Documento público · Actualizado: 11 de junio de 2026
La página que tu departamento de tecnología, tu oficial de protección de datos y tu auditor nos van a pedir: cómo viaja cada dato, qué leyes nos rigen en Colombia, cómo gobernamos la IA y qué firmamos contigo. Pública, sin rodeos y hecha para compartirse con tu equipo técnico.
Seis cosas que firmamos — no que prometemos. Cada una está respaldada por un contrato, una configuración técnica verificable o una ley que nos sanciona directamente si fallamos.
Nuestros proveedores de modelos de IA operan bajo configuraciones de cero retención: procesan y devuelven, no almacenan ni entrenan. Lo que el agente aprende de tu operación vive solo dentro de tu organización.
Ni tus datos ni los de tus pacientes. Sin excepciones y sin letra pequeña.
El aislamiento no es una regla de software: es infraestructura. Cada organización opera sobre una base de datos dedicada, con verificación de propiedad del dato en cada operación encima. Los datos de dos instituciones jamás se cruzan — ni para responder, ni para predecir, ni para «mejorar el servicio».
El agente se identifica como asistente virtual al inicio de cada conversación y anuncia la grabación. La transparencia es exigencia legal — aquí viene activada por defecto y no se puede ocultar.
Cada conversación queda grabada, transcrita y con registro de auditoría de quién accedió a qué y cuándo. Lo que el agente hizo se verifica — no hay que creerlo.
Exportas todo cuando quieras (CSV/JSON). Al terminar el contrato eliminamos tus datos y te lo confirmamos por escrito. La custodia de la historia clínica fue, es y será de tu institución.
Seis pasos entre que un paciente marca y el dato queda bajo tu control. Esto es lo que recorremos con cada comité técnico que nos lo pregunta.
El paciente marca tu número o escribe a tu WhatsApp. Desde el primer paquete la conexión viaja cifrada (TLS 1.2+ para datos, medios de voz cifrados). El agente se identifica como asistente virtual de tu institución y anuncia la grabación antes de continuar.
TLS 1.2+El agente se identifica
La conversación se transcribe en tiempo real con proveedores de procesamiento de voz configurados en modo de cero retención: procesan el audio, devuelven el texto y no conservan nada. Donde hay PHI, operan además bajo BAA.
Cero retenciónBAA
Para responder, el agente consulta únicamente la configuración de tu organización: servicios, agendas, tarifas, protocolos aprobados por tu comité. Y la consulta cae en la base de datos dedicada de tu organización — una institución no puede ver datos de otra ni por error, porque ni siquiera comparten base de datos.
Base de datos dedicadaSolo respuestas aprobadas
Los modelos de lenguaje y los modelos predictivos procesan bajo acuerdos de cero retención y nunca entrenan con tus datos. Las predicciones — la brecha de atención, el riesgo de inasistencia, a quién buscar primero — se calculan solo con los datos de tu organización y para tus finalidades registradas, como la demanda inducida.
Cero entrenamientoPredicción intra-organización
Grabación, transcripción y los campos estructurados de la conversación se almacenan cifrados en reposo (AES-256) en la base de datos dedicada de tu organización, con acceso por roles (RBAC), mínimo privilegio y registro de auditoría sobre cada acceso. Nuestros proveedores de base de datos y analítica operan bajo BAA y certificación SOC 2 Type II / ISO 27001.
AES-256RBAC + auditoría
La retención la configura tu institución según sus deberes legales — la historia clínica, por ejemplo, exige mínimo 15 años bajo tu custodia (Res. 839 de 2017). Borras cuando quieras: eliminamos de sistemas activos en ≤30 días y de respaldos en ≤90, con confirmación escrita.
Retención configurableConfirmación escrita
La primera pregunta de todo departamento jurídico: ¿quién es el Responsable y quién el Encargado? Tu institución manda; nosotros ejecutamos — y respondemos ante la SIC.
Responsable del Tratamiento
Encargado del Tratamiento
| Documento | Cuándo aplica | Qué cubre |
|---|---|---|
| Contrato de transmisión de datos | Todo cliente en Colombia | El «DPA colombiano» (Decreto 1377, arts. 24–25): alcance, actividades, seguridad y confidencialidad. Con él, la transmisión internacional a nuestros subprocesadores no requiere autorización adicional del titular. |
| NDA para documentación | Bajo solicitud | Bajo acuerdo de confidencialidad entregamos la lista nominal de subprocesadores, políticas internas y resúmenes de evaluaciones de seguridad. |
| BAA — Business Associate Agreement | Operaciones regidas por HIPAA | Usos permitidos de PHI, salvaguardas de la Security Rule, reporte de brechas, devolución o destrucción al terminar. Detalle en la versión global. |
| DPA — Acuerdo de procesamiento de datos | Operaciones bajo leyes de EE. UU. | Rol de service provider / processor: solo instrucciones documentadas, sin venta ni cruce de datos. Detalle en la versión global. |
Norma por norma: qué exige y cómo cumplimos. La arquitectura es una sola — construida para la exigencia más alta de cada regla.
El régimen general de protección de datos, vigilado por la SIC
Qué exige
Autorización previa, expresa e informada; principios de finalidad, seguridad, confidencialidad y circulación restringida; derechos de habeas data (conocer, actualizar, rectificar, suprimir, revocar). El Decreto 1377 (compilado en el Decreto 1074 de 2015) regula la autorización, el aviso de privacidad, las políticas de tratamiento y la responsabilidad demostrada.
Cómo cumplimos
Actuamos como Encargado del Tratamiento bajo contrato de transmisión, con manual interno de políticas (art. 18 g), soporte completo al habeas data en los plazos legales y evidencia de responsabilidad demostrada lista para tu oficial de protección de datos.
Los datos de salud son sensibles por definición; los tratamos como tal
Qué exige
Los datos relativos a la salud y los datos biométricos son «datos sensibles»: su tratamiento exige autorización explícita, no puede condicionarse ningún servicio a entregarlos y aplican los estándares más altos de seguridad.
Cómo cumplimos
El consentimiento queda grabado en cada conversación; tratamos cada grabación y transcripción como dato sensible (cifrado, acceso restringido, auditoría) y aplicamos minimización: el agente pide solo lo necesario para la gestión.
Buscar activamente al paciente no solo es legal: es un deber de tu institución
Qué exige
Las Rutas Integrales de Atención (promoción y mantenimiento de la salud, y materno-perinatal) obligan a IPS y EPS a inducir la demanda: buscar activamente a las personas para protección específica y detección temprana — el control vencido, la tamización pendiente, la gestante sin control prenatal. Y la Ley 1581 (art. 26) permite expresamente el intercambio de datos médicos necesario para la atención en salud del titular.
Cómo cumplimos
Nuestros modelos predictivos existen para eso: detectar la brecha de atención y disparar el contacto clínico, dentro de la finalidad de atención en salud que tu institución ya tiene autorizada. La regla que gobierna cada predicción: el modelo predice para cuidar, nunca para vender. Una oferta comercial basada en la condición de salud de una persona sería otra finalidad — exigiría autorización específica del titular — y no hace parte de los flujos del producto.
EE. UU. es país con nivel adecuado de protección según la SIC
Qué exige
La SIC fijó la lista de países con nivel adecuado de protección de datos — y Estados Unidos está en ella. Además, las transmisiones a un Encargado en el exterior no requieren autorización adicional del titular cuando existe contrato de transmisión (Decreto 1074, art. 2.2.2.25.5.1).
Cómo cumplimos
Doble vía de legalidad: adecuación del país de destino y contratos de transmisión espejo (back-to-back) con cada subprocesador, que limitan el uso de los datos a la prestación del servicio.
Te entregamos todos los insumos para tu registro ante la SIC
Qué exige
Las entidades públicas y las sociedades con activos superiores a 100.000 UVT deben registrar sus bases de datos ante la SIC, declarando a sus Encargados, las medidas de seguridad y las transmisiones internacionales. Los cambios sustanciales se actualizan dentro de los 10 primeros días hábiles del mes siguiente.
Cómo cumplimos
Te entregamos la ficha completa del Encargado: identidad, medidas de seguridad, países de transmisión y subprocesadores — lista para tu registro y para cada actualización anual (enero–marzo).
Documento privado sometido a reserva; la custodia nunca deja de ser tuya
Qué exige
La historia clínica es un documento privado sometido a reserva: solo el paciente, el equipo de salud y las autoridades en los casos de ley pueden conocerla (Res. 1995, art. 14). La custodia es del prestador; la retención mínima es de 15 años desde la última atención (Res. 839 de 2017). La Ley 2015 de 2020 (historia clínica electrónica interoperable) prohíbe expresamente divulgar sus datos, y la Res. 1888 de 2025 estandariza el Resumen Digital de Atención (HL7 FHIR R4).
Cómo cumplimos
Arbol nunca asume la custodia: opera sobre la historia clínica que ya usas, sin migrar datos. La reserva se refuerza con arquitectura: los datos de tu institución viven en una base de datos dedicada, separada de cualquier otra organización. El acceso queda restringido al equipo autorizado por tu institución, cada lectura deja rastro de auditoría y la retención se configura compatible con tus deberes (≥15 años bajo tu control).
Colombia aún no tiene ley de IA; nosotros ya cumplimos la guía vinculante
Qué exige
La Circular 002 de 2024 de la SIC fija lineamientos vinculantes para tratar datos personales en sistemas de IA: privacidad desde el diseño y por defecto, evaluación de riesgos, estudio de impacto de privacidad, transparencia con los titulares y proporcionalidad estricta. El CONPES 4144 traza la política nacional; el proyecto de ley de IA (PL 043 de 2025) sigue en trámite.
