Aviso de Privacidad

Wipro Healthplan Services opera MarketLink como una plataforma de asistencia de inscripción a seguros médicos. Las determinaciones oficiales de elegibilidad, inscripción y avisos del Mercado dependen de los sistemas y aprobaciones aplicables de CMS.

Contacto del Responsable de Datos: Oficial de Privacidad de MarketLink, privacy@marketlink.ai

Para brindar nuestros servicios de inscripción, recopilamos las siguientes categorías de información:

Información de identidad y contacto: nombre completo, fecha de nacimiento, Número de Seguro Social (cifrado en reposo y en tránsito), dirección, número de teléfono, correo electrónico y estatus migratorio (para fines de elegibilidad).

Información del hogar: nombres, fechas de nacimiento, SSN e ingresos de todos los integrantes del hogar para quienes solicite cobertura.

Información financiera: ingreso anual del hogar, fuentes de ingresos y estado de declaración de impuestos — usados para calcular el Crédito Tributario Anticipado de Prima (APTC) y la Reducción de Costos Compartidos (CSR).

Información de salud y cobertura: cobertura médica actual y previa, detalles de cobertura ofrecida por el empleador, elegibilidad a Medicaid/CHIP y eventos calificadores de Período Especial de Inscripción.

Información de cuenta y técnica: correo electrónico, credenciales de inicio de sesión (hash), dirección IP, tipo de navegador, información del dispositivo, registros de sesión y marcas de tiempo de acceso — recopilados para seguridad, prevención de fraude y requisitos de auditoría de CMS.

Información de la relación con el agente: nombre de su corredor designado, registros de consentimiento AOR e historial de transacciones de inscripción.

Usamos su información exclusivamente para los siguientes fines:

• Realizar determinaciones de elegibilidad para cobertura del Mercado, APTC y CSR;
• Facilitar inscripciones, reinscripciones y cambios de plan en Planes de Salud Calificados;
• Comunicarnos con usted sobre su cobertura, estado de inscripción y recordatorios de renovación;
• Cumplir con los requisitos del programa CMS EDE y los requisitos de intercambio de datos de CMS;
• Prevenir fraude, detectar accesos no autorizados y garantizar la seguridad de la plataforma;
• Cumplir con obligaciones legales y regulatorias bajo HIPAA, 45 CFR § 155.260 y la ley estatal aplicable;
• Mantener registros de auditoría requeridos por CMS (retención de 10 años).

No usamos su información con fines de mercadeo, publicidad, ni ningún propósito ajeno a los servicios de inscripción a seguros médicos.

Compartimos su información solo cuando es necesario para brindarle los servicios de inscripción y cuando lo requiere la ley:

• Centros de Servicios de Medicare y Medicaid (CMS): transmitimos solicitudes de inscripción y datos de elegibilidad a CMS y al Hub Federal de Servicios de Datos según se requiere para el procesamiento de inscripciones;
• Compañías de seguros: compartimos datos de inscripción con la aseguradora del plan que elija, para iniciar y mantener su cobertura;
• Su corredor autorizado: con su consentimiento AOR documentado, su corredor puede ver y gestionar su información de inscripción;
• Proveedores de servicios (Asociados Comerciales): contratamos proveedores de alojamiento en la nube, bases de datos y correo electrónico compatibles con HIPAA mediante Acuerdos de Asociado Comercial (BAA). Estos proveedores solo pueden procesar su PHI según nuestras instrucciones y tienen prohibido usarla para cualquier otro fin;
• Requisitos legales: podemos divulgar información según lo exija la ley, una orden judicial o un proceso legal válido.

No vendemos su información personal. No compartimos su información para publicidad ni para elaboración de perfiles conductuales entre sitios.

Cifrado: todos los datos en reposo están cifrados con AES-256. Todos los datos en tránsito usan TLS 1.3. Los Números de Seguro Social y otros identificadores sensibles cuentan con cifrado adicional a nivel de campo.

Controles de acceso: el acceso a los datos del consumidor está restringido a cuentas de corredor autenticadas, con MFA habilitada y consentimiento AOR documentado. Todo acceso queda registrado con la identidad del usuario, fecha/hora y dirección IP.

Registros de auditoría: cada acceso a información personal identificable se registra y conserva por 10 años, según los requisitos de CMS EDE. Los registros son resistentes a manipulaciones.

Verificación de identidad: las cuentas de corredor se someten a validación de identidad y autenticación NIST IAL2/AAL2, incluyendo autenticación multifactor obligatoria.

Respuesta a incidentes: en caso de una brecha de datos, notificaremos a las personas afectadas dentro de 72 horas y reportaremos a los reguladores correspondientes según lo exija la ley.

Conservamos su información personal por los siguientes períodos:

• Registros de inscripción y PHI: 10 años desde la fecha de inscripción, según lo requerido por CMS EDE;
• Registros de auditoría: 10 años;
• Registros de consentimiento AOR: durante la relación con el corredor más 10 años;
• Información de cuenta: durante la vigencia de su cuenta más 7 años tras su cierre;
• Registros de sesión y técnicos: 2 años.

Al concluir el período de retención aplicable, la información se destruye de forma segura usando métodos aprobados por el NIST.

Usted tiene los siguientes derechos respecto a su información personal:

• Derecho de acceso: solicitar una copia de la información personal que mantenemos sobre usted;
• Derecho de rectificación: solicitar la corrección de información inexacta;
• Derecho de supresión: solicitar la eliminación de su información, sujeto a los requisitos de retención de CMS y a obligaciones legales;
• Derecho a la portabilidad: recibir sus datos en un formato legible por máquina;
• Derecho a excluirse: optar por no recibir comunicaciones no esenciales.

Para ejercer estos derechos, envíe una solicitud a privacy@marketlink.ai o use el formulario en Trust Center. Responderemos en un plazo de 45 días. Se requiere verificación de identidad antes de atender cualquier solicitud.

Nota: ciertos requisitos de retención exigidos por CMS pueden limitar nuestra capacidad de eliminar registros de inscripción antes de concluir el período requerido.

Usamos cookies estrictamente necesarias para la gestión de sesión y la autenticación. No usamos cookies publicitarias de terceros, tecnologías de seguimiento entre sitios ni cookies de perfiles conductuales. Usamos analíticas que preservan la privacidad para comprender patrones de uso agregados de la plataforma. Puede deshabilitar las cookies en la configuración de su navegador, aunque esto puede limitar la funcionalidad del portal.

La Plataforma no está dirigida a menores de 13 años. No recopilamos conscientemente información personal de menores de 13 años. Sí recopilamos información sobre menores dependientes como parte de las solicitudes de inscripción del hogar, según lo requerido para determinaciones de elegibilidad. Esta información se procesa únicamente con fines de inscripción y está sujeta a las mismas protecciones que el resto de los datos.

Podemos actualizar este Aviso de Privacidad para reflejar cambios en nuestras prácticas o en la ley aplicable. Publicaremos el aviso actualizado en la Plataforma y actualizaremos la fecha de “Última actualización”. Los cambios sustanciales se comunicarán a los usuarios activos por correo electrónico o notificación en el portal.