Politica de Privacidad

Ultima actualizacion: 19 de marzo de 2026

1. Identificacion del Responsable

La presente Politica de Privacidad describe como Sociedad de Norte a Sur SpA, con domicilio en Santiago, Chile, en su calidad de responsable del tratamiento de datos personales de los Usuarios de la plataforma, y en su calidad de encargado del tratamiento respecto de los datos de pacientes ingresados por los Usuarios, recopila, utiliza, almacena, protege y comparte la informacion personal.

2. Alcance y Aceptacion

Esta Politica aplica a todas las personas que interactuan con la Plataforma, incluyendo:

  • Profesionales de la salud que se registran y utilizan Medisuit (Usuarios).
  • Pacientes cuyos datos son ingresados por los Usuarios en la Plataforma.
  • Visitantes del sitio web medisuit.app y sus subdominios.
  • Personas que interactuan con nuestras comunicaciones de marketing (con consentimiento).

Al utilizar nuestros servicios, usted acepta las practicas descritas en esta Politica. Le recomendamos leerla detenidamente. Si no esta de acuerdo, debera abstenerse de utilizar la Plataforma.

3. Marco Legal

Esta Politica ha sido elaborada en cumplimiento de la siguiente normativa chilena:

  • Ley 19.628 sobre Proteccion de la Vida Privada — regula el tratamiento de datos personales por parte de organismos publicos y privados.
  • Ley 21.719 sobre Proteccion de Datos Personales — establece nuevas obligaciones para el tratamiento de datos, incluyendo consentimiento explicito para marketing y derechos ampliados de los titulares.
  • Ley 20.584 sobre Derechos y Deberes de los Pacientes — regula la confidencialidad de la informacion de salud y los derechos del paciente sobre su ficha clinica.
  • Decreto 41 del Ministerio de Salud — establece los requisitos de las fichas clinicas electronicas, incluyendo su conservacion por un minimo de 15 anos.
  • Ley 19.799 sobre Documentos Electronicos y Firma Electronica — marco legal para la validez de documentos y firmas electronicas utilizados en la Plataforma.

4. Datos que Recopilamos

4.1 Datos del Usuario (Profesional de Salud)

  • Registro: Nombre completo, correo electronico, telefono, RUT profesional, titulo profesional, especialidad medica.
  • Profesional: Numero de registro en el colegio profesional, datos de la clinica, region y ciudad.
  • Facturacion: Informacion de pago procesada por Flow.cl (Medisuit no almacena datos de tarjetas), historial de transacciones, informacion tributaria.
  • Uso: Registros de acceso (login), funcionalidades utilizadas, preferencias de configuracion.

4.2 Datos de Pacientes

Importante: El Usuario (profesional de salud) es el Responsable del Tratamiento de los datos de sus pacientes. Es su obligacion legal obtener el consentimiento informado del paciente antes de ingresar sus datos en la Plataforma. Los datos de pacientes pueden incluir:

  • Datos de identificacion (nombre, RUT, fecha de nacimiento, genero).
  • Datos de contacto (direccion, telefono, correo electronico).
  • Historial medico, fichas clinicas y sesiones profesionales.
  • Tratamientos, procedimientos y prescripciones.
  • Imagenes clinicas y documentos medicos.
  • Consentimientos informados firmados.
  • Datos de citas y recordatorios.

Los campos sensibles (RUT, email, telefono del paciente) se almacenan encriptados con AES-256-GCM. Medisuit actua como Encargado del Tratamiento y procesa estos datos unicamente segun las instrucciones del Usuario y para la prestacion del servicio.

4.3 Datos Tecnicos

  • Direccion IP (para seguridad, rate limiting y prevencion de fraude).
  • Tipo de dispositivo y navegador.
  • Sistema operativo.
  • Paginas visitadas y tiempo de uso (a traves de Google Analytics 4).

