Política de Privacidad
Última actualización: Julio 2026
1. Introducción
Bienvenido a MiraAssure, una plataforma de Sistema de Gestión de Calidad (QMS) de grado médico desarrollada y operada por MiraCentral S.A., con sede en San José, Costa Rica. Nos especializamos en brindar soluciones de cumplimiento regulatorio para fabricantes de dispositivos médicos (MedTech) en América Latina y el Caribe.
Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos, compartimos y protegemos su información personal cuando usted utiliza nuestra plataforma MiraAssure, nuestro sitio web, aplicaciones móviles y servicios relacionados (colectivamente, los "Servicios").
Nos comprometemos a proteger su privacidad y a tratar sus datos personales de conformidad con el Reglamento General de Protección de Datos de la Unión Europea (GDPR), la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales de Costa Rica (Ley 8968), y demás normativas aplicables en las jurisdicciones donde operamos.
Al utilizar nuestros Servicios, usted acepta las prácticas descritas en esta Política de Privacidad. Si no está de acuerdo con alguna de estas prácticas, le solicitamos que no utilice nuestros Servicios.
2. Información que Recopilamos
2.1 Información Personal que Usted nos Proporciona
Cuando usted se registra, utiliza nuestros Servicios o se comunica con nosotros, podemos recopilar:
- Datos de identificación: nombre completo, cargo, dirección de correo electrónico corporativo, número de teléfono y nombre de la empresa u organización.
- Datos de cuenta: credenciales de acceso (correo electrónico y contraseña encriptada), preferencias de configuración, rol asignado dentro del sistema y permisos de acceso.
- Datos de firma electrónica: registros biométricos de autenticación (huella digital, reconocimiento facial) utilizados exclusivamente para la verificación de identidad en el proceso de firma electrónica conforme al 21 CFR Part 11.
- Contenido generado: documentos, comentarios, notas de auditoría, registros de capacitación y cualquier otro contenido que usted cree o cargue en la plataforma.
- Datos de comunicación: mensajes enviados a través de formularios de contacto, correos electrónicos, solicitudes de soporte y retroalimentación.
2.2 Información Recopilada Automáticamente
Cuando usted accede a nuestros Servicios, recopilamos automáticamente cierta información técnica:
- Datos de uso: páginas visitadas, funciones utilizadas, frecuencia de acceso, duración de las sesiones, flujos de trabajo ejecutados y acciones realizadas dentro de la plataforma.
- Datos del dispositivo: tipo de dispositivo, sistema operativo, versión del navegador, resolución de pantalla, identificadores únicos del dispositivo y configuración de idioma.
- Datos de conexión: dirección IP, ubicación geográfica aproximada (a nivel de ciudad/país), proveedor de servicios de internet y datos de la red utilizada.
- Registros de auditoría (Audit Trail): MiraAssure genera automáticamente registros inmutables de todas las acciones realizadas por los usuarios para cumplir con los requisitos de 21 CFR Part 11 e ISO 13485. Estos registros incluyen la identidad del usuario, marca de tiempo, acción realizada y hash criptográfico.
2.3 Información de Terceros
En algunos casos, podemos recibir información sobre usted de terceros, como su empleador al configurar su cuenta empresarial, servicios de autenticación federada (SSO), o socios comerciales autorizados. Siempre tratamos dicha información conforme a esta Política de Privacidad.
3. Cómo Usamos su Información
Utilizamos la información recopilada para los siguientes propósitos:
3.1 Prestación del Servicio
- Crear y gestionar su cuenta de usuario.
- Proporcionar acceso a las funciones del QMS, incluyendo gestión documental, firma electrónica, auditorías automatizadas, control de cambios y capacitación.
- Procesar solicitudes de firma electrónica y verificar su identidad conforme a los requisitos del 21 CFR Part 11.
- Generar documentos inteligentes con asistencia de inteligencia artificial (SmartDocs IA).
- Ejecutar auditorías automatizadas y generar reportes de cumplimiento.
3.2 Mejora del Servicio
- Analizar patrones de uso para mejorar la funcionalidad, rendimiento y experiencia del usuario.
- Desarrollar nuevas funciones y optimizar las existentes.
- Entrenar y mejorar nuestros modelos de inteligencia artificial, siempre utilizando datos anonimizados y agregados.
- Realizar investigación y análisis estadístico.
3.3 Comunicación
- Enviar notificaciones del sistema (alertas de firma, hallazgos de auditoría, vencimiento de capacitaciones).
- Responder a sus consultas y solicitudes de soporte técnico.
- Informar sobre actualizaciones del servicio, cambios en las políticas o mantenimientos programados.
- Enviar comunicaciones comerciales relevantes (con su consentimiento previo).
3.4 Cumplimiento Regulatorio y Seguridad
- Cumplir con obligaciones legales y regulatorias aplicables.
- Mantener la integridad y seguridad de los registros de auditoría (audit trail).
- Detectar, prevenir e investigar actividades fraudulentas, accesos no autorizados o violaciones de seguridad.
- Hacer cumplir nuestros Términos de Uso.
4. Base Legal para el Procesamiento
De conformidad con el Artículo 6 del GDPR, procesamos sus datos personales sobre las siguientes bases legales:
- Ejecución de un contrato (Art. 6.1.b): el procesamiento es necesario para la ejecución del contrato de servicios entre su organización y MiraCentral S.A., incluyendo la creación de cuentas, gestión documental y firma electrónica.
- Obligación legal (Art. 6.1.c): el procesamiento es necesario para cumplir con obligaciones legales, como el mantenimiento de registros de auditoría requeridos por 21 CFR Part 11, ISO 13485 y la legislación fiscal aplicable.
- Interés legítimo (Art. 6.1.f): el procesamiento es necesario para nuestros intereses legítimos, como la mejora del servicio, la prevención de fraude y la seguridad de la plataforma, siempre que dichos intereses no prevalezcan sobre sus derechos y libertades fundamentales.
- Consentimiento (Art. 6.1.a): para el envío de comunicaciones comerciales y el uso de cookies no esenciales, procesamos sus datos únicamente con su consentimiento explícito previo, el cual puede retirar en cualquier momento.
5. Compartir Información con Terceros
MiraAssure no vende, alquila ni comercializa sus datos personales. Podemos compartir su información únicamente en las siguientes circunstancias:
5.1 Proveedores de Servicios
Compartimos datos con proveedores de servicios que nos asisten en la operación de nuestra plataforma, sujetos a estrictos acuerdos de procesamiento de datos (DPA):
- Amazon Web Services (AWS): infraestructura en la nube, almacenamiento de datos y servicios de computación.
- Proveedores de analítica: herramientas de análisis de uso para la mejora del servicio (datos anonimizados).
- Proveedores de correo electrónico: para el envío de notificaciones transaccionales del sistema.
- Proveedores de inteligencia artificial: para la generación de documentos inteligentes y el asistente de QMS (datos procesados de forma segura y sin retención por parte del proveedor).
5.2 Obligaciones Legales
Podemos divulgar su información cuando estemos obligados a hacerlo por ley, orden judicial, requerimiento de autoridad competente, o cuando sea razonablemente necesario para proteger los derechos, la propiedad o la seguridad de MiraCentral S.A., nuestros clientes o el público en general.
5.3 Transferencias Corporativas
En caso de fusión, adquisición, reorganización o venta de activos de MiraCentral S.A., sus datos personales podrían ser transferidos como parte de dicha transacción. En tal caso, le notificaremos previamente y le ofreceremos la opción de eliminar su información.
6. Transferencias Internacionales de Datos
MiraAssure opera una infraestructura global hospedada en Amazon Web Services con regiones disponibles en Estados Unidos (us-east-1) y Europa (eu-west-1). Sus datos pueden ser procesados en jurisdicciones diferentes a la de su residencia.
6.1 Soberanía de Datos
MiraAssure ofrece opciones de soberanía de datos que permiten a cada organización seleccionar la región geográfica donde se almacenan sus datos. Esto permite cumplir con las regulaciones locales de protección de datos de cada país.
6.2 Salvaguardas Adecuadas
Cuando se realizan transferencias internacionales de datos, implementamos las siguientes salvaguardas:
- Cláusulas Contractuales Tipo (SCCs): utilizamos las cláusulas contractuales tipo aprobadas por la Comisión Europea para garantizar un nivel adecuado de protección de datos.
- Acuerdos de Procesamiento de Datos (DPA): todos nuestros proveedores de servicios están sujetos a acuerdos vinculantes que garantizan el cumplimiento de estándares equivalentes al GDPR.
- Evaluaciones de Impacto: realizamos evaluaciones de impacto de transferencias (TIA) para verificar que las leyes del país receptor ofrezcan un nivel adecuado de protección.
En la arquitectura de MiraAssure, los datos de cada cliente están lógica y criptográficamente aislados (arquitectura multi-tenant con aislamiento de datos). Sus datos nunca se mezclan con los de otros clientes.
7. Seguridad de los Datos
Implementamos medidas de seguridad técnicas y organizativas de grado médico para proteger sus datos personales contra el acceso no autorizado, la alteración, la divulgación o la destrucción:
7.1 Cifrado
- En reposo: todos los datos almacenados están cifrados con AES-256, el estándar de cifrado utilizado por instituciones financieras y gubernamentales.
- En tránsito: todas las comunicaciones entre su dispositivo y nuestros servidores están protegidas con TLS 1.3, la versión más reciente y segura del protocolo de seguridad de transporte.
- Gestión de claves: las claves de cifrado son gestionadas a través de AWS Key Management Service (KMS) con rotación automática y políticas de acceso estrictas.
7.2 Control de Acceso
- Autenticación multifactor (MFA) disponible para todos los usuarios.
- Control de acceso basado en roles (RBAC) con principio de menor privilegio.
- Sesiones con tiempo de expiración automático y cierre de sesión remoto.
7.3 Monitoreo y Auditoría
- Registros de auditoría (audit trail) inmutables con sello de tiempo y hash SHA-256.
- Web Application Firewall (WAF) con reglas personalizadas contra amenazas comunes.
- Protección DDoS de nivel enterprise con monitoreo 24/7.
- Detección de intrusiones y alertas en tiempo real.
7.4 Respuesta a Incidentes
Contamos con un plan de respuesta a incidentes de seguridad documentado. En caso de una violación de datos personales, notificaremos a las autoridades de protección de datos competentes dentro de las 72 horas siguientes a tener conocimiento del incidente, y a los interesados afectados sin demora indebida, conforme lo exige el GDPR.
8. Retención de Datos
Conservamos sus datos personales únicamente durante el tiempo necesario para cumplir con los propósitos descritos en esta Política de Privacidad, a menos que un período de retención mayor sea requerido o permitido por ley.
8.1 Períodos de Retención
- Datos de cuenta: mientras su cuenta esté activa y durante 90 días posteriores a la cancelación, para permitir la reactivación.
- Registros de auditoría: mínimo 7 años, conforme a los requisitos regulatorios de 21 CFR Part 11 e ISO 13485 para trazabilidad de registros de calidad.
- Registros de firma electrónica: mínimo 7 años o el período requerido por la regulación aplicable al tipo de documento firmado.
- Datos de comunicación y soporte: 3 años desde la última interacción.
- Datos de analítica: 24 meses en formato agregado y anonimizado.
8.2 Eliminación de Datos
Al finalizar el período de retención, o al recibir una solicitud válida de eliminación, procederemos a eliminar o anonimizar irreversiblemente sus datos personales en un plazo máximo de 30 días. Los datos contenidos en copias de seguridad serán eliminados dentro del siguiente ciclo de rotación de backups (máximo 90 días).
Nota importante: los registros de auditoría requeridos por normativas regulatorias (21 CFR Part 11, ISO 13485) no pueden ser eliminados antes de que expire el período regulatorio mínimo, incluso ante solicitudes de eliminación, ya que su mantenimiento constituye una obligación legal.
9. Sus Derechos
De conformidad con el GDPR y la legislación aplicable de protección de datos, usted tiene los siguientes derechos sobre sus datos personales:
- Derecho de acceso (Art. 15 GDPR): tiene derecho a obtener confirmación sobre si tratamos sus datos personales y, en su caso, acceder a una copia de los mismos junto con información sobre el tratamiento.
- Derecho de rectificación (Art. 16 GDPR): tiene derecho a solicitar la corrección de datos personales inexactos o la compleción de datos incompletos.
- Derecho de supresión (Art. 17 GDPR): tiene derecho a solicitar la eliminación de sus datos personales cuando ya no sean necesarios para los fines del tratamiento, sujeto a las obligaciones legales de retención descritas en la sección 8.
- Derecho a la limitación del tratamiento (Art. 18 GDPR): tiene derecho a solicitar la restricción del procesamiento de sus datos en determinadas circunstancias.
- Derecho a la portabilidad (Art. 20 GDPR): tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento.
- Derecho de oposición (Art. 21 GDPR): tiene derecho a oponerse al tratamiento de sus datos personales cuando la base legal sea el interés legítimo, incluyendo la elaboración de perfiles.
- Derecho a no ser objeto de decisiones automatizadas (Art. 22 GDPR): tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos significativos.
- Derecho a retirar el consentimiento: cuando el tratamiento se base en su consentimiento, puede retirarlo en cualquier momento sin que ello afecte la licitud del tratamiento previo.
Para ejercer cualquiera de estos derechos, puede contactarnos en ventas@miracentral.com. Responderemos a su solicitud dentro del plazo de 30 días calendario. En casos complejos, este plazo podrá extenderse hasta 60 días adicionales, notificándole previamente.
Si considera que el tratamiento de sus datos personales infringe la normativa de protección de datos, tiene derecho a presentar una reclamación ante la autoridad de protección de datos competente (en Costa Rica: Agencia de Protección de Datos de los Habitantes — PRODHAB).
10. Cookies y Tecnologías Similares
MiraAssure utiliza cookies y tecnologías similares para mejorar su experiencia y garantizar el correcto funcionamiento de la plataforma.
10.1 Cookies Esenciales
Son necesarias para el funcionamiento básico de la plataforma. Incluyen cookies de sesión para mantener su autenticación, preferencias de idioma y configuración de seguridad. Estas cookies no pueden ser desactivadas.
10.2 Cookies de Rendimiento
Nos ayudan a entender cómo los usuarios interactúan con la plataforma, recopilando información de forma anónima y agregada. Estas cookies nos permiten mejorar el rendimiento y la usabilidad del sistema.
10.3 Cookies de Funcionalidad
Permiten recordar sus preferencias (como el idioma, la zona horaria o la vista preferida de tablas y documentos) para ofrecerle una experiencia más personalizada.
10.4 Gestión de Cookies
Puede gestionar sus preferencias de cookies en cualquier momento a través de la configuración de su navegador. Tenga en cuenta que la desactivación de ciertas cookies puede afectar la funcionalidad de la plataforma.
11. Cambios a esta Política
Nos reservamos el derecho de actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas de tratamiento de datos, nuevas funcionalidades o requisitos legales. Cuando realicemos cambios sustanciales:
- Publicaremos la versión actualizada en esta página con una nueva fecha de "Última actualización".
- Le notificaremos mediante un aviso destacado dentro de la plataforma MiraAssure.
- Para cambios que afecten significativamente sus derechos, le enviaremos una notificación por correo electrónico con al menos 30 días de anticipación.
Le recomendamos revisar esta Política de Privacidad periódicamente para mantenerse informado sobre cómo protegemos su información.
12. Contacto
Si tiene preguntas, comentarios o solicitudes relacionadas con esta Política de Privacidad o con el tratamiento de sus datos personales, puede contactarnos a través de los siguientes medios:
- Responsable del Tratamiento: MiraCentral S.A.
- Dirección: San José, Costa Rica
- Correo electrónico: ventas@miracentral.com
Para solicitudes relacionadas con el ejercicio de sus derechos GDPR, incluya en su comunicación: su nombre completo, dirección de correo electrónico asociada a su cuenta, una descripción clara del derecho que desea ejercer, y cualquier información adicional que nos ayude a identificar y procesar su solicitud.
Nos comprometemos a responder a todas las solicitudes dentro del plazo de 30 días calendario establecido por la normativa aplicable.
Esta Política de Privacidad es efectiva desde julio de 2026 y aplica a todos los usuarios de MiraAssure en todas las jurisdicciones donde operamos.