Documento legal

Política de Privacidad

Fecha de vigencia: [Fecha de Vigencia] (provisional: 20 de mayo de 2026)

Última actualización: [Última Actualización]

Versión: 1.0

Aviso — documento de plantilla

Este documento constituye una plantilla de Política de Privacidad elaborada para los fines de [Nombre de la Empresa] y su producto Pluma. Antes de publicarse o ponerse en vigor, debe ser revisado y validado por un asesor legal calificado en materia de protección de datos personales y, cuando aplique, en regulación del sector salud, así como ajustado a los marcos jurídicos del país o países en los que opere efectivamente el servicio. El uso de esta plantilla no constituye asesoría legal. Los marcadores entre corchetes (por ejemplo, [Nombre de la Empresa]) deben sustituirse con los datos definitivos correspondientes.

La presente Política de Privacidad (en adelante, la “Política”) describe la forma en que [Nombre de la Empresa] (en adelante, “la Empresa”, “nosotros”, “nuestro” o “Pluma”) recopila, utiliza, almacena, comparte y protege la información personal de los usuarios y demás personas cuyos datos puedan ser tratados a través del producto Pluma y sus servicios asociados (en adelante, el “Servicio”). Al acceder o utilizar el Servicio, el usuario reconoce haber leído, comprendido y aceptado los términos descritos en este documento.

Sección 1Introducción y alcance

1.1. Identidad del responsable del tratamiento

El responsable del tratamiento de los datos personales recabados a través del Servicio es [Nombre de la Empresa], con domicilio legal en [Dirección de la Empresa], con número de identificación tributaria [NIT o identificador fiscal], en adelante referido como “la Empresa” o “Pluma”. Las consultas relacionadas con esta Política o con el ejercicio de derechos pueden dirigirse al correo electrónico soporte@mipluma.app.

1.2. Objeto de la Política

Esta Política tiene por objeto informar de manera transparente y comprensible las prácticas de tratamiento de información personal aplicadas por la Empresa en relación con el Servicio, incluyendo, entre otros aspectos, los tipos de datos recopilados, las finalidades de su tratamiento, las bases legales aplicables, los destinatarios potenciales, los plazos de conservación, las medidas de seguridad implementadas y los derechos que pueden ejercer los titulares de los datos.

1.3. Alcance material

Esta Política aplica a toda la información personal tratada por Pluma a través de:

El sitio web alojado en el dominio mipluma.app y sus subdominios.
La aplicación web del Servicio y cualquier interfaz funcional asociada.
Las comunicaciones electrónicas que la Empresa pueda intercambiar con los usuarios.
Cualquier otro canal autorizado por la Empresa que se incorpore en el futuro y al que se haga referencia expresa a esta Política.

1.4. Alcance personal

Esta Política aplica a:

Usuarios registrados: profesionales (médicos, psicólogos, nutricionistas y, cuando aplique, otras profesiones similares) que creen una cuenta para utilizar el Servicio.
Visitantes: personas que accedan al sitio web sin crear una cuenta.
Terceros mencionados: pacientes, clientes u otras personas cuya información pueda aparecer mencionada por un usuario durante el uso del Servicio. La Empresa no mantiene relación contractual directa con dichos terceros; la base legal y la obtención del consentimiento correspondiente recaen sobre el usuario profesional, en su calidad de responsable directo frente a su paciente o cliente.

1.5. Aceptación de la Política

El acceso o uso del Servicio implica, en la medida permitida por la legislación aplicable, el conocimiento y aceptación de los términos de esta Política. Si el usuario no estuviera de acuerdo con esta Política, deberá abstenerse de utilizar el Servicio.

1.6. Definiciones

Datos Personales: Cualquier información relativa a una persona física identificada o identificable, directa o indirectamente.
Tratamiento: Cualquier operación o conjunto de operaciones aplicadas a datos personales, ya sea por medios automatizados o manuales, incluyendo recolección, registro, almacenamiento, conservación, modificación, consulta, utilización, comunicación, transferencia, supresión o destrucción.
Responsable del Tratamiento: La persona física o jurídica que determina los fines y medios del tratamiento de los datos personales. En el contexto de esta Política, el responsable es la Empresa.
Encargado del Tratamiento: La persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento, en virtud de un contrato u otro acto jurídico.
Usuario: Toda persona que accede o utiliza el Servicio, ya sea como visitante o como titular de una cuenta registrada.
Servicio: El conjunto de funcionalidades ofrecidas por Pluma a través del sitio web, aplicación, o cualquier otro medio autorizado, incluyendo la grabación, transcripción, estructuración y entrega de notas profesionales.
Contenido del Usuario: Toda información, texto, audio u otro material introducido, generado o cargado por el usuario en el Servicio, incluyendo grabaciones de consultas y notas asociadas.

1.7. Jurisdicción

Esta Política se interpreta y aplica conforme a la legislación vigente en [Jurisdicción / República de Guatemala], sin perjuicio del cumplimiento de marcos legales internacionales aplicables cuando corresponda según la ubicación o nacionalidad del usuario, según se desarrolla en la Sección 18.

Sección 2Información que recopilamos

Para prestar el Servicio, la Empresa puede recopilar diversos tipos de información personal y no personal. La información se obtiene a través de tres vías principales: (i) la que el usuario nos proporciona directamente, (ii) la que se recopila automáticamente al utilizar el Servicio y (iii) la que recibimos de terceros, cuando aplique. Las secciones 3 y 4 desarrollan en detalle las dos primeras categorías.

