Política de Privacidad

1. Responsable del tratamiento

Espinaltech, con sede en Santo Domingo, República Dominicana, es el responsable del tratamiento de los datos recabados a través del sitio web https://softclinicapp.com y en la ejecución de servicios de soporte. Contacto: info@espinaltech.com.

2. Roles y responsabilidades

• Responsable (Data Controller): La clínica dental contratante. Determina qué datos se ingresan, con qué fines y por cuánto tiempo se conservan. Es quien obtiene el consentimiento informado de sus pacientes.
• Encargado (Data Processor): Espinaltech. Procesa los datos únicamente por instrucción de la clínica, para prestar el servicio de software, soporte técnico y mantenimiento.
• Subencargados: Proveedor de hosting (Hostinger) y proveedor de correo (Titan Email). Ambos con obligaciones contractuales de confidencialidad y seguridad.

3. Datos que recopilamos

3.1 De usuarios del landing público (visitantes):

• Nombre de la clínica, nombre de contacto, correo, teléfono al completar el formulario de contratación.
• Dirección IP y user-agent para fines de seguridad y auditoría.

3.2 De usuarios del sistema (personal clínico):

• Nombre, correo, contraseña (cifrada con bcrypt), rol, especialidad, fecha de último acceso.
• Historial de acciones realizadas en el sistema (audit log), incluyendo IP.

3.3 De pacientes (ingresados por la clínica):

• Datos identificativos: nombres, cédula o pasaporte, fecha de nacimiento, género.
• Datos de contacto: teléfono, correo, dirección, contacto de emergencia.
• Datos sensibles (salud): alergias, medicamentos, enfermedades, historial clínico, anamnesis, diagnósticos, tratamientos, odontograma. Estos datos reciben protección reforzada.
• Datos financieros: facturas, abonos, balance.

4. Finalidades del tratamiento

• Prestar el servicio de gestión clínica contratado.
• Facilitar la atención odontológica del paciente por parte de la clínica.
• Generar facturas y controlar pagos dentro de la clínica.
• Enviar recordatorios de cita al paciente, previo consentimiento.
• Atender consultas y brindar soporte técnico.
• Cumplir obligaciones legales y fiscales.
• Detectar y prevenir fraude o uso indebido.

5. Base legal

• Ejecución del contrato de prestación de servicios con la clínica contratante.
• Consentimiento expreso e informado del paciente, obtenido por la clínica antes del ingreso de sus datos.
• Cumplimiento de obligaciones legales en materia sanitaria, tributaria y contable.
• Interés legítimo en la seguridad de la plataforma.

6. Destinatarios y comunicaciones

Los datos se tratan dentro de Espinaltech. No se ceden ni venden a terceros con fines comerciales. Podrán comunicarse a:

• Autoridades competentes cuando lo requiera la ley o una orden judicial.
• Proveedores tecnológicos (hosting, correo) estrictamente para prestar el servicio, bajo contrato de confidencialidad.

7. Transferencias internacionales

Los datos se almacenan en servidores de Hostinger, que pueden ubicarse fuera de República Dominicana. Hostinger cumple con estándares internacionales de protección de datos (incluyendo GDPR). Al aceptar esta política, el Cliente consiente esta transferencia.

8. Conservación

• Leads del landing: hasta 24 meses desde el último contacto, salvo solicitud de eliminación.
• Datos de usuarios del sistema: mientras dure la contratación del servicio + 1 año para auditoría.
• Datos de pacientes: conservados mientras la clínica mantenga la contratación. Al finalizar, la clínica podrá solicitar exportación dentro de 30 días; después pueden eliminarse definitivamente.
• Logs de auditoría: 12 meses.

9. Medidas de seguridad

• Cifrado de contraseñas con bcrypt.
• Conexiones protegidas con HTTPS (TLS).
• Consultas a base de datos con sentencias preparadas para prevenir inyección SQL.
• Protección contra CSRF en todos los formularios.
• Control de acceso por roles (admin, dentista, empleado).
• Registro de auditoría de acciones sensibles.
• Respaldos automáticos diarios (modalidad SaaS).
• Bloqueo de carpetas sensibles por configuración de servidor.

10. Derechos del titular (ARCO y más)

Conforme a la Ley 172-13, los titulares de datos (pacientes, usuarios del sistema) pueden ejercer los siguientes derechos:

• Acceso: saber qué datos tenemos sobre ellos.
• Rectificación: corregir datos inexactos.
• Cancelación: solicitar supresión.
• Oposición: oponerse al tratamiento por motivos legítimos.
• Portabilidad: recibir los datos en formato estructurado.

¿Cómo ejercerlos? Los pacientes deben dirigirse primero a su clínica, que es la responsable directa de sus datos. Si la clínica no da respuesta satisfactoria, o para consultas sobre el sistema Espinaltech, pueden escribir a info@espinaltech.com incluyendo copia de cédula y detalle de la solicitud. Responderemos en un plazo máximo de 10 días hábiles.

11. Menores de edad

En el caso de pacientes menores, la clínica debe contar con el consentimiento del padre, madre o tutor legal antes de cargar datos en la Plataforma.

12. Cookies y tecnologías similares

Usamos cookies técnicas estrictamente necesarias para el funcionamiento de la sesión autenticada. No usamos cookies de publicidad ni rastreo de terceros en el área autenticada.

13. Notificación de incidentes

En caso de una brecha de seguridad que afecte datos personales, notificaremos a la clínica afectada en un plazo no mayor a 72 horas desde que tengamos conocimiento, detallando el alcance, datos comprometidos y medidas adoptadas, según lo dispuesto por la normativa aplicable.

14. Cambios en esta política

Esta política puede actualizarse. Los cambios sustanciales se notificarán por correo al contacto principal de la clínica con al menos 15 días de anticipación.

15. Contacto del Encargado de Protección de Datos

Para cualquier consulta sobre esta política o el tratamiento de tus datos:

• info@espinaltech.com
• WhatsApp
• Santo Domingo, República Dominicana

---

Regulador en República Dominicana: Instituto Dominicano de las Telecomunicaciones (INDOTEL).