Declaración de Privacidad

1 Responsable del tratamiento de los datos personales

El responsable del tratamiento de los datos personales recogidos a través de la Plataforma (entendido como la entidad que decide los fines y medios de dicho tratamiento de datos, conforme al RGPD y normativa equivalente) es:

• Denominación: MedExpert IA [REVISAR_LEGAL: razón social registrada exacta]
• Identificación fiscal: [REVISAR_LEGAL: RUC / NIF / RFC / CUIT / NIT según país de constitución]
• Domicilio: [REVISAR_LEGAL: dirección postal completa para notificaciones]
• Email de contacto: [email protected]
• Sitio web: https://medexpertia.org
• Delegado de Protección de Datos (DPO): [REVISAR_LEGAL: si el volumen de tratamiento exige DPO conforme RGPD Art. 37 o equivalente local, designar persona o servicio externo y consignar email del DPO]

2 Definiciones

• Datos personales: cualquier información que te identifique o te haga identificable.
• Categorías especiales de datos (datos sensibles): datos relativos a salud, biometría, opiniones políticas, etc. Bajo el RGPD Art. 9 reciben protección reforzada.
• Tratamiento de datos personales: cualquier operación realizada con datos personales (recogida, registro, conservación, consulta, comunicación, supresión, etc.). En esta Declaración, cuando se usa la forma abreviada "tratamiento", se refiere siempre al tratamiento de datos.
• Responsable del tratamiento de datos personales: persona o entidad que decide los fines y medios del tratamiento de los datos.
• Encargado del tratamiento de datos personales: un tercero que procesa datos por cuenta del Responsable bajo contrato (ej. proveedor cloud, plataforma SaaS). Esta figura está limitada a la gestión técnica de los datos y no implica intervención clínica.
• Datos clínicos / PHI: información sanitaria relativa a pacientes que el Usuario pudiera introducir voluntariamente en la Plataforma.

3 Datos que recopilamos

3.1 Datos que nos proporcionas directamente

• Registro tradicional: nombre, apellidos, email, teléfono (opcional), especialidad médica, título profesional, país de ejercicio, contraseña (almacenada con hash bcrypt de 12 rondas).
• Registro con OAuth (Google o Microsoft): identificador único del proveedor, email verificado, nombre y apellidos según el proveedor.
• Verificación de identidad / segundo factor (2FA): secreto TOTP cifrado, códigos de recuperación cifrados.
• Contenido que generas o subes: conversaciones con los modelos de IA, mensajes, documentos PDF, imágenes médicas, notas tipo OneNote, audios para transcripción, proyectos, configuraciones y preferencias.
• Comunicaciones con soporte: emails, formularios, mensajes vía WhatsApp si decides activar la integración.

3.2 Datos que recopilamos automáticamente

• Dirección IP, tipo y versión de navegador, sistema operativo, identificadores de dispositivo, idioma del navegador.
• Logs de acceso: marcas temporales de inicio y cierre de sesión, rutas HTTP visitadas, códigos de estado, latencia.
• Eventos de seguridad: intentos fallidos de login, bloqueos por captcha, activación de 2FA, cambios de credenciales.
• Métricas de uso de modelos de IA (proveedor, modelo, tokens consumidos) y de bases de conocimiento médico.
• Cookies técnicas estrictamente necesarias para mantener la sesión autenticada (Flask-Session server-side).

3.3 Datos que recibimos de terceros

• Confirmación de identidad de proveedores OAuth (Google, Microsoft).
• Verificación anti-bot de Cloudflare Turnstile en los formularios públicos.
• Información sobre intentos de acceso sospechosos detectados por Cloudflare WAF.

4 Finalidades y bases legales del tratamiento de datos

Finalidad	Base legal (RGPD Art. 6)	Plazo de conservación
Crear y mantener tu cuenta. Prestarte el servicio de IA, bases médicas, proyectos, notas y conversaciones.	Ejecución de contrato (Art. 6.1.b)	Mientras la cuenta esté activa.
Garantizar la seguridad de la Plataforma, prevenir fraude y abuso, mantener auditoría de accesos.	Interés legítimo (Art. 6.1.f) + obligación legal en jurisdicciones que lo exijan	12 meses para logs de acceso; hasta 6 años para registros de eventos de seguridad si aplica HIPAA / normativa sanitaria local.
Atender solicitudes de soporte, comunicaciones operativas (cambios de servicio, alertas de seguridad).	Ejecución de contrato (Art. 6.1.b)	Duración de la relación + 2 años.
Envío de comunicaciones comerciales o newsletters.	Consentimiento (Art. 6.1.a), revocable en cualquier momento.	Hasta que retires el consentimiento.
Cumplimiento de obligaciones fiscales, contables o requerimientos judiciales.	Obligación legal (Art. 6.1.c)	El plazo legal exigible en cada jurisdicción.
Mejora del servicio basada en estadísticas agregadas y anonimizadas.	Interés legítimo (Art. 6.1.f)	Indefinido (dato agregado, no personal).

El uso de tus datos o de tu contenido para entrenar modelos de IA requiere consentimiento expreso, granular y revocable que recogemos por separado. Por defecto NO entrenamos modelos con tu contenido.

5 Datos clínicos y de pacientes

6 Con quién compartimos tus datos

Compartimos los datos estrictamente necesarios con los siguientes encargados del tratamiento (sub-procesadores). Todos están vinculados por contrato a respetar la confidencialidad, aplicar medidas de seguridad equivalentes y procesar los datos únicamente según nuestras instrucciones.

Por transparencia, detallamos a continuación la política de retención y uso de datos que aplica cada proveedor de IA. Donde técnicamente es posible activar opciones de cero retención, ya lo hemos hecho. Donde la API del proveedor no expone ese flag, opera con la política estándar del vendor que se indica explícitamente.

Sub-procesador	Servicio prestado	Datos compartidos	Política de retención y uso	Ubicación
Anthropic (Claude)	Modelo de IA generativa	Prompts y archivos del usuario en cada consulta	No entrena con datos vía API por contrato comercial. Retención hasta 30 días para detección de abuso, sin acceso humano salvo investigación. DPA público disponible.	Estados Unidos
OpenAI (GPT)	Modelo de IA generativa	Prompts y archivos del usuario en cada consulta	Cero retención activada (parámetro store=false en cada llamada). Los prompts no quedan accesibles en el panel de OpenAI ni se conservan para monitoreo extendido. DPA disponible.	Estados Unidos
Google Vertex AI (Claude, Gemini Pro)	Modelos de IA generativa empresariales	Prompts y archivos del usuario en cada consulta	No entrena con datos del cliente. Cobertura por Google Cloud Data Processing Addendum. BAA disponible bajo Google Workspace / GCP.	Unión Europea, Estados Unidos
Google AI Studio (Gemini Flash y modelos rápidos)	Modelos de IA generativa de menor coste	Prompts y archivos del usuario en cada consulta	En las claves operadas en tier de pago Google no entrena con los datos. En tier gratuito Google podría usarlos para mejorar el modelo. MedExpert IA opera estos modelos en tier de pago.	Estados Unidos, Unión Europea
xAI (Grok)	Modelo de IA generativa	Prompts y archivos del usuario en cada consulta	Política estándar del proveedor. Sin BAA aún. En revisión para acuerdos formales.	Estados Unidos
Perplexity	Modelo de IA generativa con búsqueda web	Prompts del usuario en cada consulta	Política estándar del proveedor. Sin BAA. En revisión para acuerdos formales.	Estados Unidos
DeepSeek	Modelo de IA generativa	Prompts y archivos del usuario en cada consulta	Política estándar del proveedor (servidor con jurisdicción distinta de UE/EE. UU.). No recomendado para prompts con datos identificables de pacientes. Sin BAA.	República Popular China
Mistral AI	Modelo de IA generativa	Prompts y archivos del usuario en cada consulta	Política estándar del proveedor. DPA disponible bajo plan empresarial.	Unión Europea (Francia)
Cloudflare	CDN, WAF, protección DDoS, DNS, captcha Turnstile	Metadatos de conexión, IP, user-agent, headers HTTP	DPA público vigente. No accede al contenido de las conversaciones (cifrado TLS).	Global
Cloudinary	Almacenamiento de imágenes y vídeos médicos	Archivos que subes a la galería	DPA disponible. Cifrado en reposo y en tránsito.	Estados Unidos, Unión Europea
Supabase	Réplica gestionada de base de datos (backup secundario)	Réplica cifrada de datos de cuenta y conversaciones	DPA público vigente. Cifrado en reposo (AES-256) y en tránsito.	Unión Europea
Cloudflare R2	Almacenamiento de backups cifrados	Dumps cifrados de bases de datos	DPA público. Cifrado del backup en origen antes de subir.	Global
Google OAuth, Microsoft Identity	Autenticación federada	Identificador OAuth, email, nombre devuelto por el proveedor	Solo se utiliza para verificar identidad al iniciar sesión. No reciben contenido clínico.	Estados Unidos, Unión Europea
Sentry	Telemetría de errores técnicos	Trazas de software, identificadores anónimos	Configurado para filtrar PII y nunca enviar contenido clínico ni cuerpos de mensajes.	Unión Europea / EE. UU.
Proveedores SMTP / WhatsApp Business	Envío de correos transaccionales y notificaciones por WhatsApp (si lo activas)	Email destinatario, contenido del mensaje, número de teléfono (solo WhatsApp)	Según proveedor. Solo se utilizan para comunicación operativa.	Según proveedor
Bases de conocimiento médico (UpToDate, DynaMed, ClinicalKey, Lexicomp, Micromedex, Sanford, AccessMedicina/Surgery, OvidSP, Europe PMC)	Acceso a referencias clínicas	Solo la consulta textual; no tu identidad personal	Acceso indirecto bajo licencia institucional. Los proveedores no reciben datos identificables del usuario final.	Estados Unidos, Unión Europea, Reino Unido

No vendemos, alquilamos ni cedemos tus datos personales a terceros con fines publicitarios. No realizamos perfilado para marketing comportamental.

7 Transferencias internacionales

Algunos de los sub-procesadores mencionados procesan datos fuera del Espacio Económico Europeo (EEE) o de tu país de residencia, principalmente en Estados Unidos. En estos casos aplicamos garantías adecuadas:

• Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, donde sean aplicables.
• EU-US Data Privacy Framework con sub-procesadores certificados.
• Medidas técnicas y organizativas suplementarias: cifrado en tránsito (TLS 1.2+), cifrado de credenciales en reposo, controles de acceso por roles.

Puedes solicitarnos copia de las salvaguardas aplicables a un sub-procesador concreto escribiéndonos a [email protected].

8 Plazos de conservación

• Cuenta activa: mientras mantengas la cuenta abierta y la relación contractual esté vigente.
• Tras solicitar la eliminación de la cuenta: hasta 30 días en estado de tombstone para permitir recuperación accidental, transcurridos los cuales se procede a borrado o anonimización irreversible. Las copias de seguridad rotativas se sobrescriben en un plazo máximo de 90 días.
• Logs técnicos y de seguridad: 12 meses (rotación automática). Eventos de seguridad relevantes para auditoría: hasta 6 años si aplica normativa sanitaria.
• Datos sujetos a obligación legal de conservación (facturación, normativa tributaria, requerimientos judiciales): el plazo legal exigido en cada jurisdicción (típicamente entre 5 y 10 años).
• Backups cifrados: rotación de 7 días en local, hasta 30 días en almacenamiento secundario.

9 Tus derechos

Conforme al RGPD, LFPDPPP (México), Ley 25.326 (Argentina), Ley 1581 de 2012 (Colombia), Ley 19.628 (Chile), LOPDP (Ecuador) y normativa equivalente, tienes los siguientes derechos sobre tus datos personales:

• Acceso (ARCO/A): obtener confirmación de si tratamos tus datos y, en su caso, una copia legible de los mismos.
• Rectificación (ARCO/R): corregir datos inexactos o incompletos.
• Supresión / Cancelación (ARCO/C) — "derecho al olvido": obtener la eliminación de tu cuenta y datos asociados, salvo obligación legal de conservar.
• Oposición (ARCO/O): oponerte al tratamiento basado en interés legítimo, incluido el cese de comunicaciones comerciales.
• Limitación: solicitar el bloqueo temporal del tratamiento mientras se resuelve una controversia.
• Portabilidad: recibir tus datos en un formato estructurado, de uso común y legible por máquina (JSON / CSV).
• Retirada del consentimiento: en cualquier momento, sin que afecte a la licitud del tratamiento previo.
• No ser objeto de decisiones automatizadas: ver sección 11.
• Presentar reclamación ante una Autoridad de Control: ver sección 16.

Para ejercer cualquiera de estos derechos escríbenos a [email protected] indicando claramente el derecho que ejerces y adjuntando documento que acredite tu identidad. Responderemos en un plazo máximo de 30 días (prorrogable 60 días adicionales en casos complejos, informándote del motivo).

10 Cómo eliminar tu cuenta

Puedes eliminar tu cuenta y todos los datos personales asociados desde tu panel de usuario (sección "Mi cuenta › Eliminar cuenta") o escribiendo a [email protected]. Una vez confirmada la solicitud:

• La cuenta queda inhabilitada de forma inmediata.
• Tus conversaciones, proyectos, notas, archivos e identificadores personales se marcan para borrado.
• Tras un período de 30 días de gracia (durante el cual puedes solicitar restauración), se procede al borrado o anonimización irreversible.
• Las copias de backup rotativas se sobrescriben automáticamente en un plazo máximo de 90 días desde la solicitud.
• Los datos sujetos a obligación legal de conservación (facturación, registros de auditoría sanitaria) permanecerán durante el plazo legalmente exigido, separados y sin posibilidad de uso comercial.

11 Decisión automatizada y perfilado por IA

Puedes solicitar revisión humana de cualquier decisión que consideres que se ha tomado de forma automatizada sobre tu cuenta escribiéndonos a [email protected].

12 Seguridad de la información

Aplicamos medidas técnicas y organizativas razonables, proporcionales al riesgo, conforme al estado del arte:

• Cifrado en tránsito: TLS 1.2/1.3 obligatorio en todas las conexiones, HSTS de 2 años, redirección HTTP→HTTPS forzada.
• Cifrado en reposo: credenciales de terceros y API keys cifradas con claves Fernet (AES-128) gestionadas mediante secretos rotables. Contraseñas almacenadas con hash bcrypt de 12 rondas (nunca en texto plano).
• Control de accesos: autenticación con doble factor (TOTP) obligatoria para personal administrativo, RBAC por rol y permisos granulares, sesiones server-side con expiración por inactividad.
• Defensa en profundidad: CSP estricto, sanitización server-side de contenido HTML, CSRF tokens, rate-limiting por usuario, captcha en formularios públicos, bloqueo automático tras intentos fallidos.
• Auditoría y desarrollo seguro: escaneo automático SAST (Bandit, Semgrep, Gitleaks) en cada despliegue, escaneo dinámico OWASP ZAP semanal contra entorno de staging.
• Backups: múltiples copias diarias en destinos independientes (local cifrado, almacenamiento cloud cifrado) con rotación documentada.
• Continuidad: monitorización 24/7 de disponibilidad y errores con sistema de alertas en tiempo real.

13 Notificación de brechas de seguridad

En caso de que se produjera una violación de la seguridad de datos personales que pueda implicar un alto riesgo para tus derechos y libertades, te lo comunicaremos sin dilación indebida a través del email asociado a tu cuenta, conforme al Art. 34 del RGPD y normativa equivalente. Notificaremos a la Autoridad de Control competente en un plazo máximo de 72 horas desde que tengamos constancia del incidente, conforme al Art. 33 del RGPD.

14 Cookies

Utilizamos exclusivamente cookies técnicas estrictamente necesarias para el funcionamiento del servicio:

• Cookie de sesión Flask (server-side, HttpOnly, Secure, SameSite=Lax): mantiene tu sesión autenticada.
• Token CSRF: previene ataques de falsificación de petición entre sitios.
• Cookie Turnstile de Cloudflare: validación anti-bot en formularios públicos.
• Preferencias de interfaz (tema, idioma): almacenadas en localStorage del navegador.

No utilizamos cookies de tracking publicitario, no integramos píxeles de Facebook/Meta, Google Ads u otras redes publicitarias, ni compartimos identificadores con redes de marketing comportamental. Por ello, no es obligatorio el consentimiento previo a cookies en la mayoría de jurisdicciones (al ser todas técnicas y necesarias).

15 Menores de edad

MedExpert IA está dirigido exclusivamente a profesionales sanitarios o estudiantes mayores de edad. No se permite el registro de menores de 18 años. No recopilamos conscientemente datos de menores. En jurisdicciones donde la mayoría de edad sea distinta, prevalecerá el umbral local.

Si tienes conocimiento de que un menor nos ha proporcionado datos sin autorización parental, contáctanos para eliminarlos de inmediato.

16 Autoridades de Control y reclamaciones

Sin perjuicio de tu derecho a contactarnos directamente, puedes presentar una reclamación ante la Autoridad de Control de protección de datos competente en tu país de residencia o lugar de la presunta infracción. A modo orientativo:

• Unión Europea: Autoridad de Control de tu Estado miembro (p. ej., AEPD en España, CNIL en Francia, Garante en Italia). Listado oficial: edpb.europa.eu.
• Reino Unido: Information Commissioner's Office (ICO) — ico.org.uk.
• México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — home.inai.org.mx.
• Argentina: Agencia de Acceso a la Información Pública (AAIP) — argentina.gob.ar/aaip.
• Colombia: Superintendencia de Industria y Comercio (SIC) — sic.gov.co.
• Chile: hasta la entrada en vigor de la nueva Agencia de Protección de Datos, los tribunales ordinarios y el Consejo para la Transparencia.
• Ecuador: Superintendencia de Protección de Datos Personales (autoridad creada por la LOPDP, en proceso de implementación). Mientras tanto, la Defensoría del Pueblo y los órganos judiciales ordinarios conocen las reclamaciones.
• Perú: Autoridad Nacional de Protección de Datos Personales (Ministerio de Justicia).
• Brasil: Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd.
• Estados Unidos: en función del estado y de la naturaleza del dato (HIPAA: HHS Office for Civil Rights; CCPA: California Privacy Protection Agency).

17 Marco normativo aplicable

Esta Declaración se redacta para dar cumplimiento, según corresponda al Usuario, a:

• Reglamento (UE) 2016/679 — RGPD
• Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (España)
• UK Data Protection Act 2018
• Ley Federal de Protección de Datos Personales en Posesión de los Particulares — LFPDPPP (México)
• Ley 25.326 de Protección de los Datos Personales y Decreto 1558/2001 (Argentina)
• Ley Estatutaria 1581 de 2012 y Decreto 1377 de 2013 (Colombia)
• Ley 19.628 sobre Protección de la Vida Privada y Ley 21.719 sobre Protección de Datos Personales (Chile)
• Ley Orgánica de Protección de Datos Personales — LOPDP, Registro Oficial Suplemento 459 de 26 de mayo de 2021, y su Reglamento General (Decreto Ejecutivo 904 de 2023) (Ecuador)
• Ley 29.733 de Protección de Datos Personales (Perú)
• Lei Geral de Proteção de Dados — LGPD, Ley 13.709/2018 (Brasil)
• Health Insurance Portability and Accountability Act — HIPAA (Estados Unidos, cuando aplique a Usuarios o pacientes estadounidenses)

18 Cambios en esta Declaración

Podemos actualizar esta Declaración para reflejar cambios normativos, técnicos o en nuestros servicios. La versión vigente siempre estará publicada en medexpertia.org/privacidad indicando la fecha de la última actualización. En caso de cambios sustanciales que afecten al tratamiento de tus datos, te notificaremos por email con al menos 30 días de antelación a la entrada en vigor. El uso continuado tras dicha fecha implica aceptación de la nueva versión.

19 Contacto

Para cualquier consulta, ejercicio de derechos o reclamación relacionada con esta Declaración:

• Email: [email protected]
• Dirección postal: [REVISAR_LEGAL: dirección postal de la entidad responsable]
• Asunto recomendado: "Ejercicio de derechos — <tu derecho>" o "Privacidad — <consulta>".