5. Bases Legales del Tratamiento

Procesamos datos personales basandonos en las siguientes bases legales, conforme a la Ley 19.628 y la Ley 21.719:

  • Ejecucion contractual: el tratamiento es necesario para proveer el servicio contratado (gestion de citas, fichas clinicas, facturacion, etc.).
  • Consentimiento: para el envio de comunicaciones de marketing, analytics no esenciales y funcionalidades opcionales. El consentimiento es libre, informado, especifico e inequivoco.
  • Obligacion legal: para cumplir con requerimientos normativos (retencion de fichas clinicas 15 anos, obligaciones tributarias, ordenes judiciales).
  • Interes legitimo: para la seguridad de la Plataforma (deteccion de fraude, prevencion de ataques, monitoreo de anomalias), siempre que no prevalezcan los derechos del titular.

6. Finalidades del Tratamiento

Utilizamos la informacion recopilada para los siguientes fines:

  • Provision del servicio: operar y mantener la Plataforma, procesando citas, fichas clinicas, prescripciones, pagos e inventario.
  • Comunicaciones transaccionales: enviar notificaciones sobre el servicio, recordatorios de citas, confirmaciones de pago y alertas de seguridad.
  • Facturacion: procesar pagos, emitir documentos tributarios y mantener registros financieros.
  • Mejora del servicio: analizar patrones de uso anonimizados para optimizar la experiencia del usuario.
  • Seguridad: detectar y prevenir fraudes, accesos no autorizados, vulnerabilidades y actividades maliciosas.
  • Cumplimiento legal: cumplir con obligaciones legales, requerimientos de autoridades competentes y normativa sanitaria.
  • Marketing (con consentimiento): enviar comunicaciones comerciales, novedades del producto y contenido educativo, unicamente cuando el titular haya otorgado su consentimiento explicito.

7. Consentimiento de Marketing (Ley 21.719)

En cumplimiento con la Ley 21.719, Medisuit solo enviara comunicaciones comerciales o de marketing cuando el titular haya otorgado su consentimiento previo, explicito e informado.

  • Opt-in explicito: el consentimiento de marketing se solicita de forma separada e independiente de la aceptacion de los Terminos de Servicio. No se utilizan casillas pre-marcadas.
  • Derecho a revocar: el titular puede revocar su consentimiento de marketing en cualquier momento a traves del enlace de cancelacion de suscripcion incluido en cada comunicacion, o contactando a privacidad@medisuit.app.
  • Registro del consentimiento: Medisuit mantiene un registro auditable de cada consentimiento otorgado, incluyendo fecha, medio y alcance, conforme a la Ley 21.719.
  • Comunicaciones exceptuadas: las notificaciones transaccionales (recordatorios de citas, confirmaciones de pago, alertas de seguridad) no requieren consentimiento de marketing, al ser necesarias para la prestacion del servicio.

8. Terceros y Sub-procesadores

Medisuit no vende ni comercializa datos personales. Compartimos informacion unicamente con los siguientes proveedores de servicios, bajo estrictos acuerdos de confidencialidad y proteccion de datos:

ProveedorPropositoUbicacion
Amazon Web Services (AWS)Hosting, almacenamiento (S3), base de datos (RDS)EE.UU. (us-east-1)
Flow.clProcesamiento de pagos y suscripcionesChile
Transbank (Webpay)Procesamiento de pagos con tarjetaChile
Google (Calendar, OAuth, Analytics)Sincronizacion de citas, autenticacion, analitica webEE.UU.
Meta (WhatsApp Cloud API)Recordatorios de citas via WhatsAppEE.UU.
Resend / Amazon SESEnvio de correos electronicos transaccionales y marketingEE.UU.
LibreDTE / BHExpressFacturacion electronica (DTE, BHE)Chile

Adicionalmente, podemos compartir datos en las siguientes circunstancias:

  • Requerimientos legales: cuando sea exigido por ley, orden judicial o autoridad competente.
  • Proteccion de derechos: para proteger los derechos, seguridad o propiedad de Medisuit, sus usuarios o el publico.
  • Transferencia empresarial: en caso de fusion, adquisicion o venta de activos, con notificacion previa de 30 dias a los usuarios afectados.

