Política de Privacidad
PhysioClinic Pro
1. Identificación del Responsable del Tratamiento
PhysioClinic Pro (en adelante, "el Servicio" o "la Plataforma") es operado por el desarrollador y propietario del sistema (en adelante, "el Proveedor").
Para consultas sobre esta Política o el ejercicio de sus derechos: privacy@physioclinicpro.com
2. Marco Legal Aplicable
El Proveedor trata los datos personales conforme a los principios de licitud, lealtad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad. Cada Cliente cumple con la legislación de protección de datos aplicable en su jurisdicción. Para Clientes que operan en Costa Rica, esto incluye la Ley 8968 (PRODHAB) y sus reglamentos. El Proveedor aplica salvaguardas equivalentes a estándares internacionales reconocidos (ISO/IEC 27001, principios del GDPR) para la totalidad de los datos tratados en la Plataforma.
3. Roles en el Tratamiento de Datos
Responsable del tratamiento: La clínica o profesional de salud que contrata el Servicio es el responsable del tratamiento de los datos de sus pacientes.
Encargado del tratamiento: El Proveedor actúa como encargado respecto a los datos clínicos/PHI almacenados en la Plataforma, conforme al Acuerdo de Procesamiento de Datos.
Responsable independiente: El Proveedor actúa como responsable independiente para datos de registro, facturación y operación del Servicio.
4. Categorías de Datos que Tratamos
| Categoría | Ejemplos | Base legal |
|---|---|---|
| Datos del administrador | Nombre, cédula, correo, contraseña cifrada | Ejecución de contrato |
| Datos de la clínica | Razón social, dirección, teléfono, datos fiscales | Ejecución de contrato |
| Datos de usuarios staff | Nombre, correo, rol | Interés legítimo |
| Datos clínicos / PHI | Expediente, diagnósticos, notas de visita | Instrucción del responsable (la clínica) |
| Datos de facturación | Método de pago, historial de transacciones | Obligación legal / contrato |
| Datos técnicos | Logs de acceso, IP, timestamps | Interés legítimo (seguridad) |
5. Finalidades del Tratamiento
5.1 Bajo responsabilidad directa del Proveedor:
- Provisión y operación del Servicio SaaS.
- Facturación y cobro recurrente mediante Paddle y PayPal.
- Comunicaciones de soporte técnico y notificaciones del Servicio.
- Seguridad del sistema: detección de accesos no autorizados, prevención de fraudes.
- Cumplimiento de obligaciones legales y contractuales aplicables.
5.2 Para datos clínicos/PHI (bajo instrucción de la clínica):
- Almacenamiento seguro y disponibilidad de expedientes clínicos.
- Transmisión de recordatorios de citas (complemento WhatsApp).
- Exportación de datos a solicitud de la clínica.
6. Subencargados y Transferencias Internacionales
El Proveedor utiliza los siguientes subencargados para operar el Servicio:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Microsoft Azure | Infraestructura cloud, almacenamiento | EE. UU. / Internacional |
| Paddle | Procesamiento de pagos con tarjeta | Reino Unido / EE. UU. |
| PayPal | Procesamiento de pagos alternativos | EE. UU. |
| Meta (WhatsApp) | Mensajería de recordatorios de citas | EE. UU. |
| Google reCAPTCHA | Prevención de registro automatizado | EE. UU. |
| Proveedor de identidad federada | Autenticación federada (opcional) | EE. UU. |
El Proveedor no vende, arrienda ni divulga datos personales a terceros con fines comerciales.
7. Derechos del Titular (Derechos ARCO)
Los titulares de datos tienen los siguientes derechos conforme a la legislación de protección de datos aplicable en su jurisdicción:
- Acceso: conocer qué datos personales suyos tratamos.
- Rectificación: corregir datos inexactos o incompletos.
- Cancelación: solicitar la eliminación de sus datos cuando ya no sean necesarios.
- Oposición: oponerse al tratamiento en determinadas circunstancias.
Para ejercer sus derechos: privacy@physioclinicpro.com. También puede presentar una queja ante la autoridad de protección de datos competente en su jurisdicción (por ejemplo, PRODHAB en Costa Rica: www.prodhab.go.cr).
8. Seguridad de los Datos
El Proveedor implementa medidas técnicas y organizativas para proteger los datos personales:
- Cifrado en tránsito con protocolos estándar de la industria en todas las comunicaciones.
- Cifrado en reposo en la infraestructura de almacenamiento en la nube.
- Control de acceso basado en roles con principio de privilegio mínimo.
- Aislamiento lógico de datos por clínica — imposibilidad de acceso entre tenants por diseño.
- Autenticación multifactor disponible mediante proveedor de identidad federada.
- Registros de auditoría de acceso a expedientes clínicos.
En caso de brecha de seguridad, notificamos al Cliente afectado dentro de las 72 horas de haberla detectado, conforme a los requisitos de notificación aplicables.
9. Cookies y Tecnologías de Seguimiento
La Plataforma utiliza cookies esenciales para su funcionamiento. Para más detalles, consulte nuestra Política de Cookies.
No utilizamos cookies de publicidad ni de rastreo entre sitios.
10. Retención de Datos
Los períodos de retención varían según el tipo de dato:
- Expedientes clínicos de adultos: mínimo 10 años desde la última atención (normativa de expedientes clínicos aplicable).
- Expedientes de menores: hasta 25 años desde que el paciente alcanza la mayoría de edad.
- Datos de cuenta y facturación: 5 años tras cancelación.
- Consentimientos legales: 10 años para evidencia de cumplimiento.
- Post-cancelación: mínimo 6 meses con acceso para exportación; posterior eliminación segura.
Consulte la Política de Retención de Datos para plazos completos.
11. Modificaciones a esta Política
El Proveedor puede actualizar esta Política periódicamente. Las modificaciones sustanciales serán notificadas al Administrador con al menos 30 días calendario de anticipación por correo electrónico.
Para consultas sobre este documento, comuníquese con soporte en privacy@physioclinicpro.com
Para clientes en Costa Rica, la autoridad de control es PRODHAB — www.prodhab.go.cr
El idioma prevalente de este documento es el español.
© 2026 PhysioClinic Pro. Todos los derechos reservados. El software, su diseño, flujos de trabajo y documentación son propiedad exclusiva del Proveedor y están protegidos por los tratados internacionales de propiedad intelectual aplicables.