Política de Privacidad

Última actualización: 3 de mayo de 2026

Esta Política de Privacidad describe cómo Klinicos, operado por Joaquín Cabrera (persona física, RUT en trámite), con domicilio en Montevideo, Uruguay (CP 11300), recolecta, usa, almacena y protege los datos personales que procesa a través del Servicio.

Tomamos la privacidad y la seguridad de los datos con mucha seriedad, especialmente por tratarse de información de salud y de personas. Al usar el Servicio, usted acepta las prácticas aquí descritas.

1. Marco legal aplicable

Esta Política cumple con:

  • Uruguay: Ley N.º 18.331 de Protección de Datos Personales y Acción de Habeas Data, y Decretos Reglamentarios.
  • Brasil: Lei Geral de Proteção de Dados (LGPD, Ley N.º 13.709/2018).
  • México: Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).
  • Resto de LATAM: legislación local aplicable de protección de datos en cada jurisdicción desde la cual se utilice el Servicio.

2. Roles en el tratamiento de datos

  • Respecto a los datos de cuenta del Cliente (dueño de la clínica, administradores, profesionales y personal): Klinicos actúa como responsable del tratamiento.
  • Respecto a los datos de pacientes y terceros cargados por el Cliente: Klinicos actúa como encargado del tratamiento y el Cliente (la clínica o profesional independiente) como responsable. El Cliente es quien determina las finalidades y medios del tratamiento; Klinicos procesa los datos siguiendo las instrucciones del Cliente conforme al Acuerdo de Tratamiento de Datos (DPA).

3. Datos que recolectamos

3.1 Datos de la cuenta del Cliente

  • Nombre y apellido del usuario administrador / profesional.
  • Correo electrónico, teléfono (opcional).
  • Nombre de la clínica, vertical, dirección, RUT (si se ingresa), logo.
  • Credenciales de autenticación (contraseña hasheada, nunca en texto plano).
  • Información de facturación gestionada a través de Mercado Pago.

3.2 Datos de pacientes cargados por el Cliente (datos sensibles)

Al usar el Servicio, el Cliente puede cargar datos personales y datos sensibles de salud de sus pacientes, cuya naturaleza varía según la vertical del Cliente:

  • Nombre, documento de identidad, fecha de nacimiento, teléfono, email, dirección.
  • Obra social, deudas, historial de pagos.
  • Historia clínica y notas de evolución, fotos clínicas y documentos adjuntos. Los módulos específicos por vertical (por ejemplo, odontograma en dental, fichas por mascota en veterinaria, fotos antes/después en estética) habilitan estructuras de datos adicionales.
  • Turnos: fechas, profesional asignado, estado y notas.

Estos datos son propiedad del Cliente. Klinicos los procesa únicamente para prestar el Servicio y según las instrucciones del Cliente. El Cliente es responsable de obtener el consentimiento informado de los pacientes conforme a la legislación aplicable y a la naturaleza de los servicios que presta.

3.3 Datos técnicos y de uso

  • Dirección IP, tipo de navegador, dispositivo, sistema operativo.
  • Registros de acceso (logs), páginas visitadas dentro del Servicio, acciones realizadas.
  • Cookies y tecnologías similares estrictamente necesarias para el funcionamiento del Servicio (sesión, preferencias).

4. Finalidades del tratamiento

  • Prestar, mantener y mejorar el Servicio.
  • Autenticar usuarios y controlar el acceso.
  • Procesar pagos y emitir comprobantes a través de Mercado Pago.
  • Enviar notificaciones operativas y recordatorios (incluyendo mensajes de email y de WhatsApp a pacientes, cuando el Cliente lo habilite).
  • Brindar soporte técnico y responder consultas.
  • Cumplir con obligaciones legales, regulatorias y fiscales.
  • Detectar, prevenir e investigar fraudes, incidentes de seguridad y violaciones de los Términos.

No utilizamos los datos de pacientes para publicidad, entrenamiento de modelos de IA propios, ni los vendemos ni cedemos a terceros con fines comerciales.

5. Base legal del tratamiento

  • Ejecución del contrato: para prestar el Servicio al Cliente.
  • Consentimiento: otorgado por el Cliente al aceptar estos Términos, y por los pacientes al Cliente (responsable).
  • Obligación legal: cumplimiento de normativa fiscal, contable y de protección de datos.
  • Interés legítimo: seguridad del Servicio, prevención de fraudes y mejora continua.

6. Compartición con terceros (encargados)

Para prestar el Servicio, Klinicos utiliza los siguientes proveedores (subencargados), todos con acuerdos de confidencialidad y protección de datos:

  • Supabase, Inc. (EE. UU./UE): base de datos, autenticación y almacenamiento de archivos.
  • Vercel Inc. (EE. UU.): alojamiento de la aplicación y red de distribución.
  • Mercado Pago (Uruguay/LATAM): procesamiento de pagos.
  • OpenAI, Inc. (EE. UU.): procesamiento opcional con IA para importación de datos, notas asistidas y resúmenes (el Cliente puede optar por no usar esta funcionalidad).
  • Resend (EE. UU./UE): envío de correos transaccionales.
  • Sentry / Upstash: monitoreo de errores y rate limiting.
  • Evolution API / Twilio (opcional): envío de mensajes por WhatsApp, cuando el Cliente lo habilite.

Estos proveedores acceden únicamente a los datos estrictamente necesarios para la prestación de su servicio y no los utilizan para fines propios. La lista actualizada está disponible en el DPA.

7. Transferencias internacionales

Algunos de nuestros proveedores procesan datos fuera de Uruguay (principalmente en EE. UU. y Unión Europea). Klinicos adopta garantías adecuadas para estas transferencias, incluyendo cláusulas contractuales tipo, certificaciones de seguridad y obligaciones contractuales equivalentes a las previstas por la normativa local.

8. Seguridad

Klinicos aplica medidas técnicas y organizativas razonables para proteger los datos:

  • Cifrado en tránsito (HTTPS/TLS) y en reposo (AES-256 a nivel de base de datos).
  • Aislamiento multi-tenant con Row Level Security (RLS) en PostgreSQL para evitar acceso cruzado entre clínicas, enforced a nivel de base de datos desde el día 1.
  • Hash de contraseñas con algoritmos modernos (bcrypt/argon2) y autenticación segura.
  • Registro de auditoría (audit log) de acciones críticas por usuario y clínica.
  • Backups automáticos y recuperación ante desastres.
  • Controles de acceso basados en roles (owner, admin, profesional, recepción).
  • Rate limiting y protección contra abusos.
  • Monitoreo continuo de errores y eventos de seguridad.

Ningún sistema es 100% infalible. En caso de un incidente de seguridad que afecte datos personales, Klinicos notificará al Cliente sin dilación indebida, conforme a los plazos y requisitos establecidos en el DPA y la normativa aplicable.

9. Conservación de los datos

  • Los datos del Cliente y de los pacientes se conservan mientras la cuenta esté activa.
  • Al cancelar la cuenta, los datos se conservan por un máximo de 30 días para permitir recuperación o exportación, y luego se eliminan de los sistemas activos.
  • Backups y registros de auditoría pueden conservarse por un período adicional razonable para cumplir con obligaciones legales o para fines de seguridad (máximo 12 meses).
  • Los datos fiscales y de facturación se conservan por los plazos exigidos por la legislación aplicable.

10. Derechos del titular de los datos

De acuerdo con la normativa aplicable (Ley 18.331, LGPD, LFPDPPP, etc.), los titulares de los datos pueden ejercer los siguientes derechos (conocidos como “ARCO” o equivalentes):

  • Acceso: solicitar información sobre qué datos se procesan.
  • Rectificación: corregir datos inexactos o desactualizados.
  • Cancelación / Supresión: eliminar datos cuando corresponda legalmente.
  • Oposición: oponerse al tratamiento en los casos previstos por la ley.
  • Portabilidad: recibir los datos en formato estructurado.

Importante: si el titular es un paciente, debe dirigir su solicitud a la clínica (Cliente), que es el responsable del tratamiento de sus datos. Si es un usuario de la cuenta (dueño/admin/profesional/recepción), puede contactarnos directamente a soporte@klinicos.app. Responderemos en los plazos legales correspondientes.

11. Menores de edad

El Servicio está destinado a profesionales y administradores de clínicas mayores de edad. Los datos de pacientes menores de edad cargados por el Cliente deben contar con el consentimiento de padres, tutores o representantes legales, conforme a la legislación aplicable. Klinicos no recolecta datos de menores directamente.

12. Cookies

El Servicio utiliza cookies y tecnologías similares estrictamente necesarias para su funcionamiento (sesión, autenticación, preferencias). No utilizamos cookies de publicidad ni de perfilado de terceros para fines comerciales.

13. Cambios en esta Política

Podremos actualizar esta Política para reflejar cambios en el Servicio o en la normativa. Las modificaciones se publicarán en esta página con la fecha de “última actualización” y, si son sustantivas, se notificarán al Cliente por correo electrónico con al menos 15 días de anticipación.

14. Contacto y reclamos

Para ejercer derechos, presentar reclamos o consultas sobre privacidad:

El titular también puede presentar un reclamo ante la autoridad de protección de datos correspondiente (en Uruguay: Unidad Reguladora y de Control de Datos Personales – URCDP).