POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES

Versión 1.0  |  Vigente desde el 10 de marzo de 2026

EvaMed SAS  |  NIT 902.036.887-3  |  Cali, Valle del Cauca, Colombia

PRESENTACIÓN

EvaMed SAS (en adelante “EvaMed” o “la Empresa”), sociedad por acciones simplificada constituida conforme a las leyes colombianas, identificada con NIT 902.036.887-3, con domicilio principal en la ciudad de Cali, Valle del Cauca, República de Colombia, en su calidad de Responsable del Tratamiento de Datos Personales, expide la presente Política de Tratamiento de Datos Personales (en adelante “la Política”) en cumplimiento de las obligaciones establecidas en la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013, el Decreto Único Reglamentario 1074 de 2015, las instrucciones de la Superintendencia de Industria y Comercio (SIC), y demás normativa nacional e internacional aplicable.

Esta Política aplica a todos los datos personales recopilados, almacenados, usados, transmitidos y suprimidos por EvaMed en el marco de la operación de su aplicación móvil y los servicios asociados, y tiene como propósito garantizar la protección de los derechos fundamentales de los Titulares a la privacidad, intimidad y autodeterminación informativa.


CAPÍTULO I. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

El Responsable del Tratamiento de los datos personales recopilados a través de la aplicación EvaMed es:

  • Razón social: EvaMed SAS
  • NIT: 902.036.887-3
  • Domicilio: Cali, Valle del Cauca, República de Colombia
  • Dirección física: [Dirección completa de la oficina — completar antes de publicar]
  • Correo electrónico de protección de datos: [correo@evamed.com.co — completar antes de publicar]
  • Teléfono de contacto: [Número de contacto — completar antes de publicar]

Para efectos del Reglamento General de Protección de Datos de la Unión Europea (RGPD), EvaMed actúa como Responsable del Tratamiento (“Data Controller”). Cuando sea legalmente requerido, EvaMed designará un representante en la Unión Europea conforme al artículo 27 del RGPD y un Delegado de Protección de Datos (DPO) conforme al artículo 37 del RGPD.


CAPÍTULO II. MARCO NORMATIVO
2.1 Normativa Colombiana
  • Constitución Política de Colombia, artículo 15 (derecho a la intimidad y al habeas data).
  • Ley Estatutaria 1266 de 2008 (habeas data financiero).
  • Ley Estatutaria 1581 de 2012 (Protección de Datos Personales).
  • Decreto 1377 de 2013 (reglamentación parcial de la Ley 1581 de 2012).
  • Decreto Único Reglamentario 1074 de 2015 (Sector Comercio, Industria y Turismo).
  • Circular Externa SIC 002 de 2015 y demás instrucciones de la Superintendencia de Industria y Comercio.
  • Ley 1122 de 2007 y normativa de habilitación en salud aplicable al manejo de información clínica.

2.2 Normativa Internacional

  • Reglamento (UE) 2016/679 — Reglamento General de Protección de Datos (RGPD/GDPR) — Unión Europea y EEE.
  • UK GDPR y Data Protection Act 2018 — Reino Unido.
  • California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA) — California, EE.UU.
  • Health Insurance Portability and Accountability Act (HIPAA) y sus reglas de privacidad y seguridad — EE.UU.
  • Lei Geral de Proteção de Dados Pessoais — LGPD (Lei 13.709/2018) — Brasil.
  • Ley 25.326 de Protección de los Datos Personales — Argentina.
  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) — México.
  • Convenio 108 del Consejo de Europa para la protección de las personas respecto al tratamiento automatizado de datos de carácter personal.
  • Directrices de la OCDE sobre Protección de la Privacidad y Flujos Transfronterizos de Datos Personales.

