Sanara Volver
Documento Legal

Política de Privacidad

En Sanara nos comprometemos a proteger la privacidad de nuestros usuarios y de los pacientes cuyos datos son tratados a través de nuestra plataforma. Esta política describe cómo recopilamos, usamos, almacenamos y protegemos la información personal.

Última actualización: 21 de marzo de 2026 · Versión 1.0 · Idioma: Español

Contenido

  1. 01 Quiénes Somos y Ámbito de Aplicación
  2. 02 Datos que Recopilamos
  3. 03 Uso de la API de WhatsApp Business (Meta)
  4. 04 Finalidades del Tratamiento
  5. 05 Base Legal del Tratamiento
  6. 06 Datos de Salud y Cumplimiento HIPAA
  7. 07 Compartir Datos con Terceros
  8. 08 Seguridad de los Datos
  9. 09 Retención de Datos
  10. 10 Derechos de los Titulares
  11. 11 Transferencias Internacionales
  12. 12 Cookies y Tecnologías Similares
  13. 13 Menores de Edad
  14. 14 Cambios a esta Política
  15. 15 Contacto y Responsable del Tratamiento
01

Quiénes Somos y Ámbito de Aplicación

Sanara AI (en adelante, "Sanara", "nosotros" o "la Empresa") es una plataforma tecnológica de gestión clínica con inteligencia artificial, cuyo sitio web está disponible en sanara.cloud. Sanara ofrece herramientas de automatización para clínicas, consultorios médicos y profesionales de la salud en Latinoamérica, incluyendo un asistente de IA para WhatsApp que gestiona citas, recordatorios y seguimiento de pacientes.

Esta Política de Privacidad aplica a:

  • Visitantes del sitio web sanara.cloud
  • Clientes y suscriptores de la plataforma (clínicas, consultorios, profesionales médicos)
  • Pacientes cuyos datos son procesados a través de la plataforma Sanara en nombre de los clientes
  • Usuarios que interactúan con el asistente de IA de Sanara a través de WhatsApp

Sanara actúa como responsable del tratamiento respecto a los datos de sus clientes directos, y como encargado del tratamiento respecto a los datos de pacientes que las clínicas nos confían para la prestación del servicio.

02

Datos que Recopilamos

A. Datos de Clientes (Clínicas y Profesionales)

  • Nombre completo, cargo y datos de contacto del representante o administrador
  • Nombre legal y comercial de la clínica o consultorio
  • Dirección de correo electrónico y número de teléfono empresarial
  • Información de facturación y pago (procesada de forma segura por terceros certificados)
  • Número de teléfono registrado en WhatsApp Business
  • Datos de uso y configuración de la plataforma

B. Datos de Pacientes (tratados en nombre de las clínicas)

  • Nombre y apellidos del paciente
  • Número de teléfono móvil (usado para la comunicación por WhatsApp)
  • Fecha, hora y tipo de cita médica
  • Historial de citas y estado de asistencia
  • Contenido de los mensajes de WhatsApp relacionados con la gestión de citas
  • Información médica básica que el paciente comparte voluntariamente en la conversación

C. Datos Técnicos y de Navegación

  • Dirección IP y datos de geolocalización aproximada
  • Tipo de navegador, sistema operativo y dispositivo
  • Páginas visitadas, tiempo de sesión y fuente de tráfico
  • Registros de errores y eventos del sistema (logs)
03

Uso de la API de WhatsApp Business (Meta)

Sanara es un proveedor de soluciones tecnológicas que utiliza la API de WhatsApp Business, un servicio de Meta Platforms, Inc., para ofrecer funcionalidades de mensajería automatizada a sus clientes.

Cómo usamos la API de WhatsApp Business

  • Comunicación con pacientes: enviamos y recibimos mensajes de WhatsApp en nombre de las clínicas para confirmar, recordar y gestionar citas médicas.
  • Automatización de respuestas: nuestro motor de NLP (Procesamiento de Lenguaje Natural) interpreta los mensajes entrantes y genera respuestas automáticas dentro del flujo de gestión de citas.
  • Notificaciones proactivas: enviamos recordatorios de citas y seguimientos post-consulta previamente consentidos por los pacientes.

Datos compartidos con Meta

Al utilizar la API de WhatsApp Business, Meta procesa los datos de mensajería de acuerdo con su propia Política de Privacidad de WhatsApp y los Términos de Servicio para Desarrolladores de Meta. Esto incluye:

  • Números de teléfono de los remitentes y destinatarios
  • Metadatos de los mensajes (hora de envío, estado de entrega y lectura)
  • Contenido de los mensajes para la entrega técnica del servicio

Sanara no utiliza los datos procesados a través de la API de WhatsApp Business para fines publicitarios ni los comparte con Meta para fines distintos a los estrictamente necesarios para la prestación del servicio de mensajería.

Consentimiento y opt-out

El envío de mensajes de WhatsApp a pacientes se realiza únicamente con el consentimiento previo y expreso del paciente, otorgado directamente a la clínica. Los pacientes pueden revocar este consentimiento en cualquier momento respondiendo "STOP" o "DETENER" a cualquier mensaje, o contactando directamente a su clínica. Una vez recibida la solicitud, cesaremos el envío de mensajes automatizados en un plazo máximo de 24 horas.

04

Finalidades del Tratamiento

Sanara trata los datos personales para las siguientes finalidades:

Prestación del Servicio

Gestión de citas, recordatorios automáticos, sincronización de calendarios y operación del asistente de IA.

Administración Contractual

Alta de clientes, facturación, soporte técnico y gestión de la relación comercial.

Mejora del Producto

Análisis de uso anonimizado para mejorar la calidad y precisión de los algoritmos de IA (solo con datos disociados o anónimos).

Seguridad y Cumplimiento

Prevención de fraude, auditoría de accesos, cumplimiento de obligaciones legales y regulatorias.

Comunicaciones Comerciales

Información sobre actualizaciones, nuevas funcionalidades y noticias de Sanara (solo a clientes con consentimiento).

Análisis Web

Medición del rendimiento del sitio web, origen del tráfico y comportamiento de navegación con fines estadísticos.

06

Datos de Salud y Cumplimiento HIPAA

Sanara reconoce la naturaleza especialmente sensible de los datos de salud y aplica medidas de protección reforzadas en conformidad con los principios de la HIPAA (Health Insurance Portability and Accountability Act) de los Estados Unidos y las legislaciones locales de protección de datos de salud en Latinoamérica.

  • Toda la información de salud protegida (PHI – Protected Health Information) que transite o se almacene en nuestra plataforma se encuentra cifrada en tránsito y en reposo mediante estándares AES-256 y TLS 1.3.
  • Suscribimos Acuerdos de Asociado de Negocios (BAA) con nuestros clientes clínicos cuando aplica bajo las regulaciones HIPAA.
  • El acceso a datos de pacientes está estrictamente restringido al personal autorizado bajo principios de mínimo privilegio.
  • Los datos de salud nunca se utilizan para fines publicitarios ni se comparten con terceros para perfilado o segmentación.
  • Mantenemos un registro de actividades de tratamiento (audit log) para todas las operaciones sobre datos de salud.
07

Compartir Datos con Terceros

Sanara no vende, alquila ni comercializa datos personales. Podemos compartir datos con terceros únicamente en los siguientes casos:

Proveedor / Categoría Finalidad Datos compartidos
Meta Platforms (WhatsApp Business API) Envío y recepción de mensajes de WhatsApp Número de teléfono, contenido de mensajes, metadatos de entrega
Proveedores de infraestructura en la nube Alojamiento y procesamiento seguro de datos Datos cifrados de la plataforma
Procesadores de pago Facturación y cobro de suscripciones Datos de facturación (no almacenamos tarjetas)
Servicios de analítica web Análisis de rendimiento del sitio web Datos técnicos anonimizados
Autoridades competentes Cumplimiento de obligaciones legales Solo lo exigido por ley o resolución judicial

Todos nuestros proveedores han suscrito acuerdos de confidencialidad y tratamiento de datos que garantizan niveles de protección equivalentes a los establecidos en esta Política.

