Política de Privacidad

Arbol Artificial Intelligence SAS (NIT 901.806.384-1, Colombia), filial de Arbol Artificial Intelligence, Inc. (Delaware, Estados Unidos).

Vigente desde: 11 de junio de 2026 — Última actualización: 11 de junio de 2026

1. Quiénes somos y marco legal

Arbol Artificial Intelligence SAS («Arbol», «nosotros»), sociedad colombiana con NIT 901.806.384-1, junto con su matriz Arbol Artificial Intelligence, Inc. (Delaware, EE. UU.), opera el sitio getarbol.com y la plataforma de agentes de inteligencia artificial en app.getarbol.com. Tratamos datos personales conforme a la Ley 1581 de 2012, el Decreto 1377 de 2013, la Ley 1266 de 2008 y demás normas concordantes, bajo la vigilancia de la Superintendencia de Industria y Comercio (SIC).

• Para los datos de visitantes y titulares de cuenta actuamos como responsables del tratamiento.
• Para los datos de pacientes tratados en nombre de una institución de salud actuamos como encargados; la institución es la responsable.

Puedes escribirnos a support@getarbol.com.

2. Datos que recogemos — visitantes del sitio

Este sitio usa herramientas de analítica web y puede cargar píxeles publicitarios. Estas herramientas usan cookies y recogen datos de uso: páginas visitadas, ubicación aproximada (a partir de la IP), dispositivo, navegador y la página de referencia. Nuestras herramientas gratuitas (las calculadoras) corren completamente en tu navegador: los números que escribes no llegan a nuestros servidores.

3. Datos que recogemos — clientes

• Datos de cuenta: nombre, correo y datos de la organización, gestionados a través de nuestro proveedor de autenticación.
• Datos de facturación: los procesa nuestro proveedor de pagos; nunca vemos ni almacenamos números completos de tarjeta.
• Configuración del servicio: servicios, horarios, sedes, EPS contratadas y políticas que tu institución carga para entrenar a su agente.

4. Datos de pacientes

Cuando un agente de Arbol atiende llamadas o mensajes en nombre de tu institución, procesa datos personales de pacientes: identificación, datos de contacto, motivo de la solicitud y la grabación y transcripción de la conversación. Estos datos pueden incluir datos sensibles (información relacionada con la salud), que solo tratamos con la autorización y bajo las instrucciones de la institución responsable. Sobre ellos:

• La institución es la responsable del tratamiento; Arbol actúa como encargado, bajo un contrato de transmisión/tratamiento de datos firmado.
• El agente se identifica como asistente virtual y el consentimiento del paciente queda grabado en cada conversación — transparencia conforme a los lineamientos de la SIC para sistemas de inteligencia artificial (Circular Externa 002 de 2024).
• Las finalidades están registradas y limitadas a la operación del servicio: agendar, confirmar, reagendar y gestionar solicitudes.
• No usamos datos de pacientes para entrenar modelos de terceros ni los compartimos con anunciantes. Nunca los vendemos.

5. Autorización y finalidades

Recogemos los datos con autorización previa, expresa e informada del titular, salvo en los casos en que la ley permite el tratamiento sin ella. Usamos los datos para: prestar y operar el servicio; gestionar la relación contractual; facturar; dar soporte; cumplir obligaciones legales; y, solo con tu consentimiento, enviarte comunicaciones de mercadeo (de las que puedes desuscribirte cuando quieras). No usamos datos de clientes ni de pacientes para mercadeo.

6. Con quién compartimos datos y transferencias internacionales

Compartimos datos con los encargados de infraestructura estrictamente necesarios para operar el servicio (telefonía, mensajería, procesamiento de voz e IA, autenticación, pagos y almacenamiento), todos bajo contratos que limitan el uso de los datos a la prestación del servicio. Algunos de estos proveedores, y nuestra matriz, están ubicados fuera de Colombia (principalmente en Estados Unidos), por lo que puede haber transferencia o transmisión internacional de datos, siempre con las garantías de seguridad y confidencialidad que exige la Ley 1581 de 2012. Dos bases legales independientes amparan ese envío: (i) Estados Unidos figura en la lista de países con nivel adecuado de protección fijada por la SIC (Circular Externa 005 de 2017), y (ii) las transmisiones a un encargado en el exterior no requieren autorización adicional del titular cuando existe contrato de transmisión de datos (Decreto 1377 de 2013, arts. 24–25, compilado en el Decreto 1074 de 2015) — y lo firmamos con cada cliente y, en espejo, con cada subprocesador. También compartiremos datos si una autoridad competente lo exige por ley.

7. Seguridad

Credenciales cifradas, cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), acceso restringido por roles y registro de auditoría. El aislamiento entre organizaciones es de infraestructura: cada organización opera sobre una base de datos dedicada, y nuestros proveedores de base de datos y analítica están certificados SOC 2 Type II / ISO 27001 y firman acuerdos de confidencialidad de datos de salud. Ningún sistema es infalible, pero el diseño parte de que los datos de salud merecen el estándar más alto. El programa completo de seguridad y cumplimiento está documentado en nuestro Centro de confianza.

8. Conservación, exportación y eliminación

Conservamos los datos mientras exista la relación contractual y según los plazos que la normativa sanitaria y comercial exija a tu institución. Puedes exportar tus datos cuando quieras y, al terminar el contrato, pedir su eliminación — te confirmamos por escrito cuando se complete.

9. Tus derechos (Habeas Data)

Bajo la Ley 1581 de 2012, como titular puedes conocer, actualizar y rectificar tus datos; solicitar prueba de la autorización; ser informado del uso que se les ha dado; presentar quejas ante la SIC; revocar la autorización y solicitar la supresión cuando no exista un deber legal o contractual de conservarlos.

• Canal: si eres paciente de una institución que usa Arbol, el canal principal es la propia institución (la responsable). Si nos escribes directamente a support@getarbol.com, te ayudamos a encaminar la solicitud.
• Plazos: las consultas se atienden en máximo diez (10) días hábiles y los reclamos en máximo quince (15) días hábiles, conforme a la ley.
• Quejas: puedes acudir a la Superintendencia de Industria y Comercio (SIC) si consideras que se vulneraron tus derechos.

10. Cookies y tecnologías similares

Usamos cookies esenciales (sesión y seguridad), funcionales (recordar preferencias) y de analítica (entender el uso del sitio para mejorarlo). Puedes administrar las cookies desde la configuración de tu navegador; deshabilitar las esenciales puede impedir que algunas funciones operen.

11. Menores de edad

El servicio está dirigido a instituciones y profesionales, no a menores. No recogemos conscientemente datos de menores a través del sitio. Los datos de pacientes menores que una institución trate a través de Arbol se rigen por la autorización de sus representantes y por las instrucciones de la institución responsable.

12. Cambios a esta política

Si cambiamos algo sustancial, lo anunciaremos en este sitio y, para clientes, por correo. La fecha de «última actualización» de arriba siempre refleja la versión vigente.

13. Contacto

Arbol Artificial Intelligence SAS
NIT: 901.806.384-1 — Bogotá, Colombia
Correo: support@getarbol.com

Arbol Artificial Intelligence, Inc. (matriz)
131 Continental Dr, Suite 305, Newark, DE 19713, Estados Unidos

Arbol Artificial Intelligence, Inc. (Delaware C Corporation) and its Colombian affiliate Arbol Artificial Intelligence SAS (NIT 901.806.384-1, Colombia).

Effective Date: June 11, 2026 — Last Updated: June 11, 2026

Arbol Artificial Intelligence, Inc., a Delaware C Corporation, together with its Colombian affiliate Arbol Artificial Intelligence SAS (NIT 901.806.384-1) (collectively, "Arbol AI," "Company," "we," "us," and "our") provides technology that lets our customers deploy AI-powered voice and messaging communication solutions. This Privacy Policy explains how we collect, use, and share personal information and how you can exercise your privacy rights.

1. Scope

This Privacy Policy applies to personal information processed by us, including on our website (getarbol.com), web applications, APIs, and other online or offline offerings (collectively, the "Services").

Important note about Customer Data. This Privacy Policy does not apply to personal information that our customers process using the Services ("Customer Data") — for example, information about a patient who receives a call from an AI agent configured by one of our customers. Our customers' own privacy policies govern Customer Data, and our processing of it is governed by our contracts with those customers. If you are an end user reached through one of our customers, please direct requests about Customer Data to that customer.

• Arbol AI is a Controller for the information we collect to market, provide, and support the Services.
• Arbol AI is a Processor for Customer Data entered into the Services; the customer is the Controller.

HIPAA. When we create, receive, maintain, or transmit protected health information (PHI) on behalf of a U.S. healthcare provider, we act as a Business Associate under HIPAA and execute a Business Associate Agreement (BAA) with that customer. Subprocessors that touch PHI operate under downstream BAAs, and our AI model providers are configured for zero data retention. PHI we process as a Business Associate is governed by HIPAA and the BAA — not by state consumer privacy laws, to the extent of their HIPAA exemptions. See our Trust Center for the full security and compliance program.

2. Personal Information We Collect

2.1 Information you provide directly

2.2 Information collected automatically

2.3 Cookies and similar technologies

We and our service providers use cookies, pixel tags, local storage, and similar technologies to operate and analyze the Services. We use essential cookies (login, security, core functionality), functional cookies (preferences), and analytics cookies. To opt out of Google Analytics, visit tools.google.com/dlpage/gaoptout. You can manage cookies through your browser settings; disabling essential cookies may break some features.

3. How We Use Your Information

We use your information to:

• Provide, operate, and secure the Services and process communications;
• Generate transcripts, summaries, and analytics;
• Process payments and manage subscriptions and support;
• Detect and prevent fraud, abuse, and security incidents;
• Comply with legal obligations; and
• With your consent, send you marketing about our Services.

Improving AI agents within your organization only. Your organization's data is used to improve your AI agents for your business context. This learning is isolated to your organization. We do not use your data to train general AI models or to improve the service for other customers, and we never combine your data with another organization's. We do not use Customer Data (recordings, transcripts, contacts) for marketing.

4. How We Disclose Your Information

We disclose information only as described below. We do not sell your personal information.

4.1 Service providers (sub-processors)

We share information with service providers who help us run the Services, all contractually bound to protect it and use it only as we instruct, by category of function:

Subprocessors that handle PHI do so under Business Associate Agreements; AI model providers operate under zero-data-retention configurations and never train on Customer Data. The full, named subprocessor list — with locations and safeguards — is available under NDA through our Trust Center.

4.2 Legal requirements and safety

We may disclose information for valid subpoenas, court orders, or government requests, and when necessary to protect our rights, users, or the public, or to prevent fraud or illegal activity. We will try to notify you unless legally prohibited.

4.3 Business transfers

If we are involved in a merger, acquisition, or sale of assets, your information may be transferred as part of that transaction.

5. Your Privacy Choices and Rights

Depending on where you live, you may have the right to:

• Access the personal information we hold and obtain a copy;
• Correct inaccurate or incomplete information;
• Delete your personal information;
• Port your data in a portable format (CSV, JSON);
• Opt out of sale or targeted advertising (we do neither); and
• Non-discrimination for exercising your rights.

U.S. state privacy laws. As of 2026, twenty U.S. states have comprehensive consumer privacy laws in effect — including California (CCPA/CPRA), Delaware (DPDPA), Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana, Iowa, Indiana, Tennessee, Florida, Nebraska, New Hampshire, New Jersey, Maryland, Minnesota, Kentucky, and Rhode Island. If you are a resident of one of these states, you may exercise the rights above by emailing support@getarbol.com. We do not sell personal information or share it for cross-context behavioral advertising. Where we process personal information on behalf of a customer, we act as a service provider / processor under those laws, processing it only on the customer's documented instructions.

How to exercise your rights. Use the controls in your account dashboard, or email support@getarbol.com. We respond within 45 days (extendable to 90 with notice). We may need to verify your identity. If we decline, you may appeal by replying to our response; if an appeal is denied, you may contact your state Attorney General.

6. Security of Your Information

• Technical: encryption in transit (TLS 1.2+) and at rest (AES-256), a dedicated database per customer organization (infrastructure-level tenant isolation), secure password hashing, MFA, intrusion detection.
• Administrative: role-based access controls, employee training, security policies.
• Physical: reputable data centers with access controls and environmental protections.

No system is 100% secure; you are responsible for keeping your account credentials safe. Our full security program — encryption, access control, audit logging, subprocessor management, and incident response — is documented in our Trust Center.

7. Data Retention

You can delete recordings, transcripts, and contacts anytime from your dashboard. Deleted data is removed from active systems within 30 days and from backups within 90 days. On account closure we delete or anonymize your data within 90 days, except data we must keep for legal compliance.

8. Children's Information

The Services are not intended for anyone under 18, and we do not knowingly collect their personal information. If you believe a child has provided us information, contact support@getarbol.com and we will delete it.

9. Third-Party Websites

Our Services may link to third-party sites or applications. This Privacy Policy does not apply to them; please review their policies.

10. International Users

We operate from the United States and Colombia, and our service providers may process information in other countries. By using the Services, you understand your information may be transferred to and processed in jurisdictions with different data-protection rules, subject to appropriate safeguards.

11. Changes to This Privacy Policy

We may update this Privacy Policy. For material changes, we will update the "Last Updated" date and notify you by email or through the Services at least 30 days before they take effect. Continued use after changes take effect means you accept the updated policy.

12. Contact Us

Arbol Artificial Intelligence, Inc. (Delaware C Corporation)
Attn: Privacy Inquiries
131 Continental Dr, Suite 305
Newark, DE 19713, United States

Arbol Artificial Intelligence SAS (Colombian affiliate)
NIT: 901.806.384-1 — Colombia

Email: support@getarbol.com. We will respond within 30 days.