Versión: 1.0 — Fecha de entrada en vigor: 25 de junio de 2026
Anexo 1 — Medidas Técnicas y Organizativas (TOMs)
| Categoría | Medidas (a confirmar conforme a la implementación real) |
|---|---|
| Cifrado | Cifrado en tránsito (TLS vigente); cifrado en reposo (AES-256) gestionado por los proveedores de infraestructura. |
| Control de acceso | Mínimo privilegio; segregación de funciones; revisión periódica de accesos. |
| Autenticación | Credenciales; autenticación reforzada (MFA) disponible/recomendada. |
| Segregación | Separación lógica de datos por cliente/cuenta. |
| Registro y monitoreo | Logs de eventos y accesos; monitoreo de anomalías; protección de Logs. |
| Backups y recuperación | Copias de respaldo diarias; pruebas de restauración; eliminación diferida. |
| Gestión de vulnerabilidades | Identificación, evaluación y remediación; control de dependencias. |
| Desarrollo seguro | Buenas prácticas de desarrollo y control de cambios. |
| Gestión de proveedores | Obligaciones equivalentes a Subprocesadores (Anexo 13). |
| Seguridad del personal | Confidencialidad; concienciación. |
| Gestión de incidentes | Procedimiento de respuesta (Anexo 14). |
| Continuidad | Medidas de continuidad y recuperación (RTO/RPO orientativos ≤ 24 horas). |
Se remite a la Parte VII y al Anexo B del DPA (Parte V).
Anexo 2 — Subprocesadores
Lista editable (coincide con el Anexo C del DPA):
| Subprocesador | Servicio | Ubicación |
|---|---|---|
| Vercel, Inc. | Alojamiento de la aplicación | Estados Unidos |
| Supabase, Inc. | Base de datos y almacenamiento | Estados Unidos |
| Anthropic, PBC | Modelos de lenguaje | Estados Unidos |
| OpenAI, L.L.C. | Transcripción de voz (Whisper) | Estados Unidos |
| Stripe, Inc. | Procesamiento de pagos | Estados Unidos |
| Resend (Plus Five Five, Inc.) | Envío de comunicaciones | Estados Unidos |
Anexo 3 — Categorías de datos
| Categoría | Rol de KORTHYX | Sensibilidad |
|---|---|---|
| Datos de cuenta / profesionales / contacto | Responsable | Datos personales |
| Datos de facturación | Responsable | Datos personales |
| Datos de pacientes / clínicos / de salud | Encargado | Categoría especial / sensible |
| Datos de voz o audio; Transcripciones | Encargado | Sensible / posible biométrico |
| Entradas del Usuario; Contenido Generado por IA | Según contenido | Variable |
| Datos técnicos / de uso / Logs | Responsable | Datos personales |
Se remite a la Parte IV y al Anexo A del DPA.
Anexo 4 — Finalidades
| Finalidad | Base legal (rol Responsable de KORTHYX) | Categorías típicas |
|---|---|---|
| Prestación del Servicio | Ejecución contractual | Cuenta, técnicos, contenido |
| Generación de documentación | (Determinada por el Responsable para datos de paciente) | Clínicos, voz, transcripciones |
| Seguridad y prevención de abuso | Interés legítimo / obligación legal | Técnicos, Logs |
| Facturación | Ejecución contractual / obligación legal | Facturación |
| Mejora del Servicio | Interés legítimo / datos agregados o anonimizados | Uso, analítica |
| Comunicaciones | Ejecución contractual / consentimiento (marketing) | Contacto |
Se remite a la Parte IV.
Anexo 5 — Retención
Se remite a la tabla de retención por tipo de dato de la Parte VIII, que forma parte de este Anexo por referencia.
Anexo 6 — Seguridad
Se remite a la Política de Seguridad (Parte VII) y al Anexo 1 (TOMs), que forman parte de este Anexo por referencia.
Anexo 7 — Inteligencia Artificial
A.7.1. Componentes (alto nivel): el Servicio emplea, según corresponda, transcripción de voz, extracción y estructuración de información, validación automatizada de apoyo, generación de documentación y verificación. El detalle de configuración constituye información técnica de KORTHYX.
A.7.2. Limitaciones y validación humana: aplican íntegramente las limitaciones y obligaciones del Aviso de IA (Parte VI), incluida la posibilidad de errores, omisiones y contenido fabricado, el carácter de apoyo y no exhaustivo de las comprobaciones, y la validación humana obligatoria.
Anexo 8 — Modelo de consentimiento del paciente (plantilla — adaptar con asesoría legal)
Aviso: Este es un modelo orientativo. Los requisitos de consentimiento de Datos de salud varían por jurisdicción; debe adaptarse y validarse con asesoría legal local. El Responsable del consentimiento es el Usuario profesional o la Organización, no KORTHYX.
CONSENTIMIENTO PARA EL TRATAMIENTO DE DATOS PERSONALES Y DE SALUD
Responsable del tratamiento: [Nombre del profesional / Organización], [datos de contacto].
Por el presente, yo, [nombre del Paciente o de su representante legal], declaro que se me ha informado de que mis datos personales y de salud serán tratados con la finalidad de documentar mi atención y gestionar mi información clínica, incluyendo el uso de una herramienta de software de apoyo a la documentación que utiliza inteligencia artificial (KORTHYX), la cual procesa la información por cuenta del Responsable y bajo sus instrucciones.
Se me ha informado, según corresponda, de: las categorías de datos tratados (incluidos datos de salud y, en su caso, grabaciones de voz); las finalidades; los destinatarios y proveedores que intervienen; las transferencias internacionales que puedan producirse; los plazos de conservación; y mis derechos (acceso, rectificación, supresión, oposición y demás que reconozca la legislación aplicable), así como la forma de ejercerlos ante el Responsable.
[ ] Consiento el tratamiento de mis datos de salud para las finalidades indicadas. [ ] Consiento específicamente el uso de grabaciones de voz, cuando aplique.
Firma del Paciente o representante: __________________ Fecha: ___________
Anexo 9 — Anexo para clínicas
La Clínica actúa como Responsable respecto de los Datos de sus Pacientes; es responsable de obtener el consentimiento (Anexo 8) o la base legal aplicable, de administrar Cuentas/roles/permisos, de la configuración apropiada del Servicio, de la supervisión de su personal y del cumplimiento de su normativa sanitaria y de protección de datos. Se remite a la Parte III (Capítulos 4, 24, 26 a 29) y al DPA (Parte V, Anexo E).
Anexo 10 — Anexo para médicos individuales
El Médico individual es responsable de mantener su habilitación, de la validación humana del Contenido Generado por IA, del consentimiento del Paciente cuando aplique, de la confidencialidad y del cumplimiento de la normativa de ejercicio. Cuando trate Datos de pacientes, actúa como Responsable, con KORTHYX como Encargado. Se remite a la Parte III (Capítulo 23) y a la Parte VI.
Anexo 11 — Anexo para hospitales
El Hospital, además de las obligaciones aplicables a las Clínicas (Anexo 9), atiende consideraciones de escala, gobernanza, integración con sistemas internos y políticas institucionales. La integración con sistemas de expediente requiere contrato específico (Parte VI, Sección 8) y se rige por el DPA (Parte V).
Anexo 12 — Anexo para integraciones
Las integraciones habilitadas por el Usuario implican el intercambio de los datos necesarios con servicios de terceros, que se rigen por sus propios términos. El Usuario autoriza la integración, es responsable de evaluar la seguridad del tercero y reconoce que KORTHYX no responde por dichos terceros. Se remite a la Parte III (Capítulos 36 y 37) y a la Parte VII (Capítulo 20).
Anexo 13 — Anexo para proveedores externos
KORTHYX impone a sus Subprocesadores y proveedores, mediante contrato, obligaciones de protección de datos y seguridad equivalentes a las del Paquete Legal, y permanece responsable de su cumplimiento frente al Responsable, conforme al DPA (Parte V, Cláusula 8).
Anexo 14 — Anexo de respuesta ante incidentes
Procedimiento general (a detallar conforme a la operación real):
- Detección y registro del Incidente de seguridad.
- Contención y medidas inmediatas para limitar el impacto.
- Evaluación del alcance: categorías y volumen de datos y de Titulares afectados, y consecuencias probables.
- Notificación al Responsable sin demora indebida (Parte V, Cláusula 12) y, cuando proceda, a las autoridades y a los Titulares de datos (Parte IV, Capítulos 84 y 85), dentro de los plazos legales.
- Mitigación y remediación, incluida la corrección de causas.
- Registro y lecciones aprendidas, con mejora de las medidas.