Política de Privacidad y Protección de Datos

Versión 1.0 · 20 de mayo de 2025

Aplicable a usuarios de la plataforma, clínicas y pacientes en Latinoamérica

1. Identificación del Responsable del Tratamiento

La presente Política de Privacidad regula el tratamiento de datos personales realizado por INNOVATECHIE S.A.C., con RUC 20603739257 y domicilio en Lima, Perú, titular de la plataforma «Soy Mediko» (en adelante, «la Empresa», «nosotros» o «Soy Mediko»), plataforma de administración clínica con inteligencia artificial, con alcance de servicios en toda Latinoamérica.

Para consultas relacionadas con el tratamiento de sus datos personales, puede comunicarse con nosotros a través de:

2. Ámbito de Aplicación

Esta política aplica a:

  • Profesionales de salud, médicos, dentistas y especialistas que usan la plataforma.
  • Clínicas, consultorios y centros de salud que contratan Soy Mediko como servicio SaaS (clientes B2B).
  • Pacientes cuyos datos son ingresados en la plataforma por las clínicas.
  • Agencias de marketing y terceros que se integren a la plataforma.
  • Visitantes del sitio web y redes sociales de Soy Mediko.

Esta política es complementaria a los contratos de servicio firmados con cada clínica cliente y a los Términos y Condiciones de la plataforma.

3. Datos Personales que Recopilamos

3.1 Datos de usuarios de la plataforma (médicos y personal clínico)

  • Nombre completo, correo electrónico y número de teléfono.
  • Número de colegiatura o registro profesional.
  • Especialidad médica.
  • Credenciales de acceso (contraseña cifrada).
  • Datos de integración con servicios de terceros (Google Calendar, Google Meet).
  • Registros de actividad y auditoría dentro del sistema.

3.2 Datos de pacientes

  • Nombre completo, fecha de nacimiento, sexo, documento de identidad.
  • Datos de contacto: correo electrónico, teléfono, dirección.
  • Historia clínica: motivo de consulta, antecedentes, diagnósticos, tratamientos, prescripciones.
  • Notas clínicas en formato SOAP.
  • Información de citas: fecha, hora, modalidad (presencial o virtual), proveedor atendiente.
  • Datos de facturación y pagos asociados a servicios médicos.
  • Comunicaciones enviadas o recibidas a través de los canales integrados (SMS, email, WhatsApp).

3.3 Datos de clínicas (clientes B2B)

  • Razón social, RUC o número tributario equivalente.
  • Datos de representantes legales y administradores.
  • Datos bancarios para facturación del servicio SaaS.
  • Configuraciones y personalizaciones de la plataforma.

3.4 Datos técnicos

  • Dirección IP, tipo de navegador, sistema operativo.
  • Datos de sesión, logs de acceso y auditoría.
  • Cookies y tecnologías similares (ver sección 10).

4. Finalidades del Tratamiento de Datos

4.1 Finalidades principales

  • Prestación del servicio SaaS de administración clínica.
  • Gestión de agenda médica, citas presenciales y virtuales.
  • Almacenamiento y consulta de historia clínica.
  • Emisión de recordatorios automáticos de citas por SMS, email y WhatsApp.
  • Registro de cobros y facturación de servicios médicos.
  • Gestión de inventario clínico.
  • Generación de reportes operativos para clínicas.

4.2 Finalidades secundarias (con consentimiento)

  • Envío de comunicaciones de marketing médico ético y contenido educativo.
  • Campañas de reactivación de pacientes inactivos.
  • Solicitud de reseñas o valoraciones de servicio.
  • Uso de inteligencia artificial para asistencia en documentación clínica (borradores de notas SOAP, resúmenes de consulta).
  • Análisis estadístico agregado y anonimizado para mejoras del producto.

4.3 Lo que NO hacemos

  • No vendemos datos personales a terceros.
  • No tomamos decisiones médicas automatizadas sin supervisión de profesional autorizado.
  • No usamos datos clínicos para publicidad de terceros.
  • No compartimos datos entre clínicas cliente sin consentimiento explícito.

5. Base Legal del Tratamiento

El tratamiento de datos personales en Soy Mediko se fundamenta en las siguientes bases legales, de acuerdo con la legislación peruana (Ley N.° 29733 — Ley de Protección de Datos Personales y su Reglamento) y marcos normativos equivalentes en los países donde operamos:

  • Ejecución del contrato de servicio con la clínica cliente.
  • Obligación legal aplicable en materia de registros de salud.
  • Interés legítimo para mejora del servicio, seguridad y auditoría.
  • Consentimiento explícito del titular para finalidades secundarias como marketing.

Para datos sensibles de salud, el tratamiento se realiza exclusivamente bajo contrato con la clínica responsable del paciente, quien actúa como responsable del tratamiento ante el paciente, siendo Soy Mediko el encargado del tratamiento (procesador de datos).

6. Arquitectura de Privacidad y Seguridad Multi-Tenant

Soy Mediko opera bajo una arquitectura multi-tenant con aislamiento estricto entre clínicas. Esto significa que:

  • Los datos de cada clínica están completamente separados de los datos de otras clínicas.
  • Ningún usuario de una clínica puede acceder a los datos de otra clínica.
  • El sistema implementa Row-Level Security (RLS) a nivel de base de datos.
  • Todos los accesos están controlados por roles y permisos (RBAC) definidos por la clínica.
  • Se generan registros de auditoría de todas las operaciones sobre datos sensibles.
  • Los tokens de acceso a servicios de terceros (Google, Meta) se almacenan cifrados.

Soy Mediko no accede a datos de pacientes de forma individualizada excepto para soporte técnico autorizado explícitamente por la clínica, y bajo registro de auditoría.

7. Transferencia de Datos a Terceros

Para la correcta prestación del servicio, Soy Mediko puede compartir datos con los siguientes subencargados, todos bajo acuerdos de confidencialidad y protección de datos:

  • Amazon Web Services (AWS) — infraestructura de almacenamiento, envío de emails (SES) y SMS (SNS).
  • Google LLC — integración con Google Calendar y Google Meet para citas virtuales.
  • Meta Platforms — envío de mensajes por WhatsApp Business (Meta Cloud API).

Soy Mediko no realiza transferencias internacionales de datos fuera del marco de estos subencargados tecnológicos, salvo obligación legal.

En ningún caso se venden, ceden ni comercializan datos personales de usuarios, clínicas o pacientes a terceros con fines publicitarios o comerciales propios.

7.1 Uso de Datos de las API de Google (Política de Uso Limitado)

Mediko ofrece una integración opcional con Google Calendar. Esta integración solo se activa cuando un profesional de salud conecta voluntariamente su cuenta de Google a través del flujo de autorización OAuth de Google y otorga su consentimiento explícito. Mientras esa conexión no se realice, Mediko no accede a ningún dato de la cuenta de Google del usuario.

Datos de Google a los que accedemos. Al conectar la cuenta, Mediko solicita los siguientes permisos (scopes) de Google:

  • Eventos de Google Calendar (https://www.googleapis.com/auth/calendar.events): para crear, actualizar y sincronizar los eventos de calendario correspondientes a las citas del profesional dentro de Mediko (incluidos los enlaces de Google Meet en citas virtuales).
  • Dirección de correo de la cuenta (https://www.googleapis.com/auth/userinfo.email): únicamente para identificar y mostrar qué cuenta de Google quedó vinculada.

Cómo usamos estos datos. Los datos obtenidos de las API de Google se utilizan exclusivamente para proporcionar y mejorar la función de sincronización de agenda que el usuario activó. No empleamos los datos de Google para publicidad, ni para entrenar modelos de inteligencia artificial generalizados o independientes del usuario, ni para ninguna finalidad ajena a la sincronización de citas.

Almacenamiento y seguridad. Los tokens de acceso y actualización de Google se almacenan cifrados y se usan solo para mantener la sincronización. No conservamos copias del contenido del calendario del usuario más allá de lo necesario para reflejar sus citas en Mediko.

Transferencia. No vendemos los datos obtenidos de las API de Google ni los transferimos a terceros, salvo cuando sea necesario para prestar o mejorar esta función, para cumplir con la ley aplicable, o como parte de una fusión o adquisición, siempre con las salvaguardas correspondientes.

