Esta política describe cómo Kala, un asistente conversacional de gestión de turnos y cuentas para profesionales de la salud, trata los datos personales que se cargan al servicio, en el marco de la Ley 25.326 de Protección de Datos Personales y normativa complementaria. Es de acceso público y está dirigida tanto al profesional contratante como a sus pacientes y a cualquier persona interesada en conocer el tratamiento que realiza el servicio.
1. Identidad y contacto del responsable y del prestador
Prestador del servicio (encargado de tratamiento): ANDRÉS NICOLÁS CARRIZO, CUIT 20305015122, con domicilio en San Juan, Argentina, operando bajo el nombre comercial "IA San Juan" (en adelante, "IA San Juan" o "el Prestador"). Contacto: [email protected].
Responsable de la base de datos: el/la profesional de la salud que contrata el servicio (en adelante, "el Profesional") es el responsable de la base de datos de sus pacientes, conforme al artículo 2 de la Ley 25.326. IA San Juan actúa como encargado de tratamiento, por cuenta y orden del Profesional, conforme al artículo 25 de la misma ley.
Las solicitudes de acceso, rectificación, actualización y supresión de datos personales se ejercen ante el Profesional responsable de la base. IA San Juan colabora con el Profesional para hacer efectivos esos derechos en los sistemas del servicio.
2. Datos que se tratan
Datos del Profesional contratante:
- Identificatorios: nombre, apellido, título profesional, matrícula, DNI, domicilio, datos de contacto.
- Operativos: cuenta de Telegram u otro canal de mensajería autorizado, cuentas de Google asociadas (Calendar, Sheets, Drive).
- Comerciales: datos de suscripción, facturación y pago.
Datos de los pacientes del Profesional:
- Identificatorios: nombre, apellido, apodos y teléfono de contacto.
- De agenda: fechas y horarios de turnos, asistencias, cancelaciones y preferencias horarias.
- Económicos de la relación profesional-paciente: tarifas, sesiones adeudadas y pagos registrados.
Kala NO registra, almacena ni procesa historias clínicas, diagnósticos, notas de sesión ni ningún contenido clínico, y dispone de medidas técnicas que rechazan la carga de información clínica en campos de texto libre (referencias a diagnósticos, patologías o sintomatología). Sin perjuicio de ello, se reconoce que la sola vinculación de una persona identificada con un profesional de la salud puede revelar información relativa a la salud, considerada dato sensible en los términos del artículo 2 de la Ley 25.326. Por esa razón, el tratamiento se realiza con los recaudos propios de esa categoría: medidas de seguridad reforzadas, acceso restringido y limitación estricta de la finalidad.
3. Finalidad del tratamiento
Los datos se tratan exclusivamente para:
- Prestar el servicio de gestión de turnos y cuentas al Profesional.
- Reflejar la información en las herramientas de Google del propio Profesional (Calendar, Sheets, Drive), bajo su control y titularidad.
- Procesar pagos de la suscripción al servicio (datos del Profesional, no de pacientes).
- Atender consultas, soporte y cumplir obligaciones legales.
Los datos NO se utilizan para fines publicitarios, perfilado comercial, cesión a terceros con fines distintos al servicio, ni para entrenamiento, ajuste fino, mejora o desarrollo de modelos de inteligencia artificial propios ni de terceros.
4. Subencargados y transferencia internacional de datos (art. 12 Ley 25.326)
Para prestar el servicio, IA San Juan emplea proveedores de infraestructura, algunos con servidores fuera de la República Argentina. La contratación de estos proveedores constituye transferencia internacional de datos en los términos del artículo 12 de la Ley 25.326. Estos proveedores son subencargados de tratamiento y están sujetos a obligaciones contractuales de confidencialidad y seguridad equivalentes a las asumidas por IA San Juan.
| Proveedor | Servicio | Jurisdicción | Datos que recibe | Base de la transferencia |
|---|---|---|---|---|
| Oracle Cloud Infrastructure | Alojamiento de la base de datos y aplicación de Kala | Valparaíso / Chile | Datos del Profesional y de sus pacientes (los del punto 2) | Necesaria para la prestación del servicio (art. 12.2.e, Ley 25.326); acuerdo de servicio del proveedor |
| Google LLC | Calendar, Sheets, Drive del propio Profesional | EE.UU. | Datos reflejados en las cuentas del Profesional (titularidad del Profesional) | Contratación directa del Profesional con Google; IA San Juan opera sobre la cuenta autorizada |
| Telegram FZ-LLC | Canal de mensajería | Servidores distribuidos | Mensajes entre Profesional y Kala | Necesaria para la prestación del servicio; canal elegido por el Profesional |
| Meta Platforms / Twilio Inc. | Canal WhatsApp (cuando aplique) | EE.UU. | Mensajes entre Profesional y Kala | Necesaria para la prestación del servicio; canal elegido por el Profesional |
| Groq, Inc. | Procesamiento de lenguaje natural e inteligencia artificial | EE.UU. | Mensajes del Profesional, transitoriamente, para su interpretación | Necesaria para la prestación del servicio; el proveedor está contractualmente obligado a no retener ni reutilizar los datos para entrenamiento |
El listado actualizado de subencargados está disponible a requerimiento del Profesional y se publica en esta política. Cualquier cambio sustantivo se notifica al Profesional con anticipación razonable.
