Política de Privacidad

Última actualización: 24 de abril de 2026

En UrreAI nos comprometemos a proteger la privacidad y los datos personales de nuestros usuarios y de los pacientes que estos gestionan a través de nuestra plataforma.

1. Responsable del tratamiento

Nombre: Juan David Urrea Ospina
Nombre comercial: UrreAI
Tipo: Persona natural
Identificación tributaria: NIT 1110286276-3
Cédula de ciudadanía: C.C. 1.110.286.276 expedida en Cali, Valle del Cauca
Actividad económica (CIIU): 6201 — Actividades de desarrollo de sistemas informáticos
Régimen tributario: Impuesto de renta y complementarios — régimen ordinario
Domicilio: Cali, Valle del Cauca, Colombia
Correo electrónico: contacto@urreai.com
Teléfono: +57 312 655 9662
Sitio web: https://urreai.com
Aplicación: https://app.urreai.com

2. Marco legal

Esta Política de Privacidad se rige por las siguientes normas de la República de Colombia:

Ley 1581 de 2012 — Ley Estatutaria de Protección de Datos Personales.
Decreto 1377 de 2013 — Reglamenta parcialmente la Ley 1581 de 2012.
Sentencia C-748 de 2011 — Corte Constitucional de Colombia, fundamento del derecho al habeas data.
Ley 2015 de 2020 — Interoperabilidad de la Historia Clínica Electrónica (IHCE).
Resolución 866 de 2021 — Datos clínicos relevantes y catálogos de interoperabilidad.
Resolución 1888 de 2025 — Resumen Digital de Atención en Salud (RDA) en el marco de la IHCE.
Ley 527 de 1999 — Comercio electrónico y validez de documentos digitales.

3. Definiciones

Las siguientes definiciones corresponden a las establecidas en la Ley 1581 de 2012:

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato sensible: Aquel que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación. Los datos de salud, origen étnico, vida sexual y datos biométricos son considerados sensibles.
Titular: La persona natural cuyos datos personales son objeto de tratamiento. En el contexto de UrreAI, puede ser el Profesional o el paciente.
Responsable del tratamiento: Persona natural o jurídica que decide sobre la finalidad, contenido y uso del tratamiento. Respecto a los datos de pacientes, el Responsable es el Profesional de la salud.
Encargado del tratamiento: Quien realiza el tratamiento de datos personales por cuenta del Responsable. UrreAI actúa como Encargado respecto a los datos que almacena y procesa en nombre del Profesional.
Tratamiento: Cualquier operación sobre datos personales: recolección, almacenamiento, uso, circulación, supresión, entre otras.
Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de sus datos personales.

4. Datos que recopilamos

4.1 Datos del Profesional (usuario registrado)

Dato	Finalidad	Base legal
Nombre completo	Personalización del servicio e identificación	Ejecución del contrato
Correo electrónico	Autenticación, comunicaciones y soporte	Ejecución del contrato
Teléfono celular	Contacto y verificación	Ejecución del contrato
Especialidad médica	Personalización y plantillas del servicio	Ejecución del contrato
Nombre y dirección del consultorio	Configuración del perfil profesional	Ejecución del contrato
Horarios de atención	Gestión de agenda y citas	Ejecución del contrato
Datos de facturación	Procesamiento de pagos y obligaciones tributarias	Obligación legal + contrato

4.2 Datos de pacientes (gestionados por el Profesional)

Los datos de salud de los pacientes son datos SENSIBLES conforme al artículo 5 de la Ley 1581 de 2012. Su tratamiento requiere consentimiento EXPLÍCITO del titular (el paciente).

Dato	Finalidad	Base legal
Nombre	Identificación y gestión de citas	Consentimiento + interés legítimo del Profesional
Teléfono	Recordatorios, comunicación por WhatsApp	Consentimiento
Correo electrónico (opcional)	Comunicaciones adicionales	Consentimiento
Edad (opcional)	Personalización del perfil del paciente	Consentimiento
Motivo de consulta	Notas del Profesional (dato sensible)	Consentimiento explícito
Historial de citas	Gestión y seguimiento de la relación asistencial	Consentimiento + interés legítimo
Comunicaciones por WhatsApp	Recordatorios y atención administrativa	Consentimiento
Datos de pre-consulta (síntomas)	Apoyo al Profesional antes de la consulta (dato sensible)	Consentimiento explícito

Es responsabilidad exclusiva del Profesional obtener el consentimiento informado de sus pacientes antes de ingresar sus datos en la Plataforma, especialmente tratándose de datos sensibles de salud.