9. Transferencias Internacionales de Datos

Los datos personales procesados por Medisuit pueden ser almacenados y procesados en servidores ubicados en Estados Unidos (AWS us-east-1, Virginia). Para proteger los datos en estas transferencias internacionales, Medisuit:

  • Suscribe clausulas contractuales con los proveedores que garantizan un nivel de proteccion equivalente o superior al exigido por la normativa chilena.
  • Verifica que los proveedores cuenten con certificaciones de seguridad reconocidas (AWS cuenta con SOC 2, ISO 27001, entre otras).
  • Aplica encriptacion en transito (TLS 1.3) y en reposo (AES-256) para todos los datos transferidos internacionalmente.
  • Mantiene controles de acceso estrictos que limitan el acceso a datos personales unicamente al personal autorizado.

10. Medidas de Seguridad

Implementamos medidas de seguridad tecnicas, administrativas y organizativas para proteger la informacion, incluyendo:

  • Encriptacion: datos sensibles de pacientes (RUT, email, telefono) encriptados con AES-256-GCM. Todas las comunicaciones mediante HTTPS/TLS 1.3.
  • Aislamiento multi-tenant: cada clinica opera en un espacio logicamente aislado. Todas las consultas a base de datos filtran por tenant para evitar accesos cruzados.
  • Autenticacion robusta: JWT con rotacion, autenticacion de dos factores (2FA TOTP), proteccion CSRF, rate limiting por IP y por cuenta.
  • Control de acceso basado en roles (RBAC): tres niveles de permisos (Propietario, Administrador, Personal) para gestionar el acceso a funcionalidades y datos.
  • Respaldos: copias de seguridad automaticas diarias de la base de datos, almacenadas de forma encriptada con retencion conforme a normativa.
  • Monitoreo: logging estructurado, alertas de seguridad y deteccion de anomalias en accesos.
  • Registro de auditoria: log detallado de eventos de autenticacion, accesos a datos sensibles y modificaciones criticas.

Nuestras practicas de seguridad se basan en el estandar internacional ISO 27001 para la gestion de seguridad de la informacion. Para mas detalles, visite nuestra pagina de Seguridad.

11. Retencion de Datos

Conservamos los datos personales durante los siguientes periodos:

  • Fichas clinicas: minimo 15 anos desde la ultima anotacion, conforme al Decreto 41 del Ministerio de Salud.
  • Datos de cuenta del Usuario: durante la vigencia de la suscripcion y hasta 30 dias despues de la terminacion (periodo de exportacion).
  • Datos de facturacion: segun las obligaciones tributarias vigentes (minimo 6 anos conforme al Codigo Tributario).
  • Logs de seguridad: 1 ano para registros de acceso y eventos de autenticacion.
  • Consentimientos de marketing: durante la vigencia del consentimiento y un registro de revocacion por el periodo requerido por ley.

Tras la terminacion del servicio, el Usuario tiene 30 dias para exportar todos sus datos. Posteriormente, los datos se eliminan de forma segura, salvo aquellos cuya conservacion sea exigida por ley.

12. Derechos del Titular de Datos

De acuerdo con la Ley 19.628 y la Ley 21.719, usted tiene los siguientes derechos sobre sus datos personales:

  • Derecho de acceso: solicitar informacion sobre los datos personales que mantenemos sobre usted y los fines de su tratamiento.
  • Derecho de rectificacion: solicitar la correccion de datos inexactos, incompletos o desactualizados.
  • Derecho de cancelacion (supresion): solicitar la eliminacion de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recopilados, sujeto a obligaciones legales de retencion.
  • Derecho de oposicion: oponerse al tratamiento de sus datos para finalidades especificas, incluyendo marketing directo.
  • Derecho de portabilidad (Ley 21.719): obtener una copia de sus datos en formato estructurado, de uso comun y lectura mecanica, y solicitar su transmision a otro responsable cuando sea tecnicamente posible.
  • Derecho a revocar el consentimiento: retirar su consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento basado en el consentimiento previo a su retiro.

Como Ejercer sus Derechos

Puede ejercer estos derechos contactandonos a traves de:

Responderemos su solicitud dentro de los plazos establecidos por ley (maximo 2 dias habiles conforme a la Ley 19.628). En caso de solicitudes complejas, informaremos la necesidad de extension del plazo. Podremos solicitar verificacion de identidad antes de procesar su solicitud.

Datos de Pacientes

Si usted es paciente y desea ejercer sus derechos sobre datos ingresados por un profesional de salud en Medisuit, debe dirigir su solicitud directamente al profesional o clinica responsable. Medisuit actua como encargado del tratamiento y procesara las solicitudes segun las instrucciones del profesional responsable, conforme a la Ley 20.584.

13. Cookies y Tecnologias de Seguimiento

Utilizamos las siguientes cookies y tecnologias:

Cookies Esenciales (sin consentimiento)

  • Sesion de autenticacion: cookie HttpOnly para mantener la sesion del usuario (duracion configurable, maximo 30 dias).
  • CSRF: token para la proteccion contra ataques de falsificacion de solicitudes entre sitios.
  • Preferencias: configuracion de tema (claro/oscuro) y preferencias de interfaz.

Cookies Analiticas (con consentimiento)

  • Google Analytics 4: recopilacion de datos de uso anonimizados para mejorar el servicio. Puede desactivar Google Analytics configurando su navegador o utilizando el complemento de exclusion de Google.

Puede configurar su navegador para rechazar cookies no esenciales. Las cookies esenciales no pueden ser desactivadas ya que son necesarias para el funcionamiento de la Plataforma.

14. Menores de Edad

Medisuit esta disenado para uso exclusivo por profesionales de la salud mayores de 18 anos. No recopilamos intencionalmente datos de menores de edad como usuarios de la Plataforma.

Respecto a datos de pacientes menores de edad ingresados por profesionales:

  • El Usuario debe obtener el consentimiento del representante legal del menor conforme a la legislacion vigente.
  • Los datos de menores reciben las mismas medidas de proteccion y encriptacion que los datos de pacientes adultos.
  • Conforme a la Ley 20.584, los mayores de 14 anos y menores de 18 pueden ser informados sobre su condicion de salud, respetando las reglas de confidencialidad aplicables.

15. Notificacion de Brechas de Seguridad

En caso de una brecha de seguridad que afecte datos personales, Medisuit se compromete a:

  • Evaluacion inmediata: investigar la naturaleza, alcance y consecuencias de la brecha dentro de las primeras 24 horas de su deteccion.
  • Contencion: tomar medidas inmediatas para contener la brecha y mitigar sus efectos.
  • Notificacion a Usuarios afectados: informar a los Usuarios cuyos datos hayan sido comprometidos dentro de las 72 horas siguientes a la confirmacion de la brecha, incluyendo la naturaleza de los datos afectados, las medidas adoptadas y las recomendaciones para protegerse.
  • Notificacion a autoridades: reportar la brecha a las autoridades competentes conforme a la normativa vigente, cuando corresponda.
  • Registro: mantener un registro detallado de todas las brechas de seguridad, incluyendo causas, efectos y medidas correctivas implementadas.

16. Modificaciones y Contacto

Actualizaciones

Podemos actualizar esta Politica de Privacidad periodicamente para reflejar cambios en nuestras practicas o en la normativa aplicable. Los cambios significativos seran notificados por correo electronico con al menos 30 dias de anticipacion y mediante aviso en la Plataforma.

Contacto

Si tiene preguntas sobre esta Politica de Privacidad o sobre el tratamiento de sus datos, puede contactarnos: