Privacy Policy · figueredomed.com / Aetheris Med

1. Quiénes somos

figueredomed.com / Aetheris Med es operado por Alexander Jesús Figueredo Izaguirre — Cuban-trained physician (Cuba Medical Registration #108356), actualmente USA Medical Assistant Registered y candidato a RN/NP. Domicilio en Houston, Texas, USA.

figueredomed.com es un servicio SaaS healthcare. Provee a clínicas, médicos y organizaciones de salud una plataforma para gestión clínica, documentación, IA asistencial, billing CPT, integración FHIR con EHRs, y voice receptionist (Vapi/Elena).

Bajo HIPAA federal (45 CFR §160.103) figueredomed.com es **Business Associate (BA)** de cada clínica-cliente. Las clínicas son los **Covered Entities (CE)** y mantienen la responsabilidad primaria sobre la PHI de sus pacientes. Cada relación entre figueredomed.com y una clínica se rige por un **Business Associate Agreement (BAA)** escrito y firmado. Bajo Texas HB 300 (Tex. Health & Safety Code Ch. 181), figueredomed.com es también una entidad regulada por su procesamiento electrónico de PHI en el Estado de Texas.

2. Información que procesamos

Por cuenta de las clínicas-clientes podemos procesar:

• Datos demográficos del paciente — Nombre, fecha de nacimiento, dirección, teléfono, email, identificadores de seguro médico — provistos por la clínica.
• Datos clínicos — Diagnósticos (ICD-10), procedimientos (CPT), notas SOAP, prescripciones, resultados de laboratorio, imágenes médicas, encuentros clínicos.
• Comunicaciones — Transcripciones de llamadas con recepcionista IA (Vapi/Elena), confirmaciones de citas, recordatorios.
• Datos de uso del software — Logs de acceso, audit trail SHA-256 inmutable, telemetría operacional.
• Datos de facturación de la clínica — Información financiera de la clínica (no del paciente). Stripe procesa los pagos bajo política estricta de no-PHI en metadata.

3. Cómo usamos la información

Solo usamos PHI para los fines autorizados por el BAA con cada clínica-cliente:

• Operación del servicio — Proveer las funcionalidades contratadas (gestión clínica, IA, billing, FHIR).
• Mejora del servicio (de-identificada) — Análisis agregado y anonimizado para mejorar performance y features. Nunca con PHI identificable.
• Cumplimiento legal — Respuesta a requerimientos legales, breach notification, audit logs §164.312(b).
• Soporte técnico — Acceso limitado a datos para diagnosticar incidentes, siempre documentado y con minimización.

NUNCA vendemos PHI ni la usamos para marketing dirigido al paciente. La venta de PHI está prohibida bajo Texas HB 300 §181.153.

4. Tus derechos como paciente

Tus derechos como paciente son ejercidos a través de tu clínica (el Covered Entity), no directamente con figueredomed.com. Tu clínica está obligada bajo HIPAA + Texas HB 300 a respetar los siguientes derechos:

• Derecho de Acceso (§164.524) — copia de tu PHI en 15 días business (Texas HB 300, más estricto que los 30 días federales)
• Derecho de Enmienda (§164.526) — corrección de información que consideres errónea
• Accounting of Disclosures (§164.528) — listado de divulgaciones no rutinarias de los últimos 6 años
• Restricciones de uso (§164.522)
• Comunicación confidencial (§164.522(b))
• Notice of Privacy Practices §164.520 — provisto por tu clínica directamente
• Presentar quejas a tu clínica, a HHS OCR, o al Texas Attorney General

Si tu clínica usa figueredomed.com, ellos coordinarán con nosotros cualquier solicitud técnica. Para reportar problemas de privacidad relacionados con el procesamiento técnico, podés escribirnos directamente.

5. Protecciones bajo Texas HB 300

En Texas, figueredomed.com está sujeto a obligaciones adicionales:

• Sale of PHI prohibida (Tex. Health & Safety Code §181.153) salvo excepciones limitadas.
• Breach notification al Texas Attorney General si afecta ≥250 Texas residents (Tex. Bus. & Com. Code §521.053).
• Plazo de 15 días business para responder solicitudes de acceso (más estricto que 30 días federales).
• Training obligatorio del personal en los primeros 60 días desde hire + bianual + tras cambios materiales de Texas law.

6. Salvaguardas técnicas

Aplicamos los safeguards administrativos, físicos y técnicos exigidos por 45 CFR §164.308, §164.310, §164.312: encriptación AES-256 at-rest y TLS 1.3 in-transit, control de acceso por roles con MFA, audit log inmutable con SHA-256, validación de tenancy en todas las integraciones (Stripe, EHR/FHIR), políticas de retención y borrado seguro.

Nuestros sub-business-associates (Supabase para storage, Anthropic para IA, Vapi para voice, Resend para email transaccional, Cloudflare R2 para object storage) operan bajo BAAs vigentes que les obligan a las mismas protecciones HIPAA + Texas HB 300.

7. Contacto Privacy & Security

Para preguntas sobre privacidad/seguridad técnica de figueredomed.com:

Si tu queja es sobre el uso/divulgación de tu PHI, primero contactá a tu clínica (el Covered Entity responsable). Si no resuelve, podés escalar a HHS OCR o al Texas Attorney General — estas autoridades NO requieren que primero contactes a nuestra organización ni a la clínica.

HHS OCR portal: https://www.hhs.gov/ocr/
Texas Attorney General: https://www.texasattorneygeneral.gov/

8. Cambios a esta Privacy Policy

Nos reservamos el derecho de modificar esta Privacy Policy. Cualquier cambio material se publicará en alexanderfigueredo.com/privacy-practices con la nueva fecha de vigencia, y notificaremos a las clínicas-clientes vía amendment al BAA.

Fundamento legal: HIPAA Privacy Rule (45 CFR Part 164 Subpart E), HIPAA Security Rule (45 CFR Part 164 Subpart C), Breach Notification Rule (45 CFR Part 164 Subpart D), HITECH Act, Texas Medical Records Privacy Act (HB 300 — Tex. Health & Safety Code Ch. 181), Tex. Bus. & Com. Code §521. Este documento fue publicado el 2026-05-16. figueredomed.com es Business Associate bajo HIPAA federal; las clínicas-clientes son los Covered Entities responsables.