Política de Privacidad

La presente Política se rige por la normatividad colombiana vigente en materia de protección de datos personales, incluyendo de manera enunciativa:

• Ley 1581 de 2012 — Régimen general de protección de datos personales.
• Decreto 1377 de 2013 — Reglamentario parcial de la Ley 1581 de 2012.
• Decreto 1074 de 2015 — Decreto Único Reglamentario del Sector Comercio, Industria y Turismo (compila el Decreto 1377).
• Ley 1616 de 2013 (modificada por la Ley 2460 de 2025) — Ley de Salud Mental.
• Resolución 0347 de 2026 — Código Dorado: protocolo nacional de prevención del suicidio.
• Ley 1480 de 2011 — Estatuto del Consumidor.
• Ley 1273 de 2009 — Delitos informáticos.
• Circular Externa 002 de 2015 de la SIC — Lineamientos sobre el Registro Nacional de Bases de Datos.

Para efectos de la presente Política, se adoptan las siguientes definiciones:

• Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato sensible: Aquel dato personal que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminación. Incluye datos relativos al estado de salud, la vida sexual, datos biométricos, origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, y datos relativos al estado emocional o psicológico. Los datos que Ishara recolecta sobre el estado emocional, el bienestar psicológico y las experiencias personales del titular se clasifican como datos sensibles relativos a la salud mental.
• Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.
• Responsable del tratamiento: Persona natural o jurídica que por sí misma o en asocio con otros decide sobre la base de datos y/o el Tratamiento de los datos. En este caso, NEXAI.
• Encargado del tratamiento: Persona natural o jurídica que por sí misma o en asocio con otros realiza el Tratamiento de datos personales por cuenta del Responsable.
• Co-responsable del tratamiento: Entidad que, junto con NEXAI, determina conjuntamente las finalidades y los medios del tratamiento. En el contexto de Ishara, la institución educativa o empresarial que contrata el servicio puede actuar como co-responsable respecto de ciertos datos.
• Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación, procesamiento, transferencia o supresión.
• Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de sus datos personales.
• Anonimización irreversible: Proceso técnico mediante el cual los datos personales se transforman de manera que no pueden ser asociados, directa o indirectamente, a un titular identificado o identificable. Los datos anonimizados dejan de ser datos personales.
• Inteligencia artificial (IA): Sistema computacional que utiliza modelos de lenguaje de gran escala (Large Language Models) para generar respuestas conversacionales de acompañamiento emocional. La IA de Ishara NO realiza diagnósticos clínicos, no prescribe tratamientos y no sustituye la atención profesional en salud mental.

Es esencial que el Titular comprenda la naturaleza del servicio antes de otorgar su consentimiento para el tratamiento de datos:

1. Ishara NO es un servicio de salud mental. No se encuentra habilitado como Institución Prestadora de Servicios de Salud (IPS) ni como prestador de servicios de salud ante el Ministerio de Salud y Protección Social de Colombia.
2. Ishara NO es terapia psicológica. Las interacciones con la plataforma no constituyen consulta psicológica, psiquiátrica ni ningún tipo de intervención clínica.
3. Ishara utiliza inteligencia artificial. Las respuestas son generadas por modelos de lenguaje (LLM) y no por profesionales humanos de la salud mental.
4. Ishara detecta situaciones de riesgo. Cuando el sistema identifica indicadores de riesgo vital, activa el protocolo PUENTE de derivación a servicios de atención en crisis, conforme al §6 de los Términos y Condiciones.
5. Ishara genera análisis del contenido emocional. La plataforma procesa las conversaciones del usuario para generar resúmenes emocionales, detectar patrones y ofrecer acompañamiento personalizado. Este procesamiento implica tratamiento de datos sensibles.

