Política de Privacidad

Esta Política de Privacidad describe cómo Accounting & Finance Costa Rica AFCR S.A. ("Dr Connect", "nosotros"), con domicilio legal en Costa Rica, recopila, usa, almacena y protege los datos personales en relación con la plataforma Dr Connect.

Importante: Dr Connect actúa como Encargado del Tratamiento (Data Processor) de los datos de los pacientes, siguiendo instrucciones de la Clínica que es la Controladora (Data Controller). Cuando los Clientes (clínicas) se registran, Dr Connect actúa como Controlador de sus datos profesionales (correo, teléfono, datos de la clínica).

1. Información que recopilamos

1.1 Datos de usuarios registrados (clínicas y staff)

• Nombre completo, correo electrónico, número de teléfono
• Nombre, dirección y datos de la clínica o consultorio
• Credenciales encriptadas para autenticación
• Tokens de acceso a WhatsApp Business (almacenados encriptados)

1.2 Datos de pacientes (procesados por cuenta de la clínica)

• Número de teléfono de WhatsApp
• Nombre del paciente
• Contenido de mensajes de texto y audio intercambiados con la clínica
• Datos de citas: fecha, hora, médico, motivo de consulta
• Estado de citas (confirmada, cancelada, no se presentó)

Reconocimiento explícito: el contenido de conversaciones y datos de citas constituye información personal sensible relacionada con salud. La tratamos con las garantías reforzadas que describimos abajo.

1.3 Datos técnicos

• Logs de servidor (IP, user agent, timestamps), retenidos 30 días para seguridad
• Cookies de sesión estrictamente necesarias

2. Bases legales y finalidades del tratamiento

• Ejecución de contrato: prestar el servicio a la clínica suscriptora
• Consentimiento: el paciente consiente al iniciar conversación con la clínica vía WhatsApp; puede retirarlo respondiendo "STOP" o "BAJA"
• Interés legítimo: seguridad de la plataforma, prevención de fraude
• Obligación legal: cumplimiento de requerimientos de autoridades competentes

Finalidades específicas:

• Facilitar la comunicación entre la clínica y sus pacientes vía WhatsApp
• Operar el asistente virtual de IA para atención automatizada
• Enviar recordatorios de citas (mediante plantillas aprobadas por Meta)
• Generar reportes operativos para la clínica (no para terceros)

NO usamos los datos para: publicidad comportamental, venta a terceros, entrenamiento de modelos de IA generativa, ni perfilamiento fuera del contexto de atención al paciente.

3. Encargados del tratamiento (sub-procesadores)

Para prestar el servicio compartimos datos con los siguientes encargados, todos bajo contratos de tratamiento de datos:

Para transferencias fuera del país de origen del paciente utilizamos las salvaguardas previstas por la legislación aplicable (cláusulas contractuales, decisiones de adecuación, etc.).

4. Tiempo de retención

• Conversaciones de WhatsApp: 24 meses desde el último mensaje
• Audios generados: 90 días desde su creación
• Datos de citas: 7 años (cumplimiento de normativa médica)
• Logs de seguridad: 30 días
• Datos de cuenta del Cliente: mientras la cuenta esté activa, más 30 días tras cancelación

Pasados estos plazos, los datos se eliminan o anonimizan irreversiblemente.

5. Seguridad

• Cifrado en tránsito (HTTPS/TLS 1.2+)
• Cifrado en reposo en Azure PostgreSQL
• Tokens de WhatsApp encriptados en base de datos
• Aislamiento multi-tenant por clinicaId: ninguna clínica puede ver datos de otra
• Autenticación con sesiones firmadas y políticas de contraseña
• Acceso a producción restringido al equipo de Dr Connect
• Auditoría de operaciones administrativas

Si detectamos una brecha de seguridad que afecte datos personales, notificaremos a las autoridades competentes y a los usuarios afectados dentro de las 72 horas siguientes a su conocimiento.

6. Sus derechos

Como titular de datos, usted tiene derecho a:

• Acceder a los datos personales que tenemos sobre usted
• Solicitar la rectificación de datos inexactos
• Solicitar la eliminación de sus datos (ver proceso de eliminación)
• Oponerse al tratamiento o limitarlo en casos específicos
• Solicitar la portabilidad de sus datos en formato estructurado
• Retirar su consentimiento en cualquier momento
• Presentar una queja ante la autoridad de protección de datos competente (PRODHAB en Costa Rica)

Para ejercer estos derechos escriba a privacy@evatarai.com. Responderemos dentro de los 30 días siguientes.

7. WhatsApp Business API

Dr Connect se integra con la WhatsApp Business Cloud API de Meta Platforms, Inc. para enrutar mensajes entre clínicas y pacientes. Al enviar un mensaje a la clínica vía WhatsApp:

• Acepta los términos y políticas de privacidad de WhatsApp
• Su número, mensajes y metadatos asociados son procesados por Meta para entregar el mensaje
• Puede retirar su consentimiento respondiendo "STOP" o "BAJA" en cualquier momento

8. Inteligencia artificial

Las conversaciones pueden ser procesadas por modelos de IA de terceros (Azure OpenAI, ElevenLabs) para generar respuestas y audio. Estas conversaciones no se utilizan para entrenar los modelos de los proveedores. Los proveedores no retienen el contenido más allá del tiempo necesario para generar la respuesta.

9. Menores

Dr Connect no está dirigido a menores de 13 años. Para pacientes menores, la clínica debe obtener consentimiento de la persona titular de la patria potestad antes de incorporar sus datos a la plataforma.

10. Cambios a esta política

Notificaremos cambios materiales con al menos 30 días de antelación por correo electrónico al usuario registrado y mediante aviso destacado en la plataforma.

11. Contacto

Encargado de protección de datos:
Email: privacy@evatarai.com
Empresa: Accounting & Finance Costa Rica AFCR S.A.
País: Costa Rica

Documentos relacionados: Términos de Servicio · Solicitar eliminación de datos