Cómo cumplimos
Privacidad desde el diseño en cada flujo, estudio de impacto de privacidad disponible para tu comité, transparencia activada por defecto (el agente se identifica) y supervisión humana sobre las decisiones del sistema. El detalle está en la sección de gobernanza de la IA.
¿Tu operación también está regida por la ley de EE. UU.? Una precisión honesta: HIPAA no es una certificación que «se tiene» — es un marco que se asume por contrato (BAA) cuando se procesan datos de pacientes por cuenta de un prestador estadounidense. Ese marco — HIPAA, el TCPA y las leyes estatales de IA — está en la versión global de este documento.
Modelos generativos y predictivos bajo el mismo gobierno: lineamientos de la Circular 002 de 2024 de la SIC y gestión de riesgos alineada con NIST AI RMF.
Asistente virtual desde la primera frase, en cada canal. Exigido por la Circular 002 de 2024 (transparencia) — aquí no es configurable a «oculto».
Responde únicamente desde la configuración que tu institución aprobó: servicios, tarifas, agendas, protocolos. Si no lo sabe, lo dice — y escala.
Síntomas de alarma, casos delicados y todo lo que requiere criterio pasa a tu equipo, con resumen y datos recogidos. La decisión clínica y administrativa final siempre es humana y siempre es tuya.
Cero retención en los proveedores de modelos y cero entrenamiento con tus datos. Privacidad desde el diseño y por defecto, como exige la SIC.
Las predicciones — la brecha de atención, el riesgo de inasistencia, a quién buscar primero — se calculan solo con datos de tu organización y para finalidades registradas, como la demanda inducida de la Res. 3280 de 2018. Ofrecer servicios comerciales con base en la condición de salud de alguien sería otra finalidad y no hace parte del producto. Estudio de impacto de privacidad disponible para tu comité.
Cada conversación queda grabada, transcrita y auditada; el desempeño del agente se evalúa de forma continua. Gestión de riesgos alineada con NIST AI RMF.
Solo los estrictamente necesarios para operar, cada uno bajo contrato de transmisión espejo y — donde hay PHI — bajo BAA. La lista nominal completa se entrega bajo NDA, y te avisamos antes de añadir o cambiar cualquiera.
| Función | Ubicación | Salvaguardas |
|---|---|---|
| Infraestructura y hosting | EE. UU. | Nube SOC 2 / ISO 27001 · contrato de transmisión · BAA |
| Base de datos y analítica | EE. UU. | BAA · SOC 2 Type II · ISO 27001 · BD dedicada por organización |
| Telefonía y mensajería | EE. UU. | Contrato de transmisión · configuración elegible para HIPAA |
| Procesamiento de voz | EE. UU. | Cero retención · BAA · sin entrenamiento con tus datos |
| Modelos de IA (lenguaje y predicción) | EE. UU. | Cero retención · cero entrenamiento · BAA |
| Autenticación e identidad | EE. UU. | Contrato de transmisión · MFA · SOC 2 |
| Pagos | EE. UU. | PCI DSS · nunca vemos números completos de tarjeta |
| Correo transaccional | EE. UU. | Contrato de transmisión · solo correos operativos |
| Seguridad y CDN | Global | Protección DDoS · TLS extremo a extremo |
Estados Unidos figura en la lista de países con nivel adecuado de protección de la SIC (Circular Externa 005 de 2017) — y aun así cada transmisión va, además, amparada por contrato. Pide la lista nominal (bajo NDA).
Las preguntas que los departamentos técnicos de IPS, clínicas, veterinarias y aseguradoras nos hacen — con las respuestas que firmamos. Si falta alguna, la respondemos por escrito en el paquete de due diligence.
Ningún sistema es infalible. Lo que sí se puede garantizar es qué pasa en las horas siguientes — y cada plazo de abajo es un deber legal o contractual, no una cortesía.
Hora 0
Monitoreo continuo, clasificación por severidad y contención inmediata. El reloj empieza a correr — y lo documentamos todo desde el primer minuto.
≤ 72 horas
Notificación al cliente afectado sin dilación indebida: qué pasó, qué datos toca, qué hicimos y qué sigue. Sin eufemismos.
≤ 15 días hábiles
El incidente se reporta a la SIC (vía RNBD cuando aplica) dentro de los 15 días hábiles. Te entregamos el insumo completo para tu reporte como Responsable — y como Encargado reportamos lo que nos corresponde.
Después
Causa raíz, correctivos aplicados y cambios al programa de seguridad — por escrito y disponible para tu comité.
Para operaciones regidas por HIPAA, los relojes de la Breach Notification Rule (≤60 días) están en la versión global.
Para tu comité, tu jurídico y tu oficial de protección de datos. Lo enviamos por escrito y sin costo:
Documentos relacionados: Política de Privacidad, Términos del Servicio y Gobernanza del paciente.
Esta página informa; no constituye asesoría legal. Las versiones contractuales prevalecen. Norma verificada a 11 de junio de 2026.