Vigente desde: 18 de junio de 2026

Política de Privacidad

En ORVIA tratamos los datos personales y de salud con el máximo rigor técnico y legal. Esta política explica qué información recopilamos, cómo la utilizamos, dónde se almacena y qué derechos le asisten como titular de los datos. Al utilizar la Plataforma ORVIA, usted acepta las prácticas aquí descritas.

1. Quién es el responsable del tratamiento

El responsable del tratamiento es TAMGO AI, que opera bajo el nombre comercial ORVIA, con domicilio en Palm Desert, California, y operaciones en El Salvador. ORVIA es una plataforma SaaS de inteligencia artificial que procesa estudios radiológicos —rayos X, tomografías computarizadas (CT), resonancias magnéticas (MRI) y otras modalidades— para clínicas y centros de diagnóstico en Latinoamérica y Estados Unidos.

Para cualquier consulta sobre privacidad, nuestro oficial designado está disponible en: raul@tamgo.ai — Teléfono: 833-200-2676.

2. Qué datos recopilamos

Recopilamos exclusivamente los datos necesarios para prestar el servicio, organizados en tres categorías:

2.1 Datos del usuario profesional

  • Nombre completo, correo electrónico y rol profesional.
  • Número de licencia médica o colegiación, cuando la jurisdicción lo exige.
  • Firma digital y sello institucional para validación de informes.
  • Credenciales de acceso almacenadas mediante hash criptográfico (bcrypt, 12 rondas).

2.2 Información de salud protegida (PHI)

  • Datos demográficos del paciente: nombre completo, fecha de nacimiento, sexo, número de historia clínica (MRN).
  • Imágenes médicas: archivos DICOM con sus metadatos asociados (modalidad, región anatómica, parámetros de adquisición).
  • Informes radiológicos: hallazgos, impresiones diagnósticas y texto clínico generado o revisado en la Plataforma.
  • Datos clínicos contextuales: motivo del estudio, antecedentes relevantes y otra información que el profesional adjunte al solicitar el análisis.

2.3 Datos técnicos

  • Dirección IP, navegador, sistema operativo y tipo de dispositivo.
  • Registros de acceso, acciones realizadas y marcas de tiempo con fines de auditoría.
  • Métricas agregadas de uso para mejora del servicio.

3. Para qué usamos los datos

  • Prestación del servicio: procesar estudios radiológicos y generar pre-redacciones de informes que el profesional revisa, edita y firma.
  • Autenticación y seguridad: gestionar sesiones, prevenir accesos no autorizados y detectar usos fraudulentos.
  • Auditoría: mantener trazabilidad completa de cada acción —quién accedió, qué modificó, cuándo— como requisito de cumplimiento normativo.
  • Comunicaciones de servicio: notificar sobre cambios relevantes, actualizaciones de seguridad o incidencias técnicas.

Compromiso fundamental: ORVIA no vende, alquila ni comercializa datos personales o de salud. Las imágenes DICOM y los informes radiológicos no se utilizan para entrenar modelos de inteligencia artificial sin el consentimiento explícito, previo y por escrito de la clínica titular de los datos. Nuestro modelo de negocio se basa en la suscripción al servicio, no en la monetización de datos.

4. Dónde y cómo se almacenan los datos

  • Toda la información de salud protegida se almacena en Google Cloud Healthcare API, un servicio diseñado específicamente para datos sanitarios y certificado como HIPAA-compliant. Google Cloud y TAMGO AI mantienen vigente un Acuerdo de Asociado Comercial (Business Associate Agreement o BAA).
  • Cifrado en tránsito: todas las comunicaciones se protegen mediante TLS 1.3 (compatible con TLS 1.2).
  • Cifrado en reposo: todos los datos almacenados —bases de datos, archivos DICOM, informes y copias de seguridad— se cifran con AES-256. Las claves se gestionan mediante Google Cloud KMS con rotación automática.
  • Las contraseñas se almacenan exclusivamente como hash (bcrypt, 12 rondas). Ningún empleado de ORVIA tiene acceso a contraseñas en texto claro.
  • El acceso del personal técnico a datos de producción está restringido al mínimo indispensable, requiere autenticación multifactor y queda registrado en un registro de auditoría inmutable.

5. Período de retención de datos

  • Datos clínicos (PHI): se conservan durante la vigencia del contrato con la clínica y, al término de este, por un período adicional mínimo de seis (6) años en cumplimiento de los requisitos de retención de historias clínicas establecidos por HIPAA. Cumplido dicho plazo, los datos se eliminan de forma segura e irreversible.
  • Datos del usuario profesional: se conservan mientras la cuenta permanezca activa. El usuario puede solicitar la eliminación de su cuenta en cualquier momento, sin perjuicio de las obligaciones legales de conservación aplicables.
  • Registros de auditoría: se conservan un mínimo de seis (6) años por razones de seguridad y cumplimiento normativo.

