Política de Privacidad

Nogal es un software de gestión clínica operado por Santo Request Lab, con domicilio en la República Argentina. Para cualquier consulta sobre esta política o ejercicio de derechos podés escribirnos a hola@nogal.app.

Nogal está inscripto como base de datos privada ante el Registro Nacional de Bases de Datos Personales de la AAIP cuando corresponda según la regulación vigente.

La Ley 25.326 distingue entre el responsable y el encargado del tratamiento de datos personales. Nogal cumple ambos roles, según qué datos estemos hablando:

De la profesional:

• Identificación: email, nombre, apellido, matrícula nacional (opcional).
• Autenticación: identificadores de Google OAuth.
• Datos del calendario: lectura de los eventos del Google Calendar que la profesional elige conectar, con permiso de solo lectura.
• Datos técnicos: dirección IP, navegador, momento de acceso (logs de auditoría).
• Datos de facturación: cuando aplique (transferencia bancaria, datos para emisión de factura).

De los pacientes (a través de la profesional):

• Datos identificatorios: nombre, apellido, DNI, fecha de nacimiento, WhatsApp, email (todos opcionales según lo que la profesional cargue).
• Datos sensibles de salud: notas clínicas, consentimientos informados, historial de sesiones. Estos datos están protegidos con cifrado AES-256-GCM antes de ser almacenados (ver sección 6).
• Metadata de sesiones: fechas, montos cobrados, método de pago, derivaciones a equipos.

Datos sensibles (en el sentido del art. 2 de la Ley 25.326): los datos de salud entran en esta categoría y reciben protección reforzada por imperio legal y por nuestro propio diseño.

Los datos se usan exclusivamente para prestar el servicio Nogal y los fines que se derivan de éste:

• Permitir a la profesional gestionar sesiones, cobros, historia clínica y consentimientos.
• Sincronizar eventos desde el Google Calendar de la profesional.
• Calcular métricas (facturación cobrada y pendiente, pacientes activos) sobre los datos cargados por la profesional.
• Comunicarnos con la profesional sobre incidentes de servicio, cambios en estos términos o respuesta a sus consultas.
• Cumplir obligaciones legales (responder requerimientos judiciales válidos, prevenir fraude, mantener registros contables).

No usamos los datos para publicidad propia ni de terceros, no los vendemos, no entrenamos modelos de IA con ellos. La historia clínica en particular jamás se procesa con fines distintos al servicio directo de la profesional.

Compartimos datos únicamente con proveedores indispensables para operar el servicio, bajo contrato de confidencialidad:

• Proveedores de infraestructura cloud: alojan la base de datos cifrada y la aplicación. Cuentan con auditoría externa SOC 2 Type 2. Los datos viven en la región sa-east-1 (São Paulo) por defecto.
• Google: para autenticación (OAuth) y lectura del calendario. Sujeto a las políticas de Google. Nogal solo accede a los eventos del calendario que la profesional autoriza expresamente y con permiso de solo lectura.
• Proveedor de procesamiento de pagos: cuando integremos pagos online, datos de facturación se compartirán únicamente con el proveedor de la pasarela. La política de privacidad de ese proveedor será informada y aceptada al contratar.
• Autoridades: cuando una orden judicial válida lo requiera, conforme a la ley argentina.

No transferimos datos a terceros para fines comerciales propios o de ellos.

Aplicamos las medidas técnicas y organizativas exigidas por la Disposición AAIP 47/2018 y estándares internacionales:

• Cifrado en reposo: las notas clínicas se cifran con AES-256-GCM (envelope encryption, una clave por paciente) antes de almacenarse en la base de datos.
• Cifrado en tránsito: TLS 1.3 obligatorio entre el navegador y nuestros servidores.
• Trazabilidad de acceso: cada consulta o modificación de información clínica queda registrada en un log append-only (no editable, no eliminable).
• Sello de integridad: cada nota lleva un HMAC-SHA256 que evidencia autoría y que su contenido no fue modificado.
• Aislamiento entre cuentas: las consultas a la base de datos están filtradas por usuario mediante Row Level Security. Una profesional jamás puede ver datos de otra.
• Control de acceso: sesión cerrada automáticamente tras 15 minutos de inactividad en rutas clínicas. Doble factor de autenticación heredado del proveedor de identidad (Google).

La Ley 25.326 te garantiza los siguientes derechos sobre los datos que Nogal trata sobre vos como profesional (artículos 14 a 16):

• Acceso: pedir copia de los datos que tenemos sobre vos.
• Rectificación: corregir datos inexactos.
• Supresión: pedir que borremos tus datos cuando ya no sean necesarios o cuando retires el consentimiento.
• Actualización: pedir que mantengamos los datos al día.
• Oposición: oponerte al tratamiento para fines distintos a los originales.

Para ejercer cualquiera de estos derechos, escribinos a hola@nogal.app indicando cuál derecho querés ejercer y acreditando tu identidad. Te respondemos dentro de los 10 días corridos (art. 14 inc. 2).

Si considerás que no respetamos estos derechos, podés iniciar un reclamo ante la Agencia de Acceso a la Información Pública (AAIP), organismo de control de la Ley 25.326: argentina.gob.ar/aaip/datospersonales.

Los pacientes mantienen plenos derechos sobre sus datos clínicos conforme la Ley 26.529 de Derechos del Paciente. Sin embargo, Nogal no es la responsable de esos datos: la profesional lo es.

Si sos paciente y querés acceder a tu historia clínica, pedir rectificación o supresión, debés solicitarlo directamente a la profesional que te atiende. Ella puede generar y entregarte una copia de tu HC desde Nogal (incluido el sello electrónico de integridad de cada nota).

Datos de la profesional: los conservamos mientras tu cuenta esté activa. Si decidís dar de baja la cuenta, los eliminamos dentro de los 30 días, salvo obligación legal de conservación (por ejemplo, registros contables).

Datos clínicos de pacientes: se conservan según la disposición de la profesional, con un piso legal de 10 años desde la última actuación que fija la Ley 26.529 art. 18. Si la profesional da de baja la cuenta, le entregamos un export completo de todos los datos clínicos antes de eliminarlos de nuestros servidores.

Logs de auditoría (accesos a información clínica): se conservan 10 años por exigencia de la misma normativa.

Usamos cookies estrictamente necesarias para mantener tu sesión iniciada (autenticación) y recordar preferencias mínimas. No usamos cookies de tracking publicitario ni de terceros con fines de marketing.

Podés desactivar las cookies en tu navegador, pero esto puede impedir que Nogal funcione correctamente.

La infraestructura principal está alojada en Brasil (región sa-east-1), considerado país con nivel adecuado de protección de datos por la AAIP. Cualquier transferencia a jurisdicciones sin nivel adecuado requerirá las salvaguardas que exige el art. 12 de la Ley 25.326.

Si actualizamos esta política te avisamos por email al menos 30 días antes de que el cambio entre en vigencia, salvo cambios menores o correcciones técnicas. La fecha de "última actualización" al inicio del documento siempre refleja la versión vigente.

Para cualquier consulta sobre privacidad, ejercicio de derechos o reportar un incidente:
Email: hola@nogal.app