Política de Retención de Datos

1. Resumen ejecutivo

La normativa colombiana clasifica los datos clínicos en dos categorías con períodos de retención distintos. Cliini diferencia ambos en su política y su infraestructura técnica:

2. Audio crudo (30 días)

Cliini elimina automáticamente el audio de cada consulta a los 30 días de la fecha de finalización. Un proceso programado (cron job diario, 03:00 UTC) recorre las consultas con completed_at mayor a 30 días y audio_deleted_at nulo, borra los archivos del bucket de Supabase Storage y marca la fila con la fecha de eliminación.

Justificación legal: el audio crudo es un dato de tratamiento intermedio cuya finalidad (generar transcripción + nota clínica) ya se cumplió. No forma parte de la Historia Clínica Electrónica conforme al Art. 5 de la Res. 866/2021, que define los componentes mínimos de la HCE y no incluye registros de voz.

Acceso anticipado del médico: el médico puede solicitar eliminación del audio en cualquier momento antes de los 30 días desde la propia aplicación o por correo a privacidad@cliini.co.

3. Historia clínica (15 años)

La nota clínica generada, la transcripción de la consulta, los códigos CIE-10 / CUPS y el plan de manejo se conservan por mínimo 15 años desde la última atención al mismo paciente, conforme al Art. 15 de la Res. 1995/1999 (modificado por la Res. 839/2017).

Esto aplica incluso si:

• El médico revoca su consentimiento Habeas Data.
• El médico cancela su cuenta de Cliini.
• El paciente solicita eliminación de sus datos al médico.

En todos esos casos, la HCE se conserva pero deja de exhibirse al médico titular. Acceso ulterior requiere requerimiento formal escrito a privacidad@cliini.co con identificación verificable. Cliini conserva la HCE durante el período legal porque el deber de conservación recae sobre el responsable del dato (el médico) y Cliini, como Encargado, debe respaldarlo.

4. Aplicación técnica

• RLS (Row Level Security) en Postgres: la política de DELETE sobre la tabla consultations bloquea cualquier eliminación de filas con completed_at dentro de los 15 años. Esto es defensa en profundidad — incluso si un atacante obtiene credenciales del usuario, no puede borrar HCE prescrita.
• Verificación semanal: un cron (lunes 04:30 UTC) ejecuta la función check_hce_retention_compliance() que reporta cualquier consulta dentro del período de retención con HCE incompleta (transcript / nota / nota editada faltantes). Anomalías generan alerta a Sentry.
• Audit log: intentos de borrado bloqueados por retención, revocaciones de consentimiento, exports HCE — todos registrados en la tabla audit_log con timestamp + metadata.
• Endpoint de portabilidad: /api/account/export-hce entrega ZIP con JSON + PDF por consulta del médico. Cumple Art. 8 Ley 1581/2012 (derecho de portabilidad).

5. Cancelación de cuenta — qué ocurre con tus datos

1. El audio crudo se elimina inmediatamente del bucket.
2. Las consultas se marcan cuenta_cancelada_at y dejan de aparecer en la app. La nota clínica + transcripción permanecen en la base.
3. Antes de cerrar sesión, el médico puede descargar su HCE completa (ZIP con JSON + PDF por consulta) desde la página de cuenta desactivada o desde Ajustes.
4. A los 15 años desde la última atención, las consultas son elegibles para eliminación definitiva (proceso revisado manualmente — no se borra de forma automática para evitar errores).

6. Excepciones y salvedades

• Una consulta NO finalizada (completed_at nulo) — típicamente un test recording — puede borrarse en cualquier momento desde la app.
• Una orden judicial o requerimiento de autoridad competente (SIC, Procuraduría, Fiscalía) puede extender el período de retención más allá de 15 años.
• Cliini se reserva el derecho de retener logs de seguridad por más tiempo si está investigando un incidente.

7. Contacto

Solicitudes de acceso, rectificación, eliminación anticipada o aclaraciones sobre esta política: privacidad@cliini.co.