CAPÍTULO III. DEFINICIONES

Para la correcta interpretación de esta Política se adoptan las siguientes definiciones, conforme a la Ley 1581 de 2012 y normativa internacional aplicable:

  • Autorización: consentimiento previo, expreso e informado del Titular para llevar a cabo el tratamiento de sus datos personales.
  • Aviso de Privacidad: comunicación verbal o escrita dirigida al Titular para informarle sobre la existencia de la Política de Tratamiento de Datos y la forma de acceder a ella.
  • Base de Datos: conjunto organizado de datos personales objeto de tratamiento.
  • Dato Personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
  • Dato Público: dato calificado como tal según la ley o la Constitución, como los datos relativos al estado civil, la profesión u oficio y la calidad de comerciante.
  • Dato Privado: dato que por su naturaleza íntima o reservada solo es relevante para el Titular.
  • Dato Semiprivado: dato que no tiene naturaleza íntima, reservada ni pública, y cuyo conocimiento o divulgación puede interesar no solo al Titular sino a cierto sector o grupo de personas.
  • Dato Sensible: dato que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminación, como los datos de salud, origen racial o étnico, orientación sexual, convicciones religiosas o políticas, datos biométricos y genéticos.
  • Encargado del Tratamiento: persona natural o jurídica que realiza el tratamiento de datos por cuenta del Responsable.
  • Responsable del Tratamiento: persona natural o jurídica que decide sobre la base de datos y el tratamiento.
  • Titular: persona natural cuyos datos personales son objeto de tratamiento.
  • Transferencia: actividad de tratamiento que implica la comunicación de datos a un Receptor, dentro o fuera del territorio nacional.
  • Transmisión: tratamiento de datos que implica la comunicación de los mismos dentro o fuera del territorio nacional cuando tenga por objeto la realización de un tratamiento por el Encargado.
  • Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales, como la recolección, almacenamiento, uso, circulación o supresión.

CAPÍTULO IV. PRINCIPIOS RECTORES DEL TRATAMIENTO

EvaMed garantiza que el tratamiento de datos personales se realizará en observancia de los siguientes principios, consagrados en el artículo 4 de la Ley 1581 de 2012 y en la normativa internacional aplicable:

  1. Principio de legalidad: el tratamiento se sujeta a las disposiciones legales vigentes y aplicables.
  2. Principio de finalidad: el tratamiento obedece a finalidades legítimas, informadas al Titular con anterioridad o simultáneamente a la recolección de los datos.
  3. Principio de libertad: el tratamiento solo puede realizarse con el consentimiento previo, expreso e informado del Titular. Los datos no podrán ser obtenidos o divulgados sin previa autorización.
  4. Principio de veracidad o calidad: la información tratada debe ser veraz, completa, exacta, actualizada y comprobable.
  5. Principio de transparencia: el Titular tiene derecho a obtener información sobre la existencia de datos que le conciernan en cualquier momento.
  6. Principio de acceso y circulación restringida: el tratamiento se sujeta a los límites derivados de la naturaleza de los datos, las disposiciones legales y la Constitución. Solo podrán realizarse por personas autorizadas.
  7. Principio de seguridad: la información sujeta a tratamiento se protegerá con medidas técnicas, humanas y administrativas para evitar accesos no autorizados, pérdida, falsificación, consulta, uso o acceso no autorizado.
  8. Principio de confidencialidad: las personas que intervengan en el tratamiento están obligadas a guardar reserva sobre los datos, incluso después de concluida su relación con EvaMed.
  9. Principio de minimización: solo se recopilan los datos estrictamente necesarios para cumplir las finalidades declaradas (principio también reconocido por el RGPD).
  10. Principio de limitación del plazo de conservación: los datos no serán conservados por más tiempo del necesario para los fines del tratamiento.

CAPÍTULO V. DATOS PERSONALES OBJETO DE TRATAMIENTO
5.1 Categorías de Datos Recopilados

EvaMed recopila y trata las siguientes categorías de datos personales:

  1. a) Datos de identificación:
  • Nombre completo.
  • Fecha de nacimiento.
  • Género.
  • Tipo y número de documento de identidad.
  • Nacionalidad y país de residencia.
  1. b) Datos de contacto:
  • Dirección de correo electrónico.
  • Número de teléfono móvil.
  1. c) Datos de salud — Datos Sensibles (Artículo 6 Ley 1581 de 2012 / Artículo 9 RGPD):
  • Diagnósticos médicos y condiciones de salud.
  • Medicamentos prescritos y en uso.
  • Alergias y reacciones adversas.
  • Historial de cirugías e intervenciones médicas.
  • Resultados de exámenes de laboratorio e imágenes diagnósticas.
  • Esquema de vacunación.
  • Grupo sanguíneo y factor Rh.
  • Datos de médicos tratantes y establecimientos de salud.
  • Cualquier otro dato de salud que el Titular ingrese voluntariamente en la Aplicación.
  1. d) Datos técnicos y de uso:
  • Dirección IP y datos de geolocalización aproximada.
  • Tipo y modelo de dispositivo móvil.
  • Sistema operativo y versión.
  • Identificadores únicos del dispositivo (Device ID).
  • Datos de uso de la Aplicación, frecuencia de acceso y registros de actividad (logs).
  • Versión de la Aplicación instalada.
5.2 Datos que EvaMed NO Recopila

EvaMed NO recopila intencionalmente: datos de menores de edad sin autorización del representante legal; datos biométricos de autenticación (huella dactilar, reconocimiento facial) distintos a los gestionados por el sistema operativo del dispositivo; datos de tarjetas de crédito o información financiera (gestionados exclusivamente por las plataformas de pago de Apple y Google); ni datos de redes sociales sin autorización expresa del Titular.


CAPÍTULO VI. FINALIDADES DEL TRATAMIENTO

Los datos personales recopilados por EvaMed serán tratados exclusivamente para las siguientes finalidades:

  1. Creación, gestión y administración de la Cuenta del Usuario en la Aplicación.
  2. Prestación del servicio de repositorio y organización de información médica personal.
  3. Garantizar la seguridad, integridad y disponibilidad de la información del Titular.
  4. Atender solicitudes, consultas, quejas y reclamos del Titular relacionados con el servicio.
  5. Enviar notificaciones operativas y de seguridad relacionadas con la Cuenta del Usuario.
  6. Cumplir con obligaciones legales, regulatorias, contables o fiscales aplicables a EvaMed.
  7. Mejorar las funcionalidades y la experiencia de usuario de la Aplicación, utilizando datos anonimizados o agregados.
  8. Realizar análisis estadísticos internos con datos anonimizados para el desarrollo del producto.
  9. Prevenir actividades fraudulentas, accesos no autorizados y vulneraciones de seguridad.
  10. Con consentimiento adicional y específico del Titular: enviar comunicaciones sobre nuevas funcionalidades, actualizaciones relevantes o información de valor relacionada con la gestión de salud personal.

EvaMed no utilizará los datos personales del Titular para finalidades distintas a las declaradas en esta Política sin obtener previamente su consentimiento expreso, salvo que una disposición legal así lo exija.


CAPÍTULO VII. BASE LEGAL DEL TRATAMIENTO

El tratamiento de datos personales por parte de EvaMed se sustenta en las siguientes bases legales, conforme a la normativa colombiana (Ley 1581 de 2012) y el RGPD de la Unión Europea:

7.1 Consentimiento del Titular

Para el tratamiento de datos sensibles de salud, EvaMed obtiene el consentimiento libre, previo, expreso, informado e inequívoco del Titular, conforme al artículo 6 de la Ley 1581 de 2012 y al artículo 9.2.a del RGPD. Este consentimiento se obtiene mediante la aceptación de los Términos y Condiciones y la presente Política al momento del registro en la Aplicación. El Titular puede revocar su consentimiento en cualquier momento a través de los canales habilitados.

7.2 Ejecución de un Contrato

El tratamiento de datos de identificación y contacto es necesario para la ejecución del contrato de prestación de servicios aceptado por el Titular al registrarse en EvaMed (artículo 6.1.b RGPD).

7.3 Cumplimiento de Obligaciones Legales

EvaMed puede tratar datos personales cuando sea necesario para cumplir con obligaciones legales, regulatorias o judiciales aplicables (artículo 6.1.c RGPD; Ley 1581 de 2012, artículo 10).

