Política de Privacidad

1. INTRODUCCIÓN

TherapyDesk SpA, RUT [POR COMPLETAR], con domicilio en [DIRECCIÓN POR COMPLETAR], Chile (en adelante, "TherapyDesk", "nosotros" o "la Plataforma"), se compromete a proteger la privacidad y seguridad de los datos personales de sus usuarios.

Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos y protegemos la información personal de conformidad con:

• Ley 19.628 sobre Protección de la Vida Privada (Chile)
• Ley 21.096 sobre protección de datos de niños, niñas y adolescentes
• Código Sanitario de Chile
• Código Penal (Art. 247 - secreto profesional)
• Mejores prácticas internacionales de privacidad

Al utilizar TherapyDesk, usted acepta las prácticas descritas en esta Política.

2. INFORMACIÓN QUE RECOPILAMOS

2.1 Información que el Profesional Proporciona Directamente

Datos de Registro:

• Nombre completo
• Correo electrónico
• Número de teléfono
• RUT (Rol Único Tributario)
• Especialidad profesional
• Número de matrícula profesional (si aplica)
• Contraseña (almacenada encriptada)

Datos de Perfil:

• Foto de perfil (opcional)
• Dirección de consulta
• Horarios de atención
• Tarifas de consulta
• Logo personal/clínica (opcional)

2.2 Información de Pacientes Ingresada por el Profesional

Datos Personales Básicos:

• Nombre completo
• Fecha de nacimiento
• Género
• Correo electrónico
• Número de teléfono
• Dirección (opcional)
• RUT (opcional)

Datos Clínicos y Sensibles:

• Motivo de consulta
• Diagnósticos
• Evolución y notas de sesiones
• Tratamientos y prescripciones
• Historial clínico
• Campos personalizados según especialidad (ej: tipo de lesión, rango de movimiento, plan de ejercicios)

2.3 Información de Uso Automática

Datos de Navegación:

• Dirección IP
• Tipo de navegador y versión
• Sistema operativo
• Páginas visitadas
• Tiempo de permanencia
• Referrer (página de origen)
• Idioma del navegador

Cookies y Tecnologías Similares:

• Cookies de sesión (esenciales para funcionamiento)
• Cookies de preferencias (idioma, tema)
• Cookies de analytics (Google Analytics 4)

Ver nuestra Política de Cookies para más detalles.

2.4 Información de Pago

Los datos de pago (tarjetas de crédito/débito) son procesados directamente por Transbank. TherapyDesk NO almacena números de tarjeta completos, solo:

• 4 últimos dígitos de la tarjeta
• Tipo de tarjeta (Visa, Mastercard, etc.)
• Fecha de expiración
• Estado de transacciones (aprobada, rechazada)
• ID de transacción de Transbank

3. CÓMO USAMOS LA INFORMACIÓN

3.1 Provisión del Servicio

Utilizamos los datos para:

• Crear y gestionar cuentas de usuario
• Proveer funcionalidades de la Plataforma (agenda, historial, reportes)
• Procesar pagos de suscripciones
• Enviar recordatorios automáticos a pacientes (si el profesional lo configura)
• Generar enlaces de Google Meet para videoconsultas
• Crear reportes y estadísticas para el profesional

3.2 Comunicación con el Usuario

Utilizamos el correo electrónico para:

• Confirmación de registro
• Notificaciones de actividad importante (citas agendadas, canceladas)
• Recordatorios de renovación de suscripción
• Soporte técnico
• Actualizaciones de producto y nuevas funcionalidades
• Cambios en Términos o Política de Privacidad

3.3 Marketing (Solo con Consentimiento)

Con su consentimiento explícito previo, podemos enviar:

• Newsletter con tips y mejores prácticas
• Promociones y descuentos especiales
• Encuestas de satisfacción
• Webinars y contenido educativo

Puede darse de baja en cualquier momento haciendo clic en "Cancelar suscripción" en nuestros emails o desde la configuración de su cuenta.

