Vita

Política de Tratamiento de Datos Personales

Vita / Vitary — Plataforma de gestión clínica desarrollada por Noelyx
Última actualización: 1 de abril de 2026

La presente Política de Tratamiento de Datos Personales (en adelante, "la Política") establece los términos, condiciones y procedimientos bajo los cuales Noelyx (en adelante, "el Encargado") trata los datos personales procesados a través de la plataforma Vita / Vitary (en adelante, "la Plataforma"), en cumplimiento de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Ley N° 8968) de Costa Rica y su Reglamento (Decreto Ejecutivo N° 37554-JP), así como del Reglamento General de Protección de Datos (RGPD/GDPR) de la Unión Europea y demás normativa internacional aplicable.

Esta política debe leerse conjuntamente con los Términos de Uso y la Política de Privacidad.

1. Marco normativo

El tratamiento de datos personales se rige por las siguientes normas principales:

  • Ley N° 8968 — Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales de Costa Rica (publicada el 7 de julio de 2011).
  • Decreto Ejecutivo N° 37554-JP — Reglamento a la Ley N° 8968.
  • Reglamento (UE) 2016/679 — Reglamento General de Protección de Datos (RGPD/GDPR).
  • Directrices de la PRODHAB — Agencia de Protección de Datos de los Habitantes de Costa Rica.
  • Cualquier otra normativa nacional o internacional de protección de datos que resulte aplicable según la jurisdicción del titular o de la clínica.

2. Principios rectores del tratamiento

Todo tratamiento de datos personales realizado a través de la Plataforma se rige por los siguientes principios, conforme al artículo 4 del RGPD y a los artículos 4 a 10 de la Ley N° 8968:

2.1. Consentimiento informado

Los datos personales serán tratados con el consentimiento previo, libre, específico, informado e inequívoco del titular, salvo en los casos en que la ley autorice el tratamiento sin consentimiento (cumplimiento contractual, obligación legal, interés vital o interés legítimo prevalente).

2.2. Finalidad

Los datos se recopilarán para fines específicos, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.

2.3. Proporcionalidad y minimización

Solo se recopilarán los datos adecuados, pertinentes y limitados a lo necesario en relación con las finalidades para las que son tratados. No se recopilarán datos excesivos o innecesarios.

2.4. Calidad y exactitud

Los datos personales serán exactos y, cuando sea necesario, actualizados. Se adoptarán medidas razonables para suprimir o rectificar sin dilación los datos inexactos.

2.5. Seguridad

Se implementarán medidas técnicas y organizativas apropiadas para garantizar la integridad, confidencialidad y disponibilidad de los datos personales.

2.6. Responsabilidad proactiva (accountability)

Noelyx y las clínicas adoptarán políticas y medidas adecuadas para demostrar el cumplimiento de la normativa de protección de datos.

3. Roles y responsabilidades

3.1. La clínica como responsable del tratamiento

Conforme al artículo 5 de la Ley N° 8968 y al artículo 4(7) del RGPD, las clínicas que utilizan la Plataforma son las responsables del tratamiento de los datos personales de sus pacientes. En este rol, la clínica:

  • Determina las finalidades y medios del tratamiento de los datos de sus pacientes.
  • Es responsable de obtener y documentar el consentimiento informado de los titulares cuando sea necesario.
  • Debe informar a sus pacientes sobre el tratamiento de sus datos, incluyendo el uso de la Plataforma como herramienta tecnológica.
  • Es responsable de atender las solicitudes de derechos de sus pacientes (acceso, rectificación, supresión, oposición, portabilidad).
  • Debe garantizar que el tratamiento cumple con la normativa sanitaria y de protección de datos de su jurisdicción.
  • Es responsable de registrar las bases de datos ante la PRODHAB cuando así lo exija la legislación costarricense (artículo 21 de la Ley N° 8968).

