos de salud y gestiona consentimientos clínicos, y Glya actúa como encargado/custodio delegado; en el modelo directo al paciente, Glya gestiona consentimientos de servicio y, si interviene un prestador, este gestiona consentimientos clínicos.

7.7 Casos en los que no se requiere autorización: información pública; órdenes de autoridad; fines médicos por profesionales facultados bajo reserva de historia clínica; datos técnicos estrictamente necesarios para seguridad y operación, en la medida permitida por la normativa.

8. Menores de edad y personas con capacidad limitada

8.1 Regla de protección reforzada: el tratamiento se rige por el interés superior y el respeto de derechos fundamentales, aplicando medidas reforzadas, en especial para datos de salud.

8.2 Autorización por representante: la autorización la otorga el representante legal; se pueden solicitar soportes y realizar verificación razonable de identidad.

8.3 Información adecuada y comprensible: las explicaciones se presentan en lenguaje claro y comprensible.

8.4 Consentimientos clínicos y de servicio: en modelo institucional, el prestador recaba y custodia consentimientos clínicos, y Glya conserva evidencias operativas cuando correspondan; en modelo directo al paciente, Glya obtiene consentimientos de servicio y el prestador gestiona consentimientos clínicos si interviene.

8.5 Límites a comunicaciones y perfilamiento: se restringen comunicaciones no esenciales y el perfilamiento con efectos significativos salvo base legal suficiente y salvaguardas adicionales.

8.6 Acceso a historia clínica: el acceso se gestiona con el prestador responsable de la custodia legal, por mecanismos formales.

8.7 Ejercicio de derechos: el representante puede ejercer derechos; al alcanzar mayoría de edad o recuperar capacidad, el titular podrá asumirlos directamente.

9. Uso de inteligencia artificial (IA) en Glya

9.1 Objetivo y alcance: la IA se utiliza para apoyar la prestación del servicio y no sustituye el criterio clínico.

9.2 Funcionalidades: síntesis y organización de información; educación y adherencia; interpretación asistida; priorización y alertas.

9.3 Intervención humana y límites: las salidas de IA son de apoyo; toda decisión clínica corresponde a profesionales de la salud.

9.4 Datos utilizados y minimización: solo los necesarios para la finalidad declarada, priorizando anonimización/seudonimización cuando sea viable para mejora y métricas.

9.5 Transparencia y explicabilidad: se informa qué módulos usan IA, con qué propósito y qué tipo de datos intervienen.

9.6 Oposición a usos no esenciales: el titular puede oponerse a usos no esenciales sin afectar tratamientos indispensables.

9.7 Calidad, sesgos y evaluación: se realizan controles de calidad, pruebas y evaluaciones de impacto proporcionales al riesgo.

9.8 Proveedores y subencargados: los terceros actúan como subencargados bajo obligaciones de confidencialidad, seguridad y salvaguardas internacionales cuando apliquen.

9.9 Seguridad y retención: medidas alineadas a la criticidad del dato y conservación según Cap. 14.

9.10 Aplicación por modelo: en modelo institucional, el prestador es responsable de datos de salud y Glya actúa como encargado; en modelo directo al paciente, Glya es responsable de cuenta/uso/comunicaciones; si interviene un prestador y se genera historia clínica, el prestador será responsable de esta y Glya actuará como encargado.

10. Historia clínica, interoperabilidad y trazabilidad

10.1 Naturaleza y reserva: la historia clínica es un documento con reserva legal; el acceso se limita a personal autorizado, al prestador responsable y a personas o autoridades habilitadas por ley.

10.2 Custodia legal y delegada: en modelo institucional, el prestador mantiene la custodia legal y Glya actúa como encargado/custodio delegado; en modelo directo al paciente, cuando interviene un prestador y se genera historia clínica, este asume la custodia legal y Glya actúa como encargado.

10.3 Acceso y control por roles: principio de menor privilegio, autenticación, perfiles por rol, segregación de ambientes y registros de auditoría.

10.4 Interoperabilidad clínica: intercambio con prestadores, aseguradores/pagadores, laboratorios u otros terceros autorizados, con base jurídica válida y acuerdos; empleo de estándares del sector cuando corresponda.

10.5 Trazabilidad y auditoría: registro de accesos, integraciones, modificaciones, exportaciones y envíos con sellado temporal y metadatos suficientes.

10.6 Conservación y eliminación: conservación sujeta a plazos legales y políticas del prestador; eliminación, bloqueo o anonimización según aplique (ver Cap. 14).

