Política de privacidad.

Responsable del tratamiento

El responsable del tratamiento de sus datos personales es Norberto Patricio Riccitelli, Monotributista, en su carácter de operador de la plataforma Klia.

Base de datos inscripta ante la Agencia de Acceso a la Información Pública conforme al artículo 21 de la Ley 25.326.

Para consultas relacionadas con la privacidad, ejercicio de derechos o cualquier inquietud sobre el tratamiento de datos, escribinos al correo arriba indicado. Respondemos en un plazo máximo de 10 días hábiles.

Información que recopilamos

Klia recopila los siguientes tipos de datos, exclusivamente con la finalidad de prestar el servicio contratado:

Datos del profesional

• Nombre y apellido, email profesional y número de teléfono.
• CUIT y matrícula profesional habilitante.
• Imagen de firma y sello digitales, cargada voluntariamente para los documentos generados.
• Datos de facturación y de Mercado Pago necesarios para procesar la suscripción.

Datos del paciente

• Datos identificatorios: nombre, DNI, fecha de nacimiento, obra social.
• Notas de evolución clínica cargadas por el profesional tratante.
• Archivos adjuntos: fotos de producciones terapéuticas, tests o dibujos vinculados a la historia clínica.

Datos de Google (opcional)

• Dirección de correo electrónico, utilizada únicamente como mecanismo de autenticación.
• Eventos del calendario, utilizados únicamente para sincronizar la agenda de turnos.

Uso de los datos y Google API Limited Use

Klia cumple estrictamente con la Política de Datos de Usuario de los Servicios de API de Google, incluidos los requisitos específicos de Uso Limitado.

Finalidad del acceso

Los datos obtenidos de Google Calendar se utilizan exclusivamente para la sincronización bidireccional de la agenda del profesional dentro de Klia. Ningún otro flujo, módulo o feature de la plataforma consume estos datos.

Prohibición de transferencia y uso

Klia no, bajo ninguna circunstancia:

• Transfiere datos de Google a terceros, excepto cuando sea estrictamente necesario para proveer la funcionalidad o cuando lo exija la ley.
• Vende datos de Google ni los expone a redes publicitarias.
• Utiliza datos de Google para publicidad, mercadeo o para entrenar modelos de IA propios o de terceros.
• Permite que humanos lean datos de Google, salvo: con consentimiento explícito del usuario, por seguridad, para cumplir la ley, o para operaciones internas con datos previamente agregados y anonimizados.

El usuario puede revocar el acceso a Google en cualquier momento desde su panel de configuración o desde la página de permisos de su cuenta Google.

Seguridad y almacenamiento

Toda la información sensible se almacena en Supabase, sobre infraestructura ubicada en regiones con estándares equivalentes o superiores a los exigidos por la legislación argentina.

Aislamiento por profesional

Las bases de datos utilizan Row Level Security (RLS): cada consulta SQL valida automáticamente que el solicitante sea el propietario de la fila. Esto significa que, aunque hubiera un error en la capa de aplicación, el motor de base de datos seguiría impidiendo el acceso cruzado entre profesionales.

Archivos adjuntos

Las fotos de firmas, sellos y producciones de pacientes se guardan en buckets de Storage privados, con URLs firmadas de corta duración. El acceso queda restringido únicamente al profesional titular de la cuenta.

Cifrado en tránsito y en reposo

Todo el tráfico viaja sobre TLS 1.2 o superior. Los datos en reposo están cifrados a nivel disco. Las contraseñas se almacenan con algoritmos de hash de un solo sentido (bcrypt) y nunca en texto plano.

Subprocesadores y transferencias internacionales

Klia utiliza los siguientes proveedores externos que procesan datos personales fuera de Argentina, todos con políticas de privacidad y niveles de protección adecuados:

• Supabase Inc. (Estados Unidos) — almacenamiento de base de datos y archivos. Política: supabase.com/privacy
• Vercel Inc. (Estados Unidos) — infraestructura de hosting y CDN. Política: vercel.com/legal/privacy-policy
• Brevo SAS (Francia / Unión Europea) — envío de emails transaccionales. Política: brevo.com/legal/privacypolicy
• Google LLC (Estados Unidos) — autenticación OAuth y sincronización de calendario. Política: policies.google.com/privacy
• Mercado Pago S.A. (Argentina / Brasil) — procesamiento de pagos. Política: mercadopago.com.ar/privacidad

Estas transferencias se realizan conforme al artículo 12 de la Ley 25.326, hacia países u organismos con niveles de protección adecuados.

Procesamiento con Inteligencia Artificial

Para los suscriptores del Plan Premium, las notas clínicas pueden ser procesadas por las APIs de Anthropic (Claude) o Google Gemini con la única finalidad de generar borradores de informes profesionales.

Procesamiento transaccional y efímero

Klia no utiliza estos datos para mejorar los modelos de lenguaje de estos proveedores. El procesamiento es transaccional: la nota se envía, el borrador se genera, y los proveedores no retienen el contenido para fines de entrenamiento, conforme a sus respectivos acuerdos de procesamiento de datos con Klia.

Control del profesional

El uso de IA es opcional dentro del plan: si el profesional prefiere no enviar notas clínicas a proveedores externos, puede desactivarlo desde sus preferencias y seguir utilizando el resto de la plataforma sin restricciones.

Derechos del usuario (Ley 25.326)

De acuerdo con la Ley 25.326 de Protección de Datos Personales de la República Argentina, los usuarios pueden ejercer en cualquier momento los siguientes derechos sobre sus datos:

• Acceso — conocer qué datos personales tratamos sobre vos.
• Rectificación — corregir datos inexactos o incompletos.
• Actualización — incorporar datos que hayan cambiado.
• Supresión — solicitar la eliminación de tus datos cuando no exista una obligación legal de conservarlos.
• Portabilidad — recibir una copia exportable de tus datos clínicos.

Para ejercer cualquiera de estos derechos, enviá un correo a legal@klia.com.ar desde la dirección registrada en tu cuenta. Respondemos en un plazo máximo de 10 días hábiles, conforme a lo previsto por la normativa.

Plazos de conservación de datos

Conforme al artículo 4° inciso 7 de la Ley 25.326, los datos se conservan por los siguientes plazos:

• Datos clínicos de pacientes (historias, notas de evolución): 5 años desde la cancelación de la cuenta del profesional.
• Datos de cuenta del profesional (perfil, configuración): 2 años desde la cancelación.
• Datos de pagos y facturación: 5 años desde la transacción (obligación impositiva AFIP).
• Backups: eliminación completa a los 90 días posteriores al vencimiento del período de retención correspondiente.

Al cancelar su cuenta, el profesional recibirá un aviso para exportar sus datos clínicos antes del cierre definitivo. Transcurrido el plazo de retención, los datos serán eliminados de forma permanente e irrecuperable.

El órgano de control en Argentina es la Agencia de Acceso a la Información Pública, ante quien podés presentar un reclamo si considerás que tu solicitud no fue atendida adecuadamente.