Acuerdo de Tratamiento de Datos

Versión v1.0 · Vigente desde: 25 de marzo de 2026

1. Partes

Este Acuerdo de Tratamiento de Datos (“DPA”) se celebra entre el usuario (“Responsable del Tratamiento”) y SAVAC LTDA, RUT 76.373.761-6, operadora de HeyDoctor(“Encargado del Tratamiento”).

2. Objeto

El presente acuerdo regula las obligaciones de protección de datos entre las partes en relación con el tratamiento de datos personales y datos de salud a través de la plataforma HeyDoctor, conforme a la Ley 19.628 (Chile) y, cuando aplique, el GDPR (UE).

3. Categorías de Datos Tratados

Datos identificativos: nombre, correo electrónico, dirección IP.

Datos de salud (categoría especial): motivo de consulta, diagnóstico, tratamiento, notas clínicas, firma digital médica.

Datos de transacción: identificadores de pago, montos, estados.

Datos técnicos: logs de auditoría, user-agent, timestamps.

4. Obligaciones del Encargado

SAVAC LTDA, como encargado del tratamiento, se compromete a:

  • Tratar los datos únicamente conforme a las instrucciones documentadas del responsable
  • Garantizar la confidencialidad del personal con acceso a datos
  • Implementar medidas técnicas y organizativas adecuadas (cifrado, control de acceso, auditoría)
  • No subcontratar sin autorización previa (sub-encargados actuales: Railway, DigitalOcean, Payku)
  • Asistir al responsable en el cumplimiento de solicitudes de derechos de los titulares
  • Notificar brechas de seguridad dentro de las 72 horas siguientes a su detección
  • Eliminar o devolver datos al término de la relación, salvo obligación legal de conservación

5. Medidas de Seguridad Implementadas

  • Cifrado TLS 1.2+ en tránsito
  • Hashing bcrypt (12 rounds) para credenciales
  • Tokens JWT de corta duración (15 min) + refresh HttpOnly
  • Detección de reutilización de tokens con revocación masiva
  • Aislamiento multi-tenant por clinic_id
  • Content Security Policy (CSP) estricta
  • Audit trail inmutable con metadata completa
  • Límite de sesiones activas (máximo 5 por usuario)
  • Consentimiento versionado con snapshot inmutable vinculado a consulta

6. Sub-encargados Autorizados

Los siguientes proveedores actúan como sub-encargados del tratamiento:

  • Railway — hosting de aplicación y base de datos (PostgreSQL)
  • DigitalOcean — servidor TURN para WebRTC
  • Payku — procesamiento de pagos

7. Transferencias Internacionales

Los datos pueden ser procesados en infraestructura ubicada fuera de Chile. SAVAC LTDA garantiza que dichas transferencias se realizan bajo cláusulas contractuales que aseguran un nivel adecuado de protección, conforme a los estándares internacionales aplicables.

8. Duración y Terminación

Este acuerdo es vigente mientras el usuario mantenga una cuenta activa en HeyDoctor. A la terminación, SAVAC LTDA eliminará los datos personales del usuario, salvo los que deban conservarse por obligación legal (registros clínicos: 15 años; registros de auditoría: indefinido).

9. Contacto

SAVAC LTDA · RUT 76.373.761-6
Privacy Officer / DPO: privacy@heydoctor.health