← Documentos legales

Anexos Técnicos

Versión 1.0 · Última actualización: 25 de junio de 2026

Versión: 1.0 — Fecha de entrada en vigor: 25 de junio de 2026


Anexo 1 — Medidas Técnicas y Organizativas (TOMs)

CategoríaMedidas (a confirmar conforme a la implementación real)
CifradoCifrado en tránsito (TLS vigente); cifrado en reposo (AES-256) gestionado por los proveedores de infraestructura.
Control de accesoMínimo privilegio; segregación de funciones; revisión periódica de accesos.
AutenticaciónCredenciales; autenticación reforzada (MFA) disponible/recomendada.
SegregaciónSeparación lógica de datos por cliente/cuenta.
Registro y monitoreoLogs de eventos y accesos; monitoreo de anomalías; protección de Logs.
Backups y recuperaciónCopias de respaldo diarias; pruebas de restauración; eliminación diferida.
Gestión de vulnerabilidadesIdentificación, evaluación y remediación; control de dependencias.
Desarrollo seguroBuenas prácticas de desarrollo y control de cambios.
Gestión de proveedoresObligaciones equivalentes a Subprocesadores (Anexo 13).
Seguridad del personalConfidencialidad; concienciación.
Gestión de incidentesProcedimiento de respuesta (Anexo 14).
ContinuidadMedidas de continuidad y recuperación (RTO/RPO orientativos ≤ 24 horas).

Se remite a la Parte VII y al Anexo B del DPA (Parte V).

Anexo 2 — Subprocesadores

Lista editable (coincide con el Anexo C del DPA):

SubprocesadorServicioUbicación
Vercel, Inc.Alojamiento de la aplicaciónEstados Unidos
Supabase, Inc.Base de datos y almacenamientoEstados Unidos
Anthropic, PBCModelos de lenguajeEstados Unidos
OpenAI, L.L.C.Transcripción de voz (Whisper)Estados Unidos
Stripe, Inc.Procesamiento de pagosEstados Unidos
Resend (Plus Five Five, Inc.)Envío de comunicacionesEstados Unidos

Anexo 3 — Categorías de datos

CategoríaRol de KORTHYXSensibilidad
Datos de cuenta / profesionales / contactoResponsableDatos personales
Datos de facturaciónResponsableDatos personales
Datos de pacientes / clínicos / de saludEncargadoCategoría especial / sensible
Datos de voz o audio; TranscripcionesEncargadoSensible / posible biométrico
Entradas del Usuario; Contenido Generado por IASegún contenidoVariable
Datos técnicos / de uso / LogsResponsableDatos personales

Se remite a la Parte IV y al Anexo A del DPA.

Anexo 4 — Finalidades

FinalidadBase legal (rol Responsable de KORTHYX)Categorías típicas
Prestación del ServicioEjecución contractualCuenta, técnicos, contenido
Generación de documentación(Determinada por el Responsable para datos de paciente)Clínicos, voz, transcripciones
Seguridad y prevención de abusoInterés legítimo / obligación legalTécnicos, Logs
FacturaciónEjecución contractual / obligación legalFacturación
Mejora del ServicioInterés legítimo / datos agregados o anonimizadosUso, analítica
ComunicacionesEjecución contractual / consentimiento (marketing)Contacto

Se remite a la Parte IV.

Anexo 5 — Retención

Se remite a la tabla de retención por tipo de dato de la Parte VIII, que forma parte de este Anexo por referencia.

Anexo 6 — Seguridad

Se remite a la Política de Seguridad (Parte VII) y al Anexo 1 (TOMs), que forman parte de este Anexo por referencia.

Anexo 7 — Inteligencia Artificial

A.7.1. Componentes (alto nivel): el Servicio emplea, según corresponda, transcripción de voz, extracción y estructuración de información, validación automatizada de apoyo, generación de documentación y verificación. El detalle de configuración constituye información técnica de KORTHYX.

A.7.2. Limitaciones y validación humana: aplican íntegramente las limitaciones y obligaciones del Aviso de IA (Parte VI), incluida la posibilidad de errores, omisiones y contenido fabricado, el carácter de apoyo y no exhaustivo de las comprobaciones, y la validación humana obligatoria.

Anexo 8 — Modelo de consentimiento del paciente (plantilla — adaptar con asesoría legal)

Aviso: Este es un modelo orientativo. Los requisitos de consentimiento de Datos de salud varían por jurisdicción; debe adaptarse y validarse con asesoría legal local. El Responsable del consentimiento es el Usuario profesional o la Organización, no KORTHYX.


CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS PERSONALES Y DE SALUD

Responsable del tratamiento: [Nombre del profesional / Organización], [datos de contacto].

Por el presente, yo, [nombre del Paciente o de su representante legal], declaro que se me ha informado de que mis datos personales y de salud serán tratados con la finalidad de documentar mi atención y gestionar mi información clínica, incluyendo el uso de una herramienta de software de apoyo a la documentación que utiliza inteligencia artificial (KORTHYX), la cual procesa la información por cuenta del Responsable y bajo sus instrucciones.

Se me ha informado, según corresponda, de: las categorías de datos tratados (incluidos datos de salud y, en su caso, grabaciones de voz); las finalidades; los destinatarios y proveedores que intervienen; las transferencias internacionales que puedan producirse; los plazos de conservación; y mis derechos (acceso, rectificación, supresión, oposición y demás que reconozca la legislación aplicable), así como la forma de ejercerlos ante el Responsable.

[ ] Consiento el tratamiento de mis datos de salud para las finalidades indicadas. [ ] Consiento específicamente el uso de grabaciones de voz, cuando aplique.

Firma del Paciente o representante: __________________ Fecha: ___________


Anexo 9 — Anexo para clínicas

La Clínica actúa como Responsable respecto de los Datos de sus Pacientes; es responsable de obtener el consentimiento (Anexo 8) o la base legal aplicable, de administrar Cuentas/roles/permisos, de la configuración apropiada del Servicio, de la supervisión de su personal y del cumplimiento de su normativa sanitaria y de protección de datos. Se remite a la Parte III (Capítulos 4, 24, 26 a 29) y al DPA (Parte V, Anexo E).

Anexo 10 — Anexo para médicos individuales

El Médico individual es responsable de mantener su habilitación, de la validación humana del Contenido Generado por IA, del consentimiento del Paciente cuando aplique, de la confidencialidad y del cumplimiento de la normativa de ejercicio. Cuando trate Datos de pacientes, actúa como Responsable, con KORTHYX como Encargado. Se remite a la Parte III (Capítulo 23) y a la Parte VI.

Anexo 11 — Anexo para hospitales

El Hospital, además de las obligaciones aplicables a las Clínicas (Anexo 9), atiende consideraciones de escala, gobernanza, integración con sistemas internos y políticas institucionales. La integración con sistemas de expediente requiere contrato específico (Parte VI, Sección 8) y se rige por el DPA (Parte V).

Anexo 12 — Anexo para integraciones

Las integraciones habilitadas por el Usuario implican el intercambio de los datos necesarios con servicios de terceros, que se rigen por sus propios términos. El Usuario autoriza la integración, es responsable de evaluar la seguridad del tercero y reconoce que KORTHYX no responde por dichos terceros. Se remite a la Parte III (Capítulos 36 y 37) y a la Parte VII (Capítulo 20).

Anexo 13 — Anexo para proveedores externos

KORTHYX impone a sus Subprocesadores y proveedores, mediante contrato, obligaciones de protección de datos y seguridad equivalentes a las del Paquete Legal, y permanece responsable de su cumplimiento frente al Responsable, conforme al DPA (Parte V, Cláusula 8).

Anexo 14 — Anexo de respuesta ante incidentes

Procedimiento general (a detallar conforme a la operación real):

  1. Detección y registro del Incidente de seguridad.
  2. Contención y medidas inmediatas para limitar el impacto.
  3. Evaluación del alcance: categorías y volumen de datos y de Titulares afectados, y consecuencias probables.
  4. Notificación al Responsable sin demora indebida (Parte V, Cláusula 12) y, cuando proceda, a las autoridades y a los Titulares de datos (Parte IV, Capítulos 84 y 85), dentro de los plazos legales.
  5. Mitigación y remediación, incluida la corrección de causas.
  6. Registro y lecciones aprendidas, con mejora de las medidas.