3.4 Mejora del Servicio

Utilizamos datos agregados y anónimos para:

• Analizar patrones de uso
• Identificar errores y problemas técnicos
• Mejorar la experiencia de usuario
• Desarrollar nuevas funcionalidades
• Optimizar rendimiento de la Plataforma

3.5 Cumplimiento Legal

Podemos usar y divulgar información cuando:

• Sea requerido por ley o autoridad competente
• Sea necesario para proteger nuestros derechos legales
• Sea necesario para prevenir fraude o actividad ilegal

4. BASE LEGAL PARA EL TRATAMIENTO DE DATOS

Conforme a la Ley 19.628, tratamos datos personales bajo las siguientes bases legales:

4.1 Consentimiento

• El Profesional consiente al registrarse y aceptar esta Política
• Los pacientes consienten cuando el Profesional les informa sobre el uso de la Plataforma

4.2 Ejecución de Contrato

• Necesario para proveer el servicio contratado por el Profesional

4.3 Interés Legítimo

• Seguridad de la Plataforma
• Prevención de fraude
• Mejoras del servicio

4.4 Obligación Legal

• Cumplimiento con requerimientos tributarios (boletas electrónicas)
• Cumplimiento con órdenes judiciales

5. ROLES Y RESPONSABILIDADES EN PROTECCIÓN DE DATOS

5.1 El Profesional como Responsable del Tratamiento

El profesional de salud que utiliza TherapyDesk es el responsable del tratamiento de los datos personales de sus pacientes. Esto significa que:

• Debe obtener consentimiento informado de sus pacientes para el tratamiento de datos
• Debe informar a sus pacientes que utiliza una plataforma digital para gestionar su información
• Es responsable del cumplimiento del secreto profesional (Código Penal Art. 247)
• Debe cumplir con la Ley 19.628 en cuanto a finalidad, necesidad y proporcionalidad
• Debe cumplir con la Ley 21.096 si trata datos de menores de edad

5.2 TherapyDesk como Encargado del Tratamiento

TherapyDesk actúa como encargado del tratamiento, proporcionando la infraestructura tecnológica. Nuestras responsabilidades incluyen:

• Implementar medidas de seguridad técnicas y organizativas
• Procesar datos únicamente según las instrucciones del Profesional
• Notificar al Profesional sobre brechas de seguridad
• Facilitar el ejercicio de derechos de los titulares de datos
• Eliminar datos cuando el Profesional cancele su cuenta

5.3 Acuerdo de Procesamiento de Datos

Al utilizar TherapyDesk, el Profesional acepta que actuamos como encargado del tratamiento conforme a esta Política y los Términos de Servicio.

6. COMPARTIR INFORMACIÓN CON TERCEROS

6.1 NO Vendemos sus Datos

TherapyDesk NUNCA vende, alquila o comercializa datos personales a terceros.

6.2 Proveedores de Servicios

Compartimos información con proveedores que nos ayudan a operar la Plataforma:

Todos los proveedores:

• Tienen acuerdos de confidencialidad
• Solo procesan datos según nuestras instrucciones
• Implementan medidas de seguridad adecuadas

6.3 Transferencias Internacionales

Algunos proveedores (AWS, Google) pueden almacenar datos en servidores ubicados fuera de Chile, incluyendo Estados Unidos. Estas transferencias se realizan con las siguientes salvaguardas:

• Cláusulas contractuales estándar
• Certificaciones de privacidad (Privacy Shield, ISO 27001)
• Compromiso de no compartir con terceros
• Encriptación en tránsito y en reposo

6.4 Situaciones Legales

Podemos divulgar información cuando:

• Sea requerido por ley (orden judicial, citación)
• Sea necesario para proteger derechos, propiedad o seguridad
• En caso de fusión, adquisición o venta de activos (con aviso previo)

7. SEGURIDAD DE LOS DATOS

7.1 Medidas Técnicas

Implementamos las siguientes medidas de seguridad:

Encriptación:

• SSL/TLS para todas las comunicaciones (HTTPS)
• Encriptación AES-256 para datos en reposo
• Contraseñas hasheadas con bcrypt

Infraestructura:

• Servidores seguros en AWS con certificación ISO 27001
• Firewalls y detección de intrusiones
• Monitoreo 24/7 de seguridad
• Actualizaciones de seguridad automáticas

Acceso:

• Autenticación de dos factores (2FA) disponible
• Control de acceso basado en roles (en Plan Clínica)
• Logs de auditoría de acciones críticas
• Sesiones con timeout automático

7.2 Backups

• Backups automáticos diarios
• Backups almacenados en múltiples ubicaciones geográficas
• Retención de backups por 90 días
• Procedimientos de recuperación ante desastres

7.3 Limitaciones

A pesar de nuestros esfuerzos, ningún sistema es 100% seguro. El Usuario debe:

• Usar contraseñas fuertes y únicas
• No compartir credenciales de acceso
• Cerrar sesión al usar dispositivos compartidos
• Mantener su dispositivo protegido con antivirus

8. RETENCIÓN DE DATOS

8.1 Mientras la Cuenta Esté Activa

Mantenemos los datos mientras:

• La cuenta del Profesional esté activa
• Sea necesario para proveer el servicio
• Sea necesario para cumplir con obligaciones legales

8.2 Después de Cancelar la Cuenta

Al cancelar su cuenta:

• 30 días de gracia: El Profesional puede exportar sus datos
• Después de 30 días: Eliminación permanente de datos personales
• Backups: Se eliminan de backups después de 90 días

8.3 Datos que Retenemos por Obligación Legal

Podemos retener ciertos datos por períodos más largos cuando:

• Sea requerido por ley tributaria (facturas, boletas)
• Haya disputas o litigios pendientes
• Sea necesario para prevenir fraude

9. DERECHOS DE LOS TITULARES DE DATOS

Conforme a la Ley 19.628, los titulares de datos tienen los siguientes derechos (conocidos como derechos ARCO):

9.1 Derecho de Acceso

Puede solicitar:

• Confirmación de si procesamos sus datos
• Copia de sus datos personales en formato legible
• Información sobre cómo usamos sus datos

Cómo ejercer: Enviar email a privacy@therapydesk.cl con asunto "Solicitud de Acceso"

9.2 Derecho de Rectificación

Puede solicitar:

• Corrección de datos inexactos o incompletos
• Actualización de información desactualizada

Cómo ejercer: Puede actualizar la mayoría de datos desde la configuración de su cuenta. Para otros, contactar a privacy@therapydesk.cl

9.3 Derecho de Cancelación (Eliminación)

Puede solicitar:

• Eliminación de sus datos personales
• Cierre de su cuenta

Cómo ejercer:

1. Cancelar cuenta desde configuración, o
2. Enviar email a privacy@therapydesk.cl con asunto "Solicitud de Eliminación"

Limitaciones: Podemos retener datos si es necesario para cumplir obligaciones legales.

9.4 Derecho de Oposición

Puede oponerse a:

• Uso de sus datos para marketing
• Procesamiento basado en interés legítimo

Cómo ejercer: Hacer clic en "Cancelar suscripción" en nuestros emails o contactar a privacy@therapydesk.cl

9.5 Derecho de Portabilidad

Puede solicitar:

• Exportación de sus datos en formato CSV/Excel
• Transferencia de datos a otro sistema (si técnicamente es posible)

Cómo ejercer: Usar la función "Exportar Datos" en la Plataforma o contactar a soporte@therapydesk.cl

9.6 Plazo de Respuesta

Responderemos a solicitudes de derechos ARCO en un plazo máximo de 30 días hábiles desde la recepción de la solicitud completa.

9.7 Derechos de Pacientes

Los pacientes cuyos datos están almacenados en la Plataforma deben contactar directamente a su profesional de salud para ejercer sus derechos. El profesional es el responsable del tratamiento de esos datos.

Si un paciente contacta a TherapyDesk, le indicaremos que debe comunicarse con su profesional.

10. DATOS DE MENORES DE EDAD

10.1 Cumplimiento con Ley 21.096

Conforme a la Ley 21.096 sobre protección de datos de niños, niñas y adolescentes:

• El tratamiento de datos de menores de 18 años requiere consentimiento de padres/tutores
• Los datos de menores deben tener finalidad legítima relacionada con su atención de salud
• Se prohíbe el uso de datos de menores para fines comerciales o publicitarios

10.2 Responsabilidad del Profesional

Es responsabilidad del Profesional:

• Obtener consentimiento de padres/tutores antes de ingresar datos de menores
• Informar a padres/tutores sobre el uso de la Plataforma
• Limitar la recopilación de datos al mínimo necesario
• Proteger especialmente la confidencialidad de datos de menores

11. COOKIES Y TECNOLOGÍAS DE SEGUIMIENTO

11.1 Tipos de Cookies que Usamos

Cookies Esenciales (Obligatorias):

• Sesión de usuario
• Preferencias (idioma, tema)
• Seguridad (CSRF token)

Cookies de Analytics (Opcionales):

• Google Analytics 4: métricas de uso agregadas
• Vercel Analytics: performance monitoring

Cookies de Marketing (Opcionales):

• Solo si acepta marketing en configuración

11.2 Cómo Controlar Cookies

Puede:

• Configurar su navegador para rechazar cookies
• Eliminar cookies existentes
• Usar modo incógnito/privado

Nota: Rechazar cookies esenciales puede afectar el funcionamiento de la Plataforma.

Para más detalles, consulte nuestra Política de Cookies.

12. MARKETING Y COMUNICACIONES

12.1 Consentimiento para Marketing

Enviamos comunicaciones de marketing solo si:

• Ha dado consentimiento explícito al registrarse, o
• Ha marcado la opción "Recibir newsletter" en configuración

12.2 Cómo Darse de Baja

Puede darse de baja de comunicaciones de marketing:

• Haciendo clic en "Cancelar suscripción" en cualquier email
• Desde configuración de cuenta > Preferencias de comunicación
• Enviando email a privacy@therapydesk.cl

Nota: No puede darse de baja de emails transaccionales críticos (confirmaciones, soporte, cambios legales).

13. CAMBIOS A ESTA POLÍTICA

13.1 Notificación de Cambios

TherapyDesk puede actualizar esta Política de Privacidad periódicamente. Los cambios serán notificados con al menos 30 días de anticipación mediante:

• Email al correo registrado
• Aviso prominente en la Plataforma
• Actualización de la fecha "Última actualización" al inicio de esta Política

13.2 Aceptación de Cambios

El uso continuado de la Plataforma después de la entrada en vigor de los cambios constituye aceptación de la Política actualizada.

Si no está de acuerdo con los cambios, puede cancelar su cuenta antes de la fecha de entrada en vigor.

14. PRIVACIDAD DE DATOS INTERNACIONALES

Si utiliza TherapyDesk desde fuera de Chile:

• Esta Política se rige por las leyes de Chile
• Los datos se almacenan principalmente en servidores en [REGIÓN]
• Transferencias internacionales se realizan con salvaguardas adecuadas
• Puede ejercer derechos conforme a la legislación chilena

15. ENLACES A SITIOS DE TERCEROS

La Plataforma puede contener enlaces a sitios web de terceros (ej: Google Meet, documentación externa). TherapyDesk no es responsable de las prácticas de privacidad de esos sitios.

Recomendamos leer las políticas de privacidad de todos los sitios que visite.

16. CONTACTO - OFICIAL DE PRIVACIDAD

Para cualquier consulta sobre esta Política de Privacidad o ejercicio de derechos:

17. AUTORIDAD DE CONTROL

Si considera que sus derechos de privacidad han sido vulnerados, puede presentar una denuncia ante:

18. RESUMEN DE BUENAS PRÁCTICAS

Para proteger su privacidad y la de sus pacientes: