Política de Privacidad
Cómo recolectamos, usamos, compartimos y protegemos tus datos personales. Cumple GDPR, CCPA, LFPDPPP y Ley 172-13 RD.
§ 1Responsable del tratamiento
El responsable del tratamiento de tus datos personales es:
- Nombre: Dr. Jophiel Espaillat Caldentey
- Operación: DEC (Diluciones, Dosis & Cálculos Anestésicos)
- Jurisdicción: República Dominicana
- Contacto de privacidad: privacidad@decanestesia.com
DEC no cuenta con un Delegado de Protección de Datos (DPO) designado formalmente, dado que su tratamiento de datos no alcanza los umbrales que lo exigen bajo GDPR (Art. 37). Para asuntos de privacidad, el punto de contacto único es la dirección indicada.
§ 2Datos que recolectamos
2.1. Datos que tú nos proporcionas
| Categoría | Datos | Momento de recolección |
|---|---|---|
| Identidad | Email, nombre (opcional) | Al registrarte |
| Credenciales | Contraseña (hasheada, nunca almacenada en texto plano) | Al crear cuenta con email/password |
| Cuenta OAuth | Identificador de proveedor (Google, Apple), email, nombre y foto si los compartes | Al usar Sign in with Google / Apple |
| Preferencias | Tema (claro/oscuro), idioma, país declarado | Durante el uso |
| Comunicaciones | Contenido de correos enviados a nuestros buzones | Cuando nos contactas |
| Datos de paciente (local) | Etiqueta/nombre, expediente, edad, peso, alergias, medicación, comorbilidades | Al usar Valoración/calculadoras — no sale del dispositivo |
2.2. Datos derivados del uso
| Categoría | Datos | Propósito |
|---|---|---|
| Identificador interno | UUID generado por Supabase | Identificar tu sesión |
| Suscripción | Tier activo, fechas, estado, IDs de transacción de Lemon Squeezy y Apple | Gestionar acceso Pro |
| Sesiones | Tokens JWT temporales (almacenados en cookies seguras) | Mantener tu sesión iniciada |
| Diagnóstico técnico (cuando aplique) | Reportes de fallos anonimizados | Mejorar estabilidad de la app |
| Uso agregado (cuando aplique) | Eventos sin identificador personal (qué fármaco más visto, qué calculadora más usada) | Mejorar el producto |
2.3. Datos que NO recolectamos
DEC no recolecta:
- Datos de pacientes que introduces en las herramientas clínicas (incluida la Valoración preanestésica, las calculadoras y el modo quirófano): etiqueta o nombre, número de expediente, edad, peso, talla, sexo, alergias, medicación, comorbilidades, diagnósticos y resultados de escalas de riesgo. DEC no recibe, transmite ni almacena estos datos en sus servidores. Se guardan únicamente en el almacenamiento local (localStorage) del navegador de tu dispositivo y permanecen bajo tu control exclusivo.
- Tu ubicación GPS precisa.
- Tu agenda, contactos o historial de navegación.
- Acceso a tu cámara, micrófono o sensores del dispositivo.
- Datos sensibles tipo "categorías especiales" del GDPR (salud, orientación sexual, religión, etc.) salvo el email/nombre que tú voluntariamente proporciones.
- Tu IDFA (Apple Identifier for Advertisers) salvo que actives publicidad personalizada y otorgues consentimiento ATT (no aplica hoy; aplicará si en el futuro incorporamos publicidad).
2.4. Exportación de datos de paciente
Las funciones de exportar (JSON), importar y generar PDF de la hoja de valoración mueven los datos del paciente fuera del almacenamiento local del navegador hacia el archivo o impresión que tú elijas. A partir de ese momento, la custodia, cifrado, transmisión y borrado de ese archivo son de tu exclusiva responsabilidad. Recomendamos no enviar hojas de valoración con datos identificables por canales no cifrados y anonimizar (usar la etiqueta en lugar del nombre) siempre que sea posible.
§ 3Finalidades del tratamiento
Tratamos tus datos personales para:
- Prestación del servicio: crear y mantener tu cuenta, autenticarte, sincronizar entre dispositivos.
- Procesamiento de pagos: gestionar suscripciones, renovaciones, reembolsos. El procesamiento financiero se realiza a través de Lemon Squeezy (web) y Apple (iOS).
- Soporte al cliente: responder consultas, reportes de errores y solicitudes de privacidad.
- Comunicaciones transaccionales: confirmaciones de registro, restablecimiento de contraseña, cambios en suscripción, actualizaciones legales relevantes.
- Seguridad y prevención de fraude: detectar uso indebido, ataques, abuso de cupones.
- Cumplimiento legal: responder requerimientos de autoridades competentes cuando corresponda.
- Mejora del producto: análisis agregado y anónimo (en el futuro, mediante herramientas privacy-friendly como Plausible o Umami; te lo notificaremos antes de implementarlo).
§ 4Base legal del tratamiento
Bajo el GDPR (Reglamento UE 2016/679), las bases legales aplicables son:
- Ejecución de un contrato (Art. 6.1.b GDPR): para crear tu cuenta, prestar el servicio y procesar pagos.
- Interés legítimo (Art. 6.1.f GDPR): para seguridad, prevención de fraude y análisis agregado.
- Obligación legal (Art. 6.1.c GDPR): para cumplir requerimientos fiscales, contables o judiciales.
- Consentimiento (Art. 6.1.a GDPR): cuando se requiera explícitamente (por ejemplo, futura publicidad personalizada o comunicaciones de marketing).
§ 5Con quién compartimos datos
DEC no vende tus datos personales a terceros. Compartimos información únicamente con proveedores que prestan servicios esenciales (encargados del tratamiento bajo GDPR Art. 28), quienes están contractualmente obligados a tratar tus datos solo según nuestras instrucciones y con medidas de seguridad adecuadas:
| Proveedor | Servicio | Datos compartidos | Ubicación |
|---|---|---|---|
| Supabase | Base de datos, autenticación, almacenamiento | Todos los datos de cuenta | EE.UU. (East US) |
| Vercel | Hosting web | Direcciones IP, logs de acceso | Red global (CDN) |
| Lemon Squeezy (Merchant of Record) | Procesamiento de pagos web | Email, nombre, datos de tarjeta (procesados por LS, no recibidos por DEC) | EE.UU., UE |
| Apple Inc. | Sign in with Apple, App Store, StoreKit | Email (real o relay), identificador Apple | EE.UU. |
| Google LLC | Sign in with Google | Email, nombre, foto si los compartes | EE.UU., red global |
| ProtonMail | Correo electrónico transaccional y de soporte | Contenido de emails enviados/recibidos | Suiza |
| Namecheap | Gestión de dominio | Datos públicos de registro | EE.UU. |
Además, podríamos divulgar datos cuando exista una obligación legal (orden judicial, requerimiento de autoridad competente), siempre que la solicitud sea formal, motivada y proporcional.
§ 6Transferencias internacionales de datos
DEC opera desde la República Dominicana pero utiliza proveedores ubicados principalmente en Estados Unidos y la Unión Europea. Cuando transferimos datos personales fuera de tu jurisdicción, lo hacemos con garantías adecuadas conforme a la normativa aplicable:
- Para usuarios en la UE/EEE: utilizamosStandard Contractual Clauses (SCCs) de la Comisión Europea, o medidas equivalentes para los proveedores con sede en EE.UU.
- Para usuarios en México: aplicamos las disposiciones de la LFPDPPP relativas a transferencias internacionales (Cap. V).
- Para usuarios en RD: la Ley 172-13 admite transferencias internacionales con garantías adecuadas, las cuales se gestionan contractualmente con cada proveedor.
§ 7Plazos de conservación
| Dato | Plazo de conservación |
|---|---|
| Cuenta activa (perfil, email, suscripción) | Mientras la cuenta esté activa |
| Cuenta inactiva (sin actividad) | Hasta 24 meses desde la última actividad; después se anonimiza |
| Cuenta eliminada por el usuario | Borrado dentro de 30 días, salvo obligación legal de conservar |
| Datos fiscales y de facturación | Hasta 10 años, según legislación contable RD/UE/EE.UU. |
| Logs técnicos y de seguridad | 90 días |
| Comunicaciones con soporte | 3 años desde el último contacto |
| Datos relacionados con disputas o litigios | Hasta resolución firme + plazo de prescripción aplicable |
§ 8Medidas de seguridad
Aplicamos medidas técnicas y organizativas razonables, incluyendo:
- Cifrado en tránsito (TLS 1.3) para todas las comunicaciones.
- Cifrado en reposo de la base de datos (gestionado por Supabase).
- Contraseñas almacenadas con hashing bcrypt/argon2.
- Acceso restringido a la base de datos mediante Row-Level Security (RLS), de forma que cada usuario solo accede a sus propios datos.
- Tokens de sesión con expiración corta y refresh automático.
- Tokens JWT firmados criptográficamente.
- Acceso administrativo limitado al equipo de DEC con autenticación de dos factores (2FA).
- Backups automáticos diarios cifrados, retenidos 30 días.
- Monitorización de seguridad mediante los servicios nativos de Supabase, Vercel y los proveedores de pagos.
A pesar de estas medidas, ningún sistema es 100% impenetrable. En caso de incidente de seguridad que afecte tus datos personales, te notificaremos sin demora indebida conforme a los plazos exigidos por la legislación aplicable (72 horas bajo GDPR, plazo razonable bajo LFPDPPP y Ley 172-13).
§ 9Tus derechos
Independientemente de tu jurisdicción, DEC reconoce los siguientes derechos sobre tus datos personales:
- Acceso: saber qué datos tuyos tratamos.
- Rectificación: corregir datos inexactos.
- Supresión / Cancelación: solicitar el borrado de tu cuenta y datos asociados ("derecho al olvido").
- Oposición: oponerte a tratamientos basados en interés legítimo.
- Limitación: pedir que suspendamos el tratamiento mientras resolvemos una disputa.
- Portabilidad: recibir tus datos en formato estructurado y legible (JSON).
- Revocación del consentimiento: cuando el tratamiento se base en consentimiento, puedes retirarlo en cualquier momento.
- No ser objeto de decisiones automatizadas: DEC no toma decisiones significativas automatizadas sobre ti (no usamos perfilado automatizado con efectos jurídicos).
§ 10Cómo ejercer tus derechos
Para ejercer cualquiera de los derechos anteriores:
- Envía un email a privacidad@decanestesia.com desde la dirección registrada en tu cuenta DEC.
- Indica qué derecho deseas ejercer y los detalles relevantes.
- Podemos requerir verificación adicional de identidad si la solicitud llega desde una dirección no registrada o presenta indicios de suplantación.
Responderemos dentro de los plazos legales aplicables (1 mes bajo GDPR, prorrogable a 3 meses por complejidad; 20 días hábiles bajo LFPDPPP; plazos similares bajo Ley 172-13 RD).
Si consideras que no atendemos correctamente tu solicitud, puedes presentar reclamación ante:
- UE/EEE: autoridad de protección de datos de tu país (AEPD en España, CNIL en Francia, BfDI en Alemania, etc.).
- México: INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales).
- República Dominicana: Instituto Dominicano de las Telecomunicaciones (INDOTEL) en lo relativo a comunicaciones electrónicas, y autoridades judiciales para protección de datos personales.
- EE.UU.: Federal Trade Commission (FTC) o attorneys general estatales según corresponda.
§ 11Menores de edad
DEC está dirigido a profesionales de la salud mayores de edad. No obstante, reconocemos que estudiantes de medicina o ciencias de la salud pueden ser menores en algunas jurisdicciones:
- UE/EEE: edad mínima 16 años para procesar datos personales sin consentimiento parental (puede ser menor según el país).
- EE.UU.: cumplimos con COPPA; no recolectamos datos de menores de 13 años conscientemente.
- RD, México, Latam: aplicamos los mínimos legales locales.
Si descubrimos que hemos recolectado datos de un menor sin las autorizaciones requeridas, los eliminaremos de forma inmediata. Padres o tutores que sospechen este caso pueden contactarnos en privacidad@decanestesia.com.
§ 13Usuarios en la Unión Europea (GDPR)
Si resides en la Unión Europea, el Espacio Económico Europeo, Suiza o el Reino Unido, gozas de los derechos previstos en el Reglamento General de Protección de Datos (Reglamento UE 2016/679), incluyendo:
- Derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad (Arts. 15-21).
- Derecho a presentar reclamación ante la autoridad de control de tu país (Art. 77).
- Derecho a indemnización por daños materiales o inmateriales (Art. 82).
Las bases legales del tratamiento se detallan en la cláusula 4. DEC no realiza decisiones automatizadas con efectos jurídicos significativos en los términos del Art. 22 GDPR.
§ 14Usuarios en California (CCPA/CPRA)
Si resides en California, tienes derechos bajo la California Consumer Privacy Act (CCPA) y la California Privacy Rights Act (CPRA), incluyendo:
- Derecho a saber qué información personal recolectamos.
- Derecho a eliminar tu información personal.
- Derecho a rectificar información inexacta.
- Derecho a limitar el uso de información sensible.
- Derecho a no ser discriminado por ejercer tus derechos.
Do Not Sell or Share My Personal Information
DEC no vende ni "comparte" (en el sentido de la CPRA) tu información personal con terceros para publicidad comportamental cross-context. Por tanto, no necesitas activar opción de opt-out. Si en el futuro esto cambia, te notificaremos previamente y habilitaremos la opción correspondiente en una página dedicada.
§ 15Usuarios en México (LFPDPPP)
Este apartado constituye el Aviso de Privacidad simplificado conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP):
- Responsable: Dr. Jophiel Espaillat Caldentey, República Dominicana.
- Datos tratados: identificación, contacto, datos de cuenta y suscripción (ver cláusula 2).
- Finalidades primarias: prestación del servicio, procesamiento de pagos, soporte (ver cláusula 3).
- Finalidades secundarias: análisis agregado para mejora del producto. Puedes oponerte sin afectar la prestación del servicio escribiendo a privacidad@decanestesia.com.
- Transferencias: a proveedores extranjeros listados en la cláusula 5, bajo cláusulas contractuales adecuadas.
- Derechos ARCO (Acceso, Rectificación, Cancelación, Oposición): ejercibles mediante privacidad@decanestesia.com.
- Autoridad de control: INAI ( inai.org.mx).
§ 16Usuarios en República Dominicana (Ley 172-13)
Para usuarios en RD, esta política observa la Ley 172-13 sobre Protección Integral de los Datos Personales:
- Te informamos de forma clara qué datos recolectamos, con qué finalidades y a quién los transferimos (ver cláusulas 2, 3 y 5).
- Garantizamos los derechos de acceso, rectificación, oposición y supresión.
- Aplicamos medidas técnicas y organizativas razonables para proteger la información (cláusula 8).
- Para reclamaciones, puedes acudir a los tribunales competentes de la República Dominicana.
§ 17Cambios en esta política
Podemos actualizar esta Política de Privacidad para reflejar cambios legales, técnicos o de servicio. Los cambios sustanciales se comunicarán mediante:
- Email a la dirección registrada (con al menos 30 días de antelación cuando sea legalmente exigible).
- Notificación destacada en la aplicación.
- Actualización de la fecha de "Vigencia" en la cabecera de este documento.
§ 18Contacto
Para cualquier consulta o solicitud relativa a la privacidad y protección de tus datos:
- Privacidad y protección de datos: privacidad@decanestesia.com
- Soporte general: soporte@decanestesia.com
- Asuntos legales: legal@decanestesia.com