2.1. Categorías generales de información

Datos identificativos: nombre, correo electrónico, profesión ejercida.
Datos de autenticación: contraseñas (almacenadas de forma cifrada por nuestro proveedor de autenticación), tokens de sesión.
Contenido del usuario: grabaciones de audio (de forma transitoria), transcripciones, notas estructuradas, nombres de pacientes o clientes introducidos por el profesional.
Datos técnicos: dirección IP, identificadores de dispositivo, tipo de navegador, sistema operativo, marcas de tiempo, registros de acceso.
Datos de uso: interacciones con la aplicación, funciones utilizadas, errores reportados.
Datos de comunicación: correos electrónicos enviados al soporte, retroalimentación, reportes de problemas.
Datos de facturación: cuando aplique, información necesaria para procesar pagos a través de un procesador externo.

2.2. Datos sensibles

Si bien la Empresa no solicita expresamente datos sensibles de salud, los contenidos de las consultas introducidos en el Servicio pueden contener, por su naturaleza, información sensible relativa a la salud o al estado físico, mental o emocional del paciente del usuario. Estos datos se tratan con un nivel adicional de cuidado, conforme a las medidas técnicas y organizativas descritas en la Sección 12, y permanecen bajo la responsabilidad directa del usuario profesional ante sus pacientes.

Sección 3Información que el usuario proporciona

3.1. Información de registro y cuenta

Al crear una cuenta, el usuario debe proporcionar:

Nombre o nombre profesional para identificación dentro del Servicio.
Dirección de correo electrónico válida, que será verificada mediante un enlace de confirmación antes de habilitar el acceso al Servicio.
Contraseña de su elección, sujeta a los requisitos mínimos de complejidad que la Empresa pueda establecer.
Profesión seleccionada entre las disponibles en el Servicio, cuando esto sea relevante para determinar el formato de las notas generadas.

3.2. Información derivada del uso del Servicio

Durante el uso del Servicio, el usuario puede generar y proporcionar:

Grabaciones de audio de las consultas que decida registrar, cuyo tratamiento se describe en detalle en las Secciones 7 y 11.
Nombres de pacientes o clientes introducidos manualmente para identificar las sesiones y las notas correspondientes.
Contenido textual de transcripciones y notas estructuradas, generado automáticamente por el Servicio y susceptible de edición posterior por parte del usuario.

3.3. Información de comunicaciones

Si el usuario se comunica con la Empresa por correo electrónico, formularios de contacto u otros canales, la información intercambiada (incluyendo el contenido del mensaje, la dirección remitente, archivos adjuntos y metadatos asociados) será almacenada con el propósito de brindar respuesta, dar seguimiento y, cuando proceda, mejorar el Servicio.

3.4. Información de pago

Cuando el usuario contrate planes de pago, la información financiera (números de tarjeta, fechas de vencimiento, códigos de seguridad) será procesada directamente por nuestro procesador de pagos externo (por ejemplo, Stripe). La Empresa no almacena datos completos de tarjetas de pago en sus propios sistemas y únicamente recibe del procesador información mínima necesaria para reflejar el estado de la suscripción (por ejemplo, últimos cuatro dígitos, marca de la tarjeta, estado del pago).

3.5. Información proporcionada voluntariamente

El usuario puede proporcionar información adicional de forma voluntaria mediante encuestas, formularios de retroalimentación, participación en pruebas de funcionalidades o cualquier otro mecanismo de interacción habilitado por la Empresa. Dicha información será utilizada para los fines indicados al momento de su recolección.

Sección 4Información recopilada automáticamente

Cuando el usuario accede al Servicio, podemos recopilar automáticamente determinada información técnica y de uso, en la medida permitida por la legislación aplicable y por la configuración de su dispositivo.

4.1. Información del dispositivo y conexión

Dirección IP y datos asociados (por ejemplo, ubicación geográfica aproximada derivada de la IP).
Tipo y versión del navegador, sistema operativo, configuración de idioma.
Identificadores de dispositivo de carácter técnico.
Resolución de pantalla y otros parámetros relevantes para el funcionamiento de la interfaz.

4.2. Datos de actividad y uso

Marcas de tiempo de inicio y cierre de sesión, así como de las acciones realizadas dentro del Servicio.
Páginas o vistas consultadas dentro de la aplicación.
Funciones utilizadas, incluyendo grabaciones iniciadas, notas creadas y consultas registradas.
Errores técnicos producidos durante el uso, los cuales pueden ser registrados con fines de diagnóstico y mejora.

4.3. Registros del servidor

Como ocurre con cualquier servicio en línea, nuestros servidores generan registros automáticos (logs) que pueden incluir la dirección IP, las URLs solicitadas, los códigos de respuesta, la duración de las solicitudes y otros metadatos técnicos. Estos registros se utilizan con fines de operación, seguridad, prevención de abuso y mejora del Servicio.

4.4. Información proporcionada por proveedores externos

Cuando el usuario interactúa con servicios integrados (por ejemplo, autenticación a través de proveedores terceros, procesamiento de pagos, recepción de correos), dichos proveedores pueden suministrarnos información sobre el resultado de la operación. Esta información se recibe únicamente en la medida necesaria para ejecutar la funcionalidad correspondiente.

Sección 5Cookies, tecnologías de seguimiento y herramientas similares

5.1. Cookies estrictamente necesarias

El Servicio utiliza tecnologías de almacenamiento en el navegador (cookies, localStorage, IndexedDB) exclusivamente para garantizar su funcionamiento básico. Específicamente:

Sesión de autenticación: gestionada por nuestro proveedor de autenticación (Supabase), almacenada en el navegador para mantener al usuario conectado entre vistas.
Caché temporal de grabación: en caso de recargas accidentales, el navegador conserva localmente la grabación en curso en una base de datos local (IndexedDB) hasta que sea cargada correctamente al servidor.

