← Volver al inicio

Legal

Política de Privacidad

Vigente desde el 16 de abril de 2026. Esta política explica cómo Global Medical Systems S.A.C. (en adelante, "Prohton") recopila, utiliza, comparte y protege los datos personales en la plataforma prohton.com.

1. Identidad del Responsable del Tratamiento

El responsable del tratamiento de los datos personales recopilados a través de la plataforma Prohton es:

  • Razón social: Global Medical Systems S.A.C.
  • RUC: 20552334893
  • Domicilio fiscal: Calle Alonso de Molina 1366, Santiago de Surco, Lima, Perú
  • Correo oficial para asuntos de privacidad: contacto@prohton.com
  • Sitio web: https://prohton.com

Cualquier comunicación, solicitud o ejercicio de derechos relacionado con esta política debe dirigirse al correo indicado.

2. Alcance y doble rol de Prohton

Prohton es un software como servicio (SaaS) multi-tenant dirigido a negocios de servicios (clínicas, consultorios, veterinarias, gimnasios, academias y similares). Dada esta arquitectura, Prohton actúa bajo dos roles distintos reconocidos por la Ley N.° 29733 de Protección de Datos Personales del Perú, por el Reglamento General de Protección de Datos de la Unión Europea (GDPR) y por las leyes equivalentes de otros países:

2.1 Prohton como Responsable del Tratamiento

Respecto a los datos de los clientes directos (personas que contratan el servicio, representantes legales, usuarios de cuentas de administración y empleados que operan la plataforma), Prohton determina por sí mismo las finalidades y los medios del tratamiento, y por tanto actúa como Responsable.

2.2 Prohton como Encargado del Tratamiento

Respecto a los datos de los usuarios finales de los negocios contratantes (pacientes, clientes, prospectos, tutores y demás titulares cuyos datos son ingresados o generados dentro de la plataforma por el negocio), Prohton actúa como Encargado que procesa los datos por cuenta y bajo las instrucciones del negocio contratante, quien mantiene la condición de Responsable frente a dichos titulares.

Ambas relaciones se rigen por esta política y, cuando corresponda, por el contrato de servicios o Acuerdo de Tratamiento de Datos (DPA) suscrito con cada cliente.

3. Definiciones

  • Datos personales: toda información sobre una persona natural que la identifica o la hace identificable.
  • Datos sensibles: datos que revelan origen racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, o que se refieran a la salud, vida sexual u origen biométrico o genético.
  • Titular: persona natural a la que corresponden los datos personales.
  • Tratamiento: cualquier operación o conjunto de operaciones efectuadas sobre datos personales (recolección, almacenamiento, uso, transferencia, supresión, etc.).
  • Responsable: quien decide sobre la finalidad y los medios del tratamiento.
  • Encargado: quien realiza el tratamiento por cuenta del Responsable.
  • Consentimiento: manifestación de voluntad libre, previa, expresa, informada e inequívoca.

4. Datos personales que recopilamos

4.1 Datos de clientes directos (Prohton como Responsable)

  • Identificación: nombres, apellidos, documento de identidad o RUC, rol profesional, razón social del negocio.
  • Contacto: correo electrónico, número telefónico, dirección.
  • Credenciales: contraseña cifrada, identidad federada de Google (OAuth), tokens de sesión.
  • Facturación: datos tributarios, comprobantes emitidos, plan contratado, historial de pagos.
  • Datos de uso: acciones dentro de la plataforma, preferencias de configuración, comunicaciones con soporte.

4.2 Datos de usuarios finales (Prohton como Encargado)

Ingresados o generados por el negocio contratante al operar la plataforma con sus pacientes o clientes:

  • Nombre, teléfono, correo electrónico y documento de identidad.
  • Historial de citas, asistencia y preferencias de agenda.
  • Notas de atención, etiquetas y categorización.
  • Información sobre servicios prestados, pagos, deudas y promesas de pago.
  • Mensajes de WhatsApp intercambiados dentro del canal habilitado, incluyendo su contenido, fechas y metadatos.
  • Eventualmente, datos de salud cuando el negocio contratante es una clínica, consultorio u operador que los registra como parte de su propia historia clínica. Prohton no solicita ni requiere directamente estos datos; su ingreso queda bajo responsabilidad exclusiva del negocio y de conformidad con el consentimiento que este último haya obtenido.

4.3 Datos técnicos y de navegación

  • Dirección IP, identificador de dispositivo, user-agent del navegador, idioma, zona horaria.
  • Cookies y tecnologías similares (ver sección 14).
  • Eventos de navegación, métricas de rendimiento y registros de error.

5. Finalidades del tratamiento

Los datos se tratan con las siguientes finalidades:

  • Proveer, mantener y operar la plataforma Prohton y sus funcionalidades contratadas.
  • Gestionar el registro, autenticación y permisos de las cuentas.
  • Emitir facturación, controlar pagos y cumplir obligaciones tributarias.
  • Brindar soporte técnico y atención al cliente.
  • Ejecutar automatizaciones solicitadas por el cliente (confirmaciones de cita, recordatorios, reactivación de clientes inactivos, llenado de espacios vacíos en la agenda, análisis de prospectos) mediante inteligencia artificial.
  • Generar métricas agregadas y recomendaciones para mejorar el desempeño del negocio del cliente.
  • Detectar, prevenir e investigar fraudes, abusos y violaciones de los términos de servicio.
  • Cumplir obligaciones legales, regulatorias y requerimientos de autoridades competentes.
  • Comunicar novedades del producto y, previo consentimiento o relación contractual previa, enviar comunicaciones comerciales propias (siempre con opción de baja).

7. Tratamiento por cuenta de las clínicas (rol de Encargado)

Cuando el negocio contratante (clínica, consultorio, veterinaria, etc.) registra datos de sus propios pacientes o clientes dentro de Prohton, dicho negocio actúa como Responsable y Prohton como Encargado.

En este rol, Prohton:

  • Trata los datos exclusivamente siguiendo las instrucciones del Responsable, conforme a los términos contratados.
  • Implementa medidas técnicas y organizativas apropiadas de seguridad (ver sección 13).
  • No utiliza los datos de usuarios finales para finalidades propias distintas a las estrictamente necesarias para prestar el servicio.
  • No vende ni comparte esos datos con terceros, salvo a los sub-encargados estrictamente necesarios (ver sección 8).
  • Asiste al Responsable, en la medida de lo posible, a atender solicitudes de ejercicio de derechos de los titulares.
  • Pone a disposición, bajo solicitud, un Acuerdo de Tratamiento de Datos (DPA) para clientes ubicados en la Unión Europea u otras jurisdicciones que lo requieran.

Corresponde al Responsable obtener el consentimiento de sus pacientes o clientes, entregarles información sobre el tratamiento y atender en primera instancia el ejercicio de sus derechos.

8. Destinatarios y sub-encargados

Para prestar el servicio, Prohton comparte ciertos datos con proveedores que actúan como sub-encargados bajo obligaciones de confidencialidad y seguridad:

  • Supabase Inc. — Infraestructura de base de datos, autenticación, almacenamiento y funciones en la nube. Alojamiento en Estados Unidos y/o Unión Europea.
  • OpenAI, L.L.C. — Procesamiento mediante modelos de lenguaje para automatizaciones y recomendaciones. Estados Unidos. Regido por la Data Processing Addendum de OpenAI; los datos enviados a través de la API no se utilizan para entrenar sus modelos.
  • Meta Platforms, Inc. / WhatsApp Business API — Envío y recepción de mensajes a través del canal de WhatsApp del negocio. Estados Unidos.
  • Vercel Inc. — Alojamiento del sitio web, analítica de uso (Vercel Analytics) y métricas de rendimiento (Speed Insights). Estados Unidos.
  • Google LLC — Autenticación federada (Google OAuth), tipografías (Google Fonts) y analítica (Google Analytics 4). Estados Unidos.
  • Meta Platforms, Inc. (Pixel) — Medición de conversiones y segmentación publicitaria. Estados Unidos.

La lista de sub-encargados puede actualizarse. Los cambios relevantes se reflejarán en esta política.

9. Transferencias internacionales de datos

Algunos de los sub-encargados mencionados se encuentran fuera del Perú, principalmente en los Estados Unidos de América y la Unión Europea. Estas transferencias se amparan en:

  • El artículo 15 de la Ley N.° 29733 y su reglamento, que permiten el flujo transfronterizo de datos hacia países que garanticen niveles adecuados de protección o cuando el Responsable adopte garantías contractuales suficientes.
  • Las Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea, cuando el titular sea residente del EEE.
  • Los mecanismos equivalentes previstos por la LFPDPPP (México), la Ley 1581 (Colombia) y la LGPD (Brasil).

10. Plazo de conservación

  • Cuenta activa: los datos se conservan mientras exista relación contractual vigente.
  • Tras la cancelación: los datos del cliente y de sus usuarios finales permanecen en estado de eliminación lógica durante 30 días, lapso en el cual el cliente puede solicitar la reactivación de la cuenta o la exportación de su información. Transcurrido ese plazo, los datos se eliminan de forma definitiva de los sistemas productivos.
  • Información contable y tributaria: se conserva por cinco (5) años conforme a las obligaciones de la SUNAT y la normativa peruana aplicable.
  • Registros de seguridad y auditoría: se conservan por el tiempo mínimo necesario para fines de detección de fraude, investigación de incidentes y cumplimiento legal.

11. Derechos del titular

Todo titular puede ejercer, en cualquier momento, los siguientes derechos:

  • Acceso: obtener confirmación sobre el tratamiento de sus datos y acceder a ellos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Cancelación / Supresión: solicitar la eliminación de sus datos.
  • Oposición: oponerse al tratamiento por motivos legítimos.
  • Portabilidad: recibir sus datos en un formato estructurado y de uso común.
  • Limitación del tratamiento cuando se discuta la exactitud o legitimidad de los datos.
  • Revocar el consentimiento previamente otorgado, sin efecto retroactivo.
  • No ser objeto de decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o afecten significativamente al titular.

Procedimiento: la solicitud debe remitirse al correo contacto@prohton.com indicando el derecho ejercido, adjuntando copia del documento de identidad del titular o documento que acredite representación. Prohton responderá dentro de los veinte (20) días hábiles previstos por la Ley 29733, o dentro de un (1) mes conforme al GDPR para residentes del EEE. Si la solicitud se refiere a datos de pacientes o clientes finales de un negocio contratante, Prohton la reenviará al Responsable correspondiente y prestará asistencia razonable.

12. Decisiones automatizadas y uso de inteligencia artificial

Prohton utiliza modelos de inteligencia artificial provistos por OpenAI para ejecutar funcionalidades como:

  • Confirmaciones y recordatorios de cita.
  • Reactivación de clientes o pacientes inactivos.
  • Completado de espacios vacíos en la agenda (gap-filler).
  • Análisis y priorización de prospectos.
  • Sugerencias y recomendaciones mostradas al administrador del negocio.

Para ello se envía a OpenAI únicamente el mínimo necesario de información. En ningún caso se envían credenciales ni datos irrelevantes al propósito automatizado. En virtud del Data Processing Addendum de OpenAI, los datos transmitidos a través de su API no se utilizan para entrenar modelos.

Ninguna decisión con efectos jurídicos o significativos para el titular se adopta de forma exclusivamente automatizada: las salidas de IA son insumos que el administrador del negocio revisa antes de producir efectos. El titular conserva el derecho a solicitar intervención humana respecto de cualquier resultado generado por estos sistemas.

13. Medidas de seguridad

Prohton aplica medidas técnicas y organizativas proporcionales a la sensibilidad de los datos, entre ellas:

  • Cifrado en tránsito mediante TLS.
  • Cifrado en reposo en los servicios gestionados de Supabase.
  • Aislamiento de datos por inquilino mediante políticas de seguridad a nivel de fila (Row Level Security).
  • Eliminación lógica (soft delete) y procesos de purgado definitivo.
  • Control de accesos basado en roles y principio de mínimo privilegio.
  • Registros de auditoría de operaciones sensibles.
  • Copias de seguridad periódicas.
  • Revisión continua de dependencias y vulnerabilidades.

Ningún sistema es completamente infalible. En caso de violación de seguridad que comporte un riesgo relevante para los derechos de los titulares, Prohton notificará al cliente contratante en los plazos que fije la normativa aplicable.

14. Cookies y tecnologías similares

Prohton utiliza las siguientes categorías de cookies:

  • Esenciales: necesarias para autenticar al usuario y mantener la sesión (Supabase Auth). No pueden desactivarse sin afectar el funcionamiento del servicio.
  • Rendimiento: Vercel Speed Insights, para medir tiempos de carga y optimizar la experiencia.
  • Analíticas: Vercel Analytics y Google Analytics 4, para comprender el uso agregado de la plataforma.
  • Marketing: Meta Pixel, para medir la efectividad de campañas publicitarias y conversiones.

El usuario puede configurar su navegador para bloquear o eliminar cookies, y utilizar las herramientas de opt-out provistas por cada proveedor. Cuando resulte exigible por la legislación aplicable, se habilitará un banner de consentimiento previo para cookies no esenciales.

15. Menores de edad

La plataforma Prohton no está dirigida a menores de 14 años, de conformidad con el artículo 14 del Reglamento de la Ley 29733. Prohton no recopila de manera directa datos de menores de edad.

Cuando un negocio contratante (por ejemplo, una clínica odontopediátrica o una academia para niños) registre datos de menores dentro de la plataforma, dicho negocio actúa como Responsable y asume la obligación de obtener el consentimiento previo y expreso del padre, madre o tutor legal, así como de informar al menor en términos adecuados a su edad.

Si usted considera que un menor ha proporcionado datos sin el consentimiento apropiado, escriba a contacto@prohton.com para su supresión inmediata.

16. Autoridades de control

El titular puede presentar reclamos ante la autoridad competente de su jurisdicción si considera que sus derechos no han sido atendidos adecuadamente:

  • Perú: Autoridad Nacional de Protección de Datos Personales — Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Ministerio de Justicia y Derechos Humanos (MINJUS).
  • Unión Europea / EEE: autoridad nacional de control del país de residencia del titular.
  • México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
  • Colombia: Superintendencia de Industria y Comercio (SIC).
  • Brasil: Autoridade Nacional de Proteção de Dados (ANPD).

Antes de acudir a la autoridad, agradecemos contactar con Prohton para intentar resolver la solicitud de manera directa.

17. Cambios a esta política y fecha de vigencia

La presente Política de Privacidad entra en vigencia el 16 de abril de 2026. Prohton se reserva el derecho de modificarla para reflejar cambios legales, técnicos o de negocio. Las modificaciones se publicarán en esta misma dirección. Cuando los cambios sean sustanciales, se notificarán al correo electrónico del cliente contratante con al menos quince (15) días de antelación a su entrada en vigor.

Última actualización: 16 de abril de 2026.