7.4 Interés Legítimo

Para finalidades como la seguridad de la Aplicación, la prevención del fraude y la mejora del producto mediante datos anonimizados, EvaMed puede fundamentarse en el interés legítimo, siempre que este no prevalezca sobre los derechos y libertades fundamentales del Titular (artículo 6.1.f RGPD). El Titular podrá oponerse a este tratamiento en cualquier momento.


CAPÍTULO VIII. TRATAMIENTO ESPECIAL DE DATOS DE SALUD

Los datos de salud constituyen datos sensibles que gozan de protección reforzada bajo la normativa colombiana e internacional. En consecuencia, EvaMed observa las siguientes medidas adicionales:

  • El tratamiento de datos de salud se realiza única y exclusivamente con base en el consentimiento explícito del Titular, otorgado de forma separada e inequívoca.
  • El acceso a los datos de salud dentro de la infraestructura de EvaMed está estrictamente restringido mediante controles de acceso basados en roles (RBAC), con registros de auditoría.
  • Los datos de salud son cifrados en tránsito mediante protocolos TLS/SSL y en reposo mediante cifrado AES-256 u estándar equivalente o superior.
  • EvaMed no comparte datos de salud identificables con terceros sin el consentimiento expreso del Titular, salvo por obligación legal o requerimiento de autoridad judicial o administrativa competente.
  • EvaMed no utiliza los datos de salud del Titular para construir perfiles con fines comerciales, publicitarios ni de segmentación de mercado.
  • En el contexto del RGPD, el tratamiento de datos de salud se ampara en el artículo 9.2.a (consentimiento explícito) y cumple con los requisitos de evaluación de impacto relativa a la protección de datos (DPIA) cuando el riesgo para los derechos del Titular así lo requiera.
  • En el contexto de HIPAA (EE.UU.), EvaMed implementa las salvaguardas administrativas, físicas y técnicas aplicables para proteger la Información de Salud Protegida Electrónica (ePHI) en los términos exigidos para los Business Associates cuando corresponda.

CAPÍTULO IX. DERECHOS DE LOS TITULARES
9.1 Derechos Reconocidos

Conforme a la Ley 1581 de 2012, el RGPD y demás normativa aplicable, el Titular de los datos personales tiene los siguientes derechos frente a EvaMed:

  1. Derecho de acceso (Habeas Data): conocer, actualizar y rectificar sus datos personales, así como los datos sobre el tratamiento que EvaMed lleva a cabo sobre ellos.
  2. Derecho de rectificación: solicitar la corrección de datos inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido.
  3. Derecho de supresión (“derecho al olvido”): solicitar la eliminación de sus datos personales cuando: (i) no sean necesarios para los fines para los que fueron recopilados; (ii) el Titular retire su consentimiento; (iii) el Titular se oponga al tratamiento y no existan motivos legítimos prevalentes; (iv) los datos hayan sido tratados ilícitamente; o (v) deban suprimirse por obligación legal.
  4. Derecho de portabilidad: recibir los datos que le conciernen en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento cuando sea técnicamente posible.
  5. Derecho de oposición: oponerse en cualquier momento al tratamiento de sus datos con fines de mercadeo, elaboración de perfiles u otras finalidades basadas en el interés legítimo de EvaMed.
  6. Derecho de limitación del tratamiento: solicitar la suspensión temporal del tratamiento cuando: (i) impugne la exactitud de los datos, durante el período de verificación; (ii) el tratamiento sea ilícito pero el Titular se oponga a su supresión; (iii) EvaMed no necesite los datos pero el Titular los requiera para el ejercicio de acciones legales.
  7. Derecho a revocar el consentimiento: en cualquier momento, sin que ello afecte la licitud del tratamiento basado en el consentimiento previo a su retirada.
  8. Derecho a no ser objeto de decisiones automatizadas: no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de datos que produzcan efectos jurídicos significativos sobre el Titular.
  9. Derecho a presentar quejas: ante la Superintendencia de Industria y Comercio (SIC) en Colombia, la autoridad de control competente en la UE, el ICO en el Reino Unido, la ANPD en Brasil, o la autoridad de protección de datos de su jurisdicción de residencia.
9.2 Procedimiento para el Ejercicio de Derechos

Para ejercer cualquiera de los derechos anteriores, el Titular o su representante deberá presentar solicitud dirigida a EvaMed a través de los canales oficiales de contacto indicados en el Capítulo I de esta Política. La solicitud deberá contener:

  • Nombre completo e identificación del Titular.
  • Descripción clara y precisa del derecho que desea ejercer.
  • Documentación que soporte la solicitud, cuando resulte aplicable.
  • Datos de contacto para notificar la respuesta.

EvaMed dará respuesta a las solicitudes en los siguientes plazos:

  • Consultas: dentro de los diez (10) días hábiles siguientes a la recepción, prorrogables hasta cinco (5) días hábiles adicionales con notificación previa al Titular (artículo 14, Ley 1581 de 2012).
  • Reclamos: dentro de los quince (15) días hábiles siguientes a la recepción, prorrogables hasta ocho (8) días hábiles adicionales con notificación previa al Titular (artículo 15, Ley 1581 de 2012).
  • Solicitudes conforme al RGPD: dentro de un (1) mes calendario desde la recepción, prorrogable por dos (2) meses adicionales en casos complejos con notificación previa (artículo 12.3 RGPD).

CAPÍTULO X. AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS
10.1 Obtención de la Autorización

EvaMed obtiene la autorización del Titular mediante mecanismos inequívocos previos al inicio del tratamiento. La autorización se obtiene al momento del registro en la Aplicación, mediante la aceptación expresa de esta Política y los Términos y Condiciones de Uso. Para los datos sensibles de salud, se obtiene una autorización adicional, separada y específica.

10.2 Prueba de la Autorización

EvaMed conservará los registros que acrediten la obtención de la autorización del Titular, incluyendo fecha, hora, mecanismo de aceptación y versión de la Política vigente al momento de la aceptación, conforme a las exigencias del artículo 9 de la Ley 1581 de 2012.

10.3 Revocación de la Autorización

El Titular podrá revocar su autorización en cualquier momento a través de los canales habilitados en la Aplicación o mediante solicitud dirigida a EvaMed. La revocación no tendrá efectos retroactivos sobre el tratamiento realizado con anterioridad a la misma. En caso de revocación, EvaMed dejará de tratar los datos del Titular conforme a lo solicitado, salvo que exista obligación legal de conservarlos.

10.4 Supuestos en los que No se Requiere Autorización

Conforme al artículo 10 de la Ley 1581 de 2012, no se requiere autorización del Titular cuando el tratamiento sea: (i) requerido por una entidad pública o administrativa en ejercicio de sus funciones; (ii) necesario para salvaguardar el interés vital del Titular o de otra persona; (iii) autorizado por ley para fines históricos, estadísticos o científicos con datos despersonalizados; o (iv) relacionado con datos de naturaleza pública.


CAPÍTULO XI. ENCARGADOS DEL TRATAMIENTO Y TERCEROS
11.1 Encargados del Tratamiento

EvaMed podrá contratar Encargados del Tratamiento (proveedores de servicios tecnológicos, infraestructura en la nube, soporte técnico, entre otros) para el procesamiento de datos personales por cuenta de EvaMed. Dichos Encargados serán seleccionados verificando que ofrezcan garantías suficientes de cumplimiento normativo, y deberán suscribir con EvaMed contratos de tratamiento de datos que incluyan, como mínimo:

  • La obligación de tratar los datos únicamente conforme a las instrucciones documentadas de EvaMed.
  • El compromiso de confidencialidad respecto a los datos tratados.
  • La adopción de medidas de seguridad técnicas y organizativas adecuadas.
  • La prohibición de subcontratar sin autorización previa de EvaMed.
  • La obligación de devolver o destruir los datos al término de la relación contractual.
  • La cooperación con EvaMed en el cumplimiento de obligaciones frente a los Titulares y las autoridades de control.
11.2 Transferencia a Terceros

EvaMed no venderá, arrendará ni cederá a título oneroso los datos personales de los Titulares a terceros con fines comerciales o publicitarios. Los datos podrán ser compartidos con terceros únicamente en los siguientes supuestos:

  • Con Encargados del Tratamiento en los términos descritos en el numeral 11.1.
  • Cuando sea requerido por autoridades judiciales, administrativas o de control competentes, mediante orden o requerimiento legalmente fundado.
  • Con el consentimiento previo, expreso e informado del Titular.
  • Cuando sea necesario para proteger los derechos legales de EvaMed en procedimientos judiciales o extrajudiciales.
  • En el contexto de una fusión, adquisición, escisión o venta de activos de EvaMed, notificando previamente a los Titulares.

CAPÍTULO XII. TRANSFERENCIAS INTERNACIONALES DE DATOS

En el evento en que EvaMed transfiera datos personales a países que no cuenten con niveles de protección adecuados conforme a la normativa colombiana o internacional, adoptará las garantías apropiadas que aseguren la protección de los datos del Titular, entre ellas:

  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea o por la SIC (según corresponda).
  • Normas Corporativas Vinculantes (Binding Corporate Rules — BCR).
  • Mecanismos de certificación reconocidos internacionalmente.
  • Declaraciones de conformidad o acuerdos bilaterales de transferencia de datos.

Las transferencias internacionales se realizarán únicamente para las finalidades declaradas en esta Política y cumpliendo con los requisitos del artículo 26 de la Ley 1581 de 2012 y el Capítulo V del RGPD, según corresponda a la jurisdicción del Titular.

En particular, el uso de servicios de infraestructura en la nube (cloud computing) para el almacenamiento de datos del Titular implica que dichos datos pueden alojarse en servidores ubicados fuera de Colombia, siempre bajo las garantías contractuales y técnicas descritas en este capítulo.


CAPÍTULO XIII. MEDIDAS DE SEGURIDAD
13.1 Medidas Técnicas
  • Cifrado de datos en tránsito mediante protocolos TLS 1.2 o superior.
  • Cifrado de datos en reposo mediante AES-256 u estándar equivalente.
  • Autenticación de usuarios mediante contraseña segura y opción de autenticación multifactor (MFA).
  • Controles de acceso basados en roles (RBAC) para el personal de EvaMed.
  • Monitoreo continuo de seguridad y gestión de vulnerabilidades.
  • Copias de seguridad periódicas con procedimientos de recuperación ante desastres.
  • Pruebas periódicas de penetración y auditorías de seguridad.
13.2 Medidas Administrativas y Organizativas
  • Políticas internas de seguridad de la información y protección de datos.
  • Acuerdos de confidencialidad suscritos por el personal que accede a datos personales.
  • Capacitación periódica al equipo en materia de protección de datos y ciberseguridad.
  • Procedimientos documentados de gestión de incidentes de seguridad.
  • Evaluaciones de impacto relativas a la protección de datos (DPIA) para tratamientos de alto riesgo.
13.3 Notificación de Brechas de Seguridad

En caso de producirse una brecha o incidente de seguridad que afecte datos personales, EvaMed actuará conforme al siguiente protocolo:

  • Notificación a la Superintendencia de Industria y Comercio (SIC) dentro del plazo establecido por la normativa colombiana vigente.
  • Notificación a la autoridad de control competente en la UE dentro de las 72 horas siguientes al conocimiento del incidente, conforme al artículo 33 del RGPD, cuando aplique.
  • Notificación a los Titulares afectados cuando el incidente represente un riesgo elevado para sus derechos y libertades, sin dilación indebida, conforme al artículo 34 del RGPD.
  • Documentación interna del incidente, sus causas, efectos y medidas de mitigación adoptadas.

CAPÍTULO XIV. CONSERVACIÓN Y SUPRESIÓN DE DATOS
14.1 Plazos de Conservación

EvaMed conservará los datos personales del Titular durante el tiempo que sea necesario para cumplir con las finalidades para las que fueron recopilados. Los criterios para determinar los plazos de conservación son:

  • Durante la vigencia de la Cuenta del Usuario: mientras el Titular mantenga activa su Cuenta en la Aplicación.
  • Tras la cancelación de la Cuenta: los datos serán eliminados o anonimizados dentro de los noventa (90) días calendario siguientes a la solicitud de cancelación, salvo que una obligación legal exija su conservación por un plazo mayor.
  • Obligaciones legales y fiscales: los datos necesarios para el cumplimiento de obligaciones contables, fiscales o legales serán conservados por el período exigido por la normativa aplicable.
  • Defensa de reclamaciones legales: cuando exista una reclamación, litigio o proceso legal en curso, los datos relevantes podrán conservarse hasta la resolución definitiva del mismo.
14.2 Supresión Segura

Una vez cumplidos los plazos de conservación aplicables, EvaMed procederá a la eliminación segura o anonimización irreversible de los datos personales, de forma que no sea posible su recuperación ni identificación posterior.


CAPÍTULO XV. DISPOSICIONES ESPECÍFICAS POR JURISDICCIÓN
15.1 Usuarios en la Unión Europea y el Espacio Económico Europeo (RGPD)

Los Titulares residentes en la UE o el EEE gozan de todos los derechos reconocidos por el RGPD (artículos 15 a 22). EvaMed cumple con los principios del RGPD en materia de protección de datos desde el diseño y por defecto (privacy by design and by default). Los Titulares europeos pueden presentar reclamaciones ante la autoridad de supervisión del Estado miembro donde residan habitualmente, ejerzan su actividad profesional o donde se haya producido la presunta infracción. Las transferencias de datos desde la UE a Colombia se realizan bajo las garantías adecuadas previstas en el artículo 46 del RGPD.

15.2 Usuarios en el Reino Unido (UK GDPR)

Los Titulares residentes en el Reino Unido tienen los mismos derechos reconocidos por el UK GDPR y pueden presentar reclamaciones ante la Information Commissioner’s Office (ICO). EvaMed cumple con los requisitos del UK GDPR para las transferencias internacionales de datos desde el Reino Unido.

15.3 Usuarios en California, Estados Unidos (CCPA/CPRA)

Los residentes en California tienen derecho a: (i) conocer las categorías de información personal recopilada sobre ellos y las finalidades de su uso; (ii) solicitar la eliminación de su información personal; (iii) no ser discriminados por ejercer sus derechos de privacidad; (iv) corregir información personal inexacta; y (v) limitar el uso y divulgación de información personal sensible. EvaMed declara expresamente que NO vende ni comparte información personal de los Titulares con terceros con fines comerciales (“Do Not Sell or Share My Personal Information”). Para ejercer sus derechos, los residentes en California pueden contactar a EvaMed a través de los canales indicados en el Capítulo I.

15.4 Usuarios en Estados Unidos (HIPAA)

En la medida en que EvaMed opere como Business Associate conforme a HIPAA, implementará y mantendrá las salvaguardas administrativas, físicas y técnicas requeridas por la Regla de Seguridad de HIPAA para proteger la Información de Salud Protegida Electrónica (ePHI). EvaMed suscribirá los acuerdos de Business Associate (BAA) que sean requeridos con las entidades cubiertas con las que interactúe.

15.5 Usuarios en Brasil (LGPD)

Los Titulares residentes en Brasil tienen los derechos reconocidos por los artículos 17 a 22 de la LGPD, incluyendo confirmación del tratamiento, acceso, corrección, anonimización, portabilidad, eliminación, información sobre compartición con terceros, oposición y revocación del consentimiento. Las solicitudes podrán dirigirse a EvaMed a través de los canales oficiales. Los Titulares pueden presentar reclamaciones ante la Autoridade Nacional de Proteção de Dados (ANPD).

15.6 Usuarios en Argentina

Los Titulares residentes en Argentina tienen los derechos de acceso, rectificación, supresión y confidencialidad reconocidos por la Ley 25.326 y sus normas reglamentarias. EvaMed se registrará ante la Dirección Nacional de Protección de Datos Personales (DNPDP) cuando sea legalmente requerido. Los Titulares pueden presentar reclamaciones ante la DNPDP.

15.7 Usuarios en México

Los Titulares residentes en México tienen los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) reconocidos por la LFPDPPP. EvaMed pondrá a disposición los mecanismos para ejercer dichos derechos conforme a los plazos y procedimientos establecidos en la Ley. Los Titulares pueden presentar reclamaciones ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).