5. Conservación y retención de datos
| Tipo de dato | Plazo de conservación |
|---|---|
| Datos operativos del servicio (turnos, pacientes, pagos) | Mientras dure la prestación del servicio al Profesional |
| Datos del Profesional contratante | Durante la vigencia del contrato + plazos legales aplicables (registros contables: 10 años, art. 328 CCCN) |
| Backups de la base de datos | 30 días desde su generación |
| Logs operativos y de seguridad | 12 meses |
| Evidencia de aceptación contractual y consentimientos (versión, fecha, identificador) | Vigencia del contrato + 5 años |
| Registros de incidentes de seguridad | 5 años desde el cierre del incidente |
Producida la baja del servicio, IA San Juan elimina la información operativa de sus sistemas y copias de seguridad dentro de los 30 días, salvo solicitud expresa en contrario del Profesional o deber legal de conservación que justifique un plazo mayor. Los datos alojados en las cuentas de Google del Profesional permanecen siempre bajo su control y no se ven afectados por la baja del servicio.
6. Seguridad de la información
IA San Juan adopta las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales (art. 9, Ley 25.326), tomando como referencia las medidas recomendadas por la Resolución AAIP 47/2018. Estas medidas incluyen, entre otras:
- Control de acceso restringido por roles y autenticación.
- Cifrado en tránsito (TLS) en todas las comunicaciones con el servicio.
- Aislamiento de datos por profesional (multi-tenant con segregación).
- Registros de auditoría de operaciones sobre los datos.
- Copias de seguridad periódicas en infraestructura controlada.
- Gestión de vulnerabilidades y actualizaciones del software.
- Procedimiento documentado de respuesta a incidentes.
El detalle técnico se encuentra en la Política de Seguridad de la Información interna de IA San Juan, disponible para el Profesional a su requerimiento razonable.
7. Procedimiento ante incidentes de seguridad
Ante cualquier incidente de seguridad que afecte o pueda afectar la confidencialidad, integridad o disponibilidad de los datos personales, IA San Juan:
- Activa el procedimiento interno de respuesta (contención, investigación, mitigación).
- Notifica al Profesional sin demora indebida y como máximo dentro de las 72 horas de tomado conocimiento, aportando: naturaleza del incidente, categorías de datos afectados, identificación aproximada de los titulares afectados, medidas adoptadas para mitigar y medidas para evitar futuros incidentes.
- Colabora con el Profesional en la notificación a los titulares de datos afectados, cuando corresponda según el principio de buena fe (arts. 961 y 1061 CCCN).
- Notifica a la Agencia de Acceso a la Información Pública según las pautas de la Resolución AAIP 47/2018 cuando el incidente lo amerite por su gravedad o alcance.
8. Derechos de los titulares de datos (arts. 14 a 16, Ley 25.326)
Toda persona cuyos datos hayan sido cargados al servicio tiene derecho, en forma gratuita, a:
- Acceso: conocer qué datos suyos están siendo tratados.
- Rectificación: corregir datos inexactos o desactualizados.
- Actualización: incorporar información nueva.
- Supresión: solicitar la eliminación cuando ya no sean necesarios para la finalidad.
Los pacientes ejercen estos derechos ante el Profesional, que es el responsable de la base. IA San Juan, como encargado de tratamiento, colabora con el Profesional para hacer efectivos esos derechos en sus sistemas dentro de un plazo máximo de 10 días corridos de recibida la instrucción.
Para cualquier consulta o reclamo sobre el tratamiento de datos por parte de IA San Juan: [email protected].
LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, en su carácter de Órgano de Control de la Ley N° 25.326, tiene la atribución de atender las denuncias y reclamos que interpongan quienes resulten afectados en sus derechos por incumplimiento de las normas vigentes en materia de protección de datos personales. [NOTA PARA EL ABOGADO: verificar la redacción vigente de la leyenda exigida por la AAIP.]
9. Menores de edad y personas con capacidad restringida
Cuando el paciente sea menor de edad o persona con capacidad restringida, el consentimiento informado para el tratamiento de sus datos en el servicio es prestado por su representante legal (madre, padre, tutor o curador), debidamente identificado.
10. Cookies y tecnologías de seguimiento
El servicio se utiliza por canales de mensajería (Telegram, WhatsApp) y no requiere navegación web por parte del Profesional o sus pacientes para su operación. El sitio institucional iasanjuan.com puede emplear cookies estrictamente técnicas para su funcionamiento; no se utilizan cookies de seguimiento publicitario ni de terceros con fines analíticos comerciales.
11. Cambios en esta política
IA San Juan puede actualizar esta política publicando una nueva versión en la URL indicada. Las modificaciones sustanciales se notifican al Profesional por el canal del servicio y, cuando corresponda, requieren nueva aceptación. Las versiones anteriores se conservan accesibles para consulta histórica.
12. Ley aplicable y autoridad de control
Esta política se rige por las leyes de la República Argentina, en particular la Ley 25.326 y normativa complementaria. La autoridad de control y aplicación es la Agencia de Acceso a la Información Pública (AAIP), con sede en Av. Pte. Gral. Julio A. Roca 710, CABA — sitio web: argentina.gob.ar/aaip.
Versión 1.0 — publicada el 18 de junio de 2026 — vigente desde 18 de junio de 2026.