10.7 Mensajería y contenidos clínicos: uso de canales autorizados y limitación al mínimo necesario; las comunicaciones no constituyen atención de urgencias.

10.8 Solicitudes de acceso a historia clínica: se canalizan ante el prestador responsable; Glya colabora como encargado.

10.9 Continuidad y gestión de incidentes: planes y controles para continuidad operativa y gestión de incidentes, con notificaciones a prestadores, autoridades y titulares cuando lo exija la normativa.

10.10 Registros de telesalud: conservación de evidencias del acto asistencial (profesional, fecha/hora, canal, consentimientos y soportes técnicos).

11. Transferencias, transmisiones y encargados

11.1 Roles involucrados: responsable del tratamiento, encargado del tratamiento y subencargado.

11.2 Terceros con los que se puede compartir información: operación tecnológica; comunicaciones; interoperabilidad clínica; seguridad y riesgo; soporte y atención; facturación y administración; analítica y mejora.

11.3 Criterios y obligaciones para encargados/subencargados: finalidad limitada, confidencialidad, controles de seguridad equivalentes, subprocesamiento autorizado, soporte en incidentes, supresión/devolución al cierre y evaluaciones periódicas.

11.4 Transferencias y transmisiones internacionales: aplicación de salvaguardas contractuales y técnicas (acuerdos de transferencia, evaluación de riesgos, cifrado) respetando finalidades y limitaciones.

11.5 Intercambios con prestadores, aseguradores y autoridades: datos limitados a lo necesario para atención, pago, auditoría, vigilancia o cumplimiento legal, con trazabilidad.

11.6 Modelos de servicio: en modelo institucional, el prestador es responsable y Glya realiza transmisiones como encargado/custodio delegado; en modelo directo al paciente, Glya es responsable de cuenta/uso/comunicaciones y, si interviene un prestador, actúa como encargado en la operación asociada.

11.7 Transparencia sobre subencargados críticos: posibilidad de anexo con listado y notificación razonable ante cambios materiales.

11.8 Seguridad en tránsito y en reposo: cifrado en tránsito y, cuando aplique, en reposo; controles de acceso por rol y segmentación.

12. Cookies/SDK y tecnologías de seguimiento

12.1 Qué son y para qué se usan: tecnologías que permiten operar el servicio, mejorar desempeño, mantener seguridad y medir uso.

12.2 Categorías utilizadas: esenciales/estrictamente necesarias; funcionales; analítica/medición; seguridad. No se usa publicidad basada en perfiles de salud.

12.3 Configuración de preferencias: en web mediante navegador o panel; en apps móviles mediante ajustes del sistema o menús de la app.

12.4 Terceros y responsabilidad: algunos proveedores actúan como encargados/subencargados y deben cumplir confidencialidad y seguridad; sitios de terceros tienen sus propias políticas.

12.5 Retención y seguridad: conservación por el tiempo necesario y eliminación o anonimización posterior.

12.6 Menores de edad y grupos protegidos: posibles restricciones o deshabilitación por defecto de tecnologías no esenciales.

12.7 Cambios en la política de cookies/SDK: comunicación por canales oficiales o actualización del panel.

12.8 Relación con esta Política: detalles técnicos adicionales en la Política de Cookies o anexo correspondiente.

13. Seguridad de la información

13.1 Enfoque general: gestión por riesgos y por capas, protegiendo confidencialidad, integridad, disponibilidad y trazabilidad.

13.2 Medidas administrativas y organizativas: políticas, gestión de riesgos, acceso por rol y segregación, confidencialidad y formación, gestión de proveedores, gestión de cambios, continuidad y recuperación.

13.3 Medidas técnicas: cifrado en tránsito y, cuando aplique, en reposo; MFA; segmentación; auditoría; gestión de vulnerabilidades; ciclo de vida seguro; copias de seguridad; protección de dispositivos.

13.4 Gestión de incidentes: proceso formal con notificaciones cuando lo exija la normativa.

13.5 Pruebas y auditorías: pruebas de seguridad, ejercicios de mesa y auditorías internas o de terceros.

13.6 Reporte responsable de vulnerabilidades: canal [email protected] y manejo responsable.

13.7 Límites y compromisos: adopción de medidas razonables acordes al riesgo y mejora continua.

13.8 Aplicación por modelo de servicio: en modelo institucional, el prestador es responsable de datos de salud e historia clínica y Glya actúa como encargado/custodio delegado; en modelo directo al paciente, Glya es responsable de cuenta/uso/comunicaciones y, si interviene un prestador, este será responsable de historia clínica y Glya actuará como encargado.

