Política de Privacidad y Tratamiento de Datos Personales

La presente Política se rige por las siguientes normas de la República de Colombia:

• Ley Estatutaria 1581 de 2012 — Régimen General de Protección de Datos Personales
• Decreto 1377 de 2013 — Reglamentario parcial de la Ley 1581 de 2012
• Decreto Único Reglamentario 1074 de 2015 — Título 2, Capítulo 25 y 26
• Ley 1616 de 2013 — Ley de Salud Mental, modificada por la Ley 2460 de 2025
• Resolución 0347 de 2026 — Código Dorado para la atención en crisis de salud mental
• Ley 1480 de 2011 — Estatuto del Consumidor
• Ley 1273 de 2009 — Protección de la información y de los datos en sistemas informáticos
• Circular Externa 002 de 2015 de la SIC — Instrucciones en materia de Registro Nacional de Bases de Datos

Para los efectos de esta Política, los siguientes términos tendrán el significado que se indica a continuación, de conformidad con la Ley 1581 de 2012 y el Decreto 1377 de 2013:

• Dato personal: Cualquier información vinculada o que pueda asociarse a una persona natural determinada o determinable.
• Dato sensible: Dato personal que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación. Se consideran sensibles los datos relativos a la salud, la vida sexual, los datos biométricos, el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, y la pertenencia a sindicatos u organizaciones sociales o de derechos humanos. Los datos que Ishara recolecta sobre el estado emocional, el bienestar psicológico y las experiencias personales del titular se clasifican como datos sensibles relativos a la salud mental.
• Titular: Persona natural cuyos datos personales son objeto de tratamiento. En el contexto de Ishara, el titular es el usuario que interactúa con la plataforma.
• Responsable del tratamiento: Persona natural o jurídica que decide sobre el tratamiento de los datos personales. En esta Política, el responsable es NEXAI.
• Encargado del tratamiento: Persona natural o jurídica que realiza el tratamiento de datos personales por cuenta del responsable. En el contexto de Ishara, los encargados incluyen los proveedores de infraestructura tecnológica y de inteligencia artificial descritos en la Sección 8.
• Co-responsable del tratamiento: Persona natural o jurídica que, junto con el responsable, determina las finalidades y los medios del tratamiento. En el contexto institucional de Ishara, las instituciones educativas o de salud que contratan el servicio pueden ser co-responsables según lo establecido en el contrato de co-responsabilidad correspondiente.
• Tratamiento: Cualquier operación sobre datos personales, tales como la recolección, almacenamiento, uso, circulación, supresión o anonimización.
• Autorización: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
• Anonimización irreversible: Proceso técnico mediante el cual se eliminan o transforman todos los identificadores directos e indirectos de un dato personal de manera que sea imposible reconstruir la identidad del titular original, ni por NEXAI ni por terceros, incluso combinando los datos anonimizados con otras fuentes de información.
• Inteligencia artificial (IA): Sistemas informáticos basados en modelos de lenguaje de gran escala que procesan texto en lenguaje natural para generar respuestas y análisis. Ishara utiliza IA para las interacciones con el usuario y para el análisis del contenido de las conversaciones. La IA de Ishara NO realiza diagnósticos clínicos, NO sustituye la atención profesional en salud mental y NO constituye un servicio de telesalud.

Ishara es una plataforma tecnológica de acompañamiento emocional asistida por inteligencia artificial. Es importante que el titular comprenda lo siguiente:

1. Ishara NO es un servicio de salud mental. No realiza diagnósticos, no prescribe tratamientos, no sustituye la consulta con un profesional de la salud mental.
2. Ishara NO es terapia psicológica. Las interacciones con la plataforma no constituyen una relación terapéutica profesional.
3. Ishara utiliza inteligencia artificial para generar respuestas empáticas y acompañamiento emocional. Las respuestas son generadas por un modelo de lenguaje, no por un profesional humano.
4. Ishara detecta situaciones de riesgo y, cuando identifica señales de crisis, activa un protocolo de derivación a recursos humanos especializados, en cumplimiento del espíritu de la Resolución 0347 de 2026 (Código Dorado).
5. Ishara genera análisis del contenido emocional de las conversaciones con el propósito de mejorar el acompañamiento y de proporcionar información agregada y anonimizada a las instituciones co-responsables.