Revocación. El usuario puede desconectar la integración en cualquier momento desde la configuración de Mediko o revocando el acceso directamente en la página de permisos de su cuenta de Google. Tras la revocación, eliminamos los tokens asociados.

7.2 Cumplimiento de la Política de Uso Limitado

El uso y la transferencia que Mediko hace de la información recibida de las API de Google se ajustan a la Política de Datos de Usuario de los Servicios de API de Google, incluidos sus requisitos de Uso Limitado (Limited Use).

8. Derechos de los Titulares de Datos

Los titulares de datos personales tienen derecho a:

  • Acceso: conocer qué datos personales tenemos sobre usted y cómo los usamos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Cancelación/Eliminación: solicitar la eliminación de sus datos cuando ya no sean necesarios.
  • Oposición: oponerse al tratamiento de sus datos para finalidades específicas (por ejemplo, marketing).
  • Portabilidad: recibir sus datos en formato estructurado y de uso común.
  • Revocación del consentimiento: retirar el consentimiento otorgado en cualquier momento.

Para ejercer estos derechos, los pacientes deben dirigir su solicitud a la clínica que los atendió, que es la responsable del tratamiento de su historia clínica. La clínica canalizará la solicitud a Soy Mediko si requiere intervención técnica.

Los usuarios de la plataforma (médicos, recepcionistas, administradores) pueden ejercer sus derechos directamente a través del correo privacidad@soymediko.com.

Respondemos a solicitudes en un plazo máximo de 20 días hábiles.

9. Retención de Datos

Soy Mediko conserva los datos personales durante el tiempo necesario para cumplir con las finalidades para las que fueron recopilados, considerando:

  • Datos de historia clínica: mientras la clínica mantenga el servicio activo, y mínimo 5 años posteriores al cierre de contrato, salvo normativa específica de cada país.
  • Datos de usuarios de la plataforma: mientras el usuario tenga una cuenta activa, más 1 año adicional tras la desactivación.
  • Datos de facturación: conforme a obligaciones tributarias vigentes (mínimo 5 años).
  • Logs de auditoría: mínimo 2 años.
  • Comunicaciones de marketing: hasta que el usuario retire su consentimiento.

Al terminar el contrato con una clínica, sus datos son eliminados o anonimizados conforme al proceso de cierre de cuenta, previa exportación disponible para la clínica.

10. Cookies y Tecnologías de Seguimiento

El sitio web y la plataforma de Soy Mediko utilizan cookies y tecnologías similares para:

  • Cookies estrictamente necesarias: funcionamiento del sistema, autenticación, seguridad.
  • Cookies analíticas: análisis de uso de la plataforma (de forma agregada y anonimizada).
  • Cookies de preferencias: recordar configuraciones del usuario.

No utilizamos cookies de seguimiento publicitario de terceros en la plataforma clínica. En el sitio web público podemos usar herramientas de analítica como Google Analytics bajo configuración de anonimización de IP.

Puede gestionar las cookies desde la configuración de su navegador. El rechazo de cookies estrictamente necesarias puede impedir el funcionamiento correcto del sistema.

11. Menores de Edad

Soy Mediko no recopila directamente datos de menores de 18 años. En el contexto clínico, los datos de pacientes menores de edad son registrados y gestionados por la clínica bajo la responsabilidad del tutor o representante legal, conforme a la normativa local aplicable.

Las clínicas que atiendan a menores deben asegurarse de contar con el consentimiento del tutor legal para el registro y tratamiento de sus datos de salud.

12. Seguridad de los Datos

Soy Mediko implementa medidas técnicas y organizativas para proteger los datos personales contra acceso no autorizado, pérdida, alteración o divulgación. Entre ellas:

  • Cifrado de datos en tránsito (TLS) y en reposo.
  • Autenticación robusta con tokens JWT y control de sesiones.
  • Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
  • Aislamiento de datos por clínica mediante Row-Level Security.
  • Auditoría completa de operaciones sobre datos sensibles.
  • Monitoreo de accesos y alertas de seguridad.
  • Cifrado de tokens OAuth y credenciales de terceros.

A pesar de las medidas implementadas, ningún sistema es completamente infalible. En caso de brecha de seguridad que afecte datos personales, Soy Mediko notificará a las clínicas afectadas en el menor tiempo posible conforme a las obligaciones legales aplicables.

13. Comunicaciones y Marketing

Soy Mediko puede enviar comunicaciones a clínicas y usuarios de la plataforma relacionadas con:

  • Actualizaciones del servicio, nuevas funcionalidades y cambios en políticas.
  • Comunicaciones operativas necesarias para el funcionamiento del servicio.
  • Contenido educativo y mejores prácticas en gestión clínica (con consentimiento).
  • Ofertas y promociones del servicio (con consentimiento).

Las clínicas que utilicen las funciones de automatización de Soy Mediko para comunicarse con sus pacientes son responsables de obtener el consentimiento correspondiente de sus pacientes conforme a la legislación aplicable. Soy Mediko provee la infraestructura; la clínica es responsable del contenido y la legalidad de sus comunicaciones.

Todo mensaje de marketing incluye la opción de darse de baja (opt-out). Respetamos las solicitudes de exclusión en un plazo máximo de 48 horas hábiles.

14. Inteligencia Artificial y Datos Clínicos

Soy Mediko incorpora funciones de inteligencia artificial para asistir en tareas como:

  • Generación de borradores de notas clínicas (SOAP).
  • Resúmenes de consultas.
  • Clasificación y priorización de mensajes.
  • Sugerencias operativas y administrativas.

Principios que rigen el uso de IA en Soy Mediko:

  • La IA asiste; no reemplaza el juicio clínico del profesional de salud.
  • Toda sugerencia clínica generada por IA debe ser revisada y aprobada por personal autorizado antes de convertirse en parte del registro oficial.
  • Los prompts enviados a modelos de IA no incluyen datos personales innecesarios. Los datos se minimizan y cuando es posible se pseudoanonimizan.
  • No se toman decisiones médicas automatizadas sin supervisión humana.
  • Los documentos generados por IA se distinguen claramente como borradores hasta su confirmación por el profesional.

15. Cumplimiento Normativo

Soy Mediko opera conforme a los marcos regulatorios aplicables, incluyendo:

  • Perú: Ley N.° 29733 de Protección de Datos Personales y su Reglamento (D.S. 003-2013-JUS).
  • Colombia: Ley 1581 de 2012 de Protección de Datos Personales.
  • México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
  • Argentina: Ley 25.326 de Protección de los Datos Personales.
  • Brasil: Lei Geral de Proteção de Dados (LGPD) — Ley N.° 13.709/2018.
  • Estándares internacionales de referencia: GDPR europeo (como referencia de mejores prácticas).

Dado que las normativas varían por país, las clínicas en jurisdicciones específicas pueden requerir acuerdos complementarios. Soy Mediko está disponible para adaptar acuerdos de tratamiento de datos conforme a cada regulación local.

16. Cambios en esta Política

Soy Mediko se reserva el derecho de actualizar esta Política de Privacidad para reflejar cambios en el servicio, en la legislación aplicable o en nuestras prácticas de privacidad.

Cualquier cambio material será notificado a través de:

  • Correo electrónico a los administradores de las clínicas clientes.
  • Aviso visible en la plataforma.
  • Publicación en el sitio web con fecha de vigencia.

El uso continuado de la plataforma tras la notificación de cambios implica la aceptación de la política actualizada.

17. Contacto y Reclamaciones

Para cualquier consulta, solicitud de derechos o reclamación relacionada con el tratamiento de sus datos personales, puede contactarnos:

  • Email: privacidad@soymediko.com
  • Sitio web: www.soymediko.com/privacidad
  • Respuesta en un plazo máximo de 20 días hábiles.

Si considera que sus derechos no han sido atendidos correctamente, tiene derecho a presentar una reclamación ante la autoridad de protección de datos de su país:

  • Perú: Autoridad Nacional de Protección de Datos Personales (MINJUS).
  • Colombia: Superintendencia de Industria y Comercio (SIC).
  • México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
  • Argentina: Agencia de Acceso a la Información Pública (AAIP).
  • Brasil: Autoridade Nacional de Proteção de Dados (ANPD).