14. Conservación y eliminación

14.1 Criterios generales de conservación: exigencias legales y regulatorias; finalidades; requisitos contractuales; gestión de incidentes/auditorías/litigios; viabilidad técnica.

14.2 Matriz tipo de conservación (referencial):

Categoría de datos Responsable principal Conservación referencial Observaciones
Historia clínica y registros asistenciales Prestador (custodia legal) Según ley aplicable y política del prestador Glya conserva evidencias técnicas y copias operativas mientras dure el encargo; al cierre, devolución/supresión según instrucciones del prestador.
Mediciones clínicas y telemetría vinculadas al episodio Prestador (si integran historia clínica) Según ley aplicable Cuando no integren historia clínica, Glya conserva por finalidad operativa y seguridad, y luego anonimiza o suprime.
Consentimientos y evidencias Responsable que recaba el consentimiento Mínimo necesario para demostrar cumplimiento y durante plazos de prescripción Incluye consentimientos de servicio (Glya) y clínicos (prestador).
Datos de cuenta, uso y comunicaciones Glya (modelo directo al paciente) Mientras la relación esté activa + período razonable por prescripción o auditoría Tras el plazo, supresión o anonimización.
Registros de acceso y auditoría Glya (como encargado o responsable) Tiempo necesario para seguridad, trazabilidad y auditoría Rotación y poda periódica; posible seudonimización.
Facturación y contabilidad Glya / prestador según corresponda Según normativa tributaria/contable Conservación de comprobantes y soportes.
Cookies/SDK e identificadores técnicos Glya Según Política de Cookies/SDK Preferencia por ventanas cortas y rotación.
Copias de seguridad Glya / subencargado Según política de backup/retención Cifradas; destrucción segura al finalizar el ciclo.

14.3 Supresión, bloqueo y anonimización: al cumplirse las finalidades o los plazos, se procede a supresión, bloqueo o anonimización.

14.4 Excepciones de conservación: conservación por períodos adicionales para investigaciones, litigios, auditorías o requerimientos de autoridad.

14.5 Solicitudes del titular: atención conforme a la normativa; no procede supresión cuando exista obligación legal o sea indispensable para la atención o defensa de derechos.

14.6 Cierre del servicio y devolución: en modelo institucional, devolución o supresión según instrucciones del prestador; en modelo directo al paciente, supresión o anonimización de información que no deba conservarse.

14.7 Eliminación segura: eliminación mediante sobrescritura, limpieza criptográfica o destrucción física certificada, con evidencias registradas.

15. Derechos del titular y procedimientos

15.1 Derechos del titular: conocer, acceder, actualizar, rectificar y suprimir datos; revocar autorización; presentar queja ante la autoridad competente.

15.2 Canales de atención: [email protected] (datos personales) e [email protected] (soporte/seguridad).

15.3 Tipos de solicitud y contenido mínimo: consultas (acceso) y reclamos (corrección, actualización, supresión o presunto incumplimiento) con identificación, descripción, soportes y dirección de notificación.

15.4 Plazos legales para responder: consultas: hasta 10 días hábiles (prórroga informada hasta por 5); reclamos: hasta 15 días hábiles (prórroga informada hasta por 8).

15.5 Acceso y copias – gratuidad y modalidades:

a) Servicio activo: mientras el servicio se encuentre activo, el titular dispone de acceso en línea y descarga gratuita en cualquier momento a los datos bajo responsabilidad de Glya y a las vistas habilitadas por el prestador, con verificación de identidad y controles de seguridad.

b) Servicio no activo (cuenta cerrada o contrato terminado):

  • Modelo institucional: se entregará sin costo una copia digital completa de la información tratada por cuenta del prestador: (i) al prestador responsable, para efectos de custodia legal de la historia clínica; (ii) al titular, cuando el prestador lo autorice o la ley lo permita, respetando reserva y procedimientos aplicables.
  • Modelo directo al paciente: se entregará sin costo una copia digital completa directamente al titular. Si existió intervención de un prestador, se coordinará la inclusión de registros clínicos conforme a la autorización del prestador y las reglas de historia clínica.

c) Forma de entrega y seguridad: entrega en formato digital seguro (enlace con vencimiento, área privada de descarga o archivo cifrado), en formatos estructurados y legibles por máquina cuando sea viable (p. ej., PDF/CSV/JSON) y con verificación de identidad.

d) Plazos y alcance: atención dentro de los plazos legales vigentes; la entrega no afecta obligaciones de conservación ni de reserva; cuando corresponda, se documentarán autorizaciones del prestador para incluir historia clínica. Si se solicitaran copias físicas, podrían aplicarse costos estrictamente necesarios de reproducción y envío; la modalidad digital se mantiene gratuita.

