POLÍTICA GLOBAL DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES

1.1. Alcance, Naturaleza del Documento y Perfeccionamiento del Consentimiento:

La presente Política Global de Privacidad y Tratamiento de Datos Personales (en adelante, la "Política") constituye un instrumento legal accesorio, integral e indivisible de nuestros Términos y Condiciones Generales de Servicio. Este documento rige la recopilación, almacenamiento, uso, transferencia y supresión de la información personal de todo usuario (el "Especialista" o "Usuario") que acceda a la Plataforma. Al marcar la casilla de verificación ("clickwrap"), registrar una Cuenta, someterse al proceso de KYC Médico o utilizar la Plataforma, usted otorga su consentimiento expreso, inequívoco, libre, previo e informado para el tratamiento de sus Datos Personales y Datos Sensibles, de estricta conformidad con lo establecido en este documento. Si usted no está de acuerdo con esta Política en su totalidad, debe cesar inmediatamente cualquier uso de la Plataforma.

1.2. Identificación de Roles, Separación Corporativa y Acuerdos de Procesamiento (DPA):

Para garantizar el cumplimiento hermético de los regímenes de protección de datos aplicables en jurisdicciones múltiples incluyendo, pero no limitándose a, el Reglamento General de Protección de Datos de la Unión Europea (GDPR), la Ley de Derechos de Privacidad de California (CPRA/CCPA), y la Ley Estatutaria 1581 de 2012 y sus decretos reglamentarios en Colombia, las Partes reconocen la siguiente delimitación de responsabilidades:

El Responsable del Tratamiento ("Data Controller"): Fellowship Academy S.A.S., sociedad constituida en la República de Colombia. Es la entidad jurídica que determina de manera exclusiva los fines, medios y alcance del procesamiento de los Datos Personales, gestiona el recaudo financiero y atiende los requerimientos legales y el ejercicio de los derechos de los Titulares (Derechos ARCO/GDPR).

El Encargado del Tratamiento / Subprocesador ("Data Processor"): The Fellowship Group Corp., corporación constituida en el Estado de Delaware, EE. UU. Actúa como proveedor de infraestructura tecnológica y licenciatario del software, limitándose a almacenar y procesar la información en bases de datos encriptadas bajo las instrucciones estrictas y documentadas del Responsable del Tratamiento.

Acuerdo de Transferencia Internacional (Intra-Group DPA): El Usuario reconoce que la relación entre el Responsable y el Encargado está formalmente regulada por un Acuerdo de Procesamiento de Datos (DPA) que incorpora las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea y las autoridades competentes, garantizando un nivel adecuado de protección para la transferencia transfronteriza de sus datos desde Colombia hacia los Estados Unidos.

1.3. Bases Legales de Licitud para el Tratamiento (Lawful Basis of Processing):

The Fellowship Academy rechaza categóricamente el procesamiento arbitrario de información. Toda operación de tratamiento de datos personales se ejecuta bajo el amparo estricto de una o más de las siguientes bases jurídicas de licitud:

1. Ejecución de un Contrato de Tracto Sucesivo: El procesamiento es estrictamente necesario para la creación de su Cuenta, la provisión del servicio de streaming VOD, el procesamiento de pagos transaccionales y la ejecución general de los Términos y Condiciones.

2. Cumplimiento de Obligaciones Legales y Regulatorias: El procesamiento, retención y auditoría de sus credenciales médicas (KYC) y datos financieros es imperativo para cumplir con las leyes de Prevención de Lavado de Activos y Financiación del Terrorismo (AML/CFT), normativas de facturación fiscal corporativa, y para responder a citaciones o requerimientos vinculantes de autoridades judiciales y sanitarias.

