Política de Privacidad

Versión v1.0 · Vigente desde: 25 de marzo de 2026

1. Responsable del Tratamiento

El responsable del tratamiento de sus datos personales es SAVAC LTDA, RUT 76.373.761-6, operadora de la plataforma HeyDoctor. Para operaciones internacionales: SAVAC MedTech LLC, EIN 99-0757282.

Delegado de Protección de Datos (DPO) / Privacy Officer: privacy@heydoctor.health

2. Datos que Recopilamos

Datos de cuenta: nombre, correo electrónico, contraseña (hash cifrado), rol.

Datos clínicos: motivo de consulta, diagnóstico, tratamiento, notas clínicas, firma digital del profesional, grabaciones de teleconsulta (cuando aplique).

Datos de consentimiento: fecha de aceptación, versión del documento, dirección IP, user-agent del navegador.

Datos de pago: identificador de transacción, monto, estado. No almacenamos datos de tarjeta; los pagos son procesados por Payku.

Datos técnicos: dirección IP, navegador, sistema operativo, registros de auditoría (audit logs) de acciones en la plataforma.

4. Finalidad del Tratamiento

Utilizamos sus datos para:

  • Prestar el servicio de telemedicina y gestión clínica
  • Procesar pagos por consultas
  • Generar documentación legal (PDFs, consentimientos)
  • Cumplir obligaciones legales y regulatorias
  • Mejorar la plataforma y prevenir fraude
  • Comunicaciones sobre su cuenta o servicio

5. Protección de Datos de Salud

Los datos de salud reciben protección reforzada: se almacenan con acceso restringido al profesional de salud asignado y al paciente. El acceso está protegido por autenticación JWT con tokens de corta duración y refresh tokens en cookies HttpOnly. Cada acceso queda registrado en el sistema de auditoría (audit trail).

Los datos clínicos se vinculan al tenant (clínica) correspondiente, garantizando aislamiento multi-tenant entre organizaciones.

6. Compartir Información

No vendemos ni compartimos sus datos con terceros para fines publicitarios.

Podemos compartir datos con:

  • Proveedores de pago (Payku) para procesar transacciones
  • Proveedores de infraestructura (Railway, DigitalOcean) para hosting
  • Autoridades cuando sea requerido por ley o resolución judicial

7. Retención de Datos

Los registros clínicos se retienen por el período mínimo exigido por la legislación sanitaria aplicable (Chile: 15 años conforme al DS N° 41/2012). Los datos de cuenta se retienen mientras la cuenta esté activa. Los registros de auditoría se retienen de forma indefinida para trazabilidad legal.

8. Sus Derechos (ARCO + GDPR)

Usted tiene derecho a:

  • Acceso: solicitar copia de sus datos personales
  • Rectificación: corregir datos inexactos
  • Cancelación/Supresión: solicitar eliminación (sujeto a retención legal obligatoria)
  • Oposición: oponerse al tratamiento en casos específicos
  • Portabilidad: recibir sus datos en formato estructurado (GDPR Art. 20)
  • Limitación: restringir el tratamiento (GDPR Art. 18)

Para ejercer estos derechos: privacy@heydoctor.health. Respuesta máxima: 30 días hábiles.

9. Medidas de Seguridad

  • Cifrado en tránsito (TLS 1.2+)
  • Autenticación con access tokens de corta duración (15 min)
  • Refresh tokens en cookies HttpOnly, Secure, SameSite
  • Detección de reutilización de tokens con revocación masiva
  • Límite de sesiones activas por usuario (máximo 5)
  • Hashing de contraseñas con bcrypt (12 rounds)
  • Audit trail completo con metadata estructurada
  • Content Security Policy (CSP) estricta
  • Aislamiento multi-tenant por clinic_id

10. Cookies

Utilizamos cookies estrictamente necesarias para el funcionamiento de la plataforma. Para más información, consulte nuestra Política de Cookies.

11. Transferencias Internacionales

Sus datos pueden ser procesados en servidores ubicados fuera de Chile (Railway, DigitalOcean). Estas transferencias se realizan bajo cláusulas contractuales que garantizan un nivel adecuado de protección conforme a la normativa aplicable.

12. Contacto

SAVAC LTDA · RUT 76.373.761-6
Privacy Officer / DPO: privacy@heydoctor.health