MEDLINK CARIBBEAN SERVICES S.A.S. es una compañía que tiene como objeto social principal: (1) Celebrar todo tipo de contratos comerciales; (2) Adquirir, enajenar,  dar o tomar en arrendamiento bienes, muebles o inmuebles, grabarlos, en cualquier forma; (3) Celebrar contratos de prestación de servicios médicos, con pacientes en Colombia y en el exterior; (4) Celebrar contratos de prestación de servicios médicos o de intermediación de servicios médicos con entidades públicas y privadas en Colombia y en el exterior; (5) Celebrar contratos de prestación de servicios médicos con entidades de salud en Colombia y en el exterior; (6) Celebrar contratos de prestación de servicios médicos con profesionales de la salud en Colombia y en el exterior.

 CAPÍTULO I – MARCO LEGAL

El artículo 15 de la Constitución de la República de Colombia establece que cualquier persona tiene derecho a conocer, actualizar y rectificar los datos personales que existan sobre ella en banco de datos o archivos de entidades públicas o privadas y ordena a quienes tengan datos personales de terceros, respetar los derechos y garantías previstos en la Constitución cuando se recolecta, trata y circula esa clase de información.

Posteriormente, la Ley 1266 de 2008 reglamentó el derecho al habeas data financiero y en el año 2009 la Ley 1273 estableció como delito la “violación de datos personales».

Así mismo, en la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y el Decreto 1074 de 2015, se establecieron las condiciones mínimas para realizar el tratamiento legítimo y adecuado de los datos personales y se obliga a los Responsables del Tratamiento de dichos datos a adoptar políticas internas que permitan garantizar el adecuado cumplimiento de la normatividad vigente en esta materia.

CAPÍTULO II – OBJETO Y ALCANCE

Las presentes Políticas tienen como objeto desarrollar el derecho al Hábeas Data que tienen todas las personas sobre las cuales MEDLINK en el desarrollo de sus actividades empresariales, haya recopilado, administrado o tratado sus datos de carácter personal, bien sean clientes, usuarios, tomadores, asegurados, beneficiarios, afiliados, pacientes, empleados, proveedores, accionistas y demás colaboradores o cualquier otra persona natural.

Garantizamos que en concordancia con la ley vigente, todas las entidades de salud con las cuales tenemos relaciones de negocios y que atienden a los pacientes que contactan a MEDLINK, tienen sus propias políticas de tratamiento de datos, las cuales deben cumplir con la normatividad nacional sobre la materia.

Las presentes Políticas se encuentran publicadas en la página web de MEDLINK (Medlink.com.co), con el fin de que sean conocidas por los Titulares de los datos y los terceros que tengan acceso a los datos personales administrados por MEDLINK.

CAPÍTULO III – DEFINICIONES

Para efectos de la interpretación y aplicación de éstas Políticas, a continuación se relacionarán las siguientes definiciones o conceptos:

Accionistas: Toda persona que haya tenido o tenga acciones de MEDLINK.

Autorización: Consentimiento previo, expreso e informado del Titular del dato para llevar a cabo el tratamiento de su información personal.

Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento, tanto por entidades públicas como privadas. Incluye aquellos depósitos de datos que constan en documentos y que tienen la calidad de archivos.

Colaborador: Se entenderá como tal a todas las personas que actúan directamente con MEDLINK en función de los terceros que nos contratan; tales como accionistas, directivos, empleados, contratistas, proveedores, aprendices, etc.

Consulta: Solicitud del Titular o sus causahabientes con el fin de consultar la información que del Titular repose en las bases de datos administradas por MEDLINK.

Dato personal: Cualquier información que directa o indirectamente se refiere a una persona natural o que permita asociarse a una o varias personas y que permite identificarla. Son algunos ejemplos de datos personales los siguientes: nombre, número de identificación ciudadana, dirección física, dirección de correo electrónico, número telefónico, estado civil, datos de salud, huella dactilar, salario, bienes, estados financieros, etc.

Dato personal sensible: Información que afecta la intimidad de la persona o cuyo uso indebido puede generar su discriminación, tales como por ejemplo aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos (datos de salud, huellas dactilares, fotos, videos)

Dato personal público: Es el dato calificado como tal por ley o la Constitución Política o el que no sea privado, semiprivado o sensible. Son públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público, los datos contenidos en el RUNT o los datos contenidos en el registro público mercantil de las Cámaras de Comercio. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

Dato personal privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para la persona titular del dato. Ejemplos: libros de los comerciantes (contabilidad), información extraída a partir de la inspección del domicilio, número telefónico siempre y cuando no se encuentre en bases públicas o el salario.

Dato personal semiprivado. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como, entre otros, el dato referente al cumplimiento o incumplimiento de las obligaciones financieras, o los datos relativos a las relaciones con las entidades de la seguridad social.

Encargado del tratamiento: Persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, realiza el tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Menores: Hace referencia a los menores de dieciocho (18) años, y corresponde a los Niños Niñas y Adolescentes.

Reclamo: Solicitud del Titular o sus causahabientes cuando consideren que la información contenida en una base de datos administrada por MEDLINK deba ser corregida, actualizada o eliminada, o en el evento en que se advierta un incumplimiento por parte de ésta o de alguno de sus Encargados

Responsable del tratamiento: Persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, decide sobre la recolección de datos personales y/o el tratamiento de los datos.

Titular del dato: Es la persona natural cuyos datos personales sean objeto de tratamiento.

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales como, entre otros, la recolección, el almacenamiento, el uso, la circulación o supresión de esa clase de información.

Transferencia: Envío de datos personales que realiza el Responsable o el Encargado desde Colombia a un Responsable que se encuentra dentro (transferencia nacional) o fuera del país (transferencia internacional).

Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro (transmisión nacional) o fuera de Colombia (transmisión internacional) y que tiene por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.

CAPÍTULO IV – PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES

A continuación, se exponen los principios contenidos en la normatividad vigente, los cuales son relevantes para tratamiento de datos personales:

Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la Ley 1581 de 2012 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen.

Principio de finalidad: El Tratamiento de los datos personales debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular.

Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la ley.

Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos, están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley y en los términos de la misma.

Necesidad y proporcionalidad. Los datos personales registrados en una base de datos deben ser los estrictamente necesarios para el cumplimiento de las finalidades del Tratamiento, informadas al Titular y por tal razón, deben ser adecuados, pertinentes y acordes con las finalidades para los cuales fueron recolectados.

Temporalidad o caducidad. El período de conservación de los datos personales será el necesario para alcanzar la finalidad para la cual se han recolectado;

Teniendo en cuenta lo anterior, MEDLINK en desarrollo del principio de legalidad velará porque los datos sean recopilados, tratados y manejados de manera lícita. Esto es que en desarrollo de sus actividades recolectará únicamente los datos necesarios para la prestación de los servicios contratados.

Así mismo, y cuando MEDLINK actúe como Responsable del Tratamiento, es decir cuando se encuentre frente a un Titular que va a entregar sus datos personales, le informará a éste de manera clara, suficiente y previa acerca de la finalidad del tratamiento que se le dará a los datos personales a ser suministrados.

Igualmente, MEDLINK acatará la potestad que tiene el Titular para autorizar o no el uso de sus datos personales. Sin embargo, debe tenerse en cuenta que conforme a lo previsto en la normatividad vigente, en ningún caso el Titular del dato podrá revocar la autorización y solicitar la supresión del dato, cuando exista un deber legal o contractual que le imponga el deber de permanecer en la base de datos o archivo del Responsable o Encargado.

CAPÍTULO V – DERECHOS DE LOS TITULARES

Derechos de los Titulares de la información

MEDLINK respeta y garantiza los derechos de los Titulares de los datos, los cuáles se relacionan a continuación:

• Conocer, actualizar y rectificar sus datos personales.
• Solicitar prueba de la autorización otorgada por éstos en calidad de Titulares de los datos a MEDLINK, salvo cuando, de acuerdo con la Ley, el Tratamiento que se esté realizando no lo requiera.
• Ser informado por MEDLINK sobre el uso dado a los datos personales del Titular, previa solicitud efectuada por éste a través de los canales dispuestos para ello.
• Presentar ante la Superintendencia de Industria y Comercio (SIC) quejas o reclamos por infracciones a la normatividad vigente y solicitar ante dicha entidad la supresión del dato personal, cuando se haya determinado que en el tratamiento por parte de MEDLINK se incurrió en conductas contrarias a la ley.

CAPÍTULO VI – FINALIDADES DEL TRATAMIENTO DE LOS DATOS PERSONALES ADMINISTRADOS

MEDLINK podrá recolectar y tratar datos personales de sus clientes, usuarios, pacientes, empleados, accionistas, miembros de junta directiva, aprendices, proveedores y demás colaboradores, así como datos de naturaleza sensible que se encuentren relacionados o no, con el estado de salud, antecedentes e historial clínico que sean requeridos con el fin de llevar a cabo las actividades que le permitan a MEDLINK desarrollar su objeto.

Los datos administrados por MEDLINK se conservan de acuerdo con los principios de necesidad y razonabilidad; de caducidad y temporalidad y con lo dispuesto en las normas especiales que regulan la conservación de documentos.

CAPÍTULO VII – DEBERES EN CALIDAD DE RESPONSABLE Y ENCARGADO DELTRATAMIENTO

Deberes en calidad de Responsable del Tratamiento.

