Política de Privacidad

1. Introducción y Marco Legal

Molaris es una plataforma de software como servicio (SaaS) operada por Complete Dentistry Costa Rica (en adelante “Molaris”, “nosotros” o “nuestro”), diseñada específicamente para la gestión integral de clínicas dentales. A través de molarishealthcare.com, ofrecemos herramientas para la administración de citas, expedientes de pacientes, facturación, comunicaciones clínicas y atención automatizada mediante inteligencia artificial.

Esta Política de Privacidad se emite en cumplimiento de la Ley N.° 8968 — Protección de la Persona frente al Tratamiento de sus Datos Personales y su Reglamento (Decreto Ejecutivo N.° 37554-JP), y describe cómo recopilamos, utilizamos, almacenamos y protegemos la información personal procesada en nuestra plataforma.

La autoridad competente en materia de protección de datos personales en Costa Rica es la Agencia de Protección de Datos de los Habitantes (PRODHAB), adscrita al Ministerio de Justicia y Paz. Cualquier persona puede presentar denuncias o consultas ante esta entidad.

2. Roles en el Tratamiento de Datos

Conforme a la Ley N.° 8968, los roles en el tratamiento de datos personales dentro de Molaris se definen de la siguiente manera:

• Responsable de la base de datos: la clínica dental (Organización) que utiliza Molaris. La clínica determina la finalidad y el contenido del tratamiento de los datos personales de sus pacientes.
• Encargado del tratamiento: Molaris (Complete Dentistry Costa Rica), quien procesa los datos personales por cuenta y según las instrucciones de la clínica, exclusivamente para la prestación de los servicios contratados.

Molaris no determina de forma autónoma los fines del tratamiento de los datos de pacientes. Los datos clínicos son propiedad de la clínica y Molaris actúa únicamente como encargado del tratamiento.

3. Información que Recopilamos

4. Base Legal y Consentimiento

El tratamiento de datos personales en Molaris se fundamenta en las siguientes bases legales, conforme a la Ley N.° 8968:

• Consentimiento informado: el paciente otorga su consentimiento libre, específico, informado e inequívoco para el tratamiento de sus datos al momento de registrarse en la clínica. Este consentimiento puede ser revocado en cualquier momento.
• Ejecución contractual: el tratamiento es necesario para la prestación de los servicios de gestión clínica contratados por la Organización.
• Obligación legal: el tratamiento es necesario para cumplir con obligaciones legales aplicables, incluyendo la conservación de expedientes clínicos conforme a la Ley General de Salud N.° 5395 y la normativa del Colegio de Cirujanos Dentistas de Costa Rica.

5. Uso de la Información

Utilizamos la información recopilada para los siguientes fines específicos, conforme al principio de finalidad del artículo 6 de la Ley N.° 8968:

• Gestión de citas: programación, confirmación y recordatorios automáticos por correo electrónico y WhatsApp.
• Expedientes clínicos: almacenamiento seguro y organizado de historiales de pacientes, tratamientos, odontogramas y documentos.
• Facturación y cobros: generación de facturas, registro de pagos e informes financieros.
• Comunicación con pacientes: envío de confirmaciones, recordatorios, encuestas de satisfacción y notificaciones operativas.
• Inteligencia artificial: sugerencias de tratamiento asistidas por IA, análisis radiográfico y atención automatizada de consultas a través del agente conversacional, siempre bajo supervisión del profesional odontológico.
• Mejora del servicio: análisis agregado y anonimizado del uso de la plataforma para optimizar funcionalidades y experiencia de usuario.
• Seguridad y cumplimiento: detección de accesos no autorizados, auditoría de acciones y cumplimiento de obligaciones legales.

No utilizamos datos personales para fines distintos a los aquí descritos. No vendemos, alquilamos ni comercializamos datos personales de pacientes bajo ninguna circunstancia.

6. Integración con WhatsApp / Meta

Molaris se integra con la API de WhatsApp Business de Meta para permitir a las clínicas enviar recordatorios de citas y comunicaciones operativas a sus pacientes. Esta integración funciona de la siguiente manera:

• Los números de teléfono de los pacientes son utilizados únicamente para el envío de mensajes en nombre de la clínica. Molaris no utiliza estos números para ningún otro propósito.
• Los mensajes son enviados con el consentimiento de la clínica y en representación de la misma. La clínica es responsable de obtener el consentimiento de sus pacientes para recibir comunicaciones por WhatsApp.
• Molaris no comparte datos de pacientes con Meta más allá de lo estrictamente necesario para el envío de mensajes (número de teléfono y contenido del mensaje). No se transfieren historiales clínicos, expedientes ni información financiera.
• Los tokens de acceso a la API de WhatsApp Business son almacenados de forma cifrada (AES-256-GCM) y con acceso restringido. La clínica puede revocar la conexión con WhatsApp en cualquier momento desde la configuración de su cuenta.
• El agente conversacional de IA que opera por WhatsApp procesa mensajes entrantes para brindar atención automatizada. Las conversaciones se almacenan en la plataforma y están disponibles para revisión por el personal autorizado de la clínica.
• El uso de la API de WhatsApp Business está sujeto a los términos de servicio y políticas de privacidad de Meta.

7. Almacenamiento y Seguridad

Implementamos medidas técnicas y organizativas conforme al artículo 10 de la Ley N.° 8968 para proteger la información almacenada en nuestra plataforma:

• Base de datos: los datos se almacenan en PostgreSQL con cifrado en reposo y en tránsito (TLS). Cada organización opera en un esquema lógicamente aislado (multi-tenant) para garantizar la separación total de datos entre clínicas.
• Archivos clínicos: radiografías, fotografías y documentos se almacenan en Microsoft Azure Blob Storage con cifrado AES-256.
• Hosting: la aplicación se ejecuta en Vercel con HTTPS obligatorio (TLS 1.2+) en todas las conexiones.
• Autenticación: el acceso está protegido mediante tokens JWT con rotación automática. Las contraseñas se almacenan con hash bcrypt.
• Control de acceso: los datos de cada organización están aislados a nivel de base de datos. Los usuarios solo acceden a la información de su propia clínica y sucursal según su rol asignado (control de acceso basado en roles).
• Auditoría: todas las acciones relevantes sobre datos de pacientes son registradas en un log de auditoría con marca temporal, usuario y tipo de acción.
• Protección contra ataques: implementamos limitación de velocidad (rate limiting), validación de entrada, Content Security Policy (CSP) y encabezados de seguridad HTTP (HSTS, X-Frame-Options, Permissions-Policy).

8. Servicios de Terceros

Para operar la plataforma, utilizamos los siguientes proveedores de servicios que pueden procesar datos en nuestro nombre, todos seleccionados por su cumplimiento con estándares de seguridad y privacidad:

• Vercel — hosting de la aplicación y funciones serverless.
• Supabase — infraestructura de base de datos PostgreSQL.
• Resend — envío de correos electrónicos transaccionales (confirmaciones, recordatorios, invitaciones).
• Microsoft Azure — almacenamiento de archivos clínicos (Blob Storage).
• Upstash — caché, limitación de velocidad (Redis) y programación de tareas (QStash).
• Meta / WhatsApp — envío de mensajes de WhatsApp a pacientes a través de la API de WhatsApp Business.
• Anthropic (Claude) — procesamiento de inteligencia artificial para sugerencias clínicas y agente conversacional. Los datos enviados a la API de Anthropic no son utilizados para entrenar modelos.
• OpenAI — generación de embeddings vectoriales para el sistema de recuperación aumentada (RAG). Solo se procesan fragmentos de contexto clínico anonimizados.
• Sentry — monitoreo de errores y diagnóstico de la aplicación. Los datos capturados se limitan a información técnica del error y no incluyen datos clínicos de pacientes.

No vendemos ni compartimos datos personales con terceros para fines publicitarios o de mercadeo. Las transferencias de datos a proveedores se realizan bajo acuerdos de confidencialidad y procesamiento conforme al artículo 15 de la Ley N.° 8968.

9. Retención de Datos

Los datos de la clínica y sus pacientes permanecen activos mientras la cuenta de la Organización esté vigente en Molaris. Los datos son accesibles y modificables por los usuarios autorizados de la clínica durante todo el período de suscripción.

En caso de cancelación de la cuenta, los datos serán retenidos durante un período de 30 días naturales para permitir la reactivación o exportación. Transcurrido este plazo, los datos serán eliminados de forma permanente e irreversible de nuestros sistemas, incluyendo bases de datos, almacenamiento de archivos y copias de respaldo.

Los datos contenidos en los registros de auditoría podrán conservarse por un período adicional conforme a las obligaciones legales de conservación de expedientes clínicos establecidas en la normativa sanitaria costarricense.

10. Derechos del Titular de los Datos

Conforme a los artículos 5 y 7 de la Ley N.° 8968, toda persona tiene los siguientes derechos respecto a sus datos personales:

• Acceso: solicitar información sobre qué datos personales suyos están siendo tratados, con qué finalidad y a quién se han comunicado.
• Rectificación: solicitar la corrección de datos inexactos, incompletos o desactualizados.
• Supresión: solicitar la eliminación de datos personales cuando el tratamiento no esté justificado, sujeto a obligaciones legales de retención.
• Oposición: oponerse al tratamiento de sus datos personales cuando existan motivos legítimos y fundados relativos a su situación particular.
• Portabilidad: solicitar la exportación de sus datos en un formato estructurado y de uso común.
• Revocación del consentimiento: revocar en cualquier momento el consentimiento previamente otorgado, sin que ello afecte la licitud del tratamiento basado en el consentimiento previo a su revocación.

Los pacientes deben ejercer estos derechos contactando a la clínica que administra sus datos (Responsable de la base de datos). Los administradores de clínicas pueden contactar directamente a Molaris en info@molarishealthcare.com. Las solicitudes serán atendidas de forma gratuita en los plazos establecidos por la Ley N.° 8968 (cinco días hábiles para acuse de recibo, treinta días naturales para resolución).

Si considera que sus derechos no han sido debidamente atendidos, puede presentar una denuncia ante la Agencia de Protección de Datos de los Habitantes (PRODHAB) del Ministerio de Justicia y Paz de Costa Rica.

11. Comunicaciones de Marketing

Las clínicas pueden enviar comunicaciones de seguimiento y reactivación a sus pacientes a través de Molaris. Estas comunicaciones incluyen un enlace de cancelación de suscripción en cada correo electrónico, permitiendo al paciente optar por no recibir comunicaciones de marketing de esa clínica.

La cancelación de comunicaciones de marketing no afecta el envío de recordatorios de citas confirmadas ni notificaciones operativas esenciales para la prestación del servicio de salud.

12. Cookies

Molaris utiliza un conjunto mínimo de cookies estrictamente necesarias para el funcionamiento de la plataforma. No utilizamos cookies de seguimiento, analítica de terceros ni publicidad.

• molaris_at — token de autenticación de sesión del personal de la clínica.
• molaris_rt — token de refresco para renovación segura de sesión del personal.
• molaris_pat — token de autenticación de sesión del portal de pacientes.
• molaris_prt — token de refresco del portal de pacientes.
• NEXT_LOCALE — preferencia de idioma del usuario (español o inglés).

Estas cookies son de tipo funcional y no almacenan información personal identificable más allá de lo necesario para la autenticación y las preferencias de la sesión.

13. Inteligencia Artificial y Tratamiento de Datos

Molaris incorpora funcionalidades de inteligencia artificial (IA) para asistir a los profesionales odontológicos. Es importante que los usuarios comprendan cómo se utilizan sus datos en este contexto:

• Las sugerencias de tratamiento, análisis radiográfico y comunicaciones automatizadas son generadas por modelos de IA externos (Anthropic Claude, OpenAI) y constituyen herramientas de apoyo, no sustitutos del criterio profesional.
• Los datos enviados a proveedores de IA se limitan al contexto clínico necesario para generar la respuesta. No se envían datos de identificación directa del paciente (nombre, cédula, teléfono) a los modelos de IA.
• Anthropic y OpenAI no utilizan los datos enviados a través de sus APIs para entrenar o mejorar sus modelos.
• Las interacciones con el agente conversacional (WhatsApp, web chat) se almacenan en la plataforma y están sujetas a las mismas medidas de seguridad y control de acceso que el resto de los datos clínicos.

14. Transferencia Internacional de Datos

Algunos de nuestros proveedores de servicios operan infraestructura fuera de Costa Rica. Conforme al artículo 14 de la Ley N.° 8968, las transferencias internacionales de datos se realizan únicamente a países u organizaciones que proporcionan niveles de protección adecuados, o bajo las garantías contractuales apropiadas.

Los proveedores actuales (Vercel, Supabase, Azure, Anthropic, OpenAI, Resend, Upstash, Sentry) operan infraestructura en Estados Unidos y/o la Unión Europea. Todos cumplen con estándares internacionales de protección de datos y mantienen acuerdos de procesamiento de datos con Molaris.

15. Notificación de Violaciones de Seguridad

En caso de una violación de seguridad que pueda afectar datos personales, Molaris:

• Notificará a las Organizaciones afectadas dentro de las 72 horas siguientes al conocimiento del incidente.
• Informará sobre la naturaleza de la violación, los datos potencialmente comprometidos y las medidas correctivas adoptadas.
• Notificará a la PRODHAB cuando la violación pueda representar un riesgo para los derechos de los titulares de los datos, conforme a la legislación vigente.

16. Cambios a esta Política

Nos reservamos el derecho de actualizar esta Política de Privacidad en cualquier momento para reflejar cambios en nuestras prácticas, tecnologías o requisitos legales. Cuando realicemos cambios significativos, notificaremos a los administradores de las clínicas registradas por correo electrónico con al menos 15 días naturales de antelación. La versión actualizada será publicada en esta misma página con la fecha de la última modificación.

17. Contacto y Autoridad de Control

Si tiene preguntas, inquietudes o solicitudes relacionadas con esta Política de Privacidad o con el tratamiento de sus datos personales, puede contactarnos en:

Si desea presentar una queja ante la autoridad de protección de datos: