Política de Privacidad

Última actualización: Mayo 2026 — Versión 2.0 (cumplimiento LOPDP Ecuador)

1. Información General

ClinicQ es un software de gestión para clínicas dentales operado por Ronaldo Elian Ona Triana (RUC: 0930909460001), con domicilio en Ecuador.

Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos y protegemos la información personal de los usuarios de nuestra plataforma web y aplicación móvil, en cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador, su reglamento, el Acuerdo Ministerial MSP 5216 sobre información confidencial en el sistema nacional de salud y demás normativa aplicable.

1.1 Roles en el tratamiento de datos

  • Responsable del tratamiento: Cada clínica suscriptora es la Responsable de los datos de sus pacientes. Ella determina la finalidad clínica y conserva la relación profesional con el titular.
  • Encargado del tratamiento: ClinicQ (Ronaldo Elian Ona Triana) actúa como Encargado, procesando los datos exclusivamente conforme a las instrucciones de la clínica y a los términos del servicio.

1.2 Delegado de Protección de Datos (DPO)

Para consultas formales sobre el tratamiento de sus datos, ejercicio de derechos o reportes de incidentes de seguridad, puede contactar a nuestro Delegado de Protección de Datos:

DPO ClinicQ: Ronaldo Elian Ona Triana
Correo del DPO: dpo@clinicq.cloud
Correo general de soporte: care@clinicq.cloud

2. Datos que Recopilamos

2.1 Datos de la Clínica (Usuario Administrador)

  • Nombre de la clínica y datos fiscales (RUC)
  • Dirección y datos de contacto
  • Información del personal médico (nombres, especialidades, credenciales SENESCYT)
  • Credenciales de acceso (email y contraseña cifrada)

2.2 Datos de Pacientes

  • Datos de identificación: nombre completo, cédula/pasaporte, fecha de nacimiento
  • Datos de contacto: teléfono, email, dirección
  • Historia clínica dental: anamnesis, odontograma, diagnósticos, tratamientos
  • Imágenes médicas: fotografías dentales, radiografías
  • Información de representante legal (en caso de menores de edad)

2.3 Datos de Uso

  • Registros de acceso y actividad en la plataforma
  • Dispositivo y navegador utilizado
  • Dirección IP (para seguridad)

3. Uso de la Información y Base Legal

Utilizamos los datos recopilados para las siguientes finalidades, indicando la base legal que ampara cada tratamiento conforme a la LOPDP:

Finalidad Base legal (LOPDP)
Gestión clínica: citas, historias clínicas, tratamientos, facturaciónEjecución del contrato profesional clínica-paciente (Art. 7.2 LOPDP) y consentimiento informado para datos sensibles de salud (Art. 7.1 y 22 LOPDP)
Comunicaciones de servicio (recordatorios de citas, notificaciones operativas) vía WhatsApp/Email/SMSEjecución del contrato profesional clínica-paciente (Art. 7.2 LOPDP)
Asistente IA (Zuri) y funciones automatizadas de análisisInterés legítimo del Responsable (Art. 7.6 LOPDP) y consentimiento del usuario al activar la funcionalidad. El paciente puede oponerse al uso de su información por sistemas automatizados (Art. 16 LOPDP)
Cumplimiento normativo (conservación de HC, facturación SRI, reportes MSP)Obligación legal (Art. 7.3 LOPDP)
Mejora del servicio (telemetría agregada, métricas)Interés legítimo (Art. 7.6 LOPDP); datos disociados cuando es posible

La base legal aplicable y la finalidad concreta se informa al titular en el momento de la recolección, ya sea mediante este aviso, los consentimientos clínicos específicos o los formularios del portal de pacientes.

4. Acceso a Cámara y Galería

La aplicación móvil de ClinicQ solicita acceso a:

  • Cámara: Para capturar fotografías clínicas de pacientes (intraorales, extraorales, radiografías)
  • Galería/Almacenamiento: Para seleccionar y subir imágenes existentes a la historia clínica

Estas imágenes se almacenan de forma segura en Firebase Storage y solo son accesibles por el personal autorizado de la clínica.

5. Servicios de Terceros y Subencargados

ClinicQ procesa los datos en su nombre y, para ello, utiliza los siguientes subencargados que están sujetos a obligaciones contractuales de confidencialidad y seguridad equivalentes a las nuestras:

  • Google Cloud Platform / Firebase (Google LLC, EE. UU.): infraestructura, base de datos Firestore, autenticación Firebase Auth, almacenamiento Cloud Storage, ejecución de Cloud Functions y procesamiento del asistente IA en Vertex AI. La relación se rige por el Data Processing Addendum (DPA) y las Cláusulas Contractuales Tipo de Google Cloud.
  • Twilio Inc. (EE. UU.): envío de mensajes WhatsApp, SMS y llamadas de voz para recordatorios y comunicación clínica.
  • PayPhone (Ecuador): procesamiento de pagos en línea de las suscripciones de la clínica al servicio ClinicQ. No procesa datos de pacientes.

5.1 Asistente IA "Zuri" (Vertex AI Gemini)

Para responder a las consultas del personal autorizado de la clínica, ClinicQ envía al modelo Gemini operado por Google en Vertex AI información del contexto operativo de la clínica, que puede incluir nombres de pacientes, datos de contacto, agenda de citas, saldos pendientes y datos clínicos cuando son necesarios para la consulta. Estos datos sí son identificables. Sin embargo:

  • Google Cloud DPA garantiza contractualmente que los datos enviados a Vertex AI no se utilizan para entrenar modelos públicos.
  • Los datos se transmiten cifrados y se procesan únicamente para generar la respuesta solicitada.
  • La clínica puede activar el "modo anónimo de Zuri" en la configuración para reemplazar nombres, cédulas y teléfonos por identificadores opacos antes de enviar el contexto al modelo.
  • El titular puede oponerse, mediante solicitud al DPO, a que su información sea procesada por sistemas de IA automatizada, conforme al Art. 16 LOPDP.

6. Almacenamiento, Seguridad y Transferencia Internacional

6.1 Medidas técnicas y organizativas

  • Toda la información se transmite mediante conexiones cifradas (HTTPS/TLS 1.2+).
  • Las contraseñas se almacenan en Firebase Auth con hash criptográfico irreversible — nunca en texto plano.
  • Datos en reposo cifrados por default en Firestore y Cloud Storage (AES-256).
  • Autenticación obligatoria mediante Firebase Auth, con segundo factor (OTP / TOTP) opcional para personal y administrador.
  • reCAPTCHA Enterprise en puntos sensibles (login, registro, portal de pacientes) y rate-limit en flujos OTP.
  • Arquitectura multi-tenant con reglas de seguridad de Firestore que aíslan los datos de cada clínica.
  • Registro de auditoría (audit log) por tenant que conserva quién hizo qué, cuándo y desde qué IP, incluido el acceso a historias clínicas, conforme al Acuerdo Ministerial MSP 5216.
  • Versionado automático de historias clínicas: toda modificación deja registrada la versión anterior para garantizar la inalterabilidad del expediente.

6.2 Transferencia internacional de datos

Los datos se almacenan y procesan en infraestructura de Google Cloud Platform ubicada en los Estados Unidos de América (región us-central1). Esta transferencia internacional se realiza sobre la base de:

  • Las Cláusulas Contractuales Tipo y el Data Processing Addendum suscritos con Google Cloud, conforme al Art. 56 y siguientes de la LOPDP.
  • El consentimiento expreso del titular al aceptar esta política.
  • La necesidad de la transferencia para la prestación del servicio contratado por la clínica.

Google Cloud cuenta con certificaciones ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 y HIPAA, que garantizan un nivel de protección adecuado para datos sensibles de salud.

7. Retención de Datos

Conservamos los datos mientras la cuenta de la clínica esté activa. Las historias clínicas se conservan conforme a la normativa ecuatoriana del sector salud:

  • Pacientes adultos: mínimo 15 años desde la última atención.
  • Pacientes que ingresaron siendo menores de edad: hasta la mayoría de edad del titular más 15 años adicionales.

