P
PukaHealth

Documentación legal

Política de Privacidad

Última actualización: 10 de junio de 2025

Resumen ejecutivo: PukaHealth es un sistema de gestión clínica y facturación electrónica para profesionales de la salud en Ecuador. Tratamos datos médicos con el máximo nivel de confidencialidad. No vendemos información personal ni la usamos con fines publicitarios.

1. Identidad del Responsable

PukaHealth (en adelante, "la Plataforma") es operada por PukaDigital S.A.S., empresa constituida en Ecuador. Para consultas relacionadas con privacidad, puede contactarnos en:

Correo electrónico: privacidad@pukahealth.com

Sitio web: https://pukahealth.com

2. Datos que Recopilamos

2.1 Datos de la clínica o consultorio (titular de la cuenta)

  • Nombre comercial, razón social y RUC
  • Datos de contacto: correo electrónico, teléfono, dirección
  • Datos de facturación electrónica: certificado digital (.p12), firma SRI
  • Credenciales de acceso (contraseña almacenada con hash bcrypt)

2.2 Datos de pacientes (ingresados por el profesional de salud)

  • Identificación: nombre completo, cédula, fecha de nacimiento
  • Datos de contacto: teléfono, correo electrónico, dirección
  • Historia clínica: motivo de consulta, diagnóstico, evoluciones, SOAPE
  • Recetas médicas y prescripciones
  • Datos de facturación asociados a servicios prestados

2.3 Datos de uso técnico

  • Registros de acceso (IP, timestamp, acción) para auditoría de seguridad
  • Datos del calendario de Google (solo si el profesional lo conecta voluntariamente)
  • Datos de navegación anonimizados para mejora del servicio

3. Uso de las APIs de Google (Google Calendar)

PukaHealth ofrece integración opcional con Google Calendar para sincronizar citas médicas en el calendario del profesional de salud. Esta integración utiliza las APIs de Google mediante OAuth 2.0 con el scope https://www.googleapis.com/auth/calendar.events.

Declaración de Uso Limitado (Google API Services)

El uso de PukaHealth de la información recibida de las APIs de Google se adhiere a la Política de Datos de Usuario de Google API Services, incluidos los requisitos de Uso Limitado.

Lo que PukaHealth hace con los datos de Google Calendar:

  • Crear eventos de citas médicas en el calendario del profesional de salud
  • Actualizar esos mismos eventos cuando una cita es modificada o reprogramada
  • Eliminar esos eventos cuando una cita es cancelada

Lo que PukaHealth NO hace con los datos de Google Calendar:

  • No leemos, almacenamos ni accedemos a eventos del calendario que no fueron creados por PukaHealth
  • No transferimos datos de Google Calendar a terceros (salvo requerimiento legal)
  • No usamos datos de Google APIs para entrenar modelos de inteligencia artificial
  • No usamos datos de Google APIs para publicidad o perfilado de usuarios
  • No vendemos ni alquilamos datos obtenidos de las APIs de Google
  • No almacenamos el contenido de eventos de Calendar después de que el usuario desconecta la integración

Cómo revocar el acceso a Google Calendar

Puede desconectar PukaHealth de su cuenta de Google en cualquier momento desde dos lugares:

  1. Desde PukaHealth: Configuración → Integraciones → Google Calendar → Desconectar
  2. Directamente en Google: myaccount.google.com/permissions → buscar "PukaHealth" → Eliminar acceso

Al revocar el acceso, los tokens de autenticación de Google almacenados en PukaHealth son eliminados inmediatamente. Los eventos de citas ya creados en su Google Calendar permanecen en su calendario (no son eliminados por PukaHealth).

4. Base Legal del Tratamiento

El tratamiento de datos personales se realiza con base en los siguientes fundamentos legales, conforme a la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP):

  • Contrato: datos necesarios para prestar el servicio contratado (facturación electrónica, gestión de citas, historia clínica).
  • Consentimiento: integración con Google Calendar (revocable en cualquier momento).
  • Interés legítimo: registros de auditoría de seguridad y prevención de fraude.
  • Obligación legal: datos requeridos por el SRI Ecuador para la emisión de comprobantes electrónicos.

5. Compartición de Datos con Terceros

PukaHealth no vende ni alquila datos personales. Solo los comparte en los siguientes casos limitados:

TerceroPropósitoDatos compartidos
SRI EcuadorAutorización de comprobantes electrónicosRUC, datos fiscales del comprobante
Google LLCSincronización de citas (si el usuario lo conecta)Título y hora de la cita (sin diagnóstico ni PHI)
Proveedor de hostingInfraestructura de la plataformaTodos los datos (bajo acuerdo de procesador de datos)

6. Seguridad de los Datos

  • Transmisión cifrada con TLS 1.2+ (HTTPS obligatorio)
  • Base de datos con aislamiento por tenant (multi-tenancy — un cliente no accede a datos de otro)
  • Contraseñas almacenadas con hash bcrypt (nunca en texto plano)
  • Certificados digitales (.p12) cifrados en reposo
  • Registros de auditoría para cada acceso a datos clínicos sensibles
  • Acceso al sistema de producción restringido con autenticación de dos factores

7. Retención de Datos

Los datos se conservan durante la vigencia del contrato de servicio y por el período adicional requerido por ley:

  • Comprobantes electrónicos SRI: 7 años (obligación tributaria)
  • Historias clínicas: conforme al Ministerio de Salud Pública del Ecuador (mínimo 15 años desde el último ingreso)
  • Registros de auditoría: 2 años
  • Tokens de Google Calendar: hasta que el usuario los revoque o cancele la integración

8. Derechos del Titular de los Datos

Conforme a la LOPDP, usted tiene derecho a:

Acceso

Conocer qué datos tenemos sobre usted

Rectificación

Corregir datos inexactos o incompletos

Cancelación

Solicitar la eliminación de sus datos

Oposición

Oponerse a ciertos tratamientos

Portabilidad

Recibir sus datos en formato estructurado

Revocación

Retirar el consentimiento en cualquier momento

Para ejercer estos derechos, envíe su solicitud a privacidad@pukahealth.com con copia de su documento de identidad. Responderemos en un plazo máximo de 15 días hábiles.

9. Cookies y Tecnologías de Seguimiento

La Plataforma utiliza cookies de sesión estrictamente necesarias para mantener la autenticación del usuario. No utilizamos cookies de rastreo publicitario ni herramientas de analítica de terceros que recopilen datos personales identificables.

10. Cambios a esta Política

Podemos actualizar esta Política de Privacidad periódicamente. Cuando realicemos cambios materiales, notificaremos a los usuarios registrados por correo electrónico con al menos 15 días de anticipación. La fecha de la última actualización siempre estará visible al inicio de este documento.

11. Legislación Aplicable y Jurisdicción

Esta Política se rige por la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP, 2021) y su Reglamento. Para asuntos no cubiertos por la legislación ecuatoriana, se aplican los principios del Reglamento General de Protección de Datos de la Unión Europea (RGPD) como estándar de referencia internacional. La autoridad de control competente es la Superintendencia de Protección de Datos Personales del Ecuador.

Preguntas o inquietudes

Si tiene alguna pregunta sobre esta Política de Privacidad o el tratamiento de sus datos, contáctenos en privacidad@pukahealth.com. Nos comprometemos a responder en un plazo razonable.

Uso exclusivo profesional. Esta herramienta no realiza funciones de diagnóstico automático ni reemplaza el juicio clínico.