5.1. Datos proporcionados directamente por el Titular

Dato	Categoría
Correo electrónico	Personal
Nombre o alias	Personal
Contraseña (hash bcrypt)	Personal
Institución (si aplica)	Personal

5.2. Datos generados por la interacción con la plataforma

Dato	Categoría
Contenido textual de las conversaciones	Sensible
Resumen clínico generado por IA	Sensible
Emociones detectadas	Sensible
Nivel de riesgo (protocolo PUENTE)	Sensible
Momentum terapéutico	Sensible
Compromisos personales del usuario	Sensible
Estrategias de afrontamiento identificadas	Sensible
Marcadores de crecimiento emocional	Sensible
Red de apoyo mencionada	Sensible
Índice de autonomía emocional (Faro)	Derivado

5.3. Datos técnicos

Dato	Finalidad
Dirección IP	Seguridad y prevención de fraude
Navegador y sistema operativo	Compatibilidad técnica
Fecha y hora de acceso	Registro de auditoría
Tenant ID (identificador institucional)	Segregación multi-tenant

5.4. Datos que Ishara NO recolecta

• Número de documento de identidad (cédula, pasaporte).
• Dirección física del domicilio.
• Número telefónico.
• Datos financieros o de tarjetas de crédito.
• Datos biométricos (huella, reconocimiento facial).
• Geolocalización precisa.

5.5. Sobre datos de terceros mencionados

El usuario podría mencionar a terceras personas en sus conversaciones con la IA. Ishara no extrae, indexa ni almacena de forma estructurada datos personales de terceros mencionados en las conversaciones. El contenido conversacional es tratado como un bloque indivisible y se elimina conforme a la política de retención descrita en la sección 10.

6.1. Finalidades necesarias para la prestación del servicio

1. Crear y gestionar la cuenta del usuario en la plataforma.
2. Generar respuestas conversacionales de acompañamiento emocional mediante inteligencia artificial.
3. Elaborar resúmenes clínicos que permitan continuidad en el acompañamiento entre sesiones.
4. Calcular el índice de autonomía emocional (Faro) y otros indicadores derivados.
5. Detectar indicadores de riesgo vital y activar el protocolo PUENTE cuando corresponda.
6. Enviar mensajes del sistema AURORA (seguimiento proactivo de bienestar).

6.2. Finalidades de mejora e investigación

1. Mejorar la calidad y efectividad del acompañamiento emocional proporcionado por la IA.
2. Generar estadísticas agregadas y anonimizadas sobre bienestar emocional.
3. Desarrollar y validar nuevas funcionalidades de la plataforma.

6.3. Finalidades institucionales (cuando aplica)

1. Generar reportes agregados y anonimizados de bienestar emocional para la institución contratante.
2. Facilitar la activación del protocolo PUENTE con el equipo de bienestar institucional.
3. Proporcionar métricas de uso y adopción de la plataforma a la institución.

6.4. Finalidades expresamente excluidas

NEXAI NO utilizará los datos personales para:

1. Realizar diagnósticos clínicos de salud mental.
2. Publicidad dirigida o profiling comercial.
3. Venta, cesión o comercialización de datos personales a terceros.
4. Entrenar modelos de inteligencia artificial de terceros con datos identificables.
5. Evaluación académica, laboral o disciplinaria del usuario.

De conformidad con el artículo 6 de la Ley 1581 de 2012, literal a):

«Se prohíbe el Tratamiento de datos sensibles, excepto cuando: a) El Titular haya dado su autorización explícita a dicho Tratamiento […]»

El tratamiento de datos sensibles en Ishara se fundamenta en la autorización explícita del Titular, otorgada de manera previa, expresa e informada al momento de crear su cuenta y aceptar la presente Política.

El Titular será informado de manera clara y expresa que:

• Los datos tratados incluyen datos sensibles relativos a su estado emocional y bienestar psicológico.
• Las finalidades específicas del tratamiento están descritas en la sección 6 de esta Política.
• No está obligado a autorizar el tratamiento de sus datos sensibles. La negativa no generará consecuencias adversas, salvo la imposibilidad de acceder a las funcionalidades que requieran dicho tratamiento.
• Puede revocar su autorización en cualquier momento conforme al procedimiento descrito en la sección 11.

8.1. Encargados del tratamiento

Para la prestación del servicio, NEXAI transmite datos personales a los siguientes encargados:

Proveedor	País	Datos transmitidos	Finalidad	Nota
Anthropic	EEUU	Texto conversacional	Generación de respuestas IA	Anthropic NO entrena sus modelos con los datos de Ishara.
OpenAI	EEUU	Resúmenes	Generación de embeddings	—
Resend	EEUU	Email + contenido AURORA	Envío de correos electrónicos	—
Contabo	EEUU (servidor)	Todos los datos	Hosting de infraestructura	—

8.2. Transferencia internacional de datos

Los encargados mencionados se encuentran ubicados en Estados Unidos, país que no figura en la lista de países con nivel adecuado de protección emitida por la Superintendencia de Industria y Comercio (SIC).

Las transferencias internacionales se realizan con base en las siguientes garantías legales:

1. Autorización explícita del Titular (art. 26, Ley 1581 de 2012).
2. Cláusulas contractuales que obligan al encargado a cumplir estándares equivalentes a la Ley 1581.
3. Necesidad contractual para la prestación del servicio solicitado por el Titular.

8.3. Co-responsabilidad institucional

Cuando el servicio es contratado por una institución (universidad, empresa, organización), esta puede actuar como co-responsable del tratamiento conforme a los artículos 3 y 17 de la Ley 1581 de 2012.

La institución PUEDE ver:

• Reportes agregados y anonimizados de bienestar emocional.
• Métricas de uso y adopción de la plataforma.
• Alertas de activación del protocolo PUENTE (solo al equipo de bienestar designado).

La institución NO PUEDE ver:

• Conversaciones individuales.
• Resúmenes clínicos individuales.
• Datos identificables de un usuario específico.

Excepción en crisis: cuando se activa el protocolo PUENTE por riesgo vital, se comparte con el equipo de bienestar institucional designado la información mínima necesaria para la atención de la emergencia, conforme a lo autorizado por el Titular y lo dispuesto en los Términos y Condiciones.

9.1. Cifrado

• En tránsito: todas las comunicaciones entre el usuario y la plataforma se cifran mediante TLS 1.2+.
• En reposo: los datos sensibles (resúmenes clínicos, indicadores emocionales) se cifran mediante Fernet (AES-128-CBC con HMAC-SHA256).

9.2. Anonimización

Los datos utilizados para reportes institucionales y estadísticas se someten a un proceso de anonimización irreversible que impide la re-identificación del titular.

9.3. Control de acceso

• Autenticación multifactor (MFA) para acceso administrativo.
• Listas de control de acceso (ACL) basadas en roles.
• Segregación de datos por roles: administrador, profesional de bienestar, usuario.
• Arquitectura multi-tenant que garantiza el aislamiento entre instituciones.

9.4. Almacenamiento temporal

Las conversaciones textuales se procesan diariamente a las 2:30 AM (hora del servidor). Durante el procesamiento nocturno, el sistema genera los resúmenes clínicos y, una vez completado el procesamiento, el texto original de las conversaciones se elimina. Solo permanecen los resúmenes cifrados.

9.5. Infraestructura

La plataforma se aloja en servidores dedicados con acceso restringido, monitoreo continuo y políticas de respaldo periódico.

Tipo de dato	Período de retención
Conversaciones textuales	Máximo 24 horas (se eliminan tras el procesamiento nocturno)
Resumen clínico cifrado	Mientras la cuenta esté activa
Correo electrónico	Mientras la cuenta esté activa
Índice de autonomía (Faro)	7 días (ventana móvil)
Historial AURORA	12 meses
Derivaciones de crisis (PUENTE)	5 años (obligación legal)
Registros de auditoría	12 meses
Prueba de consentimiento	5 años posteriores a la eliminación de la cuenta

Una vez cumplido el período de retención, los datos se eliminan de forma segura o se anonimizan de manera irreversible.

De conformidad con la Ley 1581 de 2012, el Titular tiene los siguientes derechos:

11.1. Derecho de acceso

Conocer, actualizar y rectificar sus datos personales. El Titular puede solicitar en cualquier momento una copia de los datos personales que Ishara almacena sobre él.

11.2. Derecho de actualización y rectificación

Solicitar la corrección de datos personales que sean inexactos, estén incompletos o se encuentren desactualizados.

11.3. Derecho de supresión

Solicitar la eliminación de sus datos personales. El procedimiento de eliminación es el siguiente:

1. El Titular envía solicitud a privacidad@ishara.ai.
2. NEXAI verifica la identidad del solicitante.
3. Se procede a la eliminación de todos los datos personales, incluyendo resúmenes clínicos cifrados, en un plazo máximo de 15 días hábiles.
4. Se conservan únicamente los datos cuya retención sea requerida por ley (prueba de consentimiento, derivaciones de crisis).

