Política de Privacidad

El responsable del tratamiento de los datos del farmacéutico operador es 1Lab™ (en adelante, “nosotros” o “1Lab™”), con domicilio en la Ciudad Autónoma de Buenos Aires, Argentina. Consultas de privacidad: privacidad@1lab.ar o hola@1lab.ar.

Respecto de los datos de los pacientes, el responsable del tratamiento es el farmacéutico registrado en 1Lab™. 1Lab™ actúa como encargado del tratamiento (procesador) bajo sus instrucciones.

1Lab™ trata dos categorías diferenciadas de datos personales:

A. Datos del farmacéutico operador

• Datos de cuenta: nombre completo, dirección de correo electrónico, número de matrícula profesional, provincia de ejercicio.
• Datos del establecimiento: razón social, dirección, CUIT, tipo de establecimiento elaborador (establishment_type), número de habilitación sanitaria vigente (sanitary_authorization_number) y autoridad emisora (ANMAT, SENASA u organismo jurisdiccional competente). Estos datos son declarados por el operador al momento del registro y no son verificados de forma independiente por 1Lab™.
• Datos de facturación: procesados por Mercado Pago. 1Lab™ no almacena datos de tarjetas ni cuentas bancarias.
• Datos técnicos: dirección IP, tipo de navegador, logs de acceso y uso de la plataforma.

B. Datos de pacientes (datos de salud — categoría especial)

Los siguientes datos son cargados por el farmacéutico y constituyen datos de salud en el sentido del art. 2 de la Ley 25.326:

• Identificación: nombre y apellido del paciente, correo electrónico o teléfono de contacto para recordatorios de reorden.
• Planes de tratamiento: productos magistrales asociados al paciente, posología, indicaciones del médico prescriptor (texto libre), periodicidad del tratamiento.
• Historial de reórdenes: fecha de cada reorden solicitado, estado de la orden (pendiente, completado, cancelado), productos incluidos.
• Tokens de acceso: cada paciente dispone de un reorder_token único (UUID v4 generado aleatoriamente) que autentica su acceso al portal de reorden. Este token no contiene datos personales en sí mismo y caduca al ser invalidado por la farmacia.

C. Datos de Referentes

• Datos de Referentes: nombre, email, datos de cuenta Mercado Pago® vinculada (token de acceso, identificador MP), historial de comisiones generadas. Estos datos son proporcionados voluntariamente por el Referente al vincularse con un establecimiento.

Datos del farmacéutico: gestión de la cuenta, facturación del servicio, comunicaciones operativas (notificaciones de nuevos reórdenes, actualizaciones de plataforma) y cumplimiento de obligaciones legales.

Datos de pacientes: exclusivamente para (a) organización administrativa de los tratamientos dentro de la farmacia, (b) envío de recordatorios de reorden al paciente cuando el farmacéutico lo habilita, y (c) facilitar el proceso de reorden a través del portal de paciente autenticado con reorder_token. No se utilizan con fines de análisis, publicidad ni cesión a terceros.

Datos del farmacéutico: ejecución del contrato de servicio, cumplimiento de obligaciones legales e interés legítimo para mejorar la plataforma.

Datos de pacientes: el tratamiento se basa en el consentimiento informado que el farmacéutico responsable obtiene de sus pacientes conforme a la Ley 26.529 (consentimiento informado en salud) y la Ley 25.326 art. 7 (consentimiento para datos sensibles). El farmacéutico es responsable de documentar dicho consentimiento.

Los datos de pacientes tienen acceso estrictamente restringido:

• La farmacia que los cargó — acceso completo a sus propios pacientes y tratamientos. Ninguna otra farmacia puede acceder a datos de pacientes ajenos.
• El propio paciente — puede ver y gestionar su plan de tratamiento y reórdenes a través del portal autenticado con su reorder_token. El token limita el acceso exclusivamente al propio paciente.
• 1Lab™ — exclusivamente para soporte técnico y operación: acceso con auditoría a efectos de diagnóstico de incidentes, soporte al farmacéutico o cumplimiento de orden judicial. No se realiza acceso rutinario a datos de pacientes.

En los casos en que el comprador recibe un enlace para coordinar su envío con 1Ship™ (envío gestionado post-compra), los datos del comprador necesarios para el envío —nombre, dirección de destino y datos del pedido— se transfieren a 1Ship™ exclusivamente para pre-poblar el formulario de despacho. Este tratamiento se rige por los Términos de Privacidad de 1Ship™.

No compartimos datos de pacientes con otros terceros, salvo requerimiento judicial o de autoridad sanitaria competente.

El reorder_token es un identificador único por paciente que permite el acceso autenticado al portal de reorden sin necesidad de contraseña. Su funcionamiento:

• Es generado aleatoriamente (UUID v4) y no contiene información personal del paciente.
• Permite acceder únicamente a los datos del propio paciente dentro de la farmacia que lo emitió.
• Puede ser invalidado por el farmacéutico en cualquier momento (por ejemplo, ante pérdida o si el paciente solicita baja).
• No puede ser utilizado para acceder a datos de otros pacientes ni a funciones administrativas de la farmacia.
• El enlace de reorden que incluye el token se envía únicamente al correo o teléfono del paciente registrado por el farmacéutico.

Para operar la plataforma utilizamos los siguientes proveedores tecnológicos, con quienes mantenemos acuerdos de confidencialidad y procesamiento de datos:

• Supabase — almacenamiento de datos (base de datos PostgreSQL). Servidores en la región South America (São Paulo, Brasil).
• Resend — envío de comunicaciones transaccionales (recordatorios de reorden, notificaciones al farmacéutico). Servidores en EE.UU. Cuenta con certificaciones de seguridad SOC 2.
• Vercel — infraestructura de la plataforma web. Servidores en EE.UU. y región global edge. Certificación SOC 2 Type II.
• Mercado Pago® — procesamiento de pagos del servicio y ejecución del split de pago a Referentes. Los datos de cuenta del Referente vinculado (token de acceso, identificador MP) se utilizan exclusivamente para acreditar la comisión correspondiente al momento de cada transacción. Empresa argentina, sujeta a normativa local del BCRA.

Los proveedores con servidores fuera de Argentina (Resend, Vercel) cuentan con niveles de protección equivalentes a los exigidos por la Ley 25.326 a través de sus certificaciones internacionales. Los datos de pacientes se almacenan preferentemente en la región de São Paulo (Brasil) para minimizar la transferencia internacional.

Datos del farmacéutico: mientras dure la relación contractual y durante 10 años posteriores, conforme a obligaciones contables y fiscales (Ley 19.550).

Datos de pacientes activos: mientras el tratamiento esté vigente y la farmacia mantenga la cuenta en 1Lab™.

Datos históricos de pacientes: conforme a las obligaciones sanitarias aplicables en la jurisdicción del farmacéutico. La normativa argentina típicamente establece plazos de conservación de documentación sanitaria entre 5 y 10 años. El farmacéutico es responsable de verificar el plazo aplicable en su provincia.

Ante solicitud de baja de cuenta por parte del farmacéutico, los datos de pacientes se eliminan dentro de los 30 días posteriores, salvo que exista obligación legal de retención en vigor.

De acuerdo con la Ley 25.326 y la Ley 26.529, los pacientes tienen derecho a:

• Acceso: conocer qué datos tiene registrados la farmacia sobre ellos en 1Lab™.
• Rectificación: solicitar la corrección de datos inexactos.
• Supresión: solicitar la eliminación de sus datos, sujeto a las obligaciones de retención sanitaria aplicables.

Para ejercer estos derechos, el paciente debe dirigirse en primer lugar al farmacéutico responsable, quien actúa como responsable del tratamiento. Si el farmacéutico no da respuesta en un plazo razonable (15 días hábiles), el paciente puede contactar a 1Lab™ directamente en privacidad@1lab.ar.

La Dirección Nacional de Protección de Datos Personales (AAIP) es el órgano de control competente. Más información en www.argentina.gob.ar/aaip.

El farmacéutico registrado puede ejercer sus derechos de acceso, rectificación, actualización y supresión de sus propios datos de cuenta escribiendo a privacidad@1lab.ar. La baja de cuenta implica la eliminación de los datos del farmacéutico y de los datos de sus pacientes (con los plazos de retención indicados en la sección 8).

Aplicamos medidas técnicas y organizativas adecuadas al riesgo del tratamiento de datos de salud, incluyendo:

• Cifrado en tránsito (HTTPS/TLS) en todas las comunicaciones.
• Row Level Security (RLS) en la base de datos: cada farmacia accede exclusivamente a sus propios datos.
• Tokens de acceso de paciente (reorder_token) con scope limitado y posibilidad de invalidación inmediata.
• Acceso de personal de 1Lab™ a datos de pacientes solo ante incidente documentado y con auditoría de log.
• Revisión periódica de permisos y accesos a sistemas.

1Lab™ utiliza cookies funcionales para mantener la sesión del farmacéutico autenticado. No utilizamos cookies de seguimiento publicitario ni redes de terceros. El portal de paciente autentica la sesión mediante el reorder_token incluido en la URL, sin cookies propias.

Podemos actualizar esta Política en cualquier momento. Los cambios significativos se comunicarán por email al farmacéutico registrado. El uso continuado de la plataforma implica la aceptación de la versión vigente.