1. Responsable del Tratamiento
Nova Connect es una plataforma operada por una persona natural domiciliada en el Valle del Cauca, Colombia, en su calidad de Responsable del Tratamiento conforme a la Ley 1581 de 2012.
Zona de operación: Cali, Yumbo, Jamundí y Palmira
Correo para ejercer derechos del titular y PQRSF de datos: datos@novaconnect.com.co
Las bases de datos administradas por Nova Connect se encuentran inscritas o en proceso de inscripción en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio, conforme al Decreto 1377 de 2013, la Circular Externa 002 de 2015 y la Circular Externa 002 de 2025 de la SIC. El número de registro definitivo será publicado en esta misma sección una vez asignado por la autoridad.
2. Datos Personales Recopilados
Recopilamos los siguientes datos para la prestación del servicio. Los datos clasificados como sensibles (salud, biométricos, financieros) reciben protección reforzada conforme a la Ley 1581 de 2012.
- Identificación: Nombre completo, número de cédula, correo electrónico, teléfono celular, fecha de nacimiento.
- Ubicación: Dirección de servicio del paciente, coordenadas GPS del cuidador durante la prestación del servicio activo, ruta recorrida.
- Registro de visita (puede contener datos sensibles de salud): actividades de acompañamiento, estado de ánimo, apetito y notas que el cuidador registra sobre cada visita. Nova Connect no captura signos vitales ni realiza monitoreo clínico. Si el Cliente decide incluir información de salud en las notas, se trata como dato sensible y se cifra en reposo con algoritmo Fernet (AES-128-CBC + HMAC-SHA256).
- Biométricos (datos sensibles — solo app móvil): En la aplicación Android, el usuario puede activar autenticación por huella dactilar o reconocimiento facial. La huella nunca sale del dispositivo: el sistema operativo Android (Keystore) la conserva localmente y Nova Connect solo recibe una confirmación de éxito/fallo. No almacenamos imágenes ni patrones biométricos en nuestros servidores. El uso de biometría requiere consentimiento expreso, separado y revocable, otorgado al activar la función desde los ajustes de la app. El usuario puede continuar usando la Plataforma sin biometría mediante contraseña.
- Documentos de cuidadores: Hoja de vida, certificados de formación o experiencia, documento de identidad, antecedentes (judiciales y disciplinarios) y soporte de aporte a Seguridad Social (PILA). Cuando la formación del cuidador corresponda a una profesión regulada, podrá aportarse de forma voluntaria la licencia o registro profesional aplicable; Nova Connect no exige habilitación como prestador de salud, pues los servicios son de acompañamiento y cuidado no asistencial.
- Datos financieros (cuidador): Llave Bre-B (número de celular, cédula, correo o alias) para el pago de honorarios, cifrada en reposo con Fernet y solo desencriptada en el momento exacto del procesamiento del retiro. Historial de movimientos del Wallet interno (depósitos, retiros, comisiones).
- Identificadores del dispositivo: Token FCM (Firebase Cloud Messaging) para envío de notificaciones push, ID de sesión web, suscripción Web Push del navegador.
- Imágenes y firmas: Fotos opcionales registradas durante el servicio (autorizadas por el cliente), firmas digitales de inicio y finalización del servicio, foto de perfil del cuidador.
- Actividad en la plataforma: Historial de servicios, calificaciones, mensajes de chat interno entre cliente y cuidador, alertas SOS activadas.
No recopilamos información de tarjetas de crédito ni datos bancarios completos. Los pagos son procesados directamente por la pasarela Wompi (Bancolombia) bajo certificación PCI-DSS.
3. Finalidad del Tratamiento
Sus datos personales serán utilizados para:
- Gestionar su cuenta y perfil en la plataforma (web y aplicación móvil Android).
- Conectar a las familias con cuidadores y acompañantes en Cali, Yumbo, Jamundí y Palmira.
- Realizar seguimiento GPS en tiempo real durante los servicios activos.
- Generar el registro de cada visita y reportes en PDF para la familia.
- Enviar notificaciones in-app, push nativas (Android), correos transaccionales y alertas de emergencia SOS.
- Procesar el pago automatizado de honorarios al cuidador (payout) a través de la pasarela Wompi.
- Verificar de forma automatizada el estado de aporte a Seguridad Social (PILA) del cuidador, conforme al Decreto 1273 de 2018.
- Cumplir con las obligaciones de prevención de fraude y lavado de activos exigidas por la Ley 526 de 1999 (UIAF), incluyendo la revisión humana de retiros que superen los umbrales legales.
- Cumplir obligaciones legales, tributarias y de retención (cuando aplique), conforme al Estatuto Tributario.
- Mejorar la calidad del servicio mediante análisis de uso agregado y anónimo.
4. Derechos del Titular
De acuerdo con la Ley 1581 de 2012 y el Decreto 1377 de 2013, usted tiene derecho a:
- Conocer: acceder a sus datos personales en cualquier momento.
- Actualizar y rectificar: corregir datos inexactos o incompletos.
- Suprimir: solicitar la eliminación de sus datos cuando no sean necesarios para la finalidad.
- Revocar: retirar la autorización de tratamiento en cualquier momento.
- Prueba de autorización: solicitar copia de la autorización otorgada.
- Quejas: presentar reclamaciones ante la Superintendencia de Industria y Comercio (SIC).
Para ejercer cualquiera de estos derechos escriba a: datos@novaconnect.com.co con asunto "Derechos del Titular" e incluya su nombre completo y número de cédula. También puede presentar su solicitud autenticada desde la página /contacto dentro de la Plataforma. El plazo legal de respuesta es de 15 días hábiles para consultas y 15 días hábiles prorrogables por 8 días para reclamos (Ley 1755 de 2015 + Ley 1581 de 2012).
5. Habeas Data y Datos Sensibles
En cumplimiento de la Ley 1581 de 2012 (régimen general de protección de datos personales), Nova Connect garantiza:
- La información de salud que el Cliente decida registrar es clasificada como dato sensible y recibe protección especial: solo el cliente del contrato, el cuidador asignado y el administrador de la plataforma pueden acceder a ella.
- Nunca compartimos datos personales con terceros con fines comerciales sin su autorización expresa.
- Datos de ubicación GPS — política de retención:
- La ubicación viva (en caché) se borra automáticamente al cerrarse el servicio (cancelado, finalizado o completado).
- El historial del trayecto durante el servicio se conserva: hasta 180 días en servicios completados (para auditoría y resolución de disputas), hasta 90 días en servicios finalizados sin firma del cliente, y hasta 30 días en servicios cancelados.
- Tras estos plazos el histórico GPS se elimina de forma irreversible por un proceso automatizado diario.
- Puede solicitar la eliminación anticipada escribiendo a datos@novaconnect.com.co.
- El registro de visita y las notas de acompañamiento (que no constituyen historia clínica ni documento asistencial) se conservan mientras la cuenta esté activa. Puede solicitar su eliminación en cualquier momento.
6. Cookies, App Móvil y Tecnologías de Rastreo
En el navegador web:
- Almacenamiento local (localStorage): guardamos un token de sesión (refresh token) cifrado para mantenerle conectado entre visitas. Este dato no es una cookie y no se transmite a terceros.
- Service Worker / caché PWA: almacenamos recursos estáticos (HTML, CSS, JS, imágenes) para que la plataforma funcione con conexiones lentas o intermitentes. No se guardan datos personales en el caché.
- Vercel Analytics: recopila datos anónimos de rendimiento web (páginas vistas, tiempo de sesión, país de origen). No contiene información personal identificable.
- Google Analytics 4 (GA4): mide patrones de uso agregados para mejorar el producto. Se ha configurado con anonimización de IP y sin remarketing publicitario.
En la aplicación móvil Android:
- Android Keystore: el token de sesión y el indicador de biometría activada se guardan en el almacén seguro nativo del sistema operativo, respaldado por hardware en dispositivos compatibles.
- Capacitor Preferences: guarda preferencias de la aplicación (modo accesibilidad, idioma, etc.). No contiene datos sensibles.
- Firebase Cloud Messaging (FCM): Google asigna un identificador único al dispositivo para entregar notificaciones push. Puede revocarlo desactivando las notificaciones desde los ajustes del sistema.
- Certificate pinning: la aplicación valida que la conexión solo ocurra contra los certificados oficiales de Nova Connect, bloqueando ataques de hombre en el medio.
No usamos cookies de publicidad ni de seguimiento entre sitios. Puede desactivar la analítica desde la configuración de su navegador o del sistema operativo sin afectar el funcionamiento de la plataforma.
7. Procesadores de Datos y Terceros
Para operar la plataforma utilizamos los siguientes proveedores, con quienes mantenemos acuerdos de tratamiento de datos (Data Processing Agreements) conforme al artículo 25 del Decreto 1377 de 2013:
- Render.com (Estados Unidos): alojamiento del servidor backend FastAPI y base de datos PostgreSQL.
- Vercel (Estados Unidos): alojamiento del frontend web y analítica de rendimiento (Vercel Analytics).
- Cloudflare R2 (Estados Unidos): almacenamiento seguro de archivos (fotos, documentos, firmas digitales) con cifrado en reposo.
- Upstash Redis (Estados Unidos): caché de sesiones, mensajería Pub/Sub para WebSocket y buffer temporal de coordenadas GPS.
- Wompi S.A.S. (Colombia — Grupo Bancolombia): pasarela de pagos PSE, tarjetas y Nequi, así como el producto "Pagos a Terceros" para el desembolso automático de honorarios al cuidador.
- Google LLC — Firebase Cloud Messaging (Estados Unidos): entrega de notificaciones push a la aplicación Android.
- Google LLC — Google Analytics 4 (Estados Unidos): medición agregada y anónima de uso del sitio web.
- Google LLC — Gmail SMTP (Estados Unidos): envío de correos electrónicos transaccionales (confirmaciones, alertas, recuperación de contraseña).
- Mapbox Inc. (Estados Unidos): renderizado de mapas y geocodificación. Procesa coordenadas anónimas; no recibe datos personales del usuario.
- Functional Software Inc. — Sentry (Estados Unidos): telemetría de errores y monitoreo de calidad. Los logs son depurados ("scrubbing") antes de envío para excluir datos personales identificables.
Transferencia internacional de datos. Algunos proveedores listados están domiciliados en Estados Unidos, país que actualmente no figura en la lista de países con nivel adecuado de protección de datos emitida por la SIC (Circular Externa 005 de 2017, actualizada). En consecuencia, Nova Connect: (a) suscribe Cláusulas Contractuales Tipo de la SIC o Data Processing Agreements con cada procesador, incluyendo las garantías mínimas exigidas por la Ley 1581 de 2012; (b) solicita su consentimiento expreso, previo, informado y específico para la transferencia internacional de datos sensibles, mediante casilla dedicada al registro; (c) limita el envío a los datos estrictamente necesarios para la función contratada; (d) verifica las certificaciones SOC 2 Type II, ISO 27001 o equivalentes de los procesadores.
Nova Connect no vende, alquila ni cede datos a terceros con fines comerciales o publicitarios bajo ninguna circunstancia.
8. Medidas de Seguridad
Implementamos controles técnicos y organizativos para proteger sus datos:
- Cifrado en reposo: datos sensibles (información de salud que el cliente registre, llaves Bre-B, identificación) cifrados con Fernet (AES-128-CBC + HMAC-SHA256) usando claves rotadas periódicamente.
- Cifrado en tránsito: conexiones únicamente por HTTPS (TLS 1.2+) y WebSocket Seguro (WSS).
- Autenticación: tokens JWT de acceso de corta duración (30 minutos) y refresh tokens opacos hasheados con SHA-256 en base de datos, con rotación automática en cada uso.
- Autenticación biométrica móvil: en la app Android, el inicio de sesión puede protegerse con huella dactilar respaldada por Android Keystore (hardware-backed cuando el dispositivo lo soporta).
- Certificate pinning: la app Android valida los certificados oficiales del backend para bloquear ataques de hombre en el medio.
- Control de acceso por roles (RBAC): cada usuario (cliente, cuidador, administrador) solo accede a los datos estrictamente necesarios para su rol.
- Auditoría y logs inmutables: registro de eventos de seguridad con cadena de checksum SHA-256 para detectar manipulación.
- Rate limiting y protección anti-fuerza-bruta: bloqueo temporal automático de cuentas tras intentos fallidos.
- Revisión humana de retiros sensibles: aplicación de controles UIAF (Ley 526 de 1999) sobre operaciones financieras que superen umbrales legales.
Gestión y notificación de incidentes de seguridad. Ante un incidente de seguridad que comprometa datos personales, Nova Connect: (i) activa el comité de respuesta dentro de las primeras seis (6) horas; (ii) realiza un análisis de impacto en privacidad; (iii) notifica a la Superintendencia de Industria y Comercio dentro de los quince (15) días hábiles siguientes al conocimiento del incidente, conforme a la Circular Externa 002 de 2025 de la SIC; (iv) cuando exista riesgo alto para los derechos de los titulares, notifica a éstos individualmente en lenguaje claro indicando los datos comprometidos, las medidas adoptadas y las recomendaciones. Nova Connect mantiene un Registro Interno de Incidentes conservado por dos (2) años.
9. Retención de Datos
Los plazos de retención están alineados con la finalidad para la que fueron recolectados y con las obligaciones legales aplicables:
- Datos de cuenta y perfil: mientras la cuenta esté activa. Tras el cierre voluntario, conservamos los datos mínimos exigidos por ley (facturación, historia de transacciones) por el tiempo que la normativa exija.
- Registro de visita: Nova Connect conserva el registro de visita (actividades, ánimo y notas) mientras la cuenta esté activa y por el plazo estrictamente necesario para soporte de la prestación, auditoría y atención de reclamaciones. El Cliente puede solicitar en cualquier momento la descarga y la eliminación del registro, conservando Nova Connect solo el resumen mínimo necesario para cumplimiento legal.
- Historial de pagos, retiros y movimientos de Wallet: hasta 10 años, conforme a las obligaciones tributarias del Estatuto Tributario y los requerimientos UIAF (Ley 526 de 1999).
- Ubicación GPS — política específica:
- La ubicación viva (en caché Redis) se borra automáticamente al cerrarse el servicio.
- El histórico del trayecto se conserva: hasta 180 días en servicios completados, hasta 90 días en servicios finalizados sin firma del cliente, y hasta 30 días en servicios cancelados.
- Tras estos plazos el histórico GPS se elimina de forma irreversible por un proceso automatizado diario.
- Llaves Bre-B: mientras el cuidador mantenga la cuenta activa o hasta que solicite su eliminación. Se cifran en reposo con Fernet.
- Logs de seguridad y auditoría: hasta 2 años, salvo requerimiento judicial.
Puede solicitar la eliminación anticipada de cualquier dato que no esté sujeto a retención legal escribiendo a datos@novaconnect.com.co.
10. Legislación Aplicable
Esta política se rige por la legislación colombiana, en particular:
- Ley 1581 de 2012 — Protección de Datos Personales.
- Decreto 1377 de 2013 — Reglamentación de la Ley 1581.
- Ley 1266 de 2008 — Habeas Data financiero.
- Ley 527 de 1999 — Comercio Electrónico y Firma Digital.
- Ley 1273 de 2009 — Delitos Informáticos.
- Ley 526 de 1999 — Unidad de Información y Análisis Financiero (UIAF).
- Decreto 1273 de 2018 — Aporte a Seguridad Social de trabajadores independientes (PILA).
Cualquier controversia relacionada con esta política se resolverá ante los jueces competentes de la ciudad de Santiago de Cali, Valle del Cauca, Colombia, sin perjuicio del derecho del titular a presentar quejas ante la Superintendencia de Industria y Comercio (SIC).