El protocolo detallado de detección de riesgo y derivación a recursos humanos se describe en la Sección 6 de los Términos y Condiciones de Uso.

5.1. Datos proporcionados directamente por el titular

Dato	Clasificación	Finalidad
Dirección de correo electrónico	Personal	Identificación del usuario, envío de comunicaciones AURORA, autenticación
Nombre o nombre de pila	Personal	Personalización de la experiencia y las comunicaciones
Contraseña (hash criptográfico)	Personal	Autenticación. NEXAI no almacena contraseñas en texto plano
Institución de pertenencia (si aplica)	Personal	Vinculación al programa institucional correspondiente

5.2. Datos generados por la interacción con la plataforma

Dato	Clasificación	Finalidad
Contenido textual de las conversaciones	Sensible (salud mental)	Generación de respuestas empáticas en tiempo real. Se almacena temporalmente cifrado y se elimina tras procesamiento nocturno
Resumen clínico de cada sesión	Sensible	Continuidad del acompañamiento entre sesiones. Almacenado cifrado en base de datos vectorial
Emociones detectadas	Sensible	Personalización del acompañamiento y detección de patrones emocionales
Nivel de riesgo estimado	Sensible	Activación del protocolo de derivación a recursos humanos en caso de crisis
Momentum terapéutico	Sensible	Evaluación del progreso del acompañamiento
Compromisos personales expresados	Sensible	Seguimiento y refuerzo positivo en comunicaciones posteriores. Almacenado cifrado
Estrategias de afrontamiento identificadas	Sensible	Personalización del acompañamiento y cálculo del índice de autonomía
Marcadores de crecimiento personal	Sensible	Identificación y celebración de avances personales. Almacenado cifrado
Red de apoyo mencionada	Sensible	Evaluación integral del bienestar del titular
Índice de autonomía	Derivado	Calibración de la frecuencia de comunicaciones proactivas. Es un score numérico (0-100) calculado a partir de datos anonimizados

5.3. Datos técnicos recolectados automáticamente

Dato	Clasificación	Finalidad
Dirección IP	Personal	Seguridad del sistema, prevención de acceso no autorizado
Información del navegador y dispositivo	Personal	Compatibilidad técnica y seguridad
Fecha y hora de acceso	Personal	Seguridad y auditoría del sistema
Identificador de tenant (institución)	Personal	Aislamiento multi-tenant para garantizar que los datos de cada institución estén segregados

5.4. Datos que Ishara NO recolecta

Ishara no recolecta los siguientes tipos de datos:

• Datos de geolocalización o ubicación precisa
• Datos financieros, bancarios o de medios de pago
• Datos biométricos (voz, huella dactilar, reconocimiento facial)
• Fotografías o imágenes del titular
• Datos de terceras personas mencionadas por el titular en sus conversaciones (aunque el titular puede mencionar a terceros en el texto de sus conversaciones — véase Sección 5.5)
• Datos de navegación fuera de la plataforma Ishara

5.5. Sobre datos de terceros mencionados en las conversaciones

Durante las conversaciones con Ishara, el titular puede mencionar a terceras personas (familiares, amigos, parejas, compañeros). NEXAI no recolecta intencionalmente estos datos ni los utiliza para perfilar o identificar a dichos terceros. Sin embargo, estos datos pueden estar presentes en el contenido textual de las conversaciones que se procesa para generar el resumen clínico.

El titular se compromete, al aceptar esta Política, a no incluir datos sensibles de terceros identificables (como números de identificación, direcciones o diagnósticos médicos de terceros) en sus conversaciones con Ishara.

NEXAI tratará los datos personales del titular para las siguientes finalidades:

6.1. Finalidades necesarias para la prestación del servicio

1. Generar respuestas empáticas durante las sesiones de conversación con la plataforma, mediante el uso de inteligencia artificial
2. Mantener la continuidad del acompañamiento entre sesiones, utilizando el historial de sesiones anteriores para personalizar las respuestas
3. Detectar situaciones de riesgo para la integridad del titular y activar el protocolo de derivación a recursos humanos especializados
4. Enviar comunicaciones proactivas (sistema AURORA) al correo electrónico del titular, incluyendo mensajes de seguimiento post-sesión, refuerzo de compromisos, celebración de hitos y mensajes de contención emocional
5. Calcular el índice de autonomía del titular para calibrar la frecuencia e intensidad de las comunicaciones proactivas
6. Autenticar al titular y proteger su cuenta de accesos no autorizados

6.2. Finalidades de mejora del servicio e investigación

7. Generar estadísticas agregadas y anonimizadas sobre el uso de la plataforma para mejorar el servicio
8. Analizar patrones de uso de manera agregada para investigar la efectividad del acompañamiento emocional basado en IA
9. Mejorar los modelos de detección de riesgo a partir de datos anonimizados

6.3. Finalidades institucionales (cuando el titular pertenece a un programa institucional)

10. Proporcionar reportes agregados y anonimizados a la institución co-responsable sobre el estado general del bienestar de su población (nunca datos individuales identificables sin consentimiento del titular)
11. Gestionar derivaciones de crisis en coordinación con el equipo de bienestar de la institución, limitando la información compartida al nivel de riesgo y al alias anonimizado del titular
12. Documentar intervenciones de crisis por parte de los profesionales designados por la institución

6.4. Finalidades excluidas

NEXAI NO utilizará los datos personales del titular para:

• Venta, cesión o comercialización de datos personales a terceros
• Publicidad o marketing de productos o servicios de terceros
• Entrenamiento de modelos de inteligencia artificial de terceros
• Perfilamiento con fines comerciales, crediticios o laborales
• Cualquier finalidad incompatible con las aquí descritas

De conformidad con el artículo 6 de la Ley 1581 de 2012, el tratamiento de datos sensibles está prohibido salvo las excepciones previstas en el artículo 6, entre las cuales se encuentra:

«a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización»

NEXAI solicita y obtiene autorización explícita, previa e informada del titular para el tratamiento de sus datos sensibles relativos a la salud mental, mediante el mecanismo descrito en la Sección 12 (Consentimiento Informado).

El titular tiene derecho a no proporcionar autorización para el tratamiento de sus datos sensibles. En tal caso, no será posible utilizar los servicios de Ishara, dado que el acompañamiento emocional requiere necesariamente el procesamiento de información relativa al estado emocional del titular.

En concordancia con el artículo 6, numeral 2 de la Ley 1581 de 2012, NEXAI informa al titular que no está obligado a autorizar el tratamiento de sus datos sensibles y que su negativa no generará consecuencia alguna distinta a la imposibilidad de utilizar los servicios de Ishara.

8.1. Encargados del tratamiento (transmisiones)

NEXAI transmite datos personales del titular a los siguientes encargados del tratamiento para las finalidades estrictamente descritas en esta Política:

Encargado	País	Datos transmitidos	Finalidad	Protección
Anthropic, PBC	Estados Unidos	Contenido textual de las conversaciones (durante la interacción en tiempo real) + texto para análisis clínico	Generación de respuestas de IA y análisis del contenido emocional de las sesiones	Contrato comercial (Commercial Terms) + DPA incorporado. Anthropic NO entrena sus modelos con los datos de Ishara (Sección B, Commercial Terms). Anthropic retiene temporalmente los inputs y outputs de la API por un máximo de 7 días para fines operativos y detección de abuso, tras lo cual los elimina automáticamente. Ishara no cuenta con un acuerdo de Zero Data Retention (ZDR), disponible exclusivamente para clientes enterprise.
OpenAI, Inc.	Estados Unidos	Resumen textual de sesiones (para generación de vectores de búsqueda)	Generación de representaciones vectoriales (embeddings) para la búsqueda semántica de contexto	Data Processing Addendum (DPA) formal descargable. OpenAI no entrena sus modelos con los datos enviados a la API de embeddings por defecto. OpenAI documenta una retención de hasta 30 días para fines de abuse monitoring, sin retención de application state para el endpoint /v1/embeddings. El modelo text-embedding-3-small está cubierto bajo los API Services del DPA.
Resend, Inc.	Estados Unidos	Correo electrónico del titular + contenido de mensajes AURORA (contenido emocional general, no clínico directo)	Envío de correos electrónicos proactivos al titular	Data Processing Addendum (DPA) formal publicado en resend.com/legal/dpa. Resend retiene datos del email (incluyendo contenido del mensaje) por 30 días en todos los planes. Tras terminación del servicio, los datos se eliminan dentro de 90 días.
Contabo GmbH	Estados Unidos (ubicación del servidor)	Todos los datos almacenados en la plataforma	Infraestructura de servidor (hosting). Contabo proporciona la máquina virtual; NEXAI administra todo el software y los datos	Contrato de hosting. Contabo no accede al contenido de los datos

8.2. Transferencia internacional de datos

De conformidad con el artículo 26 de la Ley 1581 de 2012, la transferencia de datos personales a países que no proporcionan niveles adecuados de protección de datos requiere, entre otros, la autorización expresa e inequívoca del titular.

