Política de Privacidad

La presente Política de Privacidad describe cómo VittaSami, operado por ABP Consulting EIRL (RUC 20603197691), con domicilio en Lima, Perú, recopila, utiliza, almacena y protege los datos personales de los usuarios de nuestra plataforma. VittaSami es una plataforma SaaS (Software como Servicio) diseñada para la gestión de centros de salud y bienestar. Nuestros servicios están disponibles a través de: • vittasami.com — Sitio web informativo y de marketing • app.vittasami.lat — Aplicación SaaS para gestión de centros Esta política aplica a todos los usuarios de la plataforma, incluyendo administradores de centros (Tenants), profesionales de salud, recepcionistas y pacientes/clientes que interactúan con el sistema. Nos comprometemos a cumplir con la Ley N° 29733 — Ley de Protección de Datos Personales del Perú, su Reglamento (Decreto Supremo N° 003-2013-JUS), y los principios del Reglamento General de Protección de Datos (GDPR) de la Unión Europea en lo que resulte aplicable.

Recopilamos diferentes tipos de datos personales según el rol del usuario y las funcionalidades que utilice: 2.1 Datos de Cuenta • Nombre completo • Correo electrónico • Número de teléfono • Contraseña (almacenada de forma cifrada, nunca en texto plano) • Rol dentro de la plataforma (administrador, profesional, recepcionista, paciente) 2.2 Datos de Pacientes/Clientes • Nombre completo • Datos de contacto (correo, teléfono) • Historial clínico y notas médicas (ingresados por los profesionales del centro) • Historial de citas y servicios recibidos • Documentos e imágenes clínicas, cuando aplique 2.3 Datos de Pago • Historial de transacciones y montos • Estado de pagos y suscripciones • Importante: No almacenamos datos de tarjetas de crédito ni débito. El procesamiento de pagos es gestionado íntegramente por Culqi, un procesador de pagos certificado PCI-DSS. VittaSami solo recibe confirmaciones de transacciones. 2.4 Datos del Negocio (Tenant) • Nombre del centro o negocio • Dirección y datos de contacto del establecimiento • Configuraciones de servicios, horarios y profesionales • Logotipo y branding personalizado 2.5 Datos de Uso y Técnicos • Dirección IP • Tipo de navegador y dispositivo • Páginas visitadas y tiempo de permanencia • Registros de actividad (logs) dentro de la plataforma • Datos de rendimiento y errores 2.6 Cookies y Tecnologías Similares Utilizamos cookies esenciales para el funcionamiento de la plataforma (autenticación, preferencias de sesión). Para más información, consulte nuestra Política de Cookies en /cookies.

Utilizamos los datos personales recopilados para los siguientes fines: 3.1 Prestación del Servicio • Crear y gestionar cuentas de usuario • Facilitar la gestión de agendas, citas y pacientes • Permitir la administración de historias clínicas • Habilitar las funcionalidades contratadas según el plan 3.2 Procesamiento de Pagos • Gestionar suscripciones y facturación • Procesar pagos de servicios a través de Culqi • Generar comprobantes y registros de transacciones 3.3 Comunicaciones y Notificaciones • Enviar recordatorios de citas por correo electrónico • Enviar notificaciones por WhatsApp (con consentimiento previo) • Comunicar cambios en el servicio, mantenimientos o actualizaciones • Responder consultas de soporte 3.4 Mejora del Servicio • Analizar patrones de uso para mejorar la experiencia • Identificar y corregir errores técnicos • Desarrollar nuevas funcionalidades basadas en necesidades reales 3.5 Seguridad • Detectar y prevenir accesos no autorizados • Proteger contra fraude y uso indebido • Mantener la integridad y disponibilidad del servicio 3.6 Cumplimiento Legal • Cumplir con obligaciones legales y regulatorias • Responder a requerimientos de autoridades competentes • Ejercer o defender derechos legales

El tratamiento de datos personales se fundamenta en las siguientes bases legales, conforme a la Ley N° 29733: 4.1 Consentimiento Cuando usted se registra en VittaSami y acepta esta Política de Privacidad, otorga su consentimiento para el tratamiento de sus datos. Para comunicaciones de marketing o notificaciones por WhatsApp, solicitamos consentimiento específico y separado. 4.2 Ejecución de Contrato El tratamiento es necesario para la ejecución del contrato de servicio entre usted (o su organización) y VittaSami, incluyendo la gestión de su cuenta, la prestación de funcionalidades y el procesamiento de pagos. 4.3 Interés Legítimo Tratamos ciertos datos con base en nuestro interés legítimo para: • Garantizar la seguridad de la plataforma • Mejorar nuestros servicios • Prevenir fraude y uso indebido 4.4 Obligación Legal Cuando el tratamiento sea necesario para cumplir con obligaciones legales aplicables, como la conservación de registros contables o la respuesta a requerimientos judiciales.

