Política de Privacidad

En Kimun.pro("Kimun", "la Plataforma") tratamos datos personales y, según el módulo que utilice, datos de salud ingresados por usuarios profesionales o personas que gestionan su propia información o la de su familia.

Esta política describe qué datos procesamos, con qué fines, qué medidas de seguridad aplicamos y cuáles son sus derechos, en línea con la Ley N.º 19.628 sobre protección de la vida privada y, cuando corresponda, normativa aplicable a la información clínica (incluida la Ley N.º 20.584 en el ámbito de establecimientos de salud).

• Usuario persona o familia: en general es responsable de los datos que ingresa sobre sí mismo o familiares autorizados.
• Institución o equipo clínico: es responsable del tratamiento de los datos de pacientes o terceros que ingresa en módulos clínicos (agenda, turnos, interconsulta, entrega de turno, protocolos, etc.).
• Kimun: actúa como encargado del tratamiento respecto de los datos que la institución o el profesional carga en la Plataforma, procesándolos solo para prestar el servicio contratado.

Instituciones en piloto o contrato pueden solicitar un anexo de tratamiento de datos (DPA) en soporte. Referencia interna: docs/dpa-clinicas-piloto.md.

Según los módulos activos, la Plataforma puede almacenar o procesar:

• Cuenta: nombre, correo electrónico, identificador de proveedor OAuth (Google, Apple, Microsoft). Kimun no almacena contraseñas.
• Gestión personal: tareas, reuniones, gastos, compras, medicamentos familiares, citas personales.
• Gestión clínica operativa: datos que el equipo ingresa sobre actividades hospitalarias (ocupación, pabellón, reportes), identificadores o datos de pacientes en agenda, entrega de turno, ambulatorio, ley de urgencia u otros flujos habilitados (p. ej. nombre, teléfono, RUT, notas, documentos adjuntos).
• Archivos: PDF, imágenes, audio y documentos subidos por el usuario, almacenados en infraestructura privada.
• Comunicaciones: mensajes enviados vía WhatsApp (Twilio) cuando el usuario activa esas funciones.
• Pagos: datos necesarios para cobros (Mercado Pago, Stripe, RevenueCat); Kimun no almacena números completos de tarjetas.
• Técnicos: logs de uso, dirección IP, tipo de dispositivo, eventos de error sanitizados.

Importante: Kimun es una herramienta de apoyo operativo. No sustituye la ficha clínica oficial del establecimiento ni el juicio clínico del profesional tratante.

• Prestar las funcionalidades contratadas (organización, agenda, reportes, mensajería).
• Autenticar usuarios y aplicar permisos por organización y módulo.
• Procesar pagos y suscripciones.
• Enviar notificaciones operativas (WhatsApp, push en app iOS cuando esté habilitado).
• Ejecutar funciones de inteligencia artificial solicitadas por el usuario.
• Mejorar estabilidad y seguridad (monitoreo de errores con datos sensibles filtrados).

La base lícita del tratamiento de datos de pacientes corresponde principalmente al responsable (relación asistencial, consentimiento u otra causa legal aplicable). Kimun actúa siguiendo las instrucciones del servicio y las configuraciones del cliente.

Aplicamos medidas técnicas y organizativas razonables, entre ellas:

• Conexión cifrada (HTTPS) y cabeceras de seguridad (HSTS, CSP).
• Sesiones con cookies seguras; revocación de sesión; acceso al dashboard y APIs protegido.
• Control de acceso por rol y por organización (evita que un usuario modifique datos de otra clínica).
• Archivos de usuario en almacenamiento privado; descarga solo tras verificar titularidad.
• Validación de firmas en webhooks (pagos, mensajería, suscripciones).
• Sanitización de datos personales en herramientas de monitoreo (p. ej. Sentry); evitamos registrar datos clínicos en logs de aplicación.
• Auditoría en módulos sensibles (p. ej. consultas de auditoría en Ley de Urgencia).

Detalle técnico publicado en el repositorio: SECURITY.md, docs/api-security-audit.md.

Para operar el servicio utilizamos proveedores que pueden tratar datos por nuestra cuenta (subencargados), entre otros:

Estos servicios pueden procesar datos fuera de Chile. Seleccionamos proveedores con estándares de seguridad reconocidos; la institución responsable debe evaluar si ello es compatible con sus políticas internas.

Algunas funciones (asistente, protocolos, interconsulta, etc.) pueden enviar fragmentos de texto que el usuario ingresa a APIs de terceros (p. ej. Google Gemini, OpenAI) para generar respuestas o análisis.

• El usuario decide qué información escribe o sube.
• Recomendamos minimizar datos identificables innecesarios en prompts.
• Kimun no utiliza datos de pacientes para entrenar modelos propios.

Conservamos los datos mientras la cuenta u organización permanezca activa y sea necesario para prestar el servicio. Puede solicitar la eliminación de su cuenta desde la configuración de la aplicación; esto supone borrar o desvincular la información asociada a su correo, salvo obligaciones legales de conservación.

Instituciones pueden contactar soporte para coordinar exportación o eliminación al término de un piloto o contrato.

Usted puede ejercer derechos de acceso, rectificación, cancelación u oposición (ARCO) respecto de sus datos personales:

• Desde la configuración de la cuenta (rectificación básica, eliminación).
• Vía página de soporte o francisco@kimun.pro.

Si sus datos clínicos fueron ingresados por un hospital o clínica, también puede ejercer derechos ante ese establecimiento como responsable del tratamiento.

Mantenemos procedimientos internos para detectar y responder incidentes. Si una brecha afecta datos bajo nuestra custodia como encargado, notificaremos al cliente institucional sin dilación indebida para que evalúe las acciones requeridas frente a titulares y autoridad.

Reportes de vulnerabilidad: panchomarino@gmail.com (ver SECURITY.md).