Cumplimiento LOPDP — Ecuador

Política de Protección y Tratamiento de Datos Personales

WELLBAND S.A.S. — Dra. SofIA: Plataforma de apoyo clínico y gestión asistida por inteligencia artificial

Versión: 1.0
Vigencia: [31/12/2026]
Última actualización: 18/05/2026
Ámbito: Ecuador (LOPDP)

1. Identificación del Responsable del Tratamiento

Responsable: WELLBAND S.A.S.

Nombre comercial: Dra. SofIA: Inteligencia Artificial Clínica

RUC: 1793227365001

Domicilio: Edificio Casal Reina Victoria, Av. Patria y Reina Victoria, Oficina 5, Quito – Ecuador

Correo: info@mywellband.com

Teléfono: 096 423 2312

En implementaciones corporativas, el cliente puede actuar como corresponsable o encargado según contrato.

2. Definiciones (LOPDP)

Se aplican las definiciones de la Ley Orgánica de Protección de Datos Personales del Ecuador, incluyendo: datos personales, datos sensibles, titular, tratamiento, responsable, encargado, transferencia, consentimiento.

Glosario ampliado
  • Datos sensibles: Incluyen datos de salud que la plataforma trata para organizar preconsultas, documentar revisión clínica y apoyar la atención por profesionales autorizados.
  • Encargado: Proveedores que procesan datos por cuenta del Responsable (p. ej., infraestructura cloud, autenticación, mensajería o almacenamiento).
  • Transferencia internacional: Envío de datos a un tercer país conforme requisitos de la LOPDP.

4. Finalidades del Tratamiento

  • Registrar pacientes y administrar perfiles clínicos y administrativos dentro de la plataforma Dra. SofIA.
  • Recopilar y organizar información de preconsulta, síntomas, antecedentes y conversación previa del paciente.
  • Permitir la revisión clínica por parte de profesionales autorizados, incluyendo notas, evaluaciones y plan médico.
  • Apoyar la elaboración, generación, almacenamiento y envío de recetas, documentos clínicos y PDF bajo supervisión profesional.
  • Gestionar el seguimiento, trazabilidad, auditoría y control operativo de casos atendidos.
  • Administrar autenticación, permisos, configuración de clínica, firmas, activos institucionales y seguridad del sistema.
  • Gestión operativa, seguridad, prevención de fraude y continuidad del servicio.

No se realizan fines incompatibles con los anteriores.

5. Bases Legales de Tratamiento

  • Consentimiento del titular cuando resulte aplicable, especialmente para datos de salud y según el flujo definido por la clínica.
  • Ejecución de relaciones contractuales con clínicas, consultorios y clientes corporativos.
  • Interés legítimo del Responsable en seguridad, calidad y mejora del servicio (sin afectar derechos del titular).
  • Obligaciones legales en materia sanitaria y de protección de datos.

6. Categorías de Datos Tratados

CategoríaEjemplosFinalidad
IdentificaciónNombre, documento, teléfono, correo, fecha de nacimientoRegistro, contacto, administración del paciente
Datos de salud (sensibles)Síntomas, antecedentes, notas médicas, evaluación presencial, plan médico, recetasSoporte a la atención clínica y documentación asistencial
Interacciones y documentosHistorial conversacional, PDFs, marcas de tiempo, estado de casosTrazabilidad, seguimiento, auditoría y continuidad clínica
Datos de usuarios internosCredenciales, correo, rol, identificadores de clínica, permisosAutenticación, control de acceso y seguridad
Configuración institucionalDatos de clínica, firma, logo, activos cargadosPersonalización operativa y generación documental
SoporteTickets, incidentesAtención y mejora del servicio

Se aplica minimización: se recopila lo estrictamente necesario.

7. Principios

  • Licitud
  • Lealtad
  • Finalidad
  • Minimización
  • Exactitud
  • Seguridad
  • Responsabilidad Proactiva

8. Medidas de Seguridad

Aplicamos medidas técnicas y organizativas proporcionales al riesgo:

  • Cifrado de datos en tránsito (TLS) y en reposo.
  • Control de acceso basado en roles; acceso a salud solo personal médico o administrativo autorizado según el caso.
  • Segregación de entornos y gestión de credenciales.
  • Registro y auditoría de accesos y operaciones.
  • Backups y continuidad de negocio.
  • Evaluaciones periódicas de seguridad y capacitación.
Subencargados típicos

Infraestructura cloud, servicios de correo, autenticación, mensajería, almacenamiento de archivos y servicios afines. Todo proveedor firma acuerdos de encargo con clausulado de confidencialidad y seguridad.

9. Conservación y Eliminación

Los registros se conservan por hasta 7 años o el plazo mayor o menor exigido por normativa sanitaria, contractual, de auditoría médica o de defensa jurídica. Cumplido el plazo, se eliminarán o anonimizarán de forma segura.

Tipo de datoPlazoMétodo de cierre
Interacciones, documentos clínicos y PDFHasta 7 añosEliminación/anonimización segura
Logs técnicos3–24 mesesRotación y purga controlada
SoporteHasta 2 añosCierre de ticket y purga

10. Destinatarios y Encargados

No se comunican datos a terceros salvo:

  • Obligación legal o requerimiento de autoridad competente.
  • Proveedores encargados para la prestación del servicio bajo contrato.
  • Clínicas o clientes corporativos como responsables, corresponsables o destinatarios autorizados cuando así se establezca contractualmente.

11. Transferencias Internacionales

Podrá realizarse transferencia internacional cuando sea necesaria para operar la plataforma, alojar datos, autenticar usuarios, almacenar documentos o prestar funcionalidades técnicas, con garantías adecuadas y contratos que cumplan la LOPDP, incluyendo cláusulas estándar, evaluaciones de riesgo y medidas complementarias.

12. Derechos del Titular

El titular puede ejercer: acceso, rectificación, actualización, eliminación, oposición, portabilidad y suspensión del tratamiento.

Procedimiento
  1. Enviar solicitud a privacy@mywellband.com con identificación.
  2. Recibir acuse de recibo en 15 días hábiles.
  3. Respuesta motivada dentro de los plazos de la LOPDP.

13. Consentimiento y Retiro

El tratamiento de datos de salud requiere consentimiento explícito cuando así lo exija la LOPDP o cuando no exista otra base legal suficiente. El titular puede retirarlo en cualquier momento; esto no afecta la licitud previa. El retiro puede limitar el acceso a funcionalidades clínicas o la continuidad operativa del caso.

14. Tratamiento de Datos de Menores

Para menores de edad se exige consentimiento verificable del representante legal o la base legal aplicable según normativa sanitaria. La clínica usuaria debe asegurar que el registro y uso de estos datos se realice con autorización suficiente.

15. Cookies y Canales

La plataforma puede operar mediante panel web administrativo, mensajería y otros canales digitales asociados al servicio. El sitio web informativo puede emplear cookies técnicas y de analítica con banner de consentimiento y panel de preferencias, mientras que los módulos clínicos usan además registros técnicos de sesión, autenticación y auditoría.

16. Gestión de Incidentes de Seguridad

  • Detección, contención, erradicación y recuperación.
  • Registro y análisis post-incidente.
  • Notificación a autoridad y titulares según severidad y plazos legales.

17. Evaluaciones de Impacto (DPIA)

Se realizarán DPIA cuando el tratamiento implique alto riesgo (p. ej., datos de salud, nuevas funcionalidades, cambios de proveedor o región de datos).

18. Gobierno de Datos y Roles

  • WELLBAND S.A.S.: proveedor tecnológico y responsable o encargado del tratamiento según la relación contractual y el flujo operativo aplicable.
  • Clínicas y profesionales usuarios: responsables de la carga, revisión, uso clínico y legitimidad del tratamiento de los datos de sus pacientes.
  • Canal de privacidad y protección de datos: privacy@mywellband.com
  • Encargados/Subencargados: contratados con cláusulas de confidencialidad, seguridad y limitación de acceso.

19. Cambios a la Política

Las modificaciones se publicarán en www.docsofia.com. Si el cambio afecta consentimientos, se solicitará renovación.

20. Contacto y Ejercicio de Derechos

Para consultas o ejercicio de derechos:

Anexos

Tabla de Retención (detalle)
RegistroBase legalPlazoObservaciones
Chats clínicos, notas, recetas y PDFNormativa sanitaria / defensa jurídicaHasta 7 añosAnonimización cuando proceda
Consentimientos y autorizacionesLOPDPVigencia + 5 añosSoporte de evidencia
Logs de accesoSeguridad3–24 mesesMinimización
Base de Interés Legítimo

Aplicada con evaluación de balance y salvaguardas, sin prevalecer sobre los derechos del titular.