Leymax Medical Billing ("Leymax", "nosotros") opera la plataforma Leymax Dashboard, un sistema de visualización y reportes de Revenue Cycle Management (RCM) para agencias de billing médico y sus clínicas clientes (incluyendo Home Health Agencies). Esta política describe cómo recopilamos, usamos y protegemos tu información cuando usas la plataforma.
Para cualquier pregunta sobre esta política, escríbenos a soporte@leymaxbilling.com.
La plataforma muestra y procesa información médica protegida (PHI bajo HIPAA) que pertenece a las clínicas que la utilizan, incluyendo nombres de pacientes, números de control de claim, montos facturados, códigos de denegación, fechas de servicio y aseguradoras. Esta información es propiedad de la clínica (Covered Entity bajo HIPAA), no de Leymax. Leymax actúa como Business Associate (BA) según la definición de HIPAA y procesa esta información únicamente para los fines establecidos en el Business Associate Agreement (BAA) firmado entre Leymax y cada clínica.
Usamos almacenamiento local del navegador (localStorage y sessionStorage) para mantener tu sesión iniciada, recordar preferencias (idioma, vistas guardadas, dispositivo de confianza) y guardar el estado del onboarding. No usamos cookies de tracking ni publicidad de terceros.
Nunca usamos PHI para marketing, publicidad, venta a terceros, ni para entrenar modelos de inteligencia artificial.
Compartimos información en los siguientes casos limitados:
| Proveedor | Propósito | Datos procesados |
|---|---|---|
| Microsoft Azure (US) | Hosting de aplicación y base de datos | Todos los datos (cifrados en reposo vía Azure SQL TDE) |
| Resend (US) | Envío de emails transaccionales | Email del destinatario, asunto y cuerpo de mensajes operacionales (códigos 2FA, alertas de seguridad, reporte semanal). Sin PHI identificable de pacientes. |
| Sentry (US) | Monitoreo de errores y performance | Stack traces, navegador, ruta del request. Antes de envío aplicamos scrubbing automatizado que reemplaza: emails, nombres, números largos (claim IDs, MRN, SSN-like), tokens JWT/Bearer, bodies de request, headers de autorización y cookies, segmentos de URL con identificadores, variables locales en stack frames. |
Notificaremos a los administradores de cuenta con al menos 30 días de antelación antes de añadir o reemplazar un subprocesador con acceso a PHI. Si tienes objeción razonable a un subprocesador propuesto, contacta soporte para discutir alternativas o terminación del Servicio.
Podemos divulgar información si lo exige una ley, orden judicial, citación legal válida o solicitud gubernamental aplicable. Te notificaremos antes de hacerlo cuando sea legalmente posible.
Si Leymax es adquirido o fusionado, tu información puede ser transferida al sucesor sujeta a esta misma política. Te notificaremos antes de que la información esté sujeta a una política diferente.
El Dashboard es un componente del servicio integral de billing prestado por el proveedor principal del software de RCM. Como tal, Leymax opera como Business Associate (o subcontratista de Business Associate) bajo HIPAA respecto a la PHI que muestra y procesa para reportes y visualización. Las obligaciones de Business Associate aplicables a Leymax fluyen a través del Business Associate Agreement (BAA) firmado entre tu clínica (Covered Entity) y el proveedor principal del servicio de billing, e incluyen explícitamente las obligaciones del subcontratista bajo 45 CFR §164.504(e)(2)(ii)(D) y 45 CFR §164.308(b)(2).
Independientemente del instrumento contractual, Leymax cumple con las salvaguardas de HIPAA Security Rule:
Para preguntas sobre el BAA o reportar incidentes que involucren PHI, contacta tanto a tu clínica como Covered Entity como a Leymax (ver sección 12).
Puedes acceder, actualizar o solicitar eliminación de la información de tu cuenta desde la sección "Mi Cuenta" en la plataforma o escribiendo a soporte@leymaxbilling.com.
Los derechos sobre la PHI (acceso, rectificación, copia, restricción, contabilización de divulgaciones, etc.) se ejercen ante la Covered Entity (la clínica) según HIPAA, no ante Leymax directamente. Leymax cooperará con la clínica para ejecutar las solicitudes válidas que reciba según los términos del BAA aplicable.
Responderemos a solicitudes de acceso, rectificación o eliminación dentro de 30 días calendario desde la recepción y verificación de identidad. Si necesitamos extender el plazo (hasta 60 días adicionales) por la complejidad de la solicitud, te lo notificaremos. No cobramos por la primera solicitud anual; solicitudes manifiestamente infundadas o repetitivas pueden conllevar una tarifa razonable.
Si solicitas eliminación de tu cuenta de usuario:
Si resides en California, tienes los siguientes derechos adicionales bajo la California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA), respecto a tu información de cuenta (la PHI está exenta de CCPA cuando se procesa bajo HIPAA):
Para ejercer estos derechos: soporte@leymaxbilling.com con asunto "CCPA Request". Verificaremos tu identidad antes de responder. Puedes designar un agente autorizado mediante poder notarial.
No respondemos a señales "Do Not Track" del navegador porque no rastreamos a través de sitios. Sí respetamos la Global Privacy Control (GPC) del navegador como señal válida de opt-out donde aplique.
Aplicamos medidas técnicas, administrativas y físicas apropiadas para proteger tu información:
Ningún sistema es 100% seguro. Si detectamos una brecha de seguridad que afecte tu información, te notificaremos según los plazos legalmente exigidos.
La plataforma no está dirigida a menores de 13 años. No recopilamos intencionalmente información de menores como usuarios. Sin embargo, podemos procesar PHI de pacientes menores de edad como parte del servicio de billing, en cuyo caso esa información se trata como cualquier PHI bajo HIPAA y los términos del BAA con la clínica.
Toda la información se almacena y procesa en centros de datos en Estados Unidos. No transferimos información fuera de EE.UU.
Podemos actualizar esta política ocasionalmente. Notificaremos cambios materiales por email a los administradores de cuenta con al menos 30 días de antelación. La fecha "Última actualización" en el encabezado siempre refleja la versión vigente.
Conforme a HIPAA Security Rule §164.308(a)(2), Leymax designa los siguientes contactos: