Leymax Medical Billing

Política de Privacidad

Última actualización: 1 de mayo de 2026 · Vigente desde: 1 de mayo de 2026

1. Quiénes somos

Leymax Medical Billing ("Leymax", "nosotros") opera la plataforma Leymax Dashboard, un sistema de visualización y reportes de Revenue Cycle Management (RCM) para agencias de billing médico y sus clínicas clientes (incluyendo Home Health Agencies). Esta política describe cómo recopilamos, usamos y protegemos tu información cuando usas la plataforma.

Para cualquier pregunta sobre esta política, escríbenos a soporte@leymaxbilling.com.

2. Información que recopilamos

2.1 Información de tu cuenta

  • Nombre completo y dirección de email
  • Número de teléfono (opcional)
  • Hash de contraseña (nunca almacenamos contraseñas en texto plano; usamos bcrypt)
  • Identificadores de la(s) clínica(s) y cuenta(s) que tu usuario tiene autorizado ver
  • Token de autenticación de dos factores (2FA) y dispositivo de confianza, si aplica

2.2 Información Médica Protegida (PHI)

La plataforma muestra y procesa información médica protegida (PHI bajo HIPAA) que pertenece a las clínicas que la utilizan, incluyendo nombres de pacientes, números de control de claim, montos facturados, códigos de denegación, fechas de servicio y aseguradoras. Esta información es propiedad de la clínica (Covered Entity bajo HIPAA), no de Leymax. Leymax actúa como Business Associate (BA) según la definición de HIPAA y procesa esta información únicamente para los fines establecidos en el Business Associate Agreement (BAA) firmado entre Leymax y cada clínica.

2.3 Información de uso

  • Direcciones IP, tipo de navegador y sistema operativo
  • Páginas visitadas, tiempo de uso y acciones realizadas dentro de la plataforma
  • Logs de acceso a PHI según lo exige HIPAA Security Rule §164.312(b) — registramos quién accedió a qué información y cuándo
  • Logs de errores y rendimiento (sin contenido PHI; ver sección 5)

2.4 Cookies y almacenamiento local

Usamos almacenamiento local del navegador (localStorage y sessionStorage) para mantener tu sesión iniciada, recordar preferencias (idioma, vistas guardadas, dispositivo de confianza) y guardar el estado del onboarding. No usamos cookies de tracking ni publicidad de terceros.

3. Cómo usamos tu información

  • Operar la plataforma: autenticarte, mostrarte tus datos de billing y enviarte reportes operacionales.
  • Cumplimiento legal: mantener logs de auditoría según lo exige HIPAA y otras regulaciones aplicables.
  • Seguridad: detectar y prevenir accesos no autorizados, fraude y abuso.
  • Comunicación: enviarte emails operacionales (códigos 2FA, alertas de seguridad, reporte semanal opcional, notificaciones del producto si las activas).
  • Mejora del producto: métricas agregadas y anonimizadas sobre uso de funciones.

Nunca usamos PHI para marketing, publicidad, venta a terceros, ni para entrenar modelos de inteligencia artificial.

4. Cómo compartimos tu información

Compartimos información en los siguientes casos limitados:

4.1 Subprocesadores técnicos

ProveedorPropósitoDatos procesados
Microsoft Azure (US)Hosting de aplicación y base de datosTodos los datos (cifrados en reposo vía Azure SQL TDE)
Resend (US)Envío de emails transaccionalesEmail del destinatario, asunto y cuerpo de mensajes operacionales (códigos 2FA, alertas de seguridad, reporte semanal). Sin PHI identificable de pacientes.
Sentry (US)Monitoreo de errores y performanceStack traces, navegador, ruta del request. Antes de envío aplicamos scrubbing automatizado que reemplaza: emails, nombres, números largos (claim IDs, MRN, SSN-like), tokens JWT/Bearer, bodies de request, headers de autorización y cookies, segmentos de URL con identificadores, variables locales en stack frames.

Notificaremos a los administradores de cuenta con al menos 30 días de antelación antes de añadir o reemplazar un subprocesador con acceso a PHI. Si tienes objeción razonable a un subprocesador propuesto, contacta soporte para discutir alternativas o terminación del Servicio.

4.2 Cumplimiento legal

Podemos divulgar información si lo exige una ley, orden judicial, citación legal válida o solicitud gubernamental aplicable. Te notificaremos antes de hacerlo cuando sea legalmente posible.

4.3 Cambio de control

Si Leymax es adquirido o fusionado, tu información puede ser transferida al sucesor sujeta a esta misma política. Te notificaremos antes de que la información esté sujeta a una política diferente.

4.4 Lo que nunca hacemos

  • Nunca vendemos tu información personal o PHI a terceros
  • Nunca compartimos PHI con anunciantes o redes de publicidad
  • Nunca compartimos PHI con servicios que no tengan un Business Associate Agreement (BAA) firmado donde aplique

5. Manejo de PHI (HIPAA)

El Dashboard es un componente del servicio integral de billing prestado por el proveedor principal del software de RCM. Como tal, Leymax opera como Business Associate (o subcontratista de Business Associate) bajo HIPAA respecto a la PHI que muestra y procesa para reportes y visualización. Las obligaciones de Business Associate aplicables a Leymax fluyen a través del Business Associate Agreement (BAA) firmado entre tu clínica (Covered Entity) y el proveedor principal del servicio de billing, e incluyen explícitamente las obligaciones del subcontratista bajo 45 CFR §164.504(e)(2)(ii)(D) y 45 CFR §164.308(b)(2).

Independientemente del instrumento contractual, Leymax cumple con las salvaguardas de HIPAA Security Rule:

  • Controles de acceso por rol y autenticación multifactor (2FA) obligatoria.
  • Cifrado en tránsito: TLS 1.2+ para todas las conexiones.
  • Cifrado en reposo: Azure SQL Transparent Data Encryption (TDE).
  • Registro inmutable de cada acceso a PHI en log de auditoría con retención mínima de 6 años según HIPAA Security Rule §164.316(b)(2)(i).
  • Bloqueo automático de cuentas tras intentos de acceso fallidos.
  • Scrubbing automatizado de PHI antes de enviar telemetría a servicios externos (categorías scrubbeadas: emails, nombres, números largos identificables, tokens JWT, bodies de request, headers de autorización, URLs con identificadores; ver sección 4.1).
  • Plan documentado de respuesta a incidentes con notificación al Covered Entity dentro de 10 días hábiles tras descubrir un incidente que pueda constituir Breach según 45 CFR §164.402, permitiendo al Covered Entity cumplir su plazo de 60 días con el HHS y los individuos afectados.
  • Capacitación periódica del personal con acceso a PHI.

Para preguntas sobre el BAA o reportar incidentes que involucren PHI, contacta tanto a tu clínica como Covered Entity como a Leymax (ver sección 12).

6. Tus derechos

6.1 Información de tu cuenta

Puedes acceder, actualizar o solicitar eliminación de la información de tu cuenta desde la sección "Mi Cuenta" en la plataforma o escribiendo a soporte@leymaxbilling.com.

6.2 PHI

Los derechos sobre la PHI (acceso, rectificación, copia, restricción, contabilización de divulgaciones, etc.) se ejercen ante la Covered Entity (la clínica) según HIPAA, no ante Leymax directamente. Leymax cooperará con la clínica para ejecutar las solicitudes válidas que reciba según los términos del BAA aplicable.

6.3 Solicitudes de Derechos del Titular (DSR)

Responderemos a solicitudes de acceso, rectificación o eliminación dentro de 30 días calendario desde la recepción y verificación de identidad. Si necesitamos extender el plazo (hasta 60 días adicionales) por la complejidad de la solicitud, te lo notificaremos. No cobramos por la primera solicitud anual; solicitudes manifiestamente infundadas o repetitivas pueden conllevar una tarifa razonable.

6.4 Eliminación de cuenta

Si solicitas eliminación de tu cuenta de usuario:

  • Eliminamos tu acceso inmediatamente.
  • Conservamos tu identificador de usuario en el log de auditoría según lo exige HIPAA (mínimo 6 años).
  • Los backups conteniendo tu información expiran automáticamente dentro de 30 días desde la solicitud.
  • Datos clínicos siguen siendo propiedad de tu clínica y permanecen en su sistema principal.

6.5 Residentes de California (CCPA / CPRA)

Si resides en California, tienes los siguientes derechos adicionales bajo la California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA), respecto a tu información de cuenta (la PHI está exenta de CCPA cuando se procesa bajo HIPAA):

  • Derecho a saber: qué información personal recopilamos, fuentes, propósito comercial y categorías compartidas (descrito en secciones 2-4).
  • Derecho a eliminar información personal sujeta a excepciones legales (auditoría HIPAA).
  • Derecho a corregir información personal inexacta.
  • Derecho a portabilidad en formato estructurado y de uso común.
  • Derecho a no discriminación por ejercer tus derechos.
  • Derecho a opt-out de venta o compartición: no vendemos ni compartimos información personal para publicidad cruzada. No tenemos un mecanismo de opt-out porque no hay venta ni compartición.

Para ejercer estos derechos: soporte@leymaxbilling.com con asunto "CCPA Request". Verificaremos tu identidad antes de responder. Puedes designar un agente autorizado mediante poder notarial.

No respondemos a señales "Do Not Track" del navegador porque no rastreamos a través de sitios. Sí respetamos la Global Privacy Control (GPC) del navegador como señal válida de opt-out donde aplique.

7. Seguridad

Aplicamos medidas técnicas, administrativas y físicas apropiadas para proteger tu información:

  • TLS 1.2+ obligatorio en todas las conexiones
  • Cifrado en reposo de la base de datos
  • 2FA obligatorio para todas las cuentas
  • Bloqueo automático tras intentos fallidos de inicio de sesión
  • Logs de auditoría inmutables
  • Revisión periódica de subprocesadores y sus prácticas de seguridad
  • Capacitación del equipo en HIPAA

Ningún sistema es 100% seguro. Si detectamos una brecha de seguridad que afecte tu información, te notificaremos según los plazos legalmente exigidos.

8. Retención de datos

  • Información de cuenta: mientras tu cuenta esté activa, más 90 días tras eliminación.
  • Logs de auditoría (Phi_Access_Log): 6 años mínimo, según HIPAA Security Rule §164.316(b)(2)(i).
  • Backups: hasta 30 días.
  • Datos clínicos / PHI: según los términos del BAA con cada clínica.

9. Datos de menores

La plataforma no está dirigida a menores de 13 años. No recopilamos intencionalmente información de menores como usuarios. Sin embargo, podemos procesar PHI de pacientes menores de edad como parte del servicio de billing, en cuyo caso esa información se trata como cualquier PHI bajo HIPAA y los términos del BAA con la clínica.

10. Transferencias internacionales

Toda la información se almacena y procesa en centros de datos en Estados Unidos. No transferimos información fuera de EE.UU.

11. Cambios a esta política

Podemos actualizar esta política ocasionalmente. Notificaremos cambios materiales por email a los administradores de cuenta con al menos 30 días de antelación. La fecha "Última actualización" en el encabezado siempre refleja la versión vigente.

12. Contacto y oficiales designados

Conforme a HIPAA Security Rule §164.308(a)(2), Leymax designa los siguientes contactos:

  • Privacy Officer: responsable del cumplimiento de esta política y HIPAA Privacy Rule. Contacto: soporte@leymaxbilling.com (asunto: "Privacy Officer").
  • Security Officer: responsable de las salvaguardas técnicas y administrativas, y de la respuesta a incidentes. Contacto: soporte@leymaxbilling.com (asunto: "Security Officer").
  • Soporte general: soporte@leymaxbilling.com
  • Para reportar un incidente de seguridad: soporte@leymaxbilling.com (asunto: "Security Incident") — confirmamos recepción dentro de 24 horas.
  • Para asuntos relacionados con PHI específicos de un paciente: contacta también a tu clínica como Covered Entity, ya que los derechos del individuo se ejercen ante el CE bajo HIPAA.