Política de Privacidad

Última actualización: 17 de marzo de 2026

1. Introducción

En Pavla valoramos la privacidad y la protección de los datos personales. Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos y protegemos los datos personales de los Usuarios y de los pacientes cuyos datos son gestionados a través de la Plataforma.

Pavla es una herramienta tecnológica de gestión clínica y no presta servicios de salud, ni establece relación directa con los pacientes del Usuario.

2. Responsable del tratamiento de datos

El responsable de la base de datos es:

Razón Social: [Nombre legal / Empresa]
CUIT: [●]
Domicilio: [●]
Email de contacto: contacto@pavla.com

Autoridad de control: Agencia de Acceso a la Información Pública (AAIP)

3. Alcance de esta política

Esta Política se aplica a:

Datos personales del Usuario (psicólogo/a).
Datos personales y datos sensibles de pacientes, cargados por el Usuario en el ejercicio de su práctica profesional.

Los pacientes no son Usuarios de Pavla ni tienen relación contractual directa con la Plataforma.

4. Datos personales que se recopilan

4.1 Datos del Usuario

Nombre y apellido
Email
Datos profesionales (matrícula, especialidad)
Datos de facturación
Credenciales de acceso
Información técnica (IP, navegador, logs)

4.2 Datos de pacientes (datos sensibles)

Identificación básica (nombre, edad, contacto)
Historia clínica
Registros de sesiones
Notas clínicas
Documentos y archivos
Imágenes cargadas para OCR

Los datos sensibles de pacientes se almacenan cifrados de extremo a extremo. Pavla no puede acceder al contenido en texto legible.

5. Base legal para el tratamiento

El tratamiento de datos se basa en:

El consentimiento del Usuario.
La necesidad de prestar los servicios contratados.
El cumplimiento de obligaciones legales (Ley 25.326 y Ley 26.529).
El ejercicio legítimo de la actividad profesional del Usuario.

El Usuario es responsable de contar con el consentimiento informado de sus pacientes, incluyendo representantes legales cuando corresponda.

6. Finalidades del tratamiento

Los datos se tratan exclusivamente para:

Proveer las funcionalidades de Pavla.
Gestionar cuentas, suscripciones y pagos.
Almacenar y organizar información clínica.
Procesar documentos mediante OCR.
Seguridad, auditoría y prevención de fraude.
Cumplimiento legal y técnico.

7. Confidencialidad y acceso a los datos

Pavla:

No vende ni comercializa datos personales.
No puede acceder al contenido clínico cifrado. Debido al cifrado de extremo a extremo, los datos sensibles solo existen en texto legible dentro del navegador del Usuario.
Implementa controles de acceso por usuario (aislamiento de datos).

Solo podrán acceder a datos:

Proveedores tecnológicos bajo acuerdos de confidencialidad.
Autoridades judiciales mediante orden válida.

8. Proveedores y transferencias internacionales

Pavla utiliza servicios de terceros que pueden implicar transferencia internacional de datos, incluyendo:

Vercel (hosting)
Supabase (base de datos y almacenamiento)
Google (Calendar / Meet)
Rebill (pagos)
Sentry (errores técnicos)

Los datos pueden alojarse en servidores ubicados en Estados Unidos u otros países, bajo garantías contractuales adecuadas conforme a la Ley 25.326.

9. Seguridad de la información

Pavla implementa medidas técnicas y organizativas, incluyendo:

Cifrado de extremo a extremo (AES-256-GCM) de datos sensibles en el navegador del Usuario.
Derivación de claves con PBKDF2-SHA256 (600.000 iteraciones) conforme estándares OWASP 2023.
Cifrado de archivos antes de su carga al servidor.
Cifrado TLS en tránsito.
Control de acceso autenticado.
Row-Level Security (RLS).
Almacenamiento privado de archivos.
Validaciones de datos.
Monitoreo de errores técnicos.

10.1 Cifrado del lado del cliente

Datos cifrados

Nombre completo, email, teléfono, dirección, contacto de emergencia, notas, género y obra social de pacientes; notas de sesión, objetivos, intervenciones, tareas y notas de progreso; notas rápidas; títulos y texto OCR de documentos (y los archivos en sí); matrícula, teléfono y dirección del consultorio del profesional.

Modelo de claves

La contraseña del Usuario genera una clave derivada (PDK) que protege una clave maestra (MEK). La MEK cifra todos los datos sensibles. Ni la contraseña ni la MEK se transmiten al servidor en forma legible.

Clave de recuperación

Durante la configuración inicial se genera una clave de recuperación que permite restaurar el acceso a los datos cifrados en caso de olvido de contraseña.

Implicancia

Pavla no puede descifrar los datos almacenados. La pérdida de la contraseña y la clave de recuperación implica la pérdida definitiva de los datos cifrados.

10. Incidentes de seguridad

En caso de un incidente que comprometa datos personales o sensibles, Pavla notificará al Usuario en un plazo razonable, informando las medidas correctivas adoptadas.

11. Conservación de los datos

Los datos se conservan mientras la cuenta esté activa.
El Usuario puede solicitar la supresión de su cuenta y datos.
La eliminación se realizará dentro de los 30 días hábiles.
Backups técnicos podrán mantenerse hasta 12 meses.
La obligación de conservación legal de la historia clínica corresponde exclusivamente al Usuario.

12. Derechos de los titulares de datos

Conforme a la Ley 25.326, los titulares tienen derecho a:

Acceso
Rectificación
Actualización
Supresión
Oposición

Las solicitudes pueden realizarse a: contacto@pavla.com

13. Cookies y datos técnicos

Pavla utiliza cookies y tecnologías similares para:

Mantener sesiones activas.
Mejorar la experiencia de uso.
Seguridad y análisis técnico.

El Usuario puede configurar su navegador para rechazar cookies, lo que puede afectar el funcionamiento de la Plataforma.

14. Cambios en esta Política

Pavla podrá modificar esta Política de Privacidad.

Los cambios sustanciales serán notificados con al menos 30 días de anticipación.

15. Contacto

Para consultas relacionadas con esta Política:

Contacto

contacto@pavla.com

[Domicilio legal completo]

Volver al inicio