Aviso de privacidad

Cómo EscuchaInterna trata tus datos personales y la información clínica que registras sobre tus pacientes.

Última actualización: 11 de junio de 2026

Resumen en una frase: la información clínica que registras te pertenece a ti como profesional; EscuchaInterna solo la procesa para prestarte el servicio, la mantiene aislada de las demás cuentas y nunca la utiliza con fines propios, publicitarios ni de entrenamiento de modelos.

1. Responsable del tratamiento y roles

EscuchaInterna (en adelante, «la Plataforma») es una plataforma de gestión de consulta para profesionales de la salud mental, con domicilio para efectos de este aviso en Jamundí, Valle del Cauca, Colombia. Puedes contactarnos en privacidad@escuchainterna.com.

En la Plataforma conviven dos categorías de datos con roles distintos:

  • Datos del profesional (tu cuenta): respecto de tus datos de registro, perfil y facturación, EscuchaInterna actúa como responsable del tratamiento.
  • Datos de pacientes (tu expediente): respecto de la información clínica que tú registras sobre tus pacientes, el responsable del tratamiento eres tú, como profesional de la salud, y EscuchaInterna actúa únicamente como encargado del tratamiento (procesador), siguiendo tus instrucciones y sin decidir sobre el uso de esos datos.

Esto significa que la relación con el paciente — incluido el deber de obtener su consentimiento informado — corresponde al profesional, conforme a su normativa deontológica y a la legislación de protección de datos de su país.

2. Datos que recopilamos

Datos de tu cuenta como profesional:

  • Nombre completo, correo electrónico, teléfono con lada internacional y contraseña (almacenada únicamente como hash criptográfico irreversible).
  • Datos de perfil profesional: cédula o tarjeta profesional, dirección de contacto, especialidad, moneda de cobro y configuración de la consulta.
  • Datos de suscripción y pago del servicio (plan, periodo, estado).
  • Datos técnicos mínimos de sesión (cookie de autenticación firmada).

Datos que tú registras sobre tus pacientes:

  • Datos identificativos y de contacto del paciente y su contacto de emergencia.
  • Información clínica: historias clínicas, notas de sesión, diagnósticos (CIE-11), mapas familiares, archivos adjuntos y reportes.
  • Información administrativa: citas, pagos, etiquetas y comunicaciones enviadas (recordatorios, correos, mensajes de WhatsApp).

Los datos de salud son datos personales sensibles. Por ello reciben las medidas de protección reforzadas descritas en la sección 6.

3. Finalidades del tratamiento

Tratamos los datos exclusivamente para:

  • Crear y administrar tu cuenta, autenticarte y mantener tu sesión.
  • Prestar las funciones del servicio: agenda, expedientes, pagos, mensajes, recordatorios, asistente de IA y biblioteca.
  • Enviar comunicaciones operativas en tu nombre a tus pacientes (recordatorios de cita y de pago, correos que tú redactas o apruebas).
  • Gestionar tu suscripción y, en su caso, facturación del servicio.
  • Mantener la seguridad de la Plataforma (registros de auditoría de acciones administrativas).
  • Cumplir obligaciones legales aplicables.

Nunca utilizamos la información clínica de tus pacientes para publicidad, perfilado comercial, venta a terceros ni entrenamiento de modelos de inteligencia artificial.

4. Titularidad de la información clínica

La información que registras sobre tus pacientes te pertenece. EscuchaInterna no adquiere derecho alguno sobre los expedientes, notas o diagnósticos que generas; solo dispone de la licencia técnica mínima e imprescindible para almacenarlos, mostrártelos y procesarlos según tus instrucciones.

  • Puedes exportar tus expedientes y datos en cualquier momento desde la propia Plataforma.
  • Si cancelas tu cuenta, dispones de una ventana de 30 días para exportar toda tu información antes de su eliminación segura.
  • Si un paciente ejerce sus derechos directamente ante nosotros, lo redirigiremos a ti como responsable de su información clínica y te asistiremos técnicamente para atender la solicitud.

5. Aislamiento por cuenta (multi-tenant)

Cada cuenta profesional opera en un espacio de datos aislado. Toda consulta a la base de datos se filtra estructuralmente por el identificador del profesional propietario, de modo que, por diseño, una cuenta no puede acceder a los pacientes, notas, historias clínicas, pagos o mensajes de otra. Este aislamiento aplica también al asistente de inteligencia artificial: su acceso a información está limitado, en la capa de aplicación, exclusivamente a los pacientes del profesional autenticado.

