Seguridad y cumplimiento
HIPAA y GDPR para software de terapia — lo que ofrece PR-TOP
Actualizado: julio de 2026 · Revisado por el equipo PR-TOP
PR-TOP está alojado en la UE y es nativo de GDPR. Aplica cifrado AES en la capa de aplicación, un registro de auditoría inmutable, control de acceso basado en roles y aplicación del consentimiento a todos los datos del cliente. No tiene certificación HIPAA y no ofrece un Acuerdo de Socio Comercial. Las prácticas de la UE, Ucrania, Rusia y LATAM deben usar el Addendum de Procesamiento de Datos GDPR incluido por defecto.
Qué requiere HIPAA realmente
HIPAA (la Ley de Portabilidad y Responsabilidad de Seguros de Salud de EE. UU.) se aplica a las "entidades cubiertas" en EE. UU. — proveedores de atención médica, planes de salud y cámaras de compensación de atención médica — y sus "socios comerciales". Establece salvaguardas administrativas, físicas y técnicas para la Información de Salud Protegida (PHI). Si usted es un terapeuta con licencia en EE. UU. que procesa PHI, sus proveedores de software deben estar dispuestos a firmar un Acuerdo de Socio Comercial (BAA).
La mayoría de los terapeutas fuera de EE. UU. se encuentran con HIPAA como una pregunta, no como una obligación legal. Los profesionales internacionales — de la UE, Ucrania, Rusia, América Latina — no son entidades cubiertas por HIPAA. Están sujetos a su ley de protección de datos local: GDPR en la UE, la Ley de Datos Personales en Ucrania y Rusia, y leyes de privacidad nacionales en países de LATAM. Para estas prácticas, el cumplimiento del GDPR es el estándar correcto, no HIPAA.
PR-TOP está creado para este mercado internacional. Cumple los requisitos del GDPR y aplica controles técnicos sólidos que son paralelos a muchas salvaguardas de HIPAA — pero no ha sido auditado de forma independiente para HIPAA y no ofrece el BAA que requieren las entidades cubiertas de EE. UU. Esta página explica exactamente dónde los controles de PR-TOP se corresponden con las expectativas de HIPAA y dónde están las brechas.
PR-TOP está presente entre sesiones — no solo en el momento de escribir notas. Los clientes llevan un diario de voz, texto o vídeo a través de Telegram entre las citas. Los terapeutas asignan ejercicios y los clientes pueden enviar alertas de crisis con un toque directamente a la bandeja del terapeuta. Todos estos datos fluyen a través de la misma capa de cifrado AES que la transcripción de la sesión, por lo que el registro entre sesiones está protegido por los mismos controles.
Salvaguardas de HIPAA mapeadas a los controles de PR-TOP
| Salvaguarda HIPAA | Qué requiere HIPAA | Control de PR-TOP | Brecha / Notas |
|---|---|---|---|
| Control de Acceso | IDs de usuario únicos, procedimientos de acceso de emergencia, cierre de sesión automático | Autenticación JWT con cookies HttpOnly, control de acceso basado en roles (terapeuta / cliente / admin), tokens de sesión con vencimiento | No se ofrece BAA; no auditado de forma independiente para HIPAA; no hay temporizador de cierre automático configurado por defecto |
| Controles de Auditoría | Registrar y examinar la actividad en sistemas que contienen ePHI | Registro de auditoría inmutable y de solo adición para todo acceso a datos de clase A (diario, transcripciones, notas, resúmenes) | El registro de auditoría está diseñado para cumplir esta expectativa; no certificado formalmente |
| Cifrado en Reposo | Direccionable — cifrar ePHI en almacenamiento donde sea razonable y apropiado | Cifrado AES en la capa de aplicación para todos los datos de clase A antes del almacenamiento; la base de datos guarda texto cifrado, no texto claro | Cumple el estándar direccionable; el cifrado está en la capa de aplicación, no en disco completo |
| Integridad | Proteger ePHI de alteración o destrucción inadecuada | Registro de auditoría inmutable; sin edición en el lugar de datos de clase A; las eliminaciones se registran | Cumple la intención; no auditado formalmente contra los requisitos de integridad de HIPAA |
| Seguridad en la Transmisión | Proteger ePHI transmitida a través de redes electrónicas | TLS 1.2+ en todas las conexiones, solo HTTPS, sin transferencia de datos en texto claro | Implementación estándar; cumple el requisito |
| Acuerdo de Socio Comercial | Requerido para entidades cubiertas que usan el servicio de un socio comercial | NO SE OFRECE — PR-TOP no es un Socio Comercial de HIPAA | Las prácticas internacionales deben usar el Addendum de Procesamiento de Datos GDPR en su lugar |
Esta tabla mapea los controles existentes de PR-TOP a las categorías de salvaguardas de HIPAA solo con fines informativos. No constituye asesoramiento legal y no representa la certificación HIPAA. Las entidades cubiertas de EE. UU. deben consultar a un abogado antes de usar PR-TOP para PHI.
Por qué GDPR-first puede ser la elección correcta para su práctica
El GDPR (Reglamento General de Protección de Datos de la UE) establece un alto estándar para el procesamiento de datos: base legal, minimización de datos, limitación de propósito, derechos de los interesados (acceso, rectificación, supresión, portabilidad), notificación obligatoria de brechas y — para los encargados — un Addendum de Procesamiento de Datos (DPA). PR-TOP cumple todos estos requisitos por diseño.
Para los terapeutas con licencia de la UE, el GDPR es el marco legal vinculante. Para los terapeutas ucranianos, se aplica la Ley de Datos Personales, que está estrechamente alineada con los principios del GDPR. Para los terapeutas de LATAM, los marcos nacionales (LGPD en Brasil, Ley 1581 en Colombia, etc.) están modelados según el GDPR o son compatibles con él. En cada caso, el marco de cumplimiento correcto es la ley local, no HIPAA.
PR-TOP procesa todos los datos en infraestructura de la UE (centros de datos de Hetzner). No hay sub-procesadores con base en EE. UU. para datos de clientes. Un Addendum de Procesamiento de Datos está disponible por defecto — no bajo petición, no detrás de un nivel empresarial. Los clientes pueden ejercer los derechos GDPR de los interesados (acceso, rectificación, supresión) directamente a través del panel del terapeuta. Puede exportar o borrar un registro completo del cliente en una sola acción.
Ver: detalles de cumplimiento GDPR, soberanía de datos y arquitectura del registro de auditoría.
Datos entre sesiones: donde más importa el cifrado
La mayoría del software de terapia se centra en el registro de la sesión — la nota, la transcripción, la línea de facturación. El espacio entre sesiones es donde suelen aparecer las brechas de protección de datos: mensajes informales, seguimiento de tareas y contactos de crisis que viven en aplicaciones de consumo sin cifrar.
PR-TOP enruta todos los datos entre sesiones a través de la misma capa de aplicación cifrada que el registro de la sesión. Una entrada del diario de Telegram del cliente, un ejercicio completado, una alerta SOS con un toque — cada uno se cifra como datos de clase A antes de llegar a la base de datos. El terapeuta ve una línea de tiempo unificada y cifrada. No hay canales laterales sin cifrar.
Consulte también: arquitectura de cifrado y notas de sesión con IA para terapeutas.
Preguntas frecuentes
¿Es PR-TOP compatible con HIPAA?
No. PR-TOP no ha sido auditado de forma independiente para el cumplimiento de HIPAA y no ofrece un Acuerdo de Socio Comercial (BAA). Aplica controles técnicos sólidos — cifrado AES en la capa de aplicación, registro de auditoría inmutable, control de acceso basado en roles, TLS 1.2+ — que son paralelos a muchas salvaguardas de HIPAA, pero está alojado en la UE y diseñado principalmente para el cumplimiento del GDPR. Los terapeutas de EE. UU. que son entidades cubiertas y necesitan una plataforma compatible con HIPAA con un BAA deben usar un sistema EHR con base en EE. UU.
¿PR-TOP ofrece un Acuerdo de Socio Comercial?
No. PR-TOP no ofrece un BAA. Un BAA es un requisito contractual para las entidades cubiertas de EE. UU. bajo HIPAA. PR-TOP es una plataforma alojada en la UE regida por el GDPR. Para las prácticas que necesitan un contrato de procesamiento de datos, PR-TOP proporciona un Addendum de Procesamiento de Datos GDPR (DPA) por defecto — incluido en los Términos de Servicio, no detrás de un nivel empresarial.
¿Qué cifrado usa PR-TOP?
PR-TOP aplica cifrado AES en la capa de aplicación para todos los datos de clase A: entradas de diario, transcripciones de sesiones, resúmenes de IA y notas privadas del terapeuta. El cifrado ocurre antes de que los datos lleguen a la base de datos, por lo que la base de datos almacena texto cifrado, no texto claro. Los datos de clase B (marcas de tiempo, metadatos, identificadores) son texto claro con control de acceso. Toda la transmisión de datos utiliza TLS 1.2+.
¿Es PR-TOP seguro para los terapeutas de la UE bajo el GDPR?
Sí. PR-TOP está diseñado y alojado en la UE (infraestructura de Hetzner). Procesa todos los datos del cliente bajo un marco compatible con el GDPR: base legal, minimización de datos, derechos de los interesados y un Addendum de Procesamiento de Datos disponible por defecto. No hay rastreadores de análisis de terceros — los análisis se ejecutan en Umami autoalojado. Puede exportar o eliminar un registro completo del cliente en una sola acción.
¿Pueden usar PR-TOP los terapeutas de EE. UU.?
Los terapeutas de EE. UU. que no son entidades cubiertas bajo HIPAA (por ejemplo, coaches, ciertos consejeros, terapeutas que no facturan al seguro) pueden usar PR-TOP y beneficiarse de su sólido cifrado y controles alineados con el GDPR. Los terapeutas de EE. UU. que son entidades cubiertas y deben firmar un BAA con sus proveedores de software no pueden usar PR-TOP para PHI, ya que PR-TOP no ofrece un BAA. Consulte a su propio asesor legal si no está seguro de su estado bajo HIPAA.
¿Qué datos cifra PR-TOP?
Todos los datos de clase A se cifran con AES en la capa de aplicación antes del almacenamiento: entradas del diario del cliente (texto, voz, vídeo), archivos de audio y vídeo de sesiones, transcripciones de Whisper, resúmenes generados por IA y notas privadas del terapeuta. Los datos de clase B — marcas de tiempo, metadatos, identificadores — son texto claro con control de acceso. Una brecha en el servidor no expone el contenido de los registros del cliente.
GDPR-first, alojado en la UE — pruebe PR-TOP gratis
El nivel Trial gratuito incluye el panel cifrado, el bot de Telegram para clientes, el diario, los ejercicios y el SOS para un número limitado de clientes. No se requiere tarjeta de crédito. Addendum de Procesamiento de Datos GDPR incluido por defecto.