Documento vigente de Mediko SpA para informar el tratamiento de datos personales y datos sensibles de salud en Mediko. Preparado como estándar de adecuación a Ley N° 21.719, con entrada en vigencia general el 1 de diciembre de 2026.
Domicilio: Presidente José Batlle y Ordóñez 4499, Ñuñoa, Chile
Owner: Legal
Versión pública: privacy_v3
Fecha de vigencia: 2026-04-30
Marco de adecuación: Ley N° 19.628 y preparación para Ley N° 21.719, cuya entrada en vigencia general está fijada para el 2026-12-01.
Mediko SpA ("Mediko") respeta la privacidad de las personas que usan sus canales digitales y servicios de salud digital. Esta política explica qué datos personales tratamos, para qué los usamos, con qué fundamentos, con quién podemos compartirlos, por cuánto tiempo los conservamos y cómo puedes ejercer tus derechos.
Esta política está escrita para usuarios, pacientes, representantes de perfiles vinculados, profesionales y visitantes de Mediko. No reemplaza contratos específicos, consentimientos particulares ni avisos breves que puedan mostrarse dentro de un flujo determinado, pero sirve como referencia pública principal.
1. Responsable y contacto
El responsable del tratamiento de los datos personales es Mediko SpA, RUT 77.634.913-5, representada por Tomás Alejandro Riddell Núñez, RUT 18.395.927-1, con domicilio en Presidente José Batlle y Ordóñez 4499, Ñuñoa, Chile.
Puedes contactarnos por temas de privacidad mediante:
correo de contacto y privacidad: contacto@mediko.cl
centro autenticado del titular: /privacidad
política pública vigente: /privacy
Cuando la solicitud requiera verificar identidad o representación, Mediko podrá pedir antecedentes razonables para confirmar que la persona solicitante es titular, representante legal, mandatario o adulto responsable habilitado.
2. Datos personales que tratamos y su origen
Mediko puede tratar datos personales entregados directamente por ti, generados durante el uso de la plataforma, recibidos desde perfiles vinculados o aportados por terceros necesarios para operar el servicio solicitado.
Categorías principales:
Categoría
Ejemplos
Origen habitual
Identificación y contacto
nombre, correo, teléfono, RUT, dirección, fecha de nacimiento
titular, adulto responsable, checkout o cuenta
Cuenta y perfiles
usuario, perfil principal, perfiles vinculados, rol del vínculo, consentimientos
registro, onboarding y administración de perfiles
Salud y datos sensibles
antecedentes de salud, síntomas, biomarcadores, resultados, órdenes, documentos, interacciones clínicas o de salud
prompts, respuestas, contexto del servicio, aceptación de disclaimers, auditoría mínima
interacción del usuario con servicios IA
Seguridad y auditoría
IP, user agent, eventos, logs, tokens, actividad relevante
uso técnico de la plataforma y controles de seguridad
Preferencias
marketing, tratamientos opcionales, shares y revocaciones
centro de privacidad y preferencias del usuario
Mediko no solicita más datos que los necesarios para la finalidad informada. Si un flujo requiere información adicional, se explica en el contexto correspondiente.
3. Finalidades y bases de licitud
Mediko trata datos personales para finalidades específicas, explícitas y legítimas. Las bases de licitud pueden incluir consentimiento, ejecución del servicio solicitado, cumplimiento de obligaciones legales, seguridad, defensa de derechos y, cuando corresponda, causales sanitarias aplicables al tratamiento de datos sensibles de salud.
Finalidad
Datos involucrados
Base principal
Crear cuenta y completar onboarding
identificación, contacto, cuenta y perfil inicial
consentimiento explícito y ejecución de medidas solicitadas por el usuario
Prestar servicios de salud digital
perfiles, datos de salud, órdenes, resultados, documentos e interacciones
consentimiento explícito, prestación del servicio solicitado y causales sanitarias aplicables
Operar servicios IA
datos entregados por el usuario, contexto del servicio, prompts, respuestas y auditoría
consentimiento explícito, prestación del servicio y controles de seguridad
Gestionar compras y pagos
identificación, RUT, dirección, carrito, venta, pago y documentos tributarios
ejecución del servicio, cumplimiento legal y trazabilidad financiera
Habilitar perfiles vinculados y shares
perfil, vínculo, tokens, permisos y revocaciones
consentimiento o habilitación expresa del titular o representante
Atender derechos del titular
identidad, solicitud, antecedentes y evidencia de respuesta
cumplimiento regulatorio y defensa del procedimiento
Proteger la plataforma
eventos técnicos, IP, user agent, logs y auditoría
seguridad, prevención de abuso, continuidad del servicio y defensa de derechos
Enviar comunicaciones promocionales
identificación, contacto y preferencias
consentimiento, con posibilidad de revocación
Los tratamientos opcionales, como marketing, uso futuro de IA o enlaces públicos de share, pueden revocarse desde /privacidad cuando exista una cuenta autenticada o mediante el canal de contacto cuando corresponda.
4. Datos sensibles de salud
Mediko trata datos sensibles de salud porque sus servicios pueden incluir perfiles de salud, resultados de exámenes, biomarcadores, antecedentes, síntomas, documentos médicos, órdenes médicas e interacciones asociadas a orientación, interpretación u operación sanitaria digital.
Estos datos se tratan sólo en la medida necesaria para:
prestar el servicio solicitado por el usuario o por su representante válido;
generar, organizar o disponibilizar información de salud dentro de la plataforma;
operar herramientas de apoyo informativo, incluyendo servicios IA aceptados por el usuario;
cumplir obligaciones legales, sanitarias, tributarias, contractuales o de seguridad;
atender solicitudes de derechos, reclamos, auditorías e incidentes.
Mediko aplica medidas reforzadas de minimización, acceso restringido, trazabilidad y revisión para datos de salud. No vendemos datos de salud ni los usamos para publicidad de terceros.
5. Inteligencia artificial, perfiles y decisiones automatizadas
Mediko usa inteligencia artificial como herramienta de apoyo informativo y operativo. Los servicios IA pueden procesar información entregada por el usuario y datos de contexto necesarios para entregar orientación, interpretación o apoyo en la generación de órdenes.
La lógica general de estos servicios consiste en analizar la información entregada, compararla con instrucciones del flujo, criterios de seguridad y contexto clínico-operativo disponible, y producir una respuesta orientativa o un resultado de apoyo. La IA puede cometer errores y no reemplaza una evaluación profesional cuando ésta sea necesaria.
Mediko no usa actualmente sus servicios IA para adoptar decisiones exclusivamente automatizadas que produzcan efectos jurídicos sobre el titular o que le afecten significativamente de forma equivalente. En particular, la IA no debe aprobar o denegar por sí sola acceso a prestaciones, cobertura, precios o derechos.
Si Mediko habilita en el futuro una decisión automatizada con efectos jurídicos o significativamente relevantes, informará la lógica aplicada en términos comprensibles y habilitará las salvaguardas que correspondan, incluyendo explicación, intervención humana, posibilidad de expresar el punto de vista del titular y revisión de la decisión.
Mediko puede elaborar perfiles de salud dentro de la plataforma para organizar información, personalizar la experiencia, facilitar continuidad de uso y mejorar la pertinencia de servicios solicitados. Este perfilamiento no se utiliza para discriminar, excluir o modificar automáticamente condiciones comerciales esenciales.
6. Niños, niñas y adolescentes
Mediko permite administrar perfiles de niños, niñas y adolescentes como perfiles vinculados, pero la cuenta principal debe corresponder a una persona mayor de edad. Por diseño de producto actual, los perfiles de menores son gestionados por un adulto responsable, representante legal o persona habilitada para actuar por el menor.
Mediko trata datos de menores atendiendo al interés superior del niño, niña o adolescente, al respeto de su autonomía progresiva y a criterios reforzados de minimización. Cuando se trate de menores de 16 años o de datos sensibles de salud, Mediko exigirá consentimiento o actuación del representante o adulto responsable cuando corresponda, salvo que una ley permita otro tratamiento específico.
Si en el futuro Mediko habilita flujos con mayor autonomía para adolescentes, actualizará sus avisos, controles de representación y bases de tratamiento antes de ponerlos en operación.
7. Terceros y transferencias internacionales
Mediko utiliza proveedores para operar la plataforma. Estos proveedores pueden actuar como encargados, mandatarios, procesadores, integraciones técnicas o servicios necesarios para autenticación, infraestructura, pagos, IA, rate limiting y automatizaciones.
Proveedor
Uso principal
Posible destino o jurisdicción
Clerk
autenticación, sesión y cuenta
Estados Unidos y subprocesadores aplicables
Neon / PostgreSQL
base de datos e infraestructura de persistencia
Estados Unidos o región configurada para el proyecto
OpenAI
procesamiento de servicios IA aceptados por el usuario
Irlanda, Estados Unidos y subprocesadores aplicables
Upstash
rate limiting, redis o controles de uso
Estados Unidos o regiones configurables
Flow
pagos y conciliación
Chile y proveedores asociados al procesamiento de pago
n8n
automatizaciones operativas e integraciones
según despliegue operativo y proveedores asociados
Cuando un proveedor pueda implicar transferencia internacional de datos, Mediko aplica o evalúa mecanismos adecuados al tipo de tratamiento, como contratos de tratamiento de datos, cláusulas de protección, instrucciones de procesamiento, controles de seguridad, minimización de datos y revisión de subprocesadores. Mediko sólo comparte con terceros los datos necesarios para la finalidad correspondiente.
8. Conservación, eliminación y anonimización
Mediko conserva los datos por el tiempo necesario para cumplir la finalidad informada, prestar el servicio, cumplir obligaciones legales, proteger la seguridad de la plataforma, responder solicitudes o defender derechos.
Referencias generales de conservación:
Tipo de información
Criterio de conservación
Consentimientos, ventas, pagos, documentos tributarios y solicitudes de privacidad
al menos 6 años cuando sea necesario como evidencia legal, financiera o regulatoria
Interacciones IA, logs de ejecución y análisis operativos
hasta 180 días, salvo que deban conservarse por seguridad, evidencia, reclamo o obligación aplicable
Payloads técnicos de pago
hasta 180 días desde estado terminal, salvo necesidad legal o de conciliación
Reclamos e integraciones operativas
hasta 90 días para payloads operativos, salvo escalamiento o necesidad de evidencia
Tokens de share o acceso temporal
se revocan o purgan después de expirar, según reglas del servicio
Datos de salud, órdenes y documentos asociados a servicios
por el plazo necesario según finalidad sanitaria, regulatoria, contractual o de defensa de derechos
Marketing y preferencias
hasta revocación, eliminación aplicable o bloqueo de la finalidad
Cuando proceda una solicitud de eliminación, Mediko podrá eliminar, anonimizar, seudonimizar o bloquear datos, según el tipo de dato, la finalidad, la existencia de obligaciones legales y la necesidad de conservar evidencia mínima.
No todo dato de salud tratado por Mediko se considera automáticamente ficha clínica institucional ni queda sujeto automáticamente a una retención extendida de 15 años. Cada categoría se evalúa según su finalidad y fundamento aplicable.
9. Derechos del titular
Puedes ejercer los derechos que correspondan sobre tus datos personales, incluyendo:
acceso;
rectificación;
supresión o eliminación;
oposición;
portabilidad;
bloqueo temporal del tratamiento;
revocación de consentimientos opcionales.
Para ejercerlos, usa /privacidad si tienes cuenta autenticada o escribe a contacto@mediko.cl si necesitas soporte complementario. La solicitud debe permitir identificar al titular, al representante cuando corresponda, el derecho ejercido y los datos o tratamientos involucrados.
Mediko acusará recibo y responderá dentro de los plazos legales aplicables. Como estándar de adecuación a Ley N° 21.719, Mediko considera un plazo de 30 días corridos, prorrogable una vez por hasta 30 días corridos cuando exista fundamento.
Si Mediko rechaza total o parcialmente una solicitud, o no responde dentro del plazo legal aplicable, el titular podrá reclamar ante la Agencia de Protección de Datos Personales cuando el régimen de Ley N° 21.719 resulte exigible.
10. Seguridad e incidentes
Mediko aplica medidas técnicas y organizativas razonables para proteger los datos personales contra acceso no autorizado, pérdida, filtración, alteración, uso indebido o destrucción accidental. Estas medidas incluyen autenticación, autorización, controles de sesión, auditoría, minimización, revocación de tokens, controles sobre shares, trazabilidad de IA y gestión de incidentes.
Si ocurre una vulneración de seguridad que pueda afectar datos personales o datos sensibles de salud, Mediko evaluará su alcance, adoptará medidas de contención y notificará a la Agencia de Protección de Datos Personales y a los titulares afectados cuando corresponda conforme a la normativa aplicable.
11. Cambios de esta política
Mediko puede actualizar esta política por cambios regulatorios, operativos, tecnológicos o de producto. La versión publicada en /privacy es la referencia pública activa.
Si un cambio material afecta finalidades, categorías de datos, bases de tratamiento o derechos de los titulares, Mediko podrá solicitar una nueva aceptación o entregar avisos adicionales dentro de los flujos correspondientes.
12. Fuentes normativas públicas
Esta política se preparó considerando:
Ley N° 19.628 sobre protección de datos personales, en su texto vigente y texto actualizado por Ley N° 21.719.
Ley N° 21.719, que regula la protección y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales.
Ley N° 20.584 y demás normativa sanitaria aplicable cuando corresponda a servicios o documentos de salud.