⚠️ Documento borrador — Requiere revisión jurídica
Este documento es un borrador elaborado con fines de planificación. Debe ser revisado y ajustado por un abogado especializado en protección de datos y derecho digital en Colombia antes de ser publicado. No tiene validez legal hasta ser aprobado y firmado por el representante legal de Paloma SAS.
1. ¿Qué es Paloma y qué NO es?
🕊️ Paloma es una herramienta de acompañamiento emocional y bienestar digital para niños y adolescentes. No es un dispositivo médico.
Paloma SAS (en adelante "Paloma", "nosotros" o "la plataforma") ofrece una aplicación móvil y plataformas web cuyo propósito es ayudar a niños y adolescentes a identificar, registrar y comunicar cómo se sienten emocionalmente, facilitando la comunicación con su familia, sus profesionales de apoyo y sus instituciones educativas.
Aviso importante: Paloma NO diagnostica condiciones de salud mental, NO genera conceptos clínicos, NO prescribe tratamientos y NO reemplaza la atención de psicólogos, psiquiatras u otros profesionales de la salud. Ante una crisis o emergencia, llama a la Línea 106 (salud mental, gratuita y disponible 24/7 en Colombia).
Por su naturaleza como herramienta de bienestar digital, Paloma no está sujeta a registro ante el INVIMA ni requiere habilitación del Ministerio de Salud. Está regulada principalmente por la Ley 1581 de 2012 (protección de datos personales) y supervisada por la Superintendencia de Industria y Comercio (SIC).
2. Información que recolectamos
2.1 Información que el usuario nos proporciona directamente
| Tipo de dato | ¿Quién lo proporciona? | Finalidad |
|---|
| Nombre y apodo | Niño / Acudiente | Personalización de la experiencia |
| Edad | Niño / Acudiente | Adaptar contenido según etapa de desarrollo |
| Nombre del colegio | Niño (opcional) | Vinculación con la institución educativa |
| Foto de perfil | Niño (opcional) | Personalización visual del espacio del niño |
| Correo electrónico | Acudiente / Terapeuta | Autenticación, recuperación de cuenta, notificaciones |
| Número de teléfono | Acudiente | Notificaciones urgentes por WhatsApp o SMS |
| Registros emocionales | Niño | Historial personal del niño — dato sensible |
| Pensamientos libres (texto) | Niño (opcional) | Registro privado — dato sensible de máxima protección |
| Preferencias de personalización | Niño | Experiencia personalizada + indicador de bienestar |
2.2 Información que recolectamos automáticamente
- Fecha y hora de los registros emocionales (para calcular patrones y tendencias)
- Tipo de dispositivo y sistema operativo (para compatibilidad técnica)
- Frecuencia de uso de la app (para el cálculo de la batería emocional y detección de silencio prolongado)
- Cambios en la personalización visual (tema de color, avatar) — utilizados como indicador de bienestar, nunca como dato de identificación
Lo que Paloma NO recolecta: ubicación GPS, contactos del dispositivo, historial de navegación, micrófono o cámara (salvo cuando el usuario activa voluntariamente la función de foto de perfil).
3. Datos sensibles — Emociones y bienestar
Los registros emocionales y los pensamientos libres que el niño o adolescente ingresa en Paloma constituyen datos sensibles relativos a la salud y la vida íntima, conforme al Artículo 5° de la Ley 1581 de 2012.
Máxima protección: Los pensamientos libres del niño (el campo de texto abierto en cada registro) están cifrados en reposo y en tránsito. Paloma como empresa NO accede al contenido de los pensamientos libres del niño. Solo el niño y las personas explícitamente autorizadas por el acudiente principal pueden verlos.
El tratamiento de estos datos sensibles es posible únicamente porque:
- El acudiente principal otorga autorización explícita, previa e informada durante el proceso de registro (Artículo 6° de la Ley 1581)
- El niño, según su madurez y capacidad de comprensión, también otorga su consentimiento al crear su acceso privado con la secuencia de emojis
- El tratamiento responde y respeta el interés superior del menor, conforme al Artículo 7° de la Ley 1581
4. Datos de menores de edad
El usuario principal de Paloma es un niño o adolescente entre 8 y 17 años. Paloma aplica una protección especial y reforzada para sus datos, conforme a la legislación colombiana e internacional.