3. Interés Legítimo y Consentimiento Integral: Para los Usuarios sujetos al GDPR, procesamos datos de telemetría, IP y registros de actividad para salvaguardar la seguridad (prevención DDoS) e investigar fraudes bajo nuestro Interés Legítimo Prevalente. No obstante, para los Usuarios sujetos a la jurisdicción de la República de Colombia (Ley 1581 de 2012), el tratamiento de todos los datos personales, incluyendo telemetría y metadatos de seguridad, se fundamenta estricta e inexcusablemente en el Consentimiento Expreso, Previo e Informado otorgado por el Usuario al aceptar esta Política.

4. Consentimiento Expreso y Específico: Requerido excepcionalmente para el procesamiento de categorías especiales de datos y para el envío de comunicaciones de marketing directo.

1.4. Restricción Absoluta por Minoría de Edad (COPPA / GDPR Art. 8):

La Plataforma está diseñada exclusivamente para profesionales y estudiantes universitarios mayores de edad. No recopilamos, solicitamos ni procesamos intencionalmente datos personales de menores de dieciocho (18) años. Si El Operador descubre que ha recopilado información de un menor sin el consentimiento verificable de un tutor legal, dicha información será purgada y eliminada irrevocablemente de nuestras bases de datos de forma inmediata, de conformidad con la Ley de Protección de la Privacidad Infantil en Internet (COPPA) de los EE. UU. y legislaciones análogas.

Para garantizar la integridad y seguridad de nuestro ecosistema médico de élite cerrado ("Walled Garden"), El Operador recopila única y exclusivamente la información estrictamente necesaria, adecuada y pertinente para el cumplimiento de las finalidades descritas en este Acuerdo. Los datos recopilados se clasifican en las siguientes categorías formales:

2.1. Datos de Identidad, Verificación y Perfilamiento Médico (KYC Medical):

Debido a la naturaleza crítica, académica y restringida de la Plataforma, la recopilación de esta información constituye un requisito legal y contractual indispensable ("condición suspensiva") para la apertura y mantenimiento de una Cuenta.

Datos Biográficos Básicos (PII): Nombre completo legal, dirección de correo electrónico institucional o personal, número de teléfono móvil para autenticación multifactor (MFA), y jurisdicción de residencia o ejercicio profesional.

Datos Sensibles y Credenciales Profesionales: De conformidad con el Artículo 9 del GDPR y el Artículo 5 de la Ley 1581 de Colombia, recopilamos documentos de identidad gubernamental (pasaporte, cédula, DNI), diplomas de título médico, certificados de especialidad, constancias de matrícula activa (para estudiantes), licencias médicas emitidas por ministerios de salud y números de colegiatura/registro médico. Aviso legal: Aunque proporcionar Datos Sensibles es de carácter estrictamente facultativo y voluntario, su negativa imposibilitará la verificación de su idoneidad y, por ende, el acceso a la Plataforma.

Tratamiento Efímero de Datos Biométricos (Pruebas de Vida): Como mecanismo crítico para la mitigación del fraude, suplantación de identidad (Spoofing) y cumplimiento de normativas AML (Anti-Money Laundering), el Usuario autoriza expresamente a nuestro Subprocesador autorizado de verificación, NOVACODIFY S.A.S. (y a sus proveedores de tecnología subyacentes), a recopilar y procesar mapeos faciales temporales o pruebas de vida ("liveness checks"). The Fellowship Group Corp. y El Operador no extraen, procesan ni almacenan datos biométricos crudos en sus propios servidores. Estos datos son procesados de forma encriptada, temporal y efímera por NOVACODIFY exclusivamente con fines de validación contra el documento oficial, tras lo cual el vector biométrico es destruido.

2.2. Datos Financieros, Transaccionales y Bóveda PCI-DSS:

Para la ejecución del contrato de suscripción, procesamos información relacionada con su historial de compras, nivel de suscripción y estado de facturación.

