← Volver al inicio

Política de Datos Médicos

Versión 1.0  ·  Vigente desde: [FECHA]  ·  Photopsis

1. Propósito

Esta Política establece cómo Photopsis maneja, protege y gestiona la información clínica y de imagen médica procesada a través de su plataforma, incluyendo estudios DICOM, datos de pacientes e informes radiológicos.

2. Clasificación de datos

Nivel 1 — Datos operativos

Credenciales de usuarios, registros de acceso y configuraciones de clínicas. Retención: duración del contrato + 1 año.

Nivel 2 — Datos clínicos identificados

Archivos DICOM, imágenes de diagnóstico, borradores e informes. Retención: duración del contrato + 10 años. Cifrado en tránsito y reposo.

Nivel 3 — Datos sensibles especiales

Estudios oncológicos, estudios pediátricos y condiciones médicas específicas. Controles adicionales y acceso limitado.

3. Flujo de datos en la plataforma

1. El equipo de imagen envía el estudio mediante DICOM cifrado TLS
2. El servidor Photopsis recibe y almacena el estudio de forma temporal y cifrada
3. El motor de IA analiza la imagen y genera el borrador
4. El borrador aparece en la lista de trabajo del médico radiólogo
5. El radiólogo revisa y firma — el informe queda registrado en auditoría
6. El informe se integra al sistema de gestión de la clínica

En ningún punto del flujo los datos de imagen son accesibles al público o a usuarios no autorizados.

4. Procesamiento por inteligencia artificial

• Las imágenes se procesan con el único propósito de generar borradores de informes
• Los datos de pacientes no se utilizan para entrenar modelos de IA sin consentimiento por escrito
• El procesamiento se realiza en sesiones aisladas sin retención de imágenes por los proveedores
• Los proveedores de IA cumplen con estándares de privacidad equivalentes o superiores a esta Política

5. Almacenamiento y seguridad

• Datos alojados en servidores en los Estados Unidos con copias de seguridad en ubicación separada
• Backups diarios automáticos cifrados
• Cifrado en tránsito: TLS 1.2/1.3
• Cifrado en reposo: AES-256 para archivos DICOM y bases de datos
• Autenticación DICOM por AE Title con lista blanca de dispositivos
• Control de acceso por roles y sesiones con expiración automática

6. Notificación de incidentes

En caso de detectar un incidente de seguridad que afecte datos de pacientes, Photopsis notificará a las clínicas afectadas dentro de las 72 horas de detectado el incidente, incluyendo descripción, datos potencialmente afectados, medidas adoptadas y recomendaciones.

7. Derechos de los pacientes

Los pacientes cuyos estudios son procesados por Photopsis tienen derecho a conocer el procesamiento por IA, solicitar eliminación de sus datos a través de la clínica, y obtener copia de sus estudios e informes. Photopsis facilita el ejercicio de estos derechos a través de las clínicas contratantes.

8. Eliminación de datos

Al término del contrato, la clínica podrá solicitar exportación de sus datos. Transcurridos 30 días naturales, los datos serán eliminados mediante métodos que garantizan la imposibilidad de recuperación.

9. Cumplimiento normativo

Normativa	Descripción
NOM-024-SSA3-2012	Sistemas de información de salud y expediente clínico electrónico
LFPDPPP	Ley Federal de Protección de Datos Personales
NOM-168-SSA1-1998	Expediente clínico — lineamientos generales
DICOM 3.0	Estándar internacional de imagen médica digital

Política de Datos Médicos v1.0 — [FECHA]  ·  datos-medicos@photopsis.com