Esta Política de Seguridad de la Información detalla las medidas técnicas, organizativas y físicas que Espacio Inspira implementa para proteger los datos personales y la información que nos confía. Cumple con la Resolución AAIP 47/2018 de medidas de seguridad recomendadas en el tratamiento de datos personales y mejores prácticas internacionales (ISO/IEC 27001).
1. Introducción y Compromiso
Espacio Inspira reconoce que la información personal de sus clientes — especialmente los datos sensibles de salud derivados de las sesiones terapéuticas — constituye un activo crítico que requiere protección reforzada.
Asumimos los siguientes compromisos:
Aplicar medidas de seguridad razonables y proporcionales al riesgo.
Mantener la confidencialidad, integridad y disponibilidad de los datos.
Capacitar continuamente a las personas que tratan datos en nuestro nombre.
Revisar y actualizar las medidas de seguridad al menos anualmente.
Solo personas autorizadas acceden a la información necesaria para cumplir su función. La información de sesiones terapéuticas es confidencial absoluta entre Leticia y el cliente.
3.2. Integridad
La información se mantiene exacta y completa. Se previenen modificaciones no autorizadas mediante controles de versión y backups.
3.3. Disponibilidad
La información está disponible para sus usuarios autorizados cuando es requerida. Tenemos planes de contingencia ante caídas o pérdidas.
3.4. Minimización de datos
Solo solicitamos los datos estrictamente necesarios para cada finalidad. No recopilamos información "por las dudas".
3.5. Privacidad por diseño
Toda nueva funcionalidad o sistema se diseña considerando la privacidad y seguridad desde su concepción, no como un agregado posterior.
4. Medidas Técnicas Implementadas
4.1. Cifrado en tránsito
HTTPS / TLS 1.3: todo el tráfico al sitio web está cifrado con certificado SSL emitido por Let's Encrypt o autoridad certificadora reconocida.
Redirección automática de HTTP a HTTPS.
HSTS (HTTP Strict Transport Security) habilitado.
4.2. Cifrado en reposo
Bases de datos cifradas con AES-256 cuando contienen datos sensibles.
Backups cifrados antes de su almacenamiento.
Dispositivos móviles del personal con cifrado de disco completo.
4.3. Autenticación
Contraseñas robustas (mínimo 12 caracteres con complejidad) en todas las cuentas administrativas.
Autenticación de dos factores (2FA) obligatoria en: Google Workspace, Mercado Pago, Hotmart, Meta Business, hosting, dominio.
Gestión de contraseñas con gestor seguro (1Password / Bitwarden).
Rotación periódica de credenciales críticas (cada 90 días).
4.4. Control de acceso
Principio de menor privilegio: cada usuario tiene solo los permisos estrictamente necesarios.
Roles diferenciados: titular (Leticia) · agencia (Lin3a) · proveedores externos.
Revocación inmediata de accesos al cesar la relación profesional.
Registro de logs de acceso a sistemas críticos.
4.5. Backups y recuperación
Backups automáticos del sitio web y bases de datos con frecuencia semanal.
Backups cifrados almacenados en ubicación geográfica distinta del sistema productivo.
Conservación de últimas 4 versiones (rotación mensual).
Pruebas de restauración semestrales.
4.6. Actualizaciones y parches
Actualizaciones de seguridad aplicadas en plazo máximo de 7 días desde su publicación.
Monitoreo de vulnerabilidades en componentes utilizados (CVE).
Versiones de software siempre soportadas por sus fabricantes.
4.7. Protección contra amenazas
Firewall de aplicación web (WAF) en el hosting.
Protección contra ataques DDoS a través del proveedor.
Antivirus actualizado en equipos del personal.
Filtrado de spam y phishing en correos.
5. Medidas Organizativas
5.1. Roles y responsabilidades
Leticia (titular): responsable último del tratamiento. Acceso completo a datos sensibles de salud.
Lin3a Marketing Agency (encargada del tratamiento): gestión de campañas, sitio web y comunicaciones operativas. Sin acceso a datos sensibles de salud.
Proveedores específicos: con acuerdos de confidencialidad y acceso limitado a su función.
5.2. Acuerdos de confidencialidad (NDA)
Todos los colaboradores y proveedores que acceden a datos personales firman acuerdos de confidencialidad que incluyen:
Obligación de no divulgar información ni utilizarla para fines distintos.
Responsabilidades civiles y penales en caso de incumplimiento.
Cláusulas vigentes incluso después de finalizar la relación.
5.3. Capacitación
Capacitación inicial obligatoria sobre protección de datos para todo nuevo colaborador.
Refresco anual de buenas prácticas de seguridad.
Comunicación continua de alertas y nuevas amenazas (phishing, ingeniería social).
5.4. Política de uso aceptable
Prohibición de utilizar datos personales para fines distintos de los autorizados.
Prohibición de extraer información a dispositivos personales no autorizados.
Restricción de uso de redes wifi públicas para acceder a sistemas con datos sensibles.
Bloqueo automático de pantalla tras 5 minutos de inactividad.
6. Medidas Físicas (Consultorio)
6.1. Acceso físico
Consultorio con cerradura de seguridad. Accesible solo durante horarios de atención.
Visitantes registrados y acompañados durante toda su permanencia.
6.2. Documentación en papel (fichas terapéuticas)
Archivero con cerradura, ubicado en sala privada del consultorio.
Acceso exclusivo de Leticia.
Inventario y registro de fichas activas.
Destrucción segura de documentos (trituradora) al vencer plazos de retención.
6.3. Equipos de cómputo
Notebook profesional con cifrado de disco (FileVault / BitLocker).
Bloqueo automático de pantalla.
No utilización de equipos personales/familiares para datos profesionales.
7. Gestión de Proveedores y Terceros
Antes de incorporar a un proveedor que tratará datos personales en nuestro nombre, evaluamos:
Política de privacidad y seguridad pública del proveedor.
Cumplimiento de la Ley 25.326 o normativa equivalente.
Certificaciones de seguridad (ISO 27001, SOC 2, etc.).
Antecedentes de incidentes de seguridad.
Ubicación geográfica de los servidores y régimen jurídico aplicable.
Proveedores actualmente autorizados
Proveedor
Servicio
Datos tratados
País
Mercado Pago
Procesamiento de pagos
Nombre, monto, CUIT/DNI
Argentina
Hotmart
Curso online
Nombre, email, datos pago
Brasil
Google Workspace
Email + almacenamiento
Comunicaciones operativas
EE.UU.
Meta Platforms
Pixel publicitario
Datos anonimizados
EE.UU.
Lin3a Marketing
Campañas, web, contenido
Datos de contacto
Argentina
Hosting [PROVEEDOR]
Almacenamiento sitio web
Datos del sitio
[PAIS]
8. Plan de Respuesta a Incidentes de Seguridad
8.1. Definición de incidente
Se considera incidente de seguridad cualquier evento que comprometa o ponga en riesgo la confidencialidad, integridad o disponibilidad de los datos personales: accesos no autorizados, pérdidas, robos, ataques cibernéticos, errores humanos significativos.
8.2. Procedimiento ante un incidente
Detección y contención (0-2 hs): identificar el alcance, cortar accesos comprometidos, aislar sistemas afectados.
Evaluación (2-24 hs): determinar tipo de datos comprometidos, número de personas afectadas, riesgos derivados.
Notificación interna (24 hs): reporte formal al titular del tratamiento (Leticia) y a Lin3a.
Notificación a afectados (máximo 72 hs): si el incidente representa riesgo significativo para los derechos de los titulares, se les notifica por email/WhatsApp con: tipo de datos, riesgos, medidas tomadas, recomendaciones.
Notificación a la AAIP: si corresponde, conforme a las recomendaciones de la autoridad.
Mantenemos un registro de todos los incidentes detectados, sus características, impacto, respuesta y mejoras implementadas. Disponible a requerimiento de la autoridad de control.
9. Datos Sensibles de Salud · Protocolo Reforzado
Conforme a los Arts. 7 y 8 de la Ley 25.326 y la Ley 26.529 de Derechos del Paciente, los datos sensibles de salud reciben protección reforzada:
9.1. Categorías protegidas
Antecedentes médicos compartidos durante consulta.
Síntomas físicos o emocionales relatados.
Información sobre tratamientos previos o concurrentes.
Datos sobre situaciones familiares, laborales o emocionales sensibles.
Audio o video de sesiones (cuando exista grabación con consentimiento).
9.2. Tratamiento especial
Consentimiento informado por escrito antes de cada sesión nueva.
Acceso restringido exclusivamente a Leticia.
Almacenamiento separado del resto de bases (no en sistemas digitales conectados a internet).
Sin transferencia a plataformas de terceros (no se cargan en CRM, no se sincronizan con email marketing).
Sin uso comercial ni segmentación publicitaria basada en estos datos.
Plazo de retención: 5 años desde la última sesión, luego destrucción segura.
10. Mejora Continua y Auditorías
Revisión integral de esta política al menos una vez al año.
Auditorías internas semestrales de cumplimiento.
Actualización ante cambios normativos relevantes (Argentina y mejores prácticas internacionales).
Evaluación de riesgos al introducir nuevas tecnologías o procesos.
Indicadores de desempeño: tiempo medio de respuesta a incidentes, cobertura de capacitación, % de cumplimiento de actualizaciones.
11. Reportar Vulnerabilidades
🛡️ Programa de divulgación responsable: Si usted detecta una vulnerabilidad de seguridad en nuestro sitio web, sistema de turnos o cualquier otro servicio digital, le agradecemos que nos lo comunique de manera responsable.
Cómo reportar:
Email dedicado: [CORREO_CONTACTO] · asunto: "REPORTE DE SEGURIDAD"
Incluya: descripción de la vulnerabilidad, pasos para reproducirla, impacto potencial.
Por favor, no realice ataques destructivos ni acceda a datos de otros usuarios.
Compromiso del prestador:
Acuse de recibo en 48 hs hábiles.
Respuesta con plan de acción dentro de 7 días corridos.
Reconocimiento público (con su consentimiento) en una página de "Hall de la fama".
No iniciar acciones legales contra reportes de buena fe que sigan estas pautas.
12. Contacto
Email general: [CORREO_CONTACTO]
Email de seguridad: [CORREO_CONTACTO] (con asunto "SEGURIDAD")
WhatsApp: [TELEFONO_WHATSAPP]
Domicilio: [DIRECCION_CONSULTORIO], Mendoza, Argentina
Marco normativo de referencia:
Ley 25.326 — Protección de Datos Personales
Decreto Reglamentario 1558/2001
Resolución AAIP 47/2018 — Medidas de seguridad recomendadas