Aislamiento Tecnológico y Tokenización: Los servidores de El Operador y El Titular de la Propiedad Intelectual están técnica y lógicamente segmentados del procesamiento de datos financieros crudos. No recopilamos, procesamos ni almacenamos los números completos de su tarjeta de crédito/débito (PAN) ni sus códigos de seguridad (CVV). Toda transacción es procesada, encriptada y tokenizada por pasarelas de pago de terceros auditadas bajo el Nivel 1 del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS), o a través de los sistemas nativos de las tiendas de aplicaciones (Apple App Store In-App Purchases / Google Play Billing). El Operador únicamente conserva tokens de facturación, los últimos cuatro (4) dígitos de su tarjeta y la fecha de vencimiento para fines de soporte técnico, prevención de fraude y conciliación contable.

2.3. Datos Técnicos, Telemetría y Patrones de Consumo (Recopilación Automatizada):

Al interactuar con la Plataforma, nuestra arquitectura y la de nuestros proveedores de infraestructura en la nube (proveedores de nivel empresarial para alojamiento y transmisión de ultra baja latencia) recopilan automáticamente metadatos técnicos esenciales para la provisión del servicio, la optimización de la red y el cumplimiento de medidas de ciberseguridad:

Identificadores de Red y Dispositivo: Direcciones IP (utilizadas para geo-cercado de derechos de autor y mitigación de ciberataques), User-Agent, identificadores únicos de dispositivo (UUID), tipo de navegador, sistema operativo y métricas de red.

Logs de Auditoría e Interacción: Historial de visualización de contenido VOD, timestamps de conexión a transmisiones en vivo, reportes de latencia, interacciones con la interfaz gráfica de usuario (GUI) y reportes automatizados de fallos de la aplicación (crash logs).

2.4. Contenido Generado por el Usuario (UGC) y Restricción Absoluta de Datos de Pacientes (PHI):

Recopilamos el contenido textual, gráfico o audiovisual que usted decida publicar voluntariamente en foros de discusión, chats en vivo o paneles de Q&A.

Exclusión de Relación de "Business Associate" (HIPAA): The Fellowship Academy opera exclusivamente como una plataforma de educación médica entre pares. Usted reconoce y acepta formalmente que The Fellowship Academy NO es una Entidad Cubierta ("Covered Entity") ni un Socio Comercial ("Business Associate") bajo la Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU. (HIPAA) ni bajo legislaciones de salud análogas. En consecuencia, no existe un Acuerdo de Socio Comercial (BAA) entre las Partes.

Prohibición y Riesgo Regulatorio del Usuario: Queda estrictamente prohibido cargar, transmitir o solicitar Información de Salud Protegida (PHI) o datos personales identificables de pacientes. Cualquier caso clínico discutido con fines académicos debe cumplir inexcusablemente con el estándar de anonimización de "Puerto Seguro" (Safe Harbor De-identification, eliminando los 18 identificadores directos). Cualquier filtración de PHI será tratada como una violación material del contrato y purgada inmediatamente de nuestros servidores, asumiendo el Usuario infractor el 100% de la responsabilidad civil, penal y administrativa derivada de dicha brecha.

3.1. Principio de Limitación de la Finalidad (Purpose Limitation):

El Operador y El Titular de la Propiedad Intelectual se adhieren estrictamente al principio de limitación de la finalidad. Los Datos Personales y Sensibles recopilados no serán procesados, vendidos, alquilados ni comercializados de manera incompatible con los propósitos originales para los cuales fueron obtenidos. Su información se utiliza de manera exclusiva, legítima y proporcional para las siguientes finalidades corporativas:

Provisión y Ejecución del Servicio: Crear y administrar su Cuenta, habilitar el acceso seguro ("Single Sign-On" o autenticación multifactor) a la Plataforma, y proporcionar los servicios de streaming interactivo en vivo y video bajo demanda (VOD).

Auditoría de Credenciales (Ecosistema Cerrado): Procesar, cotejar y validar su estatus médico y credenciales profesionales para garantizar que la Plataforma se mantenga como un entorno estrictamente académico y restringido a profesionales de la salud verificados.

