Anexo de Tratamiento de Datos — HealthFlow

Última actualización: 30/05/2026

Este documento forma parte de las condiciones legales de uso de HealthFlow. Es un texto base y debe ser revisado por asesoría legal antes de su publicación definitiva.

1. Objeto

Este anexo regula el tratamiento de datos personales y datos relativos a la salud que HealthFlow realiza por cuenta del usuario profesional o institución, en el marco de la prestación del servicio.

2. Roles

Para los datos clínicos y de pacientes cargados por el usuario, HealthFlow actúa principalmente como encargado del tratamiento, siguiendo las instrucciones del usuario profesional o institución, quien actúa como responsable del tratamiento.

Para datos de cuenta, facturación, soporte, seguridad y administración interna del servicio, HealthFlow puede actuar como responsable del tratamiento.

3. Duración

El tratamiento durará mientras el usuario mantenga una cuenta activa, mientras sea necesario para prestar el servicio o mientras exista una obligación legal, contractual, técnica o de seguridad que justifique su conservación.

4. Categorías de datos tratados

• Datos identificativos de profesionales y pacientes.
• Datos de contacto.
• Datos administrativos de agenda y atención.
• Datos relativos a salud física o mental.
• Historias clínicas, consultas, recetas, certificados y órdenes.
• Adjuntos, imágenes, documentos PDF y archivos clínicos.
• Datos de representantes de pacientes, cuando corresponda.
• Registros de acceso, auditoría y seguridad.

5. Instrucciones del usuario responsable

HealthFlow tratará los datos conforme a las instrucciones documentadas del usuario responsable, incluyendo las instrucciones configuradas dentro de la plataforma, las funcionalidades habilitadas y las solicitudes de soporte autorizadas.

6. Obligaciones de HealthFlow como encargado

• Tratar los datos sólo para prestar el servicio contratado.
• Aplicar medidas razonables de confidencialidad y seguridad.
• Limitar el acceso a personal o proveedores que lo necesiten.
• Guardar confidencialidad sobre la información tratada.
• Asistir razonablemente al usuario ante solicitudes de titulares.
• Notificar incidentes de seguridad conforme a la normativa aplicable.
• No vender datos personales ni datos clínicos.

7. Obligaciones del usuario responsable

• Contar con base legal para tratar datos de pacientes.
• Informar a sus pacientes sobre el uso de HealthFlow.
• Obtener consentimientos o autorizaciones cuando correspondan.
• Configurar roles y permisos de forma adecuada.
• Evitar compartir credenciales.
• Revisar la exactitud de los datos ingresados.
• Cumplir obligaciones de historia clínica y secreto profesional.

8. Subencargados y terceros

HealthFlow puede utilizar subencargados necesarios para operar la plataforma, incluyendo proveedores de base de datos, hosting, autenticación, almacenamiento, email, mensajería, pagos, calendario, videollamadas y monitoreo.

La lista general se encuentra en el Anexo de Servicios de Terceros. HealthFlow procurará que dichos proveedores traten los datos conforme a finalidades compatibles con la prestación del servicio.

9. Transferencias internacionales

El usuario reconoce que ciertos proveedores pueden tratar o almacenar información en otros países. HealthFlow adoptará medidas razonables para proteger la información conforme a la normativa aplicable.

10. Confidencialidad

HealthFlow mantendrá confidencialidad sobre los datos de pacientes, documentos, historias clínicas y demás información del usuario. Esta obligación continuará incluso después de terminada la relación contractual, salvo autorización del usuario, obligación legal o requerimiento válido de autoridad competente.

11. Incidentes de seguridad

Cuando HealthFlow tenga conocimiento de un incidente que pueda afectar datos personales tratados por cuenta del usuario, notificará al usuario responsable por medios razonables, incluyendo la información disponible sobre la naturaleza del incidente, datos potencialmente afectados, medidas adoptadas y recomendaciones.

12. Devolución, exportación o eliminación

Al terminar el servicio, el usuario podrá solicitar la exportación, eliminación o conservación temporal de la información conforme a las funcionalidades disponibles, obligaciones legales, políticas de retención y limitaciones técnicas razonables.

13. Auditoría y cooperación

HealthFlow podrá proporcionar información razonable sobre sus medidas de seguridad, subencargados y tratamiento de datos. Las auditorías técnicas directas sólo podrán realizarse mediante acuerdo previo, sin afectar la seguridad, confidencialidad o continuidad del servicio.

14. Contacto

Para solicitudes relacionadas con tratamiento de datos:

healthflow.contacto@gmail.com