Política de Privacidad

Vigente desde: 01/08/2019

Última revisión y aprobación: 26/12/2025

Objetivos

Establecer los lineamientos y responsabilidades de Conexia para el cumplimiento de la legislación vigente, en lo referente al tratamiento de datos personales recolectados por la organización.

Asimismo, asegurar el cumplimiento de los principios de minimización, limitación de finalidad, confidencialidad, integridad y disponibilidad, y habilitar el ejercicio efectivo de los derechos de los titulares para los países donde Conexia tiene operación.


Alcance

Los lineamientos descritos en este documento aplican a todos los colaboradores, clientes, contratistas, proveedores o cualquier tercero. Los responsables del tratamiento y/o custodios se someterán a lo indicado en la presente política, acogiéndose a las medidas de tratamiento, finalidades, procedimientos y uso adecuado de la información y bases de datos, así como al conjunto de mecanismos descritos con los que sus titulares cuentan a fin de conocer, actualizar, modificar, rectificar, suprimir o en general disponer de los datos suministrados, y/o revocar la autorización dada a Conexia, sus sucursales o filiales.

Esta política aplica a todo tratamiento de datos personales realizado por Conexia (automatizado o manual) en los países donde tenga operación, incluso cuando, tratándose fuera del país, resulte aplicable la normativa local por el vínculo del servicio, la titularidad, el establecimiento o el contrato.

Para efectos de la presente política, se entenderá que la información objeto de tratamiento por parte de Conexia y, para este documento, los “datos personales” serán el conjunto de datos que suministran los titulares cuando acceden a los bienes, servicios y plataformas comerciales de la compañía, y que en general pueden resumirse como nombres, apellidos, números de identificación, edad, sexo, dirección, país, ciudad de residencia, correo electrónico, gustos, preferencias, datos de salud y, en general, el conjunto de datos requeridos y recolectados por los sistemas de información de cada uno de los clientes de Conexia, proveedores y/o partes interesadas.

Se incluye también información obtenida por Conexia a través de: (i) registros de acceso y logs; (ii) sistemas de autenticación; (iii) analítica de plataformas; (iv) comunicaciones con clientes/proveedores; (v) fuentes autorizadas por ley o por el titular; y (vi) datos generados por la prestación del servicio (p. ej., trazabilidad, transacciones, evidencias de soporte).


Roles y responsabilidades

  • Oficial de Protección de Datos: coordina el cumplimiento, atiende consultas y reclamos, asesora evaluaciones de riesgo e impacto y gestiona incidentes de datos personales conforme a la ley.

  • Seguridad de la Información: define y verifica controles de seguridad aplicables al tratamiento de datos personales (acceso, cifrado, monitoreo, respaldo, eliminación segura, segregación, entre otros).

  • Líderes de proceso y responsables de los datos (CFO, EM, PM): mantienen un inventario y registro de bases, finalidades, flujos, encargados del tratamiento, transferencias y plazos de retención contractual y legal; y garantizan que exista base legal o consentimiento cuando lo requiera la ley.

  • C-Level, CIT, CTO: revisan, aprueban y hacen cumplir la presente política.

  • CFO, COO y CSD: aseguran y promueven el cumplimiento de la presente política.

  • Asociados, colaboradores, clientes, contratistas, proveedores y cualquier parte interesada: realizan sus actividades en base a los lineamientos de esta política y los controles definidos para la recolección, tratamiento y disposición final de los datos; asimismo, son responsables de comunicar cualquier incumplimiento.


1. Principios para el tratamiento de datos personales

  • Principio de legalidad: el tratamiento de datos personales es una actividad regulada que debe sujetarse a lo establecido en la ley de cada país y en las demás disposiciones que la desarrollen.

  • Principio de finalidad: el tratamiento debe obedecer a una finalidad legítima de acuerdo con las leyes de cada país donde se recolectan los datos, la cual debe ser informada al titular.

  • Principio de libertad: el tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular, salvo mandato legal o judicial que releve el consentimiento.

  • Principio de veracidad o calidad: la información debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

  • Principio de transparencia: se garantiza al titular el derecho a obtener información, en cualquier momento y sin restricciones, sobre la existencia de datos que le conciernen.

  • Principio de acceso y circulación restringida: los datos personales, salvo la información pública, no podrán estar disponibles en internet ni en otros medios masivos, salvo que el acceso sea técnicamente controlable para un conocimiento restringido a titulares o terceros autorizados.

  • Principio de seguridad: se aplicarán las medidas técnicas, humanas y administrativas necesarias para evitar adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

  • Principio de confidencialidad: todas las personas que intervengan en el tratamiento están obligadas a garantizar la reserva de la información, incluso después de finalizada su relación.

  • Minimización: Conexia solo recolectará los datos estrictamente necesarios para las finalidades declaradas.

  • Limitación de conservación: los datos se conservarán únicamente por el tiempo necesario o exigido por ley o contrato, y luego serán eliminados o anonimizados de forma segura.


2. Política de tratamiento de datos personales Conexia

La Dirección de Conexia asume la siguiente Política de Tratamiento de Datos Personales como lineamiento para conducir sus actividades, asegurando el cumplimiento de la legislación vigente en cada país y gestionando adecuadamente el tratamiento de los datos contenidos en sus bases de datos, en su rol de:

  • Encargado del tratamiento cuando actúa como proveedor de servicios a sus clientes.

  • Responsable o Encargado cuando se trata de datos de sus empleados, proveedores de servicio y clientes.

  • Conexia actuará como Responsable o Encargado según el servicio o contrato, y documentará dicha condición en los acuerdos con clientes y proveedores.

  • Cuando Conexia sea Encargado, tratará los datos únicamente conforme a instrucciones documentadas del Responsable, salvo obligación legal aplicable.

  • Implementar medidas técnicas y organizativas proporcionales al riesgo del tratamiento y la naturaleza de los datos, incluidos los datos de salud.

  • Asegurar el cumplimiento de la legislación vigente y de la normativa de carácter voluntario a la que suscriba Conexia.

  • Definir roles y responsabilidades en relación con el tratamiento de datos personales.

  • Dar tratamiento, a nombre del Responsable, de los datos personales conforme a los principios que los tutelan.

  • Salvaguardar la seguridad de las bases de datos con los controles definidos.

  • Proteger la información en relación con los principios de confidencialidad, integridad y disponibilidad, y el acceso a los mismos por personas no autorizadas.

  • Establecer mecanismos para responder consultas y reclamos de los titulares dentro de los plazos definidos por las leyes de cada país.


3. Responsable del tratamiento de datos personales

Responsable del tratamiento: persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros decide sobre las bases de datos y/o el tratamiento de los datos contenidos en ellas. Conexia es la responsable de la información personal obtenida y utilizada dentro del alcance de esta política, cuando se trata de datos de sus empleados, proveedores de servicio y clientes.

Verificación de identidad: Conexia y/o el delegado de protección de datos podrá solicitar información razonable para validar identidad o representación antes de entregar, modificar o eliminar datos, evitando accesos indebidos o no autorizados por el titular.

Registro de bases de datos: el delegado de protección de datos registrará y actualizará las bases de datos en el RNBD u otras entidades cuando esté obligado, conforme a la regulación aplicable en cada país.

Canales de atención: ver el bloque de contacto al final de esta política con las oficinas de Colombia y Argentina.


4. Tratamiento al que serán sometidos los datos y su finalidad

La información y bases de datos transmitidas o generadas a partir de los datos personales suministrados por los clientes serán utilizadas con los siguientes fines, agrupados por base:

Pacientes y usuarios de servicios de salud

Finalidades esenciales

  • Autenticación y verificación de la comprobación de derechos del paciente.

  • Procesamiento de autorizaciones de prescripciones y prestaciones, incluyendo su valorización y la del copago.

  • Consulta y trazabilidad de la historia prestacional.

  • Pago electrónico de copagos.

  • Respuestas a solicitudes de mejoramiento, peticiones, quejas y reclamos.

  • Actualización de datos y documentos de identificación.

  • Procesamiento de datos para la gestión de contrataciones, autorizaciones, cuentas médicas, receta electrónica y demás actividades indicadas en el acuerdo contractual.

  • Soporte y trazabilidad de la atención de los servicios prestados por Conexia.

  • Todas aquellas actividades acordes con la prestación y mejora del servicio.

Finalidades analíticas

  • Análisis del riesgo poblacional general e individual de los pacientes.

  • Análisis del gasto en salud.

  • Encuestas de satisfacción de los servicios y atenciones prestadas.

  • Mejoras en los servicios prestados mediante herramientas de inteligencia artificial generativa, para la gestión de contrataciones, cuentas médicas, autorizaciones, receta electrónica y demás proyectos que Conexia considere para sus clientes.

