Política de Privacidad

Última actualización: Mayo 2026

1. Responsable del Tratamiento

El responsable del tratamiento de sus datos personales es el profesional que utiliza esta plataforma para gestionar sus citas. La plataforma Ritmia actúa como encargado del tratamiento, procesando los datos únicamente según las instrucciones del profesional.

2. Datos que Accedemos y Recopilamos

Recopilamos los siguientes datos personales cuando usted agenda una cita o cuando el profesional utiliza la plataforma:

2.1 Datos del paciente/cliente

  • Datos de identificación: Nombre completo, RUT (cédula de identidad chilena)
  • Datos de contacto: Número de teléfono, correo electrónico
  • Datos de la cita: Fecha, hora, servicio solicitado, estado de asistencia
  • Datos técnicos: Dirección IP (para registro de consentimiento)
  • Notas clínicas: Información registrada por el profesional durante la atención (zonas corporales tratadas, procedimientos, planes de tratamiento, odontograma dental según corresponda)
  • Archivos adjuntos: Imágenes o documentos PDF subidos por el profesional relacionados con la atención clínica
  • Reseñas: Calificación y comentarios que usted voluntariamente proporcione sobre el servicio recibido

2.2 Datos del profesional (usuario de la plataforma)

  • Datos de cuenta: Nombre, correo electrónico, teléfono, dirección del negocio
  • Datos de autenticación: Google ID (si usa login con Google) o contraseña cifrada

2.3 Datos obtenidos de Google (OAuth y Calendar)

  • Google OAuth (login): Nombre, correo electrónico y foto de perfil de su cuenta de Google, utilizados exclusivamente para autenticar su identidad
  • Google Calendar (opcional): Si el profesional conecta su Google Calendar, accedemos al permiso calendar.events para crear, modificar y eliminar eventos de citas en su calendario. No leemos ni accedemos a eventos preexistentes del calendario del usuario

3. Finalidad del Tratamiento (Para Qué Usamos los Datos)

Sus datos personales serán utilizados exclusivamente para:

  • Gestión de citas: Crear, confirmar, modificar y cancelar reservas de hora
  • Recordatorios: Enviar recordatorios automáticos de citas por WhatsApp y/o correo electrónico (24 horas y 2 horas antes de la cita)
  • Historial clínico: Permitir al profesional llevar un registro de su historial de atenciones y notas clínicas
  • Sincronización de calendario: Crear eventos en Google Calendar del profesional para reflejar las citas agendadas (solo si el profesional activó esta integración)
  • Autenticación: Verificar la identidad del profesional mediante Google OAuth para acceder al panel de gestión
  • Comunicaciones operativas: Enviar confirmaciones de cita, códigos de confirmación y notificaciones de cambios
  • Cumplimiento legal: Cumplir con obligaciones legales aplicables, incluyendo la Ley 19.628 sobre Protección de la Vida Privada

No utilizamos sus datos para publicidad, perfilamiento comercial, ni entrenamiento de modelos de inteligencia artificial.

4. Compromiso de No Venta de Datos

Nos comprometemos expresamente a NO vender, alquilar, comercializar ni compartir sus datos personales con terceros para fines comerciales, publicitarios o de marketing.

Sus datos solo serán accedidos por el profesional con quien usted agenda su cita y por el personal técnico estrictamente necesario para el funcionamiento de la plataforma.

5. Cómo Almacenamos y Protegemos los Datos

Sus datos se almacenan de forma segura utilizando la siguiente infraestructura:

  • Base de datos: Amazon DynamoDB, un servicio de base de datos administrado por Amazon Web Services (AWS), con cifrado en reposo habilitado por defecto y recuperación point-in-time en producción
  • Archivos: Amazon S3 con cifrado del lado del servidor para imágenes y documentos clínicos
  • Credenciales y tokens: AWS Secrets Manager para almacenar de forma segura claves de acceso y tokens de integración
  • Transmisión: Todas las comunicaciones entre su navegador y nuestros servidores están cifradas mediante HTTPS/TLS
  • Aislamiento de datos: Los datos de cada profesional están lógicamente aislados (multi-tenant), impidiendo que un profesional acceda a datos de otro
  • Tokens de Google: Los tokens de acceso a Google Calendar se almacenan cifrados y solo se utilizan para sincronizar citas del profesional que otorgó el permiso

Nuestros servidores están ubicados en la región us-east-1 de AWS (Virginia, Estados Unidos). Los datos se procesan conforme a los estándares de seguridad de AWS y las políticas de protección de datos aplicables.

