Política de Privacidad
Vita / Vitary — Plataforma de gestión clínica desarrollada por Noelyx
Última actualización: 1 de abril de 2026
La presente Política de Privacidad describe cómo Noelyx (en adelante, "nosotros", "nuestro" o "Noelyx") recopila, utiliza, almacena, protege y comparte los datos personales procesados a través de la plataforma Vita / Vitary (en adelante, "la Plataforma"). Esta política cumple con la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Ley N° 8968) de Costa Rica, el Reglamento General de Protección de Datos (RGPD/GDPR) de la Unión Europea y otras normativas internacionales de protección de datos aplicables.
Esta política debe leerse conjuntamente con los Términos de Uso y la Política de Tratamiento de Datos Personales.
1. Responsable y encargado del tratamiento
1.1. Roles en el tratamiento de datos
- Las clínicas usuarias actúan como responsables del tratamiento (controladores de datos / data controllers) respecto de los datos personales de sus pacientes, conforme al artículo 5 de la Ley N° 8968 y al artículo 4(7) del RGPD.
- Noelyx actúa como encargado del tratamiento (procesador de datos / data processor), procesando los datos personales únicamente conforme a las instrucciones de la clínica y para la prestación del servicio contratado, conforme al artículo 28 del RGPD y a la normativa costarricense aplicable.
1.2. Datos de contacto del encargado
- Empresa: Noelyx
- Correo de contacto para asuntos de privacidad: gdpr@vitary.io
2. Datos personales que recopilamos
En el marco de la prestación de nuestros servicios, la Plataforma puede procesar las siguientes categorías de datos personales:
2.1. Datos proporcionados directamente por los usuarios (clínicas)
- Nombre completo del titular de la cuenta y personal autorizado.
- Correo electrónico de registro.
- Número de teléfono de contacto.
- Nombre, dirección y datos de la clínica (razón social, ciudad).
- Información de facturación y suscripción.
- Configuración de servicios, profesionales, horarios y preferencias.
2.2. Datos de pacientes (procesados en nombre de las clínicas)
- Nombre completo del paciente.
- Número de teléfono (WhatsApp u otro canal de comunicación).
- Número de identificación personal (cédula u otro documento), cuando la clínica lo requiera.
- Información relacionada con citas y solicitudes administrativas.
- Historial de interacciones con la clínica a través de la Plataforma.
- Cualquier dato que el paciente proporcione voluntariamente a través de los canales de comunicación integrados.
2.3. Datos técnicos y de uso
- Dirección IP y datos de geolocalización aproximada.
- Tipo de navegador, sistema operativo y dispositivo.
- Datos de sesión, incluyendo fecha, hora y duración de acceso.
- Páginas visitadas y acciones realizadas dentro de la Plataforma.
- Registros de errores y rendimiento del sistema.
2.4. Datos sensibles
La Plataforma está diseñada para la gestión administrativa y no requiere el procesamiento de datos sensibles de salud. Sin embargo, si un paciente proporciona voluntariamente información de salud a través de canales de comunicación integrados:
- Dicha información será tratada con el más alto nivel de protección conforme al artículo 9 del RGPD y al artículo 8 de la Ley N° 8968.
- La clínica, como responsable del tratamiento, debe garantizar que cuenta con la base legal adecuada para procesar dicha información.
- Noelyx aplicará medidas técnicas y organizativas reforzadas para proteger estos datos.
3. Bases legales para el tratamiento
Los datos personales son procesados con fundamento en una o más de las siguientes bases legales, conforme al artículo 6 del RGPD y a la Ley N° 8968:
| Base legal | Aplicación |
|---|---|
| Ejecución de un contrato (Art. 6.1.b RGPD) | Procesamiento necesario para la prestación del servicio contratado por el Usuario. |
| Consentimiento (Art. 6.1.a RGPD; Art. 5 Ley 8968) | Cuando el titular otorga su consentimiento libre, específico, informado e inequívoco, especialmente para comunicaciones de marketing o procesamiento de datos sensibles. |
| Interés legítimo (Art. 6.1.f RGPD) | Seguridad del sistema, prevención de fraude, mejora del servicio, auditoría interna. Se realiza un balance de intereses para asegurar que no prevalezcan los derechos del titular. |
| Cumplimiento de obligaciones legales (Art. 6.1.c RGPD; Art. 5 Ley 8968) | Conservación de datos por requisitos fiscales, regulatorios o de seguridad. Respuesta a requerimientos de autoridades competentes. |
| Interés vital del titular (Art. 6.1.d RGPD) | Situaciones excepcionales donde el procesamiento sea necesario para proteger intereses vitales del titular o de otra persona. |
4. Finalidades del tratamiento
Los datos personales son utilizados para las siguientes finalidades:
- Prestación del servicio: gestión de citas, comunicación con pacientes, envío de recordatorios y notificaciones, generación de reportes.
