POLÍTICA DE PRIVACIDAD DEL SITIO Y LOS SERVICIOS DE MORNING HEALTH

Para efectos de esta Política de Privacidad, los términos en mayúsculas a continuación tendrán los significados aquí establecidos. Los términos en mayúsculas no definidos en esta Política de Privacidad tienen el significado establecido en los T&C.

2.1. Alcance. Esta Política de Privacidad aplica a los Datos Personales Tratados por Morning Health en relación con el Sitio, los Servicios y cualquier Self-Serve Plan, incluyendo cualquier interacción con nuestras comunicaciones de marketing, canales de soporte y otros puntos de contacto.

2.2. Fuera de alcance. Esta Política de Privacidad no aplica a los Datos Personales Tratados por Morning Health bajo un Negotiated Plan, donde el régimen de protección de datos se rige exclusivamente por el MSA ejecutado, su Data Processing Agreement (Anexo B) y el Order Form correspondiente, los cuales prevalecen en su totalidad respecto de tales clientes.

2.3. Servicios de terceros. Esta Política de Privacidad no aplica a los Datos Personales Tratados por terceros cuyos servicios puedan ser integrados con o accedidos a través de la Plataforma (por ejemplo, dispositivos wearable, laboratorios aliados, el Procesador de Pagos, proveedores de IA, proveedores de identidad); dicho Tratamiento se rige por la política de privacidad propia del respectivo tercero.

Morning Health recolecta Datos Personales cuando usted nos los proporciona, cuando usa el Sitio o los Servicios, y cuando otras fuentes nos los proporcionan, según se describe a continuación.

A. Información que Usted Proporciona

B. Información Recolectada Automáticamente

C. Información de Salud y Clínica (específica de Self-Serve Plan)

Cuando usted usa la Plataforma como Usuario bajo un Self-Serve Plan, carga, genera o transmite Datos Personales de Usuarios Finales, los cuales pueden incluir Información Personal Sensible como:

Como Usuario, usted es el Responsable del Tratamiento / Business respecto de dichos Datos Personales de sus Usuarios Finales, y Morning Health actúa únicamente como Encargado del Tratamiento / Service Provider Tratando dichos datos bajo sus instrucciones documentadas y para las finalidades de la prestación de los Servicios (ver Sección 5).

D. Información de Otras Fuentes

Morning Health podrá recibir Datos Personales de terceros, incluyendo:

Morning Health realiza el Tratamiento de Datos Personales para las siguientes finalidades, sujeto a la base legal aplicable bajo el régimen de protección de datos correspondiente:

4.1. Para proveer y operar los Servicios: incluyendo crear y administrar Cuentas, autenticar Usuarios, entregar la funcionalidad de la Plataforma, procesar pagos vía el Procesador de Pagos, proveer soporte al cliente y técnico, y habilitar integraciones con servicios de terceros autorizados por el Usuario.

4.2. Para mejorar, desarrollar y asegurar los Servicios: incluyendo troubleshooting, depuración, monitoreo de desempeño, operaciones de seguridad, prevención de fraude, detección de abuso, investigación y desarrollo, y analítica de producto. Morning Health podrá usar datos agregados y anonimizados para estas finalidades y para benchmarking de la industria, investigación científica y reportes a inversionistas y partners, conforme a la Cláusula 20 de los T&C.

4.3. Para comunicarnos con usted: incluyendo comunicaciones transaccionales (cuenta, facturación, seguridad, cambios de políticas), comunicaciones informativas sobre nuevas funcionalidades o actualizaciones de producto, y comunicaciones de marketing (sujeto a sus derechos de opt-out descritos en la Sección 11). Usted puede darse de baja de comunicaciones de marketing en cualquier momento.

4.4. Para cumplir con obligaciones legales: incluyendo responder a solicitudes legales de autoridades públicas, cumplir con obligaciones tributarias y contables, exigir el cumplimiento de nuestros acuerdos, defender reclamos legales y ejercer nuestros derechos legales.

4.5. Con su consentimiento: Morning Health realiza el Tratamiento de Datos Personales con base en su consentimiento cuando lo requiera la Ley Aplicable (incluyendo consentimiento para cookies no estrictamente necesarias, marketing y ciertas categorías de datos sensibles). Usted puede revocar el consentimiento en cualquier momento sin perjuicio del Tratamiento realizado antes de la revocatoria.

4.6. Entrenamiento y evaluación de IA — límites. Morning Health no usa Contenido del Usuario (incluyendo Datos Personales de Usuarios Finales cargados a través de la Plataforma) para entrenar, ajustar o evaluar modelos de IA generalmente disponibles sin el consentimiento previo y expreso del Usuario, salvo: (i) datos agregados y anonimizados; y (ii) ajuste fino específico al instancia ofrecido expresamente como una funcionalidad de pago (ver Cláusula 14.5 de los T&C).

5.1. Morning Health como Responsable del Tratamiento / Business. Respecto de los Datos Personales del propio Usuario (datos de registro, datos de facturación, interacciones de soporte, datos de uso del Sitio) y de los Visitantes, Morning Health actúa como Responsable del Tratamiento / Business y determina las finalidades y medios del Tratamiento, limitado a proveer y operar el Sitio y los Servicios y a gestionar la relación comercial.

5.2. Morning Health como Encargado del Tratamiento / Service Provider. Respecto de los Datos Personales de Usuarios Finales cargados a través de la Plataforma por un Usuario bajo un Self-Serve Plan, el Usuario actúa como Responsable del Tratamiento / Business y Morning Health actúa como Encargado del Tratamiento / Service Provider, Tratando dichos Datos Personales únicamente bajo las instrucciones documentadas del Usuario y para las finalidades de la prestación de los Servicios. Morning Health deberá:

5.3. Responsabilidades del Usuario. El Usuario, como Responsable del Tratamiento / Business respecto de los Datos Personales de Usuarios Finales:

6.1. Uso de IA. La Plataforma incorpora modelos de IA que generan Resultados de IA como herramientas de apoyo. Los Resultados de IA no reemplazan el juicio clínico y están sujetos a las condiciones de la Cláusula 14 de los T&C y al Aviso Médico de la Cláusula 15 de los T&C.

6.2. Sub-encargados de IA. Morning Health podrá vincular sub-encargados terceros de IA para proveer los Servicios y podrá actualizar, agregar, reemplazar o discontinuar dichos sub-encargados de tiempo en tiempo a su discreción. No se garantiza ni incorpora por referencia en esta Política de Privacidad identidad específica alguna de sub-encargado de IA. Previa solicitud razonable y escrita a legal@morninghealth.ai, Morning Health pondrá a disposición la lista vigente de sub-encargados de IA materiales, sujeto a confidencialidad.

6.3. Sin entrenamiento sobre Contenido del Usuario. Morning Health no usa Contenido del Usuario (incluyendo Datos Personales de Usuarios Finales) para entrenar, ajustar o evaluar modelos de IA generalmente disponibles sin el consentimiento previo y expreso del Usuario, salvo datos agregados y anonimizados y ajuste fino específico al instancia ofrecido como funcionalidad de pago, conforme a la Cláusula 14.5 de los T&C.

7.1. Naturaleza sensible. Los Datos Personales Tratados a través de la Plataforma pueden incluir Información Personal Sensible, particularmente datos de salud, información de biomarcadores, resultados de laboratorio y datos de dispositivos wearable de Usuarios Finales.

7.2. Usuario como Responsable. El Usuario es la única parte responsable de obtener el consentimiento previo, expreso e informado (o basarse en otra base legal válida bajo la Ley Aplicable) de cada Usuario Final para el Tratamiento de Información Personal Sensible, incluyendo bajo los artículos 5 y 6 de la Ley 1581 de 2012 de Colombia, las disposiciones de la CCPA/CPRA sobre información personal sensible, y cualquier disposición análoga.

7.3. Sin BAA ni DPA a la medida bajo Self-Serve. Morning Health no celebra Business Associate Agreements bajo HIPAA, Data Processing Agreements a la medida con términos personalizados, ni contratos específicos análogos de protección de datos bajo ningún Self-Serve Plan. Los Usuarios que requieran dichos instrumentos contractuales formales deberán hacer upgrade a un Negotiated Plan y ejecutar el MSA + Anexo B (DPA), conforme a la Cláusula 19.5 de los T&C.