6. Servicios de Terceros

Para operar la plataforma, compartimos datos limitados con los siguientes proveedores:

  • Google (OAuth y Calendar): Nombre y correo electrónico para autenticación; eventos de citas para sincronización de calendario. Sujeto a la Política de Privacidad de Google
  • Meta/WhatsApp Business API: Número de teléfono y nombre del paciente para enviar recordatorios de citas. Sujeto a la Política de Privacidad de WhatsApp
  • Amazon Web Services (AWS): Infraestructura de alojamiento, base de datos y envío de correos electrónicos (SES). Sujeto al Aviso de Privacidad de AWS

Ninguno de estos proveedores tiene acceso a la totalidad de sus datos. Solo reciben la información mínima necesaria para cumplir su función específica.

7. Uso de Datos Anonimizados

Podremos utilizar datos completamente anonimizados (sin RUT, nombre, correo electrónico ni teléfono) para análisis estadísticos y de comportamiento que nos permitan mejorar el servicio. Estos datos anonimizados no permiten identificar a ninguna persona individual.

8. Período de Retención

Sus datos personales serán conservados según los siguientes criterios:

  • Datos de pacientes: Mientras mantenga una relación activa con el profesional, o hasta que solicite su eliminación
  • Sesiones de autenticación: 7 días desde el último inicio de sesión
  • Tokens de recuperación: Se eliminan automáticamente tras su uso o expiración
  • Registros de consentimiento: Se conservan indefinidamente como evidencia legal
  • Tokens de Google Calendar: Mientras el profesional mantenga la integración activa; se eliminan al desconectar

9. Cómo Eliminar sus Datos

Usted puede solicitar la eliminación de sus datos personales de las siguientes formas:

  • Solicitud ARCO online: Visite nuestra página de Derechos ARCO y seleccione "Cancelación (Eliminación)". Recibirá un código de verificación por correo electrónico para confirmar su identidad
  • Contacto directo: Solicite al profesional con quien se atendió que elimine sus datos desde su panel de gestión
  • Correo electrónico: Envíe un correo a privacidad@ritmia.cl indicando su nombre, RUT y el profesional con quien se atendió

Proceso de eliminación: Al recibir su solicitud verificada, procederemos a anonimizar sus datos personales (nombre, RUT, teléfono, email) dentro de un plazo máximo de 15 días hábiles. Se conservará únicamente un hash irreversible como referencia interna y datos estadísticos no identificables.

Revocación de acceso a Google: Si es profesional y desea revocar el acceso de Ritmia a su cuenta de Google, puede hacerlo desde la configuración de permisos de su cuenta de Google o desconectando Google Calendar desde el panel de configuración de Ritmia. Al revocar el acceso, eliminaremos los tokens almacenados y dejaremos de sincronizar su calendario.

10. Sus Derechos (ARCO)

De acuerdo con la Ley 19.628 sobre Protección de la Vida Privada, usted tiene los siguientes derechos:

  • Acceso: Solicitar un informe completo de qué datos suyos tenemos almacenados, incluyendo historial de citas, notas clínicas y registros de consentimiento
  • Rectificación: Corregir datos inexactos o incompletos (nombre, teléfono, email)
  • Cancelación: Solicitar la eliminación/anonimización de sus datos personales
  • Oposición: Oponerse al envío de recordatorios por WhatsApp o email

Para ejercer estos derechos, visite nuestra página de Derechos ARCO. Las solicitudes se procesan en un plazo máximo de 15 días hábiles.

11. Seguridad de los Datos

Implementamos medidas de seguridad técnicas y organizativas apropiadas para proteger sus datos personales contra acceso no autorizado, pérdida, alteración o destrucción. Esto incluye cifrado de datos en tránsito (TLS 1.2+) y en reposo (AES-256), controles de acceso basados en roles (RBAC), aislamiento multi-tenant, cabeceras de seguridad HTTP (HSTS, CSP, X-Frame-Options), y auditorías de acceso a datos.

12. Contacto

Si tiene preguntas sobre esta política de privacidad o sobre el tratamiento de sus datos, puede:

  • Contactar directamente al profesional con quien agendó su cita
  • Escribir a privacidad@ritmia.cl
  • Utilizar el formulario de Derechos ARCO en /legal/arco

13. Cambios a esta Política

Nos reservamos el derecho de actualizar esta política de privacidad. Cualquier cambio será publicado en esta página con la fecha de actualización correspondiente. Le recomendamos revisar periódicamente esta política.

Ver Términos de ServicioEjercer Derechos ARCO