Términos y Condiciones

Términos y Condiciones del Servicio akripta — Canal Institucional (B2B)

Entre: Camilo Vásquez Carvajalino, persona natural identificado con la cédula de ciudadanía número 1.062.959.484 expedida en Montería, NIT 1062959484-4, con domicilio en la ciudad de Montería (Córdoba, Colombia), operador comercial bajo la denominación akripta (en adelante, "akripta");

Y: la institución prestadora de servicios de salud o entidad equivalente identificada al pie de la aceptación electrónica o del contrato de prestación de servicios (en adelante, "la Institución");

celebran el presente contrato de prestación de servicios de software como Encargado del Tratamiento, sujeto a las siguientes cláusulas.

1. Objeto

akripta entrega a la Institución, bajo la modalidad de licencia institucional de uso, el acceso al software de transcripción radiológica asistida por inteligencia artificial akripta, incluyendo el cliente de escritorio para los dispositivos de los radiólogos vinculados a la Institución y el servicio en la nube que procesa el audio dictado para generar el reporte estructurado correspondiente. El número de puestos, la lista de radiólogos autorizados y el precio se acuerdan en el documento comercial que acompaña a estos T&C.

2. Calificaciones bajo la Ley 1581 de 2012

La Institución declara y acepta que actúa como Responsable del Tratamiento respecto de los datos personales de sus pacientes, en los términos del artículo 3, literal d, de la Ley 1581 de 2012. akripta actúa como Encargado del Tratamiento por cuenta de la Institución, exclusivamente para las finalidades pactadas en la cláusula 4.

3. Categorías de datos tratados

akripta tratará dos categorías de datos por cuenta de la Institución:

• Datos de los radiólogos-usuarios designados por la Institución: nombre, email, especialidad, organización, plantillas de reporte configuradas y tokens de sesión. Estos datos se persisten en la base de datos de akripta para la operación del servicio.
• Datos del paciente embebidos en el audio dictado por el radiólogo: nombre, edad, datos demográficos básicos, antecedentes y hallazgos clínicos. Estos datos no se persisten en la infraestructura de akripta. Se procesan en memoria volátil del servidor y se transmiten a los sub-procesadores estrictamente para la generación del reporte. La memoria del servidor se libera al cierre de cada solicitud. El reporte generado se almacena cifrado en el dispositivo del radiólogo bajo la arquitectura criptográfica descrita en la cláusula 9.

4. Finalidades autorizadas

akripta tratará los datos descritos en la cláusula 3 exclusivamente para las siguientes finalidades: (i) prestar el servicio de transcripción y generación de reportes radiológicos a los radiólogos-usuarios designados por la Institución; (ii) operar la autenticación de los usuarios mediante magic link; (iii) administrar las plantillas y reglas de reporte propias de la Institución y de cada radiólogo; (iv) prestar soporte técnico al servicio; (v) cumplir obligaciones legales aplicables. akripta no podrá utilizar los datos para finalidades distintas, ni cederlos a terceros distintos de los sub-procesadores autorizados en la cláusula 8.

5. Responsabilidades de la Institución

La Institución es responsable, frente al paciente y frente a la autoridad de control, de:

• Obtener del paciente la autorización previa, expresa e informada para el tratamiento de sus datos personales en el marco del estudio radiológico, incluida la circulación de tales datos a los sub-procesadores de software clínico contratados por la Institución.
• Incluir en su política de tratamiento o en el consentimiento informado del paciente una referencia al uso de software de transcripción asistida por inteligencia artificial con transferencia internacional a Estados Unidos y a Canadá. La cláusula modelo a la que se hace referencia se entrega en la Sección VIII del Addendum 1 al Paquete Legal akripta v1.
• Designar y mantener actualizada la lista de radiólogos-usuarios autorizados y los permisos asignados a cada uno.
• Verificar que el uso del servicio por parte de sus radiólogos-usuarios se ajuste a la lex artis, al código de ética médica y a las normas internas de la Institución.
• Notificar a akripta cualquier incidente de seguridad o sospecha de incidente que haya identificado en su entorno.

6. Responsabilidades de akripta como Encargado

akripta se compromete a:

• Tratar los datos únicamente para las finalidades autorizadas en la cláusula 4.
• Implementar y mantener las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos, incluyendo cifrado en tránsito (TLS), cifrado en reposo de la base de datos, restricción del acceso a la infraestructura productiva, y la arquitectura criptográfica del historial local descrita en la cláusula 9.
• Realizar verificación previa al alta de cada radiólogo-usuario, mediante magic link enviado al email registrado por la Institución.
• Atender las solicitudes de derechos ARCO que los titulares formulen a través de la Institución, en los plazos legales del artículo 14 y 15 de la Ley 1581 de 2012.
• Notificar a la Institución, en un plazo no superior a setenta y dos (72) horas desde su conocimiento, cualquier incidente de seguridad que pueda afectar datos tratados por cuenta de la Institución.
• Mantener un registro interno de tratamiento de datos, conforme al principio de responsabilidad demostrada del artículo 26 del Decreto 1377 de 2013.

7. Régimen del audio dictado

La Institución reconoce y acepta que el audio que el radiólogo dicta para que akripta lo procese puede contener datos personales del paciente embebidos en el discurso del radiólogo. Este es el modo operativo natural de la radiología y no constituye, por parte de akripta, un acto de recolección directa de datos del paciente. La Institución asume la responsabilidad de haber obtenido el consentimiento del paciente con anterioridad al estudio para que su información clínica pueda ser procesada por software clínico contratado por la Institución, dentro del cual se incluye akripta.

8. Sub-encargados (sub-procesadores) autorizados

La Institución autoriza expresamente a akripta a delegar parte del tratamiento en los siguientes sub-encargados, en los términos del artículo 26 del Decreto 1377 de 2013:

• DigitalOcean LLC — infraestructura de cómputo y base de datos, datacenter en Toronto, Canadá (nivel adecuado de protección reconocido por la SIC vía cláusula final del numeral 3.2 del Capítulo 3 del Título V de la Circular Única, por declaración de adecuación de la Comisión Europea — decisión 2002/2/CE — sobre la PIPEDA canadiense).
• OpenAI — transcripción de voz a texto y clasificación, infraestructura en Estados Unidos (nivel adecuado reconocido por la SIC en el numeral 3.2 del Capítulo 3 del Título V de la Circular Única, conforme a la Circular Externa 005 de 2017 vigente).
• Anthropic — generación del reporte estructurado, infraestructura en Estados Unidos (nivel adecuado reconocido por la SIC en el mismo numeral).
• Resend — envío de magic links de autenticación al email del médico-usuario, infraestructura en Estados Unidos (nivel adecuado reconocido por la SIC).
• Google LLC — Sheets API para administración interna de plantillas de configuración, infraestructura en Estados Unidos (nivel adecuado reconocido por la SIC). No transitan datos del paciente por esta vía.

akripta podrá modificar la lista de sub-encargados notificando a la Institución por correo electrónico con una antelación no inferior a treinta (30) días calendario. Si la Institución no manifiesta objeción dentro de ese plazo, la modificación se entenderá aceptada.

9. Modelo de minimización técnica y custodia del historial

akripta mantiene una arquitectura de minimización: ningún dato del paciente se persiste en los servidores de akripta. El reporte generado se entrega al cliente del radiólogo y se almacena exclusivamente en el dispositivo de éste, cifrado mediante AES-256-GCM con una Master Key custodiada en el almacén seguro del sistema operativo del dispositivo (Keychain en macOS, Credential Store en Windows). Cada reporte usa una Data Encryption Key independiente cifrada por la Master Key. Los archivos cifrados se eliminan automáticamente del dispositivo del radiólogo a los tres (3) días de su creación, mediante purga ejecutada al arranque de la aplicación. akripta no tiene acceso a la Master Key y, en consecuencia, no puede leer los reportes después de generados.

10. Transferencia internacional de datos

La Institución reconoce y autoriza expresamente que la operación normal del servicio implica transferencia internacional de datos del paciente a Canadá (DigitalOcean) y a Estados Unidos (OpenAI, Anthropic, Resend, Google). Dichos países cuentan con nivel adecuado de protección reconocido por la SIC en el numeral 3.2 del Capítulo 3 del Título V de la Circular Única, conforme a la Circular Externa 005 de 2017 vigente a la fecha del presente documento. En consecuencia, las transferencias no requieren autorización adicional del titular del dato ni declaración de conformidad ante la SIC, conforme al artículo 26 de la Ley 1581 de 2012.