CAPÍTULO XVI. MENORES DE EDAD

La Aplicación EvaMed no está destinada a menores de dieciocho (18) años. EvaMed no recopila deliberadamente datos personales de menores sin el consentimiento verificable de sus padres, tutores o representantes legales. Cuando EvaMed detecte o le sea notificado que ha recopilado datos de un menor sin la debida autorización, procederá a su eliminación inmediata. Los representantes legales de menores de edad que hayan accedido a la Aplicación deberán notificarlo a EvaMed a través de los canales de contacto oficiales para gestionar la eliminación de los datos.


CAPÍTULO XVII. COOKIES Y TECNOLOGÍAS DE RASTREO

La Aplicación EvaMed puede utilizar tecnologías de almacenamiento local (como cookies, tokens de sesión e identificadores de dispositivo) exclusivamente con las siguientes finalidades:

  • Mantener la sesión activa del Usuario autenticado.
  • Garantizar la seguridad de la Cuenta y prevenir accesos no autorizados.
  • Mejorar el rendimiento y la experiencia de uso de la Aplicación.
  • Recopilar datos analíticos anonimizados sobre el uso de la Aplicación.

EvaMed no utiliza tecnologías de rastreo con fines publicitarios ni comparte identificadores de dispositivo con redes publicitarias externas. El Titular puede gestionar los permisos de la Aplicación desde la configuración de su dispositivo móvil.


CAPÍTULO XVIII. ACTUALIZACIONES DE LA POLÍTICA

EvaMed se reserva el derecho de modificar la presente Política en cualquier momento para adaptarla a cambios normativos, jurisprudenciales, operativos o tecnológicos. Las modificaciones serán notificadas al Titular a través de la Aplicación, por correo electrónico o por cualquier otro medio que garantice su conocimiento, con al menos treinta (30) días de anticipación para cambios sustanciales. La continuación en el uso de la Aplicación tras la entrada en vigencia de la nueva versión constituirá la aceptación de la Política actualizada. EvaMed mantendrá disponibles las versiones anteriores de la Política para consulta del Titular.


CAPÍTULO XIX. REGISTRO DE LA POLÍTICA

En cumplimiento del artículo 17, literal k) de la Ley 1581 de 2012, EvaMed SAS ha registrado la presente Política de Tratamiento de Datos Personales y sus bases de datos ante la Superintendencia de Industria y Comercio (SIC), conforme a los plazos y procedimientos establecidos en la normativa vigente. [Nota: Registrar ante la SIC dentro de los plazos legales tras la publicación de esta Política.]


CAPÍTULO XX. VIGENCIA

La presente Política de Tratamiento de Datos Personales rige a partir del 10 de marzo de 2026 y tendrá vigencia indefinida hasta tanto sea modificada o derogada por EvaMed SAS, conforme al procedimiento de actualización descrito en el Capítulo XVIII. Las bases de datos objeto de tratamiento por parte de EvaMed tendrán la vigencia que sea necesaria para el cumplimiento de las finalidades aquí declaradas.


CONTACTO Y CANAL DE ATENCIÓN AL TITULAR

Para ejercer sus derechos como Titular, presentar consultas, solicitudes o reclamos relacionados con el tratamiento de sus datos personales, o para cualquier comunicación relacionada con esta Política, el Titular puede contactar a EvaMed SAS a través de los siguientes canales:

  • Canal oficial dentro de la Aplicación EvaMed (sección de soporte y privacidad).
  • Correo electrónico de protección de datos: notificaciones@evamed.app
  • Dirección física: Carrera 37 #1oeste-46 204C— Cali, Valle del Cauca, Colombia.
  • Teléfono de contacto: +57 3151603255

EvaMed atenderá las solicitudes dentro de los plazos legalmente establecidos, según se indica en el Capítulo IX de esta Política.

EvaMed SAS  |  NIT 902.036.887-3

Cali, Valle del Cauca, Colombia

Versión 1.0  |  Vigente desde el 10 de marzo de 2026

Todos los derechos reservados