Finalidades legales

  • Campañas para dar cumplimiento a la normativa vigente.

  • Información de campañas y programas especiales (promoción de la salud y prevención de la enfermedad).


Proveedores de salud / Prestadores

  • Autenticación y verificación del proveedor para brindar servicio.

  • Gestión operativa y de trazabilidad relacionada con la prestación, cuando aplique al servicio.

  • Respuestas a solicitudes, peticiones, quejas y reclamos.


Colaboradores y candidatos

  • Gestión administrativa y operativa asociada a la relación laboral o contractual con Conexia y sus clientes.

  • Actualización de datos y documentos de identificación requeridos por Conexia para la actualización de las bases de datos.


Proveedores y contratistas

  • Gestión de la relación comercial y contractual: altas, validaciones, pagos, soporte e historial del proveedor con Conexia.

  • Respuestas a solicitudes, peticiones, quejas y reclamos de Conexia y/o de sus clientes.


Clientes y prospectos

  • Gestión de la relación comercial y atención al cliente.

  • Evaluación de la calidad de los servicios prestados y nivel de satisfacción.

  • Envío de información sobre novedades en productos y/o servicios de Conexia.

  • Información sobre campañas publicitarias, informativas o promocionales de los servicios prestados por Conexia.

  • Envío de información comercial, promociones y campañas publicitarias.


Finalidades específicas, datos sensibles y canales

Cuando existan finalidades opcionales (por ejemplo, mercadeo) se gestionará un consentimiento independiente y se ofrecerá un mecanismo de baja a través de los canales indicados.

Cuando se trate de información de salud u otra categoría especial, Conexia limitará el acceso por necesidad de saber, aplicará controles de seguridad y obtendrá la autorización explícita o la habilitación legal aplicable según cada país.

El titular será informado de forma clara y oportuna sobre finalidades, derechos, canales y transferencias o transmisiones, mediante el aviso de privacidad y la política publicada y accesible al momento de la recolección, así como en los canales definidos para la divulgación de estas políticas, como su sitio web www.conexia.com.

Estas actividades podrán realizarse a través de correo físico, correo electrónico, mensajes de texto vía celular o cualquier otro medio tecnológico que Conexia considere.

La aceptación de la presente política por parte de los titulares conlleva la autorización para el tratamiento de sus datos, de forma parcial o total, incluyendo recolección, almacenamiento, grabación, uso, circulación, procesamiento, supresión, transmisión y/o transferencia a terceros países, para la ejecución de las actividades relacionadas con el negocio.


5. Transferencias, transmisiones y transferencias internacionales

  • Vigencia: las bases de datos de los clientes de Conexia tendrán una vigencia igual al período en que se mantenga la finalidad o finalidades del tratamiento, conforme al acuerdo contractual con cada cliente.

  • Transferencia a Encargados (proveedores): cuando Conexia comparta datos con proveedores que actúen como Encargados (hosting, soporte, mesa de ayuda, herramientas de monitoreo, PaaS, SaaS, etc.), revisará finalidades, políticas, medidas de seguridad, acuerdos de confidencialidad, sub-encargados, devolución o eliminación segura, auditoría y notificación de incidentes.

  • Transferencias internacionales: antes de realizar cualquier transferencia, Conexia garantizará que los datos sean transmitidos solo a países, proveedores o regiones con un nivel adecuado de protección de datos, salvo excepciones legales o contractuales aplicables con el cliente.

  • Transparencia: Conexia mantendrá un listado actualizado de proveedores que tratan y/o almacenan datos personales.


6. Atención de consultas y reclamos

El responsable del tratamiento de datos personales en Conexia es el proceso de Administración y Finanzas, al que podrá contactar telefónicamente o por correo electrónico, o acercarse a las direcciones indicadas en el bloque de contacto al final de esta política.


Plazos por país

  • Colombia: consultas, máximo 10 días hábiles; si no es posible, se informa la demora y se responde en máximo 5 días hábiles adicionales. Reclamos, máximo 15 días hábiles, con prórroga máxima de 8 días hábiles, marcando “reclamo en trámite” cuando aplique.

  • Argentina: 10 días corridos; rectificación, actualización o supresión, 5 días hábiles desde el reclamo.

  • Ecuador: acceso, rectificación, eliminación u oposición, 15 días hábiles.


7. Autorización

Conexia solicitará la autorización del tratamiento de datos del titular a más tardar al momento de la captura de la información. En relaciones comerciales se incluirá una cláusula en los contratos con los diferentes dueños de los datos con quienes Conexia tenga una relación contractual.

La autorización deberá ser expresa e informada cuando lo requiera la normativa aplicable, y se conservará evidencia verificable que incluya las finalidades específicas para las cuales se obtiene el consentimiento, por cualquier medio que pueda ser objeto de consulta posterior.

Excepciones: cuando la ley permita el tratamiento sin autorización (por ejemplo, supuestos legales en Colombia), Conexia documentará la base jurídica aplicable y limitará el uso a la finalidad legal correspondiente.


8. Responsabilidades del Encargado del tratamiento

  • Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio de los derechos asociados a las leyes de protección de datos personales aplicables.

  • Conservar la información bajo las condiciones de seguridad necesarias para impedir adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

  • Realizar oportunamente la actualización, rectificación o supresión de los datos.

  • Actualizar la información reportada por los Responsables del Tratamiento dentro de los plazos indicados por la ley.

  • Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la ley.

  • Adoptar un manual interno de políticas y procedimientos para garantizar el cumplimiento de las leyes aplicables, en especial la Ley 1581 de 2012 (Colombia), la Ley 25.326 (Argentina) y la LOPD (Ecuador), para la atención de consultas y reclamos.

  • Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por las entidades reguladoras.

  • Permitir el acceso a la información únicamente a las personas autorizadas.

  • Informar a las entidades correspondientes cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.

  • Notificación de incidentes (Colombia, Ecuador, Argentina, etc.): Conexia, como Responsable o Encargado, reportará incidentes de seguridad de datos personales a las entidades competentes según el mecanismo aplicable y dentro de los tiempos indicados por la ley.

  • Gestión de encargados y sub-encargados: Conexia exigirá garantías suficientes de seguridad y protección de datos a sus proveedores y prohibirá la subcontratación sin autorización cuando aplique.


9. Tratamiento de datos de niños, niñas y adolescentes

Para el tratamiento de datos de niños y adolescentes, Conexia los considera dentro de las categorías especiales: a estos datos se les aplicarán controles reforzados o no serán tratados.

Conexia implementará validaciones de consentimiento o representación cuando aplique, y limitará su uso a finalidades estrictamente necesarias.


10. Seguridad de la información aplicada a datos personales

Conexia implementará controles técnicos, humanos y administrativos para prevenir adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, incluyendo, como mínimo:

  • Control de acceso por roles.

  • Registro y monitoreo de actividades.

  • Cifrado cuando aplique o sea acordado entre las partes.

  • Segregación de ambientes.

  • Gestión de vulnerabilidades.

  • Respaldo y recuperación.

  • Gestión de incidentes.

  • Eliminación o anonimización segura al finalizar la retención de los datos.

  • Otros controles alineados con el estándar internacional de seguridad y privacidad ISO 27001:2022.


11. Vigencia

  • Los datos personales que sean almacenados, utilizados o transmitidos se conservarán en la base de datos de la compañía durante el tiempo necesario para las finalidades mencionadas en esta política o para que Conexia pueda cumplir sus deberes legales en el desarrollo de su objeto social y operacional.

  • La supresión no procederá cuando exista obligación legal de conservar los datos o se afecten derechos o intereses legítimos (por ejemplo, defensa judicial), caso en el cual se aplicará bloqueo o restricción de acceso.

  • La vigencia de la base de datos está estrechamente relacionada con las finalidades para las cuales fueron recolectados los datos personales.

  • Esta política entra en vigencia desde el 01/08/2019.

  • Fecha de última revisión y aprobación: 26/12/2025.


Definiciones

Titular: Persona natural cuyos datos son objeto de tratamiento.

Responsable del tratamiento: Quien decide sobre la base de datos y/o el tratamiento.

Encargado del tratamiento: Quien trata datos por cuenta del Responsable.

Dato personal sensible / categoría especial: ncluye, entre otros, datos de salud y demás categorías especiales aplicables según la jurisdicción.

Transferencia: Envío de datos a otro Responsable.

Transmisión: Envío de datos a un Encargado para que trate por cuenta del Responsable.

Incidente / vulneración de seguridad: Evento que afecte la confidencialidad, integridad o disponibilidad de datos personales.