Política de Privacidad

Última actualización: 15 de mayo de 2026 · Versión 2.0

En PhyDhara nos tomamos en serio la privacidad de los datos personales y clínicos de fisioterapeutas, pacientes y clinicas que usan nuestro software. Este documento explica que datos recolectamos, como los protegemos y que derechos tienes sobre ellos. Esta política cumple con la Ley Organica de Protección de Datos Personales (LOPDP) del Ecuador (Registro Oficial Suplemento 459, 26 mayo 2021) y con buenas practicas internacionales (GDPR, HIPAA en lo aplicable).

Resumen rápido: Tus datos clínicos estan cifrados en reposo (SQLCipher 256-bit) y en transito (TLS 1.2+). No vendemos ni compartimos datos con terceros con fines comerciales. Cumples ya o tienes derecho a: acceder, rectificar, eliminar, portar y oponerte al tratamiento.

1. Identificacion del Responsable

El responsable del tratamiento de los datos personales recolectados a traves de PhyDhara es:

Razon social: PhyDhara
Domicilio: Quito, Ecuador
Correo electrónico: info@phydhara.com

2. Datos que Recolectamos

2.1 Datos de fisioterapeutas y administradores de clínica

Nombre completo, correo electrónico, teléfono, cedula.
Información de la clínica (nombre, RUC, dirección).
Credenciales de acceso (la contraseña se almacena cifrada con PBKDF2-SHA256 + 200,000 iteraciones; NUNCA en texto plano).
Logs de acceso, IP, dispositivo, fecha y hora de inicio de sesión.

2.2 Datos de pacientes (datos clínicos sensibles)

Nombre, apellido, cedula, fecha de nacimiento, correo, teléfono.
Historia clínica: motivo de consulta, antecedentes, alergias, medicamentos actuales.
Diagnosticos CIE-10 asignados.
Notas de evolucion (SOAP), evaluaciones fisioterapeuticas y posturales.
Imagenes JPEG capturadas durante evaluaciones de rango de movimiento (ROM) y postura.
Sesiones de ejercicios: ángulos, tiempos, calificaciones, archivos Excel generados.
Consentimientos informados firmados digitalmente (clínico, plataforma, datos).

2.3 Datos técnicos

Identificador único del dispositivo (machine_id) generado localmente y usado para derivacion de claves de cifrado. No se comparte con terceros.
Versión de la app, sistema operativo, fecha de última conexión online.
Logs de errores y excepciones (anonimizados, sin datos personales en el contenido).

3. Finalidades del Tratamiento

Finalidad	Base legal	Duración
Prestar el servicio de gestion clínica al fisioterapeuta	Ejecucion de contrato	Mientras dure la suscripción + 5 años (deber profesional)
Almacenar y procesar la historia clínica del paciente	Consentimiento explicito + ejercicio de la profesión sanitaria	Min. 5 años tras alta del paciente (Codigo de la Salud Ecuador)
Permitir login y autenticacion segura	Ejecucion de contrato + interes legitimo (seguridad)	Mientras la cuenta este activa
Mejorar el producto (analisis agregado y anonimo)	Consentimiento separado	Hasta que se retire el consentimiento
Cumplimiento de obligaciones legales (facturación, fiscales)	Obligación legal	7 años (SRI Ecuador)

4. Como Protegemos tus Datos

Implementamos medidas tecnicas y organizativas razonables para proteger los datos personales contra acceso no autorizado, perdida, alteracion o destruccion:

4.1 Cifrado en reposo

Base de datos local SQLite: cifrada con SQLCipher 256-bit (clave derivada via PBKDF2 con 100,000 iteraciones). La clave de cifrado esta atada al hardware del dispositivo del fisioterapeuta y no se transmite por red.
Archivos Excel generados: cifrados con Fernet (AES-128 + HMAC-SHA256).
Capturas de imagen (ROM, postura): almacenadas como BLOB dentro de la BD SQLite cifrada.

4.2 Cifrado en transito

Toda comunicación con nuestro servidor usa TLS 1.2 o superior (HTTPS).
Cookies de sesión con flags HttpOnly, Secure y SameSite=Strict.

4.3 Autenticacion y control de acceso

Contraseñas hasheadas con PBKDF2-SHA256 (200,000 iteraciones) + salt único por usuario.
Tokens JWT con expiracion corta (15 minutos) + refresh tokens revocables.
Anti-sharing (solo cuentas de fisioterapeuta y admin): 1 sesión activa por usuario; iniciar sesión en otro dispositivo cierra automáticamente la sesión anterior. Sistema de avisos diarios (max 1/día, hasta 5) ante uso simultaneo desde multiples dispositivos. Las cuentas de paciente estan excluidas de este mecanismo — pueden usar la app desde casa, clínica y dispositivos familiares sin restriccion.
Auto-bloqueo por inactividad (15 minutos sin uso → cierre forzado).
Para cuentas nuevas: link de un solo uso (24h TTL) para que el usuario cree su propia contraseña. Las contraseñas nunca viajan en email.

4.4 Aislamiento entre clinicas

Los pacientes son visibles SOLO al fisioterapeuta asignado (o a admins de clínica del mismo grupo).
Los datos no se comparten entre clinicas distintas, ni siquiera dentro de nuestra propia infraestructura.

5. Tus Derechos (ARCOPOL)

Conforme a los articulos 12 al 22 de la LOPDP, tienes derecho a:

Acceso: solicitar copia de tus datos personales.
Rectificacion: corregir datos inexactos o desactualizados.
Cancelación / Eliminacion: solicitar la eliminacion de tus datos cuando ya no sean necesarios para la finalidad que los origino.
Oposicion: oponerte al tratamiento por motivos legitimos.
Portabilidad: recibir tus datos en formato estructurado y comunmente usado (CSV/JSON) para transferirlos a otro servicio.
Limitacion del tratamiento: solicitar que pausemos el uso de tus datos mientras se resuelve una controversia.
Decisión automatizada: derecho a no ser objeto de decisiones basadas unicamente en tratamiento automatizado.
Revocar el consentimiento: en cualquier momento, sin efecto retroactivo.

Para ejercer cualquiera de estos derechos, escribenos a info@phydhara.com. Responderemos en un plazo máximo de 15 días habiles.

6. Compartir Datos con Terceros

No vendemos, alquilamos ni compartimos tus datos personales con terceros para fines comerciales. Solo compartimos en estos casos limitados:

Proveedores de infraestructura: Hostinger (hosting), servicios de email transaccional. Estos proveedores actuan como encargados del tratamiento bajo contrato y no usan tus datos para sus propios fines.
Por requerimiento legal: si una autoridad competente lo solicita mediante orden judicial válida.
Por consentimiento explicito tuyo.

7. Cookies y Tecnologias Similares

Nuestro sitio web usa cookies tecnicas necesarias para el funcionamiento (sesión, idioma, preferencias). No usamos cookies de publicidad ni tracking de terceros sin tu consentimiento. Para mas detalles consulta nuestra Política de Cookies.

8. Menores de Edad

El servicio esta dirigido a fisioterapeutas profesionales (mayores de edad) que gestionan datos de pacientes. Si un paciente es menor de edad, el responsable del tratamiento de sus datos es el fisioterapeuta tratante en conjunto con el representante legal del menor, no PhyDhara directamente. Requerimos consentimiento informado firmado por el representante legal en estos casos.

9. Transferencias Internacionales de Datos

Nuestros servidores principales estan en Ecuador. Algunos servicios auxiliares (email, monitoreo) pueden estar en otros paises. En estos casos, exigimos a los proveedores garantías equivalentes al nivel de protección de la LOPDP del Ecuador (cláusulas contractuales tipo, certificaciones de privacidad).

10. Cambios a Esta Política

Podemos actualizar esta Política de Privacidad ocasionalmente. Los cambios entraran en vigor al publicarse en esta pagina. Si los cambios son significativos, notificaremos por email o mediante un aviso destacado en la app. La fecha de última actualización siempre estara visible al inicio del documento.

11. Autoridad de Control

Si consideras que el tratamiento de tus datos no cumple con la LOPDP, tienes derecho a presentar una reclamacion ante la Superintendencia de Protección de Datos Personales del Ecuador (autoridad competente de control).

Contacto sobre privacidad

Para preguntas, ejercicio de derechos o reclamos relacionados con privacidad:

Correo: info@phydhara.com
Asunto sugerido: "Ejercicio de derecho ARCOPOL" o "Consulta privacidad"
Tiempo de respuesta: hasta 15 días habiles