- Administración de cuentas: registro, autenticación, gestión de suscripciones y facturación.
- Soporte técnico: resolución de incidencias, asistencia al Usuario.
- Seguridad: detección y prevención de accesos no autorizados, fraude y uso indebido.
- Mejora del servicio: análisis de uso, optimización de funcionalidades, desarrollo de nuevas características.
- Cumplimiento normativo: atención de solicitudes de derechos ARCO/ARSOPOD, respuesta a requerimientos legales, auditoría.
- Comunicaciones operativas: avisos sobre el servicio, cambios en los términos, actualizaciones de seguridad.
5. Compartición de datos con terceros
Noelyx no vende, alquila ni comercializa datos personales. Los datos pueden ser compartidos únicamente en los siguientes casos y con las siguientes categorías de destinatarios:
| Destinatario | Finalidad | Base legal |
|---|---|---|
| Proveedores de infraestructura en la nube | Alojamiento, almacenamiento y procesamiento de datos | Ejecución del contrato |
| Proveedores de IA | Generación de respuestas automatizadas | Ejecución del contrato |
| Proveedores de mensajería (Meta/WhatsApp) | Envío y recepción de mensajes | Ejecución del contrato |
| Pasarelas de pago | Procesamiento de transacciones | Ejecución del contrato |
| Autoridades competentes | Cumplimiento de requerimientos legales | Obligación legal |
| Asesores legales y auditores | Cumplimiento normativo y defensa de reclamaciones | Interés legítimo |
Todos los terceros que procesan datos personales en nuestro nombre están obligados contractualmente a proteger la confidencialidad, integridad y disponibilidad de los datos, y a procesarlos únicamente conforme a nuestras instrucciones y a la normativa aplicable.
6. Transferencias internacionales de datos
Los datos personales pueden ser almacenados o procesados en servidores ubicados fuera de Costa Rica o fuera del Espacio Económico Europeo (EEE). En tales casos, Noelyx garantiza que se aplican las salvaguardas adecuadas, incluyendo:
- Decisiones de adecuación de la Comisión Europea o de la PRODHAB (Agencia de Protección de Datos de los Habitantes de Costa Rica) cuando estén disponibles.
- Cláusulas contractuales tipo (Standard Contractual Clauses, SCC) aprobadas por la Comisión Europea.
- Medidas técnicas y organizativas complementarias cuando sean necesarias conforme a las recomendaciones del Comité Europeo de Protección de Datos (EDPB).
- Certificaciones, códigos de conducta u otros mecanismos reconocidos por la normativa aplicable.
El titular de los datos puede solicitar información sobre las salvaguardas aplicables a las transferencias internacionales escribiendo a gdpr@vitary.io.
7. Conservación de datos
Los datos personales se conservarán durante el tiempo estrictamente necesario para cumplir con las finalidades descritas en esta política, salvo que una obligación legal, regulatoria, contractual o de seguridad exija su conservación por un período mayor.
7.1. Criterios de retención
| Tipo de dato | Periodo de retención |
|---|---|
| Datos de cuenta del usuario | Durante la vigencia de la cuenta + 12 meses tras la cancelación |
| Datos de pacientes | Conforme a la política de retención de la clínica responsable y a las obligaciones legales aplicables |
| Datos de facturación | Conforme a la legislación fiscal aplicable (mínimo 5 años en Costa Rica) |
| Registros de consentimiento | Durante la vigencia del tratamiento + 5 años adicionales |
| Datos técnicos y logs | Máximo 12 meses para fines operativos; conforme a requerimientos legales para fines de seguridad |
7.2. Eliminación
Una vez cumplido el periodo de retención, los datos serán eliminados de forma segura o anonimizados de manera irreversible. Los respaldos cifrados serán purgados conforme a su ciclo de rotación.
8. Derechos del titular de los datos
Conforme a la Ley N° 8968, al RGPD y a la normativa aplicable, los titulares de datos personales tienen los siguientes derechos:
| Derecho | Descripción | Marco legal |
|---|---|---|
| Información | Ser informado sobre el tratamiento de sus datos personales de forma transparente. | Art. 13-14 RGPD; Art. 4 Ley 8968 |
| Acceso | Obtener confirmación de si sus datos están siendo tratados y acceder a una copia de los mismos. | Art. 15 RGPD; Art. 7 Ley 8968 |
| Rectificación | Solicitar la corrección de datos inexactos o incompletos. | Art. 16 RGPD; Art. 7 Ley 8968 |
| Supresión (derecho al olvido) | Solicitar la eliminación de sus datos cuando ya no sean necesarios o cuando se retire el consentimiento. | Art. 17 RGPD; Art. 7 Ley 8968 |
| Limitación del tratamiento | Solicitar la restricción del tratamiento en determinadas circunstancias. | Art. 18 RGPD |
| Portabilidad | Recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable. | Art. 20 RGPD |
| Oposición | Oponerse al tratamiento basado en interés legítimo o para fines de marketing directo. | Art. 21 RGPD; Art. 7 Ley 8968 |
| No ser objeto de decisiones automatizadas | No ser sometido a decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos significativos. | Art. 22 RGPD |
| Revocación del consentimiento | Retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo. | Art. 7(3) RGPD; Art. 5 Ley 8968 |
8.1. Cómo ejercer sus derechos
Para ejercer cualquiera de estos derechos, puede enviar una solicitud a gdpr@vitary.io indicando:
- Nombre completo del solicitante.
- Derecho que desea ejercer.
- Medio de contacto utilizado con la clínica o plataforma.
- Clínica relacionada, si aplica.
- Descripción clara de la solicitud.
Podremos solicitar información adicional razonable para verificar su identidad antes de procesar la solicitud.
8.2. Plazos de respuesta
- RGPD: responderemos dentro de un (1) mes desde la recepción de la solicitud, prorrogable por dos (2) meses adicionales en casos complejos, previa notificación.
- Ley N° 8968: responderemos dentro de los cinco (5) días hábiles conforme al artículo 7 de la ley y su reglamento.
8.3. Datos procesados en nombre de clínicas
Cuando los datos hayan sido proporcionados por una clínica, esta actúa como responsable principal. Noelyx brindará asistencia razonable a la clínica para atender las solicitudes de derechos de sus pacientes.
9. Cookies y tecnologías similares
9.1. Cookies utilizadas
La Plataforma utiliza las siguientes categorías de cookies:
- Cookies estrictamente necesarias: esenciales para el funcionamiento de la Plataforma (autenticación, sesión, seguridad). No requieren consentimiento.
- Cookies funcionales: almacenan preferencias del usuario para mejorar la experiencia de uso.
- Cookies analíticas: recopilan datos anónimos sobre el uso de la Plataforma para fines estadísticos y de mejora.
9.2. Gestión de cookies
El usuario puede configurar su navegador para rechazar o eliminar cookies. La desactivación de cookies esenciales puede afectar el funcionamiento de la Plataforma.
10. Seguridad de la información
Noelyx implementa medidas técnicas y organizativas adecuadas para proteger los datos personales, incluyendo:
- Cifrado de datos en tránsito mediante TLS 1.2+.
- Cifrado de datos en reposo en la infraestructura de almacenamiento.
- Controles de acceso basados en roles y principio de mínimo privilegio.
- Autenticación segura con hashing de contraseñas mediante algoritmos robustos.
- Monitoreo continuo del sistema y registro de actividad.
- Copias de seguridad cifradas con políticas de retención definidas.
- Evaluaciones periódicas de seguridad y actualización de dependencias.
- Procedimientos de respuesta ante incidentes de seguridad.
No obstante, ningún sistema tecnológico puede garantizar seguridad absoluta. En caso de una violación de seguridad que afecte datos personales, Noelyx notificará a las autoridades competentes y a los titulares afectados conforme a lo establecido en el artículo 33 del RGPD y en la normativa costarricense aplicable.
11. Privacidad de menores
La Plataforma no está dirigida a menores de edad. Noelyx no recopila deliberadamente datos personales de menores de 18 años. Si se identifica que se han recopilado datos de un menor sin el consentimiento de su representante legal, procederemos a eliminarlos de inmediato.
Cuando una clínica atienda pacientes menores de edad, la clínica es responsable de obtener el consentimiento del representante legal conforme a la normativa aplicable.
12. Autoridades de protección de datos
Si considera que el tratamiento de sus datos vulnera sus derechos, puede presentar una reclamación ante:
- Costa Rica: Agencia de Protección de Datos de los Habitantes (PRODHAB) — www.prodhab.go.cr
- Unión Europea: la autoridad de control de protección de datos del Estado miembro donde resida, trabaje o donde se haya producido la presunta infracción.
13. Cambios a esta política
Noelyx podrá actualizar esta Política de Privacidad periódicamente. Las modificaciones serán publicadas en la Plataforma con la fecha de la última actualización. Para cambios sustanciales, procuraremos notificar a los usuarios mediante correo electrónico u otro medio razonable con antelación suficiente.
El uso continuado de la Plataforma después de la publicación de cambios constituye la aceptación de la política actualizada.
14. Contacto
Para cualquier consulta, solicitud o reclamación relacionada con esta Política de Privacidad o con el tratamiento de sus datos personales, puede contactarnos en:
- Correo electrónico: gdpr@vitary.io
Al registrarse en la Plataforma o utilizar sus servicios, el Usuario declara haber leído, comprendido y aceptado la presente Política de Privacidad.