Tratamiento de Datos y HIPAA

En resumen

Therapy Resources está construido para que no necesite cargar Información de Salud Protegida (PHI). Describe los materiales que desea, la IA los ilustra y usted los imprime. Los nombres de clientes, diagnósticos y notas clínicas nunca entran en el sistema. Como no tratamos PHI, el marco de los Business Associate Agreements (BAA) de HIPAA no se aplica — pero los estándares que establece (cifrado, control de accesos, conservación, eliminación) igualmente guían cómo operamos.

No se requiere PHI

Nada en el flujo de creación pide información identificable de clientes. No necesita compartir:

• Nombres, edades o datos identificativos de clientes
• Diagnósticos o notas clínicas
• Contenido de sesiones o historias clínicas
• Fotos, grabaciones o citas de clientes

Si ya conserva PHI en su sistema de historia clínica o en papel, déjelo allí. Therapy Resources trabaja a nivel de conceptos terapéuticos genéricos — una tarjeta de emoción etiquetada "frustrado", una ficha sobre estrategias de afrontamiento, un juego de mesa sobre habilidades sociales — no material específico de cada caso.

Sobre HIPAA específicamente

Therapy Resources no está certificado por HIPAA y no firmamos Business Associate Agreements. HIPAA regula la Información de Salud Protegida — nombres de pacientes, diagnósticos, notas de tratamiento y datos similares vinculados a personas identificables. Como Therapy Resources está diseñado en torno a materiales terapéuticos genéricos en lugar de registros específicos de cada cliente, normalmente no hay PHI que proteger.

Si un flujo de trabajo concreto requiere crear materiales que incluyan PHI (por ejemplo, una historia social personalizada que mencione a un niño específico), ese material debería crearse y conservarse dentro de su sistema clínico compatible con HIPAA o en archivos locales — no aquí.

Cifrado, ubicación y conservación

Todo el tráfico entre su navegador y Therapy Resources se realiza por HTTPS (TLS 1.2+). Los datos se almacenan en Convex (región US-East) con cifrado en reposo. Las contraseñas se procesan con bcrypt — nunca vemos ni almacenamos contraseñas en texto plano. Las credenciales de pago las gestiona exclusivamente Dodo Payments (cumpliendo PCI-DSS) y nunca pasan por nuestros servidores.

La generación de imágenes se realiza con Google Gemini. Los prompts y las imágenes de referencia se envían a la API de Google para su procesamiento, pero Gemini no retiene sus prompts. No transferimos sus datos a redes publicitarias ni a intermediarios analíticos.

Cuando elimina su cuenta, eliminamos permanentemente sus estilos, personajes, recursos, imágenes generadas e historial de prompts. La eliminación se completa normalmente en 7 días, y las copias de seguridad caducan en 30 días. Puede exportar o eliminar elementos individuales en cualquier momento desde Ajustes.

Subprocesadores

Compartimos datos operativos con los siguientes servicios:

• Convex (EE. UU.) — Base de datos y almacenamiento de archivos. Aloja datos de cuenta, contenido e imágenes generadas.
• Google Gemini — Generación de imágenes con IA. Recibe descripciones de estilo y prompts de personajes; no los retiene.
• Dodo Payments (EE. UU.) — Procesamiento de pagos como merchant of record. Recibe nombre, correo electrónico y detalles de pago para la facturación.
• AhaSend — Correo electrónico transaccional. Recibe direcciones de correo para restablecimientos de contraseña y notificaciones de cuenta.

No vendemos sus datos. El inventario completo de datos y sus derechos sobre cada categoría se encuentran en la Política de Privacidad.