Política de Privacidad y Protección de Datos
Última actualización: 25 de marzo de 2026
Conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador, Registro Oficial Suplemento 459 del 26 de mayo de 2021, y sus reglamentos vigentes (SPDP resoluciones 2025-2026).
1. Responsables del tratamiento
- Operador de la plataforma: Nexus Automatizaciones (Nexus Solutions), RUC: [en trámite], correo: dpo@consultorio.site
- Responsable del tratamiento de datos de pacientes: El profesional de salud que utiliza la plataforma en calidad de médico tratante, conforme al Acuerdo Ministerial 0009-2017 y AM 00115-2021.
2. Datos que recopilamos y base legal
| Categoría | Datos | Base legal (LOPDP) |
|---|---|---|
| Cuenta médico | Nombre, email, cédula, especialidad, código MSP, SENESCYT, teléfono | Contrato (Art. 22 LOPDP) |
| Datos de salud (sensibles) | Historia clínica, diagnósticos (CIE-10/11), prescripciones, signos vitales, alergias, antecedentes | Consentimiento expreso (Art. 26 LOPDP) + Obligación legal AM 0009-2017 |
| Datos de paciente | Nombre, cédula/pasaporte, fecha nacimiento, contacto | Consentimiento + Obligación legal sanitaria |
| Técnicos | IP, navegador, logs de acceso (auditoría LOPDP) | Interés legítimo en seguridad (Art. 22 LOPDP) |
| Firma electrónica | Certificado .p12 BCE (almacenado cifrado AES-256-GCM) | Contrato + AM 0009-2017 |
3. Finalidades del tratamiento
- Gestión de historia clínica electrónica conforme al AM 0009-2017 y AM 00115-2021.
- Emisión de recetas médicas, certificados y órdenes de examen.
- Gestión de citas y seguimiento clínico del paciente.
- Asistencia médica mediante IA (Sara) para apoyo al profesional de salud.
- Cumplimiento de obligaciones legales ante ACESS, MSP y autoridades sanitarias.
- Facturación y gestión administrativa del consultorio.
NO vendemos, compartimos ni cedemos datos de salud a terceros con fines comerciales.
4. Subencargados del tratamiento
Trabajamos con los siguientes subencargados, todos con acuerdos de confidencialidad y protección de datos:
- Supabase Inc. (infraestructura AWS us-east-1) — base de datos, autenticación y almacenamiento de archivos.
- OpenRouter / DeepSeek — procesamiento de consultas IA. Se recomienda no incluir datos identificables de pacientes en mensajes a Sara.
- Stripe Inc. — procesamiento de pagos. No accede a datos de salud.
- Resend — envío de correos transaccionales.
5. Conservación de datos
- Historia clínica electrónica: mínimo 15 años desde la última atención, conforme al Acuerdo Ministerial 0009-2017, Art. 3. Durante este período, los datos médicos se conservan aunque el titular solicite la eliminación.
- Datos de facturación: 7 años conforme a normativa SRI (Ley Orgánica de Régimen Tributario).
- Datos de cuenta y de contacto: mientras dure la relación contractual; se eliminan dentro de 30 días hábiles tras la solicitud de baja, salvo obligación legal.
- Logs de auditoría: mínimo 5 años conforme a buenas prácticas de seguridad (LOPDP Art. 30).
6. Medidas de seguridad
- Cifrado en tránsito: TLS 1.3 / HTTPS en todas las comunicaciones.
- Cifrado en reposo: discos cifrados (AES-256) en AWS; certificados de firma cifrados con AES-256-GCM.
- Control de acceso por roles (OWNER/ASSISTANT) con aislamiento multi-tenant.
- Autenticación mediante JWT (Supabase Auth) con sesiones de tiempo limitado.
- Logs de auditoría inmutables por paciente (quién accedió, qué acción, desde qué IP).
- Row Level Security (RLS) en la base de datos.
- Backups periódicos con script
backup-db.sh.
7. Sus derechos ARCO (LOPDP Art. 68-72)
Conforme a la LOPDP, usted tiene los siguientes derechos:
GET /api/arco/exportPOST /api/arco/delete o desde Configuración → Eliminar cuenta.GET /api/arco/exportPara ejercer cualquiera de estos derechos, contacte a nuestro Delegado de Protección de Datos (DPD): dpo@consultorio.site. Responderemos en un plazo máximo de 15 días hábiles.
Si considera que su solicitud no ha sido atendida, puede presentar una reclamación ante la Superintendencia de Protección de Datos Personales (SPDP): spdp.gob.ec
8. Delegado de Protección de Datos (DPD)
Hemos designado un Delegado de Protección de Datos (DPD) conforme a la SPDP Resolución 0004-R (2025):
- Email: dpo@consultorio.site
- Organización: Nexus Automatizaciones
- Funciones: Supervisar cumplimiento LOPDP, atender solicitudes ARCO, gestionar notificaciones de brechas ante SPDP.
9. Transferencias internacionales
Los datos se alojan en servidores de Supabase Inc. (AWS us-east-1, Estados Unidos). Esta transferencia se realiza bajo garantías adecuadas (contractuales) conforme al Art. 54 de la LOPDP. OpenRouter (proveedor de IA) puede procesar fragmentos de conversaciones fuera de Ecuador; se recomienda no incluir datos identificables de pacientes en consultas a Sara.
10. Consentimiento y retiro
Para el tratamiento de datos de salud, obtenemos el consentimiento expreso e informadodel paciente conforme al Art. 26 LOPDP, registrado digitalmente con fecha, IP y versión del texto.
El consentimiento puede retirarse en cualquier momento contactando al médico tratante o a dpo@consultorio.site. El retiro del consentimiento no afecta la licitud del tratamiento previo. Pueden existir limitaciones al retiro cuando el tratamiento sea necesario para cumplir obligaciones legales (AM 0009-2017).
11. Notificación de brechas de seguridad
En caso de brecha de seguridad que afecte a datos de salud, notificaremos a la SPDP en un plazo máximo de 72 horas desde su conocimiento (Art. 40 LOPDP), y a los titulares afectados sin demora injustificada cuando la brecha pueda suponer un riesgo elevado.
12. Cookies
Utilizamos únicamente cookies estrictamente necesarias para mantener la sesión autenticada. No usamos cookies de rastreo, publicidad ni analítica de terceros.
13. Cambios a esta política
Podemos actualizar esta política para reflejar cambios normativos (LOPDP, SPDP, ACESS). Notificaremos cambios significativos por correo electrónico con al menos 15 días de anticipación. La fecha de última actualización siempre aparece al inicio.