VittaSami no vende datos personales a terceros. Sin embargo, compartimos datos de forma limitada con los siguientes proveedores de servicios que son necesarios para el funcionamiento de la plataforma: 5.1 Supabase (Base de Datos y Autenticación) • Función: Almacenamiento de datos y gestión de autenticación • Datos compartidos: Todos los datos del servicio • Ubicación de servidores: Estados Unidos • Más información: https://supabase.com/privacy 5.2 Culqi (Procesamiento de Pagos) • Función: Procesamiento seguro de pagos con tarjeta • Datos compartidos: Datos de transacciones (no almacenamos datos de tarjeta) • Ubicación: Perú • Certificación: PCI-DSS • Más información: https://culqi.com/politica-de-privacidad 5.3 Vercel (Hosting y CDN) • Función: Alojamiento de la aplicación web • Datos compartidos: Datos de tráfico web, logs de acceso • Ubicación de servidores: Estados Unidos • Más información: https://vercel.com/legal/privacy-policy 5.4 Twilio (Notificaciones por WhatsApp) • Función: Envío de mensajes y recordatorios por WhatsApp • Datos compartidos: Números de teléfono y contenido de mensajes • Ubicación: Estados Unidos • Más información: https://www.twilio.com/legal/privacy 5.5 Servicio SMTP (Notificaciones por Email) • Función: Envío de correos electrónicos transaccionales y recordatorios • Datos compartidos: Direcciones de correo y contenido de mensajes Todos nuestros proveedores están obligados contractualmente a proteger los datos y a utilizarlos únicamente para los fines establecidos. Además, podemos compartir datos cuando sea requerido por ley o por autoridad competente.

Conservamos los datos personales solo durante el tiempo necesario para cumplir con los fines descritos en esta política: 6.1 Datos de Cuenta Se conservan mientras la cuenta esté activa y hasta 2 años después de la cancelación o inactividad, para permitir la reactivación del servicio. 6.2 Datos de Pacientes e Historias Clínicas Se conservan durante la vigencia de la cuenta del centro y según lo exigido por la normativa sanitaria peruana (Ley General de Salud, Ley N° 26842 y normas complementarias), que puede requerir la conservación de registros clínicos por períodos prolongados. 6.3 Datos de Transacciones y Pagos Se conservan durante 5 años conforme a las obligaciones tributarias y contables vigentes en Perú. 6.4 Datos de Uso y Logs Se conservan por un máximo de 12 meses con fines de seguridad y análisis. 6.5 Después de la Eliminación Al eliminar una cuenta, los datos personales se eliminan o anonimizan dentro de los 90 días siguientes, salvo los datos que debamos conservar por obligación legal. Las copias de seguridad se purgan en ciclos regulares.

Conforme a la Ley N° 29733 y normativa aplicable, usted tiene los siguientes derechos sobre sus datos personales: 7.1 Derecho de Acceso Puede solicitar información sobre qué datos personales tenemos almacenados y cómo los utilizamos. 7.2 Derecho de Rectificación Puede solicitar la corrección de datos personales inexactos o incompletos. También puede actualizar muchos de sus datos directamente desde la configuración de su cuenta. 7.3 Derecho de Cancelación (Eliminación) Puede solicitar la eliminación de sus datos personales cuando ya no sean necesarios para los fines para los que fueron recopilados, sujeto a las obligaciones legales de conservación. 7.4 Derecho de Oposición Puede oponerse al tratamiento de sus datos para fines específicos, como comunicaciones de marketing. 7.5 Derecho de Portabilidad Puede solicitar una copia de sus datos en un formato estructurado, de uso común y lectura mecánica. VittaSami ofrece funcionalidades de exportación de datos desde la plataforma. 7.6 Derecho a Revocar el Consentimiento Puede retirar su consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento previo. Cómo Ejercer sus Derechos Para ejercer cualquiera de estos derechos, envíe una solicitud a: • Correo electrónico: privacidad@vittasami.com • Asunto: Indicar el derecho que desea ejercer (ej: "Solicitud de Acceso a Datos Personales") • Contenido: Nombre completo, correo electrónico asociado a la cuenta y descripción de la solicitud Responderemos a su solicitud dentro de los 10 días hábiles siguientes a su recepción, conforme a lo establecido por la normativa peruana. En caso de no estar satisfecho con nuestra respuesta, puede presentar una reclamación ante la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos del Perú.