4.3 Datos técnicos (recopilados automáticamente)

Dirección IP: Seguridad, detección de accesos no autorizados.
Tipo de navegador y dispositivo: Compatibilidad y mejora de la experiencia del usuario.
Páginas visitadas dentro de la app: Análisis de uso para mejorar el servicio (datos agregados y anónimos).
Fecha y hora de acceso: Auditoría de seguridad y análisis de uso.

Base legal de los datos técnicos: interés legítimo de UrreAI en la seguridad y mejora del servicio.

5. Finalidades del tratamiento

5.1 Finalidades principales

1Proveer los servicios contratados: gestión de citas, automatización por WhatsApp, notas de consulta, gestión de redes sociales, analítica y demás funcionalidades del plan suscrito.
2Gestionar la cuenta del Profesional, incluyendo autenticación, configuración y soporte técnico.
3Procesar pagos, emitir facturas y cumplir obligaciones tributarias.
4Enviar comunicaciones relacionadas con el servicio: recordatorios de renovación, notificaciones de mantenimiento, actualizaciones importantes y respuestas a solicitudes de soporte.
5Mejorar la Plataforma mediante análisis estadísticos anónimos y agregados del uso del servicio.
6Cumplir con obligaciones legales aplicables a UrreAI.

5.2 Finalidades que requieren autorización adicional

Enviar comunicaciones comerciales o promocionales sobre nuevas funcionalidades, planes o servicios de UrreAI (puede desactivarse en cualquier momento).
Compartir datos anonimizados para investigación estadística del sector salud en Colombia.

6. Tratamiento de datos sensibles

Los datos de salud de los pacientes (síntomas, diagnósticos, historial de consultas) son datos sensibles conforme al artículo 5 de la Ley 1581 de 2012.
El tratamiento de datos sensibles requiere el consentimiento explícito del titular (el paciente). El Profesional es el Responsable del Tratamiento y está obligado a obtener dicho consentimiento antes de ingresar información de salud en la Plataforma.
UrreAI provee herramientas para facilitar la obtención del consentimiento (mensaje automático de WhatsApp con política de privacidad simplificada), pero no asume responsabilidad si el Profesional omite obtenerlo.
Ningún dato sensible es utilizado por UrreAI para fines comerciales, de marketing o de análisis de terceros.
El acceso a los datos sensibles está estrictamente restringido al Profesional que los ingresó. Los datos sensibles de un Profesional no son accesibles por otros usuarios de la Plataforma.
UrreAI no usa datos de pacientes para entrenar modelos de inteligencia artificial, fine-tuning ni datasets comerciales.
UrreAI no accede al contenido clínico salvo cuando sea estrictamente necesario para soporte técnico autorizado por el Profesional o por requerimiento de autoridad competente.

7. Almacenamiento y seguridad

Infraestructura: Los datos se almacenan en los servidores de Google Cloud Platform (Firebase), con ubicación en Estados Unidos (us-east1) o Sudamérica (southamerica-east1).
Encriptación en reposo: AES-256, provista de forma estándar por Google Cloud Storage y Firestore.
Encriptación en tránsito: TLS 1.3 en todas las comunicaciones entre el cliente y los servidores.
Control de acceso: Cada Profesional solo puede acceder a sus propios datos y a los de sus pacientes, mediante reglas de seguridad estrictas de Firestore. Ningún Profesional puede ver datos de otro.
Autenticación: Firebase Authentication con verificación de token en cada solicitud al servidor.
Acceso por UrreAI: UrreAI no accede a los datos clínicos del Profesional en condiciones normales. El acceso solo se produce por requerimiento judicial o por soporte técnico crítico, previa comunicación al Profesional cuando las circunstancias lo permitan.
Copias de seguridad: Google Cloud realiza copias de seguridad automáticas de Firestore según sus políticas estándar de disponibilidad.

8. Derechos del titular

Conforme al artículo 8 de la Ley 1581 de 2012, todo titular de datos personales tiene los siguientes derechos:

Derecho de acceso: Conocer qué datos personales suyos están siendo tratados por UrreAI, el origen, las finalidades y las cesiones realizadas.
Derecho de actualización: Solicitar la rectificación de datos inexactos, incompletos, fraccionados o que induzcan a error.
Derecho de supresión: Solicitar la eliminación de sus datos cuando no exista obligación legal o contractual que justifique su conservación.
Derecho de revocación: Revocar la autorización otorgada para el tratamiento de sus datos, en cualquier momento.
Derecho de acceso gratuito: Consultar sus datos personales de forma gratuita al menos una vez al mes.
Derecho de queja: Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la Ley 1581 de 2012.

8.1 Procedimiento para ejercer derechos

Para ejercer cualquiera de estos derechos, el titular debe enviar una solicitud escrita a contacto@urreai.com con la siguiente información:

1Nombre completo del solicitante.
2Número de documento de identidad.
3Descripción clara y precisa de la solicitud.
4Datos de contacto (correo electrónico y/o teléfono) para respuesta.
5Documentos que soporten la solicitud, si aplica.

UrreAI dará respuesta dentro de los diez (10) días hábiles siguientes a la recepción de la solicitud, conforme al artículo 15 de la Ley 1581 de 2012. Si la solicitud está incompleta, se requerirá al titular dentro de los cinco (5) días hábiles siguientes.

8.2 Derechos de los pacientes

Los pacientes cuyos datos son gestionados por un Profesional a través de UrreAI deben dirigir sus solicitudes de ejercicio de derechos directamente al Profesional, quien actúa como Responsable del Tratamiento. Si el paciente no obtiene respuesta satisfactoria del Profesional, puede contactar directamente a UrreAI en contacto@urreai.com o presentar queja ante la Superintendencia de Industria y Comercio.

9. Transferencia y transmisión de datos

Para la correcta prestación del servicio, UrreAI puede transmitir datos a los siguientes proveedores de servicios (sub-encargados), quienes actúan bajo sus propias políticas de privacidad:

Google Cloud / Firebase: Almacenamiento, base de datos y autenticación. Política: firebase.google.com/support/privacy
Meta / WhatsApp Business API: Envío de mensajes automatizados. Política: www.whatsapp.com/legal/privacy-policy
OpenAI / Whisper API: Transcripción de audio a texto (cuando el Profesional usa esta funcionalidad). Política: openai.com/privacy
Anthropic / Claude API: Procesamiento de IA para generación de contenido. Política: anthropic.com/privacy

UrreAI no vende, alquila ni comparte datos personales con terceros para fines comerciales o publicitarios.

En caso de transferencia internacional de datos (servidores ubicados fuera de Colombia), UrreAI cumple con lo dispuesto en el artículo 26 de la Ley 1581 de 2012, obteniendo autorización expresa e inequívoca del titular cuando corresponde.

9.1 Pre-consulta asistida por IA (Anthropic, EE.UU.)

UrreAI ofrece la funcionalidad de pre-consulta inteligente, mediante la cual el paciente responde un formulario clínico antes de su cita. Las respuestas son procesadas por el servicio de inteligencia artificial provisto por Anthropic, Inc., empresa con sede en San Francisco, Estados Unidos, con el único fin de generar un resumen estructurado (briefing) para el médico tratante.

Al completar el formulario de pre-consulta y aceptar el aviso de consentimiento, el titular autoriza expresamente esta transferencia internacional, con las siguientes garantías específicas:

Las respuestas enviadas a Anthropic NO incluyen identificadores directos del paciente (nombre, documento, teléfono, email). Solo contienen datos clínicos, edad y sexo.
UrreAI se encuentra en proceso de suscribir un Data Processing Addendum (DPA) con Anthropic. Mientras tanto, el procesamiento se rige por los términos comerciales publicados por Anthropic en anthropic.com/legal/commercial-terms, los cuales establecen que los datos enviados a través de la API NO se utilizan para entrenar modelos.
Anthropic cumple con estándares internacionales de seguridad (SOC 2 Type II, ISO 27001) y aplica cifrado en tránsito y en reposo.
Los datos son eliminados conforme a las políticas de retención de Anthropic. UrreAI no tiene control sobre la retención interna del proveedor.
El titular puede revocar esta autorización en cualquier momento escribiendo a contacto@urreai.com. La revocación impedirá el uso futuro de la funcionalidad pero no afecta el procesamiento ya realizado.

9.2 Naturaleza del briefing generado por IA y derechos del paciente

El briefing producido por la pre-consulta es una herramienta de apoyo destinada exclusivamente al médico tratante. UrreAI deja constancia expresa de las siguientes garantías frente al paciente:

El briefing NO constituye diagnóstico, tratamiento ni recomendación médica. El criterio clínico del médico tratante prevalece en todo momento sobre cualquier sugerencia generada por la inteligencia artificial.
El briefing es revisado por el médico antes y durante la consulta. El paciente tiene derecho a solicitar que el médico le explique cómo se usó el briefing en la atención recibida.
El paciente puede solicitar acceso al texto completo del briefing generado a partir de sus respuestas escribiendo a contacto@urreai.com, conforme al artículo 8 de la Ley 1581 de 2012.
El acceso público al formulario está protegido por: (i) un enlace único e impredecible que se entrega solo al paciente; (ii) una verificación adicional con la fecha de nacimiento antes de mostrar el formulario; (iii) un bloqueo automático tras intentos fallidos repetidos.
El enlace de pre-consulta expira automáticamente 24 horas después de la fecha de la cita. Después de la expiración el formulario no puede completarse.
Si el paciente identifica un error material en el briefing (por ejemplo, un dato incorrecto trasladado desde sus respuestas), puede solicitar la rectificación contactando al médico tratante o a UrreAI.