15.6 Trámite de reclamo incompleto: requerimiento de subsanación dentro de 5 días hábiles; si no se subsana en 2 meses, se entiende desistido.

15.7 Requisito de procedibilidad y queja ante la autoridad: el titular debe agotar el trámite ante el responsable/encargado; concluido el trámite o ante falta de respuesta, puede presentar queja ante la autoridad competente.

15.8 Aplicación por modelo de servicio: en modelo institucional, el prestador gestiona solicitudes asociadas a datos de salud e historia clínica, y Glya apoya como encargado; en modelo directo al paciente, Glya gestiona solicitudes relativas a cuenta/uso/comunicaciones y el prestador las asociadas a historia clínica si interviene.

16. Registro Nacional de Bases de Datos (RNBD) y reportes (si aplica)

16.1 Inscripción y actualización anual: cuando corresponda inscribir bases en el RNBD, el responsable actualizará anualmente su registro dentro del periodo fijado por la autoridad.

16.2 Reporte semestral de reclamos: reporte dentro de los primeros 15 días hábiles de febrero y agosto, según lineamientos vigentes.

16.3 Cambios materiales y novedades: actualización oportuna de cambios materiales conforme a la Circular Única y comunicaciones vigentes.

16.4 Roles en cada modelo: en modelo institucional, el prestador atiende sus obligaciones RNBD; en modelo directo al paciente, Glya atiende las relativas a bases bajo su responsabilidad.

17. Operación internacional y anexos por país

17.1 Enfoque general: en operaciones transfronterizas se aplican salvaguardas contractuales y técnicas, manteniendo finalidades, limitaciones y medidas de seguridad descritas.

17.2 Adecuación y salvaguardas: acuerdos de protección de datos, cláusulas contractuales, cifrado en tránsito y, cuando aplique, en reposo, control de acceso por rol, trazabilidad y evaluaciones de riesgo.

17.3 Modelos de servicio: en modelo institucional, el prestador es responsable y Glya actúa como encargado, incluyendo transmisiones internacionales necesarias; en modelo directo al paciente, Glya es responsable de cuenta/uso/comunicaciones, y si interviene un prestador, actúa como encargado en la operación asociada.

17.4 Anexos por país: posibilidad de anexos con particularidades regulatorias; prevalencia de normas imperativas locales aplicables.

18. Decisiones automatizadas y perfilamiento

18.1 Situación actual: no se adoptan decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o afecten significativamente al titular.

18.2 Perfilamiento: puede existir perfilamiento operativo para priorización de alertas o recordatorios con fines de atención y seguridad; no se usa para publicidad basada en perfiles de salud.

18.3 Derechos del titular: si en el futuro se implementaran decisiones automatizadas con efectos significativos, se garantizará intervención humana, posibilidad de expresar punto de vista e impugnar la decisión, y se brindará información sobre la lógica general, el significado y las posibles consecuencias.

19. Terceros independientes y enlaces

19.1 Sitios y aplicaciones de terceros: la plataforma puede contener enlaces a sitios o aplicaciones de terceros independientes, con sus propias políticas.

19.2 Interacciones clínicas con prestadores: cuando la atención continúe en plataformas del prestador u otros terceros autorizados, el tratamiento se regirá por sus políticas; Glya limita entrega e intercambio a lo necesario para atención, trazabilidad y cumplimiento.

19.3 Responsabilidad: Glya no controla contenido, prácticas ni seguridad de sitios o aplicaciones ajenas y recomienda revisar sus políticas.

20. Actualizaciones de la Política

20.1 Cambios y notificaciones: Glya puede actualizar esta Política para reflejar cambios normativos, técnicos u operativos, comunicando fecha de entrada en vigor y resumen de cambios por canales oficiales.

20.2 Entrada en vigor y versiones: cada versión indicará su fecha de vigencia; los cambios que requieran nuevas autorizaciones serán solicitados cuando corresponda.

20.3 Relación con Términos y documentos complementarios: esta Política complementa los Términos y Condiciones y se coordina con documentos específicos (Política de Cookies y anexos por país). En materia de protección de datos personales, prevalece lo aquí dispuesto.

Fin del documento.