Legal

Política de Privacidad

Última actualización: 16 de junio de 2026

Esta Política explica qué datos personales tratamos, con qué finalidad, sobre qué base legal, con quién los compartimos y qué derechos tenés sobre ellos. Aplica a la plataforma AVI (web y aplicaciones), accesible desde getavi.app y sus subdominios.

1. Marco legal

Tratamos los datos personales conforme a la Ley N.º 25.326 de Protección de los Datos Personales y su Decreto reglamentario 1558/2001, la Ley N.º 26.529 de Derechos del Paciente, Historia Clínica y Consentimiento Informado, y las normas y resoluciones de la Agencia de Acceso a la Información Pública (AAIP), autoridad de control en Argentina. Cuando tratamos datos de salud, lo hacemos respetando el deber de confidencialidad y secreto profesional aplicable.

Para el abogado — inscripción de la base Validar si la base de datos (de AVI y/o del consultorio) debe inscribirse en el Registro Nacional de Bases de Datos de la AAIP (art. 21, Ley 25.326) y quién es el sujeto obligado a inscribir.

2. Roles: quién es responsable de los datos

AVI es una herramienta que los consultorios y profesionales de la salud usan para gestionar su práctica. Por eso conviene distinguir dos roles:

• El consultorio o profesional (cliente de AVI) es el responsable del tratamiento de los datos de sus pacientes. Decide qué carga, con qué finalidad y es quien mantiene la relación con el paciente, obtiene su consentimiento y custodia su historia clínica.
• AVI actúa como encargado del tratamiento (proveedor que trata datos por cuenta y según las instrucciones del responsable). No usamos los datos de los pacientes para fines propios ni los cedemos fuera de lo necesario para prestar el servicio.

Respecto de los datos de las cuentas de usuario (cirujano, secretaria, profesionales asociados) y de la operación de la plataforma, AVI actúa como responsable.

3. Qué datos tratamos

Datos de los usuarios de la plataforma

• Identificación y contacto: nombre, correo electrónico, teléfono.
• Datos de la cuenta: rol (administrador, profesional, secretaría), preferencias, registros de acceso.
• Datos del consultorio: razón social, CUIT, condición ante AFIP, datos de IIBB, domicilio, logo.
• Credenciales de integraciones que conectás (por ejemplo, tokens de MercadoPago, certificados de facturación), almacenadas de forma cifrada.

Datos de los pacientes (cargados por el consultorio)

• Datos identificatorios y de contacto del paciente.
• Datos de salud (datos sensibles): historia clínica, antecedentes, diagnósticos, fotografías clínicas, audios de la consulta y sus transcripciones, y demás información asistencial.
• Turnos, agenda y comunicaciones (por ejemplo, recordatorios por WhatsApp o email).
• Datos de facturación y pagos vinculados a la atención.

4. Datos sensibles de salud

Los datos de salud son datos sensibles y reciben protección especial. Solo se tratan para prestar el servicio al consultorio responsable y bajo sus instrucciones. El consultorio es quien debe obtener el consentimiento informado del paciente y cumplir con la Ley 26.529. AVI aplica medidas técnicas y organizativas reforzadas para protegerlos: cifrado en tránsito y en reposo, aislamiento por consultorio (Row-Level Security), control de acceso por rol, registros de auditoría y el tratamiento específico de los audios de consulta descrito en la sección 6.

5. Finalidad y base legal del tratamiento

• Prestar el servicio: agenda, historia clínica, facturación, cobros, transcripción con IA y comunicaciones — sobre la base de la ejecución del contrato con el consultorio.
• Cumplir obligaciones legales: por ejemplo, emisión de comprobantes fiscales ante AFIP y conservación de la historia clínica.
• Consentimiento: para el tratamiento de datos de salud del paciente, que obtiene el consultorio responsable.
• Interés legítimo: seguridad de la plataforma, prevención de fraude y mejora del servicio, sin afectar tus derechos.

6. Inteligencia artificial (transcripción de consultas · SONA)

Si el consultorio activa la transcripción de consultas, el audio se procesa mediante servicios de terceros especializados (transcripción y estructuración del texto). En ese flujo:

• El audio se transmite de forma cifrada y se usa únicamente para generar la transcripción y su resumen estructurado.
• El consentimiento del paciente para grabar la consulta se verifica antes de procesar el audio y se registra de forma inmutable (fecha, hora y origen del consentimiento).
• No se utiliza el contenido de las consultas para entrenar modelos de inteligencia artificial de terceros. Los proveedores de transcripción se configuran con exclusión expresa de mejora de modelos (opt-out), y el de estructuración de texto opera bajo retención cero (no conserva el contenido luego de procesarlo).
• La transcripción es una asistencia: el profesional es responsable de revisarla y validarla antes de incorporarla a la historia clínica.

Para el abogado — decisión sobre el audio de la consulta Hay dos modelos posibles para el audio original, con implicancias legales distintas: (a) eliminarlo una vez generada la transcripción (mínima retención / máxima privacidad), o (b) resguardarlo como nota de trabajo del profesional con acceso restringido (accesible solo por orden judicial o autorización del paciente) — un resguardo pensado para proteger al médico. El modelo (b) entra en tensión con el derecho de acceso del paciente a su historia clínica (Ley 26.529, art. 14) si el audio se considera parte de ella. Definir cuál adoptamos y cómo redactarlo. Ver el documento de research legal, Parte 3.3.

7. Con quién compartimos datos (encargados y proveedores)

Para operar, AVI se apoya en proveedores que tratan datos por nuestra cuenta, bajo acuerdos de confidencialidad y protección de datos. La mayoría cuenta con certificaciones de seguridad reconocidas (SOC 2, ISO 27001 u otras). Según las funciones que uses, pueden incluir:

• Infraestructura, base de datos y almacenamiento: Supabase (base de datos, autenticación y archivos) y Vercel (alojamiento de la aplicación).
• Transcripción e IA (SONA): Deepgram (reconocimiento de voz) y Anthropic (estructuración del texto con Claude).
• Pagos: MercadoPago, para gestionar cobros (certificado PCI DSS).
• Facturación: servicio de emisión de comprobantes electrónicos ante AFIP.
• Mensajería: Zernio, sobre la API oficial de WhatsApp de Meta (Cloud API), y un proveedor de correo electrónico transaccional.
• Inicio de sesión e integración de calendario: Google (inicio de sesión y, si lo conectás, Google Calendar — ver sección 15) y Apple (inicio de sesión), si elegís usar esas cuentas.
• Diagnóstico y métricas: herramientas de monitoreo de errores y de analítica de producto, configuradas para no capturar datos de salud.

Mantenemos la lista actualizada de proveedores (subprocesadores) a disposición de quien la solicite. No vendemos datos personales. Solo los compartimos con autoridades cuando una norma o una orden judicial lo exige.

Para el abogado — proveedores y documentación AVI hereda el nivel de seguridad de su infraestructura, pero no posee certificación propia (SOC 2 / ISO 27001) todavía. Pendiente: firmar el acuerdo de tratamiento de datos (DPA) con cada proveedor que lo ofrezca y exigir documentación de seguridad a AfipSDK y Zernio (cuyas certificaciones no son públicas). Ver el documento de research legal, Parte 1.

8. Transferencias internacionales

Algunos de nuestros proveedores procesan datos fuera de Argentina, principalmente en Estados Unidos. Dado que ese país no integra la lista de naciones con "nivel adecuado" de protección reconocida por la Agencia de Acceso a la Información Pública, amparamos la transferencia en los recaudos que exige el artículo 12 de la Ley 25.326: el consentimiento del titular y/o cláusulas contractuales conforme a los modelos de la Agencia, que obligan al proveedor a un nivel de protección equivalente. Limitamos la transferencia a lo necesario para prestar el servicio y, cuando es posible, alojamos los datos de pacientes en una región de Sudamérica.

Para el abogado — transferencia internacional Punto sensible: confirmar la base de transferencia a EE.UU. (consentimiento informado del paciente + cláusulas contractuales tipo AAIP) y decidir si fijamos la región de la base de datos de pacientes en São Paulo (Supabase lo permite) para minimizar la exposición. Ver el documento de research legal, marco legal y Parte 3.

9. Conservación de los datos

Conservamos los datos mientras exista la relación con el consultorio y luego durante los plazos que exige la ley. En particular, la historia clínica debe conservarse por el plazo mínimo que establece la Ley 26.529 (diez años), y los datos fiscales por los plazos que fija la normativa de AFIP. Vencidos esos plazos, los datos se eliminan o anonimizan de forma segura.

10. Seguridad

Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito y en reposo, aislamiento de la información de cada consultorio (Row-Level Security), control de acceso por roles, gestión de credenciales en un gestor de secretos dedicado, registros de actividad y el tratamiento de los audios de consulta descrito en la sección 6. Ningún sistema es 100% infalible, pero trabajamos para proteger tu información y la de tus pacientes.

11. Tus derechos

Como titular de los datos, podés ejercer en cualquier momento tus derechos de acceso, rectificación, actualización y supresión, así como oponerte al tratamiento, escribiéndonos a soporte@getavi.app. Si tus datos fueron cargados por un consultorio (por ejemplo, como paciente), te orientamos para canalizar tu pedido con el responsable correspondiente.

El titular de los datos puede ejercer el derecho de acceso en forma gratuita a intervalos no inferiores a seis meses, salvo interés legítimo. También podés efectuar reclamos ante la Agencia de Acceso a la Información Pública (AAIP), órgano de control de la Ley 25.326.

12. Menores de edad

Cuando un paciente sea menor de edad, el tratamiento de sus datos de salud se realiza con el consentimiento de quienes ejercen su responsabilidad parental o tutela, gestionado por el consultorio responsable.

13. Cookies y tecnologías similares

Usamos cookies estrictamente necesarias para mantener tu sesión iniciada. Para entender el uso del producto utilizamos analítica configurada de forma respetuosa de la privacidad, sin captura automática de campos ni de datos de salud.

14. Cambios en esta Política

Podemos actualizar esta Política. Si los cambios son significativos, te avisaremos por la plataforma o por correo. La fecha de "última actualización" indica la versión vigente.

15. Datos de Google (Google Calendar y Uso Limitado)

Si conectás tu cuenta de Google para sincronizar tu calendario, AVI accede a datos de tu Google Calendar a través de las APIs de Google, usando los permisos "calendar.events" y "calendar.freebusy". Empleamos esos datos únicamente para funciones que vos activás dentro de AVI:

• Leer tu disponibilidad (horarios ocupados y libres) para mostrarla y evitar superposiciones al agendar turnos.
• Crear, actualizar y eliminar en tu calendario los eventos correspondientes a los turnos que gestionás en AVI.

El uso y la transferencia por parte de AVI de la información recibida de las APIs de Google se ajustan a la Política de Datos de Usuario de los Servicios de API de Google (Google API Services User Data Policy), incluidos los requisitos de Uso Limitado (Limited Use). En particular, respecto de los datos obtenidos de Google:

• No los vendemos.
• No los usamos ni los transferimos con fines publicitarios.
• No los usamos para entrenar modelos de inteligencia artificial.
• Solo los tratamos para brindarte las funciones de calendario descritas, o cuando sea necesario por seguridad, para cumplir una obligación legal o con tu consentimiento.

Podés revocar el acceso de AVI a tu Google Calendar cuando quieras, desde tus ajustes de calendario en AVI o desde la configuración de seguridad de tu cuenta de Google. Al revocarlo, dejamos de acceder a esos datos y eliminamos los tokens de acceso almacenados.

16. Contacto

Por cualquier consulta sobre esta Política o sobre el tratamiento de tus datos, escribinos a soporte@getavi.app.