Política de Privacidad
y tratamiento de datos — MediLatido

El responsable del tratamiento de los datos personales, en los términos del artículo 6 de la Ley No. 172-13, es:

• Razón social: SSSJ&F Supply Solutions, SRL (Sociedad de Responsabilidad Limitada (SRL)).
• Nombre comercial: MediLatido.
• RNC: 133-67694-1.
• Domicilio: C/ Jose Peguero No. 1, Cancino II, Santo Domingo Este, Republica Dominicana.
• Correo de privacidad / DPO: privacidad@medilatido.com.
• Teléfono/WhatsApp: +1 (829) 558-1079.
• Sitio web: https://medilatido.com.

Respecto de los datos de los Pacientes que el Cliente (clínica, consultorio o profesional de la salud contratante) carga en su tenant, MediLatido actúa como Encargado del Tratamiento, mientras que el Cliente es el Responsable. Cuando un Paciente quiera ejercer sus derechos sobre su expediente clínico, debe acudir en primer lugar a la clínica o al profesional que lo atiende.

Esta Política aplica a:

• Visitantes de nuestro sitio web y de la landing comercial.
• Clientes (personas físicas o jurídicas que contratan el Servicio) y sus representantes legales o administrativos.
• Usuarios (personal autorizado del Cliente: médicos, enfermería, recepción, administración) que acceden con credenciales al Servicio o a la app móvil del equipo.
• Pacientes cuyos datos son cargados por el Cliente, así como usuarios del portal del paciente, firmantes de consentimientos, videoconsultas y encuestas.
• Personas que nos contactan por canales comerciales, de soporte o por WhatsApp.

Tratamos únicamente los datos estrictamente necesarios para las finalidades que se describen en la sección 5. Las categorías son:

Los datos sensibles (cédula, teléfono, correo, dirección, alergias y firmas) se almacenan cifrados a nivel de columna mediante pgp_sym_encrypt (PgCrypto). Las búsquedas se realizan por cedula_hash para no exponer el dato en claro.

Los datos provienen de las siguientes fuentes:

• Directamente del titular: al registrarse, completar formularios, firmar consentimientos o descargos, utilizar el portal del paciente, agendar citas públicas o contestar encuestas.
• Del Cliente: cuando la clínica carga el expediente del Paciente, programa citas, emite recetas, solicita análisis o imágenes, etc.
• Automáticamente: logs técnicos, métricas de uso, cookies, dispositivos y características del navegador.
• De terceros autorizados: padrón público electoral para validar cédula, proveedores de ARS/PDSS para verificación de cobertura, laboratorios vía HL7, pasarelas de pago y canales de WhatsApp/Meta.

Los datos no se utilizan para: (i) venta a terceros; (ii) publicidad comportamental de terceros; (iii) entrenamiento de modelos de IA genéricos — los sub-encargados de IA operan bajo acuerdos que prohíben el entrenamiento con datos del Cliente.

• Ejecución de contrato (arts. 6 y 7 Ley 172-13): necesario para operar el Servicio con el Cliente y sus Usuarios.
• Consentimiento del titular: requerido para el tratamiento de datos sensibles y de salud, salvo habilitación legal específica (Ley 42-01).
• Obligación legal: normativa tributaria (DGII), sanitaria (MSP), prevención de fraude y requerimientos judiciales.
• Interés legítimo: seguridad del Servicio, prevención de abuso, métricas agregadas no invasivas.
• Protección de intereses vitales: situaciones clínicas urgentes donde el tratamiento sea indispensable para proteger la vida o la salud del Paciente.

Los datos de salud gozan de la protección reforzada prevista en la Ley No. 172-13 y en la Ley General de Salud No. 42-01. En particular:

• El Cliente (clínica o profesional) es el depositario principal del secreto profesional médico respecto de sus Pacientes.
• MediLatido procesa PHI únicamente por cuenta del Cliente, con aislamiento multi-tenant estricto y cifrado por columna.
• Nuestro personal no accede al contenido clínico salvo para: (i) soporte solicitado por el Cliente, (ii) cumplir obligación legal, o (iii) investigar un incidente. Todo acceso queda registrado en el log de auditoría.
• Los tokens de consentimiento, descargo y portal del paciente se almacenan solo como hash SHA-256 — el token en claro nunca se guarda.

Al finalizar la relación contractual el Cliente cuenta con treinta (30) días para solicitar la exportación de sus datos. Transcurrido dicho plazo procedemos a la supresión lógica y luego a la supresión definitiva, salvo conservación legal obligatoria.

No vendemos ni cedemos datos personales a terceros. Compartimos datos únicamente con los sub-encargados estrictamente necesarios para prestar el Servicio, bajo contrato de tratamiento de datos:

Además, podemos divulgar datos cuando así lo exijan las autoridades competentes mediante requerimiento formal ajustado a derecho.

Algunos sub-encargados procesan datos fuera de la República Dominicana. En esos casos, aplicamos garantías razonables compatibles con la Ley No. 172-13, entre ellas:

• Contratos de tratamiento de datos con cláusulas de confidencialidad.
• Cifrado en tránsito (TLS) y cifrado en reposo del lado del sub-encargado cuando sea técnicamente posible.
• Certificaciones y estándares de seguridad del sub-encargado (SOC 2, ISO 27001).
• Restricciones contractuales sobre la finalidad: los sub-encargados solo pueden tratar los datos para prestarnos el servicio contratado.

Conforme a la Ley No. 172-13 y al artículo 44 de la Constitución, todo titular puede ejercer los siguientes derechos:

• Acceso: conocer qué datos tuyos tratamos y con qué fines.
• Rectificación: solicitar la corrección de datos inexactos o incompletos.
• Cancelación: solicitar la supresión cuando ya no sean necesarios o cuando se retire el consentimiento, sin perjuicio de la conservación legal obligatoria.
• Oposición: oponerte a determinados tratamientos por motivos legítimos.
• Portabilidad: recibir los datos en formato estructurado y comúnmente utilizado.
• Retiro del consentimiento en cualquier momento, sin efectos retroactivos.

Para ejercer cualquiera de los derechos anteriores puedes escribirnos a privacidad@medilatido.com indicando:

• Tu nombre completo y cédula o identificación.
• Descripción precisa de la solicitud y derecho que deseas ejercer.
• Dirección o correo donde deseas recibir la respuesta.
• Documentación que acredite tu identidad (copia de cédula o pasaporte).
• Si actúas a través de representante, poder o autorización válida y copia de identificación del representante.

Responderemos en un plazo máximo de diez (10) días hábiles, prorrogable por una sola vez cuando la complejidad lo justifique. Si eres Paciente y tu solicitud versa sobre tu expediente clínico cargado por una clínica usuaria de MediLatido, te redirigiremos a dicha clínica en su carácter de Responsable.

Implementamos medidas proporcionales a los riesgos del tratamiento. Las principales son:

• Cifrado en reposo a nivel de columna para PHI sensible (cédula, teléfono, correo, dirección, alergias, firmas) con PgCrypto.
• Cifrado en tránsito obligatorio (TLS) en todas las comunicaciones.
• Aislamiento multi-tenant aplicativo y, donde aplique, a nivel de base de datos (Row-Level Security).
• Control de acceso por rol y principio de mínimo privilegio.
• Autenticación con contraseñas hasheadas (bcrypt), JWT en cookies HttpOnly/Secure/SameSite=Lax, expiración configurable.
• Registro de auditoría de mutaciones con IP, user-agent y usuario.
• Rate limiting y detección de abusos en endpoints públicos.
• Gestión de claves separada por propósito (DB_ENCRYPTION_KEY, CERT_ENCRYPTION_KEY, JWT_SECRET, PATIENT_PORTAL_JWT_SECRET).
• Scrubbing de logs: eliminación automática de datos sensibles antes de escribir en logs.
• Respaldos cifrados con ciclo de rotación.
• Acuerdos de confidencialidad y formación en protección de datos para todo el personal autorizado.

Ante un incidente que comprometa la confidencialidad, integridad o disponibilidad de datos personales:

• Notificaremos al Cliente afectado dentro de las setenta y dos (72) horas siguientes a tener conocimiento del incidente, describiendo la naturaleza, datos afectados, medidas adoptadas y puntos de contacto.
• Si el incidente afecta a titulares cuyos datos el Cliente gestiona como Responsable, asistiremos al Cliente para que este cumpla con sus obligaciones de notificación a titulares y, cuando aplique, a la autoridad de protección de datos.
• Cualquier persona puede reportar una sospecha de incidente a seguridad@medilatido.com.

Usamos cookies y tecnologías análogas (localStorage, IndexedDB) para:

• Cookies estrictamente necesarias: mantener la sesión autenticada (cookie HttpOnly/Secure), preferencias de idioma y tema, tokens de seguridad CSRF.
• Cookies de rendimiento y auditoría: identificar cuellos de botella, registrar eventos de seguridad.
• Almacenamiento local de soporte PWA: caché de la agenda, funcionamiento offline, Service Worker.

No utilizamos cookies publicitarias de terceros. Puedes gestionar las cookies desde tu navegador; bloquear las estrictamente necesarias puede impedir el uso del Servicio.

El Servicio está dirigido a profesionales de la salud y a personas mayores de edad. Los Pacientes menores son tratados a través de sus padres, tutores o representantes legales, bajo la responsabilidad del Cliente. Cuando se generen recetas para menores de 18 años, el sistema aplica validaciones específicas de contraindicaciones pediátricas con revisión del profesional.

Los prompts enviados a Anthropic incluyen delimitadores y sanitización para mitigar riesgos de inyección. El Cliente es responsable de revisar cada salida antes de adoptarla en el expediente, receta o comunicación. El titular tiene derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos en él.

Las videoconsultas se establecen por enlace con token firmado y sin almacenamiento del contenido audiovisual por defecto. Si la consulta se graba, el Cliente deberá informarlo expresamente al Paciente y obtener su consentimiento en cumplimiento del secreto profesional médico.

Los mensajes enviados a Pacientes por cuenta del Cliente utilizan WhatsApp Business Cloud API de Meta mediante plantillas aprobadas. Los flujos incluyen: confirmación de cita, recordatorio, nudge de confirmación, cancelación automática y entrega de enlaces firmados. Los metadatos de entrega son tratados por Meta conforme a sus propias políticas. El Cliente declara haber informado a sus Pacientes del uso de estos canales.

Esta Política puede actualizarse para reflejar cambios normativos, técnicos o del Servicio. Publicaremos la nueva versión en /privacidad indicando su fecha de vigencia y, para cambios sustanciales, notificaremos al correo del administrador de la cuenta con quince (15) días de anticipación.

Hemos designado un punto focal de privacidad para atender todas las consultas y solicitudes relativas al tratamiento de datos personales:

• Correo: privacidad@medilatido.com
• Asunto sugerido: [Privacidad] [Derecho que ejerces]

Si consideras que no hemos atendido correctamente tu solicitud, puedes presentar una reclamación ante las instancias competentes de la República Dominicana, incluidas, según el caso, el Instituto Dominicano de las Telecomunicaciones (INDOTEL), Pro Consumidor, el Ministerio de Salud Pública, la Superintendencia de Salud y Riesgos Laborales (SISALRIL) o los tribunales ordinarios, sin perjuicio de la acción constitucional de habeas data prevista en el artículo 70 de la Constitución.

Para cualquier consulta sobre esta Política:

• Privacidad / DPO: privacidad@medilatido.com
• Seguridad: seguridad@medilatido.com
• Legal: legal@medilatido.com
• Soporte: soporte@medilatido.com
• Teléfono/WhatsApp: +1 (829) 558-1079
• Domicilio: C/ Jose Peguero No. 1, Cancino II, Santo Domingo Este, Republica Dominicana