Al cancelar la suscripción, la clínica dispone de 30 días para exportar sus datos. Posteriormente, los datos serán eliminados de nuestros servidores en un plazo máximo de 90 días, salvo aquellos que la ley nos obligue a conservar.

8. Derechos del Titular (ARCO-PAL)

De acuerdo con los Arts. 12 al 21 de la LOPDP, los titulares de los datos personales tienen los siguientes derechos:

  • Acceso: obtener confirmación del tratamiento, copia de los datos y conocer las finalidades, destinatarios y plazos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Eliminación o supresión ("derecho al olvido"): obtener la eliminación de datos cuando ya no sean necesarios o se revoque el consentimiento, salvo obligación legal de conservación.
  • Oposición: oponerse al tratamiento por motivos legítimos, incluso a las decisiones automatizadas (Art. 16 LOPDP).
  • Portabilidad: recibir los datos en formato estructurado, de uso común y lectura mecánica (JSON / PDF).
  • Anulación: dejar sin efecto el tratamiento cuando se haya producido en infracción de la ley.
  • Limitación: restringir temporalmente el tratamiento mientras se resuelven controversias sobre exactitud o legitimidad.

8.1 Cómo ejercer estos derechos

Existen dos vías:

  1. Vía digital: desde el portal de paciente citas.clinicq.cloud/mi-cuenta, sección "Mis datos personales — Derechos ARCO-PAL".
  2. Vía correo: escribir a dpo@clinicq.cloud indicando el derecho que desea ejercer, su identificación y la clínica donde es atendido.

8.2 Plazo de respuesta

Daremos respuesta motivada en un plazo máximo de 15 días contados desde la recepción de la solicitud, conforme al Art. 13 LOPDP. Si la solicitud no puede atenderse en ese plazo por su complejidad, se informará al titular las razones y se ampliará por una sola vez hasta 15 días adicionales.

8.3 Recurso ante la Autoridad

Si el titular considera que sus derechos no han sido atendidos adecuadamente, puede presentar reclamo ante la Superintendencia de Protección de Datos Personales (SPDP) de la República del Ecuador.

9. Datos de Menores

ClinicQ puede contener datos de pacientes menores de edad, siempre bajo la supervisión y consentimiento de su representante legal. La clínica es Responsable de obtener el consentimiento apropiado de los padres o tutores, conforme al Art. 23 LOPDP.

10. Decisiones Automatizadas y Perfilado

Algunas funciones de la plataforma (asistente IA Zuri, alertas proactivas de agenda, recordatorios automáticos, sugerencias de tratamiento basadas en patrones) implican el tratamiento automatizado de datos. Conforme al Art. 16 LOPDP, el titular tiene derecho a:

  • Conocer la lógica general empleada (descrita en este aviso y en la documentación de Zuri).
  • Oponerse a ser objeto de decisiones automatizadas que produzcan efectos jurídicos o significativos.
  • Solicitar intervención humana en cualquier decisión automatizada que le afecte.

ClinicQ no toma decisiones sobre tratamientos médicos de forma autónoma: las sugerencias de Zuri son siempre revisadas por el profesional de la salud antes de aplicarlas.

11. Notificación de Brechas de Seguridad

En caso de incidente de seguridad que comprometa la confidencialidad, integridad o disponibilidad de datos personales, ClinicQ notificará a la Superintendencia de Protección de Datos Personales dentro de las 72 horas siguientes a su conocimiento, conforme al Art. 45 LOPDP, y comunicará al titular cuando exista un riesgo alto para sus derechos.

12. Cambios en esta Política

Podemos actualizar esta política ocasionalmente. Notificaremos cambios significativos por email o mediante aviso en la plataforma con al menos 30 días de anticipación. El uso continuado del servicio después de los cambios constituye aceptación de la política actualizada.

13. Contacto

Encargado del Tratamiento (ClinicQ):
Ronaldo Elian Ona Triana
RUC: 0930909460001 — Ecuador
Correo del DPO: dpo@clinicq.cloud
Correo general: care@clinicq.cloud
WhatsApp: +593 96 322 4784

Autoridad de Control:
Superintendencia de Protección de Datos Personales (SPDP) — Ecuador
Sitio web: www.proteccion-datos.gob.ec