En cuentas de organización (clínicas o universidades), el perfil maestro y los supervisores académicos solo acceden a la información de los miembros en los términos y con el alcance que la propia organización configura, siempre en modo de solo lectura para la supervisión y nunca a datos agregados con contenido clínico desde los paneles administrativos.

6. Medidas de seguridad

  • Cifrado en tránsito: toda la comunicación con la Plataforma viaja por HTTPS/TLS.
  • Cifrado en reposo del almacenamiento en los servidores de producción.
  • Contraseñas protegidas con funciones de derivación criptográfica (scrypt) con sal; nunca se almacenan en claro.
  • Sesiones mediante cookies firmadas con HMAC, con atributos HttpOnly y SameSite.
  • Aislamiento estructural por cuenta descrito en la sección 5.
  • Controles de acceso por rol (profesional, organización, supervisión de solo lectura, administración).
  • Registro de auditoría de las acciones administrativas de la plataforma.
  • Copias de seguridad periódicas con los mismos controles de acceso.

Ninguna medida de seguridad es infalible. Si detectáramos una vulneración de seguridad que afecte a datos personales, lo notificaremos a los profesionales afectados y a las autoridades competentes en los plazos que exija la normativa aplicable.

7. Tus derechos (ARCO, Habeas Data y RGPD)

Según el país desde el que utilices la Plataforma, te asisten los siguientes derechos sobre tus datos personales:

  • Colombia (Ley 1581 de 2012 — Habeas Data) y demás regímenes de Habeas Data de Latinoamérica: conocer, actualizar, rectificar y suprimir tus datos, y revocar la autorización otorgada.
  • México (LFPDPPP): derechos ARCO — Acceso, Rectificación, Cancelación y Oposición — además de la revocación del consentimiento y la limitación de uso o divulgación.
  • Unión Europea y España (RGPD y LOPDGDD): acceso, rectificación, supresión («derecho al olvido»), limitación del tratamiento, portabilidad de los datos y oposición, así como el derecho a no ser objeto de decisiones automatizadas con efectos jurídicos.

Para ejercerlos, escribe a privacidad@escuchainterna.com desde el correo asociado a tu cuenta, indicando el derecho que deseas ejercer. Responderemos dentro de los plazos legales aplicables (15 días hábiles en Colombia, 20 días hábiles en México, un mes en la UE). También tienes derecho a presentar una reclamación ante la autoridad de control de tu país (SIC en Colombia, INAI en México, AEPD en España, entre otras).

Recuerda: los derechos de tus pacientes sobre su información clínica se ejercen ante ti como responsable; la Plataforma te proporciona las herramientas de exportación, rectificación y eliminación necesarias para atenderlos.

8. Marco normativo por país

Tomamos como referencia la normativa de protección de datos y de registro clínico de cada país donde ejercen nuestros profesionales, para ayudarte a cumplir tus obligaciones como responsable de la información. Estas son las normas concretas:

PaísNormaQué cubre
ColombiaLey 1581 de 2012 — Habeas DataRégimen general de protección de datos personales: autorización del titular, datos sensibles de salud y derechos de conocer, actualizar, rectificar y suprimir.
Resolución 1995 de 1999 — historia clínicaManejo de la historia clínica: reserva, custodia, integridad y conservación del expediente del paciente.
Ley 1090 de 2006 — secreto profesionalCódigo deontológico del psicólogo: confidencialidad de la información conocida en el ejercicio profesional.
MéxicoLFPDPPPLey Federal de Protección de Datos Personales en Posesión de los Particulares: derechos ARCO y tratamiento de datos sensibles de salud.
NOM-004-SSA3-2012Norma oficial del expediente clínico: contenido, confidencialidad y conservación.
PerúLey 29733Ley de Protección de Datos Personales: consentimiento, datos sensibles y derechos del titular ante el responsable.
ChileLey 19.628 (act. Ley 21.719)Protección de la vida privada y de los datos personales, actualizada con la nueva Agencia de Protección de Datos y régimen de datos de salud.
ArgentinaLey 25.326Ley de Protección de los Datos Personales: habeas data, datos sensibles y registro ante la autoridad de control.
EspañaRGPD y LOPDGDDReglamento General de Protección de Datos (UE) y Ley Orgánica 3/2018: base jurídica reforzada para datos de salud y derechos ampliados del titular.

