Política de Privacidad y Protección de Datos

1. DEFINICIONES Y ALCANCE

1.1 Definiciones Clave

Para los fines de esta Política de Privacidad, los siguientes términos tendrán el significado que se les atribuye:

• "Información Personal" o "Datos Personales": cualquier información relacionada con una persona física identificada o identificable, incluyendo pero no limitado a: nombre, dirección de correo electrónico, país, universidad, año de estudio, información de dispositivo, y cualquier dato que permita directa o indirectamente la identificación del Usuario.
• "Datos de Uso": información recopilada automáticamente sobre cómo el Usuario interactúa con la Aplicación, incluyendo progreso académico, respuestas a preguntas, tiempo de estudio, desempeño por especialidad, patrones de navegación, y estadísticas de rendimiento.
• "Procesamiento" o "Procesar": cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por medios automatizados o no, incluyendo: recopilación, registro, organización, estructuración, almacenamiento, adaptación, recuperación, consulta, uso, divulgación, alineación, combinación, restricción, eliminación o destrucción.
• "Proveedor de Servicios Terceros": cualquier persona física o jurídica que procesa Datos Personales en nombre de la Empresa, incluyendo pero no limitado a: proveedores de hosting, servicios de análisis, procesadores de pago, proveedores de autenticación y servicios de soporte técnico.
• "Cookies": pequeños archivos de datos almacenados en el dispositivo del Usuario que ayudan a mejorar la funcionalidad y personalización de la Aplicación.

1.2 Alcance y Aplicabilidad

Esta Política de Privacidad se aplica exclusivamente a:

• La aplicación móvil MedSteps disponible para dispositivos iOS y otras plataformas compatibles;
• El sitio web oficial de MedSteps (https://medsteps.app);
• Todos los servicios, funcionalidades y características proporcionados a través de la Aplicación;
• Cualquier comunicación directa entre el Usuario y MedSteps relacionada con los Servicios.

Esta Política NO se aplica a servicios, sitios web o aplicaciones de terceros que puedan estar vinculados desde la Aplicación o que procesen pagos en nombre de MedSteps (como Apple App Store o Google Play Store). Cada tercero tiene sus propias políticas de privacidad, las cuales recomendamos revisar independientemente.

2. BASE LEGAL PARA EL PROCESAMIENTO DE DATOS

2.1 Fundamentos Legales

La Empresa procesa Datos Personales del Usuario basándose en los siguientes fundamentos legales, según corresponda bajo las leyes de protección de datos aplicables:

• Consentimiento: El Usuario ha otorgado su consentimiento expreso, libre, específico, informado e inequívoco para procesar sus Datos Personales para uno o más propósitos específicos al crear una Cuenta y aceptar esta Política;
• Ejecución Contractual: El procesamiento es necesario para la ejecución de los Términos y Condiciones de Servicio suscritos entre el Usuario y la Empresa, o para tomar medidas a solicitud del Usuario antes de celebrar dicho contrato;
• Intereses Legítimos: El procesamiento es necesario para satisfacer los intereses legítimos de la Empresa, incluyendo: mejora y optimización de la Aplicación, análisis de uso agregado, prevención de fraude, seguridad de la información, y comunicaciones comerciales, siempre que dichos intereses no sean prevalecidos por los derechos y libertades fundamentales del Usuario;
• Cumplimiento Legal: El procesamiento es necesario para cumplir con obligaciones legales a las que está sujeta la Empresa bajo leyes y regulaciones federales y estatales de los Estados Unidos.

2.2 Revocación de Consentimiento

El Usuario tiene el derecho de retirar su consentimiento para el procesamiento de Datos Personales en cualquier momento. Sin embargo, la revocación del consentimiento no afectará la legalidad del procesamiento basado en el consentimiento antes de su retiro. La revocación puede resultar en la imposibilidad de continuar proporcionando ciertos servicios de la Aplicación, incluyendo el acceso a funcionalidades personalizadas y el seguimiento de progreso académico.

