Política de Privacidad
Última actualización: 3 de junio de 2026
1. Responsable del tratamiento
NuvaMed SpA ("NuvaMed"), con domicilio en Chile, es responsable del tratamiento de los datos personales recopilados a través de la plataforma NuvaMed (nuvamed.cl).
Contacto: contacto@nuvamed.cl
2. Marco legal
Esta política cumple con la legislación chilena vigente:
- Ley 21.719 — Protección de Datos Personales (principios de finalidad, proporcionalidad, minimización, seguridad y transparencia)
- Ley 20.584 — Derechos del Paciente (confidencialidad de la ficha clínica)
- Ley 21.331 — Reconocimiento y Protección de los Derechos de las Personas en Atención de Salud Mental
- DS 41/2012 — Reglamento sobre fichas clínicas
3. Datos que recopilamos
3.1 Datos de profesionales de salud
- Nombre, email, teléfono, RUT
- Especialidad y número de registro (SIS/Superintendencia)
- Datos de facturación
- Credenciales de integración de videollamada (Zoom y/o Google — tokens OAuth cifrados), si el profesional opta por conectarlas
3.2 Datos de pacientes
- Nombre completo, RUT, fecha de nacimiento, datos de contacto
- Previsión de salud (FONASA, ISAPRE, PRAIS)
- Datos clínicos: diagnósticos, medicamentos, notas clínicas, evaluaciones de riesgo
- Datos del portal de bienestar (autoregistro de ánimo, adherencia a medicamentos)
3.3 Datos técnicos
- Registros de auditoría (acceso a fichas clínicas, modificaciones)
- Dirección IP y agente del navegador (seguridad y prevención de fraude)
4. Finalidad del tratamiento
- Prestación de servicios de ficha clínica electrónica
- Cumplimiento de obligaciones regulatorias (GES/AUGE, Ley 21.331)
- Generación automática de documentos legales (recetas, epicrisis, certificados, formularios de traslado)
- Comunicación entre profesionales de salud (red CareLink)
- Videoconferencia de telemedicina (integración con Zoom y/o Google Meet, a elección del profesional)
- Recordatorios y confirmaciones de citas por email, con invitación de calendario (.ics) y enlace de la videollamada
- Facturación y documentos tributarios electrónicos (SII DTE)
5. Base legal
- Consentimiento explícito del paciente para el tratamiento de datos sensibles de salud
- Obligación legal de mantener ficha clínica (Ley 20.584 Art. 12-13)
- Ejecución contractual para la prestación del servicio a profesionales
- Interés legítimo en seguridad y prevención de fraude
6. Integraciones de terceros
6.1 Zoom Video Comunicaciones
NuvaMed se integra con Zoom para sesiones de telemedicina. Cuando un profesional conecta su cuenta de Zoom:
- Almacenamos tokens OAuth2 cifrados (Fernet, AES-128-CBC) con clave derivada única por profesional
- Creamos reuniones de Zoom en nombre del profesional para citas agendadas
- Si el profesional tiene grabación en la nube habilitada, procesamos transcripciones VTT para generar borradores de notas clínicas usando IA
- Las transcripciones brutas son procesadas en memoria y nunca se almacenan en la base de datos (minimización de datos, Ley 21.719 Art. 3)
- Los tokens se revocan al desconectar la integración
- Las comunicaciones de webhooks de Zoom se validan mediante firma HMAC-SHA256 con protección contra replays
- Al desautorizar la app desde Zoom Marketplace, todas las credenciales almacenadas se eliminan inmediatamente (cumplimiento de desautorización de Zoom)
Para más información, consulte la Política de Privacidad de Zoom.
6.2 Google — Inicio de sesión
Ofrecemos inicio de sesión con Google (Google Sign-In). Cuando un usuario elige esta opción, accedemos únicamente a su nombre, dirección de email y foto de perfil de la cuenta de Google, con el único fin de crear o autenticar su cuenta en NuvaMed. No accedemos a ningún otro dato de la cuenta de Google a través del inicio de sesión.
6.3 Google Calendar y Google Meet (telemedicina)
Si un profesional de salud elige conectar su cuenta de Google para generar enlaces de videollamada de Google Meet, NuvaMed solicita el permiso (scope) https://www.googleapis.com/auth/calendar.events de la API de Google Calendar. Con este permiso:
- Qué hacemos: cuando se agenda una cita de telemedicina, creamos un único evento en el calendario del profesional con un enlace de Google Meet generado automáticamente. Actualizamos ese evento si la cita se reprograma y lo eliminamos si la cita se cancela.
