POLÍTICA DE TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES

KAIRA LABS SAS NIT: 902.048.250-4 Fecha de entrada en vigencia: 7 de abril de 2026 Última actualización: 7 de abril de 2026 Versión: 2.0

1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

Campo	Detalle
Razón social	Kaira Labs SAS
NIT	902.048.250-4
Domicilio	Bogotá D.C., Colombia
Correo electrónico	privacidad@kairalabs.ai
Teléfono	+57 304 465 1592
Sitio web	https://kairalabs.ai
Producto	Carmenza — Plataforma de asistencia para el cuidado del adulto mayor (https://carmenza.co)
Oficial de protección de datos	Juan Espinosa — juan.espinosa@kairalabs.ai

2. MARCO NORMATIVO

La presente política se rige por:

Ley 1581 de 2012 — Régimen General de Protección de Datos Personales
Decreto 1377 de 2013 (compilado en Decreto 1074 de 2015) — Disposiciones reglamentarias
Ley 1266 de 2008 — Habeas Data financiero
Ley 2015 de 2020 — Historia Clínica Electrónica
Resolución 1995 de 1999 — Manejo de la historia clínica
Resolución 1888 de 2025 — Resumen Digital de Atención (RDA)
Sentencia C-748 de 2011 de la Corte Constitucional

3. DEFINICIONES

Dato personal: Cualquier información vinculada o que pueda asociarse a una persona natural identificada o identificable.
Dato sensible: Aquel que afecta la intimidad del titular o cuyo uso indebido puede generar discriminación. Incluye datos de salud, origen étnico, orientación política, convicciones religiosas y datos biométricos.
Titular: Persona natural cuyos datos personales son objeto de tratamiento.
Responsable del tratamiento: Kaira Labs SAS, quien decide sobre la base de datos y/o el tratamiento de los datos.
Encargado del tratamiento: Persona natural o jurídica que realiza el tratamiento de datos por cuenta del responsable.
Tratamiento: Cualquier operación sobre datos personales: recolección, almacenamiento, uso, circulación, supresión.
Autorización: Consentimiento previo, expreso e informado del titular para el tratamiento de sus datos.
Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento.

4. PRINCIPIOS RECTORES

El tratamiento de datos personales se rige por los siguientes principios (Art. 4, Ley 1581/2012):

Legalidad: El tratamiento se sujeta a la ley colombiana vigente.
Finalidad: El tratamiento obedece a finalidades legítimas, informadas al titular.
Libertad: El tratamiento solo puede ejercerse con consentimiento previo, expreso e informado del titular.
Veracidad: La información sujeta a tratamiento debe ser veraz, completa, exacta y actualizada.
Transparencia: Se garantiza el derecho del titular a obtener información sobre sus datos en cualquier momento.
Acceso y circulación restringida: El tratamiento se sujeta a los límites derivados de la naturaleza de los datos y la autorización del titular.
Seguridad: La información se maneja con medidas técnicas, humanas y administrativas para evitar su adulteración, pérdida, consulta, uso o acceso no autorizado.
Confidencialidad: Las personas que intervienen en el tratamiento están obligadas a garantizar la reserva de la información.

5. DATOS QUE RECOPILAMOS

5.1 Datos del adulto mayor (titular principal)

Categoría	Datos	Tipo
Identificación	Nombre, apodo, edad, número de documento	Personal
Contacto	Número de teléfono (WhatsApp)	Personal
Ubicación	Geolocalización (cuando se solicita voluntariamente)	Personal
Salud — clínico	Medicamentos, dosis, horarios, signos vitales (presión, glucemia, peso, temperatura, oximetría, frecuencia cardiaca), citas médicas, notas médicas, médicos tratantes, alergias, condiciones de salud	Sensible
Salud — cognitivo	Resultados de tests cognitivos (Pfeiffer/SPMSQ, orientación temporal, orientación espacial, memoria verbal, fluencia semántica, cálculo serial, repetición de frase, Yesavage GDS-15) y baselines individuales	Sensible
Salud — estimulación	Resultados y evolución de ejercicios cognitivos (Memory Pairs, Stroop, Schulte Table) con dificultad adaptativa	Sensible
Salud — nutricional	Restricciones alimentarias, alergias, condiciones que afectan la dieta, menús generados	Sensible
Financiero	Gastos de cuidado (montos, conceptos, fotos de facturas)	Personal
Multimedia	Imágenes enviadas por WhatsApp (facturas, fórmulas médicas, otros)	Personal
Audio	Mensajes de voz transcritos por Whisper	Personal
Voz en vivo	Conversaciones de voz en tiempo real con Carmenza vía WebRTC (procesadas por STT, LLM y TTS)	Sensible
Preferencias	Música solicitada (búsquedas YouTube), preferencias de menú	Personal