5.2. Ausencia de cookies de seguimiento publicitario

A la fecha de vigencia de esta Política, el Servicio no utiliza cookies de seguimiento publicitario, cookies de terceros con fines de mercadotecnia, ni píxeles de seguimiento de redes sociales. La Empresa se reserva el derecho de incorporar herramientas de analítica de primera parte (por ejemplo, mediciones agregadas de uso) en el futuro, en cuyo caso actualizará esta Política y, cuando corresponda, solicitará el consentimiento del usuario conforme a la legislación aplicable.

5.3. Tecnologías similares

La Empresa puede emplear, en la medida razonable, tecnologías similares como web beacons, local storage, session storage y IndexedDB para los fines descritos en esta sección. Estas tecnologías no son utilizadas para crear perfiles publicitarios ni para rastrear al usuario fuera del Servicio.

5.4. Gestión por parte del usuario

El usuario puede configurar su navegador para bloquear o eliminar cookies y otras tecnologías similares. Sin embargo, deshabilitar ciertas tecnologías puede afectar el funcionamiento del Servicio, incluyendo la imposibilidad de mantener una sesión activa o de recuperar grabaciones no enviadas. La Empresa no se responsabiliza por las consecuencias funcionales derivadas de la modificación de la configuración del navegador por parte del usuario.

Sección 6Cómo utilizamos la información

La Empresa puede utilizar la información recopilada para una o varias de las siguientes finalidades, siempre que exista una base legal aplicable conforme a la Sección 17 y dentro de los límites que la legislación aplicable permita:

6.1. Prestación del Servicio

Crear, mantener y administrar la cuenta del usuario.
Autenticar al usuario y mantener la continuidad de su sesión.
Procesar, transcribir y estructurar las grabaciones de consultas mediante los proveedores tecnológicos descritos en la Sección 9.
Almacenar y permitir el acceso a las notas y demás contenidos generados por el usuario.
Facilitar funcionalidades de búsqueda, edición, eliminación y exportación de información del usuario.

6.2. Comunicación con el usuario

Enviar mensajes transaccionales relacionados con la cuenta (verificación de correo, recuperación de contraseña, notificaciones de seguridad).
Atender consultas, solicitudes o reclamaciones dirigidas al equipo de soporte.
Informar sobre cambios materiales en el Servicio o en esta Política.

6.3. Mejora del Servicio

Analizar de forma agregada y, cuando sea posible, anonimizada el uso del Servicio para identificar oportunidades de mejora.
Diagnosticar errores y problemas técnicos.
Realizar pruebas internas de calidad y rendimiento.

6.4. Seguridad y prevención de abuso

Detectar y prevenir accesos no autorizados, intentos de fraude, abuso del Servicio o vulneraciones de los términos aplicables.
Aplicar medidas técnicas de protección, incluyendo el cifrado, los controles de acceso y los límites de uso.
Investigar incidentes de seguridad o solicitudes de autoridades competentes, cuando exista base legal válida.

6.5. Cumplimiento de obligaciones legales

Responder a requerimientos de autoridades judiciales, regulatorias o administrativas cuando exista una orden o base legal válida.
Cumplir con obligaciones contables, fiscales y de retención de información establecidas por la legislación aplicable.
Establecer, ejercer o defender reclamaciones legales.

6.6. Operaciones internas y desarrollo de producto

Planificar, desarrollar y desplegar nuevas funcionalidades del Servicio.
Tomar decisiones de gestión interna basadas en información agregada del uso.
Realizar respaldos, recuperación de información y mantenimiento de la infraestructura.

6.7. Reserva

Cuando la Empresa pretenda utilizar la información para finalidades distintas a las descritas en esta Política, lo informará al usuario por medios razonables y, cuando aplique, solicitará su consentimiento previo de conformidad con la legislación correspondiente.

Sección 7Tratamiento mediante inteligencia artificial

Una parte central del Servicio consiste en el uso de modelos de inteligencia artificial para transcribir grabaciones de audio y generar notas estructuradas. Esta sección describe en detalle dichos tratamientos y sus implicaciones.

7.1. Proveedores de servicios de IA

La Empresa utiliza actualmente los siguientes proveedores externos para el procesamiento mediante inteligencia artificial:

OpenAI, para la transcripción de audio mediante su API de modelos de reconocimiento de voz (Whisper u otro equivalente designado).
Anthropic, para la estructuración de las transcripciones en notas profesionales mediante su API de modelos de lenguaje (Claude u otro equivalente designado).

La Empresa se reserva el derecho de incorporar, sustituir o complementar a estos proveedores con otros equivalentes en el futuro, comunicando los cambios materiales mediante actualizaciones a esta Política.

7.2. Compromisos contractuales de los proveedores

Conforme a los términos comerciales publicados por los proveedores mencionados a la fecha de vigencia de esta Política, los datos transmitidos a través de sus APIs comerciales no son utilizados por dichos proveedores para entrenar sus modelos de inteligencia artificial, salvo consentimiento expreso en contrario. La Empresa no autoriza ni habilita dicho uso. No obstante, los términos contractuales de los proveedores externos pueden modificarse sin participación directa de la Empresa, y el usuario reconoce que la Empresa no controla unilateralmente las prácticas internas de dichos terceros.