- Qué NO hacemos: no leemos, listamos ni accedemos a los eventos existentes del profesional en Google Calendar. Solo gestionamos los eventos que NuvaMed crea para las citas de telemedicina. No utilizamos los datos de Google Calendar para perfilado, publicidad ni ningún fin distinto al descrito.
- Qué almacenamos: únicamente los tokens OAuth2 de Google cifrados (Fernet, AES-128-CBC con clave derivada única por profesional), la dirección de email de la cuenta de Google conectada, el identificador del evento de calendario y el enlace de Meet asociados a cada cita. No almacenamos el contenido del calendario del profesional ni ningún otro dato de la cuenta de Google.
- Revocación: el profesional puede desconectar la integración en cualquier momento desde la configuración de la aplicación; al hacerlo, revocamos el token ante Google y eliminamos las credenciales almacenadas. También puede revocar el acceso desde la página de permisos de su cuenta de Google.
Uso limitado (Limited Use): el uso y la transferencia por parte de NuvaMed de la información recibida de las APIs de Google se adhieren a la Política de Datos de Usuario de los Servicios de API de Google (Google API Services User Data Policy), incluidos sus requisitos de Uso Limitado (Limited Use). En particular, los datos obtenidos mediante las APIs de Google se utilizan exclusivamente para proveer o mejorar funciones visibles para el usuario dentro de NuvaMed; no se transfieren a terceros salvo cuando sea necesario para proveer dichas funciones, por motivos de seguridad, para cumplir leyes aplicables o en el contexto de una fusión o adquisición; y no se utilizan ni venden con fines publicitarios.
6.4 Google Gemini (IA)
Utilizamos Google Gemini para funciones de asistencia clínica (resúmenes, análisis, briefings pre-sesión). Los datos se procesan del lado del servidor y no se almacenan en sistemas de Google más allá del procesamiento inmediato. Conforme a las condiciones de Google Cloud, el contenido enviado a Gemini a través de la API no se utiliza para entrenar modelos de Google.
7. Seguridad
- Cifrado en tránsito (TLS 1.3) y en reposo a nivel de disco (AES-256 gestionado por Google Cloud SQL)
- Cifrado adicional a nivel de aplicación para campos sensibles mediante Fernet (AES-128-CBC + HMAC-SHA256): los tokens de integración usan clave única derivada por profesional y las notas de proceso usan clave única derivada por registro
- Infraestructura en Google Cloud Platform, región southamerica-west1 (Santiago, Chile)
- Autenticación con JWT + cookies httpOnly, RBAC por roles
- Registro de auditoría inmutable para todo acceso a datos clínicos
- Aislamiento por tenant — cada clínica accede solo a sus datos
- Notas de proceso cifradas con Fernet (clave única por nota)
- Ventana de edición de 12 horas para notas clínicas; posterior a eso, solo adendas inmutables (Ley 20.584 Art. 12)
8. Retención de datos
- Ficha clínica: 15 años desde el último registro (DS 41/2012 Art. 8)
- Registros de auditoría: 6 años
- Datos de cuenta profesional: mientras la cuenta esté activa, más 1 año posterior a la baja
- Credenciales de integración (Zoom/Google): mientras la integración esté conectada; se eliminan al desconectarla o revocarla
- Transcripciones de telemedicina: no se retienen (solo la nota clínica resultante)
9. Derechos ARCO (Ley 21.719)
Los titulares de datos personales pueden ejercer sus derechos de:
- Acceso: solicitar copia de los datos personales tratados
- Rectificación: corregir datos inexactos o incompletos
- Cancelación: solicitar la eliminación de datos (sujeto a obligaciones legales de retención)
- Oposición: oponerse al tratamiento en determinadas circunstancias
- Portabilidad: recibir los datos en formato estructurado
Las solicitudes pueden realizarse a través del portal de privacidad dentro de la aplicación o escribiendo a contacto@nuvamed.cl. Responderemos dentro de 10 días hábiles.
10. Notificación de brechas
En caso de una brecha de seguridad que afecte datos personales, notificaremos a los titulares afectados y a la autoridad competente dentro de las 72 horas siguientes a la detección, conforme a Ley 21.719.
11. Transferencias internacionales
Los datos se almacenan en Google Cloud Platform, región Santiago (Chile). Algunas funciones de IA utilizan APIs de Google que pueden procesar datos transitoriamente fuera de Chile, siempre bajo las garantías contractuales de Google Cloud y en cumplimiento con Ley 21.719.
12. Modificaciones
Nos reservamos el derecho de actualizar esta política. Notificaremos cambios materiales con al menos 15 días de anticipación a través de la plataforma.
13. Contacto
Para consultas sobre privacidad y protección de datos:
NuvaMed SpA
Email: contacto@nuvamed.cl
Sitio web: nuvamed.cl