Privacy Policy

La presente Política de Privacidad describe cómo Asystir (en adelante, "nosotros", "Asystir") recoge, almacena, procesa y protege los datos relacionados con las recetas digitales y los servicios asociados que ofrecemos. El documento explica derechos, responsabilidades y prácticas aplicables en el marco de la normativa argentina, con especial atención a la protección de la información sanitaria y a la Ley Nº 25.326 (Protección de los Datos Personales).

1. Introducción

Asystir provee servicios de repositorio de recetas digitales, almacenamiento (storage) y APIs de integración para farmacias, clínicas y sistemas de gestión sanitaria. Nuestra actividad consiste en ofrecer infraestructura y servicios técnicos que permiten a los Responsables del tratamiento (p. ej., profesionales, establecimientos de salud y cadenas de farmacias) almacenar y consultar punteros y recursos relacionados con prescripciones electrónicas.

Esta Política explica cómo recogemos y tratamos los datos, qué obligaciones asumimos y cuáles corresponden a nuestros clientes, y cómo cumplimos la normativa argentina aplicable en materia de protección de datos personales y privacidad del paciente.

2. Ámbito y alcance

El presente documento aplica a todos los servicios ofrecidos por Asystir relacionados con el repositorio de recetas digitales, incluyendo interfaces API, paneles de administración, almacenamiento en block/private storage, servicios de backup y entornos de QA y producción.

Asystir actúa como Encargado del Tratamiento (procesador) conforme a la Ley Nº 25.326 y demás normativa aplicable, y presta servicios a terceros que son los Responsables del Tratamiento frente a los titulares de los datos (pacientes). La responsabilidad de la obtención del consentimiento y de la legitimidad del tratamiento de datos personales recae, en primera instancia, sobre dichos Responsables.

3. Tipos de datos que tratamos

Tratamos diferentes categorías de datos, según el servicio contratado y la configuración acordada con cada cliente:

  • Datos de identificación técnica: identificadores de transacción, tokens, metadatos de conexión, registros de auditoría, identificadores de repositorio (CUIR) y similares.
  • Datos operativos: fechas y horarios de eventos, estados de transacción (PENDING, FAILED, COMPLETE), logs de acceso y actividad.
  • Datos asociados a recetas (datos sensibles de salud): contenido de FHIR bundles (MedicationRequest, Practitioner, Patient) cuando el cliente así lo almacene en nuestras plataformas.

Importante: aunque alojamos o retransmitimos bundles que contienen datos de salud, Asystir no realiza correlación de identidad por iniciativa propia ni usa datos identificables para crear perfiles clínicos. Cuando el cliente opte por enviar datos identificables, dichos datos permanecerán bajo la responsabilidad del Responsable del Tratamiento (cliente) y nuestro rol será el de Encargado, actuando siempre bajo instrucciones documentadas.

4. Responsabilidad de los clientes (Responsables del Tratamiento)

Los clientes que almacenan datos en nuestras plataformas (farmacias, clínicas, desarrolladores de software, proveedores de servicios de salud) son los Responsables del Tratamiento frente a los titulares de los datos (pacientes). Entre sus obligaciones se incluyen, sin limitarse a:

  • Obtener y documentar el consentimiento informado cuando la normativa lo requiera.
  • Proveer a los pacientes la información requerida por la Ley Nº 25.326 y reglamentaciones sectoriales sobre la finalidad del tratamiento y los derechos del titular.
  • Firmar con Asystir los contratos de encargo de tratamiento, incluir cláusulas de confidencialidad y seguridad, y garantizar que las instrucciones de tratamiento sean lícitas.
  • Limitar el contenido de los datos personales sensibles que envían, según lo estrictamente necesario para la finalidad declarada.
  • Responsabilizarse por los accesos y permisos otorgados a usuarios finales, empleados o integradores que interactúan con los datos alojados.

Asystir exigirá, como condición de su servicio, la firma de los contratos y acuerdos técnicos que formalicen la relación de encargo, y podrá suspender el servicio si el cliente no cumple con las obligaciones legales y contractuales.

5. Base legal y consentimiento

El tratamiento de datos personales y datos sensibles en Argentina se rige por la Ley Nº 25.326 (Protección de los Datos Personales) y normativa complementaria. Para el tratamiento de datos de salud se requiere, según el caso, el consentimiento expreso del titular o la base legal aplicable prevista por la normativa sectorial.

Asystir actúa por instrucción del Responsable (cliente) y únicamente procesa datos en la medida y forma que aquel le indique. Corresponde al Responsable obtener el consentimiento cuando la ley lo exija y mantener la evidencia de ese consentimiento. En los casos de urgencia o situaciones excepcionales previstas por la ley, la normativa aplicable será la que determine la legitimidad del tratamiento.

6. Seguridad y protección de la información

Asystir implementa medidas técnicas y organizativas razonables y proporcionales al riesgo para proteger la confidencialidad, integridad y disponibilidad de los datos. Entre estas medidas se incluyen:

  • Cifrado en tránsito y en reposo: TLS 1.2/1.3 para comunicaciones; cifrado de campos sensibles en reposo con algoritmos estándar (AES-256 o equivalente).
  • Autenticación y autorización: soporte para mTLS, OAuth2 (RFC 6749) y client_assertion (JWT) para accesos entre el Bus Auth del Ministerio, Mi Argentina y repositorios.
  • Control de accesos: roles y permisos granulares, registro de accesos (audit logs) y gestión de identidades para administradores y operadores.
  • Segregación de datos: entornos lógicos separados (tenancy) y almacenamiento privado (block/private storage) a pedido del cliente.
  • Backups y recuperación: políticas de respaldo diarias/replicación geográfica opcional y procedimientos documentados de RTO/RPO.
  • Pruebas y auditorías: pruebas de penetración periódicas, revisión de código y disponibilidad para auditorías técnicas por parte del cliente, según contrato.
  • Gestión de proveedores: evaluación y contrato con subcontratistas que incluyan obligaciones de seguridad y confidencialidad.

Estas medidas se revisan y actualizan periódicamente acorde a buenas prácticas de la industria y requisitos regulatorios.

7. Conservación y eliminación de datos

Los datos alojados en Asystir se conservan durante el tiempo que el Responsable (cliente) lo requiera para cumplir con la finalidad declarada y las obligaciones legales aplicables. Los plazos concretos de retención serán acordados contractualmente entre Asystir y cada cliente, y pueden verse condicionados por normativa sectorial o fiscal.

Al finalizar la relación contractual o a pedido del Responsable, Asystir procederá a la supresión o devolución de los datos conforme a lo establecido en el contrato y en cumplimiento de la Ley Nº 25.326 y su normativa. En casos en que exista obligación legal de conservar ciertos registros (por ejemplo, requerimientos regulatorios), Asystir informará al cliente y las copias necesarias se conservan durante el plazo exigido por ley.

8. Transferencias de datos y subcontratistas

Asystir puede contratar subcontratistas para prestar servicios técnicos (hosting, backups, servicios de monitoreo). Cuando ello ocurra, Asystir exigirá contratos que obliguen al subcontratista a cumplir con niveles de seguridad y confidencialidad equivalentes a los establecidos por Asystir y por la normativa argentina.

Las transferencias de datos fuera del territorio argentino se realizarán únicamente cuando exista una base legal adecuada y garantías técnicas y contractuales equivalentes; en tales casos, Asystir lo informará al Responsable y se adoptarán las medidas necesarias para proteger los derechos de los titulares.

9. Uso de datos anonimizados y estadísticas

Con el fin de mejorar el servicio, optimizar la infraestructura y planificar capacidad futura, Asystir se reserva el derecho de recopilar, agregar y analizar datos anonimizados y métricas operativas (por ejemplo: volúmenes de transacciones, latencia, errores y patrones de uso). Estos conjuntos de datos son tratados de forma irreversiblemente anónima y no permiten la re-identificación de individuos ni el acceso a información sensible de salud.

El uso de datos agregados y anonimizados permite a Asystir:

  • Mejorar la disponibilidad y el rendimiento de los servicios.
  • Predecir necesidades de capacidad y diseño de infraestructuras.
  • Generar informes generales de operación y tendencias de uso (sin información identificable).

Si en algún caso un análisis requiriera datos adicionales que permitieran la identificación, Asystir solicitaría autorización previa del Responsable o actuaría únicamente conforme a mandato legal o judicial.

10. Derechos de los titulares

Los titulares de los datos (pacientes) tienen los derechos reconocidos por la Ley Nº 25.326 y normativa complementaria, entre otros:

  • Acceso y confirmación de existencia de datos personales que les conciernan.
  • Rectificación de datos inexactos o incompletos.
  • Cancelación o supresión cuando proceda, y oposición al tratamiento por causas legítimas.
  • Reclamo ante la autoridad de control competente en materia de protección de datos personales.

Para ejercer estos derechos, el titular debe dirigirse al Responsable (el cliente que le presta el servicio sanitario). Asystir, en su condición de Encargado, colaborará con el Responsable en la respuesta a solicitudes de titulares conforme a lo contractual y legal. Si un titular requiere información sobre cómo ejercer sus derechos respecto de datos directamente gestionados por Asystir, puede contactar a nuestro equipo de privacidad (ver sección Contacto).

11. Notificación de incidentes de seguridad

Asystir dispone de un plan de respuesta a incidentes. En caso de detectarse una violación de seguridad que afecte la confidencialidad, integridad o disponibilidad de los datos personales, se aplicará el siguiente procedimiento:

  • Evaluación inmediata del incidente y contención técnica.
  • Notificación al Responsable (cliente) en el menor tiempo posible y con la información disponible sobre alcance y medidas adoptadas.
  • Cooperación y soporte técnico para remediar el incidente y mitigar daños.
  • Cuando la normativa lo exija, Asystir y/o el Responsable informarán a la autoridad de control competente y, si corresponde, a los titulares afectados.

Los detalles de los tiempos de notificación y el contenido de las comunicaciones se regularán en los contratos de encargo y en los procedimientos internos de Asystir.

12. Modificaciones de la Política

Asystir podrá actualizar esta Política de Privacidad por motivos operativos, legales o regulatorios. Las modificaciones se publicarán en esta misma página con la fecha de última actualización. Cuando los cambios sean relevantes y afecten derechos de titulares o responsabilidades contractuales, se informará debidamente a los clientes y, cuando corresponda, a los titulares.

13. Contacto y delegado de protección de datos (DPO)

Para consultas, solicitudes de ejercicio de derechos, incidentes o requerimientos relacionados con la privacidad y protección de datos, podés contactarnos en:

  • Correo: privacidad@asystir.com
  • Teléfono: +54 9 11 1234 5678
  • Dirección para notificaciones: Av. Ejemplo 123, Ciudad Autónoma de Buenos Aires, Argentina

Si preferís, las solicitudes relativas a datos personales deben presentarse por escrito con los datos que permitan identificar al solicitante y la petición concreta. Asystir colaborará con el Responsable del Tratamiento y atenderá los requerimientos conforme a lo establecido por la Ley Nº 25.326.

Nota sobre autoridades: los titulares pueden presentar reclamos ante la autoridad de control correspondiente si consideran que sus derechos han sido vulnerados.