PsychoTracker

Términos de Privacidad

Política de Privacidad de PsychoTracker

Última actualización: 31/8/2025

1. Introducción

En PsychoTracker protegemos la privacidad y confidencialidad de la información personal y clínica almacenada en la plataforma. Esta política explica cómo recopilamos, usamos, transferimos y protegemos esa información, incluyendo cuando los datos se transfieren fuera del país de origen del paciente.

Al usar PsychoTracker usted acepta los términos de esta política; si representa a pacientes de otra jurisdicción, debe asegurarse de contar con los consentimientos y avisos legales necesarios.

2. Roles, controladores y encargados

PsychoTracker actúa como encargado de tratamiento (procesador) de los datos que los profesionales introducen en la plataforma. El profesional de la salud actúa como responsable (data controller) frente a sus pacientes y debe:

  • Obtener y conservar el consentimiento informado de sus pacientes (o tutores legales para menores).
  • Informar a los pacientes si sus datos se almacenarán o transferirán internacionalmente.
  • Cumplir con las leyes locales aplicables (LFPDPPP, GDPR, HIPAA, etc.).

PsychoTracker proporciona medidas técnicas y contractuales (p. ej. cláusulas contractuales estándar, acuerdos de tratamiento) para apoyar la protección de datos.

3. Transferencias internacionales de datos

Sus datos pueden almacenarse y procesarse en servidores ubicados en México y/o en otros países donde nuestros proveedores tengan infraestructura. Cuando se realicen transferencias internacionales, aplicamos las salvaguardas legales y técnicas apropiadas.

Esto incluye, pero no se limita a:

  • **Cláusulas Contractuales Estándar (SCC)** o mecanismos legalmente equivalentes para transferencias hacia la UE.
  • **Acuerdos de tratamiento (DPA)** y, cuando aplique, **Business Associate Agreements (BAA)** para cumplir con HIPAA en transferencias con entidades de EE. UU.
  • Evaluaciones de impacto y análisis de riesgo antes de transferir datos a jurisdicciones con niveles de protección diferentes.

Consentimiento y opción del profesional: el profesional debe informar a sus pacientes sobre estas transferencias y obtener el consentimiento cuando sea requerido. Si un profesional o paciente desea que sus datos no salgan del territorio nacional, puede solicitar la limitación o bloqueo mediante los canales descritos en esta política.

4. Marco normativo aplicable

PsychoTracker busca cumplir con estándares y obligaciones relevantes, entre otros:

  • LFPDPPP (México)
  • GDPR (Unión Europea) — cuando aplicable
  • HIPAA (EE. UU.) — cuando aplicable y cuando se firmen los BAAs correspondientes
  • Ley 1581 / leyes locales en LATAM según corresponda

Nota: el cumplimiento final frente a un paciente depende también de las acciones del profesional que administra los datos.

5. Información que recopilamos

Incluye datos que son considerados Datos Personales Sensibles (p. ej. información de salud, diagnósticos, historial clínico y datos de menores).

  • Información del profesional: nombre, email, credenciales, datos de facturación.
  • Información de pacientes: nombre, fecha de nacimiento, sexo, historial clínico, notas de sesión, resultados psicométricos, etc.
  • Información técnica y de uso: IP, tipo de navegador, logs, cookies, identificadores.

6. Bases legales y consentimiento

Cuando la ley lo exija (por ejemplo, GDPR o LFPDPPP para datos sensibles) basamos el tratamiento en:

  • Consentimiento explícito e informado del paciente (o tutor para menores).
  • Ejecución de obligaciones legales y cumplimiento clínico y fiscal.
  • Interés legítimo cuando proceda y siempre evaluando derechos del interesado.

PsychoTracker registra y mantiene evidencia del consentimiento para auditoría y cumplimiento.