Modelo adulto-primero (Adult-First): El acudiente principal crea la cuenta y genera el código de acceso ANTES de que el niño pueda usar la app. Este diseño garantiza que el consentimiento parental sea verificable y previo al acceso del menor — cumpliendo COPPA (EE.UU.), GDPR-K (Europa) y el Artículo 7° de la Ley 1581 de Colombia.
- El representante legal del menor es el Acudiente Principal — único titular de la cuenta con capacidad de autorizar el tratamiento de datos sensibles
- El niño tiene acceso a sus propios datos pero no puede eliminar su cuenta sin autorización del acudiente
- El acudiente puede en cualquier momento solicitar la eliminación completa de todos los datos del menor
- Paloma no utiliza los datos de menores para publicidad, perfilamiento comercial ni transferencia a terceros con fines distintos al servicio
- El contenido que los menores generan (pensamientos, registros) nunca se usa para entrenar modelos de inteligencia artificial sin consentimiento explícito adicional
5. Cómo usamos la información
| Uso | Base legal | ¿Es opcional? |
|---|
| Calcular el indicador de bienestar semanal (semáforo) | Consentimiento explícito + ejecución del servicio | No — es función central |
| Detectar patrones de expresión emocional de alerta | Interés vital del titular + consentimiento | No — es función de seguridad |
| Enviar notificaciones al acudiente y equipo de apoyo | Consentimiento explícito del acudiente | Parcialmente — alertas urgentes son obligatorias |
| Generar reportes semanales y quincenales | Consentimiento + ejecución del servicio | Sí — el acudiente puede desactivarlos |
| Personalización de la experiencia del niño | Consentimiento + ejecución del servicio | Sí — el niño puede no personalizar |
| Análisis de uso para mejorar el producto (anonimizado) | Interés legítimo de Paloma | Sí — puede opt-out en ajustes |
| Cumplimiento de obligaciones legales | Obligación legal | No — requerido por ley |
Lo que Paloma NUNCA hace con tus datos: venderlos a terceros, usarlos para publicidad personalizada, compartirlos con aseguradoras o empleadores, ni incluirlos en datasets de entrenamiento de IA de terceros.
6. Quién puede ver qué información
| Actor | Ve emociones/intensidad | Ve pensamientos libres | Ve semáforo | Ve nombre del niño |
|---|
| El niño | ✅ Solo los suyos | ✅ Solo los suyos | ❌ No | ✅ El suyo |
| Acudiente principal | ✅ Historial completo | ✅ Con acceso autorizado | ✅ | ✅ |
| Tratante líder | ✅ Historial completo | ✅ Con permiso del acudiente | ✅ | ✅ |
| Tratante colaborador | ✅ | Solo con permiso explícito | ✅ | ✅ |
| Orientador escolar | ❌ Solo colectivo anónimo | ❌ | ✅ Colectivo anónimo + nombre en alertas urgentes | ✅ Solo en alertas Nivel 0 |
| Paloma SAS (empresa) | Metadatos anonimizados | ❌ NUNCA | Agregados anónimos | ❌ |
El colegio y el nombre del alumno: El orientador escolar ve el nombre del estudiante únicamente cuando se activa una alerta de Nivel 0 (planificación de autolesión) — para poder actuar de inmediato. En el dashboard colectivo, todos los datos son anonimizados. Esta distinción está configurada por el acudiente al autorizar la vinculación del colegio.
7. Transferencia internacional de datos
Paloma utiliza Supabase como proveedor de base de datos e infraestructura. Supabase puede almacenar datos en servidores ubicados fuera de Colombia (principalmente en Estados Unidos o Europa).
Esta transferencia internacional cumple con el Artículo 26 de la Ley 1581 de 2012 porque:
- El titular ha otorgado autorización expresa e inequívoca en el proceso de registro
- Supabase ofrece regiones de almacenamiento en la Unión Europea, que cuenta con niveles de protección equivalentes o superiores a los colombianos
- Supabase firma Acuerdos de Procesamiento de Datos (DPA) y cumple con GDPR
Para usuarios europeos: Paloma puede configurar el almacenamiento exclusivamente en la región EU de Supabase. Solicítalo a través del canal de soporte.
8. Seguridad de la información
- Cifrado en tránsito: Toda comunicación entre la app y los servidores usa TLS 1.3 (HTTPS obligatorio)
- Cifrado en reposo: Los pensamientos libres del niño se almacenan cifrados con AES-256. La clave de cifrado es derivada del código PALOMA del usuario — Paloma como empresa no tiene acceso
- Segmentación por roles: La base de datos implementa Row Level Security (RLS) — cada actor solo puede leer los datos que le corresponden según su rol
- Autenticación segura: Supabase Auth con JWT de corta duración + refresh tokens. Soporte para biometría en dispositivos compatibles
- Código de acceso del niño: La secuencia de 3 emojis nunca se almacena en texto plano — solo su hash
- Incidentes de seguridad: En caso de brecha de seguridad, notificamos a los afectados y a la SIC dentro de las 72 horas, conforme a la ley
9. Tus derechos como titular
Conforme a la Ley 1581 de 2012 y el Decreto 1377 de 2013, tienes los siguientes derechos:
| Derecho | Cómo ejercerlo |
|---|
| Acceso: Conocer qué datos tenemos sobre ti | Solicitar reporte completo por email a privacidad@paloma.app |
| Rectificación: Corregir datos inexactos | Desde la sección de Perfil en la app o por email |
| Supresión ("derecho al olvido"): Eliminar todos tus datos | Desde Ajustes → Cuenta → Eliminar cuenta. Irreversible en 30 días. |
| Oposición: Oponerte a tratamientos no esenciales | Desde Ajustes → Privacidad en la app |
| Revocación: Retirar el consentimiento | Implica la eliminación de la cuenta (los datos esenciales no pueden tratarse sin consentimiento) |
| Portabilidad: Recibir tus datos en formato exportable | Solicitar exportación PDF o JSON por email |
| Queja ante la SIC: Si creemos que violamos tus derechos | www.sic.gov.co — Delegatura para Protección de Datos Personales |
Para menores: El acudiente principal puede ejercer todos los derechos anteriores en nombre del menor. Adicionalmente, cuando el niño alcance la mayoría de edad, puede reclamar la titularidad de sus propios datos.
10. Retención y eliminación de datos
| Tipo de dato | Tiempo de retención | ¿Qué pasa al vencer? |
|---|
| Registros emocionales (plan Free) | 30 días | Eliminación automática de registros más antiguos |
| Registros emocionales (plan pago) | Durante la suscripción activa + 90 días | Eliminación automática al cerrar cuenta |
| Pensamientos libres | Igual que registros emocionales | Eliminación automática — cifrados hasta entonces |
| Datos de perfil (nombre, foto) | Durante la cuenta activa | Eliminación al solicitar cierre de cuenta |
| Logs de seguridad | 12 meses | Eliminación automática |
| Datos de facturación | 5 años (obligación tributaria) | Anonimización al vencer |
11. Cookies y tecnologías de seguimiento
La app móvil de Paloma no usa cookies. Las PWAs (aplicaciones web) utilizan únicamente:
- Cookies de sesión esenciales: Para mantener la sesión iniciada. No pueden desactivarse.
- LocalStorage: Para guardar preferencias de personalización localmente en tu dispositivo.
- PostHog (analíticas): Herramienta de análisis auto-alojada sin transferencia de datos a terceros. Solo datos anonimizados de uso. Puede desactivarse en Ajustes → Privacidad.
Paloma no usa cookies de publicidad, píxeles de seguimiento de terceros ni SDKs de redes sociales.
12. Cambios a esta política
Paloma puede actualizar esta política cuando sea necesario — por cambios en el servicio, cambios legales o mejoras en las prácticas de privacidad.
- Notificaremos los cambios materiales por email al acudiente registrado con al menos 30 días de anticipación
- Para cambios que impliquen nuevos usos de datos sensibles, solicitaremos un nuevo consentimiento explícito
- La versión vigente siempre estará disponible en paloma.app/privacidad
- El historial de versiones anteriores estará disponible a solicitud
13. Contacto y canal de quejas (PQRSF)
| Tipo de solicitud | Canal | Tiempo de respuesta |
|---|
| Preguntas generales sobre privacidad | privacidad@paloma.app | 5 días hábiles |
| Ejercicio de derechos (acceso, corrección, supresión) | privacidad@paloma.app | 10 días hábiles (prorrogable 5 días más) |
| Reclamos por uso indebido de datos | privacidad@paloma.app con asunto "RECLAMO" | 15 días hábiles |
| Emergencias de seguridad | seguridad@paloma.app | 24 horas |
| Queja ante la SIC | www.sic.gov.co | Según procedimiento SIC |
Responsable del tratamiento de datos:
Paloma SAS (en constitución)
NIT: [pendiente de registro]
Domicilio: Ibagué, Tolima, Colombia
Correo: privacidad@paloma.app
Representante legal: [Julian — pendiente de registro formal]