UrreAI almacena un registro de auditoría de todos los accesos al formulario y a los briefings generados, conforme al principio de demostrabilidad del artículo 26 del Decreto 1377 de 2013.

10. Cookies y tecnologías similares

La Plataforma utiliza cookies técnicas estrictamente necesarias para el funcionamiento del servicio, incluyendo la gestión de sesión y la autenticación del Usuario.
No se utilizan cookies de publicidad, rastreo de comportamiento de terceros ni herramientas de retargeting.
El Usuario puede configurar su navegador para rechazar o eliminar cookies, aunque esto puede afectar el correcto funcionamiento de la Plataforma, incluyendo la imposibilidad de iniciar sesión.
Las cookies de sesión se eliminan automáticamente al cerrar el navegador. Las cookies persistentes de autenticación tienen una vigencia de 24 horas.

11. Conservación de datos

Tipo de dato	Período de conservación	Justificación
Datos del Profesional (cuenta activa)	Mientras la cuenta esté activa	Prestación del servicio
Datos del Profesional (tras cancelación)	90 días adicionales	Período de gracia para exportación
Datos de pacientes	Mientras la cuenta del Profesional esté activa + 90 días	Continuidad del servicio
Datos de facturación	5 años desde la fecha de la transacción	Obligación tributaria colombiana
Transcripciones de audio	30 días desde el procesamiento	Uso temporal y eliminación segura
Logs técnicos de acceso	12 meses	Seguridad y auditoría

Transcurrido el período de conservación aplicable, los datos serán eliminados de forma segura e irreversible, excepto aquellos sujetos a obligación legal de conservación.

12. Menores de edad

La Plataforma UrreAI está diseñada exclusivamente para profesionales de la salud mayores de 18 años. No recopilamos intencionalmente datos personales de menores de 18 años como usuarios de la Plataforma.

Respecto a los datos de pacientes menores de edad que el Profesional gestione a través de la Plataforma, el Profesional está obligado a obtener la autorización del padre, madre o representante legal del menor, conforme al artículo 7 de la Ley 1581 de 2012, antes de ingresar cualquier información del menor en la Plataforma.

13. Incidentes de seguridad

En caso de producirse una vulneración o brecha de seguridad que comprometa datos personales almacenados en la Plataforma, UrreAI procederá de la siguiente manera:

1Notificar a los titulares afectados dentro de las 72 horas siguientes a tener conocimiento del incidente, a través del correo electrónico registrado.
2Notificar a la Superintendencia de Industria y Comercio (SIC) conforme a la normativa vigente.
3La notificación incluirá: descripción del incidente, naturaleza de los datos comprometidos, medidas correctivas inmediatas adoptadas y recomendaciones para los titulares.
4Adoptar las medidas técnicas y organizacionales necesarias para contener el incidente y prevenir su repetición.

14. Modificaciones a esta política

UrreAI se reserva el derecho de modificar esta Política de Privacidad. Toda modificación será notificada al Usuario con al menos quince (15) días de anticipación a su entrada en vigencia, a través del correo electrónico registrado y mediante aviso visible dentro de la Plataforma.

La fecha de última actualización se muestra siempre en la parte superior de este documento. Le recomendamos revisar periódicamente esta política.

15. Contacto y quejas

15.1 Contacto con UrreAI

Responsable: Juan David Urrea Ospina
NIT: 1110286276-3
Correo electrónico: contacto@urreai.com
Teléfono / WhatsApp: +57 312 655 9662
Domicilio: Cali, Valle del Cauca, Colombia

15.2 Autoridad de control

Si considera que sus derechos no han sido atendidos adecuadamente, puede presentar queja ante la autoridad de control colombiana:

Entidad: Superintendencia de Industria y Comercio (SIC)
Sitio web: www.sic.gov.co
Línea gratuita: 01 8000 910 165
Línea en Bogotá: (601) 592 0400

Última actualización: 24 de abril de 2026 · Vigente desde la fecha de publicación

Ver Términos de Servicio →