7. Derechos de los usuarios (ARCO / GDPR)

Los interesados pueden ejercer los derechos aplicables según su jurisdicción:

  • Acceso a sus datos.
  • Rectificación / corrección.
  • Supresión (“derecho al olvido” cuando corresponda).
  • Limitación del tratamiento.
  • Portabilidad de datos (cuando aplique).
  • Oposición al tratamiento y revocación del consentimiento.

Procedimiento: Envíe su solicitud a contacto@psychotracker.com con identificación. Respondemos en un máximo de 20 días hábiles y, si procede, ejecutamos la solicitud en hasta 15 días hábiles adicionales, salvo plazos distintos exigidos por la ley aplicable.

Si usted reside en la UE y desea presentar una reclamación ante la autoridad supervisora, puede contactar a nuestro representante en la UE (ver sección 11).

8. Retención, bloqueo y eliminación

  • Retenemos datos mientras la cuenta esté activa y por lo requerido por obligaciones legales o clínicas.
  • Al solicitar eliminación, los datos se colocarán en estado de bloqueo para conservarlos solo para obligaciones legales y posteriormente serán eliminados de forma segura e irreversible.
  • Proporcionamos exportación de datos en formato legible por máquina (JSON/CSV) cuando el profesional lo solicite.

9. Seguridad y medidas técnicas

Implementamos medidas técnicas y organizativas como:

  • Cifrado en tránsito (TLS) y cifrado en reposo.
  • Autenticación multifactor (2FA) y control de acceso por roles.
  • Registro y auditoría de accesos.
  • Evaluaciones de riesgo y pruebas de intrusión periódicas.
  • Acuerdos contractuales con proveedores que incluyen obligaciones de seguridad y subprocesadores autorizados.

10. Brechas de seguridad y notificación

En caso de violación de seguridad que afecte datos personales:

  • Notificaremos a los afectados y autoridades competentes según las leyes aplicables.
  • Para residentes en la UE (GDPR) seguiremos los plazos y obligaciones de notificación correspondientes.
  • Para incidentes que involucren datos de EE. UU. bajo HIPAA, aplicaremos las obligaciones de notificación en conformidad con BAAs y requisitos legales.

11. Representación y acuerdos específicos

Representante en la UE: [Nombre del representante en la UE], Email: eu-rep@psychotracker.com, Dirección: [Dirección en la UE]. (Complete este dato si procesa datos de residentes en la UE).

BAA / HIPAA: Para entidades de EE. UU. que necesiten cumplimiento HIPAA, PsychoTracker ofrece la firma de Business Associate Agreements bajo solicitud formal. Contacto: hipaa@psychotracker.com.

12. Opt-outs y controles

Los profesionales y pacientes pueden solicitar:

  • Que sus datos no sean incluidos en análisis automatizados/IA.
  • Que sus datos no se transfieran fuera de México (cuando técnicamente sea posible).
  • Limitación de compartición con ciertos proveedores o países.

Estas solicitudes deben enviarse a contacto@psychotracker.com e incluir identificación y detalle de la petición.

13. Proveedores y subprocesadores

Utilizamos proveedores de infraestructura (hosting, backups, correo, analítica). Los nombres y ubicaciones de nuestros subprocesadores se pueden solicitar por correo y están sujetos a acuerdos contractuales que exigen protección equivalente.

14. Menores

El registro de datos de menores solo se realizará con el consentimiento del tutor legal. El profesional debe conservar evidencia documental del consentimiento. PsychoTracker puede bloquear cuentas que no presenten el consentimiento requerido.

15. Cambios a esta Política

Cualquier cambio significativo se comunicará por correo o dentro de la plataforma y la versión actualizada estará visible en esta página.

16. Contacto

Para dudas, solicitudes ARCO, BAA o información sobre transferencias internacionales:

Email general: contacto@psychotracker.com

Importante: Esta política es informativa y busca alinear prácticas técnicas y contractuales con requisitos internacionales. Recomendamos realizar una revisión legal formal con un experto en protección de datos para garantizar cumplimiento total en las jurisdicciones específicas donde opera.