Política de Privacidad y Protección de Datos

Sana Medica opera bajo la Ley N.° 8968 (Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales) y sus reglamentos asociados.

Clasificamos nuestra base de datos de pacientes como uso interno conforme al Artículo 2 de la Ley N.° 8968, lo que la califica para la exención de inscripción ante PRODHAB.

• Datos de identidad: nombre, cédula o pasaporte, fecha de nacimiento, datos de contacto.
• Datos de salud sensibles: historial médico, diagnósticos, medicamentos, alergias, notas clínicas y notas de terapia cannabinoide.
• Datos de uso digital: registros de acceso e IP, únicamente con fines de seguridad y auditoría.

• Solo compartimos datos con programas de investigación o ensayos clínicos con tu consentimiento explícito, separado y por escrito (opt-in expreso).
• Nunca transferimos tus datos a fabricantes o cultivadores externos.
• Nunca vendemos tus datos a agencias de marketing ni a agregadores.
• Nunca publicamos tus datos sin tu consentimiento expreso.

Los datos clínicos se comparten dentro de la red segura de Sana Medica únicamente entre médicos autorizados que necesitan conocerlos para asegurar continuidad de cuidado.

• Ministerio de Salud, vía Sistema Oficial de Receta Digital (Decreto Ejecutivo N.° 43725-S).
• Farmacia dispensadora elegida por vos: solo los datos estrictamente necesarios para surtir la receta.

Solo divulgamos datos ante orden judicial válida emitida por autoridad competente costarricense. No realizamos divulgaciones voluntarias a autoridades.

Cuando utilizamos proveedores fuera de Costa Rica (por ejemplo, Zoom for Healthcare para video bajo BAA HIPAA, AWS São Paulo para hosting, Tilopay para pagos), aplicamos protecciones contractuales equivalentes a PRODHAB. Podés revocar tu consentimiento al procesamiento internacional en cualquier momento.

• Infraestructura de Escritorio Virtual (VDI) cifrada — sin almacenamiento local en dispositivos del personal.
• Autenticación de dos factores en todas las cuentas del personal.
• Control de acceso basado en necesidad de conocer.
• Registros de auditoría continuos con revisión regular.
• Cifrado en reposo y en tránsito (TLS 1.2+).

Bajo la Ley N.° 8968 podés ejercer tus derechos de Acceso, Rectificación, Cancelación y Oposición:

• Acceso: solicitar copia de los datos que tenemos sobre vos.
• Rectificación: corregir datos inexactos o desactualizados.
• Cancelación: solicitar borrado, sujeto a la obligación de retención de 10 años.
• Oposición: oponerte a tratamientos específicos (p. ej. investigación, marketing).

Para ejercer cualquier derecho, escribí a dpo@sanamedica.org. Respondemos en un máximo de 5 días hábiles.

Conservamos los expedientes médicos durante 10 años, conforme a la normativa costarricense. La solicitud de eliminación se cumple al vencer ese plazo, o de inmediato para datos no clínicos.

Nuestro DPO está disponible en dpo@sanamedica.org.

Sana Medica es una clínica costarricense regulada por la Ley N.° 8968 y la Ley General de Salud. HIPAA (Health Insurance Portability and Accountability Act, EE. UU.) no es la ley aplicable a nuestra prestación clínica en Costa Rica. Sin embargo, atendemos pacientes internacionales — incluidos pacientes con domicilio en EE. UU. — y por eso aplicamos voluntariamente controles administrativos, físicos y técnicos alineados con la HIPAA Security Rule (45 CFR §164.308–§164.312):

• Cifrado en tránsito (TLS 1.2+) y en reposo.
• Autenticación de identidad de personas y entidades (§164.312(d)).
• Controles de acceso por necesidad de conocer (§164.312(a)).
• Registros de auditoría e integridad (§164.312(b)–(c)).
• Plan de respuesta a incidentes y notificación de brechas.

Importante: no somos una entidad cubierta (covered entity) ni un asociado de negocios (business associate) bajo HIPAA, y no firmamos Business Associate Agreements (BAAs). Si tu cobertura de seguro estadounidense exige un BAA, debés gestionar el reembolso fuera del marco HIPAA.

Pacientes de la Unión Europea: tratamos los datos personales conforme al GDPR cuando aplica, en condición de responsable del tratamiento, con base en la prestación del contrato de atención y el consentimiento explícito.

En caso de un incidente de seguridad que afecte tus datos, te notificaremos sin demora indebida —y a más tardar en 72 horas— al correo electrónico que tengamos en archivo, junto con la naturaleza del incidente, los datos afectados y las medidas adoptadas. También notificaremos a PRODHAB cuando la Ley N.° 8968 así lo exija.

WhatsApp, SMS y correo electrónico no son canales seguros para datos clínicos sensibles. Aunque ofrecemos atención por WhatsApp para coordinación general, te pedimos no enviar diagnósticos, recetas, fotos médicas ni resultados por esos canales. Para información sensible, usá siempre el portal del paciente cifrado.

Diseñamos el sitio y el portal del paciente para cumplir con la Ley 7600 de Igualdad de Oportunidades para Personas con Discapacidad y las pautas WCAG 2.1 AA: contraste suficiente, navegación por teclado, etiquetas ARIA, atributos alt en imágenes y compatibilidad con lectores de pantalla. Si encontrás una barrera, escribinos a hola@sanamedica.org.

Más allá de la protección de datos, tenés todos los derechos reconocidos por la Ley 8239 de Derechos y Deberes de las Personas Usuarias de los Servicios de Salud: trato digno, información clara, segunda opinión, consentimiento informado, confidencialidad y mecanismos de queja. Para presentar una queja sobre la atención clínica podés escribirnos o acudir directamente al Colegio de Médicos y Cirujanos de Costa Rica.