Los Estados Unidos de América no se encuentran en el listado de países con nivel adecuado de protección de datos según la Superintendencia de Industria y Comercio. No obstante, la transferencia se realiza al amparo de:

1. Autorización expresa del titular obtenida en el Consentimiento Informado (Sección 12), de conformidad con el artículo 26, literal a) de la Ley 1581 de 2012
2. Contratos de procesamiento de datos (DPA) con cada encargado, que establecen obligaciones de confidencialidad, seguridad y limitación de uso equivalentes a las exigidas por la ley colombiana
3. Medidas técnicas de seguridad que protegen los datos durante la transmisión y el almacenamiento (véase Sección 9)

8.3. Co-responsabilidad institucional

Cuando el titular utiliza Ishara a través de un programa institucional (universidad, aseguradora, entidad de salud), la institución actúa como co-responsable del tratamiento de conformidad con los artículos 3 y 17 de la Ley 1581 de 2012 y la doctrina de la SIC sobre co-responsabilidad en el tratamiento de datos personales.

La co-responsabilidad se formaliza mediante un contrato específico entre NEXAI y la institución que establece:

• Datos que la institución puede consultar: Exclusivamente datos agregados y anonimizados (estadísticas poblacionales), niveles de riesgo asociados a alias anonimizados (no identificables), y documentación de derivaciones de crisis
• Datos que la institución NO puede consultar: Conversaciones textuales, resúmenes clínicos individuales, compromisos personales, detalles emocionales identificables
• Excepción en crisis: Cuando el sistema detecta un nivel de riesgo crítico y activa el protocolo de derivación, la institución recibe un alias anonimizado, el nivel de riesgo y un resumen de la narrativa de crisis (sin transcripciones textuales) para que su equipo de bienestar pueda tomar acción

NEXAI implementa las siguientes medidas técnicas y organizativas para proteger los datos personales del titular:

9.1. Cifrado

• Cifrado en tránsito: Todas las comunicaciones entre el titular y la plataforma están protegidas mediante TLS/SSL (HTTPS)
• Cifrado en reposo: El contenido textual de las conversaciones y los campos narrativos del análisis clínico (resumen, compromisos, marcadores de crecimiento, patrones conductuales) se cifran con algoritmo Fernet (AES-128-CBC con HMAC) antes de su almacenamiento
• Cifrado de la clave: La clave de cifrado se almacena separada de los datos cifrados y no es accesible desde la interfaz de usuario ni desde las bases de datos directamente

9.2. Anonimización

• Los reportes internos y las comunicaciones al equipo clínico utilizan alias anonimizados (identificadores no identificables) en lugar de correos electrónicos o nombres reales del titular
• Los datos agregados proporcionados a instituciones co-responsables son estadísticas poblacionales que no permiten la identificación de titulares individuales

9.3. Control de acceso

• Autenticación multi-factor para el acceso administrativo a los sistemas
• Listas de control de acceso (ACL) por componente del sistema, con permisos mínimos necesarios para cada función
• Roles diferenciados con permisos granulares (administrador, profesional clínico, profesional de crisis) que limitan el acceso a los datos según la función asignada
• Aislamiento multi-tenant: Los datos de cada institución están lógicamente separados y no son accesibles desde otras instituciones

9.4. Almacenamiento temporal

• Las conversaciones textuales se almacenan de forma temporal y cifrada durante el día de la sesión
• A las 2:30 AM (hora de Colombia) de cada día, un proceso automatizado analiza las conversaciones, genera el resumen clínico cifrado, y elimina el contenido textual original de la conversación
• Después de este procesamiento, solo persiste el resumen clínico cifrado — no el texto completo de la conversación

9.5. Infraestructura

• Servidor dedicado con firewall (UFW) configurado para permitir únicamente los puertos necesarios
• Sistemas de detección de intrusos y prevención de accesos no autorizados
• Monitoreo continuo de seguridad y auditoría de accesos
• Copias de seguridad cifradas

Tipo de dato	Período de retención	Justificación
Conversaciones textuales (contenido completo)	Máximo 24 horas (hasta el procesamiento nocturno)	Procesamiento temporal necesario para generar el resumen clínico. Se elimina automáticamente tras el procesamiento
Resumen clínico cifrado	Mientras el titular mantenga su cuenta activa, o hasta que solicite la supresión	Necesario para la continuidad del acompañamiento entre sesiones
Correo electrónico	Mientras el titular mantenga su cuenta activa, o hasta que solicite la supresión	Identificación y comunicación
Índice de autonomía	7 días (se recalcula semanalmente)	Calibración de comunicaciones proactivas
Historial de comunicaciones AURORA (con alias)	12 meses	Auditoría y métricas del sistema de comunicación
Derivaciones de crisis	5 años	Obligación de documentación para programas de salud mental institucional
Registros de auditoría del sistema	12 meses	Seguridad y trazabilidad
Prueba de consentimiento otorgado (fecha, IP, versión aceptada, declaraciones)	5 años posteriores a la eliminación de la cuenta	Respaldo ante posibles reclamaciones. Aplica exclusivamente a la prueba del consentimiento, no a los datos clínicos del titular

Nota sobre retención por encargados del tratamiento: Los datos transmitidos a los encargados descritos en la Sección 8.1 están sujetos a los períodos de retención de cada encargado: Anthropic (máximo 7 días), OpenAI (máximo 30 días para abuse monitoring), Resend (30 días para datos del email). Estos períodos son adicionales a los de NEXAI y están fuera del control directo de NEXAI, pero están regulados por los respectivos DPA.

En caso de descontinuación definitiva de la plataforma, NEXAI notificará a los titulares con al menos sesenta (60) días de antelación, proporcionará la posibilidad de descargar sus datos durante ese período, y ejecutará el proceso de supresión completa al finalizar el plazo. Véase la Sección 10.4 de los Términos y Condiciones.

De conformidad con los artículos 8 y 15 de la Ley 1581 de 2012, el titular tiene los siguientes derechos:

11.1. Derecho de acceso

Conocer los datos personales que NEXAI tiene sobre él, así como los tratamientos que se les han dado y las finalidades para las cuales fueron recolectados.

11.2. Derecho de actualización y rectificación

Solicitar la actualización o rectificación de sus datos personales cuando estos sean inexactos, incompletos o estén desactualizados.

11.3. Derecho de supresión

Solicitar la supresión de sus datos personales. Al ejercer este derecho, NEXAI procederá de la siguiente manera:

1. Eliminación completa del correo electrónico, nombre y cualquier identificador directo de todas las bases de datos del sistema (base de datos relacional, base de datos vectorial, almacenamiento temporal, registros de comunicaciones)
2. Reemplazo del alias anonimizado por un identificador aleatorio no derivable, de manera que los datos restantes no puedan ser re-identificados por ningún medio, incluyendo la recalculación del alias original
3. Conservación anonimizada de los vectores clínicos (resúmenes desprovistos de todo identificador), exclusivamente con fines estadísticos y de mejora del servicio
4. Eliminación de la cuenta del titular en la plataforma

El proceso de supresión se ejecutará dentro de los quince (15) días hábiles siguientes a la verificación de la identidad del titular, de conformidad con el artículo 15 de la Ley 1581 de 2012.

Excepción: NEXAI podrá conservar ciertos datos cuando exista un deber legal o contractual de conservarlos (por ejemplo, documentación de crisis que la institución co-responsable requiera mantener por obligación legal).

11.4. Derecho de portabilidad

Solicitar una copia de sus datos personales en formato estructurado y de uso común antes de ejercer el derecho de supresión o revocatoria. El titular deberá solicitar expresamente la copia de sus datos antes de confirmar la eliminación de su cuenta.

11.5. Derecho de revocatoria

Revocar la autorización otorgada para el tratamiento de datos personales. La revocatoria tendrá los mismos efectos que la supresión descrita en la Sección 11.3.

11.6. Derecho a presentar quejas

Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a lo dispuesto en la Ley 1581 de 2012. La dirección de contacto de la SIC es:

Superintendencia de Industria y Comercio
Carrera 13 No. 27-00, pisos 1 al 7
Bogotá D.C., Colombia
www.sic.gov.co
Línea gratuita nacional: 018000-910165

11.7. Ejercicio de derechos

Para ejercer cualquiera de los derechos descritos en esta sección, el titular o su representante legal puede comunicarse a través de:

• Correo electrónico: privacidad@ishara.ai
• Formulario web: https://ishara.ai/pqr

La solicitud deberá incluir:

1. Nombre completo del titular
2. Correo electrónico asociado a la cuenta de Ishara
3. Descripción del derecho que desea ejercer
4. Documentos que acrediten la identidad del titular o la representación legal (si aplica)

NEXAI dará respuesta inicial dentro de los diez (10) días hábiles siguientes a la recepción de la solicitud, indicando las acciones que se tomarán y el plazo estimado de ejecución. Si no fuere posible atender la solicitud dentro de dicho término, se informará al titular antes de su vencimiento, expresando los motivos del retraso y la fecha en que se atenderá la solicitud, la cual no podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.

Los plazos de ejecución completa varían según el tipo de solicitud conforme a la Sección 13 de esta Política: consultas (10 días hábiles), reclamos incluyendo supresión y rectificación (15 días hábiles).

12.1. Forma de obtención del consentimiento

De conformidad con el artículo 9 de la Ley 1581 de 2012, el tratamiento de datos sensibles requiere autorización previa, expresa e informada del titular. NEXAI obtiene esta autorización mediante un consentimiento reforzado digital que se presenta al titular al momento de su registro en la plataforma.

El consentimiento reforzado:

• Se presenta en pantalla completa antes de activar la cuenta
• Requiere la lectura y aceptación explícita de cada una de las siguientes declaraciones:
  1. “Entiendo que Ishara procesa datos sobre mi estado emocional y bienestar psicológico, los cuales constituyen datos sensibles de salud mental”
  2. “Entiendo que Ishara utiliza inteligencia artificial para generar respuestas y analizar el contenido de mis conversaciones, y que las respuestas NO provienen de un profesional humano”
  3. “Entiendo que mis datos se transfieren a servidores ubicados en Estados Unidos y son procesados por proveedores de inteligencia artificial (Anthropic) y otros servicios tecnológicos ubicados fuera de Colombia”
  4. “Autorizo el envío de comunicaciones proactivas a mi correo electrónico con contenido relacionado con mi proceso de acompañamiento emocional”
  5. “Entiendo que si Ishara detecta señales de riesgo para mi integridad, activará un protocolo de derivación que puede incluir la notificación anónima a profesionales de bienestar, y acepto este protocolo como parte esencial del servicio”
  6. “He leído y acepto la Política de Privacidad disponible en ishara.ai/privacidad”
• Registra la fecha, hora, IP y versión de la Política aceptada como prueba de autorización (artículo 12, Decreto 1377 de 2013)
• Permite al titular descargar una copia en PDF de su autorización

12.2. Consentimiento para menores de edad (16-17 años)

De conformidad con el artículo 7 de la Ley 1581 de 2012, el tratamiento de datos personales de menores de edad requiere la autorización de su representante legal.

Para titulares entre 16 y 17 años:

1. El menor inicia el registro proporcionando su correo electrónico y fecha de nacimiento
2. Si la edad calculada es menor de 18 años, el sistema solicita el correo electrónico de un padre, madre o representante legal
3. Se envía al representante legal una solicitud de autorización que incluye la descripción completa del servicio, los datos que se recolectan y las finalidades del tratamiento
4. El representante legal debe aceptar las mismas declaraciones de la Sección 12.1, más una declaración adicional: “Como representante legal de [nombre del menor], autorizo el tratamiento de sus datos sensibles de salud mental por parte de Ishara”
5. Solo después de la autorización del representante legal se activa la cuenta del menor

Los menores de 16 años no pueden utilizar Ishara.

12.3. Consentimiento institucional

Cuando el titular accede a Ishara a través de un programa institucional (universidad, aseguradora):

1. La institución co-responsable proporciona al titular la información sobre el programa y la participación voluntaria
2. Al registrarse, el titular completa el consentimiento reforzado descrito en la Sección 12.1
3. Adicionalmente, se informa al titular sobre la co-responsabilidad institucional y los datos específicos que la institución podrá consultar (exclusivamente datos agregados y anonimizados, más los descritos en la Sección 8.3)

La participación del titular en un programa institucional es siempre voluntaria. La institución no puede condicionar beneficios académicos, laborales o de salud a la utilización de Ishara.

13.1. Canal de atención

• Correo electrónico: privacidad@ishara.ai
• Formulario web: https://ishara.ai/pqr

13.2. Tiempos de respuesta

Tipo de solicitud	Plazo de respuesta
Consulta (derecho de acceso)	10 días hábiles (prorrogable 5 días más)
Reclamo (rectificación, supresión, revocatoria)	15 días hábiles (prorrogable 8 días más)
Queja	Se informa al titular su derecho de acudir ante la SIC

13.3. Procedimiento

1. El titular envía su solicitud a través de los canales indicados
2. NEXAI acusa recibo dentro de los dos (2) días hábiles siguientes
3. Si la solicitud está incompleta, NEXAI requerirá al titular dentro de los cinco (5) días hábiles siguientes, y el titular tendrá un mes para completarla
4. NEXAI evaluará y responderá dentro de los plazos indicados
5. Si el titular no queda satisfecho, podrá acudir ante la Superintendencia de Industria y Comercio

En cumplimiento del principio de transparencia, NEXAI informa al titular lo siguiente sobre el uso de inteligencia artificial en Ishara:

1. Las respuestas de Ishara son generadas por un modelo de inteligencia artificial (Claude, desarrollado por Anthropic, PBC). Las respuestas no son generadas ni revisadas en tiempo real por un profesional humano.
2. El contenido de las conversaciones es analizado por inteligencia artificial para generar un resumen clínico estructurado que incluye emociones detectadas, nivel de riesgo estimado, temas abordados y compromisos expresados. Este análisis ocurre de forma automatizada durante el procesamiento nocturno.
3. Las comunicaciones proactivas (AURORA) son generadas por inteligencia artificial de forma personalizada con base en el historial del titular. Cada mensaje es validado por un filtro automatizado que impide el uso de diagnósticos clínicos, lenguaje culpabilizante o evaluación directa de riesgo en el texto del correo electrónico.
4. El nivel de riesgo estimado por la IA puede contener errores. Por ello, el protocolo de derivación a recursos humanos se activa de forma conservadora (desde niveles de riesgo medio-alto) para minimizar el riesgo de no detectar una situación de crisis.
5. Las decisiones automatizadas de Ishara (como la selección del tipo de mensaje proactivo o la activación del protocolo de derivación) se basan en reglas deterministas combinadas con el análisis de IA. El titular tiene derecho a solicitar revisión humana de cualquier decisión automatizada que le afecte.

Ishara utiliza cookies estrictamente necesarias para el funcionamiento de la plataforma:

• Cookie de sesión: Identifica la sesión activa del titular para mantener la continuidad de la conversación
• Token de autenticación (JWT): Almacenado en el navegador para autenticación segura

Ishara NO utiliza cookies de terceros, cookies de publicidad, cookies de rastreo ni tecnologías de seguimiento entre sitios.

NEXAI podrá modificar esta Política de Privacidad en cualquier momento. En caso de modificaciones sustanciales que afecten las finalidades del tratamiento, los datos recolectados o las condiciones de transferencia internacional, NEXAI:

1. Notificará al titular por correo electrónico con al menos treinta (30) días de antelación
2. Publicará la versión actualizada en https://ishara.ai/privacidad con la fecha de entrada en vigencia
3. Solicitará una nueva autorización al titular si la modificación implica un tratamiento sustancialmente diferente al autorizado originalmente

El uso continuado de la plataforma después de la fecha de entrada en vigencia de la nueva Política constituirá aceptación de las modificaciones, siempre que el titular haya sido debidamente notificado.

NEXAI registrará sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio, de conformidad con lo establecido en el Título V de la Ley 1581 de 2012 y la Circular Externa 002 de 2015 de la SIC.

El registro se completará una vez NEXAI obtenga su NIT, actualmente en trámite de constitución.

Esta Política se rige por las leyes de la República de Colombia. Cualquier controversia relacionada con esta Política será sometida a la jurisdicción de los tribunales competentes de la ciudad de Medellín, Colombia.

Para cualquier consulta relacionada con esta Política, el tratamiento de sus datos personales o el ejercicio de sus derechos, el titular puede comunicarse a:

• Correo electrónico: privacidad@ishara.ai
• Formulario web: https://ishara.ai/pqr
• Dirección física: Medellín, Antioquia, Colombia
• Ciudad: Medellín, Antioquia, Colombia