08

Seguridad de los Datos

Sanara implementa un marco de seguridad de múltiples capas alineado con los estándares internacionales ISO/IEC 27001, OWASP y los principios de Privacy by Design, para proteger los datos personales contra acceso no autorizado, pérdida, alteración o divulgación.

key

Autenticación y Autorización con OAuth 2.0

Toda la comunicación con nuestras APIs está protegida mediante el protocolo estándar de la industria OAuth 2.0. Este protocolo garantiza que ningún tercero pueda acceder a los datos de la plataforma sin un token de acceso válido, con alcances (scopes) estrictamente definidos y de duración limitada. Los tokens de refresco están protegidos mediante rotación automática y revocación inmediata ante cualquier señal de compromiso.

Medidas técnicas implementadas

lock

Cifrado end-to-end

TLS 1.3 en tránsito y AES-256 en reposo para todos los datos sensibles y backups.

verified_user

Autenticación multifactor (MFA)

MFA obligatorio para todos los accesos a la plataforma y paneles de administración internos.

admin_panel_settings

Control de accesos (RBAC)

Modelo de mínimo privilegio: cada rol accede únicamente a los recursos que necesita para operar.

manage_search

Auditoría y logging

Registro inmutable de todos los accesos y operaciones sobre datos (audit log), con alertas en tiempo real.

security

Pruebas de penetración

Auditorías de seguridad periódicas y pentesting para identificar y corregir vulnerabilidades proactivamente.

cloud_done

Infraestructura segura

Servidores en proveedores cloud certificados SOC 2 Type II, con redes privadas virtuales y firewalls de aplicación web (WAF).

backup

Copias de seguridad

Backups cifrados automatizados con replicación geográfica y plan de recuperación ante desastres (RTO < 4h).

https

Comunicaciones seguras vía HTTPS

Todo el tráfico web y de API opera exclusivamente bajo HTTPS con certificados SSL/TLS válidos y renovación automática.

Gestión de incidentes de seguridad

Contamos con un plan formal de respuesta a incidentes. En caso de producirse una brecha de seguridad que afecte datos personales:

  • Contendremos y evaluaremos el incidente en un plazo máximo de 72 horas desde su detección.
  • Notificaremos a los clientes y titulares afectados de forma clara e inmediata.
  • Reportaremos a las autoridades regulatorias competentes dentro de los plazos establecidos por la normativa aplicable.
  • Publicaremos un informe post-incidente con las medidas correctivas adoptadas.
09

Retención de Datos

Conservamos los datos personales únicamente durante el tiempo necesario para cumplir las finalidades para las que fueron recopilados:

Tipo de dato Período de retención
Datos de clientes activos Mientras dure la relación contractual + 5 años
Datos de clientes inactivos 3 años desde la baja del servicio
Historial de citas de pacientes 5 años o según lo exigido por la normativa sanitaria local
Mensajes de WhatsApp 90 días (logs operacionales) + hasta 2 años en archivo
Datos de facturación 7 años (obligación fiscal)
Logs de auditoría de seguridad 2 años
Datos de navegación web 13 meses

Transcurridos estos plazos, los datos serán eliminados de forma segura o anonimizados irreversiblemente.

10

Derechos de los Titulares

Los titulares de datos personales (clientes y, con las particularidades indicadas, pacientes) tienen los siguientes derechos:

Derecho de Acceso

Conocer qué datos personales suyos tratamos, con qué finalidad y de dónde provienen.

Derecho de Rectificación

Solicitar la corrección de datos inexactos o incompletos.

Derecho de Supresión

Solicitar la eliminación de sus datos cuando ya no sean necesarios o retire su consentimiento.

Derecho de Portabilidad

Recibir sus datos en un formato estructurado, de uso común y lectura mecánica.

Derecho de Oposición

Oponerse al tratamiento de sus datos en determinadas circunstancias, incluida la comunicación comercial.

Derecho de Limitación

Solicitar que el tratamiento de sus datos quede suspendido mientras se resuelve una reclamación.

Para ejercer cualquiera de estos derechos, envíe una solicitud a support@sanara.cloud indicando su nombre, el derecho que desea ejercer y adjuntando una copia de su documento de identidad. Responderemos en un plazo máximo de 30 días hábiles.

Los pacientes que deseen ejercer sus derechos sobre los datos gestionados en nombre de una clínica deberán dirigirse en primera instancia a dicha clínica, que actúa como responsable del tratamiento en esa relación.

11

Transferencias Internacionales de Datos

Debido a la naturaleza de los servicios tecnológicos que prestamos, algunos datos personales pueden ser transferidos a servidores ubicados fuera del país de residencia del titular, incluyendo los Estados Unidos y la Unión Europea, para la prestación de servicios como la API de WhatsApp Business (Meta) y la infraestructura en la nube.

Estas transferencias se realizan siempre bajo salvaguardas adecuadas, incluyendo:

  • Cláusulas contractuales estándar aprobadas por las autoridades competentes
  • Adhesión de los proveedores a marcos de protección de datos reconocidos internacionalmente
  • Cifrado de extremo a extremo durante la transmisión
12

Cookies y Tecnologías Similares

El sitio web sanara.cloud utiliza cookies y tecnologías similares para garantizar su correcto funcionamiento y mejorar la experiencia del usuario.

Esenciales

Necesarias para el funcionamiento básico del sitio. No requieren consentimiento.

Analíticas

Permiten medir el tráfico y comportamiento de navegación de forma anonimizada para mejorar el sitio. Requieren consentimiento.

Marketing

Utilizadas para mostrar publicidad relevante. Actualmente no las usamos. Si esto cambia, actualizaremos esta política y solicitaremos consentimiento.

Puede gestionar o deshabilitar las cookies desde la configuración de su navegador. Para más detalles, consulte nuestra Política de Cookies.

13

Menores de Edad

Los servicios de Sanara están dirigidos exclusivamente a empresas y profesionales de la salud mayores de 18 años. No recopilamos intencionadamente datos personales de menores de edad de forma directa.

En el contexto clínico, el tratamiento de datos de menores pacientes se realiza únicamente bajo la responsabilidad de la clínica contratante y con el consentimiento del tutor legal, de conformidad con la normativa aplicable en cada país.

Si tenemos conocimiento de que hemos recopilado inadvertidamente datos de menores sin el consentimiento parental requerido, procederemos a su eliminación inmediata.

14

Cambios a esta Política

Sanara se reserva el derecho de actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, en la tecnología o en la normativa aplicable. Cuando realicemos cambios materiales:

  • Actualizaremos la fecha de "Última actualización" al inicio de este documento.
  • Notificaremos a los clientes activos por correo electrónico con al menos 15 días de antelación.
  • Mostraremos un aviso visible en el sitio web durante el período de transición.

El uso continuado de los servicios tras la entrada en vigor de los cambios implica la aceptación de la nueva Política.

15

Contacto y Responsable del Tratamiento

Para cualquier consulta, solicitud o reclamación relacionada con el tratamiento de datos personales, puede contactarnos a través de los siguientes canales:

Empresa Sanara AI
Sitio web sanara.cloud
Contacto support@sanara.cloud

Si considera que el tratamiento de sus datos no se ajusta a lo establecido en esta Política o a la normativa aplicable, tiene derecho a presentar una reclamación ante la autoridad de protección de datos competente en su país.

Volver al inicio

© 2026 Sanara AI. Todos los derechos reservados.