Teniendo en cuenta que el Responsable de los datos personales es el que define o decide sobre las bases de datos y su tratamiento, cuando MEDLINK actúe como Responsable, deberá cumplir con los siguientes deberes:

• Solicitar y conservar, en las condiciones previstas en esta Política, copia o grabación de la respectiva autorización otorgada por el Titular.
• Informar de manera clara y suficiente a los usuarios sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
• Garantizar al usuario, a través de los canales de atención establecidos en la presente Política, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data, es decir, conocer, actualizar o rectificar sus datos personales.
• Informar a solicitud del usuario sobre el uso dado a sus datos personales.
  Tramitar las consultas y reclamos formulados en los términos señalados en la presente Política.
• Observar los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en la presente Política.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Actualizar la información cuando sea necesario.
• Rectificar los datos personales cuando ello sea procedente.
• Garantizar que la información que se suministre al Encargado del tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible.
• Atender las instrucciones y requerimientos formulados por la Superintendencia de Industria y Comercio.
• Los demás que se encuentren previstos en las normas generales vigentes que regulan la materia.

Deberes en calidad de Encargado del Tratamiento.

En los eventos en los que MEDLINK realice el tratamiento de datos en nombre de otra entidad u organización, es decir, en calidad de Encargado, deberá cumplir los siguientes deberes:

• Verificar que el Responsable del tratamiento esté autorizado para suministrar a MEDLINK los datos personales que tratará como Encargado.
• Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
• Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Realizar oportunamente la actualización, rectificación o supresión de los datos.
• Actualizar la información reportada por los Responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo.
• Abstenerse de circular información que esté siendo controvertida por el usuario y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
• Permitir el acceso a la información únicamente a las personas autorizadas por el usuario o facultadas por la ley para dicho efecto.
• Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los usuarios.
• Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
• Los demás que se encuentren previstos en las normas generales vigentes que regulan la materia.

CAPÍTULO VIII – PROCEDIMIENTO DE PQR´S

MEDLINK cuenta con mecanismos tecnológicos, humanos y administrativos que permiten atender de manera adecuada los requerimientos, peticiones, consultas, quejas y reclamos relativos al tratamiento de datos personales, con el fin de garantizar el ejercicio de los derechos contenidos en la Constitución y en la ley, especialmente el derecho a conocer, actualizar, rectificar y suprimir información personal; así como el derecho a revocar el consentimiento otorgado para el tratamiento de datos personales, cuando no exista un deber legal o contractual del Titular de permanecer en las bases de datos administrados por MEDLINK.

Canales

Los canales establecidos por MEDLINK para la presentación de peticiones, quejas y reclamos son los siguientes:

1. a) Línea telefónica

MEDLINK directo +57 321 7107100

1. b) Página Web: Sección virtual:
   
   https://medlink.com.co

Contenido de la consulta o reclamo:

La solicitud debe estar dirigida a MEDLINK o la empresa respectiva que forme parte del grupo empresarial y debe contener como mínimo los siguientes datos:

1. Nombres y apellidos del Titular.
2. Número de identificación del Titular.
3. Datos de localización del Titular.
4. Descripción de los hechos que dan lugar a la consulta o reclamo.
5. Documentos que considere soportan su consulta o reclamo.
6. Medio por el cual desea recibir respuesta
7. Nombre del peticionario, el cual, si es diferente al Titular, debe adjuntar los documentos que le permitan actuar en su nombre.
8. Firma del peticionario.

CAPÍTULO IX – TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

Cuando se transfieran datos personales a otro país será imprescindible contar con la autorización del Titular de la información que es objeto de transferencia, salvo que la ley disponga lo contrario. En este sentido, antes de enviar datos personales a otro país, MEDLINK verificará que se cuenta con la autorización previa, expresa e inequívoca del Titular que permita transferir sus datos personales. Se precisa que en los casos de urgencia médica o sanitaria no se requiere autorización de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.

La transferencia de datos personales se podrá realizar únicamente con terceros con quienes MEDLINK tenga vínculo contractual, comercial y/o jurídico, y en los casos en que el usuario solicite los servicios en países en los cuales exista presencia de MEDLINK y de acuerdo al clausulado y/o al plan de beneficios.

CAPÍTULO X – MODIFICACIÓN Y/O ACTUALIZACIÓN DE LA POLÍTICA DE PROTECCIÓN DE DATOS Y MANEJO DE INFORMACIÓN

Teniendo en cuenta que ésta Política se encuentra publicada en la página web Medlink.com.co, cualquier cambio sustancial en éstas será informado a través de este mismo medio.

 Vigencia

La vigencia de estas Políticas inició a partir del 14 de junio de 2023 en cumplimiento a la Ley 1581 de 2012.