• +57 3209334028
  • administrativo@medicald.com.co
Facebook Instagram
INGRESO

Políticas de Privacidad

MEDICALD (en adelante, la «Compañía», «Nosotros» o «Nuestro») se compromete a proteger la confidencialidad, integridad y disponibilidad de la Información de Salud Protegida (PHI/IHS) y los datos personales de los Clientes y Usuarios (tanto en el ámbito humano como veterinario). Estas Políticas de Privacidad describen cómo recopilamos, utilizamos, protegemos y, en ciertas circunstancias, divulgamos la información relacionada con el uso de nuestros sistemas de Software como Servicio (SaaS) PACS (Picture Archiving and Communication System) y RIS (Radiology Information System) (en conjunto, los «Servicios»).

1. Alcance y Aplicabilidad

Estas Políticas se aplican a todos los datos recopilados y tratados a través de la plataforma de Servicios. Dada la naturaleza de los Servicios, que gestionan imágenes médicas y datos de pacientes (humanos y animales), la Compañía actúa principalmente como Encargado del Tratamiento o Asociado de Negocios (según la legislación aplicable, como HIPAA o GDPR) de la información que Nuestros Clientes (hospitales, clínicas, consultorios, centros veterinarios, etc.) nos confían para su procesamiento y almacenamiento.

2. Tipos de Información Recopilada

Recopilamos dos categorías principales de información:

A. Datos de Salud/Imagenología de Pacientes (Información Sensible del Cliente)

Esta es la información más crítica y pertenece legalmente al Cliente y al Paciente (o al propietario del paciente en el caso veterinario). Nosotros la procesamos y almacenamos de acuerdo con las instrucciones del Cliente y las obligaciones contractuales (Acuerdo de Asociado de Negocios o DPA).

  • PACS Data: Imágenes médicas (DICOM) y sus metadatos asociados (Radiografías, TC, RM, Ultrasonido, etc.) tanto de humanos como de animales.

  • RIS Data: Información demográfica de pacientes y propietarios, historial de estudios radiológicos, informes médicos, diagnósticos, resultados de exámenes, solicitudes de estudios, y otra Información de Salud Protegida (IHS/PHI).

  • Datos Veterinarios: Datos de identificación del animal (especie, raza, edad, etc.) y del propietario, junto con las imágenes y el historial clínico radiológico.

B. Datos de Usuario y Acceso a la Plataforma (Datos Operacionales)

Esta información se refiere a las personas que utilizan activamente la plataforma (médicos, radiólogos, técnicos, personal administrativo, personal veterinario).

  • Datos de Registro: Nombre completo, título profesional, número de licencia, dirección de correo electrónico corporativo, número de teléfono.

  • Datos de la Organización: Nombre y dirección de la entidad Cliente (clínica/hospital/consultorio).

  • Datos de Uso: Registros de actividad (logs), fecha y hora de inicio de sesión, funciones utilizadas, historial de consultas, dirección IP, información del dispositivo y navegador, duración de las sesiones, con el fin de mantener la seguridad, auditar el acceso y mejorar el rendimiento del Servicio.

  • Credenciales: Contraseñas cifradas para el acceso seguro.

3. Fines de la Recopilación y Uso de la Información

La Compañía utiliza los datos recopilados exclusivamente para los siguientes propósitos esenciales y limitados:

  • Prestación del Servicio: El propósito primario. Procesar, almacenar, transmitir y archivar de manera segura las imágenes y los datos del paciente (PACS/RIS Data) según lo contratado con el Cliente, permitiendo la visualización, diagnóstico y gestión del flujo de trabajo radiológico.

  • Seguridad y Auditoría: Monitorear los patrones de acceso y actividad para detectar y prevenir fraudes, accesos no autorizados o violaciones de seguridad. Esto incluye la trazabilidad completa de cada acceso a un estudio para auditorías regulatorias.

  • Mantenimiento y Soporte: Solucionar problemas técnicos, proporcionar soporte al cliente y realizar el mantenimiento necesario para asegurar la disponibilidad y funcionalidad de los Servicios.

  • Cumplimiento Legal y Regulatorio: Cumplir con los requisitos de leyes de salud y protección de datos aplicables a la ubicación de Nuestros Clientes y Usuarios (e.g., requisitos de retención de datos, respuesta a solicitudes legales válidas).

  • Mejora de la Plataforma (Bajo Estrictas Condiciones): Podemos utilizar datos técnicos y métricas de uso anonimizados y/o agregados (sin posibilidad de reidentificación) para análisis internos y mejoras operacionales del software. Bajo ninguna circunstancia utilizaremos datos de pacientes identificables para este fin sin el consentimiento explícito y documentado del Cliente y, en su caso, del paciente.

4. Bases Legales para el Tratamiento (Según la Jurisdicción)

El tratamiento de los datos personales se basa en:

  • Cumplimiento del Contrato (SaaS/AB A): El procesamiento es necesario para ejecutar los Servicios contratados por el Cliente.

  • Obligación Legal: Cuando el procesamiento es requerido por las leyes aplicables de protección de datos, salud o seguridad.

  • Interés Legítimo: Para la seguridad de la plataforma, la prevención del fraude y la mejora técnica de los Servicios, siempre y cuando estos intereses no anulen los derechos y libertades fundamentales del interesado.

5. Retención de la Información

La información de los pacientes (PACS/RIS Data) se retiene por el período que el Cliente requiera contractualmente y según lo estipulado por las leyes de retención de registros médicos aplicables a la jurisdicción del Cliente. Tras la terminación del contrato, la Compañía seguirá los protocolos acordados para la migración, eliminación segura o devolución de todos los datos dentro de un plazo razonable, cumpliendo con las obligaciones legales pendientes.

Los Datos de Usuario y Acceso se retienen mientras la cuenta del Usuario esté activa y un tiempo adicional limitado para fines de auditoría y cumplimiento legal.

6. Divulgación y Transferencia de Información a Terceros

La Compañía se abstiene de vender, alquilar o comercializar los datos de nuestros Clientes o Usuarios. La divulgación de datos se limita a:

  • Proveedores de Servicios (Subencargados): Terceros de confianza que prestan servicios de infraestructura (ej. alojamiento en la nube, servidores) que son esenciales para el funcionamiento de la plataforma. Estos terceros están sujetos a rigurosas obligaciones contractuales (DPA y NDA) que imponen niveles de seguridad y confidencialidad no inferiores a los Nuestros.

  • Clientes (Usuarios Autorizados): Solo el personal autorizado de la entidad Cliente (hospital, clínica, etc.) tiene acceso a los datos de sus pacientes.

  • Cumplimiento Legal: Cuando sea legalmente requerido por una orden judicial, citación, proceso legal o para cumplir con regulaciones gubernamentales obligatorias (por ejemplo, en investigaciones de seguridad o fraude).

  • Transferencias Corporativas: En caso de fusión, adquisición o venta de activos, la información puede ser transferida al nuevo propietario o sucesor, quien estará obligado a cumplir con estas Políticas o notificar de cualquier cambio sustancial.

  • Consentimiento Explícito: Cualquier otra divulgación solo ocurrirá con el consentimiento previo, explícito e informado del Cliente o Usuario.

7. Seguridad y Confidencialidad de la Información

Reconociendo la naturaleza sensible de los datos médicos y veterinarios (IHS/PHI), la Compañía implementa medidas de seguridad técnicas, administrativas y físicas de alto nivel.

  • Cifrado: Implementamos cifrado de datos en tránsito (TLS/SSL) y en reposo (AES-256 o superior), protegiendo tanto las imágenes (DICOM) como los datos estructurados.

  • Controles de Acceso: Utilizamos el principio de privilegio mínimo. El acceso a la infraestructura de datos está estrictamente restringido al personal esencial, utilizando autenticación multifactor y registros de auditoría detallados.

  • Seguridad de la Aplicación: Implementamos protocolos de seguridad a nivel de la aplicación, incluyendo Autenticación Fuerte para Usuarios, control de acceso basado en roles (RBAC) y monitoreo continuo de vulnerabilidades.

  • Centros de Datos: Utilizamos proveedores de infraestructura en la nube que cumplen con certificaciones de seguridad reconocidas a nivel internacional (ej., ISO 27001, SOC 2 Tipo II, o equivalentes para el sector salud).

  • Plan de Respuesta a Incidentes: Mantenemos un plan formal para la detección, gestión, mitigación y notificación de cualquier incidente o violación de la seguridad de los datos, de conformidad con las leyes aplicables.

8. Derechos de los Interesados (Pacientes y Usuarios)

De acuerdo con las leyes de protección de datos aplicables, los interesados tienen derechos sobre sus datos personales y de salud. Sin embargo, dado que la Compañía actúa como Encargado del Tratamiento, los derechos deben ejercerse generalmente a través del Cliente (la entidad médica o veterinaria) que es el Responsable del Tratamiento. La Compañía colaborará con el Cliente para atender las solicitudes de los interesados de manera oportuna.

Estos derechos incluyen:

  • Derecho de Acceso: Obtener confirmación sobre si se están tratando sus datos y acceder a los mismos.

  • Derecho de Rectificación: Solicitar la corrección de datos inexactos o incompletos.

  • Derecho de Supresión/Olvido: Solicitar la eliminación de sus datos, bajo ciertas condiciones legales (sujeto a las leyes de retención de registros médicos).

  • Derecho de Oposición y Limitación del Tratamiento: Oponerse al tratamiento o solicitar su limitación.

  • Derecho de Portabilidad: Recibir los datos en un formato estructurado, de uso común y lectura mecánica (en la medida que lo permita la tecnología y la normativa DICOM/HL7).

9. Cambios a las Políticas de Privacidad

Nos reservamos el derecho de modificar estas Políticas en cualquier momento para reflejar cambios en nuestras prácticas, la tecnología o los requisitos legales. La versión revisada se publicará en Nuestro sitio web. Los cambios sustanciales que afecten la forma en que se trata la Información Sensible serán notificados a Nuestros Clientes con al menos treinta (30) días de antelación para su revisión y aceptación, según lo requieran los acuerdos contractuales.