3. CATEGORÍAS DE INFORMACIÓN RECOPILADA

3.1 Información Proporcionada Directamente por el Usuario

Cuando el Usuario crea una Cuenta o utiliza la Aplicación, recopilamos la siguiente información proporcionada voluntariamente:

• Información de Registro de Cuenta: Nombre completo, dirección de correo electrónico, país de residencia, universidad o institución educativa, año de estudio, especialidad médica de interés, y contraseña encriptada;
• Información de Perfil: Fotografía de perfil (opcional), preferencias de estudio, objetivos académicos, especialidades médicas seleccionadas, y configuraciones personalizadas de notificaciones;
• Comunicaciones con Soporte: Cualquier información proporcionada en consultas, reportes de errores, solicitudes de soporte técnico, sugerencias, retroalimentación o comunicaciones directas con el equipo de MedSteps;
• Información de Suscripción: Tipo de plan seleccionado (Gratuito, PRO Mensual, PRO Semestral, PRO Anual), aunque los detalles de pago son procesados directamente por terceros (Apple, Google, procesadores de pago) y no almacenamos información completa de tarjetas de crédito en nuestros servidores.

3.2 Información Recopilada Automáticamente

Cuando el Usuario accede y utiliza la Aplicación, recopilamos automáticamente cierta información mediante tecnologías de seguimiento y análisis:

• Datos de Uso y Rendimiento Académico:
  • Respuestas a preguntas de práctica (correctas e incorrectas);
  • Tiempo dedicado a cada pregunta y sesión de estudio;
  • Puntuaciones y estadísticas de rendimiento por especialidad médica;
  • Progreso en cursos estructurados y lecciones completadas;
  • Logros desbloqueados, rachas de estudio mantenidas, puntos de experiencia acumulados;
  • Preguntas marcadas como favoritas o para revisión posterior;
  • Historial completo de simulacros de examen realizados con resultados detallados;
  • Patrones de aprendizaje, frecuencia de uso y horarios de estudio preferidos.
• Información del Dispositivo y Técnica:
  • Tipo de dispositivo (iPhone, iPad, modelo específico);
  • Sistema operativo y versión (iOS 15.0, iOS 16.0, etc.);
  • Versión de la Aplicación instalada;
  • Identificador único del dispositivo (IDFA, UUID, según configuración de privacidad del dispositivo);
  • Configuración de idioma y zona horaria;
  • Proveedor de servicios de internet o red móvil;
  • Dirección IP (enmascarada o anonimizada en análisis agregados);
  • Información de conectividad de red y tipo de conexión (Wi-Fi, datos móviles).
• Información de Localización Geográfica: Recopilamos información de localización general a nivel de país basada en la dirección IP o configuración del dispositivo para personalizar contenido regional (no recopilamos ubicación GPS precisa a menos que el Usuario otorgue permisos específicos del dispositivo para funcionalidades futuras);
• Cookies y Tecnologías Similares: Utilizamos cookies, web beacons, SDKs de análisis y tecnologías de seguimiento similares para mejorar la funcionalidad, personalización, y análisis de uso de la Aplicación (véase Sección 4 para detalles).

3.3 Información de Fuentes Terceras

Podemos recibir información adicional sobre el Usuario de fuentes terceras cuando el Usuario autoriza explícitamente tal intercambio de datos:

• Autenticación mediante Redes Sociales: Si el Usuario opta por registrarse o iniciar sesión utilizando servicios de autenticación de terceros (Apple Sign-In, Google Sign-In), recibiremos información básica del perfil según los permisos otorgados (nombre, correo electrónico, foto de perfil);
• Procesadores de Pago: Información de confirmación de transacciones, estado de suscripción activa, historial de renovaciones y cancelaciones proporcionada por Apple App Store, Google Play Store u otros procesadores de pago;
• Proveedores de Servicios de Marketing: En el futuro, podríamos recibir información agregada y anonimizada de efectividad de campañas publicitarias de proveedores de marketing digital, siempre cumpliendo con regulaciones de privacidad aplicables.

3.4 Información que NO Recopilamos

Para mayor claridad, la Empresa expresamente declara que NO recopila ni procesa:

• Información médica personal protegida (PHI) del Usuario o sus pacientes bajo la Ley de Portabilidad y Responsabilidad del Seguro Médico de Estados Unidos (HIPAA);
• Información de salud sensible del Usuario (condiciones médicas, historial clínico personal);
• Números completos de tarjetas de crédito o débito (procesados directamente por proveedores de pago certificados PCI-DSS);
• Ubicación GPS precisa en tiempo real (a menos que una funcionalidad futura requiera permisos explícitos del Usuario);
• Contenido de mensajes privados o comunicaciones interpersonales (la Aplicación no incluye funcionalidades de mensajería directa).

4. COOKIES Y TECNOLOGÍAS DE SEGUIMIENTO

4.1 Uso de Cookies

La Aplicación y el sitio web de MedSteps utilizan cookies, web beacons, identificadores de dispositivo móvil, SDKs de análisis y tecnologías de seguimiento similares para mejorar la experiencia del Usuario, personalizar contenido, analizar patrones de uso, y proporcionar funcionalidades esenciales.

Las categorías de cookies y tecnologías utilizadas incluyen:

• Cookies Estrictamente Necesarias: Esenciales para el funcionamiento básico de la Aplicación, incluyendo autenticación de sesión, seguridad, recordar preferencias de configuración y permitir navegación segura. Estas cookies no pueden ser deshabilitadas sin afectar funcionalidades críticas.
• Cookies de Rendimiento y Análisis: Recopilan información agregada y anonimizada sobre cómo los Usuarios interactúan con la Aplicación, incluyendo páginas visitadas, tiempo de permanencia, tasas de error, y flujos de navegación. Utilizamos Google Analytics, Firebase Analytics u otras plataformas similares para estos fines.
• Cookies de Funcionalidad: Permiten que la Aplicación recuerde decisiones del Usuario (idioma preferido, especialidades seleccionadas, configuraciones de notificaciones) para proporcionar una experiencia personalizada y mejorada.
• Cookies de Publicidad y Marketing: En el futuro, podríamos utilizar cookies para mostrar publicidad relevante o medir la efectividad de campañas de marketing. El Usuario será notificado y se solicitará consentimiento explícito antes de implementar tales tecnologías.

4.2 Control sobre Cookies

El Usuario puede controlar y gestionar el uso de cookies mediante:

• Configuraciones de la Aplicación: Accediendo a "Configuración" → "Privacidad" → "Análisis y Cookies" para deshabilitar cookies no esenciales;
• Configuraciones del Navegador Web: La mayoría de navegadores web permiten rechazar cookies o recibir notificaciones antes de aceptarlas. Consulte la documentación de ayuda de su navegador para instrucciones específicas;
• Configuraciones de Privacidad del Dispositivo: En dispositivos iOS, el Usuario puede limitar el seguimiento publicitario desde "Ajustes" → "Privacidad" → "Seguimiento" → "Permitir que las apps soliciten rastrearte";
• Limitación de Identificadores de Publicidad: Restablecer o deshabilitar el Identificador de Publicidad (IDFA en iOS) desde las configuraciones de privacidad del dispositivo.

Nota Importante: Deshabilitar cookies estrictamente necesarias puede resultar en funcionalidad limitada de la Aplicación, incluyendo imposibilidad de mantener sesiones de inicio de sesión o guardar progreso académico localmente.

4.3 Servicios de Análisis de Terceros

Utilizamos los siguientes servicios de análisis de terceros que pueden recopilar información del Usuario:

• Google Analytics: Para análisis de uso del sitio web y aplicación. Consulte la Política de Privacidad de Google.
• Firebase Analytics: Para análisis de eventos y comportamiento en aplicaciones móviles. Consulte la Política de Privacidad de Firebase.

5. PROPÓSITOS Y USOS DE LA INFORMACIÓN RECOPILADA

5.1 Provisión y Mejora de Servicios

Utilizamos los Datos Personales recopilados para:

• Crear, mantener y gestionar Cuentas de Usuario;
• Proporcionar acceso personalizado a contenido educativo médico, preguntas de práctica, simulacros de examen y cursos estructurados;
• Almacenar y sincronizar progreso académico, estadísticas de rendimiento, logros desbloqueados y rachas de estudio;
• Generar recomendaciones personalizadas de contenido basadas en el desempeño y áreas de mejora del Usuario;
• Permitir la continuidad de sesiones de estudio en múltiples dispositivos mediante sincronización en la nube;
• Procesar, gestionar y renovar Suscripciones PRO, incluyendo facturación, confirmaciones y cancelaciones;
• Mejorar la calidad, exactitud, relevancia y efectividad pedagógica del contenido educativo mediante análisis de rendimiento agregado de Usuarios;
• Desarrollar, probar, implementar y optimizar nuevas funcionalidades, características y mejoras en la Aplicación;
• Identificar y corregir errores técnicos, bugs, vulnerabilidades de seguridad y problemas de rendimiento.

5.2 Comunicaciones con el Usuario

Podemos utilizar los Datos Personales del Usuario para enviar comunicaciones esenciales y promocionales:

• Comunicaciones Transaccionales y de Servicio: Confirmaciones de registro de Cuenta, notificaciones de cambios en Suscripciones, confirmaciones de pago, recordatorios de renovación, alertas de seguridad de Cuenta, cambios importantes en los Términos o Políticas de Privacidad;
• Notificaciones de Aprendizaje: Recordatorios de estudio diario, notificaciones de nuevos logros desbloqueados, alertas de rachas en riesgo de romperse, disponibilidad de nuevo contenido educativo o actualizaciones de cursos;
• Comunicaciones de Marketing y Promocionales: Información sobre nuevas funcionalidades, ofertas especiales, descuentos en Suscripciones PRO, invitaciones a eventos educativos virtuales o encuestas de satisfacción (el Usuario puede optar por no recibir comunicaciones promocionales en cualquier momento desde "Configuración" → "Notificaciones");
• Respuestas a Consultas: Respuestas a solicitudes de soporte técnico, preguntas sobre la Aplicación, reportes de errores o retroalimentación proporcionada por el Usuario.

5.3 Análisis, Investigación y Desarrollo

Utilizamos Datos Personales agregados y anonimizados para:

• Realizar análisis estadísticos de tendencias de aprendizaje, patrones de uso y efectividad educativa del contenido;
• Generar informes internos sobre métricas de rendimiento de la Aplicación, tasas de retención de Usuarios, y niveles de engagement;
• Conducir investigación educativa para mejorar metodologías de aprendizaje, identificar áreas de conocimiento médico más desafiantes, y desarrollar contenido más efectivo;
• Desarrollar algoritmos de recomendación y personalización basados en inteligencia artificial y machine learning;
• Crear modelos predictivos de rendimiento académico y identificar estudiantes en riesgo que podrían beneficiarse de contenido de refuerzo adicional.

Garantía de Anonimización: Todos los análisis de investigación y desarrollo utilizan datos agregados y anonimizados que no permiten la identificación individual del Usuario. No compartimos ni publicamos información de identificación personal en investigaciones o reportes externos.

5.4 Seguridad, Prevención de Fraude y Cumplimiento Legal

Procesamos Datos Personales para:

• Detectar, prevenir e investigar actividades fraudulentas, abuso de servicios, violaciones de los Términos de Servicio, o comportamiento sospechoso o ilegal;
• Proteger la integridad, disponibilidad y seguridad de la Aplicación, infraestructura tecnológica y Datos Personales de todos los Usuarios;
• Verificar la identidad del Usuario durante procesos de autenticación, recuperación de contraseña o soporte técnico;
• Responder a solicitudes legales válidas de autoridades gubernamentales, tribunales o agencias regulatorias;
• Cumplir con obligaciones legales aplicables bajo leyes federales y estatales de los Estados Unidos, incluyendo regulaciones fiscales, anti-lavado de dinero y protección al consumidor;
• Ejercer o defender derechos legales de la Empresa en procedimientos judiciales, arbitrajes o disputas.

6. COMPARTIR Y DIVULGACIÓN DE INFORMACIÓN

6.1 Política de No Venta

MedSteps se compromete firmemente a proteger la privacidad del Usuario. No monetizamos Datos Personales mediante venta a intermediarios de datos, agencias de publicidad, o cualquier entidad externa para campañas de marketing de terceros.

6.2 Proveedores de Servicios Terceros

Compartimos Datos Personales con Proveedores de Servicios Terceros cuidadosamente seleccionados que asisten en la operación, mantenimiento y mejora de la Aplicación. Estos proveedores procesan datos únicamente en nuestro nombre y están contractualmente obligados a:

• Procesar Datos Personales exclusivamente según nuestras instrucciones documentadas;
• Implementar medidas técnicas y organizativas apropiadas para proteger la seguridad de los datos;
• No usar Datos Personales para fines propios no autorizados;
• Cumplir con obligaciones de confidencialidad y leyes de protección de datos aplicables;
• Eliminar o devolver Datos Personales al finalizar la relación contractual.

Las categorías de Proveedores de Servicios Terceros incluyen:

6.3 Transferencias Corporativas

En el evento de una fusión, adquisición, reorganización corporativa, venta de activos sustanciales, o procedimiento de quiebra o insolvencia que involucre a MedSteps, LLC, los Datos Personales del Usuario podrían ser transferidos a una entidad sucesora o adquirente como parte de los activos comerciales transferidos. El Usuario será notificado mediante correo electrónico y/o aviso prominente en la Aplicación antes de que los Datos Personales sean transferidos y queden sujetos a una Política de Privacidad diferente.

6.4 Divulgaciones Legales y Protección de Derechos

La Empresa puede divulgar Datos Personales del Usuario cuando razonablemente creamos que la divulgación es necesaria para:

• Cumplir con obligaciones legales, incluyendo citaciones, órdenes judiciales, solicitudes gubernamentales válidas, o procesos legales aplicables;
• Hacer cumplir los Términos y Condiciones de Servicio, incluyendo investigación de posibles violaciones;
• Detectar, prevenir o abordar fraude, problemas de seguridad técnica, o actividades ilegales;
• Proteger los derechos, propiedad o seguridad de MedSteps, sus Usuarios, empleados o el público en general según lo requiera o permita la ley;
• Responder a emergencias que involucren peligro inminente de muerte o lesión física grave;
• Ejercer o defender reclamaciones legales en litigios, arbitrajes o procedimientos administrativos.

Nos esforzamos por notificar a los Usuarios sobre solicitudes legales de sus Datos Personales cuando sea legalmente apropiado y cuando la notificación no esté prohibida por ley, orden judicial o cuando la solicitud sea una emergencia.

6.5 Información Agregada y Anonimizada

Podemos compartir, publicar o distribuir información agregada y anonimizada que no identifica personalmente a ningún Usuario individual con:

• Instituciones educativas, sociedades médicas y organizaciones de investigación académica para estudios sobre metodologías de aprendizaje y efectividad educativa;
• Socios comerciales, inversores y analistas de mercado para demostrar métricas de uso, tendencias de la industria y rendimiento de la Aplicación;
• El público general en reportes de investigación, publicaciones académicas, presentaciones en conferencias, o informes anuales;
• Medios de comunicación o prensa para fines informativos o de relaciones públicas.

7. SEGURIDAD Y PROTECCIÓN DE DATOS

7.1 Medidas de Seguridad Implementadas

La Empresa implementa medidas de seguridad técnicas, administrativas y físicas razonables y apropiadas según los estándares de la industria para proteger los Datos Personales del Usuario contra acceso no autorizado, alteración, divulgación, destrucción, pérdida accidental, o procesamiento ilegal. Estas medidas incluyen:

• Encriptación de Datos:
  • Encriptación de datos en tránsito mediante protocolos TLS 1.2 o superior (HTTPS) para todas las comunicaciones entre la Aplicación y servidores;
  • Encriptación de datos sensibles en reposo (at-rest encryption) utilizando estándares AES-256 o equivalentes para información almacenada en bases de datos y sistemas de archivos;
  • Hashing seguro de contraseñas utilizando algoritmos bcrypt, Argon2 o similares con factores de trabajo apropiados.
• Controles de Acceso:
  • Implementación de controles de acceso basados en roles (RBAC) para limitar acceso a Datos Personales solo a empleados y contratistas autorizados que necesiten el acceso para desempeñar sus funciones laborales;
  • Autenticación multifactor (MFA) obligatoria para todo personal con acceso a sistemas de producción y bases de datos;
  • Registro y auditoría de todos los accesos a Datos Personales sensibles mediante logs de actividad monitoreados;
  • Principio de privilegio mínimo aplicado a todas las cuentas de servicio y credenciales de API.
• Seguridad de Infraestructura:
  • Firewalls de red y sistemas de detección/prevención de intrusiones (IDS/IPS) implementados en perímetros de red;
  • Segmentación de red para aislar sistemas críticos de producción de redes corporativas y entornos de desarrollo;
  • Parcheo regular y actualización de sistemas operativos, frameworks, librerías y dependencias de software;
  • Escaneo periódico de vulnerabilidades y pruebas de penetración realizadas por terceros especializados;
  • Respaldo (backup) automatizado y encriptado de datos críticos con procedimientos de recuperación ante desastres.
• Medidas Organizativas:
  • Capacitación obligatoria de seguridad de la información y privacidad de datos para todos los empleados y contratistas;
  • Políticas internas estrictas de manejo de datos, confidencialidad y uso aceptable de sistemas;
  • Acuerdos de confidencialidad (NDAs) firmados por todo personal con acceso a Datos Personales;
  • Procedimientos de respuesta a incidentes de seguridad y notificación de brechas de datos conforme a regulaciones aplicables;
  • Revisiones periódicas de seguridad, auditorías internas y evaluaciones de riesgos.

7.2 Limitaciones de Seguridad

Responsabilidades del Usuario: El Usuario es responsable de:

• Mantener la confidencialidad estricta de sus credenciales de Cuenta (correo electrónico y contraseña);
• Utilizar contraseñas seguras, únicas y complejas que no se reutilicen en otros servicios;
• Habilitar autenticación multifactor cuando esté disponible en la Aplicación;
• No compartir credenciales de Cuenta con terceros bajo ninguna circunstancia;
• Notificar inmediatamente a MedSteps en [email protected] sobre cualquier uso no autorizado de su Cuenta o sospecha de violación de seguridad;
• Mantener actualizados el sistema operativo y la Aplicación con las últimas versiones de seguridad disponibles.

7.3 Notificación de Brechas de Datos

En el improbable evento de una brecha de seguridad que comprometa Datos Personales del Usuario, la Empresa se compromete a:

• Investigar rápidamente el incidente para determinar su naturaleza, alcance e impacto;
• Notificar a los Usuarios afectados sin demora indebida y a más tardar dentro de los plazos establecidos por leyes aplicables de notificación de brechas de datos;
• Proporcionar información sobre la naturaleza de los datos comprometidos, medidas tomadas para mitigar el impacto, y pasos recomendados que el Usuario puede tomar para protegerse;
• Notificar a autoridades regulatorias y de protección de datos según lo requieran las leyes aplicables;
• Implementar medidas correctivas adicionales para prevenir incidentes similares en el futuro.

8. RETENCIÓN Y ELIMINACIÓN DE DATOS

8.1 Períodos de Retención

La Empresa retiene Datos Personales del Usuario únicamente durante el tiempo que sea razonablemente necesario para cumplir con los propósitos establecidos en esta Política de Privacidad, salvo que un período de retención más largo sea requerido o permitido por ley.

Los criterios utilizados para determinar los períodos de retención incluyen:

• Datos de Cuenta Activa: Los Datos Personales asociados con Cuentas activas son retenidos mientras la Cuenta permanezca abierta y el Usuario continúe utilizando la Aplicación;
• Datos de Progreso y Rendimiento: Información de progreso académico, estadísticas de estudio, y desempeño histórico son retenidos mientras la Cuenta esté activa y hasta por tres (3) años después del cierre de Cuenta para fines de investigación educativa agregada;
• Datos de Suscripción y Transacciones: Registros de suscripciones, pagos, facturación y transacciones son retenidos por un mínimo de siete (7) años desde la última transacción para cumplir con obligaciones fiscales, contables y legales;
• Comunicaciones de Soporte: Tickets de soporte técnico, consultas y comunicaciones con Usuarios son retenidos por hasta dos (2) años para fines de mejora de servicio al cliente y resolución de disputas;
• Logs de Seguridad y Auditoría: Registros de acceso, logs de eventos de seguridad y auditorías son retenidos por un mínimo de un (1) año para fines de investigación de incidentes y cumplimiento de requisitos de seguridad.

8.2 Cierre de Cuenta y Eliminación de Datos

El Usuario puede solicitar el cierre permanente de su Cuenta en cualquier momento mediante:

• Accediendo a "Configuración de Cuenta" → "Privacidad y Seguridad" → "Eliminar Cuenta" dentro de la Aplicación;
• Enviando una solicitud formal a [email protected] con el asunto "Solicitud de Eliminación de Cuenta" e incluyendo su correo electrónico registrado.

Proceso de Eliminación: Tras recibir una solicitud válida de eliminación de Cuenta:

1. Verificaremos la identidad del Usuario mediante confirmación por correo electrónico o proceso de autenticación adicional;
2. Deshabilitaremos inmediatamente el acceso a la Cuenta, impidiendo futuros inicios de sesión;
3. Eliminaremos o anonimizaremos permanentemente los Datos Personales del Usuario dentro de los treinta (30) días calendario siguientes a la solicitud, sujeto a excepciones legales;
4. Enviaremos una confirmación por correo electrónico al Usuario notificando que la eliminación se ha completado exitosamente.

Excepciones a la Eliminación Inmediata: Ciertos Datos Personales pueden ser retenidos más allá del cierre de Cuenta cuando:

• Sea requerido por ley, regulación, orden judicial, o proceso legal aplicable;
• Sea necesario para resolver disputas pendientes, hacer cumplir acuerdos, prevenir fraude o abusos;
• Se requiera para completar transacciones financieras pendientes o cumplir con obligaciones de facturación;
• Esté agregado y completamente anonimizado de modo que no pueda ser asociado con el Usuario individual;
• Se almacene en respaldos de seguridad que serán eliminados conforme a ciclos regulares de retención de backups (hasta 90 días).

8.3 Cuentas Inactivas

Las Cuentas que permanezcan completamente inactivas (sin ningún inicio de sesión ni uso de la Aplicación) durante un período consecutivo de cinco (5) años serán consideradas abandonadas. La Empresa se reserva el derecho de cerrar Cuentas abandonadas y eliminar o anonimizar Datos Personales asociados después de enviar notificación previa por correo electrónico al Usuario con al menos noventa (90) días de anticipación, proporcionando oportunidad para reactivar la Cuenta.

9. DERECHOS DEL USUARIO SOBRE SUS DATOS PERSONALES

9.1 Derechos Generales

Conforme a las leyes de protección de datos aplicables, incluyendo pero no limitado a la California Consumer Privacy Act (CCPA), el Reglamento General de Protección de Datos de la UE (GDPR, si aplicable), y otras regulaciones de privacidad estatales y federales, el Usuario puede tener los siguientes derechos sobre sus Datos Personales (sujeto a excepciones legales y verificación de identidad):

9.2 Ejercicio de Derechos

Para ejercer cualquiera de estos derechos, el Usuario debe enviar una solicitud verificable a:

Verificación de Identidad: Para proteger la privacidad y seguridad de los Datos Personales, debemos verificar razonablemente la identidad del Usuario antes de procesar solicitudes de derechos. Esto puede involucrar:

• Confirmación mediante código de verificación enviado al correo electrónico registrado;
• Responder preguntas de seguridad sobre información de la Cuenta;
• Proporcionar documentación de identificación adicional para solicitudes sensibles;
• Iniciar sesión en la Cuenta para verificar autenticidad.

Tiempo de Respuesta: La Empresa responderá a solicitudes verificables de ejercicio de derechos dentro de:

• Cuarenta y cinco (45) días calendario desde la recepción de la solicitud verificable;
• Este plazo puede extenderse por cuarenta y cinco (45) días adicionales cuando sea razonablemente necesario debido a la complejidad o volumen de solicitudes, notificando al Usuario sobre la extensión y el motivo dentro del período inicial;
• Si no podemos cumplir con una solicitud, explicaremos las razones y proporcionaremos información sobre cómo presentar una queja.

Sin Costo: El Usuario puede ejercer estos derechos sin costo alguno hasta dos (2) veces en un período de doce (12) meses. Para solicitudes adicionales que sean manifiestamente infundadas, repetitivas o excesivas, la Empresa puede: (a) cobrar una tarifa razonable que tenga en cuenta los costos administrativos de proporcionar la información o comunicación; o (b) negarse a actuar sobre la solicitud, notificando al Usuario las razones.

10. PRIVACIDAD DE MENORES DE EDAD

10.1 Restricción de Edad

10.2 Responsabilidad Parental

Si usted es padre, madre, tutor legal o representante de un menor que ha proporcionado Datos Personales a MedSteps sin su consentimiento, contacte inmediatamente a:

[email protected] con el asunto "Información de Menor - Solicitud de Eliminación"

Proporcionaremos instrucciones sobre cómo verificar su autoridad parental o de tutela y procederemos a eliminar la información del menor de nuestros sistemas dentro de los treinta (30) días siguientes a la verificación exitosa.

11. TRANSFERENCIAS INTERNACIONALES DE DATOS

11.1 Ubicación de Servidores

Los Datos Personales recopilados por MedSteps son procesados y almacenados principalmente en servidores ubicados en los Estados Unidos de América. Al utilizar la Aplicación desde jurisdicciones fuera de Estados Unidos, el Usuario reconoce y consiente expresamente que sus Datos Personales serán transferidos, procesados y almacenados en Estados Unidos, donde las leyes de protección de datos pueden ser diferentes o menos protectoras que las de su país de residencia.

11.2 Salvaguardas para Transferencias Internacionales

Cuando transferimos Datos Personales fuera del Espacio Económico Europeo (EEA), Reino Unido, Suiza, o jurisdicciones con leyes de protección de datos comparables, implementamos salvaguardas apropiadas para garantizar protección adecuada, incluyendo:

• Cláusulas Contractuales Estándar (Standard Contractual Clauses - SCCs) aprobadas por la Comisión Europea o autoridades de protección de datos equivalentes;
• Compromisos contractuales con Proveedores de Servicios Terceros que imponen obligaciones de protección de datos consistentes con esta Política;
• Certificaciones de privacidad reconocidas internacionalmente donde estén disponibles;
• Medidas de seguridad técnicas y organizativas que cumplen o exceden estándares internacionales de protección de datos.

Los Usuarios pueden solicitar más información sobre las salvaguardas implementadas para transferencias internacionales contactando a [email protected].

12. MODIFICACIONES A ESTA POLÍTICA DE PRIVACIDAD

12.1 Derecho de Modificación

MedSteps, LLC se reserva el derecho unilateral de modificar, actualizar, enmendar o reemplazar esta Política de Privacidad en cualquier momento a su sola y absoluta discreción. Las modificaciones pueden ser necesarias para reflejar:

• Cambios en nuestras prácticas de recopilación, uso o procesamiento de Datos Personales;
• Nuevas funcionalidades, características o servicios implementados en la Aplicación;
• Requisitos de cumplimiento con nuevas leyes, regulaciones o estándares de privacidad;
• Mejoras en medidas de seguridad o protección de datos;
• Cambios organizativos, corporativos o estructurales de la Empresa;
• Retroalimentación de Usuarios o autoridades regulatorias.

12.2 Notificación de Cambios

Cambios Sustanciales: Para modificaciones sustanciales que afecten significativamente los derechos de privacidad del Usuario o expandan materialmente la recopilación, uso o divulgación de Datos Personales:

• Publicaremos la Política de Privacidad revisada en la Aplicación y el sitio web con la fecha de "Última actualización" modificada;
• Enviaremos una notificación por correo electrónico a la dirección registrada en la Cuenta del Usuario con al menos treinta (30) días de anticipación a la entrada en vigor de los cambios;
• Mostraremos un aviso prominente dentro de la Aplicación informando sobre las actualizaciones de privacidad;
• Podemos solicitar renovación explícita del consentimiento del Usuario cuando sea requerido por leyes aplicables.

Cambios No Sustanciales: Para modificaciones menores, correcciones tipográficas, aclaraciones o ajustes que no afecten materialmente los derechos de privacidad del Usuario:

• Publicaremos la Política revisada en la Aplicación y sitio web sin notificación individual;
• Actualizaremos la fecha de "Última actualización" en la parte superior del documento;
• Recomendamos revisar periódicamente esta Política para mantenerse informado de actualizaciones.

12.3 Aceptación de Cambios

El uso continuado de la Aplicación después de la entrada en vigor de la Política de Privacidad modificada constituye la aceptación vinculante del Usuario a los cambios realizados. Si el Usuario no está de acuerdo con la Política modificada, debe:

• Cesar inmediatamente el uso de la Aplicación;
• Solicitar el cierre y eliminación de su Cuenta conforme a la Sección 8.2;
• Ejercer sus derechos de privacidad según corresponda bajo la Sección 9.

13. INFORMACIÓN DE CONTACTO Y DELEGADO DE PROTECCIÓN DE DATOS

13.1 Responsable del Tratamiento

Para los fines de las leyes de protección de datos aplicables, el responsable del tratamiento (data controller) de los Datos Personales recopilados a través de la Aplicación es:

13.2 Contactos de Privacidad

Para preguntas, consultas, solicitudes de ejercicio de derechos, o comunicaciones relacionadas con esta Política de Privacidad o el procesamiento de Datos Personales, puede contactar a MedSteps a través de los siguientes canales: