Política de Privacidad

MindSpectrum está profundamente comprometido con la protección de su privacidad y la salvaguardia de sus datos sensibles de evaluaciones psicológicas. Esta política de privacidad integral explica cómo recopilamos, usamos, protegemos y gestionamos su información personal y de salud de acuerdo estricta con HIPAA (Ley de Portabilidad y Responsabilidad del Seguro de Salud), GDPR (Reglamento General de Protección de Datos), CCPA (Ley de Privacidad del Consumidor de California) y otras normativas internacionales de privacidad aplicables. Dada la naturaleza sensible de la información sobre salud mental, empleamos los más altos estándares de protección de datos para asegurar que sus resultados de evaluación psicológica e información personal permanezcan confidenciales y seguros.

Recopilamos únicamente la información esencial necesaria para proporcionar servicios de evaluación psicológica: datos de registro de cuenta (nombre, correo electrónico, fecha de nacimiento para verificación de edad), respuestas y resultados de evaluaciones, análisis de uso para mejorar la funcionalidad de la plataforma, registros técnicos para monitoreo de seguridad e información de pago opcional procesada a través de proveedores terceros cumplidores con PCI-DSS. Nos adherimos estrictamente a los principios de minimización de datos bajo HIPAA y GDPR, recopilando solo lo necesario para proveer los servicios de evaluación. Sus datos de evaluación se clasifican como Información de Salud Protegida (PHI) y reciben protecciones de seguridad reforzadas. Nunca recopilamos información sobre su ubicación física, los identificadores de dispositivos se anonimizan y toda recopilación de datos de salud requiere consentimiento informado explícito.

Sus datos de evaluación psicológica se usan exclusivamente para: entregar informes e insights de la evaluación, rastrear sus tendencias personales de salud mental a lo largo del tiempo (si activa esta función), mejorar algoritmos de evaluación y funcionalidad de la plataforma mediante análisis agregados anonimizados, y proporcionar soporte técnico cuando se solicita. NUNCA vendemos, alquilamos ni compartimos su información de salud identificable con terceros para fines comerciales o de marketing. No compartimos sus resultados de evaluación con compañías de seguros, empleadores, instituciones educativas o agencias gubernamentales sin su consentimiento escrito explícito o requisito legal. Todas las actividades de procesamiento de datos cumplen con el estándar de mínima necesidad según HIPAA y se realizan con una base legal documentada bajo GDPR.

Implementamos medidas de seguridad de grado sanitario que exceden los requisitos técnicos de HIPAA: cifrado AES-256 para datos en reposo y TLS 1.3 para datos en tránsito, autenticación multifactor (MFA) para todas las cuentas, pruebas regulares de penetración por firmas de seguridad independientes, infraestructura en la nube compatible con HIPAA con configuraciones sanitarias en AWS/GCP, monitoreo automático de seguridad y sistemas de detección de intrusiones, auditorías anuales de cumplimiento HIPAA por terceros, protocolos de recuperación ante desastres y continuidad del negocio, y controles estrictos de acceso que limitan el acceso del personal a PHI según necesidad. Todos los empleados reciben capacitación anual en privacidad y seguridad HIPAA. Mantenemos registros completos de auditoría de todo acceso a sus datos de evaluación.

Bajo la Regla de Privacidad HIPAA y GDPR, usted tiene derechos completos: Derecho de Acceso (descargar copia completa de su PHI dentro de 30 días), Derecho a la Corrección (solicitar enmiendas a datos de evaluación incorrectos), Derecho a la Eliminación (solicitar borrado completo de sus datos, con excepciones limitadas), Derecho a la Portabilidad de Datos (exportar resultados de evaluación en formato legible por máquina), Derecho a Restringir el Procesamiento (limitar cómo usamos sus datos), Derecho a Oponerse (optar por no participar en usos opcionales de datos), Derecho a Revocar el Consentimiento (retirar consentimiento para procesamiento de datos) y Derecho a Contabilización de Divulgaciones (recibir registro de quién accedió a su PHI). Ejercite estos derechos a través de la configuración de privacidad de su cuenta o contactando a nuestro Oficial de Privacidad.

Usted tiene control completo sobre la retención de sus datos. Cuentas activas: datos de evaluación retenidos indefinidamente hasta que solicite su eliminación. Cuentas inactivas (sin inicio de sesión por más de 24 meses): le enviaremos un correo electrónico antes de archivar los datos. Cuentas eliminadas: todos los datos de evaluación se eliminan permanentemente dentro de 30 días, utilizando métodos seguros de destrucción que cumplen con los estándares NIST 800-88. Los datos agregados anonimizados usados para investigaciones pueden conservarse, pero no contienen información identificable. Puede descargar su historial completo de evaluación en cualquier momento antes de la eliminación.

Si accede a MindSpectrum desde fuera de Estados Unidos, sus datos pueden transferirse y procesarse en EE. UU. Implementamos Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea para cumplimiento GDPR y mantenemos protecciones equivalentes para transferencias internacionales de datos. Los datos de usuarios de la UE se procesan conforme a las derogaciones del Artículo 49 GDPR para consentimiento explícito y prestación necesaria del servicio.

Para preguntas sobre privacidad, ejercer sus derechos o reportar inquietudes: envíe un correo electrónico a nuestro Oficial de Protección de Datos en [email protected], escriba a MindSpectrum Oficial de Privacidad [Dirección de la Compañía], o use nuestro formulario de contacto seguro compatible con HIPAA. Respondemos solicitudes de privacidad en un plazo de 30 días según lo requerido por HIPAA y GDPR. Para notificaciones de violaciones de datos o preocupaciones de seguridad, contacte a [email protected] inmediatamente.