Procesamiento de Transacciones: Facilitar la facturación de suscripciones, gestionar la renovación automática, emitir comprobantes fiscales y procesar reembolsos (cuando apliquen conforme a la ley).

Seguridad Cibernética y Continuidad del Negocio: Monitorear el estado de la red, mitigar ciberataques, prevenir el fraude transaccional, detectar accesos no autorizados y hacer cumplir nuestros sistemas de Gestión de Derechos Digitales (DRM) contra la piratería.

Mejora Continua y Telemetría: Analizar patrones de tráfico, diagnosticar fallos de la aplicación (crash analytics) y optimizar la latencia y la calidad de los códecs de video.

Comunicaciones Legales y de Servicio: Enviar notificaciones críticas sobre actualizaciones de Términos, alertas de seguridad, recibos de pago y comunicaciones operativas esenciales (estas comunicaciones no pueden ser desactivadas o "opt-out" por el Usuario, dada su naturaleza contractual).

3.2. Matriz de Subprocesadores Tecnológicos y Transferencia de Datos (Terceros Autorizados):

Para garantizar la viabilidad técnica, la escalabilidad global y la seguridad de la Plataforma, El Operador se apoya en una red de proveedores de infraestructura tecnológica de misión crítica ("Subprocesadores"). Al aceptar esta Política, el Usuario otorga su autorización expresa, previa e informada para que su información sea compartida con las siguientes categorías de terceros, estrictamente bajo el principio de "necesidad de conocer" (Need-to-Know basis):

1. Infraestructura de Nube y Almacenamiento (Cloud Hosting): La arquitectura de backend, bases de datos y la biblioteca VOD están alojadas en Amazon Web Services (AWS) (o proveedores de nivel empresarial análogos). AWS procesa la información de forma encriptada (tanto en tránsito como en reposo) y no tiene derechos de acceso lógico a los datos personales en texto claro.

2. Motor de Comunicaciones y Streaming de Ultra Baja Latencia: La transmisión de video en tiempo real y la infraestructura de Áreas Interactivas (chats) están soportadas por la tecnología de Agora Inc. La telemetría de red y las interacciones en vivo son procesadas por Agora exclusivamente para enrutar la señal y garantizar la calidad del servicio (QoS), cumpliendo con los estándares internacionales de privacidad.

3. Validación de Identidad y Verificación Médica (KYC/AML): El procesamiento, extracción óptica de caracteres (OCR) de documentos oficiales, verificación de pruebas de vida (liveness checks) y validación de licencias médicas están delegados a nuestro Subprocesador autorizado, NOVACODIFY S.A.S., y sus subcontratistas tecnológicos. Estas entidades actúan bajo estrictos mandatos de confidencialidad y procesan los datos biométricos y documentales de manera efímera, únicamente para emitir un veredicto de "Aprobado/Rechazado" ("Pass/Fail") a El Operador.

4. Pasarelas de Pago e Infraestructura Financiera: Las transacciones son procesadas por entidades certificadas PCI-DSS Nivel 1 (tales como Stripe) y los ecosistemas de Apple Inc. (App Store) o Google LLC (Play Store).

3.3. Acuerdos de Procesamiento de Datos (DPAs) y Restricciones a Terceros:

The Fellowship Academy no vende ni "monetiza" los datos personales de sus Usuarios. Compartir información con los Subprocesadores listados en la Sección 3.2 no constituye una "Venta" (Sale) ni un "Intercambio" (Sharing) de datos bajo la definición del CPRA de California u otras leyes análogas.

Todos los Subprocesadores están legal y contractualmente vinculados a The Fellowship Academy mediante Acuerdos de Procesamiento de Datos (DPAs) rigurosos. Estos contratos prohíben expresa y absolutamente que los Subprocesadores retengan, utilicen o divulguen los Datos Personales de los Usuarios para sus propios fines de marketing, perfilamiento cruzado, o entrenamiento de sus propios modelos de Inteligencia Artificial, limitando su actuar a las instrucciones documentadas de El Operador.

