← Documentos legales

Anexos Regionales

Versión 1.0 · Última actualización: 25 de junio de 2026

Versión: 1.0 — Fecha de entrada en vigor: 25 de junio de 2026


Ámbito de aplicación actual

KORTHYX opera actualmente únicamente en la República Dominicana (Anexo G). Los demás anexos de esta Parte se incluyen con carácter orientativo y solo resultarán aplicables si KORTHYX llega a ofrecer el Servicio en la jurisdicción correspondiente, previa adaptación con asesoría legal local. Las menciones a representantes, autoridades o mecanismos de transferencia de jurisdicciones distintas de la República Dominicana no implican que KORTHYX opere actualmente en ellas.

Anexo A — Unión Europea (GDPR)

Marco: Reglamento (UE) 2016/679 (GDPR). Autoridad: la autoridad de control del Estado miembro correspondiente. Rol de KORTHYX: Encargado (Datos de pacientes) / Responsable (datos de cuenta). Bases legales: art. 6 y, para Datos de salud, art. 9 (por ejemplo, consentimiento explícito u otra excepción aplicable). Derechos: arts. 15 a 22 (acceso, rectificación, supresión, limitación, portabilidad, oposición, decisiones automatizadas). Transferencias: Capítulo V (decisión de adecuación, SCCs versión 2021 con el módulo correspondiente, BCRs). Plazos: aprox. 1 mes (prorrogable 2). Brechas: notificación en 72 horas. Adaptaciones: de resultar exigibles, designar Representante en la UE (art. 27) y DPO. (No aplicable mientras KORTHYX no ofrezca el Servicio en la UE.)

Anexo B — Reino Unido (UK GDPR)

Marco: UK GDPR y Data Protection Act 2018. Autoridad: ICO. Transferencias: IDTA (International Data Transfer Agreement) o Addendum del Reino Unido a las SCCs. Adaptaciones: de resultar exigible, designar Representante en el Reino Unido. El resto del régimen es análogo al Anexo A. (No aplicable mientras KORTHYX no ofrezca el Servicio en el Reino Unido.)

Anexo C — Estados Unidos (incl. HIPAA-aware)

Marco: No existe una ley federal general de privacidad; aplica un mosaico de leyes estatales y sectoriales. HIPAA aplica a covered entities y business associates respecto de información de salud protegida (PHI). Rol de KORTHYX: KORTHYX solo quedaría sujeto a HIPAA si presta servicios a covered entities, en cuyo caso se requiere un Business Associate Agreement (BAA) (Parte V, Anexo D). KORTHYX no afirma cumplimiento HIPAA salvo la celebración de un BAA. Diversas leyes estatales de privacidad pueden aplicar según la residencia de los titulares. Adaptaciones: evaluar la exposición estatal y la necesidad de BAA.

Anexo D — California (CCPA/CPRA)

Marco: CCPA, reformada por CPRA. Aplicabilidad: empresas que cumplan los umbrales aplicables (ingresos, volumen de datos o venta/compartición). Derechos: conocer, eliminar, corregir, optar por no vender/compartir, y limitar el uso de información personal sensible. Plazos: acuse en 10 días hábiles; respuesta sustantiva en 45 días (prorrogable 45). No discriminación. Aviso en o antes de la recolección. Rol de KORTHYX: posible service provider, mediante contrato que restrinja el uso de la información a la finalidad. Adaptaciones: verificar si se superan los umbrales.

Anexo E — Canadá (PIPEDA)

Marco: PIPEDA (federal), basado en el consentimiento; autoridad: OPC. Algunas provincias cuentan con leyes "sustancialmente similares" (por ejemplo, Quebec — Ley 25, Columbia Británica y Alberta), que pueden ser más estrictas. Derechos: acceso y corrección. Transferencias: permitidas con responsabilidad continua de la organización. Adaptaciones: considerar la Ley 25 de Quebec y la modernización federal en curso.

Anexo F — Brasil (LGPD)

Marco: Lei 13.709/2018 (LGPD). Autoridad: ANPD. Bases legales: art. 7 y, para datos sensibles de salud, art. 11. Derechos: art. 18. Rol de KORTHYX: Operador (Encargado) / Controlador (Responsable). Transferencias: art. 33 (adecuación, cláusulas contractuales, normas corporativas u otros). Plazos: 15 días. Adaptaciones: designar Encarregado (DPO) cuando proceda. (No aplicable mientras KORTHYX no ofrezca el Servicio en Brasil.)

Anexo G — República Dominicana (Ley 172-13)

Marco: Ley No. 172-13 sobre Protección de Datos de Carácter Personal. Jurisdicción principal por defecto. Los Datos de salud se consideran datos sensibles. Derechos: acceso, rectificación, cancelación y oposición, y acción de habeas data. Rol de KORTHYX: Encargado / Responsable según el caso. Transferencias: conforme a la Ley. Adaptaciones: la Ley 172-13 contempla un órgano de control; a la fecha, la República Dominicana no cuenta con una autoridad de protección de datos de alcance general plenamente operativa (la supervisión de los bancos de datos de crédito corresponde a la Superintendencia de Bancos). KORTHYX trata los Datos de salud como datos sensibles, aplica medidas de seguridad reforzadas y recaba, a través del Usuario Responsable, el consentimiento del Paciente.

Anexo H — México (LFPDPPP)

Marco: Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento. Autoridad: verificar la autoridad competente vigente (su marco institucional ha sido objeto de cambios recientes). Derechos: ARCO. Aviso de Privacidad obligatorio. Los datos sensibles (salud) requieren consentimiento expreso y por escrito. Rol de KORTHYX: Encargado / Responsable. Transferencias: con aviso y condiciones aplicables.

Anexo I — Colombia (Ley 1581 de 2012)

Marco: Ley 1581 de 2012 y Decreto 1377 de 2013. Autoridad: Superintendencia de Industria y Comercio (SIC). Los datos sensibles (salud) requieren autorización reforzada. Derechos: habeas data (conocer, actualizar, rectificar, suprimir, revocar). Registro: verificar la obligación de Registro Nacional de Bases de Datos (RNBD). Transferencias/transmisiones internacionales con condiciones.

Anexo J — Chile (Ley 19.628 y nueva Ley 21.719)

Marco: Ley 19.628 (vigente) y la nueva Ley 21.719, que crea la Agencia de Protección de Datos Personales y moderniza el régimen, con entrada en vigor diferida. Régimen en transición. Los datos de salud reciben protección reforzada. Adaptaciones: verificar la fecha de vigencia y las nuevas obligaciones (bases legales, derechos, transferencias, registro y régimen sancionatorio).

Anexo K — Argentina (Ley 25.326)

Marco: Ley 25.326 y disposiciones de la AAIP (Agencia de Acceso a la Información Pública). Los datos sensibles (salud) reciben protección reforzada. Derechos: acceso, rectificación, actualización y supresión. Registro de bases de datos. Transferencias: a países con protección adecuada o con garantías. Adaptaciones: atender los proyectos de reforma en curso.

Anexo L — Perú (Ley 29733)

Marco: Ley 29733 y su Reglamento. Autoridad: Autoridad Nacional de Protección de Datos Personales. Los datos sensibles (salud) requieren consentimiento. Registro de bancos de datos. Derechos: ARCO.

Anexo M — Caribe y Centroamérica

Los marcos del Caribe y Centroamérica son heterogéneos y en desarrollo: algunos países cuentan con leyes integrales de protección de datos (varias inspiradas en el GDPR) y otros con marcos parciales o sin marco integral. Adaptaciones: se requiere un análisis país por país con asesoría local antes de ofrecer el Servicio en cada jurisdicción.

Anexo N — Usuarios internacionales

Para las jurisdicciones no cubiertas expresamente, aplican los principios generales del Paquete Legal y la normativa local correspondiente. El Usuario es responsable de cumplir la legislación que le resulte aplicable, y KORTHYX adaptará el tratamiento según corresponda y conforme a la legislación local.

Anexo O — Transferencias internacionales

Mecanismos de legitimación, según la jurisdicción: decisiones de adecuación; SCCs (UE, versión 2021) y IDTA/Addendum (Reino Unido); cláusulas o garantías equivalentes en regímenes latinoamericanos; consentimiento explícito cuando proceda; o necesidad contractual. Cuando corresponda, se realizará una evaluación de impacto de la transferencia y se adoptarán medidas suplementarias. Se remite a la Cláusula 9 del DPA (Parte V).

Anexo P — Datos de salud

Los Datos de salud se tratan como categoría especial / dato sensible en las jurisdicciones cubiertas, lo que exige una base legal reforzada (por ejemplo, consentimiento explícito u otra excepción), medidas de seguridad reforzadas y, cuando proceda, evaluaciones de impacto. En EE.UU., el tratamiento de PHI bajo HIPAA requiere un BAA. Se remite a la Parte VI (Aviso de IA) y al Anexo D del DPA (Parte V).

Anexo Q — Derechos de privacidad por región (cuadro comparativo)

JurisdicciónAutoridadDerechos principalesPlazo de respuestaMecanismo de transferencia
UE (GDPR)Autoridad de control del Estado miembroAcceso, rectificación, supresión, limitación, portabilidad, oposición, decisiones automatizadas~1 mes (+2)Adecuación / SCCs 2021 / BCRs
Reino Unido (UK GDPR)ICOAnálogos a UE~1 mes (+2)IDTA / Addendum UK
California (CCPA/CPRA)CPPA / AGConocer, eliminar, corregir, opt-out venta/compartir, limitar PI sensible45 días (+45)Contrato de service provider
Canadá (PIPEDA)OPCAcceso, correcciónRazonableResponsabilidad continua
Brasil (LGPD)ANPDArt. 18 (acceso, corrección, eliminación, portabilidad, etc.)15 díasArt. 33 (adecuación / cláusulas)
Rep. Dominicana (172-13)Órgano de control de la Ley 172-13 (sin autoridad general plenamente operativa a la fecha)Acceso, rectificación, cancelación, oposición; habeas dataPlazo razonable conforme a la Ley 172-13Conforme a la Ley 172-13
México (LFPDPPP)Autoridad competente vigente (marco institucional en revisión)ARCO20 días hábilesCon aviso
Colombia (1581)SICHabeas data (conocer, actualizar, rectificar, suprimir, revocar)15 días hábilesCon condiciones
Chile (19.628 / 21.719)Agencia de Protección de Datos (nueva)En transiciónEn transiciónEn transición
Argentina (25.326)AAIPAcceso, rectificación, actualización, supresión10 días corridosPaíses adecuados / garantías
Perú (29733)Autoridad NacionalARCOSegún el ReglamentoCon condiciones

Para las jurisdicciones distintas de la República Dominicana, los datos de este cuadro son orientativos y deberán confirmarse con asesoría local antes de ofrecer el Servicio en ellas.