Saltar al contenido principal
Versión en desarrollo. Los puntajes son indicativos y no constituyen diagnóstico. Tests no validados aún contra papel-lápiz.
trazis.

Legal

Política de privacidad

Versión 2026-05-17 · vigente desde el 17 de mayo de 2026.

1. Quién es el responsable del tratamiento

La Plataforma Trazis es operada por Walter Olivero, con domicilio en la Ciudad Autónoma de Buenos Aires, República Argentina ("Trazis"). En materia de datos de los pacientes cargados por los profesionales suscriptos, Trazis actúa como encargado del tratamiento conforme al artículo 25 de la Ley 25.326, mientras que la organización contratante —el consultorio, clínica o institución— es el responsable del tratamiento.

Esta política describe qué datos recolectamos, con qué finalidad, cuánto los conservamos, con quién los compartimos y qué derechos puedes ejercer sobre ellos.

2. Qué datos tratamos

2.1. Datos del profesional usuario:

  • Nombre completo, email, contraseña hasheada.
  • Matrícula profesional declarada (opcional), especialidad.
  • Configuración de seguridad (TOTP secret cifrado), preferencias.
  • Metadatos de uso: timestamps de login, IP, user agent, audit log de acciones sobre datos clínicos.

2.2. Datos del paciente · datos sensibles de salud (Ley 25.326 art. 7):

  • Datos identificatorios: nombre completo, fecha de nacimiento, sexo, DNI, datos de contacto (teléfono, WhatsApp, email).
  • Datos demográficos y socioeducativos: años de escolaridad, nivel educativo, lateralidad, ocupación, lengua materna, obra social y número de afiliado.
  • Datos clínicos: diagnóstico principal, fecha y tipo de evento clínico, observaciones del profesional.
  • Resultados de evaluación: respuestas individuales a cada test, métricas de desempeño (tiempos de reacción, correctas/erróneas), puntajes brutos y normalizados.
  • Firma de consentimiento informado: timestamp, dirección IP, hash del texto firmado, nombre y DNI declarados al firmar.

3. Para qué los usamos · finalidad

  • Prestar el servicio de evaluación cognitiva digital: presentar tests, calcular puntajes, comparar contra baremos, generar informes clínicos.
  • Mantener un audit log de cada acción sobre datos clínicos (Ley 26.529, art. 12 in fine).
  • Operar funciones de cumplimiento legal: consentimiento informado, derechos ARCO, certificados de eliminación, retención configurable, alertas críticas de seguridad del paciente (PHQ-9 ítem 9 y similares).
  • Comunicarnos contigo y con los pacientes a través de los canales que configuraron (email, SMS, WhatsApp): códigos de acceso, recordatorios, avisos de informes listos.
  • Cumplir con obligaciones legales, requerimientos de autoridad competente y defensa de derechos en sede administrativa o judicial.

Lo que NUNCA hacemos con los datos clínicos:

  • Entrenar modelos de inteligencia artificial.
  • Vender o ceder a terceros con fines comerciales.
  • Hacer marketing dirigido al paciente.
  • Cruzar con bases externas para enriquecimiento de perfiles.
  • Compartir con compañías de seguros o empleadores del paciente.

4. Base legal del tratamiento

Los datos sensibles de salud sólo se tratan con consentimiento informado del paciente otorgado en forma electrónica conforme al flujo de consentimiento de la Plataforma (artículo 7, inciso 3 de la Ley 25.326). La firma queda registrada con timestamp, IP, hash documental SHA-256 y datos de identificación del firmante. El paciente puede revocar el consentimiento en cualquier momento.

Los datos del profesional se tratan con base en la ejecución del contrato (estos Términos) y el interés legítimo del responsable.

5. Con quién los compartimos

Los datos clínicos de un paciente sólo son visibles para los profesionales de su misma organización contratante. La arquitectura multi-tenant de Trazis aísla completamente cada organización; un profesional de la organización A no puede ver datos de la organización B bajo ninguna circunstancia.

Trazis utiliza los siguientes encargados secundarios (subprocesadores) que pueden acceder a datos sólo en lo estrictamente necesario para operar el servicio:

  • Cloudflare (Estados Unidos): hosting, storage, base de datos.
  • Resend (Estados Unidos): emails transaccionales (sin datos clínicos en el cuerpo).
  • Twilio (Estados Unidos): SMS y WhatsApp para códigos de acceso y notificaciones acotadas.

Las transferencias internacionales de datos se realizan al amparo de cláusulas contractuales tipo o régimen equivalente, con un nivel de protección razonablemente equivalente al exigido por la legislación argentina.

Trazis NO comparte datos con terceros adicionales sin consentimiento expreso del titular o sin orden de autoridad competente. La lista vigente de subprocesadores se mantiene actualizada en este documento.

6. Por cuánto tiempo los conservamos

La política de retención se configura por organización desde Configuración → Seguridad y retención. Por defecto, los datos se conservan mientras la suscripción esté activa.

Cuando un paciente solicita la eliminación de sus datos (derecho ARCO), Trazis aplica un período de gracia de treinta (30) días durante el cual la decisión puede revertirse. Cumplido el plazo, los datos clínicos se eliminan en cascada (sesiones, resultados, informes, asignaciones, notas, hallazgos críticos, notificaciones) y se emite un certificado JSON firmado con hash SHA-256 que prueba la ejecución de la eliminación.

Los informes asistenciales firmados se conservan por el plazo mínimo previsto en el artículo 18 de la Ley 26.529 (diez años desde la última actuación) aún si el paciente solicita eliminación, salvo orden judicial en contrario. En tal caso, se anonimiza al paciente y se preserva sólo el contenido clínico necesario para defensa de derechos.

7. Derechos del titular (ARCO)

Conforme a la Ley 25.326, tienes derecho a:

  • Acceso: solicitar y obtener una copia estructurada de tus datos (formato JSON, CSV o FHIR R4).
  • Rectificación: corregir datos inexactos o desactualizados.
  • Cancelación: solicitar la eliminación de los datos (con el régimen del punto 6 anterior).
  • Oposición: oponerte al tratamiento por motivos fundados.

La forma habitual de ejercer estos derechos es a través de tu profesional tratante, que dispone de las herramientas de export, edición y eliminación dentro de la Plataforma. Si tu profesional no responde o si necesitas contactar directamente al responsable del tratamiento, escríbenos a privacidad@trazis.app.

Trazis responde al pedido en un plazo máximo de diez (10) días corridos para acceso y treinta (30) días para rectificación o eliminación, conforme a los artículos 14 y 16 de la Ley 25.326.

Si consideras que tus derechos no fueron debidamente atendidos, puedes presentar un reclamo ante la Agencia de Acceso a la Información Pública (AAIP), autoridad de control en materia de datos personales en la República Argentina.

8. Medidas de seguridad

Trazis aplica medidas técnicas y organizativas razonables y proporcionales a la naturaleza sensible de los datos tratados:

  • Cifrado en tránsito (TLS 1.2 mínimo) en todas las conexiones.
  • Hashing de contraseñas con algoritmo resistente a fuerza bruta (Argon2id / scrypt según implementación) y secretos sensibles bajo cifrado AES-256-GCM con clave gestionada separadamente.
  • Autenticación multi-factor opcional (TOTP RFC 6238) y obligatoria por configuración de organización.
  • Audit log inmutable de toda lectura, modificación o compartición de datos clínicos (Ley 26.529).
  • Aislamiento estricto entre organizaciones (multi-tenancy reforzado con filtro organization_id en todas las queries).
  • Backups automáticos diarios con retención de treinta (30) días.
  • Detección y bloqueo automático de intentos de fuerza bruta sobre cuentas de profesional.

9. Cookies y tecnologías similares

Trazis utiliza cookies estrictamente necesarias para el funcionamiento del servicio: sesión autenticada, preferencias de accesibilidad (tamaño de texto, contraste), y estado del modo kiosk en tablet. No utilizamos cookies de publicidad, tracking de terceros, ni análisis con perfilado individual.

10. Menores de edad

Cuando el paciente sea menor de edad o adulto con capacidad de obrar restringida, el consentimiento debe ser otorgado por su representante legal (padre, madre, tutor designado, apoderado o curador) mediante el flujo específico para tutor legal de la Plataforma. Al alcanzar la mayoría de edad y tener capacidad plena, Trazis solicita al paciente una ratificación firmada por él/ella misma para continuar con futuras evaluaciones.

11. Cambios a esta política

Cualquier modificación sustancial a esta política se comunica por email al owner de la organización con un preaviso mínimo de treinta (30) días, y se solicita re-aceptación expresa en el próximo login. Las modificaciones menores (correcciones, aclaraciones) se publican directamente en este documento con una nueva fecha de versión.

12. Contacto

Para ejercer derechos ARCO, reportar incidentes de privacidad, o cualquier consulta sobre el tratamiento de tus datos: privacidad@trazis.app.

Autoridad de control: Agencia de Acceso a la Información Pública (AAIP), Av. Pte. Julio A. Roca 710, Piso 2, CABA - argentina.gob.ar/aaip.