3.4. Revelación Obligatoria, Requerimientos Legales y Sucesión Corporativa:

Nos reservamos el derecho imperativo de revelar su información personal, incluyendo su identidad y registros de actividad, a terceros no afiliados (como autoridades gubernamentales, juntas médicas o fuerzas del orden) cuando El Operador determine, de buena fe y tras un análisis legal riguroso, que dicha revelación es necesaria para: (1) Cumplir con una citación, orden judicial, orden de allanamiento o requerimiento legal vinculante (Subpoena o Warrant). (2) Investigar, prevenir o tomar medidas respecto a sospechas de fraude, lavado de dinero (AML), violaciones a la privacidad de los pacientes (filtración de PHI), o infracciones graves a nuestra Propiedad Intelectual. (3) Proteger y defender los derechos, la propiedad, o la seguridad física y cibernética de The Fellowship Academy, sus empleados, los Médicos Creadores, o el público en general.

Cambio de Control Corporativo (M&A): En el evento de una fusión, adquisición, reestructuración, quiebra, o venta de la totalidad o una parte sustancial de los activos de The Fellowship Group Corp. o Fellowship Academy S.A.S., los Datos Personales de los Usuarios constituirán uno de los activos comerciales transferidos a la entidad sucesora o adquirente, sujeto a la continuidad de las obligaciones de protección establecidas en esta Política.

4.1. Naturaleza Global de la Arquitectura y Consentimiento Expreso de Transferencia:

The Fellowship Academy opera sobre una infraestructura tecnológica de computación en la nube ("Cloud Computing") de alcance global, diseñada para garantizar la resiliencia del servicio y transmisiones de ultra baja latencia. En consecuencia, el Usuario reconoce, entiende y acepta inequívocamente que sus Datos Personales, Datos Sensibles (KYC Medical) y metadatos de uso serán transferidos, transmitidos, alojados y procesados fuera de su país, estado o provincia de residencia original.

Al crear una Cuenta y utilizar la Plataforma, el Usuario autoriza de manera expresa, libre e irrevocable a Fellowship Academy S.A.S. (Colombia) para exportar y transferir sus datos hacia The Fellowship Group Corp. (Delaware, EE. UU.) y hacia los centros de datos operados por nuestros Subprocesadores autorizados ubicados en los Estados Unidos de América u otras jurisdicciones internacionales.

4.2. Localización de Datos (Data Residency) y Asimetría Legislativa:

El ecosistema primario de almacenamiento y las bases de datos maestras ("Master Databases") de la Plataforma están físicamente localizadas en servidores seguros dentro de los Estados Unidos de América.

El Usuario es plenamente consciente de que las leyes de privacidad, protección de datos y acceso gubernamental a la información en los Estados Unidos (o en otras jurisdicciones de destino) pueden diferir sustancialmente y ofrecer un estándar de protección distinto al de su jurisdicción de origen (incluyendo las normativas de la Unión Europea o la República de Colombia).

No obstante esta asimetría legislativa, El Operador y El Titular de la Propiedad Intelectual garantizan contractualmente que el tratamiento de los datos transferidos se mantendrá sujeto a las estrictas exigencias y medidas de seguridad estipuladas en esta Política de Privacidad, independientemente de su ubicación geográfica.

4.3. Mecanismos Legales y Salvaguardas para la Transferencia (Aprobación Regulatoria):

Para garantizar la licitud ininterrumpida de los flujos de datos transfronterizos y cumplir con el Artículo 26 de la Ley 1581 de 2012 (Colombia), el Capítulo V del GDPR (Europa) y normativas análogas, The Fellowship Academy fundamenta sus transferencias internacionales en los siguientes mecanismos legales y de cumplimiento:

1. Acuerdos de Transferencia Intragrupo (Intra-Group DPAs): La transferencia de datos entre la entidad comercializadora (Colombia) y la matriz tecnológica (Delaware) está regulada por un contrato vinculante que incorpora estrictas obligaciones de confidencialidad y procesamiento exclusivo.

2. Cláusulas Contractuales Tipo (Standard Contractual Clauses - SCCs): Cuando la ley aplicable lo exige imperativamente para la exportación de datos hacia países que no cuentan con una "Decisión de Adecuación", implementamos las SCCs aprobadas por la Comisión Europea y las autoridades competentes en los Acuerdos de Procesamiento de Datos (DPAs) firmados con nuestros Subprocesadores tecnológicos.

3. Excepción por Necesidad Contractual y Consentimiento: La transferencia internacional se ampara además en la excepción legal de que dicha exportación de datos es estrictamente necesaria para la ejecución del contrato de servicios suscrito en beneficio del Usuario, y cuenta con su consentimiento afirmativo e inequívoco.

4.4. Medidas Suplementarias de Seguridad Post-Transferencia:

En estricto cumplimiento de los estándares internacionales de ciberseguridad (y en atención a sentencias regulatorias como "Schrems II" en la UE), todos los flujos transfronterizos de datos ejecutados por The Fellowship Academy están protegidos mediante Medidas Suplementarias de Seguridad. Esto incluye, sin limitación, la aplicación de protocolos de encriptación de grado militar y cifrado criptográfico fuerte tanto para los datos "en tránsito" (Data in Transit, mediante TLS 1.3 o superior) como para los datos "en reposo" (Data at Rest, mediante AES-256 en los clústeres de almacenamiento). Estas medidas técnicas están diseñadas para imposibilitar la interceptación no autorizada de la información por parte de terceros o agencias gubernamentales extranjeras durante su tránsito internacional.

5.1. Derechos Consolidados de Privacidad (ARCO, GDPR y CPRA):

En estricto cumplimiento con la Ley 1581 de 2012 (Colombia), el Reglamento General de Protección de Datos (GDPR - Europa) y la Ley de Derechos de Privacidad de California (CPRA - EE. UU.), El Operador garantiza a los Usuarios el ejercicio gratuito de los siguientes derechos fundamentales sobre sus datos personales:

Derecho de Acceso y Portabilidad: Solicitar confirmación sobre si estamos procesando sus datos, obtener una copia de los mismos y, cuando sea técnicamente factible, solicitar la transmisión de dichos datos a otro controlador en un formato estructurado y legible por máquina.

Derecho de Rectificación (Actualización): Solicitar la corrección de datos inexactos, incompletos o desactualizados. (Nota: La alteración de credenciales médicas requerirá una nueva validación a través de NOVACODIFY).

Derecho de Oposición y Limitación: Oponerse al tratamiento de sus datos para fines específicos o solicitar la restricción temporal del procesamiento mientras se resuelve una impugnación legal.

Derecho de Supresión (Cancelación / "Derecho al Olvido"): Solicitar la eliminación de sus datos personales de nuestros sistemas activos, sujeto a las excepciones críticas y mandatos de retención detallados en la Sección 5.3.

5.2. Procedimiento de Solicitud y Autenticación de Identidad:

Para ejercer cualquiera de los derechos mencionados, el Usuario (o su representante legal debidamente acreditado) deberá enviar una solicitud formal por escrito al Oficial de Privacidad y Cumplimiento de El Operador a través del correo: privacy@thefellowshipacademy.com.

Medida Anti-Fraude (Identity Verification): Para prevenir la ingeniería social y la suplantación de identidad, El Operador se reserva el derecho absoluto de exigir información adicional razonable para verificar la identidad del solicitante antes de procesar la solicitud.

Tiempos de Respuesta Legales (SLAs): Acusaremos recibo y daremos respuesta de conformidad con los plazos imperativos de su jurisdicción. Para Usuarios en Colombia: (i) Las Consultas (solicitudes de acceso/información) serán atendidas en un término máximo de diez (10) días hábiles; (ii) Los Reclamos (solicitudes de supresión o rectificación) serán atendidos en un término máximo de quince (15) días hábiles. Estos plazos podrán ser prorrogados por una única vez según lo permite la ley aplicable (ej. 5 u 8 días adicionales, respectivamente), previa notificación al Usuario. Para Usuarios bajo el GDPR, el plazo máximo será de treinta (30) días calendario para cualquier solicitud.

5.3. Excepciones al Derecho de Supresión y Política de Retención Obligatoria (Data Retention Carve-outs):

El Usuario reconoce y acepta expresamente que el Derecho de Supresión ("Derecho al Olvido") no es un derecho absoluto. El Operador y El Titular de la Propiedad Intelectual retendrán, conservarán y bloquearán el acceso a ciertas categorías de datos incluso después de recibir una solicitud de eliminación o tras la terminación de la Cuenta, basándose en "Intereses Legítimos Imperiosos" (Compelling Legitimate Grounds) y mandatos legales irrenunciables:

1. Retención Fiscal, Contable y Transaccional (10 Años): Por mandato de las leyes tributarias internacionales y regulaciones corporativas, todo el historial de facturación, recibos de suscripción, tokens de pago e identificadores transaccionales serán retenidos por un período no menor a diez (10) años fiscales.

2. Retención de Cumplimiento AML / Prevención de Lavado de Activos (5 Años): Los registros de verificación de identidad (KYC Medical procesado vía NOVACODIFY) y los metadatos asociados a la apertura de la Cuenta se conservarán por un mínimo de cinco (5) años para cumplir con los requerimientos de auditoría de las autoridades financieras y de salud.

3. Listas Negras y Prevención de Fraude (Retención Indefinida): Si la Cuenta del Usuario fue suspendida o terminada por violar la "Política de Tolerancia Cero", cometer piratería de Propiedad Intelectual o filtrar datos de pacientes (PHI), El Operador retendrá de manera indefinida un "hash" criptográfico de su correo electrónico, documento de identidad y dirección IP (Blacklisting). Esto constituye un interés legítimo corporativo vital para evitar que el infractor eluda la sanción creando una nueva Cuenta en el futuro.

4. Litigios y Prescripción Legal: Retendremos cualquier información que sea razonablemente necesaria para ejercer, defender o establecer reclamaciones legales, hasta que los plazos de prescripción de las acciones civiles, penales o administrativas aplicables hayan expirado.

5.4. Bloqueo de Datos (Data Blocking):

Una vez finalizados los plazos de retención legal descritos en la Sección 5.3, o cuando proceda una solicitud válida de supresión, sus datos personales serán destruidos criptográficamente o sometidos a un proceso irreversible de anonimización matemática. Los datos retenidos por obligación legal serán "bloqueados" lógicamente, lo que significa que solo estarán accesibles para el Oficial de Cumplimiento y únicamente para atender requerimientos de autoridades competentes.

6.1. Medidas de Seguridad Técnicas y Organizativas (Estándar de la Industria):

The Fellowship Academy reconoce la sensibilidad de los datos de perfilamiento médico y financiero. Por ello, El Operador y El Titular de la Propiedad Intelectual implementan, mantienen y actualizan continuamente un programa de seguridad de la información basado en medidas técnicas, administrativas y organizativas de nivel empresarial ("Enterprise-Grade Security"), diseñadas para proteger sus Datos Personales contra el acceso no autorizado, alteración, divulgación, pérdida accidental o destrucción ilícita.

Cifrado Criptográfico: Toda transmisión de datos entre su dispositivo y nuestra infraestructura en la nube está protegida por protocolos de encriptación criptográfica fuerte (TLS 1.3 o superior). Asimismo, los datos almacenados ("Data at Rest") en los servidores de nuestros Subprocesadores están cifrados bajo el estándar de encriptación avanzada AES-256.

Control de Acceso Lógico: Restringimos el acceso interno a sus datos personales basándonos estrictamente en el principio de "privilegio mínimo" (Least Privilege) y "necesidad de conocer" (Need-to-Know), exigiendo a nuestros empleados, contratistas y oficiales de cumplimiento el uso de Autenticación Multifactor (MFA) y la firma de rigurosos Acuerdos de Confidencialidad (NDAs).

6.2. Exención de Garantía de Seguridad Absoluta y Asunción del Riesgo (No Absolute Security Warranty):

A pesar de la implementación de protocolos de seguridad robustos y auditorías continuas, la naturaleza del ecosistema de internet y las amenazas cibernéticas (incluyendo ataques de Día Cero o "Zero-Day Exploits", Ransomware y Amenazas Persistentes Avanzadas - APT) impiden garantizar una seguridad infalible. EN CONSECUENCIA, EL USUARIO RECONOCE Y ACEPTA EXPRESAMENTE QUE NINGÚN SISTEMA DE TRANSMISIÓN DE DATOS O ALMACENAMIENTO EN LA NUBE ES 100% SEGURO. CUALQUIER TRANSMISIÓN DE DATOS PERSONALES O DOCUMENTACIÓN MÉDICA A TRAVÉS DE LA PLATAFORMA SE REALIZA BAJO SU PROPIO Y EXCLUSIVO RIESGO. En la medida máxima permitida por la ley aplicable, The Fellowship Group Corp. y Fellowship Academy S.A.S. se eximen de toda responsabilidad por vulneraciones, intercepciones o robos de datos derivados de eventos de fuerza mayor cibernética, ataques maliciosos de terceros, o vulnerabilidades en la infraestructura subyacente de nuestros Subprocesadores.

6.3. Protocolo de Respuesta a Incidentes y Notificación de Brechas (Breach Notification):

En el evento improbable de que ocurra un incidente de seguridad comprobado que comprometa la confidencialidad, integridad o disponibilidad de sus Datos Personales no encriptados ("Brecha de Datos" o Data Breach), El Operador activará su Plan de Respuesta a Incidentes de la siguiente manera:

1. Notificación a Autoridades: Notificaremos a las autoridades de supervisión competentes dentro de los plazos estrictos exigidos por la legislación aplicable.

2. Notificación al Usuario: Si la Brecha de Datos representa un riesgo alto e inminente para sus derechos y libertades (incluyendo el riesgo de robo de identidad o fraude financiero), El Operador le notificará por correo electrónico "sin demora injustificada" (without undue delay), conforme a las exigencias legales. La notificación incluirá la naturaleza de la brecha, los datos comprometidos, las medidas de mitigación adoptadas y las recomendaciones para que el Usuario proteja su identidad.

6.4. Responsabilidad Exclusiva del Usuario (End-User Security Compromise):

El Operador no será responsable, bajo ninguna circunstancia, por accesos no autorizados a su Cuenta o filtraciones de datos que resulten de la negligencia del Usuario. Esto incluye, de manera enunciativa mas no limitativa: (i) el uso de contraseñas débiles, recicladas o comprometidas en otras plataformas; (ii) ser víctima de ataques de ingeniería social, Phishing o Spear-Phishing; (iii) compartir sus credenciales de acceso con colegas, residentes o terceros; o (iv) acceder a la Plataforma desde redes Wi-Fi públicas no seguras o dispositivos infectados con malware o keyloggers. Cualquier actividad realizada desde la cuenta del Usuario tras un compromiso de sus propias credenciales será legalmente imputable a este.

6.5. Modificaciones a la Política de Privacidad:

Nos reservamos el derecho de modificar esta Política de Privacidad en cualquier momento para reflejar cambios en nuestras prácticas de datos, nuevos requerimientos legales, o integraciones de nuevos Subprocesadores. Cualquier cambio material le será notificado con antelación mediante un aviso destacado en la Plataforma o por correo electrónico. El uso continuado de la Plataforma tras la entrada en vigor de dichas modificaciones constituirá su reconocimiento y aceptación tácita de la Política actualizada.