11.4. Derecho de portabilidad

Solicitar una copia de sus datos en formato estructurado y de uso común (JSON). La entrega se realizará en un plazo máximo de 10 días hábiles.

11.5. Derecho de revocatoria

Revocar la autorización otorgada para el tratamiento de sus datos personales en cualquier momento, mediante comunicación dirigida a privacidad@ishara.ai.

11.6. Derecho a presentar quejas ante la SIC

Si el Titular considera que NEXAI ha vulnerado sus derechos, puede presentar una queja ante la Superintendencia de Industria y Comercio:

• Dirección: Carrera 13 No. 27-00, Pisos 1 al 7, Bogotá D.C., Colombia.
• Línea gratuita: 01 8000 910 165.
• Web: www.sic.gov.co

11.7. Ejercicio de derechos

Para ejercer cualquiera de estos derechos, el Titular deberá:

1. Enviar comunicación escrita a privacidad@ishara.ai indicando: nombre completo, correo asociado a la cuenta, derecho que desea ejercer y descripción de la solicitud.
2. NEXAI acusará recibo en un plazo máximo de 2 días hábiles.
3. Las consultas serán atendidas en un plazo máximo de 10 días hábiles, prorrogables por 5 días hábiles adicionales cuando no fuere posible atender la consulta dentro del término inicial.

12.1. Forma de obtención del consentimiento

De conformidad con el artículo 9 de la Ley 1581 de 2012, el tratamiento de datos sensibles requiere autorización previa, expresa e informada del titular. NEXAI obtiene esta autorización mediante un consentimiento reforzado digital que se presenta al titular al momento de su registro en la plataforma.

El consentimiento reforzado requiere la lectura y aceptación explícita de cada una de las siguientes 6 declaraciones:

1. Datos sensibles de salud mental: “Entiendo que Ishara procesa datos sobre mi estado emocional y bienestar psicológico, los cuales constituyen datos sensibles de salud mental según la Ley 1581 de 2012”
2. Uso de inteligencia artificial: “Entiendo que Ishara utiliza inteligencia artificial para generar respuestas y analizar el contenido de mis conversaciones, y que las respuestas NO provienen de un profesional humano”
3. Transferencia internacional: “Entiendo que mis datos se transfieren a servidores ubicados en Estados Unidos y son procesados por proveedores de inteligencia artificial (Anthropic) y otros servicios tecnológicos ubicados fuera de Colombia”
4. Comunicaciones proactivas: “Autorizo el envío de comunicaciones proactivas a mi correo electrónico con contenido relacionado con mi proceso de acompañamiento emocional”
5. Protocolo de crisis: “Entiendo que si Ishara detecta señales de riesgo para mi integridad, activará un protocolo de derivación que puede incluir la notificación anónima a profesionales de bienestar, y acepto este protocolo como parte esencial del servicio”
6. Política de Privacidad: “He leído y acepto la Política de Privacidad disponible en ishara.ai/privacidad”

Se registra la fecha, hora, IP y versión de la Política aceptada como prueba de autorización (artículo 12, Decreto 1377 de 2013). El titular puede descargar una copia en PDF de su autorización.

12.2. Consentimiento para menores de edad (16-17 años)

De conformidad con el artículo 7 de la Ley 1581 de 2012, el tratamiento de datos personales de menores de edad requiere la autorización de su representante legal. Para titulares entre 16 y 17 años:

1. El menor inicia el registro proporcionando su correo electrónico y fecha de nacimiento.
2. Si la edad calculada es menor de 18 años, el sistema solicita el correo electrónico de un padre, madre o representante legal.
3. Se envía al representante legal una solicitud de autorización que incluye la descripción completa del servicio, los datos que se recolectan y las finalidades del tratamiento.
4. El representante legal debe aceptar las mismas declaraciones de la Sección 12.1, más una declaración adicional autorizando el tratamiento de datos sensibles del menor.
5. Solo después de la autorización del representante legal se activa la cuenta del menor.

Los menores de 16 años no pueden utilizar Ishara.

12.3. Consentimiento institucional

Cuando el servicio es contratado por una institución, la autorización del Titular es independiente del contrato institucional. El usuario siempre otorga su consentimiento de manera individual y puede revocarlo sin que esto afecte su relación con la institución.

Canal: privacidad@ishara.ai

Tiempos de respuesta:

• Consultas: 10 días hábiles (prorrogables por 5 días hábiles).
• Reclamos: 15 días hábiles (prorrogables por 8 días hábiles).

Procedimiento:

1. El Titular envía su petición, queja o reclamo al canal indicado, incluyendo: nombre completo, correo electrónico asociado a la cuenta, descripción detallada de los hechos y documentos de soporte si los hubiere.
2. NEXAI acusa recibo dentro de los 2 días hábiles siguientes.
3. Si la solicitud está incompleta, se requerirá al Titular para que subsane en un término de 5 días hábiles.
4. NEXAI emite respuesta de fondo dentro de los términos legales.
5. Si el Titular no está satisfecho con la respuesta, puede acudir a la Superintendencia de Industria y Comercio.

En cumplimiento del principio de transparencia, NEXAI informa:

1. Cómo funciona la IA: Ishara utiliza modelos de lenguaje de gran escala (LLM) provistos por Anthropic y OpenAI para generar respuestas conversacionales. Estos modelos procesan el texto del usuario y generan respuestas basadas en patrones estadísticos, no en comprensión humana.
2. Qué datos procesa la IA: el contenido textual de las conversaciones, los resúmenes clínicos previos y el contexto emocional acumulado del usuario.
3. Qué decisiones toma la IA: generación de respuestas de acompañamiento, detección de indicadores de riesgo, generación de resúmenes emocionales y cálculo de indicadores de bienestar.
4. Limitaciones: la IA puede generar respuestas inexactas, inapropiadas o incompletas. No sustituye el criterio profesional humano.
5. Derecho a revisión humana: el Titular tiene derecho a solicitar que una persona revise cualquier decisión o análisis generado por la IA que le afecte, dirigiendo su solicitud a privacidad@ishara.ai.

Ishara utiliza las siguientes tecnologías de almacenamiento local:

• Cookie de sesión: necesaria para mantener la sesión activa del usuario durante su navegación en la plataforma. Se elimina al cerrar el navegador.
• Token JWT: almacenado en el navegador para autenticación segura. Tiene una vigencia limitada y se renueva automáticamente.

Ishara NO utiliza cookies de terceros, cookies de seguimiento (tracking), cookies publicitarias ni herramientas de analítica de terceros (Google Analytics, Facebook Pixel, etc.).

NEXAI se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento. Las modificaciones se comunicarán de la siguiente manera:

• Se publicará la versión actualizada en https://ishara.ai/privacidad con al menos 30 días de antelación a su entrada en vigencia.
• Se notificará al Titular por correo electrónico con un enlace a la nueva versión.
• Si la modificación implica cambios sustanciales en el tratamiento de datos sensibles o en las finalidades del tratamiento, se solicitará una nueva autorización explícita al Titular.

El uso continuado de la plataforma después de la entrada en vigencia de la nueva versión constituirá aceptación de los cambios, salvo cuando se requiera nueva autorización explícita.

NEXAI se encuentra en proceso de inscripción de sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD) administrado por la Superintendencia de Industria y Comercio, en cumplimiento de lo establecido en el Decreto 1074 de 2015 y la Circular Externa 002 de 2015 de la SIC.

El estado de la inscripción se actualizará en esta sección una vez completado el proceso.

La presente Política se rige por las leyes de la República de Colombia. Cualquier controversia derivada de la interpretación o aplicación de esta Política será sometida a la jurisdicción de los jueces y tribunales de la ciudad de Medellín, Colombia.

Para cualquier consulta, solicitud o reclamación relacionada con el tratamiento de datos personales, el Titular puede contactar a NEXAI a través de:

• Correo electrónico: privacidad@ishara.ai
• Formulario web: https://ishara.ai/pqr
• Dirección física: [PENDIENTE], Medellín, Antioquia, Colombia.