Documento legal

Política de Privacidad

Última actualización: 28 de mayo de 2026.

Esta política explica cómo Nogal recolecta, usa, almacena y comparte datos personales. Nogal es un producto de SR Studio LLC, sociedad constituida en el Estado de Delaware, Estados Unidos, y desarrollado por Santo Request.

Lectura clave: Nogal procesa dos clases distintas de datos —los de las profesionales que contratan el servicio y los de sus pacientes— y nuestro rol es diferente para cada una. Se detalla en la sección 2.

1. Quién opera Nogal

El Servicio es operado por SR Studio LLC, con domicilio registrado en el Estado de Delaware, Estados Unidos. Para cualquier consulta sobre esta política, ejercicio de derechos o reporte de incidentes podés escribirnos a contacto@nogal.pro.

Aunque la empresa proveedora está constituida en Estados Unidos, Nogal se diseñó para profesionales en Argentina y respeta los derechos y estándares aplicables a sus usuarios, según se detalla más adelante.

2. Los dos roles de Nogal

Nogal trata datos en dos calidades distintas según de quién sean esos datos:

Datos de la profesional (la persona que contrata Nogal)

Rol: Nogal es responsable de estos datos. Pedimos email, nombre, matrícula profesional (opcional), datos de contacto y de facturación. Tus derechos como titular y la forma de ejercerlos están en la sección 7.

Datos clínicos de los pacientes (cargados por la profesional)

Rol: Nogal procesa estos datos en nombre de la profesional, siguiendo sus instrucciones. La profesional es la responsable del tratamiento: decide qué cargar, cómo usarlo y por cuánto tiempo conservarlo. Nogal aplica las medidas técnicas de protección descriptas en la sección 6.

Si sos paciente y querés acceder, rectificar o suprimir información tuya cargada por tu profesional, debés contactar directamente a esa profesional. Nogal no puede revelar ni modificar datos clínicos sin autorización de quien los cargó.

3. Qué datos recolectamos

De la profesional:

  • Identificación: email, nombre, apellido, matrícula profesional (opcional).
  • Autenticación: identificadores de Google OAuth.
  • Datos del calendario: lectura de los eventos del Google Calendar que la profesional elige conectar, con permiso de solo lectura. Esto incluye el link de Google Meet (campo hangoutLink o conferenceData) cuando el evento del calendario lo trae adjunto, para mostrárselo en la sesión.
  • Links de Google Meet creados por Nogal: si la profesional consintió el scope meetings.space.created (incluido en los permisos solicitados al ingresar, o habilitado después desde Configuración), Nogal puede crear un Meet standalone (no atado a ningún evento del calendario) y guarda la URL del meeting para mostrarla en la sesión y permitir compartirla por WhatsApp. No guardamos grabaciones, transcripciones, lista de participantes ni el contenido de las reuniones.
  • Datos técnicos: dirección IP, navegador, momento de acceso (logs de auditoría).
  • Datos de facturación: cuando aplique (transferencia bancaria, datos para emisión de comprobante).

De los pacientes (a través de la profesional):

  • Datos identificatorios: nombre, apellido, DNI, fecha de nacimiento, WhatsApp, email (todos opcionales según lo que la profesional cargue).
  • Contacto ante urgencia (opcional): nombre y teléfono de un contacto de referencia que la profesional pueda usar en situaciones de crisis o urgencia clínica.
  • Configuración de facturación: equipo de derivación asignado (opcional) y/o cobertura médica (obra social, prepaga o similar) con su copago, para que Nogal pueda separar automáticamente lo cobrado al paciente vs. lo que la cobertura debe.
  • Modalidad de las sesiones: virtual o presencial, a nivel paciente (default) y/o sesión específica, para decidir si mostrar las acciones de Meet/WhatsApp.
  • Datos de salud: notas clínicas, consentimientos informados, historial de sesiones. Estos datos están protegidos con cifrado AES-256-GCM antes de ser almacenados (ver sección 6).
  • Metadata de sesiones: fechas, montos cobrados, método de pago, derivaciones a equipos, montos pendientes de cobertura, modalidad de la sesión, link de Meet (si aplica).

Los datos de salud son datos sensibles y reciben protección reforzada, tanto por diseño como por las obligaciones que la profesional asume frente a sus pacientes en el marco de su práctica.

4. Para qué los usamos

Los datos se usan exclusivamente para prestar el servicio Nogal y los fines que derivan de éste:

  • Permitir a la profesional gestionar sesiones, cobros, historia clínica y consentimientos.
  • Sincronizar eventos desde el Google Calendar de la profesional.
  • Cuando la profesional consintió el scope de Meet (al ingresar a Nogal o después desde Configuración) y hace click en el ícono Meet de una sesión virtual, generar un link de Google Meet standalone para esa sesión, mostrárselo y opcionalmente compartirlo con el paciente por WhatsApp via wa.me (el envío es manual: abre el chat con el mensaje pre-completado, la profesional confirma el envío).
  • Llevar la cuenta separada entre lo que el paciente paga directo (copago) y lo que la cobertura le debe a la profesional cuando aplica, con conciliación manual de cobranzas pendientes.
  • Calcular métricas (facturación cobrada y pendiente, pacientes activos) sobre los datos cargados por la profesional.
  • Comunicarnos con la profesional sobre incidentes del servicio, cambios en estos términos o respuesta a sus consultas.
  • Cumplir obligaciones legales aplicables (responder requerimientos judiciales válidos, prevenir fraude, mantener registros contables).

No usamos los datos para publicidad propia ni de terceros, no los vendemos, no entrenamos modelos de IA con ellos. La historia clínica en particular jamás se procesa con fines distintos al servicio directo de la profesional.

5. Con quién los compartimos

Compartimos datos únicamente con proveedores indispensables para operar el servicio, bajo acuerdos de confidencialidad:

  • Proveedores de infraestructura cloud: alojan la base de datos cifrada y la aplicación. Cuentan con certificación SOC 2 Type 2 u otra auditoría externa equivalente. Los datos viven en data centers de la región más cercana a Argentina por defecto.
  • Google: para autenticación (OAuth), lectura del calendario y —si la profesional consintió el scope de Meet— creación de Meet spaces standalone. Sujeto a las políticas de Google. Nogal solo accede a los eventos del calendario que la profesional autoriza expresamente, con permiso de solo lectura, y solo crea Meet spaces cuando la profesional dispara la acción con un click. Detalles completos en la sección 6.
  • Proveedor de procesamiento de pagos: cuando integremos pagos online, datos de facturación se compartirán únicamente con el proveedor de la pasarela. Su política de privacidad será informada al momento de contratar.
  • Autoridades: cuando una orden judicial válida lo requiera, conforme a la legislación aplicable.

No transferimos datos a terceros para fines comerciales propios o de terceros.

6. Datos obtenidos vía Google APIs

Nogal accede a la cuenta de Google de la profesional mediante OAuth 2.0. Al ingresar por primera vez, Google muestra una pantalla de consentimiento con los tres scopes que Nogal solicita. La profesional puede consentir todos, o algunos —los que no consienta quedan sin acceso y las funciones asociadas no aparecen en la app.

Scopes de Google Calendar (solo lectura):

  • https://www.googleapis.com/auth/calendar.readonly: para enumerar la lista de calendarios de la cuenta durante el onboarding y permitir a la profesional elegir cuál contiene sus sesiones profesionales.
  • https://www.googleapis.com/auth/calendar.events.readonly: para leer los eventos del calendario elegido y convertirlos en registros de sesión dentro del espacio privado de la profesional en Nogal. También leemos el link de Google Meet (campo hangoutLink / conferenceData) cuando el evento lo trae adjunto, para mostrárselo a la profesional en la sesión.

Scope de Google Meet:

  • https://www.googleapis.com/auth/meetings.space.created: permite a Nogal crear un espacio de Google Meet (un meeting nuevo) cuando la profesional hace click en el ícono Meet de una sesión virtual que no tiene link asociado. El link generado se guarda únicamente en esa sesión, dentro del espacio privado de la profesional. Este scope no permite leer meetings existentes, ni ver participantes, ni acceder a grabaciones o transcripciones, ni modificar eventos del calendario. Se solicita junto con los scopes de Calendar en la pantalla de consentimiento inicial. Si la profesional no lo consintió en ese momento, puede habilitarlo después desde Configuración → Reuniones por Meet. Si no lo consiente, los íconos de Meet/WhatsApp no aparecen en las sesiones virtuales pero el resto de la app funciona normalmente.

Con los scopes anteriores, Nogal nunca crea, modifica ni elimina eventos ni calendarios en la cuenta de Google del usuario. Tampoco modifica meetings previos. El único elemento nuevo que Nogal puede crear es un Meet space standalone (no atado a ningún evento del calendario), y solo cuando la profesional lo solicita explícitamente con un click.

Compromiso de Uso Limitado (Limited Use)

El uso y la transferencia que Nogal hace de información recibida de Google APIs ("Nogal's use and transfer to any other app of information received from Google APIs") respeta la Google API Services User Data Policy, incluyendo los requisitos de Limited Use. En concreto, para los datos del calendario y los Meet spaces creados:

  • Usamos estos datos únicamente para proveer al usuario funcionalidades visibles dentro de Nogal (gestión de sesiones, cobros, métricas, generación y envío de links de Meet por WhatsApp iniciado por la profesional).
  • No transferimos los datos a terceros, salvo a proveedores de infraestructura cloud indispensables para operar el servicio (bajo SOC 2 Type 2) o ante requerimiento legal válido. El link Meet sí se comparte con el paciente solo si la profesional lo decide y dispara el envío manualmente (botón WhatsApp).
  • No usamos estos datos para publicidad, propia ni de terceros.
  • Ningún ser humano, incluido el personal de Nogal, lee los datos del calendario ni accede a los Meet spaces creados, salvo: (a) con autorización expresa del usuario, (b) por razones de seguridad o investigación de abuso, o (c) por requerimiento legal válido.
  • No usamos estos datos para entrenar modelos de inteligencia artificial, generalistas ni propios.
  • Nogal no guarda grabaciones, transcripciones, asistentes ni mensajes intercambiados dentro de los Meet creados. Solo almacenamos la URL del meeting asociada a la sesión.

Cómo revocar el acceso a Google: la usuaria puede desconectar Nogal de su cuenta de Google en cualquier momento desde myaccount.google.com/permissions → buscar "Nogal" → "Quitar acceso". Esto revoca tanto los scopes obligatorios como el scope opcional de Meet. Adicionalmente puede escribirnos a contacto@nogal.pro para que eliminemos los datos sincronizados desde su calendario y los Meet URLs guardados.

7. Cómo los protegemos

Aplicamos medidas técnicas y organizativas acordes a la sensibilidad de los datos. En particular:

  • Cifrado en reposo: las notas clínicas se cifran con AES-256-GCM (envelope encryption, una clave por paciente) antes de almacenarse en la base de datos.
  • Cifrado en tránsito: TLS 1.3 obligatorio entre el navegador y nuestros servidores.
  • Trazabilidad de acceso: cada consulta o modificación de información clínica queda registrada en un log append-only (no editable, no eliminable).
  • Sello de integridad: cada nota lleva un HMAC-SHA256 que evidencia autoría y que su contenido no fue modificado.
  • Aislamiento entre cuentas: las consultas a la base de datos están filtradas por usuario mediante Row Level Security. Una profesional jamás puede ver datos de otra.
  • Control de acceso: sesión cerrada automáticamente tras 15 minutos de inactividad en rutas clínicas. Doble factor de autenticación heredado del proveedor de identidad (Google).

8. Tus derechos (como profesional)

Como titular de los datos que Nogal trata sobre vos, te garantizamos:

  • Acceso: pedir copia de los datos que tenemos sobre vos.
  • Rectificación: corregir datos inexactos.
  • Supresión: pedir que borremos tus datos cuando ya no sean necesarios o cuando retires el consentimiento.
  • Actualización: pedir que mantengamos los datos al día.
  • Oposición: oponerte al tratamiento para fines distintos a los originales.
  • Portabilidad: recibir un export de tu información en formato estructurado y legible por máquina.

Para ejercer cualquiera de estos derechos, escribinos a contacto@nogal.pro indicando cuál derecho querés ejercer y acreditando tu identidad. Te respondemos dentro de los 10 días.

Estos derechos son universales en nuestra política y, además, son irrenunciables para los usuarios alcanzados por normativa local específica (por ejemplo, Argentina). Si sos usuario en Argentina y considerás que no respetamos estos derechos, podés además dirigirte a la autoridad de control que corresponda en tu jurisdicción.

9. Derechos de los pacientes

Los pacientes mantienen plenos derechos sobre sus datos clínicos conforme la normativa aplicable en su jurisdicción. Nogal no es la responsable de esos datos: la profesional lo es.

Si sos paciente y querés acceder a tu historia clínica, pedir rectificación o supresión, debés solicitarlo directamente a la profesional que te atiende. Ella puede generar y entregarte una copia de tu HC desde Nogal —incluido el sello electrónico de integridad de cada nota— y es quien decide qué información se comparte y cómo.

10. Retención y eliminación

Datos de la profesional: los conservamos mientras tu cuenta esté activa. Si decidís dar de baja la cuenta, los eliminamos dentro de los 30 días, salvo obligación legal de conservación (por ejemplo, registros contables).

Datos clínicos de pacientes: se conservan según la disposición de la profesional. Si la profesional da de baja la cuenta, le entregamos un export completo de todos los datos clínicos antes de eliminarlos de nuestros servidores. Los plazos mínimos de custodia de historia clínica que pueda exigir la normativa aplicable a la profesional son responsabilidad de ella (en Argentina: 10 años desde la última actuación).

Logs de auditoría (accesos a información clínica): se conservan por el mismo plazo que la historia clínica asociada, como respaldo de la trazabilidad.

11. Cookies y tecnologías similares

Usamos cookies estrictamente necesarias para mantener tu sesión iniciada (autenticación) y recordar preferencias mínimas. No usamos cookies de tracking publicitario ni de terceros con fines de marketing.

Podés desactivar las cookies en tu navegador, pero esto puede impedir que Nogal funcione correctamente.

12. Procesamiento y almacenamiento

La infraestructura principal está alojada en data centers de proveedores cloud con certificación SOC 2 Type 2 u otra auditoría externa equivalente, en la región más próxima a Argentina disponible. Al estar SR Studio LLC constituida en Estados Unidos, ciertos procesos administrativos (facturación, comunicaciones de servicio) pueden involucrar servidores en otras jurisdicciones. En todos los casos exigimos a nuestros proveedores estándares contractuales equivalentes a los aquí declarados.

13. Cambios a esta política

Si actualizamos esta política te avisamos por email al menos 30 días antes de que el cambio entre en vigencia, salvo cambios menores o correcciones técnicas. La fecha de "última actualización" al inicio del documento siempre refleja la versión vigente.

14. Cookies que utilizamos

Utilizamos cookies en el sitio público nogal.pro para guardar tus preferencias de consentimiento y, si las habilitás, medir el uso del sitio con Google Analytics. En las rutas autenticadas del producto (/inicio, /pacientes, etc.) no cargamos analytics — solo cookies esenciales de sesión.

Podés cambiar tus preferencias en cualquier momento desde el link "Configurar cookies" al pie de cualquier página pública.

Nombre Propósito Duración Origen
nogal_consent Guarda tu elección sobre qué categorías de cookies permitís. 1 año Propia
_ga Google Analytics 4 — identifica al visitante de forma anónima para medir visitas y comportamiento agregado. 2 años Google
_ga_* Google Analytics 4 — estado de la sesión actual (página vista, evento, etc.). 2 años Google

Las cookies de Google Analytics solo se setean si elegís "Aceptar todo" o activás el toggle "Analytics" en el panel de configuración. Por default, sin tu consentimiento explícito, GA4 corre en modo Consent Mode v2 con storage denegado — no se persisten cookies de analytics ni se envían identificadores hasta que aceptes.

15. Contacto

Para cualquier consulta sobre privacidad, ejercicio de derechos o reporte de incidentes:
SR Studio LLC (operadora de Nogal) · Delaware, EE.UU.
Email: contacto@nogal.pro

Los términos relacionados al uso del Servicio se encuentran en los Términos y Condiciones.