5.2 Datos de cuidadores

Categoría	Datos	Tipo
Identificación	Nombre, teléfono, correo electrónico	Personal
Laboral	Disponibilidad horaria, turnos asignados, horas trabajadas	Personal
Autenticación	Contraseña (hash seguro), tokens de sesión	Técnico
Psicológico	Resultados de evaluaciones (burnout, depresión, personalidad, apego)	Sensible

5.3 Datos técnicos

Dirección IP, user-agent del navegador (para seguridad de sesión)
Logs de interacción con el bot de WhatsApp (timestamps, tipos de mensaje)
Eventos de uso de la plataforma (analytics internos)

6. FINALIDADES DEL TRATAMIENTO

6.1 Finalidades principales (necesarias para la prestación del servicio)

Coordinación del cuidado del adulto mayor entre múltiples cuidadores
Gestión de recordatorios de medicamentos y citas médicas con confirmación
Registro y seguimiento de signos vitales con alertas automáticas por umbrales personalizados
Comunicación entre cuidadores a través del asistente Carmenza (WhatsApp)
Generación de reportes de actividad, resúmenes semanales y análisis de tendencias mediante inteligencia artificial
Registro y control de gastos asociados al cuidado, con extracción automática de datos desde fotos de facturas
Gestión de turnos y cronogramas de cuidadores con detección de solapamientos y prevención de burnout
Evaluación psicológica de cuidadores para prevención de sobrecarga emocional
Entrega de turno estructurada entre cuidadores con resúmenes generados por IA
Formación de cuidadores a través del módulo LMS
Aplicación de tests cognitivos al adulto mayor (screening) con detección temprana de deterioro
Ejercicios de estimulación cognitiva con dificultad adaptativa según desempeño individual
Conversaciones de voz en tiempo real entre el adulto mayor y Carmenza para acompañamiento emocional
Generación de menús nutricionales personalizados según condiciones médicas, alergias y medicamentos del adulto mayor
Reproducción de música solicitada por el adulto mayor (búsqueda en YouTube)
Recolección de retroalimentación sobre el servicio mediante encuesta semanal de satisfacción
Gestión de solicitudes de soporte y reportes de errores por parte de los usuarios

6.2 Finalidades secundarias (opcionales, requieren consentimiento adicional)

Mejora del servicio mediante análisis agregado y anonimizado de datos de uso
Envío de comunicaciones sobre nuevas funcionalidades del servicio
Participación en investigaciones académicas sobre cuidado del adulto mayor (datos anonimizados)

6.3 Procesamiento por inteligencia artificial

Carmenza utiliza modelos de inteligencia artificial (IA) como parte central de su funcionamiento. El titular debe entender que:

Tipos de IA utilizados: modelos de lenguaje (LLM) para entender texto, modelos de transcripción (STT) para convertir voz en texto, modelos de visión (Vision/OCR) para leer imágenes, y modelos de síntesis de voz (TTS) para generar respuestas habladas naturales
Procesamiento automático: la mayoría del tratamiento es automático, sin intervención humana en tiempo real
Acceso humano excepcional: durante el piloto y para resolución de incidentes, el equipo de Kaira Labs puede revisar conversaciones puntuales bajo estricta confidencialidad
No retención por terceros: los proveedores de IA no almacenan los datos enviados a sus APIs, conforme a sus términos de servicio
Limitaciones: la IA puede cometer errores. Carmenza no toma decisiones médicas; solo organiza, recuerda y alerta. Cualquier decisión clínica debe consultarse con un profesional de salud
Carmenza no entrena modelos con sus datos: los datos del titular no se usan para entrenar modelos de IA propios ni de terceros

7. TRATAMIENTO DE DATOS SENSIBLES

De conformidad con el artículo 6 de la Ley 1581 de 2012, Kaira Labs SAS reconoce que trata datos sensibles de salud y evaluación psicológica. Este tratamiento:

Cuenta con autorización explícita del titular o su representante legal
Es necesario para la finalidad del servicio (coordinación del cuidado de salud)
No condiciona ninguna actividad al suministro de datos sensibles, salvo que estos sean estrictamente necesarios
No será usado con fines discriminatorios

7.1 Datos de menores y personas con discapacidad

Cuando el adulto mayor no pueda otorgar su consentimiento de manera autónoma, la autorización será otorgada por su representante legal, curador o persona designada conforme a la ley. Se respetará en todo caso el interés superior y los derechos fundamentales del titular.

8. TRANSFERENCIAS Y TRANSMISIONES A TERCEROS

8.1 Encargados del tratamiento (transmisión)

Tipo de proveedor	País	Datos transmitidos	Finalidad
Proveedores de modelos de lenguaje (LLM)	Estados Unidos	Texto y mensajes conversacionales	Procesamiento de lenguaje natural, generación de respuestas, resúmenes y análisis
Proveedor de reconocimiento de voz (STT)	Estados Unidos	Audio del adulto mayor y cuidadores	Transcripción de mensajes de voz y conversaciones en tiempo real
Proveedor de visión computacional	Estados Unidos	Imágenes (facturas, fórmulas médicas)	Extracción de información mediante OCR y análisis visual
Proveedor de síntesis de voz (TTS)	Sudamérica	Texto generado por la plataforma	Generación de voz natural en español colombiano para llamadas
Proveedor de alojamiento de servidores	Unión Europea	Toda la base de datos del servicio	Infraestructura, almacenamiento y procesamiento
Proveedor de túnel cifrado	Internacional	Tráfico web (cifrado en tránsito)	Seguridad, rendimiento y disponibilidad de la red
Proveedor de mensajería WhatsApp	Estados Unidos	Mensajes intercambiados con Carmenza	Operación del canal principal de comunicación
Proveedor de búsqueda de música	Estados Unidos	Términos de búsqueda musical	Reproducción de canciones solicitadas por el adulto mayor
Servicio público SIPSA/DANE	Colombia	Ninguno (consulta unilateral)	Obtención de precios actualizados de alimentos para menús nutricionales
Proveedor de repositorio de código	Estados Unidos	Código fuente (sin datos personales)	Repositorio y despliegue

La lista detallada de sub-procesadores con nombres específicos está disponible bajo solicitud a privacidad@kairalabs.ai. Nota: Las transmisiones a proveedores en Estados Unidos se realizan bajo los principios de protección adecuada y contratos de tratamiento de datos que garantizan un nivel de protección equivalente al colombiano. Los datos enviados a LLMs son procesados en tiempo real y no se almacenan por los proveedores según sus políticas de uso de API.

8.2 Transferencias

Kaira Labs SAS no vende, alquila ni comparte datos personales con terceros para fines comerciales o de marketing.

9. DERECHOS DE LOS TITULARES (ARCO)

Todo titular tiene derecho a:

Acceder gratuitamente a sus datos personales que hayan sido objeto de tratamiento
Rectificar datos parciales, inexactos, incompletos o fraccionados
Cancelar/suprimir sus datos cuando considere que no están siendo tratados conforme a los principios y deberes legales
Oponerse al tratamiento de sus datos para finalidades secundarias
Revocar la autorización otorgada para el tratamiento
Solicitar prueba de la autorización otorgada
Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la ley

9.1 Procedimiento para ejercer derechos

Las solicitudes deben dirigirse a:

Correo: privacidad@kairalabs.ai
Asunto: "Ejercicio de derechos — [tipo de derecho]"

La solicitud debe contener:

Nombre completo del titular
Número de documento de identidad
Descripción de los hechos y derecho que desea ejercer
Dirección de correspondencia (física o electrónica)
Documentos de soporte (si aplica)

9.2 Plazos de respuesta

Tipo de solicitud	Plazo
Consultas	10 días hábiles (prorrogable 5 días)
Reclamos	15 días hábiles (prorrogable 8 días)

Si el reclamo resulta incompleto, se requerirá al interesado dentro de los 5 días siguientes para que subsane la falta. Transcurridos 2 meses sin respuesta, se entenderá desistido.

10. MEDIDAS DE SEGURIDAD

Kaira Labs SAS implementa las siguientes medidas para proteger los datos personales:

10.1 Medidas técnicas

Cifrado en reposo: Datos sensibles cifrados con estándares de la industria
Cifrado en tránsito: HTTPS/TLS en todas las comunicaciones web y túneles cifrados
Autenticación multifactor (MFA): Obligatoria para administradores del panel
Tokens de acceso de corta duración: Con rotación automática y detección de reuso
Control de acceso basado en roles (RBAC): Múltiples niveles con permisos granulares por recurso
Contraseñas: Almacenadas con algoritmos de hash seguros, nunca en texto plano
Base de datos: Acceso restringido por credenciales y red local

10.2 Medidas organizativas

Acceso a datos limitado al personal estrictamente necesario
Registro de eventos de auditoría
Monitoreo automatizado del servicio
Código fuente en repositorio privado con deploy key de solo lectura
Despliegue automatizado con validación previa (CI/CD)

10.3 Respuesta a incidentes

En caso de vulneración de datos personales, Kaira Labs SAS:

Notificará a los titulares afectados dentro de las 72 horas siguientes al conocimiento del incidente
Informará a la Superintendencia de Industria y Comercio
Documentará el incidente, sus causas y las medidas correctivas adoptadas

11. RETENCIÓN Y ELIMINACIÓN DE DATOS

Tipo de dato	Período de retención	Justificación
Datos de salud (clínicos)	Mínimo 15 años desde última atención	Resolución 1995/1999 (historia clínica)
Datos cognitivos (tests + estimulación)	Duración de la relación + 5 años	Seguimiento longitudinal de deterioro cognitivo
Datos nutricionales (menús, restricciones)	Duración de la relación + 1 año	Mejora de personalización
Audios de voz transcritos	30 días, luego solo el texto	Minimización de datos
Conversaciones de voz en tiempo real (llamadas)	No se almacena el audio; solo metadata (duración, timestamp)	Privacidad por diseño
Datos financieros (gastos)	10 años	Normativa tributaria colombiana
Datos de autenticación	Duración de la relación + 6 meses	Necesidad operativa
Logs de interacción	2 años	Mejora del servicio y auditoría
Evaluaciones psicológicas de cuidadores	Duración de la relación + 1 año	Seguimiento y prevención
Datos de formación (LMS)	Duración de la relación + 1 año	Certificación y trazabilidad
Encuestas de satisfacción	Indefinido (anonimizadas tras 1 año)	Mejora del servicio

Al término del período de retención o al ejercer el derecho de supresión (cuando sea legalmente procedente), los datos serán eliminados de forma segura e irreversible.

12. COOKIES Y TECNOLOGÍAS DE RASTREO

El panel web (`panel.carmenza.co`) utiliza:

Almacenamiento local (localStorage): Token de sesión JWT y refresh token. Estrictamente necesarios para el funcionamiento del servicio. No se usan cookies de terceros ni herramientas de tracking externo.

13. CAMBIOS A ESTA POLÍTICA

Kaira Labs SAS se reserva el derecho de modificar esta política en cualquier momento. Los cambios serán comunicados a los titulares a través de:

Publicación actualizada en https://kairalabs.ai/privacidad (y enlace desde https://carmenza.co/privacidad)
Notificación por WhatsApp a los usuarios activos del servicio Carmenza
Publicación en el panel web de gestión (panel.carmenza.co)

La continuación del uso del servicio después de la notificación constituye aceptación de los cambios. Si el titular no está de acuerdo, podrá ejercer su derecho de supresión.

14. VIGENCIA

Esta política entra en vigencia a partir de [fecha] y estará vigente mientras Kaira Labs SAS realice tratamiento de datos personales.

15. CONTACTO Y QUEJAS

Oficial de protección de datos: Juan Espinosa — juan.espinosa@kairalabs.ai
Superintendencia de Industria y Comercio (SIC): www.sic.gov.co — Delegatura para la Protección de Datos Personales

- Línea gratuita: 01 8000 910 165 - Sede principal: Carrera 13 No. 27-00, Bogotá D.C.

Documento elaborado conforme a la Ley 1581 de 2012 y sus decretos reglamentarios. Kaira Labs SAS — Bogotá, Colombia — 2026 Carmenza es un producto de Kaira Labs SAS.