6. Con quién compartimos los datos

ORVIA mantiene un compromiso estricto de no divulgación. No compartimos datos personales ni de salud con terceros, salvo en los siguientes supuestos limitados:

  • A solicitud del titular: cuando la clínica solicita la transferencia de datos a otro proveedor, o un paciente ejerce su derecho de portabilidad a través de la clínica responsable.
  • Proveedores de infraestructura: Google Cloud actúa como procesador subcontratado bajo un BAA, tratando los datos únicamente conforme a nuestras instrucciones documentadas.
  • Obligación legal: cuando exista un requerimiento judicial, orden administrativa o mandato legal vinculante. En la medida permitida por la ley, notificaremos a la clínica antes de cualquier divulgación.

ORVIA no comparte datos con intermediarios publicitarios, corredores de datos, compañías de seguros ni redes sociales.

7. Relación con las clínicas: responsable y encargado

  • La clínica es el Responsable del Tratamiento (Data Controller) de los datos de salud de sus pacientes. Determina las finalidades y los medios del tratamiento.
  • ORVIA (TAMGO AI) es el Encargado del Tratamiento (Data Processor) y actúa exclusivamente siguiendo las instrucciones documentadas de la clínica. Esta relación se formaliza mediante un Acuerdo de Tratamiento de Datos (DPA) que forma parte del contrato de servicios.
  • El paciente debe dirigir sus solicitudes de derechos a la clínica responsable. ORVIA colaborará con la clínica para atenderlas en el plazo legalmente establecido.

8. Derechos de los titulares de los datos

Tanto los usuarios profesionales como los pacientes —a través de la clínica responsable— pueden ejercer los siguientes derechos:

  • Acceso: obtener confirmación de si tratamos sus datos y una copia de los mismos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión: solicitar la eliminación de sus datos, salvo que exista una obligación legal de conservación —como el período mínimo de seis años exigido por HIPAA.
  • Limitación del tratamiento: restringir el procesamiento en determinadas circunstancias, por ejemplo mientras se verifica la exactitud de los datos.
  • Oposición: oponerse al tratamiento por motivos relacionados con su situación particular.
  • Portabilidad: recibir sus datos en un formato estructurado y de uso común (DICOM, PDF estructurado) para transmitirlos a otro responsable.

Para ejercer cualquiera de estos derechos, envíe su solicitud a raul@tamgo.ai indicando "Ejercicio de derechos — Privacidad ORVIA" en el asunto. Responderemos en un plazo máximo de 30 días naturales.

9. Transferencias internacionales

Los datos se almacenan y procesan en centros de datos de Google Cloud ubicados en Estados Unidos, bajo las salvaguardas del BAA con Google y los estándares de HIPAA. Cuando los datos provienen de otras jurisdicciones (Latinoamérica, Unión Europea), ORVIA implementa las salvaguardas contractuales exigidas por la normativa aplicable, incluyendo las Cláusulas Contractuales Tipo (SCC) de la UE cuando son requeridas.

10. Notificación de violaciones de seguridad

En caso de una violación que comprometa datos personales o de salud, ORVIA notificará a la clínica responsable sin demora indebida y dentro de los plazos establecidos por HIPAA (máximo 60 días desde el descubrimiento), proporcionando una descripción de la naturaleza de la violación, las categorías de datos afectados y las medidas adoptadas.

11. Cambios a esta política

Esta política puede actualizarse para reflejar cambios en nuestras prácticas o en la normativa. Las modificaciones sustanciales se notificarán a los administradores de cuenta por correo electrónico con al menos 30 días de antelación. El uso continuado de la Plataforma tras la entrada en vigor de los cambios constituye su aceptación.

12. Contacto y reclamaciones

Para preguntas sobre esta política o para ejercer sus derechos:

  • Correo: raul@tamgo.ai
  • Teléfono: 833-200-2676
  • Dirección: TAMGO AI — Oficial de Privacidad, Palm Desert, California, Estados Unidos.

HIPAA — Derecho a reclamar: Si considera que sus derechos de privacidad han sido vulnerados, tiene derecho a presentar una reclamación ante la Office for Civil Rights (OCR) del Department of Health and Human Services de EE.UU., o ante la autoridad de protección de datos de su país. ORVIA no tomará represalias contra nadie por ejercer sus derechos de buena fe.