Política de privacidad
Quiénes somos
RSG Salud (“RSG”, “nosotros”) ofrece una plataforma de historia clínica electrónica (EMR) multi-tenant para clínicas, hospitales y redes de centros de salud. Para consultas sobre datos, escríbenos desde el formulario de contacto.
Dos tratamientos muy distintos
La distinción de roles es la clave de esta política:
- Este sitio de marketing. Cuando navegas aquí o usas el formulario de contacto, RSG es el responsable del tratamiento de los datos que nos das voluntariamente.
- La aplicación clínica. Respecto de los datos clínicos de los pacientes, RSG es únicamente el encargado del tratamiento (procesador); la responsable es cada organización (la clínica u hospital) que contrata el servicio. RSG trata esos datos solo siguiendo las instrucciones de la organización y nunca para fines propios (no los vende, no los cede ni los usa para entrenar modelos ni para publicidad).
Datos que tratamos en este sitio (RSG responsable)
| Dato | Finalidad | Base legal |
|---|---|---|
| Nombre, tipo de usuario, país, correo, mensaje (formulario de contacto) | Responder tu consulta comercial y dar seguimiento | Consentimiento / interés legítimo en atender tu solicitud |
| Preferencia de cookies | Recordar si aceptaste o rechazaste la analítica | Interés legítimo (cumplir tu elección) |
| Analítica agregada (solo si la aceptas) | Entender de forma anónima cómo se usa el sitio | Consentimiento |
Datos de la aplicación clínica (organización responsable)
La organización decide qué datos registra. La plataforma está preparada para tratar, entre otros: datos demográficos del paciente (nombres, tipo y número de documento, fecha de nacimiento, sexo, teléfono, dirección, contacto de emergencia) y datos de salud (motivos de consulta, antecedentes, medicación, evoluciones, signos vitales, antropometría, laboratorios e imágenes adjuntas, recetas, vacunas y valoraciones). Los datos de salud son una categoría especial y reciben protección reforzada.
Cómo protegemos los datos
Medidas técnicas y organizativas vigentes hoy:
- Aislamiento estricto por organización (multi-tenant). Ningún dato es visible entre organizaciones. Toda consulta clínica filtra por el tenant del token de sesión, con una segunda barrera de aislamiento a nivel de base de datos (Row-Level Security).
- Cifrado en tránsito. Todo el tráfico viaja por HTTPS/TLS.
- Contraseñas y códigos nunca en claro. Las contraseñas de usuario y los códigos de acceso al portal se guardan hasheados con bcrypt; los enlaces públicos de recetas usan tokens de alta entropía guardados como hash SHA-256. La base de datos nunca conoce la contraseña ni el token original.
- Control de acceso por rol y bloqueo temporal por intentos fallidos de inicio de sesión.
- Registro de auditoría. Todo acceso o modificación de datos clínicos queda registrado (quién, qué, cuándo y en qué organización).
- Sin borrado físico. Los datos clínicos no se eliminan físicamente: se usa borrado lógico para conservar el historial, y las notas clínicas son inmutables una vez guardadas.
Alcance honesto: hoy no ciframos los datos a nivel de campo dentro de la base de datos (“cifrado en reposo”); la protección en reposo depende del control de acceso y del aislamiento descritos arriba. Es una mejora en nuestra hoja de ruta.
Subencargados (proveedores que nos ayudan a operar)
| Proveedor | Para qué | Datos que puede ver |
|---|---|---|
| Cloudflare | DNS, proxy/CDN y protección de red | Metadatos de conexión, incluida la dirección IP |
| Google Analytics (GA4) | Analítica solo del sitio de marketing, solo si la aceptas | Uso agregado del sitio, con IP anonimizada |
La analítica no se carga en la aplicación clínica, solo en este sitio y solo con tu consentimiento. Ver la Política de cookies. Estos proveedores pueden procesar datos fuera de tu país (p. ej. en EE. UU.).
Conservación
- Datos de contacto de este sitio: el tiempo necesario para atender la consulta y la relación comercial derivada.
- Datos clínicos: los conserva la organización responsable según sus obligaciones legales de conservación de la historia clínica; RSG los mantiene mientras dure el contrato de servicio y no los borra físicamente.
Notificación de incidentes
Si ocurre un incidente de seguridad que afecte a datos personales, notificaremos a la organización responsable afectada sin demora indebida para que pueda cumplir sus propias obligaciones de notificación ante las autoridades y los pacientes.
Tus derechos
- Sobre tus datos de contacto de este sitio: puedes solicitar acceso, rectificación o eliminación escribiéndonos desde el formulario.
- Si eres paciente: los derechos sobre tu historia clínica se ejercen ante la clínica u hospital donde te atiendes (la responsable). RSG asiste a esa organización como encargado para atender tu solicitud.
Menores
Los datos de pacientes menores de edad los gestiona la organización de salud responsable en el marco de la atención clínica y, cuando corresponde, a través del portal para padres o tutores.
Cambios en esta política
Podemos actualizar esta política para reflejar cambios en la plataforma o requisitos legales. Publicaremos la nueva versión aquí con su fecha de actualización.
Contacto
Escríbenos desde el formulario de contacto.