Política de Privacidad y Consentimiento Informado | HayCupo

1. Identificación del Responsable

Devitech SPA, RUT 77.XXX.XXX-X, con domicilio en Chile, es la empresa responsable del tratamiento de los datos personales recopilados a través de la plataforma HayCupo (haycupo.cl).

Contacto para asuntos de privacidad: privacidad@haycupo.cl

2. Datos Personales que Recopilamos

2.1 Datos de identificación

Nombre completo, RUT, correo electrónico, número de teléfono, dirección, región y comuna.

2.2 Datos de salud

Motivo de consulta, notas clínicas (cifradas con AES-256-GCM), diagnósticos (código CIE-10), prescripciones e indicaciones médicas. Estos datos son tratados conforme al Decreto 41 sobre ficha clínica electrónica y la Ley 20.584 sobre derechos del paciente.

2.3 Datos técnicos

Dirección IP, user agent del navegador, cookies de sesión. Estos datos se utilizan exclusivamente para seguridad, auditoría y trazabilidad del consentimiento informado.

2.4 Datos de pago

Los pagos son procesados por pasarelas externas (Flow.cl). HayCupo no almacena datos de tarjetas de crédito ni débito. Solo almacenamos el estado y referencia de la transacción.

3. Finalidad del Tratamiento

Gestionar la reserva de horas médicas entre pacientes y especialistas
Enviar notificaciones por correo electrónico y/o WhatsApp sobre el estado de las citas
Mantener la ficha clínica electrónica conforme al Decreto 41
Emitir boletas de honorarios electrónicas ante el SII cuando corresponda
Facilitar la búsqueda de especialistas mediante inteligencia artificial
Procesamiento de pagos online
Cumplimiento de obligaciones legales y tributarias

4. Consentimiento Informado

Al utilizar HayCupo para reservar una hora médica, usted otorga su consentimiento libre, expreso e informado para:

El tratamiento de sus datos personales y de salud conforme a esta política
La creación y mantención de su ficha clínica electrónica por los profesionales tratantes
El envío de comunicaciones relacionadas con sus citas médicas
La emisión de documentos tributarios (boletas) cuando corresponda

Este consentimiento queda registrado con la siguiente información para fines de auditoría:

Fecha y hora exacta de la aceptación (timestamp UTC)
Versión del documento de consentimiento aceptado
Dirección IP del dispositivo desde el cual se otorgó
Identificador del navegador (user agent)

Usted puede revocar este consentimiento en cualquier momento contactando a privacidad@haycupo.cl. La revocación no afecta la licitud del tratamiento realizado antes de la misma.

5. Ficha Clínica Electrónica

De conformidad con el Decreto 41 del Ministerio de Salud y la Ley 20.584:

Las notas clínicas se almacenan cifradas con AES-256-GCM (estándar de cifrado avanzado)
Cada acceso a la ficha clínica queda registrado en un log de auditoría inmutable (quién, cuándo, desde dónde, qué acción)
La ficha clínica se conserva por un mínimo de 15 años conforme a la normativa vigente
El paciente tiene derecho a acceder a su ficha clínica en cualquier momento desde su cuenta
Solo el profesional tratante y el paciente pueden acceder a las notas clínicas

6. Medidas de Seguridad

HayCupo implementa las siguientes medidas técnicas y organizativas para proteger sus datos:

Cifrado AES-256-GCM para datos clínicos sensibles
Comunicaciones cifradas mediante HTTPS/TLS
Contraseñas almacenadas con hash bcrypt (12 rounds)
Sesiones con tokens JWT de corta duración (15 minutos)
Protección contra ataques CSRF, XSS e inyección SQL
Rate limiting para prevenir ataques de fuerza bruta
Security headers (HSTS, CSP, X-Frame-Options)
Log de eventos de seguridad (intentos de acceso, cambios de contraseña)
Copias de seguridad diarias automáticas de la base de datos

7. Compartición de Datos

Sus datos personales no se venden ni se comparten con terceros para fines de marketing. Solo se comparten datos en los siguientes casos:

Especialistas: reciben los datos necesarios para gestionar la cita (nombre, email, teléfono, motivo)
Pasarelas de pago (Flow.cl): datos mínimos necesarios para procesar el cobro
SII: datos tributarios para emisión de boletas de honorarios
Autoridades: cuando exista obligación legal o requerimiento judicial

8. Derechos del Titular

Conforme a la Ley 19.628 sobre Protección de la Vida Privada, usted tiene derecho a:

Acceso: conocer qué datos personales suyos tenemos almacenados
Rectificación: solicitar la corrección de datos inexactos
Cancelación: solicitar la eliminación de sus datos (salvo obligación legal de retención)
Oposición: oponerse al tratamiento de sus datos en ciertas circunstancias
Portabilidad: solicitar una copia de sus datos en formato legible por máquina

Para ejercer estos derechos, contacte a privacidad@haycupo.cl. Responderemos en un plazo máximo de 15 días hábiles.

9. Cookies

HayCupo utiliza únicamente cookies técnicas esenciales para el funcionamiento de la plataforma:

next-auth.session-token: sesión de usuario (httpOnly, secure, SameSite=lax)
next-auth.csrf-token: protección contra CSRF

No utilizamos cookies de publicidad, rastreo ni analítica de terceros.

10. Retención de Datos

Datos de cuenta: mientras la cuenta esté activa o hasta solicitud de eliminación
Ficha clínica: mínimo 15 años (Decreto 41)
Documentos tributarios: 6 años (normativa SII)
Logs de auditoría de seguridad: 2 años
Registros de consentimiento: mientras sea necesario probar la base legal del tratamiento

11. Modificaciones a esta Política

Nos reservamos el derecho de modificar esta política de privacidad. Cualquier cambio será comunicado a los usuarios registrados por correo electrónico y se requerirá nueva aceptación del consentimiento informado cuando los cambios afecten el tratamiento de datos de salud.

12. Marco Normativo

Esta política se rige por la legislación chilena, en particular:

Ley 19.628 — Sobre Protección de la Vida Privada
Ley 20.584 — Regula los Derechos y Deberes de los Pacientes
Decreto 41 — Reglamento sobre Fichas Clínicas
Ley 21.459 — Ley Marco sobre Ciberseguridad
Norma ISO/IEC 25010 — Calidad de productos de software
Norma ISO 13131 — Buenas prácticas en telesalud