3.2. Noelyx como encargado del tratamiento

Conforme al artículo 28 del RGPD y a la normativa costarricense aplicable, Noelyx actúa como encargado del tratamiento (procesador de datos). En este rol, Noelyx:

  • Trata los datos personales únicamente conforme a las instrucciones documentadas de la clínica y para la prestación del servicio.
  • No utiliza los datos de pacientes para finalidades propias no relacionadas con la prestación del servicio.
  • Implementa medidas técnicas y organizativas adecuadas para garantizar la seguridad del tratamiento.
  • No subcontrata el tratamiento sin la autorización general o específica de la clínica, y garantiza que los sub-encargados cumplan las mismas obligaciones de protección de datos.
  • Asiste a la clínica en la atención de solicitudes de derechos de los titulares.
  • Notifica a la clínica sin dilación indebida sobre cualquier violación de seguridad que afecte datos personales.
  • Pone a disposición de la clínica la información necesaria para demostrar el cumplimiento de sus obligaciones.
  • Al finalizar la relación contractual, devuelve o elimina los datos personales conforme a las instrucciones de la clínica, salvo obligación legal de conservación.

4. Tipos de datos tratados y finalidades

4.1. Datos de identificación y contacto

DatoFinalidadBase legal
Nombre completoIdentificación del usuario/pacienteEjecución del contrato / Consentimiento
Correo electrónicoRegistro, autenticación, comunicacionesEjecución del contrato
Número de teléfonoComunicación vía WhatsApp/SMS, recordatoriosEjecución del contrato / Consentimiento
Cédula/documento de identidadIdentificación del paciente (cuando la clínica lo requiera)Consentimiento / Obligación legal

4.2. Datos administrativos

DatoFinalidadBase legal
Información de citasGestión de agenda, recordatoriosEjecución del contrato
Historial de interaccionesContinuidad del servicio, soporteEjecución del contrato / Interés legítimo
Preferencias de servicioPersonalización de la atenciónEjecución del contrato
Datos de facturaciónCobro del servicio, obligaciones fiscalesEjecución del contrato / Obligación legal

4.3. Datos técnicos

DatoFinalidadBase legal
Dirección IPSeguridad, detección de anomalíasInterés legítimo
Datos de sesión y navegadorFuncionamiento y seguridad de la PlataformaInterés legítimo
Registros de actividad (logs)Auditoría, resolución de incidentesInterés legítimo / Obligación legal
Registros de consentimientoDemostración de cumplimiento normativoObligación legal

4.4. Datos sensibles

La Plataforma está diseñada para la gestión administrativa de clínicas y no requiere el procesamiento sistemático de datos de salud. Sin embargo, los pacientes pueden proporcionar voluntariamente información de naturaleza sensible a través de los canales de comunicación integrados. En estos casos:

  • El tratamiento se realiza conforme al artículo 9 del RGPD y al artículo 8 de la Ley N° 8968, que establecen protecciones reforzadas para datos sensibles.
  • La clínica, como responsable del tratamiento, debe contar con una base legal adecuada (generalmente el consentimiento explícito del titular o la excepción de atención sanitaria).
  • Noelyx aplicará medidas de seguridad reforzadas a estos datos, incluyendo cifrado, controles de acceso estrictos y minimización del acceso a personal autorizado.
  • En ningún caso Noelyx utilizará datos sensibles para finalidades distintas a las estrictamente necesarias para la prestación del servicio.

5. Consentimiento

5.1. Requisitos del consentimiento

Conforme al artículo 5 de la Ley N° 8968 y al artículo 7 del RGPD, el consentimiento para el tratamiento de datos personales debe ser:

  • Libre: otorgado sin coacción, condicionamiento ni desequilibrio de poder.
  • Específico: referido a finalidades concretas y determinadas.
  • Informado: precedido de información clara sobre la identidad del responsable, las finalidades del tratamiento, los derechos del titular y la posibilidad de revocar el consentimiento.
  • Inequívoco: manifestado mediante una acción afirmativa clara (no se acepta el silencio ni las casillas premarcadas).

5.2. Registro del consentimiento

Noelyx registra y conserva evidencia del consentimiento otorgado por los usuarios durante el proceso de registro, incluyendo:

  • Fecha y hora exactas del consentimiento (timestamp).
  • Versión de los documentos legales aceptados.
  • Identidad del titular que otorgó el consentimiento.
  • Medio a través del cual se otorgó el consentimiento.

5.3. Revocación del consentimiento

El titular puede revocar su consentimiento en cualquier momento, sin efecto retroactivo sobre el tratamiento realizado con anterioridad. La revocación puede realizarse mediante solicitud escrita a gdpr@vitary.io.

La revocación del consentimiento puede afectar la capacidad de Noelyx para prestar el servicio contratado, lo cual será informado al titular al momento de procesar la solicitud.

5.4. Excepciones al consentimiento

Conforme a la Ley N° 8968 y al RGPD, el tratamiento puede realizarse sin consentimiento cuando:

  • Sea necesario para la ejecución de un contrato del que el titular es parte.
  • Sea necesario para el cumplimiento de una obligación legal.
  • Sea necesario para proteger intereses vitales del titular o de otra persona.
  • Sea necesario para el cumplimiento de una misión de interés público.
  • Sea necesario por intereses legítimos prevalentes del responsable o de terceros, siempre que no prevalezcan los derechos y libertades del titular.
  • Los datos provengan de fuentes de acceso público.

6. Medidas de seguridad

Conforme al artículo 10 de la Ley N° 8968 y al artículo 32 del RGPD, Noelyx implementa medidas técnicas y organizativas apropiadas al nivel de riesgo del tratamiento:

6.1. Medidas técnicas

  • Cifrado de datos en tránsito mediante protocolos TLS 1.2 o superiores.
  • Cifrado de datos en reposo en la infraestructura de almacenamiento.
  • Controles de acceso basados en roles (RBAC) y principio de mínimo privilegio.
  • Autenticación segura con funciones de hashing robustas para credenciales.
  • Copias de seguridad cifradas con políticas de retención y rotación definidas.
  • Monitoreo continuo de la infraestructura y alertas de seguridad.
  • Registro de actividad y auditoría de acceso a datos.
  • Separación lógica de datos entre clínicas (multi-tenancy seguro).
  • Protección contra inyección SQL, XSS, CSRF y otras vulnerabilidades comunes.

6.2. Medidas organizativas

  • Políticas internas de seguridad de la información y protección de datos.
  • Limitación de acceso a datos personales al personal estrictamente necesario.
  • Cláusulas de confidencialidad para el personal y colaboradores.
  • Evaluación y selección de proveedores conforme a criterios de seguridad.
  • Procedimientos documentados de respuesta ante incidentes de seguridad.
  • Revisiones periódicas de seguridad y actualización de medidas.

7. Violaciones de seguridad (data breaches)

7.1. Notificación a la clínica

En caso de violación de seguridad que afecte datos personales, Noelyx notificará a las clínicas afectadas sin dilación indebida, proporcionando:

  • Descripción de la naturaleza de la violación.
  • Categorías y número aproximado de titulares afectados.
  • Posibles consecuencias de la violación.
  • Medidas adoptadas o propuestas para mitigar los efectos.

7.2. Notificación a las autoridades

Conforme al artículo 33 del RGPD, Noelyx asistirá a la clínica para notificar a la autoridad de control competente dentro de las 72 horas siguientes a tener conocimiento de una violación que pueda constituir un riesgo para los derechos y libertades de los titulares.

Conforme a la Ley N° 8968 y las directrices de la PRODHAB, se realizarán las notificaciones que correspondan a la autoridad costarricense de protección de datos.

7.3. Notificación a los titulares

Cuando la violación de seguridad sea probable que entrañe un alto riesgo para los derechos y libertades de los titulares, estos serán notificados sin dilación indebida conforme al artículo 34 del RGPD, a menos que se hayan aplicado medidas de protección que hagan ininteligibles los datos o que se puedan adoptar medidas que eliminen el riesgo.

8. Derechos de los titulares

Conforme a los artículos 7 y 8 de la Ley N° 8968, al Reglamento (Decreto N° 37554-JP) y a los artículos 15 a 22 del RGPD, los titulares de datos personales tienen los siguientes derechos:

8.1. Derechos bajo la Ley N° 8968 de Costa Rica

  • Derecho de información (Art. 4): ser informado de manera expresa, precisa e inequívoca sobre la existencia de bases de datos, las finalidades del tratamiento, los destinatarios de los datos y la identidad del responsable.
  • Derecho de acceso (Art. 7): obtener información sobre los datos personales que se encuentren registrados, así como la finalidad con la que fueron recabados.
  • Derecho de rectificación (Art. 7): solicitar la modificación de datos que resulten inexactos, incompletos o no actualizados.
  • Derecho de supresión (Art. 7): solicitar la eliminación de los datos cuando estos no sean necesarios para la finalidad que fueron recabados, cuando hayan sido tratados ilícitamente o cuando se haya revocado el consentimiento.

8.2. Derechos adicionales bajo el RGPD

  • Derecho de limitación del tratamiento (Art. 18): solicitar la restricción del tratamiento en determinadas circunstancias (mientras se verifica la exactitud, mientras se resuelve una oposición, cuando el tratamiento es ilícito pero se prefiere la limitación a la supresión).
  • Derecho de portabilidad (Art. 20): recibir los datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
  • Derecho de oposición (Art. 21): oponerse al tratamiento basado en interés legítimo o para fines de marketing directo.
  • Derecho a no ser objeto de decisiones automatizadas (Art. 22): no ser sometido a decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos significativos, salvo las excepciones previstas.

8.3. Procedimiento para ejercer los derechos

El titular puede ejercer sus derechos mediante solicitud escrita dirigida a:

  • Para datos tratados por una clínica: dirigirse en primer lugar a la clínica responsable del tratamiento. Noelyx asistirá a la clínica en la atención de la solicitud.
  • Para datos tratados directamente por Noelyx: enviar solicitud a gdpr@vitary.io.

La solicitud debe incluir, como mínimo:

  • Nombre completo del titular.
  • Derecho que desea ejercer.
  • Medio de contacto utilizado con la clínica o Plataforma.
  • Clínica relacionada, si aplica.
  • Descripción clara y detallada de la solicitud.
  • Copia de un documento de identidad vigente para fines de verificación.

8.4. Plazos de respuesta

  • Ley N° 8968: cinco (5) días hábiles desde la recepción de la solicitud, conforme al artículo 7 de la ley y su reglamento.
  • RGPD: un (1) mes desde la recepción, prorrogable por dos (2) meses adicionales en casos de complejidad o volumen, previa notificación motivada al solicitante.

8.5. Limitaciones al ejercicio de derechos

El ejercicio de derechos podrá limitarse cuando sea necesario para:

  • El cumplimiento de obligaciones legales, fiscales o regulatorias.
  • La defensa de reclamaciones o el ejercicio de derechos en procedimientos judiciales.
  • La prevención de fraude y la seguridad del sistema.
  • La protección de derechos y libertades de terceros.
  • Razones de interés público debidamente justificadas.

9. Transferencias internacionales de datos

Los datos personales procesados a través de la Plataforma pueden ser transferidos a servidores o proveedores ubicados fuera de Costa Rica o del Espacio Económico Europeo (EEE).

9.1. Salvaguardas aplicables

Conforme al artículo 14 de la Ley N° 8968 y a los artículos 44 a 49 del RGPD, las transferencias se realizan bajo alguna de las siguientes salvaguardas:

  • Decisión de adecuación de la Comisión Europea o de la PRODHAB.
  • Cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea.
  • Normas corporativas vinculantes (BCR) cuando apliquen.
  • Consentimiento explícito del titular, debidamente informado de los riesgos.
  • Necesidad del tratamiento para la ejecución del contrato entre la clínica y el titular.
  • Medidas técnicas complementarias (cifrado end-to-end, pseudonimización) cuando sean requeridas por la evaluación de riesgos.

9.2. Evaluación de impacto de transferencias (TIA)

Noelyx realiza evaluaciones de impacto de transferencias cuando la legislación del país de destino pueda afectar la protección de los datos, conforme a las recomendaciones del Comité Europeo de Protección de Datos (EDPB 01/2020).