En lo no regulado expresamente, aplicamos el estándar más protector entre los anteriores a todas las cuentas, con independencia del país.

9. Plazos de conservación

  • Datos de cuenta: mientras la cuenta esté activa y hasta 30 días después de su cancelación (ventana de exportación), salvo obligación legal de conservación mayor.
  • Información clínica de pacientes: mientras tú la conserves en la Plataforma. Su conservación o eliminación es decisión tuya como responsable, conforme a los plazos de conservación de expedientes clínicos de tu país.
  • Registros de facturación del servicio: el plazo exigido por la legislación fiscal aplicable.
  • Tokens de recuperación de contraseña: expiran en 1 hora y se invalidan tras su uso.

10. Encargados y subencargados (subprocesadores)

Para operar el servicio podemos apoyarnos en proveedores de infraestructura y comunicaciones que tratan datos por cuenta de la Plataforma. Su tratamiento se regirá por contratos de encargo con obligaciones de confidencialidad y seguridad equivalentes a las de este aviso. Los subprocesadores previstos son:

  • Resend (o proveedor SMTP equivalente) — envío de correo transaccional: recordatorios, recuperación de contraseña y mensajes a pacientes.
  • WhatsApp Business Cloud API (Meta Platforms) — envío de recordatorios y notificaciones por WhatsApp desde la cuenta empresarial de EscuchaInterna.
  • Stripe (y, para cobros propios del profesional, PayPal y Mercado Pago si tú los conectas) — procesamiento de pagos. Los datos de tarjetas los trata directamente la pasarela; nunca pasan por nuestros servidores.
  • Anthropic — procesamiento del asistente de IA, limitado a la información del profesional autenticado y sin uso para entrenamiento de modelos.
  • Proveedor de alojamiento (VPS/centro de datos) — infraestructura de servidores y copias de seguridad.

Publicaremos cualquier alta o sustitución de subprocesadores en esta página antes de que surta efecto. Las organizaciones pueden solicitar la firma de un acuerdo de encargo de tratamiento (DPA) escribiendo a privacidad@escuchainterna.com.

11. Transferencias internacionales

Algunos subprocesadores pueden tratar datos fuera de tu país (por ejemplo, en Estados Unidos o la Unión Europea). Cuando esto ocurra, procuramos que la transferencia se ampare en los mecanismos reconocidos por la normativa aplicable: cláusulas contractuales tipo, decisiones de adecuación o garantías equivalentes, además de los compromisos de encargo de tratamiento de la sección 9.

12. Menores de edad

La Plataforma está dirigida a profesionales mayores de edad. Si atiendes pacientes menores de edad, eres responsable de contar con el consentimiento de sus padres o tutores conforme a la legislación y a tu normativa deontológica, antes de registrar su información en la Plataforma.

13. Cookies

La Plataforma utiliza únicamente una cookie técnica de sesión, estrictamente necesaria para mantener tu autenticación. No utilizamos cookies publicitarias ni de seguimiento de terceros.

14. Cambios a este aviso

Podremos actualizar este aviso para reflejar cambios normativos o del servicio. La versión vigente estará siempre publicada en esta página con su fecha de actualización. Si el cambio es sustancial (nuevas finalidades o nuevos subprocesadores), te lo notificaremos por correo y/o dentro de la aplicación con antelación razonable.

15. Contacto y jurisdicción

Para cualquier cuestión sobre privacidad: privacidad@escuchainterna.com. Para soporte general: hola@escuchainterna.com.

Este aviso se rige por las leyes de la República de Colombia —en particular la Ley 1581 de 2012 (Habeas Data) y sus normas reglamentarias— y, en lo no previsto, por la normativa de protección de datos del país de residencia del profesional cuando esta resulte imperativamente aplicable. Cualquier controversia se someterá a los jueces y tribunales competentes de Jamundí (Valle del Cauca, Colombia), sin perjuicio de los derechos irrenunciables que te otorgue la normativa de tu país.

Consulta también nuestros Términos y condiciones.

Aviso de privacidad — EscuchaInterna