Implementamos medidas de seguridad técnicas y organizativas para proteger sus datos personales contra acceso no autorizado, pérdida, alteración o destrucción: 8.1 Cifrado • Todos los datos en tránsito están protegidos mediante TLS 1.3 (HTTPS) • Las contraseñas se almacenan con algoritmos de hash seguros (bcrypt) • Los datos sensibles se cifran en reposo 8.2 Control de Acceso • Autenticación basada en tokens JWT • Control de acceso basado en roles (RBAC): administrador, profesional, recepcionista, paciente • Row Level Security (RLS): Aislamiento a nivel de base de datos que garantiza que cada centro solo puede acceder a sus propios datos 8.3 Aislamiento Multi-Tenant • Cada centro (Tenant) tiene sus datos completamente aislados de los demás • Las políticas de seguridad a nivel de base de datos impiden el acceso cruzado entre tenants • Identificador único de tenant en todas las operaciones 8.4 Infraestructura • Servidores alojados en centros de datos certificados (AWS vía Supabase y Vercel) • Copias de seguridad automáticas • Monitoreo continuo de seguridad y disponibilidad 8.5 Prácticas Organizativas • Acceso a datos de producción limitado a personal autorizado • Revisiones periódicas de seguridad • Protocolo de respuesta ante incidentes de seguridad Aunque implementamos medidas robustas, ningún sistema es completamente infalible. En caso de una brecha de seguridad que afecte sus datos personales, le notificaremos dentro de las 72 horas siguientes al descubrimiento del incidente, conforme a las mejores prácticas internacionales.

Para la prestación de nuestros servicios, sus datos personales pueden ser transferidos y procesados fuera del Perú, específicamente en Estados Unidos, donde se encuentran los servidores de nuestros proveedores de infraestructura (Supabase, Vercel, Twilio). Estas transferencias se realizan con las siguientes garantías: • Todos los proveedores cuentan con políticas de privacidad y medidas de seguridad que cumplen con estándares internacionales. • Los datos se transfieren bajo cláusulas contractuales que garantizan un nivel adecuado de protección. • Nos aseguramos de que los proveedores cumplan con marcos de protección de datos reconocidos. Conforme a la Ley N° 29733, realizamos estas transferencias internacionales sobre la base de su consentimiento y porque son necesarias para la ejecución del contrato de servicio.

VittaSami no está dirigido a menores de 18 años como usuarios directos de la plataforma. No recopilamos intencionalmente datos personales de menores para la creación de cuentas. Respecto a datos de pacientes menores: Los centros de salud que utilizan VittaSami pueden registrar pacientes menores de edad como parte de su práctica profesional. En estos casos: • El centro de salud es el responsable del tratamiento de dichos datos • El consentimiento debe ser otorgado por los padres o tutores legales del menor • VittaSami actúa como encargado del tratamiento, procesando los datos según las instrucciones del centro Si detectamos que un menor ha creado una cuenta sin autorización, procederemos a eliminarla y sus datos asociados.

Nos reservamos el derecho de actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, nuevas funcionalidades o requisitos legales. Cómo le notificaremos: • Publicaremos la versión actualizada en esta misma página con la nueva fecha de vigencia • Para cambios significativos, enviaremos una notificación por correo electrónico a la dirección asociada a su cuenta • Indicaremos claramente la fecha de “Última actualización” El uso continuado de VittaSami después de la publicación de cambios constituye su aceptación de la política modificada. Si no está de acuerdo con los cambios, puede cancelar su cuenta en cualquier momento. Le recomendamos revisar esta política periódicamente.

Si tiene preguntas, comentarios o solicitudes relacionadas con esta Política de Privacidad o el tratamiento de sus datos personales, puede contactarnos a través de: • Correo electrónico de privacidad: privacidad@vittasami.com • Correo electrónico general: contacto@vittasami.com • Sitio web: https://vittasami.com/contacto Responsable del Tratamiento: ABP Consulting EIRL Lima, Perú RUC: 20603197691 Autoridad de Control: Si considera que el tratamiento de sus datos vulnera sus derechos, puede presentar una reclamación ante la: Autoridad Nacional de Protección de Datos Personales Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales Ministerio de Justicia y Derechos Humanos del Perú https://www.gob.pe/minjus