Política de privacidad
Esta Política describe cómo Kontore Labs LLC ("Odonta.AI", "nosotros") recopila, usa y protege la información personal en relación con la plataforma Odonta.AI ("Servicio").
1. Información que recopilamos
De vos como profesional usuario: nombre, email, contraseña (cifrada con bcrypt), teléfono, datos de tu clínica (nombre, dirección, RIF/RUC/NIT), firma digital y sello escaneado, datos de facturación.
De tus pacientes (ingresados por vos): nombre, fecha de nacimiento, cédula, dirección, contacto (WhatsApp, email, Instagram), antecedentes médicos, odontograma, evolución clínica, planes de tratamiento, pagos, firmas electrónicas.
Técnica: dirección IP, tipo de navegador, sistema operativo, marca de tiempo de acceso. Usada para seguridad y diagnóstico.
2. Cómo usamos los datos
- Para proveer y mantener el Servicio.
- Para procesar tus pagos de suscripción.
- Para enviar comunicaciones operativas (confirmaciones, alertas, soporte).
- Para diagnóstico de errores y mejoras del producto.
- Para cumplir obligaciones legales.
No vendemos tus datos ni los datos de tus pacientes a terceros. No los usamos para entrenar modelos de IA sin tu consentimiento explícito.
3. Bases legales del tratamiento
Tratamos tus datos personales bajo las siguientes bases: (a) ejecución del contrato de servicio, (b) cumplimiento de obligaciones legales, (c) interés legítimo en mejorar el Servicio, (d) tu consentimiento explícito cuando aplique.
4. Datos clínicos de pacientes
Vos sos el responsable del tratamiento de los datos clínicos de tus pacientes. Nosotros actuamos como encargado de tratamiento (data processor) por cuenta tuya. Esto significa:
- Los datos de pacientes son tu propiedad y solo vos podés acceder a ellos (excepto cuando legalmente debamos colaborar con autoridades).
- Vos sos responsable de obtener el consentimiento informado de cada paciente conforme a la ley de tu país.
- Implementamos medidas técnicas para garantizar la confidencialidad: HTTPS obligatorio, cifrado en reposo, aislamiento por organización (Row Level Security).
5. Cookies y almacenamiento local
Usamos cookies y localStorage para:
- Mantener tu sesión iniciada (cookies de autenticación de Supabase).
- Recordar tu idioma preferido y preferencias de UI.
- Funcionalidad de Service Worker (cache PWA, modo offline).
No usamos cookies de tracking publicitario. Ver Política de Cookies.
6. Proveedores que procesan datos por nosotros
- Supabase Inc. (PostgreSQL + Storage + Auth) — datos clínicos, autenticación, archivos.
- Cloudflare Inc. — hosting estático, DNS, CDN.
- Stripe Inc. — procesamiento de pagos de suscripción.
- Anthropic PBC — modelo Claude usado para escanear datos de cédulas (OCR). Las imágenes no se almacenan después de la extracción.
- Google LLC — Gmail y Calendar API cuando conectás tu cuenta voluntariamente.
7. Retención
Mantenemos tus datos mientras tu cuenta esté activa. Tras la cancelación: 30 días para que exportes tus datos, luego eliminación permanente (excepto datos que debamos conservar por obligación legal, como registros de facturación).
8. Tus derechos
Tenés derecho a: acceder a tus datos, rectificarlos, eliminarlos, exportarlos en formato portable (JSON), oponerte al tratamiento, retirar el consentimiento. Para ejercerlos: [email protected].
9. Transferencias internacionales
Tus datos pueden ser procesados en servidores en Estados Unidos (Supabase, Cloudflare, Stripe). Estos proveedores cumplen marcos de protección de datos reconocidos internacionalmente (SOC 2 Type II, GDPR-ready).
10. Seguridad
Implementamos: HTTPS obligatorio, cifrado de contraseñas con bcrypt, aislamiento de datos por organización a nivel de base de datos (RLS), backups diarios automáticos, autenticación de dos factores opcional (próximamente), revisión de código y dependencias.
11. Menores de edad
El Servicio está dirigido a profesionales adultos. Los datos de pacientes menores son cargados por el profesional bajo su responsabilidad y conforme al consentimiento parental aplicable en su jurisdicción.
12. Cambios
Podemos actualizar esta Política. Cambios materiales se notifican por email con 15 días de anticipación.
13. Contacto del Encargado de Privacidad
Privacy Policy
This Policy describes how Kontore Labs LLC ("Odonta.AI", "we") collects, uses and protects personal information in connection with the Odonta.AI platform ("Service").
1. Information we collect
From you as the professional user: name, email, password (bcrypt-hashed), phone, clinic data (name, address, tax ID), digital signature and scanned stamp, billing data.
From your patients (uploaded by you): name, date of birth, ID number, address, contact info (WhatsApp, email, Instagram), medical history, odontogram, clinical notes, treatment plans, payments, electronic signatures.
Technical: IP address, browser, OS, access timestamp. Used for security and diagnostics.
2. How we use the data
- To provide and maintain the Service.
- To process your subscription payments.
- To send operational communications (confirmations, alerts, support).
- For error diagnostics and product improvements.
- To comply with legal obligations.
We do not sell your data or your patients' data to third parties. We do not use them to train AI models without your explicit consent.
3. Legal bases
We process your personal data under: (a) contract performance, (b) legal obligations, (c) legitimate interest in improving the Service, (d) your explicit consent where applicable.
4. Patient clinical data
You are the controller of your patients' clinical data. We act as data processor on your behalf. This means:
- Patient data is your property and only you can access it (except when we must cooperate with legal authorities).
- You are responsible for obtaining each patient's informed consent per your country's law.
- We implement technical measures for confidentiality: mandatory HTTPS, encryption at rest, per-organization isolation (Row Level Security).
5. Cookies and local storage
We use cookies and localStorage to:
- Keep you signed in (Supabase auth cookies).
- Remember your language preference and UI settings.
- Service Worker functionality (PWA cache, offline mode).
We do not use advertising tracking cookies. See Cookie Policy.
6. Sub-processors
- Supabase Inc. (PostgreSQL + Storage + Auth) — clinical data, authentication, files.
- Cloudflare Inc. — static hosting, DNS, CDN.
- Stripe Inc. — subscription payment processing.
- Anthropic PBC — Claude model used for ID OCR. Images are not retained after extraction.
- Google LLC — Gmail and Calendar API when you voluntarily connect your account.
7. Retention
We keep your data while your account is active. After cancellation: 30 days for export, then permanent deletion (except data we must retain by legal obligation, like billing records).
8. Your rights
You have the right to: access your data, rectify it, delete it, export it in portable format (JSON), object to processing, withdraw consent. To exercise: [email protected].
9. International transfers
Your data may be processed on servers in the United States (Supabase, Cloudflare, Stripe). These providers comply with internationally recognized data protection frameworks (SOC 2 Type II, GDPR-ready).
10. Security
We implement: mandatory HTTPS, bcrypt password hashing, per-organization data isolation at the database level (RLS), daily automated backups, optional 2FA (coming soon), code and dependency review.
11. Minors
The Service is intended for adult professionals. Minor patient data is uploaded by the professional under their responsibility and in accordance with applicable parental consent in their jurisdiction.
12. Changes
We may update this Policy. Material changes are notified by email 15 days in advance.