7.4. Sin prestación de servicios médicos. Morning Health no presta servicios médicos, de salud, diagnósticos, de tratamiento, de prescripción o clínicos; la Plataforma es únicamente una herramienta tecnológica para apoyar a profesionales licenciados (ver Cláusula 15 de los T&C).

Morning Health podrá divulgar Datos Personales a las siguientes categorías de destinatarios:

8.1. Proveedores de Servicios y Sub-encargados: incluyendo (i) proveedores de nube y hosting; (ii) el Procesador de Pagos (actualmente Stripe, Inc.); (iii) plataformas de correo, soporte y CRM; (iv) proveedores de analítica y monitoreo; (v) proveedores de seguridad y prevención de fraude; (vi) sub-encargados de IA conforme a la Sección 6.2; (vii) proveedores de identidad si usted se autentica a través de ellos.

8.2. Afiliadas: entidades bajo titularidad o control común con HumanoLab LLC, sujetas a confidencialidad y protección equivalente a esta Política de Privacidad.

8.3. Laboratorios aliados: cuando el Usuario haya habilitado la funcionalidad de pruebas de laboratorio, Morning Health comparte la información estrictamente necesaria con el laboratorio aliado seleccionado por el Usuario para facilitar el agendamiento y entrega de pruebas de laboratorio a los Usuarios Finales (ver Cláusula 16.3 de los T&C).

8.4. Divulgaciones legales y de cumplimiento: Morning Health podrá divulgar Datos Personales cuando, de buena fe, considere que dicha divulgación es necesaria para: (i) cumplir con la Ley Aplicable, orden judicial, subpoena o requerimiento gubernamental; (ii) exigir el cumplimiento de los T&C, la AUP o esta Política de Privacidad; (iii) proteger los derechos, propiedad o seguridad de Morning Health, sus Usuarios, Usuarios Finales u otros; (iv) investigar o prevenir fraude, incidentes de seguridad u otra actividad ilegal.

8.5. Transacciones de negocio: en caso de fusión, adquisición, financiamiento, reorganización, quiebra, receivership o venta de todos o sustancialmente todos los activos de Morning Health, los Datos Personales podrán ser transferidos al sucesor o adquirente como parte de dicha transacción, sujeto a confidencialidad y a esta Política de Privacidad.

8.6. Con consentimiento. Morning Health podrá divulgar Datos Personales a otros destinatarios con su consentimiento o bajo su instrucción.

8.7. Sin venta de Datos Personales. Morning Health no vende Datos Personales en el sentido tradicional (es decir, por contraprestación monetaria). Ciertas divulgaciones a socios de publicidad y analítica pueden considerarse "ventas" o "intercambios" bajo la CCPA/CPRA; ver la Sección 12.3 para sus derechos de opt-out.

9.1. Transferencias transfronterizas. Los Datos Personales podrán ser transferidos a, almacenados en y Tratados en los Estados Unidos (país de constitución de HumanoLab LLC) y cualquier otra jurisdicción en la cual Morning Health, sus Afiliadas o sus Sub-encargados operen. Dichas jurisdicciones pueden tener leyes de protección de datos que difieran de, y puedan ofrecer menor protección que, las de la jurisdicción del Usuario o del Usuario Final.

9.2. Salvaguardas. Cuando se transfieran fuera de la jurisdicción correspondiente Datos Personales de Titulares de Datos en Colombia u otras jurisdicciones con restricciones a la transferencia transfronteriza, Morning Health implementa salvaguardas apropiadas, las cuales pueden incluir: (i) las salvaguardas requeridas por la Ley 1581 de 2012 de Colombia y la Circular Externa 005 de 2017 de la SIC para transferencias internacionales; y (ii) cualesquiera otros mecanismos reconocidos por la Ley Aplicable de tiempo en tiempo.

9.3. Información disponible. Una descripción de las salvaguardas aplicables a una transferencia específica puede ser solicitada en legal@morninghealth.ai.

10.1. Uso. El Sitio utiliza cookies, píxeles, almacenamiento local y tecnologías similares para finalidades que pueden incluir: funciones estrictamente necesarias, seguridad, preferencias, analítica y (cuando aplique) marketing.

10.2. Política de Cookies. Información detallada sobre cookies y tecnologías de rastreo, las categorías utilizadas, y cómo controlarlas está disponible en nuestra Política de Cookies en morninghealth.ai/es/cookies, incorporada herein por referencia.

10.3. Consentimiento. Cuando la Ley Aplicable lo requiera, Morning Health recolecta consentimiento previo y granular para cookies no estrictamente necesarias a través del banner de cookies desplegado en el Sitio.

10.4. Do Not Track / GPC. Morning Health honra señales de preferencia de opt-out legalmente reconocidas (tales como el Global Privacy Control) cuando la Ley Aplicable lo requiera. Morning Health no responde actualmente a señales genéricas de navegador "Do Not Track".

11.1. Comunicaciones de marketing. Usted puede optar por no recibir correos electrónicos de marketing en cualquier momento usando el enlace de cancelación de suscripción en cualquier comunicación de marketing o contactándonos a legal@morninghealth.ai. Las comunicaciones transaccionales y relacionadas al servicio no pueden ser desactivadas mientras tenga una Cuenta activa.

11.2. Notificaciones push. Usted puede desactivar las notificaciones push a través de los ajustes de su dispositivo móvil.

11.3. Cookies. Usted puede gestionar las preferencias de cookies a través del banner de cookies y la configuración de su navegador, conforme a la Sección 10.

11.4. Revocatoria de consentimiento. Cuando el Tratamiento se base en consentimiento, usted podrá revocarlo en cualquier momento sin perjuicio del Tratamiento realizado antes de la revocatoria.

11.5. Cierre de Cuenta. Usted podrá cerrar su Cuenta en cualquier momento conforme a la Cláusula 29 de los T&C; los efectos de la terminación sobre los Datos Personales se describen en la Sección 13 de esta Política de Privacidad y en la Cláusula 22 de los T&C.

Dependiendo de la jurisdicción del Usuario o del Titular del Dato, los derechos a continuación pueden aplicar. Cuando dos o más regímenes apliquen concurrentemente, Morning Health aplicará el estándar de mayor protección en la medida razonablemente factible.

12.1. Derechos generales. Sujeto a la Ley Aplicable, usted tiene derecho a:

12.2. Colombia — Régimen de Habeas Data (Ley 1581 de 2012). Los Titulares de Datos en Colombia tienen, en particular, los derechos a:

Las solicitudes pueden enviarse a legal@morninghealth.ai. Morning Health responderá dentro de los términos establecidos por el Régimen de Habeas Data.

12.3. California — CCPA/CPRA. Los residentes de California tienen derecho a:

Morning Health no vende Datos Personales en el sentido tradicional. Ciertas divulgaciones a socios de publicidad y analítica pueden considerarse "ventas" o "intercambios" bajo la CCPA/CPRA; usted puede optar por no participar contactando a legal@morninghealth.ai o usando el enlace "Do Not Sell or Share My Info" en el pie de página del Sitio, cuando esté desplegado.

12.4. Otras jurisdicciones. Los Titulares de Datos en otras jurisdicciones pueden tener derechos análogos bajo su Ley Aplicable. Morning Health respetará dichos derechos en la medida requerida por dicha ley.

12.5. Cómo ejercer. Las solicitudes pueden enviarse por escrito a legal@morninghealth.ai, con copia a legal@morninghealth.ai. Morning Health responderá dentro de los términos requeridos por la Ley Aplicable y podrá, antes de actuar sobre una solicitud, requerir verificación razonable de la identidad del solicitante.

13.1. Cuenta activa. Los Datos Personales se conservan mientras la Cuenta esté activa, más los períodos adicionales establecidos en esta Sección.

13.2. Post-terminación. Tras el cierre o terminación de la Cuenta, el Contenido del Usuario (incluyendo Datos Personales de Usuarios Finales) permanece exportable por treinta (30) días calendario conforme a la Cláusula 22 de los T&C, después de lo cual será suprimido, salvo: (i) datos retenidos por obligación legal o regulatoria; (ii) respaldos en el curso ordinario posteriormente sobrescritos; (iii) datos agregados y anonimizados bajo la Cláusula 20 de los T&C.

13.3. Datos de marketing. Los Datos Personales relacionados con marketing se conservan mientras usted no haya optado por darse de baja, más un período razonable posterior para cumplimiento y mantenimiento de registros.

13.4. Registros legales. Los Datos Personales necesarios para demostrar cumplimiento de la Ley Aplicable (incluyendo registros de consentimiento, registros tributarios y archivos de litigio) se conservan por los períodos requeridos por dicha ley.

14.1. Medidas técnicas y organizacionales. Morning Health implementa medidas técnicas y organizacionales razonables conformes a estándares de la industria para proteger los Datos Personales, alineadas con marcos como ISO 27001 y SOC 2 cuando aplique, incluyendo (por vía de ilustración y no de limitación) cifrado en tránsito (TLS) y en reposo cuando sea apropiado, controles de acceso, autorización basada en roles, registro y monitoreo, gestión de vulnerabilidades, prácticas de desarrollo seguro, due diligence de proveedores y procedimientos de respuesta a incidentes.

14.2. Sin garantía absoluta. Ningún sistema es 100% seguro. En la máxima medida permitida por la Ley Aplicable, Morning Health no garantiza seguridad absoluta y no será responsable por accesos no autorizados causados por factores fuera de su control razonable, en línea con las Cláusulas 23–25 de los T&C.

14.3. Notificación de incidentes. En el evento de una violación de datos personales que sea probable que resulte en un riesgo a los derechos y libertades de los Titulares de Datos, Morning Health notificará a los Usuarios afectados, a las autoridades de control y a los Titulares de Datos en la medida y forma requerida por la Ley Aplicable.

15.1. Los Servicios están destinados a profesionales adultos y no se dirigen a menores de 18 años (o la mayoría de edad en la jurisdicción del Usuario, si fuera superior). Morning Health no recolecta a sabiendas Datos Personales de menores para los fines de crear una Cuenta bajo ningún Self-Serve Plan. Si Morning Health toma conocimiento de que ha recolectado inadvertidamente dichos Datos Personales sin una base legal válida, tomará medidas razonables para suprimirlos.

15.2. Usuarios Finales menores de edad. Cuando el Usuario, como profesional, atienda a Usuarios Finales menores y cargue sus Datos Personales a la Plataforma, el Usuario es el único responsable de obtener el consentimiento del titular de la patria potestad (o de cumplir de otra forma con la base legal requerida por la Ley Aplicable) para dicho Tratamiento.

16.1. El Sitio y la Plataforma pueden contener enlaces a, o integraciones con, sitios web y aplicaciones de terceros (incluyendo fabricantes de dispositivos wearable, laboratorios aliados, el Procesador de Pagos, proveedores de IA y proveedores de identidad). Dichos terceros son independientes de Morning Health y su Tratamiento de Datos Personales se rige por sus propias políticas de privacidad, las cuales Morning Health no controla y por las cuales no es responsable.

17.1. Morning Health podrá modificar esta Política de Privacidad de tiempo en tiempo, mediante la publicación de una nueva versión en el Sitio con una Fecha de Entrada en Vigor actualizada. Cuando una modificación reduzca materialmente los derechos de los Titulares de Datos o amplíe materialmente las actividades de Tratamiento de Morning Health, Morning Health usará esfuerzos comercialmente razonables para notificar a los Usuarios afectados con un preaviso razonable. Los cambios no materiales podrán entrar en vigor al ser publicados. El uso continuado del Sitio o los Servicios después de la nueva Fecha de Entrada en Vigor constituye aceptación vinculante de la Política de Privacidad actualizada.

18.1. Asuntos de privacidad. Las consultas relacionadas con privacidad, solicitudes de Titulares de Datos y quejas pueden dirigirse a:

18.2. Oficial de Protección de Datos. Morning Health designará un Oficial de Protección de Datos cuando lo requiera la Ley Aplicable y publicará sus datos de contacto en el Sitio una vez designado.