7.3. Ciclo de vida del audio

Detalle técnico del audio

El audio de las consultas grabado por el usuario sigue el siguiente ciclo:

El audio se captura en el navegador y se transmite cifrado por HTTPS a los servidores de la Empresa.
El servidor lo almacena de forma transitoria en un directorio de procesamiento.
El archivo se envía al proveedor de transcripción (OpenAI Whisper o equivalente) para generar el texto correspondiente.
Una vez la transcripción ha sido recibida y guardada en la base de datos del Servicio, el archivo de audio se elimina inmediatamente del servidor.
En caso de una falla técnica que impida completar el procesamiento, el archivo podrá permanecer en el directorio temporal por un período máximo no superior a una hora, transcurrido el cual un proceso automático lo eliminará al reiniciarse el servidor.

El audio no se almacena de forma permanente en la infraestructura de la Empresa. Únicamente persisten el texto de la transcripción y la nota estructurada generada a partir de ella.

7.4. Naturaleza no determinística de los resultados

El usuario reconoce y acepta que los modelos de inteligencia artificial son sistemas probabilísticos y, por su naturaleza, pueden producir resultados imprecisos, incompletos, sesgados o erróneos. La Empresa no garantiza la exactitud, integridad o idoneidad de las transcripciones ni de las notas generadas para ningún uso específico. El usuario profesional asume la responsabilidad final de revisar, validar y, cuando corresponda, corregir las salidas del Servicio antes de utilizarlas para cualquier propósito clínico, legal o de toma de decisiones.

7.5. Decisiones automatizadas

El Servicio no toma decisiones automatizadas con efectos jurídicos sobre los pacientes del usuario. La estructuración de la nota constituye una herramienta de apoyo a la práctica profesional y no sustituye el juicio del profesional usuario.

7.6. Uso del contenido para entrenar modelos propios

La Empresa no utiliza el contenido de las notas, las transcripciones ni los audios de los usuarios para entrenar modelos propios de inteligencia artificial, salvo que el usuario otorgue su consentimiento expreso y específico para tal fin.

Sección 8Cómo podemos compartir la información

La Empresa puede compartir información personal en los siguientes supuestos, siempre dentro de los límites permitidos por la legislación aplicable:

8.1. Con proveedores de servicios

La Empresa contrata proveedores tecnológicos especializados que actúan como encargados del tratamiento, a los cuales se les transfiere únicamente la información necesaria para ejecutar las funciones contratadas. La Sección 9 detalla los principales proveedores actualmente utilizados. La Empresa exige razonablemente a sus proveedores la implementación de medidas de seguridad apropiadas y el cumplimiento de la legislación aplicable.

8.2. Por requerimiento legal

La Empresa podrá compartir información cuando exista una orden judicial, requerimiento de autoridad competente, obligación regulatoria, citación legal o cualquier otra base legal válida que así lo exija. Cuando sea legalmente posible y operativamente razonable, la Empresa notificará previamente al usuario afectado.

8.3. Para proteger derechos e intereses legítimos

La Empresa podrá compartir información cuando, a su criterio razonable, sea necesario para:

Investigar, prevenir o tomar acción ante actividades ilegales, sospechas de fraude o violaciones de los términos del Servicio.
Proteger la seguridad, derechos o propiedad de la Empresa, sus usuarios o el público en general.
Establecer, ejercer o defender reclamaciones legales.

8.4. En operaciones corporativas

En caso de fusión, adquisición, reorganización, venta de activos, financiación o cualquier otra operación corporativa, la información personal podrá formar parte de los activos transferidos. La Empresa tomará medidas razonables para asegurar que el adquiriente continúe protegiendo la información en términos sustancialmente equivalentes a los descritos en esta Política. El usuario será notificado por medios razonables cuando dicha transferencia implique un cambio material en el tratamiento de su información.

8.5. Con consentimiento del usuario

La Empresa podrá compartir información con terceros adicionales cuando el usuario haya otorgado consentimiento expreso para dicho intercambio.

8.6. Información agregada o anonimizada

La Empresa podrá compartir información agregada, estadística o anonimizada que, por su naturaleza, no permita identificar a una persona específica. Dicha información podrá ser utilizada con fines de análisis, investigación, mejora del Servicio o comunicación pública.

8.7. Lo que no compartimos

Salvo en los supuestos descritos en las secciones 8.1 a 8.6, la Empresa no vende, alquila ni cede a terceros la información personal de sus usuarios para fines publicitarios o de mercadotecnia que no estén directamente relacionados con la prestación del Servicio.

Sección 9Proveedores externos e integraciones

Para operar el Servicio, la Empresa utiliza proveedores tecnológicos especializados que actúan como encargados del tratamiento. La siguiente tabla resume los principales proveedores a la fecha de vigencia de esta Política:

Proveedor	Función	Datos tratados
Supabase	Base de datos, autenticación y almacenamiento estructurado	Información de cuenta (correo, nombre), transcripciones, notas estructuradas, identificadores de paciente/cliente
OpenAI	Transcripción automática de audio	Audio de las consultas (de forma transitoria)
Anthropic	Estructuración de notas profesionales mediante modelos de lenguaje	Transcripción textual de la consulta y profesión seleccionada
Resend	Envío de correos electrónicos transaccionales	Dirección de correo del destinatario, metadatos de envío, contenido del mensaje
Cloudflare	Registro de dominio, gestión de DNS y servicios de red	Información de dominio; metadatos técnicos de conexión
[Proveedor de Hosting]	Alojamiento de la infraestructura del Servicio	Datos transmitidos y procesados a través del Servicio durante su operación
[Procesador de Pagos]	Procesamiento de pagos y gestión de suscripciones (cuando aplique)	Información de pago del usuario; datos mínimos de identificación necesarios para facturación

La Empresa puede incorporar nuevos proveedores o sustituir a los actuales en función de necesidades operativas, de seguridad o de mejora del Servicio. Tales cambios se reflejarán en actualizaciones a esta Política conforme a la Sección 20.

9.1. Compromisos contractuales

La Empresa exige razonablemente a sus proveedores la suscripción de acuerdos de tratamiento de datos (DPAs) u otros instrumentos equivalentes que aseguren un nivel de protección compatible con esta Política y con la legislación aplicable. No obstante, una vez transmitida la información a un proveedor, este se sujeta principalmente a sus propios términos contractuales y políticas de privacidad, los cuales el usuario puede consultar directamente.

9.2. Limitación de responsabilidad respecto a proveedores

La Empresa actúa con diligencia razonable en la selección de sus proveedores, pero no garantiza ni responde por las prácticas internas de dichos terceros más allá de los compromisos contractuales que la Empresa haya podido obtener. En la mayor medida permitida por la ley, el usuario libera a la Empresa de responsabilidad por incidentes atribuibles directa y exclusivamente a un proveedor externo cuando la Empresa haya actuado con la debida diligencia en su contratación y supervisión.

Sección 10Transferencias internacionales

Varios de los proveedores utilizados por la Empresa operan infraestructura tecnológica ubicada en jurisdicciones distintas a aquella en la que reside el usuario, principalmente en los Estados Unidos de América y otras jurisdicciones donde dichos proveedores mantienen centros de datos.

10.1. Naturaleza de la transferencia

Al utilizar el Servicio, el usuario reconoce y acepta que su información personal podrá ser transferida, almacenada o procesada fuera de su país de residencia, conforme a las necesidades operativas del Servicio. Tales transferencias se realizan al amparo de los términos contractuales y de los marcos de protección aplicables a cada proveedor.

10.2. Salvaguardas aplicables

Cuando la legislación aplicable lo exija, la Empresa procurará implementar medidas razonables para garantizar un nivel de protección adecuado en las transferencias internacionales, incluyendo, sin limitarse a: la suscripción de cláusulas contractuales estándar, la verificación de adhesión de los proveedores a marcos reconocidos de protección de datos, y la celebración de acuerdos de tratamiento de datos (DPAs).

10.3. Consentimiento

Al utilizar el Servicio, el usuario otorga su consentimiento informado, en la medida que la legislación aplicable así lo requiera, para que su información personal sea sometida a transferencias internacionales en los términos descritos en esta sección.

Sección 11Retención de datos

La Empresa conservará la información personal únicamente durante el tiempo necesario para cumplir con las finalidades descritas en esta Política o las exigidas por la legislación aplicable. Los criterios de retención varían según la categoría de información.

11.1. Audio de las consultas

Los archivos de audio se eliminan inmediatamente después de que la transcripción ha sido procesada y guardada. En supuestos excepcionales de falla técnica, el archivo podrá permanecer hasta una hora antes de ser eliminado automáticamente por procesos internos de mantenimiento.

11.2. Notas y transcripciones

El contenido textual generado por el Servicio (transcripciones y notas estructuradas) se conserva en la cuenta del usuario hasta que (i) este lo elimine manualmente, (ii) elimine al paciente o cliente correspondiente, o (iii) cierre su cuenta. La Empresa puede mantener copias en sus sistemas de respaldo durante un período adicional razonable, conforme a sus ciclos operativos de respaldo y recuperación.

11.3. Información de cuenta

La información de la cuenta se conserva mientras esta se encuentre activa. Tras el cierre, la Empresa podrá conservar determinados datos durante un período razonable para fines de cumplimiento legal, resolución de disputas, prevención de fraude o ejecución de acuerdos previos.

11.4. Registros técnicos

Los registros de servidor y demás datos técnicos se conservan por períodos limitados, determinados conforme a necesidades de seguridad operativa, diagnóstico y cumplimiento legal.

11.5. Información de pago

Los registros relacionados con pagos y facturación se conservan por los plazos exigidos por la legislación tributaria y comercial aplicable.

11.6. Respaldos

El usuario reconoce que, por razones técnicas de continuidad operativa, la información que solicite eliminar puede persistir en sistemas de respaldo durante el período de retención de respaldos correspondiente, antes de ser definitivamente eliminada de dichos sistemas.

11.7. Limitación general

La Empresa, en la medida permitida por la legislación aplicable, podrá conservar información cuando exista una base legal válida que así lo requiera, incluyendo obligaciones contables, fiscales, de defensa legal o de cumplimiento normativo. La eliminación completa e irreversible de toda traza de la información no puede garantizarse en términos absolutos.

Sección 12Seguridad: prácticas y limitaciones

La Empresa implementa medidas técnicas y organizativas razonables para proteger la información personal contra accesos no autorizados, divulgación indebida, alteración o destrucción accidental.

12.1. Medidas técnicas

Cifrado en tránsito: toda la comunicación con el Servicio se realiza mediante el protocolo HTTPS/TLS.
Cifrado en reposo: la base de datos del Servicio aplica cifrado por defecto a través de su proveedor de almacenamiento.
Aislamiento por usuario: se implementan políticas de seguridad a nivel de fila (Row-Level Security) que limitan el acceso de cada cuenta exclusivamente a su propia información.
Verificación obligatoria de correo electrónico antes de habilitar el acceso a la cuenta.
Gestión segura de credenciales: las contraseñas son cifradas por el proveedor de autenticación y no son accesibles en texto plano para la Empresa.
Protección contra abuso: límites razonables de uso, monitoreo de patrones anómalos y mecanismos de bloqueo ante actividad sospechosa.
Sanitización de errores: los mensajes mostrados al usuario no exponen detalles técnicos internos que pudieran facilitar ataques.

12.2. Medidas organizativas

Acceso restringido al equipo estrictamente necesario para operar el Servicio.
Procedimientos internos para la atención de incidentes de seguridad.
Selección razonable de proveedores con prácticas reconocidas de seguridad.

12.3. Limitación expresa

Ningún sistema digital es absolutamente seguro. A pesar de las medidas implementadas, la Empresa no garantiza ni puede garantizar que el Servicio o la información en él contenida estarán libres de toda forma de acceso no autorizado, intrusión, fuga, falla técnica o ataque malicioso. El usuario reconoce este riesgo inherente al uso de tecnología en línea.

12.4. Notificación de incidentes

En caso de un incidente de seguridad que afecte materialmente la información personal del usuario y que la legislación aplicable obligue a notificar, la Empresa lo comunicará por medios razonables dentro de los plazos legalmente exigidos.

12.5. Responsabilidad del usuario

El usuario es responsable de mantener la confidencialidad de sus credenciales, no compartirlas con terceros, utilizar contraseñas suficientemente robustas y cerrar su sesión al usar dispositivos compartidos. La Empresa no se responsabiliza por accesos no autorizados derivados del incumplimiento de estas precauciones básicas por parte del usuario.

Sección 13Derechos y opciones del usuario

En la medida que la legislación aplicable lo reconozca, el usuario puede ejercer determinados derechos respecto a su información personal. La Empresa atenderá las solicitudes legítimas en un plazo razonable, sujeto a los requisitos de verificación de identidad y a las limitaciones operativas, técnicas o legales aplicables.

13.1. Derechos generales

Derecho de acceso: conocer si la Empresa trata datos personales que le conciernen y, en su caso, acceder a dichos datos.
Derecho de rectificación: solicitar la corrección de datos inexactos o incompletos.
Derecho de supresión: solicitar la eliminación de datos personales, sujeto a las limitaciones descritas en la Sección 14.
Derecho a la portabilidad: recibir los datos personales en un formato estructurado y de uso común, cuando técnicamente sea posible.
Derecho de oposición: oponerse al tratamiento por razones legítimas relativas a su situación particular, cuando la legislación aplicable lo prevea.
Derecho a la limitación del tratamiento: solicitar la restricción del tratamiento en determinados supuestos previstos por la legislación.
Derecho a retirar el consentimiento: cuando el tratamiento se base en el consentimiento, este podrá retirarse en cualquier momento, sin que ello afecte la licitud del tratamiento previo a su retiro.
Derecho a presentar reclamación: presentar quejas ante la autoridad de protección de datos competente en su jurisdicción.

13.2. Limitaciones razonables

El ejercicio de los derechos descritos puede estar limitado o condicionado por la legislación aplicable, por razones de seguridad, por derechos de terceros, por obligaciones contractuales con proveedores o por la imposibilidad técnica de cumplir la solicitud sin un esfuerzo desproporcionado. En tales casos, la Empresa informará al solicitante de la causa de la limitación.

13.3. Procedimiento de ejercicio

Las solicitudes deben dirigirse al correo electrónico soporte@mipluma.app, indicando con claridad el derecho que se desea ejercer y los datos a los que se refiere. La Empresa podrá requerir información adicional para verificar la identidad del solicitante.

Sección 14Eliminación de cuenta y solicitudes de acceso a datos

14.1. Solicitud de eliminación de cuenta

El usuario puede solicitar la eliminación total de su cuenta enviando una solicitud a soporte@mipluma.app. La Empresa tramitará la solicitud en un plazo razonable y dentro de los términos exigidos por la legislación aplicable.

14.2. Efectos de la eliminación

Tras la eliminación de la cuenta, se eliminarán las notas y transcripciones del usuario en los sistemas activos del Servicio. Determinada información podrá conservarse durante períodos adicionales según lo descrito en la Sección 11 (respaldos, obligaciones legales, defensa de reclamaciones).

14.3. Verificación de identidad

Antes de proceder con solicitudes de acceso, rectificación o eliminación, la Empresa podrá requerir información razonable para verificar la identidad del solicitante, con el fin de prevenir suplantaciones o accesos indebidos.

14.4. Solicitudes de terceros

Cuando una solicitud se refiera a información de pacientes o clientes mencionados por un usuario profesional, la Empresa podrá derivar dicha solicitud al usuario profesional correspondiente, en su calidad de responsable directo de la relación con el tercero, conforme a la Sección 1.4.

14.5. Limitaciones

La Empresa podrá denegar, total o parcialmente, solicitudes que (i) sean manifiestamente infundadas o excesivas, especialmente por su carácter repetitivo; (ii) impliquen una afectación desproporcionada a derechos de terceros; (iii) entren en conflicto con obligaciones legales o regulatorias; (iv) no puedan ser ejecutadas sin un esfuerzo técnico desproporcionado; o (v) no permitan verificar adecuadamente la identidad del solicitante.

Sección 15Comunicaciones de marketing

15.1. Comunicaciones transaccionales

La Empresa enviará al usuario comunicaciones transaccionales necesarias para el funcionamiento del Servicio, tales como verificación de correo, recuperación de contraseña, notificaciones de seguridad o avisos relevantes sobre el estado de la cuenta. Estas comunicaciones forman parte esencial de la relación contractual y no pueden ser desactivadas sin renunciar al uso del Servicio.

15.2. Comunicaciones de marketing

La Empresa podrá, en el futuro, enviar comunicaciones de carácter promocional, informativo o de mercadotecnia (por ejemplo, novedades del producto, sugerencias de uso, encuestas, eventos). Cuando dichas comunicaciones requieran consentimiento previo conforme a la legislación aplicable, este será solicitado por medios razonables.

15.3. Mecanismos de oposición

Todas las comunicaciones de marketing incluirán mecanismos sencillos para que el usuario manifieste su oposición a recibirlas en el futuro, sin que ello afecte la continuidad del Servicio ni el envío de comunicaciones transaccionales.

15.4. Comunicaciones de servicio

La Empresa se reserva el derecho de enviar comunicaciones puntuales sobre cambios materiales en el Servicio, en esta Política o en los términos aplicables, incluso si el usuario ha optado por no recibir comunicaciones de marketing, en la medida que dichas comunicaciones sean necesarias para informar al usuario de cuestiones relevantes para su uso continuado del Servicio.

Sección 16Privacidad de menores

16.1. Edad mínima para usar el Servicio

El Servicio está dirigido exclusivamente a profesionales mayores de edad conforme a la legislación de su jurisdicción. La Empresa no permite la creación de cuentas por parte de menores de 18 años.

16.2. Información de pacientes menores

El Servicio puede contener información relativa a pacientes menores de edad, en tanto el profesional usuario los atienda en el ejercicio de su práctica. Dicha información se trata bajo las mismas medidas de seguridad descritas en esta Política y permanece bajo la responsabilidad directa del usuario profesional, quien es responsable de cumplir con la normativa aplicable sobre tratamiento de datos de menores en el contexto de su práctica profesional.

16.3. Detección y eliminación

Si la Empresa identifica que un titular de cuenta es menor de edad, procederá a suspender la cuenta y a eliminar la información asociada conforme a la legislación aplicable. Los padres o tutores que tengan conocimiento del registro indebido de un menor pueden notificarlo al correo soporte@mipluma.app.

Sección 17Bases legales para el tratamiento

Cuando la legislación aplicable así lo exija (por ejemplo, en jurisdicciones sujetas al Reglamento General de Protección de Datos de la Unión Europea), la Empresa basa el tratamiento de los datos personales en una o varias de las siguientes bases legales:

17.1. Ejecución de un contrato

El tratamiento es necesario para la prestación del Servicio contratado por el usuario, incluyendo la creación de la cuenta, el procesamiento de grabaciones, la generación de notas y la facturación.

17.2. Consentimiento

Para tratamientos que requieran consentimiento expreso (por ejemplo, comunicaciones de marketing, transferencias internacionales en jurisdicciones que así lo exijan, uso de cookies no estrictamente necesarias), la Empresa lo solicitará por medios claros e inequívocos.

17.3. Cumplimiento de obligaciones legales

El tratamiento puede ser necesario para cumplir obligaciones legales tales como retención de documentación contable y fiscal, respuesta a requerimientos judiciales o regulatorios, prevención de actividades ilícitas, entre otros.

17.4. Intereses legítimos

La Empresa podrá basarse en sus intereses legítimos (o los de terceros), siempre que dichos intereses no prevalezcan sobre los derechos fundamentales del titular de los datos. Tales intereses incluyen, entre otros: mejorar el Servicio, prevenir fraude, garantizar la seguridad de la información y desarrollar nuevas funcionalidades.

17.5. Intereses vitales

En supuestos excepcionales, el tratamiento podrá ampararse en la protección de intereses vitales del titular o de terceros, conforme a la legislación aplicable.

Sección 18Cumplimiento con leyes de privacidad

18.1. Marco jurídico de Guatemala

La Empresa se compromete a cumplir con la legislación vigente en la República de Guatemala en materia de protección de la intimidad, secreto de las comunicaciones y normativa aplicable al ejercicio profesional de sus usuarios.

18.2. Reglamento General de Protección de Datos (GDPR)

Cuando el Servicio sea utilizado por residentes en el Espacio Económico Europeo, la Empresa procurará razonablemente cumplir con los principios y obligaciones aplicables conforme al Reglamento (UE) 2016/679 (GDPR) y demás normativa derivada, incluyendo el reconocimiento de los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y retirada del consentimiento. La Empresa podrá designar un representante o encargado de protección de datos cuando la legislación lo exija.

18.3. California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA)

Cuando el Servicio sea utilizado por residentes del estado de California (Estados Unidos), la Empresa procurará razonablemente cumplir con los derechos y obligaciones aplicables conforme a la CCPA/CPRA, incluyendo el derecho a saber, derecho a eliminar, derecho a corregir, derecho a optar por no compartir o vender información personal (cuando aplique), derecho a limitar el uso de información personal sensible y derecho a la no discriminación por el ejercicio de tales derechos. La Empresa declara, a la fecha de vigencia de esta Política, que no vende información personal de sus usuarios en el sentido definido por la CCPA/CPRA.

18.4. Otras jurisdicciones

Cuando la legislación aplicable de otras jurisdicciones (por ejemplo, LGPD en Brasil, Ley Federal de Protección de Datos Personales en posesión de Particulares en México, entre otras) confiera derechos comparables, la Empresa procurará razonablemente respetarlos en la prestación del Servicio.

