Política de privacidad y protección de datos

Cuando una clínica usa PodoAgenda para administrar pacientes, fichas, reservas, mensajes y pagos, la clínica normalmente actúa como responsable principal de los datos que decide registrar y usar. PodoAgenda actúa como proveedor tecnológico y encargado operativo, procesando información según la configuración e instrucciones de la clínica.

La clínica debe asegurarse de contar con base legal suficiente, autorizaciones, consentimientos, avisos de privacidad, políticas internas y controles de acceso adecuados antes de cargar o usar datos personales, datos sensibles, fotografías, documentos o antecedentes clínicos en la plataforma.

Cuando PodoAgenda trata datos para administrar su propio sitio, suscripciones, facturación, soporte, seguridad, marketing propio o relación comercial directa con clínicas, PodoAgenda actúa como responsable de ese tratamiento.

Podemos tratar datos de identificación y contacto, datos de cuenta, rol, clínica asociada, agenda, reservas, pagos, comprobantes, beneficios, mensajes, preferencias, registros de actividad, soporte, dispositivo, navegador, IP aproximada, eventos de seguridad y datos técnicos necesarios para operar el servicio.

Las clínicas pueden registrar datos de salud o información sensible, como antecedentes podológicos, notas clínicas, tratamientos, evolución, fotografías antes/después, consentimientos, documentos, indicaciones y comunicaciones asociadas a la atención. Estos datos deben tratarse con controles reforzados de acceso, confidencialidad y necesidad.

Usamos datos para crear y administrar cuentas, autenticar usuarios, gestionar agenda, mostrar disponibilidad, registrar reservas, mantener fichas, facilitar comunicación clínica, procesar pagos, emitir notificaciones, entregar soporte, mejorar estabilidad, prevenir abuso, auditar acciones relevantes y cumplir obligaciones legales.

También podemos usar datos agregados o anonimizados para métricas internas, mejora del producto, prevención de errores y análisis operativo, sin identificar directamente a pacientes cuando no sea necesario.

El tratamiento puede basarse en la ejecución de una relación contractual o precontractual, el consentimiento o autorización del titular, el cumplimiento de obligaciones legales, el interés legítimo en seguridad y operación del servicio, y la necesidad de gestionar una relación clínica o administrativa configurada por la clínica.

En Chile consideramos la Ley N°19.628, la Ley N°21.719 en su régimen de entrada en vigencia, la normativa de derechos y deberes de pacientes cuando corresponda, y estándares razonables inspirados en regulaciones internacionales como GDPR, LGPD y CCPA/CPRA para derechos, transparencia y minimización.

Podemos compartir datos con proveedores estrictamente necesarios para infraestructura, base de datos, correo, mensajería, pagos, almacenamiento, monitoreo, soporte, seguridad, analítica técnica o cumplimiento legal. Estos proveedores deben tratar la información para prestar el servicio contratado y no para vender datos personales.

La clínica decide qué canales habilita, como correo, WhatsApp, enlaces públicos de cita, portal de paciente o integraciones. Cada canal externo puede estar sujeto a sus propias condiciones, políticas y disponibilidad.

Si la clínica usa datos de pacientes para campañas, promociones, testimonios, fotografías antes/después, recordatorios comerciales o mensajería masiva, debe contar con autorización válida y respetar las restricciones legales y profesionales aplicables. PodoAgenda podrá limitar envíos o integraciones si detecta abuso, quejas, riesgo de privacidad o incumplimiento.

Algunos proveedores tecnológicos pueden procesar o alojar información fuera de Chile. En esos casos procuramos usar proveedores con medidas contractuales, técnicas y organizativas razonables para proteger datos personales y datos sensibles.

Si una clínica atiende o capta pacientes de otros países, debe evaluar obligaciones locales adicionales. PodoAgenda diseña sus flujos para facilitar transparencia, consentimiento, control de acceso y atención de derechos, pero la clínica debe validar su propio cumplimiento regulatorio.

Conservamos información mientras sea necesaria para prestar el servicio, mantener la cuenta, cumplir obligaciones legales, respaldar auditorías, resolver disputas, prevenir fraude, proteger seguridad o permitir continuidad clínica. La eliminación puede estar limitada cuando existan obligaciones de conservación o registros necesarios para la clínica.

Las solicitudes de eliminación de cuenta de una clínica pueden requerir validación de identidad, revisión de pagos pendientes y coordinación sobre exportación o conservación de registros clínicos. Las solicitudes de pacientes normalmente deben canalizarse primero con la clínica responsable de su atención.

Las personas pueden solicitar acceso, rectificación, actualización, eliminación, bloqueo, oposición, portabilidad cuando proceda, retiro de consentimiento e información sobre tratamiento, según la ley aplicable y la naturaleza del dato.

Para datos administrados directamente por PodoAgenda, escribe a contacto@podoagenda.com. Para datos clínicos registrados por una clínica, también puedes contactar a la clínica correspondiente, porque normalmente es quien define la finalidad del tratamiento y conserva el contexto de atención.

Aplicamos controles razonables de seguridad, autenticación, roles, separación por clínica, políticas de acceso, respaldos, monitoreo y revisión de permisos. El usuario debe proteger sus credenciales, cerrar sesión en equipos compartidos y reportar accesos no autorizados.

Si detectamos un incidente de seguridad que pueda afectar datos personales o clínicos, evaluaremos su alcance y adoptaremos medidas de contención, investigación y comunicación conforme a la normativa aplicable.

PodoAgenda puede bloquear sesiones, rotar credenciales, suspender integraciones, limitar descargas o pausar una cuenta cuando sea necesario para prevenir acceso no autorizado, pérdida de datos, exposición de información sensible o incumplimientos graves de privacidad.