BoketClinic

← Documentos legales

Habeas Data y tratamiento de datos clínicos

Vigencia: 27 de mayo de 2026 · Versión 1.0 (borrador)

Este documento explica cómo se tratan los datos de los pacientes que las clínicas almacenan en Boket Clinic. Es complementario a la política de privacidad (que cubre datos de usuarios de la plataforma) y a los términos del servicio. Es un borrador inicial — antes de tener efecto vinculante debe ser revisado por un abogado.

1. ¿De qué datos hablamos?

Cuando una clínica usa Boket Clinic almacena información personal y clínica de sus pacientes:

  • Datos de identificación: nombres, apellidos, tipo y número de documento, fecha de nacimiento, género, dirección, teléfono, email.
  • Datos de contacto y acudiente: familiares, contactos de emergencia.
  • Datos clínicos sensibles: historia clínica, diagnósticos, tratamientos, evolución, odontograma, periodontograma, resultados de exámenes, archivos cargados, fotos clínicas.
  • Datos financieros del paciente: facturas emitidas, pagos, saldo pendiente, plan de pagos.
  • Comunicaciones: recordatorios y mensajes enviados al paciente por email o WhatsApp.

Los datos clínicos son datos sensibles bajo la Ley 1581 de 2012. Su tratamiento requiere autorización expresa, escrita o equivalente, del paciente.

2. Roles: Responsable y Encargado

Bajo la Ley 1581, hay dos figuras relevantes:

  • Responsable del Tratamiento: quien decide la finalidad y los medios del tratamiento de datos personales.
  • Encargado del Tratamiento: quien procesa datos por cuenta del Responsable, siguiendo sus instrucciones.

En el contexto de Boket Clinic:

  • La clínica que usa Boket es el Responsable del tratamiento de los datos de sus pacientes. Es la clínica quien tiene la relación directa con los pacientes, captura su autorización y decide los fines del tratamiento (atender consultas, llevar historia clínica, facturar, etc.).
  • Boket Clinic (Walleo SAS) es el Encargado. Procesamos los datos únicamente para prestarle el servicio a la clínica, siguiendo sus instrucciones, en los términos pactados.

3. Obligaciones de la clínica (Responsable)

Al usar Boket Clinic, la clínica se compromete a:

  • Contar con autorización expresa del paciente para tratar sus datos personales, incluyendo los datos sensibles de salud, conforme a la Ley 1581 y al Decreto 1377.
  • Informar al paciente sobre las finalidades del tratamiento, su política de tratamiento de datos, y los derechos que le asisten.
  • Atender las consultas y reclamos que los pacientes presenten directamente a la clínica.
  • Mantener los datos exactos y actualizados.
  • Aplicar medidas razonables de seguridad respecto a credenciales, dispositivos y prácticas internas.
  • Inscribir su base de datos ante el Registro Nacional de Bases de Datos (RNBD) de la SIC cuando aplique según el volumen.
  • Cumplir con las normas sectoriales de salud (Resolución 1995 de 1999 sobre historia clínica, Resolución 3100 de 2019 sobre habilitación de servicios, entre otras).

4. Obligaciones de Boket (Encargado)

Boket se compromete a:

  • Procesar los datos clínicos únicamente para fines de prestación del servicio acordado con la clínica.
  • No vender, ceder ni usar los datos clínicos para fines distintos a la operación de la plataforma.
  • Aplicar medidas de seguridad técnicas: cifrado en tránsito (HTTPS), cifrado en reposo para datos sensibles, control de acceso por roles, backups diarios, registros de auditoría.
  • Notificar a la clínica en caso de incidente de seguridad que pueda afectar datos de sus pacientes.
  • Cooperar con la clínica para atender solicitudes de los pacientes que requieran nuestra intervención técnica (ej. exportar datos, eliminar datos cuando la clínica lo solicite).
  • Devolver o eliminar los datos clínicos al finalizar la relación contractual con la clínica, salvo obligación legal de retención.

5. Derechos del paciente y cómo ejercerlos

Si eres paciente de una clínica que usa Boket Clinic, tienes los mismos derechos que la Ley 1581 reconoce a cualquier titular de datos:

  • Conocer qué datos tiene la clínica sobre ti.
  • Actualizar, rectificar o complementar tus datos.
  • Solicitar copia de la autorización otorgada.
  • Ser informado sobre los usos que se dan a tus datos.
  • Revocar la autorización y/o solicitar la supresión de datos cuando no exista deber legal de conservarlos.
  • Presentar quejas ante la Superintendencia de Industria y Comercio.

¿A quién acudes? Tienes que acudir directamente a la clínica que tiene tu historia clínica. Es la responsable del tratamiento. Cada clínica debe tener su propia política y un canal para recibir solicitudes (típicamente un correo de privacidad o el formulario de contacto en su sede física).

Si la clínica no responde o si tu solicitud requiere intervención técnica directa sobre Boket, también puedes escribirnos a privacidad@boket.com.co y haremos lo necesario para atender la solicitud junto con la clínica.

6. Retención de historia clínica

Las historias clínicas tienen plazos de retención específicos en Colombia:

  • Resolución 839 de 2017 establece que la historia clínica debe conservarse por un mínimo de 15 años desde la última atención.
  • Algunas especialidades o tipos de información pueden requerir plazos mayores.

Boket conserva la historia clínica mientras la clínica mantenga su cuenta activa. Si la clínica termina su contrato con Boket, está obligada a descargar la historia clínica completa antes del cierre y a continuar conservándola por su cuenta durante los plazos legales. Boket facilitará la exportación de los datos en formato estándar (CSV/JSON) sin costo adicional.

7. Transferencias y subcontratistas

Los datos clínicos se procesan en infraestructura de:

  • Supabase / AWS (base de datos y autenticación).
  • Vercel (aplicación web).
  • Resend (envío de correos a pacientes — recordatorios, etc.).
  • Meta WhatsApp Business (cuando la clínica habilita el módulo y los pacientes responden).

Estos proveedores actúan como sub-encargados. Boket mantiene acuerdos con ellos que les exigen niveles adecuados de protección. La clínica autoriza estas transferencias al aceptar los términos del servicio.

8. Incidentes de seguridad

Si Boket detecta un incidente de seguridad que pueda afectar datos de pacientes:

  • Notificaremos a las clínicas afectadas a la mayor brevedad posible.
  • Proporcionaremos información sobre el alcance del incidente, los datos involucrados y las medidas tomadas.
  • Apoyaremos a la clínica en las comunicaciones que deba hacer a sus pacientes y a la SIC, conforme al artículo 17 literal n) de la Ley 1581.

9. Contacto

Para asuntos relacionados con habeas data o datos clínicos:

Autoridad de control en Colombia: Superintendencia de Industria y Comercio · sic.gov.co