Política de Privacidad

1. Responsable del Tratamiento de Datos

En cumplimiento de la Ley 1581 de 2012 de la República de Colombia y su decreto reglamentario 1377 de 2013, se informa que el responsable del tratamiento de los datos personales recopilados a través de MORC es:

• 🏢 MORC
• 📧 morcsupport@gmail.com
• 📍 Colombia

El profesional de salud que utiliza MORC para gestionar datos de sus pacientes actúa como corresponsable del tratamiento frente a dichos pacientes, en los términos de la normativa aplicable.

2. Datos que Recopilamos

Recopilamos dos categorías de datos:

Datos del profesional (usuario de la app):

• Nombre y apellidos.
• Dirección de correo electrónico.
• Rol dentro de la clínica (doctor, recepción, administrador).
• Identificador de clínica y fecha de vinculación.

Datos de pacientes (ingresados por el profesional):

• Nombre completo y datos de identificación.
• Información de contacto (teléfono, correo electrónico).
• Fecha de nacimiento y género.
• Datos clínicos: procedimientos realizados, diagnósticos, notas médicas e historial de tratamientos.
• Fotografías clínicas de antes/después cuando el profesional las carga explícitamente.
• Información de pagos y saldos relacionados con tratamientos.
• Fechas de citas y recordatorios programados.

Datos de uso y auditoría:

• Registro de acciones realizadas en la app (altas, modificaciones, bajas de pacientes) para fines de auditoría interna.
• Fecha, hora e identificador del usuario que realizó cada acción.
• Registros de inicio de sesión (fecha, dispositivo, método de autenticación).

3. Finalidad del Tratamiento

Los datos personales recopilados se utilizan exclusivamente para:

• Prestar el servicio de gestión clínica y habilitar las funcionalidades de la aplicación.
• Autenticar usuarios y controlar el acceso por clínica y rol.
• Generar estadísticas de uso y actividad clínica de acceso exclusivo para la clínica a la que pertenecen los datos.
• Enviar notificaciones internas relacionadas con la actividad clínica (nuevos pacientes, recordatorios de citas).
• Garantizar la trazabilidad y auditoría de las acciones realizadas sobre datos sensibles.
• Cumplir con obligaciones legales aplicables.

No utilizamos los datos para elaborar perfiles comerciales, publicidad dirigida ni vendemos información a terceros.

4. Base Legal del Tratamiento

El tratamiento de datos se fundamenta en:

• Consentimiento del titular: los usuarios de la app aceptan expresamente esta Política al crear su cuenta.
• Ejecución de un contrato: el tratamiento es necesario para prestar el servicio solicitado.
• Cumplimiento de obligaciones legales: especialmente en materia de custodia de registros clínicos.
• Interés legítimo: el registro de auditoría es necesario para la seguridad y el control de acceso a datos médicos sensibles.

El profesional que ingresa datos de pacientes es responsable de obtener el consentimiento informado de dichos pacientes conforme al artículo 9 de la Ley 1581 de 2012, dado que se trata de datos sensibles (información de salud).

5. Derechos del Titular (ARCO)

De conformidad con el artículo 8 de la Ley 1581 de 2012, el titular de los datos tiene los siguientes derechos:

• Acceso: conocer qué datos personales suyos están siendo tratados y con qué finalidad.
• Rectificación: solicitar la corrección de datos inexactos, incompletos o desactualizados.
• Cancelación/Supresión: solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad que motivó su tratamiento, o cuando retire su consentimiento.
• Oposición: oponerse al tratamiento de sus datos cuando exista una causa legítima y fundada.
• Portabilidad: recibir sus datos en un formato estructurado y de uso común.
• Revocación del consentimiento: retirar el consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento previo.

Para ejercer estos derechos, el titular puede dirigirse al correo de contacto indicado en la sección 10. Atenderemos su solicitud en un plazo máximo de diez (10) días hábiles, de acuerdo con el artículo 14 de la Ley 1581 de 2012.

6. Transferencia de Datos a Terceros

MORC utiliza la infraestructura de Google Firebase (Google LLC) para el almacenamiento y procesamiento de datos. Esta transferencia es necesaria para la prestación del servicio y se realiza bajo los siguientes términos:

• ☁️ Google Firebase — Autenticación, base de datos (Cloud Firestore) y almacenamiento de archivos.
• 🔔 Firebase Cloud Messaging — Envío de notificaciones push.
• 📊 Google Analytics for Firebase — Análisis de uso anónimo (sin datos personales identificables).

Google LLC suscribe Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y cumple con el marco de privacidad de datos EU-US. Los datos pueden almacenarse en servidores ubicados fuera de Colombia. Al aceptar esta Política, el titular consiente dicha transferencia internacional.

No compartimos datos personales con ningún otro tercero, salvo requerimiento legal expreso de autoridad competente.

7. Seguridad de los Datos

Implementamos las siguientes medidas técnicas y organizativas para proteger la información:

• Cifrado en tránsito mediante TLS 1.2+ en todas las comunicaciones con los servidores.
• Cifrado en reposo de todos los datos almacenados en Cloud Firestore y Cloud Storage.
• Reglas de seguridad de Firestore: cada usuario accede únicamente a los datos de la clínica a la que pertenece; las subcolecciones exigen membresía verificada.
• Autenticación reforzada: contraseñas con requisitos mínimos de complejidad; soporte de autenticación con Google.
• Registro de auditoría de acciones críticas que permite detectar accesos o modificaciones no autorizadas.
• Bloqueo biométrico opcional para proteger la sesión en el dispositivo.

A pesar de estas medidas, ningún sistema es infalible. En caso de detectar un incidente de seguridad que afecte sus datos, lo notificaremos en el menor tiempo posible.

8. Retención de Datos

Los datos se conservan por los siguientes períodos:

• Datos de cuenta del profesional: durante la vigencia de la cuenta activa y hasta 30 días después de su eliminación para fines de copias de seguridad.
• Datos de pacientes: mientras la clínica mantenga una cuenta activa, dado que constituyen registros clínicos cuya conservación puede ser exigida por normativa sectorial.
• Registros de auditoría: mínimo 2 años, en cumplimiento de buenas prácticas de seguridad y posibles requerimientos legales.
• Registros de inicio de sesión: 90 días, tras los cuales se eliminan automáticamente.

El titular puede solicitar la eliminación anticipada de sus datos en cualquier momento, salvo que exista obligación legal de conservarlos.

9. Datos de Uso y Analítica

MORC es una aplicación móvil nativa (Flutter) y no utiliza cookies de navegador.

Recopilamos los siguientes datos de uso de forma anónima:

• Eventos de uso general (pantallas visitadas, funciones utilizadas) a través de Firebase Analytics, sin vincularlos a identidades personales.
• Informes de fallos y errores de la aplicación mediante Firebase Crashlytics, que pueden incluir el modelo de dispositivo y la versión del sistema operativo.

Esta información se usa exclusivamente para mejorar la estabilidad y la experiencia de uso de la aplicación.

10. Contacto y Ejercicio de Derechos

Para ejercer sus derechos sobre datos personales, realizar consultas sobre esta Política o reportar incidentes de seguridad, puede contactarnos en:

• 📧 morcsupport@gmail.com
• 📍 Colombia
• 🕒 Tiempo de respuesta: máximo 10 días hábiles

Si considera que su solicitud no ha sido atendida de forma satisfactoria, puede presentar una queja ante la Superintendencia de Industria y Comercio (SIC) de Colombia, entidad que ejerce la función de autoridad de protección de datos personales en el país.