10. Evaluación de impacto relativa a la protección de datos (EIPD/DPIA)

Conforme al artículo 35 del RGPD, Noelyx realiza evaluaciones de impacto cuando el tratamiento presente un alto riesgo para los derechos y libertades de los titulares, en particular cuando:

  • Se utilice tecnología de inteligencia artificial para la toma de decisiones o generación de respuestas.
  • Se realice un tratamiento a gran escala de datos de categorías especiales.
  • Se realice un seguimiento sistemático y extensivo de titulares.
  • Se introduzcan nuevas funcionalidades que impliquen nuevos riesgos para los datos personales.

11. Retención y eliminación de datos

11.1. Política de retención

Los datos personales se conservan durante el tiempo estrictamente necesario para las finalidades del tratamiento. Los criterios específicos de retención se detallan en la Política de Privacidad.

11.2. Eliminación segura

Una vez cumplido el periodo de retención o atendida una solicitud de supresión, los datos serán:

  • Eliminados de forma segura de los sistemas de producción.
  • Eliminados de las copias de seguridad conforme a su ciclo de rotación.
  • Anonimizados de manera irreversible cuando se conserven con fines estadísticos.

11.3. Obligaciones de conservación prevalentes

La eliminación estará sujeta a las obligaciones legales de conservación que prevalezcan, incluyendo requisitos fiscales, regulatorios, contractuales, de seguridad, prevención de fraude y defensa ante reclamaciones.

12. Tratamiento de datos con inteligencia artificial

La Plataforma utiliza modelos de inteligencia artificial para asistir en la gestión de comunicaciones. En relación con el tratamiento de datos mediante IA:

  • Los datos pueden ser procesados por modelos de IA para generar respuestas automatizadas a consultas administrativas de pacientes.
  • No se utilizan datos de pacientes para entrenar modelos de IA propios de Noelyx.
  • Los datos enviados a proveedores de IA (como OpenAI) se transmiten de forma cifrada y conforme a los acuerdos de procesamiento de datos vigentes con dichos proveedores.
  • Las decisiones tomadas con asistencia de IA no tienen efectos jurídicos vinculantes y deben ser supervisadas por personal humano de la clínica.
  • El titular tiene derecho a solicitar intervención humana en cualquier decisión que le afecte significativamente.

13. Sub-encargados del tratamiento

Noelyx puede utilizar sub-encargados para la prestación del servicio. Estos sub-encargados están vinculados contractualmente a cumplir las mismas obligaciones de protección de datos que se establecen en esta Política. Los sub-encargados actuales incluyen proveedores de:

  • Infraestructura en la nube y almacenamiento de datos.
  • Servicios de inteligencia artificial y procesamiento de lenguaje natural.
  • Plataformas de mensajería y comunicación.
  • Pasarelas de pago y procesamiento de transacciones.

El titular o la clínica pueden solicitar información actualizada sobre los sub-encargados escribiendo a gdpr@vitary.io.

14. Autoridades de control y reclamaciones

14.1. PRODHAB (Costa Rica)

Si el titular considera que sus derechos han sido vulnerados, puede presentar una denuncia ante la Agencia de Protección de Datos de los Habitantes (PRODHAB), conforme al artículo 18 de la Ley N° 8968:

14.2. Autoridades de la UE (RGPD)

Los titulares sujetos al RGPD pueden presentar reclamaciones ante la autoridad de control del Estado miembro donde residan, donde trabajen o donde se haya producido la presunta infracción, conforme al artículo 77 del RGPD.

15. Modificaciones a esta política

Noelyx podrá actualizar esta Política cuando sea necesario para reflejar cambios en el servicio, en las prácticas de tratamiento de datos o en la normativa aplicable. Las modificaciones serán publicadas en la Plataforma con la fecha de la última actualización.

Para cambios sustanciales, se notificará a los usuarios y clínicas afectados con antelación razonable. El uso continuado de la Plataforma después de la publicación de los cambios constituye la aceptación de la política actualizada.

16. Contacto

Para consultas, solicitudes o reclamaciones relacionadas con el tratamiento de datos personales:

Al registrarse en la Plataforma o utilizar sus servicios, el Usuario declara haber leído, comprendido y aceptado la presente Política de Tratamiento de Datos Personales conforme a la Ley N° 8968 de Costa Rica y al Reglamento General de Protección de Datos (RGPD) de la Unión Europea.