1. Objetivo y Alcance

La presente política establece los lineamientos para garantizar la protección, confidencialidad y adecuado tratamiento de los datos personales, y especialmente de los datos sensibles (salud), recolectados a través de la plataforma tecnológica TUTELAPP.

Esta política cubre toda la información capturada a través del "Wizard" de generación de casos, el registro de usuarios (Supabase Auth) y el procesamiento mediante Agentes de Inteligencia Artificial, en cumplimiento del artículo 15 de la Constitución Política de Colombia y la Ley 1581 de 2012.

2. Responsable del Tratamiento

• Nombre/Razón Social: GRUPO EMPRESARIAL NEW WAY SAS
• NIT: 901.855.061-7
• Domicilio: Calle 66 No 59-31
• Correo Electrónico de Contacto: gruponewwaysas@gmail.com

3. Definiciones y Tipología de Datos Recolectados

3.1. Datos de Identificación y Contacto (Públicos y Semiprivados)

Recolectados en la fase de autenticación (usuarios en base de datos):

• Nombres y apellidos del accionante y/o paciente
• Número de documento de identidad (CC, TI, CE)
• Correo electrónico y teléfono (para notificaciones judiciales)
• Dirección de residencia

3.2. Datos Sensibles (Salud y Vida Íntima)

Recolectados en la fase de "Ingesta" y almacenados en la tabla casos bajo estrictos protocolos de seguridad. Dado que el objeto de la plataforma es la defensa del derecho a la salud, es indispensable tratar:

• Historia Clínica y Diagnósticos: Información sobre patologías (CIE-10), condiciones de salud física y mental (protegidas reforzadamente por Ley 2460 de 2025)
• Barreras de Acceso: Negaciones de servicios, medicamentos o tecnologías por parte de las EPS
• Situación Socioeconómica: Información sobre capacidad de pago para sustentar la solicitud de transporte, viáticos o insumos

3.3. Datos de Niños, Niñas y Adolescentes (NNA)

En casos donde el paciente sea menor de edad, se tratarán sus datos únicamente para la defensa de sus derechos fundamentales, actuando el solicitante como representante legal o agente oficioso, bajo el principio del Interés Superior del Menor.

4. Finalidad del Tratamiento

A. Fines Estrictamente Necesarios (Defensa Jurídica)

1. Generación de Documentos Legales: Procesamiento de la información médica y fáctica para la redacción automatizada de Acciones de Tutela, Impugnaciones, Incidentes de Desacato y Derechos de Petición
2. Análisis por Inteligencia Artificial (IA): Tratamiento de datos por agentes algorítmicos para determinar la estrategia legal y buscar jurisprudencia relevante
3. Gestión del Caso: Almacenamiento del historial de tutelas generadas en el "Dashboard" del usuario para su descarga y seguimiento judicial
4. Autenticación y Seguridad: Validación de identidad para asegurar el acceso exclusivo del titular a su información

B. Fines Comerciales y Publicitarios (Opcionales y Separados)

Marketing y Fidelización: Únicamente si el Titular lo autoriza de manera expresa, sus datos de contacto (email y teléfono) podrán ser usados para:

• El envío de información sobre nuevos servicios legales, seguros, o alianzas estratégicas
• La realización de estudios de mercado y encuestas de satisfacción
• La segmentación de perfiles para personalizar ofertas, sin que esto implique en ningún caso la comercialización o entrega de su historia clínica a terceros

5. Tratamiento de Datos Sensibles (Autorización Explícita)

De conformidad con el artículo 6 de la Ley 1581 de 2012, el Titular entiende que, al tratarse de datos relativos a su salud, no está obligado a autorizar su tratamiento.

Sin embargo, dada la naturaleza del servicio (LegalTech en Salud), el suministro de esta información es estrictamente necesario para que los agentes de IA puedan redactar la defensa jurídica. Al aceptar esta política, el usuario otorga su consentimiento explícito, previo e informado para el tratamiento de sus datos médicos con la finalidad exclusiva de defender sus derechos fundamentales.

6. Transmisión Internacional y Terceros Encargados

Para la operación técnica descrita en nuestra arquitectura, los datos pueden ser transmitidos a proveedores tecnológicos que actúan como Encargados del Tratamiento, garantizando estándares de seguridad adecuados:

• Supabase Inc.: Proveedor de base de datos y autenticación. Los datos se almacenan bajo políticas de Row Level Security (RLS), garantizando que cada registro está aislado criptográficamente y solo es accesible por el usuario propietario
• Proveedores de LLM (e.g., OpenAI/Anthropic): El contenido de los casos es procesado por modelos de lenguaje para la redacción. Estos proveedores procesan la información de manera transitoria para la generación del texto
• Pinecone: Base de datos vectorial utilizada para la búsqueda de jurisprudencia. Se anonimizan los datos personales antes de cualquier indexación que no sea estrictamente necesaria para el caso concreto

7. Medidas de Seguridad

Tutelapp implementa medidas técnicas, humanas y administrativas para proteger los datos:

• Row Level Security (RLS): Implementación a nivel de base de datos PostgreSQL que impide que un usuario acceda a los datos de otro, incluso ante fallos de la aplicación
• Encriptación: Datos en tránsito (HTTPS/TLS) y en reposo
• Middleware de Protección: Restricción de acceso a rutas sensibles (/dashboard, /caso) mediante validación de tokens JWT
• Trigger Automático: Sincronización segura de datos entre auth.users y tabla usuarios

8. Derechos de los Titulares (ARCO)

Como titular de los datos, usted tiene derecho a:

1. Conocer, actualizar y rectificar sus datos personales
2. Solicitar prueba de la autorización otorgada
3. Ser informado sobre el uso que se le ha dado a sus datos
4. Revocar la autorización y/o solicitar la supresión del dato cuando no se respeten los principios constitucionales (salvo cuando exista un deber legal o contractual de permanecer en la base de datos)
5. Acceder en forma gratuita a sus datos personales

Puede ejercer estos derechos desde su página de preferencias o contactándonos directamente.

9. Canales de Atención (Habeas Data)

Para ejercer sus derechos, el titular puede enviar una solicitud al correo electrónico: gruponewwaysas@gmail.com

La solicitud será atendida en un término máximo de quince (15) días hábiles, conforme a la ley.

10. Aceptación y Consentimiento

El tratamiento de sus datos se legitima mediante dos mecanismos de autorización independientes al momento del registro:

1. Autorización para Defensa Jurídica (Obligatoria): Al marcar la casilla "Acepto la Política de Datos y autorizo el uso de mi información para el trámite legal", el usuario entiende que el tratamiento de sus datos sensibles (salud) es indispensable para la prestación del servicio
2. Autorización para Fines Comerciales (Opcional): Al marcar la casilla "Deseo recibir información comercial y promociones", el usuario autoriza el uso de sus datos de contacto para los fines descritos en el numeral 5 de la Sección 4. La no aceptación de esta finalidad no impedirá el acceso al servicio de generación de tutelas