18.5. Reserva interpretativa

Las menciones a marcos jurídicos extranjeros en esta sección tienen carácter informativo y no constituyen una declaración de aplicabilidad automática. La Empresa evaluará caso por caso, con asesoría legal calificada, la aplicabilidad de cada marco jurídico a su operación efectiva.

Sección 19Limitaciones de responsabilidad

En la mayor medida permitida por la legislación aplicable, el usuario reconoce y acepta las siguientes limitaciones de responsabilidad de la Empresa en relación con la privacidad y el tratamiento de la información:

19.1. Disponibilidad del Servicio

La Empresa no garantiza la disponibilidad ininterrumpida del Servicio. Pueden producirse interrupciones programadas o no programadas, fallas técnicas, ataques externos u otros eventos fuera del control razonable de la Empresa. La Empresa no será responsable por las consecuencias derivadas de interrupciones que no resulten de su negligencia grave.

19.2. Exactitud de los resultados

Las transcripciones y notas generadas por el Servicio se producen mediante modelos de inteligencia artificial y, por su naturaleza, pueden contener errores, omisiones o imprecisiones. La Empresa no garantiza la exactitud, integridad ni idoneidad de las salidas del Servicio para ningún uso específico, incluido el uso clínico o legal. El usuario profesional asume plena responsabilidad por la revisión, validación y, cuando aplique, corrección de dichas salidas antes de su uso.

19.3. Decisiones del usuario profesional

La Empresa no es responsable por las decisiones clínicas, terapéuticas, diagnósticas, legales o de cualquier otra naturaleza que el usuario profesional adopte con base en los contenidos generados por el Servicio. Dichas decisiones son competencia exclusiva del profesional, conforme a sus deberes éticos, regulatorios y de su colegiación.

19.4. Relación con el paciente

La Empresa no mantiene relación contractual ni responsabilidad directa frente a los pacientes o clientes de los usuarios profesionales. Cualquier disputa entre un usuario profesional y su paciente, incluyendo cuestiones de consentimiento, secreto profesional, exactitud de la información o calidad del servicio profesional, es ajena a la responsabilidad de la Empresa.

19.5. Seguridad y respaldos

Si bien la Empresa implementa medidas razonables de seguridad y respaldo, no garantiza la conservación indefinida ni la recuperación íntegra de la información en caso de eventos catastróficos, fallas masivas, ataques sofisticados o circunstancias de fuerza mayor.

19.6. Daños indirectos

En la mayor medida permitida por la legislación aplicable, la Empresa no será responsable por daños indirectos, incidentales, especiales, consecuenciales, punitivos, pérdida de beneficios, pérdida de oportunidades de negocio, pérdida de datos o pérdida de reputación, derivados de o relacionados con el uso del Servicio o con esta Política.

19.7. Límite agregado

Sin perjuicio de lo anterior, en la mayor medida permitida por la legislación aplicable, la responsabilidad agregada de la Empresa frente al usuario por cualquier causa relacionada con esta Política o con el Servicio quedará limitada a [Límite Económico — por definir contractualmente], salvo en supuestos en que dicha limitación no sea legalmente válida.

19.8. Caso fortuito y fuerza mayor

La Empresa no será responsable por incumplimientos o demoras derivados de eventos de caso fortuito o fuerza mayor, incluyendo, sin limitarse a: desastres naturales, conflictos armados, interrupciones de servicios públicos, ciberataques masivos, decisiones gubernamentales, pandemias u otras circunstancias razonablemente fuera de su control.

Sección 20Modificaciones a esta Política

20.1. Derecho a modificar

La Empresa se reserva el derecho de modificar, actualizar o reemplazar esta Política en cualquier momento, conforme a la evolución del Servicio, los cambios regulatorios, las recomendaciones de buenas prácticas o cualquier otra razón legítima.

20.2. Notificación de cambios

Cuando los cambios sean materiales, la Empresa los comunicará por medios razonables, que podrán incluir avisos dentro del Servicio, mensajes por correo electrónico a la dirección registrada o publicación destacada en el sitio web. Los cambios no materiales podrán reflejarse mediante la simple publicación de la versión actualizada con una nueva fecha de vigencia.

20.3. Vigencia de las modificaciones

Las modificaciones entrarán en vigor a partir de la fecha indicada en la versión actualizada. El uso continuado del Servicio con posterioridad a dicha fecha constituirá, en la medida permitida por la legislación aplicable, aceptación de la Política modificada. Si el usuario no estuviera de acuerdo con las modificaciones, deberá cesar el uso del Servicio y solicitar la eliminación de su cuenta conforme a la Sección 14.

20.4. Versiones anteriores

La Empresa procurará razonablemente conservar versiones anteriores de esta Política y ponerlas a disposición a solicitud del usuario, con el objeto de permitir consultas históricas.

Sección 21Información de contacto

Comunicación con la Empresa

Para consultas, solicitudes de ejercicio de derechos, reclamaciones o cualquier otro asunto relacionado con esta Política o con el tratamiento de información personal, el usuario puede dirigirse a:

Correo electrónico de soporte y privacidad:
soporte@mipluma.app

Razón social: [Razón Social Definitiva]
Domicilio legal: [Dirección Completa]
Identificación tributaria: [NIT u otro identificador]

Encargado / Oficial de Protección de Datos (si aplica): [Nombre y datos de contacto, o "No aplica a esta fecha"]

La Empresa atenderá las solicitudes en un plazo razonable y conforme a la legislación aplicable. Para solicitudes formales de ejercicio de derechos, se recomienda indicar con claridad el derecho que se pretende ejercer y acompañar la información mínima necesaria para verificar la identidad del solicitante.