POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES DE EXTREMED INNOVACION S.A.S.

Fecha de Elaboración: 3 de octubre de 2025

En EXTREMED INNOVACION S.A.S., con sede en Ecuador, valoramos y protegemos su privacidad y sus datos personales. Esta política describe cómo recopilamos, utilizamos, almacenamos, protegemos y compartimos la información que usted nos proporciona a través de nuestro sitio web, en estricto cumplimiento con la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador y adoptando los estándares más rigurosos de normativas internacionales como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la California Consumer Privacy Act (CCPA/CPRA) de California, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México, la Ley Estatutaria 1581 de 2012 de Colombia, la Ley General de Protección de Datos (LGPD) de Brasil, la Ley N° 21.719 de Chile y la Health Insurance Portability and Accountability Act (HIPAA) de EE. UU.

1. Información del Responsable del Tratamiento

  • Si usted desea información detallada por favor comuníquese a nuestro correo oficial: 
  • Correo electrónico: dataprotection@xmdglobal.com

2. Datos Personales que Recopilamos

A través de nuestro sitio web, podemos recopilar los siguientes datos personales:

  • Datos de Contacto: Nombre completo, dirección de correo electrónico, número de teléfono (opcional), dirección física (si se solicita para fines específicos como envío de productos o servicios a domicilio).
  • Datos de Uso del Sitio Web: Información sobre cómo interactúa con nuestro sitio web (ej. páginas visitadas, tiempo de permanencia, dirección IP, tipo de navegador) a través de cookies y tecnologías similares. Para más detalles, consulte nuestra Política de Cookies.
  • Contenido de Comunicaciones: Mensajes, consultas o comentarios que nos envíe a través de formularios de contacto, chats en línea o correo electrónico.
  • Datos Sensibles (si aplica): No solicitamos intencionalmente datos sensibles (como origen racial o étnico, opiniones políticas, creencias religiosas, datos de salud, datos biométricos o genéticos) a través de los formularios generales del sitio web. Sin embargo, si usted decide incluir este tipo de información en su mensaje o si la naturaleza de su consulta (ej. servicios de telemedicina) lo requiere, entendemos que nos otorga su consentimiento explícito para su tratamiento con la finalidad de responder a su consulta o prestar el servicio solicitado, siempre bajo las más estrictas medidas de seguridad y confidencialidad, y en cumplimiento con HIPAA si se trata de Información de Salud Protegida (PHI).

3. Finalidad del Tratamiento de sus Datos Personales

Los datos personales que nos proporcione serán tratados exclusivamente para las siguientes finalidades:

  • Gestionar y responder a sus consultas, solicitudes de información o comentarios enviados a través de los formularios de contacto o chat en línea.
  • Proveer los servicios o productos solicitados a través del sitio web, incluyendo servicios de telemedicina si aplica.
  • Mejorar la calidad de nuestro sitio web y servicios, analizando la interacción de los usuarios.
  • Mantener un registro de nuestras comunicaciones para fines de servicio al cliente y cumplimiento legal.
  • Enviar información relevante sobre nuestros productos, servicios o promociones, solo si ha dado su consentimiento expreso para recibir comunicaciones comerciales.
  • Cumplir con obligaciones legales y contractuales.

4. Base Legal para el Tratamiento

El tratamiento de sus datos personales se realiza bajo las siguientes bases legales:

  • Su consentimiento expreso: Al enviar un formulario de contacto o aceptar nuestra política de privacidad y cookies. Para datos sensibles, el consentimiento será explícito.
  • Ejecución de un contrato o medidas precontractuales: Cuando el tratamiento sea necesario para la provisión de un servicio o producto solicitado por usted.
  • Cumplimiento de una obligación legal o reglamentaria: Cuando la ley nos exija tratar sus datos.
  • Interés legítimo: Cuando el tratamiento sea necesario para satisfacer intereses legítimos de EXTREMED INNOVACION S.A.S. (ej. comunicación, mejora de servicios, prevención de fraude), siempre que sus derechos y libertades fundamentales no prevalezcan.

5. Destinatarios de los Datos Personales

Sus datos personales no serán compartidos, vendidos ni transferidos a terceros, salvo en los siguientes casos:

  • Cuando sea necesario para cumplir con una obligación legal o requerimiento de una autoridad competente.
  • A proveedores de servicios que actúen como Encargados del Tratamiento (servicios de hosting, plataformas de gestión de relaciones con clientes, servicios de análisis web), con quienes hemos suscrito los correspondientes acuerdos de confidencialidad y protección de datos que garantizan que sus datos serán tratados bajo nuestras instrucciones y con las medidas de seguridad adecuadas.
  • Si su consulta o el servicio solicitado involucra Información de Salud Protegida (PHI) y estamos actuando como Entidad Cubierta o Asociado Comercial bajo HIPAA, sus datos solo serán divulgados conforme a las reglas de HIPAA y con un Acuerdo de Asociado Comercial (BAA) si aplica.

6. Transferencias Internacionales de Datos

En caso de que sus datos personales sean transferidos a países fuera de Ecuador, nos aseguraremos de que dichas transferencias cumplan con las normativas aplicables (LOPDP, RGPD, etc.), implementando garantías adecuadas (cláusulas contractuales tipo, normas corporativas vinculantes) o asegurando que el país receptor ofrezca un nivel de protección adecuado. Si se trata de PHI, garantizamos que las salvaguardas de seguridad y privacidad de HIPAA se mantendrán en el país receptor.

7. Plazo de Conservación de los Datos

Sus datos personales serán conservados durante el tiempo estrictamente necesario para cumplir con la finalidad para la cual fueron recopilados y para atender posibles responsabilidades legales derivadas del tratamiento. Una vez cumplida la finalidad, sus datos serán suprimidos o anonimizados de forma segura, a menos que exista una obligación legal que exija su conservación por un período mayor.

8. Sus Derechos como Titular de Datos

Usted tiene derecho a ejercer los siguientes derechos en relación con sus datos personales:

  • Acceso: Conocer si estamos tratando sus datos y acceder a ellos.
  • Rectificación: Solicitar la corrección de datos inexactos o incompletos.
  • Supresión (Derecho al Olvido): Solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
  • Oposición: Oponerse al tratamiento de sus datos para fines específicos (ej. marketing directo).
  • Portabilidad: Recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
  • Limitación del Tratamiento: Solicitar la restricción del tratamiento de sus datos bajo ciertas condiciones.
  • No ser objeto de decisiones automatizadas: Oponerse a decisiones basadas únicamente en el tratamiento automatizado que le afecten significativamente.
  • Revocar el Consentimiento: Retirar su consentimiento en cualquier momento, si el tratamiento se basa en él.
  • Derechos específicos de HIPAA (si aplica): Acceder a su PHI, solicitar enmiendas, recibir un aviso de prácticas de privacidad, solicitar restricciones en el uso/divulgación, y solicitar una contabilidad de divulgaciones.

Para ejercer estos derechos, envíe una solicitud por escrito a privacidad@extremed.ec, adjuntando una copia de su documento de identidad. Responderemos dentro de los plazos establecidos por la normativa de cada país:

  • Ecuador (LOPD): 15 días.
  • Unión Europea (RGPD): Generalmente 1 mes, prorrogable a 2 meses.
  • California (CCPA/CPRA): 45 días, prorrogable por 45 días adicionales.
  • México (LFPDPPP): 20 días hábiles para respuesta, 15 días hábiles para efectivizar.
  • Colombia (Ley 1581): 15 días hábiles.
  • Brasil (LGPD): 15 días.
  • Chile (Ley 21.719): 30 días corridos.
  • HIPAA (EE. UU.): Generalmente 30 días para acceso a PHI.

9. Medidas de Seguridad

Hemos implementado medidas de seguridad técnicas, organizativas y físicas adecuadas para proteger sus datos personales contra el acceso no autorizado, la alteración, la divulgación o la destrucción. Esto incluye el cifrado de datos, el control de acceso, la autenticación multifactor (MFA), respaldos de datos y la realización de auditorías de seguridad periódicas, prestando especial atención a las salvaguardas de seguridad de HIPAA si manejamos PHI.

10. Notificación de Vulneraciones de Seguridad

En caso de una brecha de seguridad que comprometa sus datos personales y ponga en riesgo sus derechos y libertades, le informaremos a usted y a la autoridad de control pertinente de inmediato, cumpliendo con los plazos y formatos establecidos por la legislación aplicable.

A continuación, se detallan los plazos y destinatarios de las notificaciones según la normativa de cada jurisdicción:

  • Ecuador (LOPD): Autoridad (72 horas) y titulares (si el riesgo es alto).
  • Unión Europea (RGPD): Autoridad (72 horas) y titulares (si el riesgo es alto).
  • California (CCPA/CPRA): Afectados de manera oportuna.
  • México (LFPDPPP): Al responsable.
  • Colombia (Ley 1581): Superintendencia de Industria y Comercio.
  • Brasil (LGPD): Autoridad (sin dilación indebida) y titulares (si el riesgo es alto).
  • Chile (Ley 21.719): Autoridad (sin dilación indebida) y titulares (si el riesgo es alto).
  • HIPAA (EE. UU.): Individuos, HHS (y medios de comunicación en algunos casos) en plazos específicos (generalmente 60 días).

11. Cambios a esta Política de Privacidad

Nos reservamos el derecho de modificar esta política de privacidad en cualquier momento para adaptarla a novedades legislativas o jurisprudenciales, así como a prácticas de la industria. Le recomendamos revisar esta política periódicamente. Cualquier cambio significativo será notificado a través de nuestro sitio web y, si aplica, por correo electrónico.