Cumplimiento LOPDP — Ecuador

Política de Protección y Tratamiento de Datos Personales

WELLBAND S.A.S. — Dra. SofIA: Inteligencia Artificial Clínica

Versión: 1.0
Vigencia: [31/12/2026]
Última actualización: [25/10/2025]
Ámbito: Ecuador (LOPDP)

1. Identificación del Responsable del Tratamiento

Responsable: WELLBAND S.A.S.

Nombre comercial: Dra. SofIA: Inteligencia Artificial Clínica

RUC: 1793227365001

Domicilio: Juan Diguja N66 y Vozandes, Quito – Ecuador

Correo: info@mywellband.com

Teléfono: 096 423 2312

En implementaciones corporativas, el cliente puede actuar como corresponsable o encargado según contrato.

2. Definiciones (LOPDP)

Se aplican las definiciones de la Ley Orgánica de Protección de Datos Personales del Ecuador, incluyendo: datos personales, datos sensibles, titular, tratamiento, responsable, encargado, transferencia, consentimiento.

Glosario ampliado
  • Datos sensibles: Incluyen datos de salud que la plataforma trata para brindar orientación.
  • Encargado: Proveedores que procesan datos por cuenta del Responsable (p. ej., infraestructura cloud, WhatsApp Business API).
  • Transferencia internacional: Envío de datos a un tercer país conforme requisitos de la LOPDP.

4. Finalidades del Tratamiento

  • Permitir la interacción vía WhatsApp con la plataforma Dra. SofIA.
  • Realizar triaje clínico automatizado y generar orientaciones médicas digitales.
  • Emitir, cuando corresponda, recetas electrónicas o indicaciones (validación médica solo en casos necesarios).
  • Gestionar el seguimiento y control de evolución de casos.
  • Elaborar registros para auditoría médica y cumplimiento normativo.
  • Gestión operativa, seguridad, prevención de fraude y continuidad del servicio.

No se realizan fines incompatibles con los anteriores.

5. Bases Legales de Tratamiento

  • Consentimiento del titular (explícito para datos de salud).
  • Ejecución de relaciones contractuales con clientes corporativos.
  • Interés legítimo del Responsable en seguridad, calidad y mejora del servicio (sin afectar derechos del titular).
  • Obligaciones legales en materia sanitaria y de protección de datos.

6. Categorías de Datos Tratados

CategoríaEjemplosFinalidad
IdentificaciónNombre, cédula, teléfono, correoAutenticación, contacto, registro
Datos de salud (sensibles)Síntomas, antecedentes, indicacionesTriaje y orientación médica digital
Metadatos de interacciónMarcas de tiempo, logs, estadoSeguridad, continuidad, auditoría
SoporteTickets, incidentesAtención y mejora del servicio

Se aplica minimización: se recopila lo estrictamente necesario.

7. Principios

  • Licitud
  • Lealtad
  • Finalidad
  • Minimización
  • Exactitud
  • Seguridad
  • Responsabilidad Proactiva

8. Medidas de Seguridad

Aplicamos medidas técnicas y organizativas proporcionales al riesgo:

  • Cifrado de datos en tránsito (TLS) y en reposo.
  • Control de acceso basado en roles; acceso a salud solo personal médico/ autorizado.
  • Segregación de entornos y gestión de credenciales.
  • Registro y auditoría de accesos y operaciones.
  • Backups y continuidad de negocio.
  • Evaluaciones periódicas de seguridad y capacitación.
Subencargados típicos

Infraestructura cloud, servicios de correo, WhatsApp Business API/ BSP. Todo proveedor firma acuerdos de encargo con clausulado de confidencialidad y seguridad.

9. Conservación y Eliminación

Los registros se conservan por hasta 7 años o el plazo mayor/menor exigido por normativa sanitaria y de auditoría médica. Cumplido el plazo, se eliminarán o anonimizarán de forma segura.

Tipo de datoPlazoMétodo de cierre
Interacciones (chat y PDF)Hasta 7 añosEliminación/anonimización segura
Logs técnicos3–24 mesesRotación y purga controlada
SoporteHasta 2 añosCierre de ticket y purga

10. Destinatarios y Encargados

No se comunican datos a terceros salvo:

  • Obligación legal o requerimiento de autoridad competente.
  • Proveedores encargados para la prestación del servicio bajo contrato.
  • Clientes corporativos como corresponsables cuando así se establezca contractualmente.

11. Transferencias Internacionales

Podrá realizarse transferencia internacional cuando sea necesaria para operar la plataforma, con garantías adecuadas y contratos que cumplan la LOPDP, incluyendo cláusulas estándar, evaluaciones de riesgo y medidas complementarias.

12. Derechos del Titular

El titular puede ejercer: acceso, rectificación, actualización, eliminación, oposición, portabilidad y suspensión del tratamiento.

Procedimiento
  1. Enviar solicitud a privacy@mywellband.com con identificación.
  2. Recibir acuse de recibo en 15 días hábiles.
  3. Respuesta motivada dentro de los plazos de la LOPDP.

13. Consentimiento y Retiro

El tratamiento de datos de salud requiere consentimiento explícito. El titular puede retirarlo en cualquier momento; esto no afecta la licitud previa. El retiro puede limitar el acceso a funcionalidades clínicas.

14. Tratamiento de Datos de Menores

Para menores de edad se exige consentimiento verificable del representante legal, salvo excepciones legales en salud pública o urgencia médica.

15. Cookies y Canales

La interacción clínica se realiza por WhatsApp (no requiere cookies). El sitio web informativo puede emplear cookies técnicas y de analítica con banner de consentimiento y panel de preferencias.

16. Gestión de Incidentes de Seguridad

  • Detección, contención, erradicación y recuperación.
  • Registro y análisis post-incidente.
  • Notificación a autoridad y titulares según severidad y plazos legales.

17. Evaluaciones de Impacto (DPIA)

Se realizarán DPIA cuando el tratamiento implique alto riesgo (p. ej., datos de salud, nuevas funcionalidades, cambios de proveedor o región de datos).

18. Gobierno de Datos y Roles

  • Responsable de Tratamiento: WELLBAND S.A.S.
  • Delegado de Protección de Datos (si aplica): [Nombre / contacto]
  • Encargados/Subencargados: contratados con cláusulas de confidencialidad y seguridad.

19. Cambios a la Política

Las modificaciones se publicarán en www.docsofia.com. Si el cambio afecta consentimientos, se solicitará renovación.

20. Contacto y Ejercicio de Derechos

Para consultas o ejercicio de derechos:

Anexos

Tabla de Retención (detalle)
RegistroBase legalPlazoObservaciones
Chats clínicos y PDFNormativa sanitaria / defensa jurídicaHasta 7 añosAnonimización cuando proceda
ConsentimientosLOPDPVigencia + 5 añosSoporte de evidencia
Logs de accesoSeguridad3–24 mesesMinimización
Base de Interés Legítimo

Aplicada con evaluación de balance y salvaguardas, sin prevalecer sobre los derechos del titular.