11. Datos sensibles

Las partes reconocen que los datos clínicos del paciente son datos sensibles en los términos del artículo 5 de la Ley 1581 de 2012. La Institución se obliga a obtener la autorización del paciente con los requisitos reforzados del artículo 6 de la misma ley. akripta aplicará al tratamiento de tales datos las medidas de seguridad reforzadas descritas en la cláusula 6.

12. Plazos de respuesta a derechos ARCO

Si el paciente — titular del dato — formula directamente a akripta una solicitud de acceso, rectificación, cancelación u oposición, akripta la trasladará a la Institución dentro de los dos (2) días hábiles siguientes a su recepción y prestará el soporte técnico necesario para que la Institución la atienda en los plazos legales (diez días hábiles para consulta, quince días hábiles para reclamo, prorrogables conforme a la ley).

13. Vigencia y terminación

Este contrato regirá por el plazo pactado en el documento comercial y se renovará automáticamente por períodos sucesivos iguales, salvo que cualquiera de las partes notifique por escrito su decisión de no renovarlo con una antelación no inferior a sesenta (60) días calendario al vencimiento del período en curso. La terminación anticipada por incumplimiento se regirá por el artículo 1546 del Código Civil colombiano.

14. Devolución y supresión de datos al terminar

Dentro de los treinta (30) días siguientes a la terminación del contrato, por cualquier causa, akripta:

• Eliminará de su base de datos los registros de los radiólogos-usuarios asignados por la Institución, salvo aquellos que la ley colombiana imponga conservar (registros de auditoría con fines de defensa frente a reclamaciones).
• No conservará reportes del paciente, dado que estos nunca se almacenaron en su infraestructura.
• Entregará a la Institución, si esta lo solicita por escrito dentro del mismo plazo, un certificado de supresión que dé constancia del cumplimiento de esta obligación.

15. Régimen de incidentes

akripta notificará a la Institución cualquier incidente de seguridad — incluidos los incidentes que afecten a sub-encargados que comprometan datos tratados por cuenta de la Institución — en un plazo no superior a setenta y dos (72) horas desde su conocimiento. La obligación de notificar al titular y a la SIC, conforme al artículo 17 literal n de la Ley 1581 de 2012, corresponde a la Institución en su calidad de Responsable.

16. Limitación de responsabilidad

akripta responderá únicamente por los daños directos derivados de su dolo o culpa grave en el cumplimiento de las obligaciones de este contrato. No responderá por: (i) usos del servicio contrarios a la lex artis o a las normas internas de la Institución; (ii) audios dictados sin haber obtenido el consentimiento del paciente; (iii) actos u omisiones de los radiólogos-usuarios designados por la Institución; (iv) incidentes ocurridos en el entorno de la Institución que no involucren la infraestructura de akripta. La responsabilidad total acumulada de akripta frente a la Institución durante la vigencia del contrato no excederá el monto pagado por la Institución a akripta en los doce (12) meses inmediatamente anteriores al hecho generador del daño.

17. Indemnidad cruzada

Si por causa imputable a la Institución — incluida la falta del consentimiento del paciente que la Institución estaba obligada a obtener — akripta debiere asumir una sanción, una indemnización o un costo de defensa frente a la SIC o ante un tercero, la Institución reembolsará a akripta los montos correspondientes, incluyendo honorarios profesionales razonables. La obligación de indemnidad subsiste a la terminación del contrato.

18. Confidencialidad

Cada parte se obliga a mantener bajo estricta confidencialidad la información comercial, técnica y operativa de la otra parte a la que tenga acceso con ocasión del contrato. La obligación se mantendrá vigente durante cinco (5) años desde la terminación del contrato.

19. Ley aplicable y jurisdicción

Este contrato se rige por la ley colombiana. Cualquier controversia derivada de él se someterá a los jueces de la República de Colombia con jurisdicción en el domicilio de akripta (Montería, Córdoba).

20. Notificaciones

Las notificaciones se cursarán por correo electrónico a las direcciones registradas por cada parte. Para akripta: legal@akripta.com. Para la Institución: la dirección que ésta haya indicado al momento del alta del servicio.

21. Aceptación

La aceptación de estos T&C se realiza mediante firma electrónica o aceptación electrónica expresa, en la modalidad acordada en el documento comercial. La fecha y la versión del texto aceptado quedan registradas para fines de trazabilidad.