Política de Privacidad

Última actualización: 28 de marzo de 2026

1. Responsable del tratamiento

NuvaMed SpA ("NuvaMed"), RUT 77.XXX.XXX-X, con domicilio en Chile, es responsable del tratamiento de los datos personales recopilados a través de la plataforma NuvaMed (nuvamed.cl).

Contacto: contacto@nuvamed.cl

2. Marco legal

Esta política cumple con la legislación chilena vigente:

Ley 21.719 — Protección de Datos Personales (principios de finalidad, proporcionalidad, minimización, seguridad y transparencia)
Ley 20.584 — Derechos del Paciente (confidencialidad de la ficha clínica)
Ley 21.331 — Reconocimiento y Protección de los Derechos de las Personas en Atención de Salud Mental
DS 41/2012 — Reglamento sobre fichas clínicas

3. Datos que recopilamos

3.1 Datos de profesionales de salud

Nombre, email, teléfono, RUT
Especialidad y número de registro (SIS/Superintendencia)
Datos de facturación
Credenciales de integración (Zoom — tokens cifrados)

3.2 Datos de pacientes

Nombre completo, RUT, fecha de nacimiento, datos de contacto
Previsión de salud (FONASA, ISAPRE, PRAIS)
Datos clínicos: diagnósticos, medicamentos, notas clínicas, evaluaciones de riesgo
Datos del portal de bienestar (autoregistro de ánimo, adherencia a medicamentos)

3.3 Datos técnicos

Registros de auditoría (acceso a fichas clínicas, modificaciones)
Dirección IP y agente del navegador (seguridad y prevención de fraude)

4. Finalidad del tratamiento

Prestación de servicios de ficha clínica electrónica
Cumplimiento de obligaciones regulatorias (GES/AUGE, Ley 21.331)
Generación automática de documentos legales (recetas, epicrisis, certificados, formularios de traslado)
Comunicación entre profesionales de salud (red CareLink)
Videoconferencia de telemedicina (integración Zoom)
Facturación y documentos tributarios electrónicos (SII DTE)

5. Base legal

Consentimiento explícito del paciente para el tratamiento de datos sensibles de salud
Obligación legal de mantener ficha clínica (Ley 20.584 Art. 12-13)
Ejecución contractual para la prestación del servicio a profesionales
Interés legítimo en seguridad y prevención de fraude

6. Integraciones de terceros

6.1 Zoom Video Comunicaciones

NuvaMed se integra con Zoom para sesiones de telemedicina. Cuando un profesional conecta su cuenta de Zoom:

Almacenamos tokens OAuth2 cifrados (Fernet, AES-128-CBC) con clave derivada única por profesional
Creamos reuniones de Zoom en nombre del profesional para citas agendadas
Si el profesional tiene grabación en la nube habilitada, procesamos transcripciones VTT para generar borradores de notas clínicas usando IA
Las transcripciones brutas son procesadas en memoria y nunca se almacenan en la base de datos (minimización de datos, Ley 21.719 Art. 3)
Los tokens se revocan al desconectar la integración
Las comunicaciones de webhooks de Zoom se validan mediante firma HMAC-SHA256 con protección contra replays
Al desautorizar la app desde Zoom Marketplace, todas las credenciales almacenadas se eliminan inmediatamente (cumplimiento de desautorización de Zoom)

Para más información, consulte la Política de Privacidad de Zoom.

6.2 Google (autenticación)

Ofrecemos inicio de sesión con Google. Solo accedemos al nombre, email y foto de perfil de la cuenta de Google. No accedemos a otros datos de Google.

6.3 Google Gemini (IA)

Utilizamos Google Gemini para funciones de asistencia clínica (resúmenes, análisis, briefings pre-sesión). Los datos se procesan del lado del servidor y no se almacenan en sistemas de Google más allá del procesamiento inmediato.

7. Seguridad

Cifrado en tránsito (TLS 1.3) y en reposo a nivel de disco (AES-256 gestionado por Google Cloud SQL)
Cifrado adicional a nivel de aplicación para campos sensibles mediante Fernet (AES-128-CBC + HMAC-SHA256): los tokens de integración usan clave única derivada por profesional y las notas de proceso usan clave única derivada por registro
Infraestructura en Google Cloud Platform, región southamerica-west1 (Santiago, Chile)
Autenticación con JWT + cookies httpOnly, RBAC por roles
Registro de auditoría inmutable para todo acceso a datos clínicos
Aislamiento por tenant — cada clínica accede solo a sus datos
Notas de proceso cifradas con Fernet (clave única por nota)
Ventana de edición de 12 horas para notas clínicas; posterior a eso, solo adendas inmutables (Ley 20.584 Art. 12)

8. Retención de datos

Ficha clínica: 15 años desde el último registro (DS 41/2012 Art. 8)
Registros de auditoría: 6 años
Datos de cuenta profesional: mientras la cuenta esté activa, más 1 año posterior a la baja
Transcripciónes de telemedicina: no se retienen (solo la nota clínica resultante)

9. Derechos ARCO (Ley 21.719)

Los titulares de datos personales pueden ejercer sus derechos de:

Acceso: solicitar copia de los datos personales tratados
Rectificación: corregir datos inexactos o incompletos
Cancelación: solicitar la eliminación de datos (sujeto a obligaciones legales de retención)
Oposición: oponerse al tratamiento en determinadas circunstancias
Portabilidad: recibir los datos en formato estructurado

Las solicitudes pueden realizarse a través del portal de privacidad dentro de la aplicación o escribiendo a contacto@nuvamed.cl. Responderemos dentro de 10 días hábiles.

10. Notificación de brechas

En caso de una brecha de seguridad que afecte datos personales, notificaremos a los titulares afectados y a la autoridad competente dentro de las 72 horas siguientes a la detección, conforme a Ley 21.719.

11. Transferencias internacionales

Los datos se almacenan en Google Cloud Platform, región Santiago (Chile). Algunas funciones de IA utilizan APIs de Google que pueden procesar datos transitoriamente fuera de Chile, siempre bajo las garantías contractuales de Google Cloud y en cumplimiento con Ley 21.719.

12. Modificaciones

Nos reservamos el derecho de actualizar esta política. Notificaremos cambios materiales con al menos 15 días de anticipación a través de la plataforma.

13. Contacto

Para consultas sobre privacidad y protección de datos:

NuvaMed SpA
Email: contacto@nuvamed.cl
Sitio web: nuvamed.cl