Swissmed Healthcare Support

CRITICAL HEALTH NOTICE — READ BEFORE USING THIS PLATFORM

EMERGENCY: HELIOS is NOT an emergency service. If you are experiencing a life-threatening situation — including severe chest pain, acute respiratory distress, loss of consciousness, severe bleeding, stroke symptoms, anaphylaxis, suicidal crisis, or any condition involving immediate risk to life — you must immediately call your local emergency number (911 in the US, 112 in the EU, 107 in Argentina, 192 in Brazil, 123 in Colombia, 911 in Mexico) and go to the nearest emergency room. Do not use this platform.

NOT A DIAGNOSTIC TOOL: HELIOS is a clinical information, record management, and care navigation platform. It is not a licensed medical practitioner. All clinical assessments presented by HELIOS are informational outputs requiring review and validation by a licensed physician before any clinical decision is made. Nothing in this platform constitutes a medical diagnosis, prescription, or treatment recommendation.

CHILDREN: This platform is not designed for users under 18 years of age. Users under 18 must have a parent or legal guardian create and manage their account. No data from users under 13 will be collected under any circumstances.

SECTION 1 — PARTIES, SCOPE, AND DEFINITIONS

1.1 Corporate Entities

This document constitutes a legally binding agreement between you ("User", "Patient", or "Research Participant") and the following corporate entities (collectively, "HELIOS", "we", "us", or "our"):

Axessible Technologies SL — registered in Barcelona, Spain (EU operating entity). Primary EU data controller under GDPR.
Axessible Tech Inc — registered in Delaware, USA (US operating entity). Primary HIPAA covered entity affiliate.
These entities operate jointly under the brand names HELIOS, heliosmed.ai, and midoctor.ai.

1.2 Platform Scope

This agreement governs your access to and use of:

The HELIOS care-completion platform accessible at heliosmed.ai, midoctor.ai, and all associated mobile applications, APIs, and integrated services.
The HERMES clinical record reconciliation engine embedded within the HELIOS platform.
All physician review queues, telemedicine routing, and care navigation features.
The HELIOS clinical research participation program (separately consented in Section 12).
All communications, notifications, and outputs generated by HELIOS systems.

1.3 Definitions

Term	Definition	Jurisdiction Relevance
AI Assessment	The structured clinical output generated by the HELIOS 107-agent consensus system prior to physician review. Not a medical diagnosis.	All jurisdictions
Clinical Navigation Output	Any information, structured summary, or care pathway recommendation produced by HELIOS for patient or physician use.	All jurisdictions
Consensus Agents	The 107 specialist-trained AI agents operating within the HELIOS orchestrator using multi-model consensus (Weighted Log Opinion Pool + Kendall's W).	All jurisdictions
De-identified Data	Patient data from which all direct and indirect identifiers have been removed per HIPAA Safe Harbor (45 CFR §164.514(b)) and GDPR Recital 26 standards.	US + EU + all LatAm
FHIR Bundle	A standardized clinical document in HL7 FHIR R4 format produced by the HERMES pipeline.	US + EU + UK
HERMES Pipeline	The 6-layer clinical record reconciliation engine processing foreign medical documents (drug resolution, lab conversion, vaccine normalisation, code translation, geographic risk detection, FHIR assembly).	All jurisdictions
Medical Knowledge Graph (MKG)	The proprietary database of 121,671+ drug aliases, 76 countries, 12 government registries, and all derived clinical knowledge assets.	All jurisdictions
Physician Review Queue	The secure interface through which licensed physicians review, edit, and sign AI-generated clinical assessments before patient delivery.	All jurisdictions
Pre-Assessment Lock	The immutable, timestamped record of the AI consensus output stored before any physician interaction, required for clinical research validity.	All jurisdictions — FDA/EU MDR
Research Data	De-identified clinical data voluntarily contributed by consenting users for the HELIOS clinical validation research program.	US (FDA), EU (MDR), LatAm
Sensitive Health Data	All data relating to physical or mental health, medications, diagnoses, procedures, lab values, and genetic information.	GDPR Art. 9 / HIPAA / LatAm laws
Telemedicine Partner	Licensed physician networks and healthcare providers integrated with HELIOS to provide physician review and clinical validation services.	All jurisdictions

SECTION 2 — WHAT HELIOS IS AND IS NOT

2.1 What HELIOS Is

HELIOS is a care-completion platform providing:

Multilingual clinical triage and symptom collection in 20+ languages using the OLDCARTS methodology.
AI-assisted synthesis of clinical history into structured, coded medical records.
Cross-border medical record reconciliation (drug name resolution, lab value conversion, vaccine normalisation, diagnosis code translation, geographic disease risk detection).
Secure routing of structured clinical information to licensed physicians for review, validation, and signature.
Patient-owned, portable, FHIR R4-compliant health records accessible across healthcare systems in multiple countries.
Care navigation and health information to assist patients in accessing appropriate medical care.
Environmental health monitoring (pollen, air quality, UV, weather) integrated with individual health thresholds.

2.2 What HELIOS Is Not

HELIOS is explicitly NOT:

A licensed medical practitioner, physician, hospital, or healthcare facility.
An emergency service or crisis intervention platform.
A diagnostic tool — the AI Assessment is a structured clinical information output, not a diagnosis.
A prescription service operating autonomously — all prescriptions (where offered) are issued exclusively by licensed physicians after independent clinical review.
A substitute for in-person medical care for serious, chronic, or complex conditions.
A mental health crisis service — users in crisis must contact emergency services immediately.

2.3 The Physician-in-the-Loop Model

All clinical outputs from HELIOS that constitute clinical assessments, diagnosis suggestions, treatment recommendations, or prescription support are subject to mandatory review by a licensed physician before delivery to the patient. This means:

The HELIOS AI generates a structured clinical assessment (the "Pre-Assessment") based on patient-reported information.
This Pre-Assessment is reviewed by a licensed physician independently — the physician reviews patient data before seeing the AI Pre-Assessment to avoid anchoring bias.
The physician may confirm, modify, or reject the AI Pre-Assessment.
Only after physician signature is any clinical output delivered to the patient.
All edits and reason codes from physician review are logged immutably for audit and clinical improvement purposes.

RESEARCH NOTE: The sequential disclosure model (patient data presented before AI Pre-Assessment) is required for the methodological validity of HELIOS's embedded clinical research program and FDA/EU regulatory evidence generation. This design prevents anchoring bias and ensures true independent AI-physician concordance measurement.

SECTION 3 — USER ELIGIBILITY AND ACCOUNT REGISTRATION

3.1 Eligibility

To use HELIOS you must:

Be at least 18 years of age, OR have a parent or legal guardian create and manage your account on your behalf.
Have legal capacity to enter into binding agreements in your jurisdiction of residence.
Not be located in a jurisdiction where HELIOS is legally prohibited.
Agree to provide accurate and complete information about your health history and identity.

3.2 Account Registration and Identity Verification

Registration requires: full name, date of birth, country of residence, email address, and mobile number. For prescription-related services, government ID verification may be required under applicable telemedicine regulations. You warrant that all information provided is accurate, complete, and not misleading.

3.3 Account Security

You are responsible for maintaining the confidentiality of your account credentials. HELIOS implements technical security measures including AES-256-GCM encryption at rest, TLS 1.3 in transit, and multi-factor authentication options. You must notify us immediately at [email protected] if you suspect unauthorized access.

SECTION 4 — HIPAA COMPLIANCE (UNITED STATES)

4.1 HIPAA Covered Entity Status

Axessible Tech Inc operates as a Business Associate with respect to HIPAA-covered healthcare providers integrated into the HELIOS platform. Where HELIOS functions as a health plan or healthcare clearinghouse, it may also operate as a Covered Entity. This Notice of Privacy Practices applies to all Protected Health Information (PHI) created, received, maintained, or transmitted in connection with HELIOS services.

4.2 Your HIPAA Rights (US Users)

Under HIPAA (45 CFR Parts 160 and 164), you have the right to:

Access and receive a copy of your health information (45 CFR §164.524).
Request amendment of your health information (45 CFR §164.526).
Request an accounting of disclosures (45 CFR §164.528).
Request restrictions on certain uses and disclosures (45 CFR §164.522).
Receive confidential communications (45 CFR §164.522(b)).
File a complaint with the HHS Office for Civil Rights (OCR) at www.hhs.gov/ocr.

4.3 Uses and Disclosures of PHI

HELIOS uses and discloses PHI for:

Treatment: Providing clinical navigation, sharing structured health records with licensed physicians, facilitating care coordination.
Healthcare Operations: Quality improvement, AI model performance evaluation using de-identified data, clinical audit under FDA 21 CFR Part 11.
Payment: Processing subscription fees and insurance-related transactions.
Required by Law: Disclosures required by federal or state law, including mandatory reporting obligations.
Research: Only with a valid IRB-approved protocol, patient authorization, or applicable waiver. See Section 12.

4.4 Minimum Necessary Standard

HELIOS applies the minimum necessary standard to all uses and disclosures of PHI, accessing only the information reasonably necessary to accomplish the intended purpose.

4.5 Business Associate Agreements

All subprocessors handling PHI on behalf of HELIOS have executed Business Associate Agreements (BAAs) satisfying 45 CFR §164.504. Subprocessors include but are not limited to: Anthropic (AI inference), Supabase (data infrastructure), Hume AI (voice processing — HIPAA BAA executed), Twilio (communications), DocuPipe (document processing), and SendGrid (email). A current list of BAA-covered subprocessors is available at heliosmed.ai/legal/baa-list.

4.6 Breach Notification

In the event of a breach of unsecured PHI, HELIOS will provide notification to affected individuals, the Secretary of HHS, and (for breaches involving more than 500 individuals in a state) prominent media outlets, in accordance with 45 CFR §§164.400-414. Notifications will be provided without unreasonable delay and within 60 days of discovery of the breach.

4.7 State Law Compliance

HELIOS complies with more stringent state privacy laws where applicable, including: California CMIA and CPRA, New York SHIELD Act, Texas THIPA, Illinois BIPA, and other applicable state health privacy statutes.

SECTION 5 — GDPR COMPLIANCE (EUROPEAN UNION AND EEA)

5.1 Data Controller Identity

For users in the European Union and European Economic Area, the data controller is: Axessible Technologies SL, registered in Barcelona, Spain (EU operating entity). Data Protection Officer contact: [email protected]. EU Representative for GDPR Article 27 purposes: Axessible Technologies SL, Barcelona, Spain.

5.2 Legal Bases for Processing (GDPR Article 6 and 9)

We process your personal data under the following legal bases:

Processing Activity	Legal Basis (Art. 6)	Special Category Basis (Art. 9)
Account registration and identity verification	Article 6(1)(b) — contract performance	Not applicable
Clinical triage and symptom collection	Article 6(1)(a) — explicit consent	Article 9(2)(a) — explicit consent
AI clinical assessment generation	Article 6(1)(a) — explicit consent	Article 9(2)(a) — explicit consent
Physician review and clinical validation	Article 6(1)(a) — explicit consent	Article 9(2)(h) — healthcare provision
FHIR record generation and storage	Article 6(1)(a) — explicit consent	Article 9(2)(h) — healthcare provision
Cross-border drug reconciliation (HERMES)	Article 6(1)(a) — explicit consent	Article 9(2)(h) — healthcare provision
Clinical research (de-identified)	Article 6(1)(a) — explicit consent	Article 9(2)(j) — public interest research
Environmental health monitoring	Article 6(1)(a) — explicit consent	Article 9(2)(a) — explicit consent
Safety notifications and alerts	Article 6(1)(d) — vital interests	Article 9(2)(c) — vital interests
Legal compliance and audit logs	Article 6(1)(c) — legal obligation	Article 9(2)(b) — legal obligation
EU AI Act Article 14 human oversight logs	Article 6(1)(c) — legal obligation	Article 9(2)(b) — legal obligation

5.3 Your GDPR Rights

As a data subject under GDPR, you have the following rights, exercisable by contacting [email protected]:

Right of Access (Art. 15): Obtain confirmation of whether your data is processed and receive a copy.
Right to Rectification (Art. 16): Request correction of inaccurate personal data.
Right to Erasure (Art. 17): Request deletion of your personal data, subject to legal retention obligations.
Right to Restrict Processing (Art. 18): Request temporary restriction of processing in certain circumstances.
Right to Data Portability (Art. 20): Receive your data in a structured, machine-readable format (FHIR R4 IPS bundle provided on request).
Right to Object (Art. 21): Object to processing based on legitimate interests or for direct marketing.
Right to Withdraw Consent (Art. 7(3)): Withdraw consent at any time without affecting prior lawful processing.
Right to Complain: Lodge a complaint with your national supervisory authority. EU supervisory authority directory: edpb.europa.eu.

5.4 Data Retention

Health data is retained for the following periods, unless earlier deletion is requested:

Active patient records: Duration of account plus 10 years (EU medical record retention standards).
Clinical research de-identified data: Indefinitely as part of the Medical Knowledge Graph, as de-identified data falls outside GDPR scope per Recital 26.
Audit logs (EU AI Act and 21 CFR Part 11): Minimum 7 years, immutable, append-only.
Session recordings and transcripts: 5 years or as required by applicable telemedicine regulations.
Account data after deletion request: 90 days for backup systems, then permanent deletion certified.

5.5 International Data Transfers

Your personal data may be transferred to and processed in countries outside the EU/EEA. All such transfers comply with GDPR Chapter V requirements.

SECTION 6 — SWISS DATA PROTECTION COMPLIANCE

6.1 Swiss Federal Act on Data Protection (revFADP / nDSG)

For users accessing HELIOS through heliosmed.ai or from Switzerland, the revised Swiss Federal Act on Data Protection (nDSG, effective September 1, 2023) applies. Key provisions:

Health data is classified as "particularly sensitive personal data" under nDSG Article 5(c) and requires explicit consent.
Data processors operating on behalf of HELIOS are bound by nDSG-compliant data processing agreements.
Swiss professional secrecy obligations under Swiss Criminal Code Article 321 (Berufsgeheimnis) apply to all medical information processed by HELIOS in Switzerland.
Data breach notification to the Federal Data Protection and Information Commissioner (FDPIC) within 72 hours of discovery.

6.2 Swiss Data Residency

Swiss patient data is processed and stored on Exoscale SKS infrastructure located in Geneva, Switzerland (ch-gva-2), ensuring Swiss data sovereignty. This infrastructure is separate from EU data infrastructure and does not cross Swiss borders without explicit patient consent and SCC protections.

6.3 Swissmedic

Software as a Medical Device (SaMD) functions of HELIOS deployed in Switzerland will be registered with Swissmedic as required under the Helios Medical Devices Ordinance (MedDO) and the corresponding EU MDR/IVDR requirements, leveraging EU-Switzerland MRA frameworks upon ratification.

SECTION 7 — LATIN AMERICA PRIVACY AND REGULATORY COMPLIANCE

7.1 Argentina — Ley 25.326 and Clinical Research

For users in Argentina, the Ley de Proteccion de los Datos Personales (Law 25.326) and its regulatory decrees apply. HELIOS registers all databases containing Argentine user data with the Agencia de Acceso a la Informacion Publica (AAIP), obtains free, informed, and unambiguous consent for all sensitive health data processing, and provides Argentine users with rights of access, rectification, update, and deletion (habeas data) exercisable at [email protected].

7.2 Colombia — Ley 1581 de 2012 and Ley 1438 de 2011

For users in Colombia, all personal data processing complies with Ley Estatutaria 1581 de 2012 (Habeas Data) and its regulatory decrees. Health data is classified as "dato sensible" under Article 5 of Law 1581 and requires explicit authorization for collection and processing. Telemedicine services comply with Ley 1438 de 2011 and Resolucion 2654 de 2019.

7.3 Mexico — LFPDPPP and NOM-024-SSA3

For users in Mexico, all personal data processing complies with the Ley Federal de Proteccion de Datos Personales en Posesion de los Particulares (LFPDPPP) and its Reglamento. Health data is classified as "datos sensibles" under LFPDPPP Article 3(VI) and requires explicit written consent. Users have rights of Acceso, Rectificacion, Cancelacion y Oposicion (ARCO) exercisable at [email protected].

7.4 Brazil — LGPD and ANVISA

For users in Brazil, all personal data processing complies with the Lei Geral de Protecao de Dados (LGPD, Lei 13.709/2018) and regulations of the Autoridade Nacional de Protecao de Dados (ANPD). Health data is classified as "dados sensiveis" under LGPD Article 11 and requires explicit consent. Users in Brazil have rights under LGPD Article 18.

7.5 Other Latin American Jurisdictions

HELIOS monitors and complies with applicable privacy and health data laws in all jurisdictions where it operates, including but not limited to: Chile (Ley 19.628, Ley 20.584), Peru (Ley 29733), Uruguay (Ley 18.331), and other LatAm markets. Contact [email protected] for jurisdiction-specific inquiries.

SECTION 8 — UNITED KINGDOM COMPLIANCE

8.1 UK GDPR and DPA 2018

For users in the United Kingdom, the UK GDPR (as retained by the Data Protection Act 2018) applies. The data controller for UK users is Axessible Technologies SL (Barcelona), operating as an international data controller with UK data subjects.

8.2 NHS Digital Technology Assessment Criteria (DTAC)

HELIOS is committed to meeting NHS DTAC standards before any NHS system connection or NHS patient data processing. Year 1 (2026): HERMES receives documents uploaded by patients or clinical staff — no direct NHS system connection. Year 2 (2027): EHR write-back via SMART on FHIR upon completion of DTAC assessment and NHS trust B2B agreements.

8.3 MHRA and CE Mark Recognition

CE marks for HELIOS SaMD functions are recognised in the UK until June 30, 2030 (UK MHRA Medical Device Regulations). HELIOS will pursue UKCA marking via MHRA pathway in parallel with EU MDR CE marking before the 2030 deadline.

SECTION 9 — DATA SECURITY ARCHITECTURE

9.1 Encryption Standards

At rest: AES-256-GCM with envelope encryption. Per-document Data Encryption Keys (DEKs) wrapped by Key Encryption Keys (KEKs).
In transit: TLS 1.3 with Perfect Forward Secrecy for all client-server communications. mTLS for service-to-service.
Key management: AWS KMS for EU infrastructure; HSM-backed for Swiss infrastructure.
Post-quantum readiness: HELIOS is monitoring NIST PQC standards (ML-KEM FIPS 203, ML-DSA FIPS 204) and will implement hybrid classical+PQC key exchange before 2030.

9.2 Access Controls

Role-based access control (RBAC) with principle of least privilege.
Multi-factor authentication required for all physician access.
Immutable audit logs for all data access events (EU AI Act Art. 12, FDA 21 CFR Part 11).
Automated anomaly detection on access patterns.

9.3 Infrastructure Security

Primary EU: AWS eu-west-3 (Paris), France — ISO 27001, SOC 2 Type II certified.
Swiss sovereign: Exoscale SKS ch-gva-2 (Geneva) — Swiss data sovereignty guarantee.
No patient data stored in browser localStorage or client-side storage.
Penetration testing: Annual third-party penetration test. Bug bounty program maintained.

9.4 Concurrency and Rate Limiting

AI inference calls are capped at 3 concurrent requests with 500ms stagger to prevent resource exhaustion and ensure clinical safety in high-load scenarios. Model fallback chain: Anthropic claude-opus-4-6 to OpenAI GPT-4o to Gemini 2.5 Flash to GPT-4o-mini (cross-provider to avoid single-provider rate limit failures).

SECTION 10 — PHYSICIAN NETWORK, CLINICAL RESPONSIBILITY, AND MALPRACTICE

10.1 Independent Physician Network

Physicians reviewing and validating HELIOS AI Assessments are independent licensed medical professionals operating through telemedicine partner networks. These physicians are not employees of Axessible Technologies SL or Axessible Tech Inc.

10.2 Clinical Accountability

The licensed physician who reviews and signs a clinical output is solely responsible for the clinical judgment expressed in that signed output. HELIOS provides informational tools to assist clinical decision-making; it does not substitute for physician judgment.

10.3 Scope of Service and Exclusions

Physician review through HELIOS is appropriate for: common acute conditions, medication reconciliation and prescription renewal for stable chronic conditions, clinical record review and cross-border reconciliation, and care navigation for specialist referral.

Physician review through HELIOS is NOT appropriate for: medical emergencies, new diagnoses of serious conditions requiring physical examination, mental health crises, pediatric emergencies, or conditions requiring immediate in-person assessment.

10.4 Prescription Services

Where prescription services are offered through HELIOS: prescriptions are issued exclusively by licensed physicians after independent clinical assessment. Controlled substances, injectables, and medications requiring laboratory monitoring are excluded from telehealth renewal services.

SECTION 11 — IMMIGRATION-SENSITIVE AND VULNERABLE POPULATION PRIVACY PROTECTIONS

11.1 The Privacy Risk of Cross-Border Health Data

HELIOS serves populations including international migrants, refugees, undocumented individuals, and persons whose health data may reveal immigration status, country of origin, or politically sensitive information. HELIOS implements the most stringent privacy protections for this population.

11.2 Patient-Controlled Privacy Flags (Patent Method A7)

HELIOS implements patient-controlled privacy flags encoded as FHIR extensions and propagated through all downstream data operations. Patients may selectively restrict disclosure of: HIV/AIDS status, tropical or endemic disease diagnoses, vaccination records, mental health diagnoses, reproductive health information, genetic information, and substance use disorder treatment records.

11.3 No Disclosure to Immigration Authorities

HELIOS will not voluntarily disclose patient health information to immigration authorities, law enforcement, or government agencies relating to immigration status under any circumstances. HELIOS will resist legal compulsion for such disclosure to the maximum extent permitted by law.

11.4 Refugee and Displaced Person Protections

For users who are refugees, asylum seekers, or internally displaced persons, HELIOS applies the highest tier of privacy protections and provides health record portability that does not depend on national identification documents.

SECTION 12 — CLINICAL RESEARCH PARTICIPATION AND CONSENT

12.1 Nature of the Research Program

HELIOS operates an embedded clinical validation research program (the "HELIOS Validation Study"). The purpose is to evaluate the accuracy and safety of AI-assisted clinical assessment compared to physician assessment, and to generate Real-World Evidence (RWE) for regulatory submissions to the FDA (De Novo pathway), EU MDR Notified Bodies, and other global regulatory authorities. Participation is entirely voluntary and separate from your clinical care.

12.2 Dual Consent Model

HELIOS captures two separate consent determinations:

Consent A — Clinical Care: Authorization for HELIOS to process your health data for clinical care purposes (mandatory to use the platform).
Consent B — Research Participation: Voluntary authorization to contribute de-identified data to the HELIOS Validation Study (optional, may be withdrawn at any time without affecting your clinical care or account).

12.3–12.9 Research Details

Research participation involves capture of AI Pre-Assessments with immutable timestamps, physician independent review, concordance measurement, and de-identification. Data minimisation includes pseudonymous research IDs, age ranges, WHO region codes, and NLP-scrubbed free-text fields. Withdrawal of research consent does not affect clinical care. Full details are available in the downloadable PDF document.

SECTION 13 — HERMES CLINICAL RECORD RECONCILIATION

13.1 What HERMES Does

HERMES (Health Exchange and Record Migration Engine System) is the proprietary clinical reconciliation engine within HELIOS. It processes uploaded foreign medical documents through six sequential layers:

Layer	Function	Output
L1	Document Ingestion — OCR extraction + 20-language clinical NLP entity extraction	Structured clinical data with OLDCARTS schema
L2	Drug Resolution — Foreign trade name to WHO INN to destination formulary (121,671 aliases, 76 countries)	Confidence-gated drug equivalents with human review for below-threshold
L3	Lab Conversion — Country + date-aware measurement standard inference (IFCC/NGSP, SI/conventional, 575 analytes)	Converted values with original values preserved and confidence annotation
L4	Vaccine Normalisation — BCG detection, 15+ name formats, IGRA substitution recommendation, 174 national schedules	FHIR ClinicalImpression with substitution recommendation
L5	Diagnostic Code Translation — CIE-10, CIM-10, CID-10, MKB-10, KCD to ICD-10-CM	Original code retained + best-match with confidence; mandatory review if below threshold
L6	Geographic Risk — Origin + medication intersection matrix (Strongyloides/Chagas/G6PD/NTI dose)	FHIR ServiceRequest for mandatory pre-prescribing serology

13.2 Confidence Gating and Human Review

Every HERMES output carries an explicit confidence score. Outputs below 0.80 confidence on any layer are routed to the human review queue and are NOT automatically delivered to the physician or patient. Narrow Therapeutic Index (NTI) drugs always route to human review regardless of confidence score.

13.3 User Responsibility for Uploaded Documents

When uploading medical documents to HERMES, you warrant that: (a) you have the right to upload and share these documents, (b) the documents accurately represent your medical history, and (c) you have obtained any necessary consent from other individuals referenced in the documents.

SECTION 14 — INTELLECTUAL PROPERTY

14.1 HELIOS IP Ownership

All intellectual property in the HELIOS platform, including but not limited to: the HERMES 6-layer pipeline architecture; the 107-agent Consensus Agents system; the Medical Knowledge Graph (MKG); and all patent methods (A1-A7, DDI-1, MKG-1) — are the exclusive intellectual property of Axessible Technologies SL and/or Axessible Tech Inc.

14.2 Patient-Generated Data

Your personal health information remains your data. You grant HELIOS a non-exclusive, royalty-free, worldwide licence to process your data for the purposes described in this agreement.

SECTION 15 — DISCLAIMERS, LIMITATION OF LIABILITY, AND INDEMNIFICATION

DISCLAIMER: HELIOS does not provide medical advice, diagnosis, or treatment. All clinical outputs are informational and require physician review. Nothing in HELIOS substitutes for professional medical judgment. Users rely on HELIOS outputs at their own risk and should always consult a licensed healthcare provider for medical decisions.

15.2 AI Limitations

HELIOS AI systems, including the 107 Consensus Agents, may produce inaccurate, incomplete, or contextually inappropriate outputs. HELIOS implements multiple safety mechanisms (7 deterministic safety gates, Kendall's W concordance measurement, mandatory physician review) to mitigate this risk, but no AI system is infallible.

15.3 Limitation of Liability

To the maximum extent permitted by applicable law: HELIOS's total aggregate liability for any claim arising from or relating to this agreement shall not exceed the greater of: (a) the amount paid by you to HELIOS in the 12 months preceding the claim, or (b) USD 1,000. This limitation does not apply to death or personal injury caused by HELIOS's gross negligence or wilful misconduct, fraud, or any liability that cannot be excluded under applicable law.

15.4 Indemnification

You agree to indemnify, defend, and hold harmless HELIOS and its officers, directors, employees, and agents from any claims, damages, losses, costs, and expenses arising from: (a) your violation of this agreement; (b) your misuse of the HELIOS platform; (c) your provision of false or misleading health information; or (d) your violation of any third party's rights.

SECTION 16 — PAYMENT, SUBSCRIPTIONS, AND REFUND POLICY

16.1 Pricing Tiers

Free Tier: AI triage and symptom collection. No physician review. No clinical outputs.
Clinical Tier (USD 9.90/month or USD 99/year): Full AI triage, physician review, clinical navigation outputs, health record management.
HERMES Report: USD 29 per report (one-time, per-document cross-border reconciliation report).
Enterprise/B2B: Custom pricing per partnership agreement.

16.2 Automatic Renewal and Cancellation

Subscriptions automatically renew unless cancelled at least 24 hours before the renewal date. Cancel at any time through account settings. Refunds are provided for unused subscription months only where required by applicable law.

SECTION 17 — GOVERNING LAW AND DISPUTE RESOLUTION

17.1 Governing Law by Jurisdiction

User Location	Governing Law	Mandatory Consumer Protections
United States	Laws of Delaware, USA	State consumer protection laws apply additively
European Union	Law of Spain (EU law applies mandatorily)	EU Consumer Rights Directive, GDPR, EU AI Act
Switzerland	Swiss law applies	Swiss FADP, Swiss consumer law
United Kingdom	Law of England and Wales	UK GDPR, Consumer Rights Act 2015
Argentina	Law of Argentina applies locally	Ley 24.240, Law 25.326
Colombia	Law of Colombia applies locally	Ley 1480 de 2011, Law 1581
Mexico	Law of Mexico (CDMX) applies locally	LFPDPPP, Ley Federal de Proteccion al Consumidor
Brazil	Law of Brazil (Sao Paulo) applies locally	CDC (Law 8.078/90), LGPD

17.2 Dispute Resolution

Most disputes can be resolved by contacting [email protected]. For disputes not resolved informally within 30 days: US users may use binding arbitration under AAA Commercial Arbitration Rules; EU users may use the EU Online Dispute Resolution platform; Swiss users: Courts of Geneva; UK users: Courts of England and Wales; LatAm users: Local courts per governing law above.

CLASS ACTION WAIVER: To the extent permitted by applicable law, you waive any right to bring claims as a class action, collective action, or representative proceeding.

SECTION 18 — AI TRANSPARENCY, MODEL INFORMATION, AND PREDETERMINED CHANGE CONTROL

18.1 AI Systems in Use

claude-opus-4-6 (Anthropic): Patient-facing chat, moderator function, HERMES clinical reasoning layers L2, L5, L6.
claude-sonnet-4-5 (Anthropic): Specialist agents (107 Consensus Agents), safety reviewers.
Gemini 2.5 Flash (Google): Bulk OCR pre-processing (HERMES L1), cross-model verification only.
Hume EVI 4 mini (Hume AI): Voice interaction, emotional intelligence analysis (Face + Prosody + Language, AI-PHQ-9).
Fallback chain: Anthropic to OpenAI GPT-4o to Gemini 2.5 Flash to GPT-4o-mini (cross-provider).

18.2 Model Update Policy (PCCP)

HELIOS operates a Predetermined Change Control Plan (PCCP) governing all changes to AI models. Model updates that change the intended clinical function, materially alter performance characteristics, or introduce new clinical claims require re-validation before deployment.

18.3 No Autonomous Clinical Decisions

HELIOS AI systems do not make autonomous clinical decisions. All clinical outputs are gated through 7 deterministic safety gates, presented to a licensed physician for independent review before delivery, and the physician's signed assessment constitutes the clinical act.

18.4 Explainability

Every HELIOS clinical output includes: the confidence score per safety gate; the consensus score (Kendall's W) across the 107 Consensus Agents; the resolution stages for any HERMES drug or lab conversion; and the reasoning chain available for physician and patient review. No black-box outputs are delivered to patients.

SECTION 19 — GENERAL PROVISIONS

19.1 Entire Agreement

This document, together with the HELIOS Privacy Addendum and any applicable jurisdiction-specific supplements, constitutes the entire agreement between you and HELIOS.

19.2 Amendments

HELIOS reserves the right to amend these Terms at any time. Material changes will be notified to active users via email and in-app notification at least 30 days before the effective date.

19.3 Severability

If any provision of this agreement is found unenforceable, that provision shall be modified to the minimum extent necessary, and all other provisions shall remain in full force and effect.

19.4 Waiver

Failure to enforce any right or provision does not constitute waiver of that right or provision.

19.5 Force Majeure

HELIOS is not liable for failures or delays caused by circumstances beyond its reasonable control, including natural disasters, pandemic, acts of government, cyberattacks on third-party infrastructure, or critical AI model provider outages.

19.6 Contact Information

Purpose	Contact	Response Time
General Support	[email protected] / [email protected]	48 hours
Legal and Privacy (EU/CH)	[email protected]	72 hours (GDPR: 30 days for formal requests)
HIPAA Privacy Officer (US)	[email protected]	5 business days
Data Protection Officer	[email protected]	30 days per GDPR Article 12
Security Incidents	[email protected]	24 hours
Research Participation	[email protected]	5 business days
HERMES Clinical Queries	[email protected]	5 business days
Spanish Language (LatAm)	[email protected]	72 hours

CONSENT ACKNOWLEDGMENT

IMPORTANT: By creating a HELIOS account or using the HELIOS platform, you confirm that you have read, understood, and agree to these Terms of Service, Privacy Policy, and Research Participation Agreement in their entirety. If you do not agree, you must not use the platform.

CONSENT A — CLINICAL CARE (REQUIRED)

I consent to HELIOS processing my health data for clinical care purposes as described in this agreement. I understand that clinical outputs require physician validation and do not constitute medical advice.

CONSENT B — RESEARCH PARTICIPATION (OPTIONAL)

I voluntarily consent to participate in the HELIOS Validation Study. I understand that my de-identified data may be used for research, regulatory submissions (including FDA and EU MDR), and peer-reviewed publications. I understand this consent is optional, does not affect my clinical care, and may be withdrawn at any time by contacting [email protected].

CONSENT C — CROSS-BORDER DATA TRANSFER (REQUIRED FOR INTERNATIONAL USE)

I consent to the transfer of my health information to healthcare providers, physician networks, and data processors in the countries necessary to provide the HELIOS service, subject to the protections and safeguards described in this agreement.

HELIOS | heliosmed.ai | midoctor.ai | heliosmed.ai

Version 2.0 — March 2026 | Effective Date: March 28, 2026

Axessible Technologies SL (Barcelona) | Axessible Tech Inc (Delaware)

[email protected]

AVISO CRÍTICO DE SALUD — LEA ANTES DE USAR ESTA PLATAFORMA

EMERGENCIAS: HELIOS NO es un servicio de emergencias. Si usted experimenta una situación de riesgo vital — incluyendo dolor severo en el pecho, dificultad respiratoria aguda, pérdida de conciencia, sangrado grave, síntomas de accidente cerebrovascular, anafilaxia, crisis suicida o cualquier condición que implique riesgo inmediato para la vida — debe llamar inmediatamente a su número de emergencias local (911 en EE.UU. y México, 112 en la UE, 107 en Argentina, 192 en Brasil, 123 en Colombia) y acudir al servicio de urgencias más cercano. No utilice esta plataforma en situaciones de emergencia.

NO ES UNA HERRAMIENTA DIAGNÓSTICA: HELIOS es una plataforma de navegación clínica, gestión de registros médicos e información de salud. No es un profesional médico con licencia. Todas las evaluaciones clínicas generadas por HELIOS son resultados informativos que requieren revisión y validación por un médico con licencia antes de que se tome cualquier decisión clínica. Nada en esta plataforma constituye un diagnóstico médico, una prescripción o una recomendación de tratamiento.

MENORES DE EDAD: Esta plataforma no está diseñada para usuarios menores de 18 años. Los menores de 18 años deben tener a un padre o tutor legal que cree y gestione su cuenta. No se recopilarán datos de usuarios menores de 13 años bajo ninguna circunstancia.

SECCIÓN 1 — PARTES, ÁMBITO DE APLICACIÓN Y DEFINICIONES

1.1 Entidades Corporativas

Este documento constituye un acuerdo legalmente vinculante entre usted ("Usuario", "Paciente" o "Participante de Investigación") y las siguientes entidades corporativas (colectivamente, "HELIOS", "nosotros" o "nuestro"):

Axessible Technologies SL — registrada en Barcelona, España (entidad operativa en la UE). Responsable principal del tratamiento de datos en la UE según el RGPD.
Axessible Tech Inc — registrada en Delaware, EE.UU. (entidad operativa en EE.UU.). Entidad afiliada principal cubierta por HIPAA.
Estas entidades operan conjuntamente bajo las marcas HELIOS, heliosmed.ai y midoctor.ai.

1.2 Ámbito de la Plataforma

Este acuerdo regula el acceso y uso de:

La plataforma de atención HELIOS accesible en heliosmed.ai, midoctor.ai y todas las aplicaciones móviles, APIs y servicios integrados asociados.
El motor de reconciliación de registros clínicos HERMES integrado en la plataforma HELIOS.
Todas las funciones de cola de revisión médica, teleconsulta y navegación de atención.
El programa de investigación clínica de HELIOS (con consentimiento separado en la Sección 12).
Todas las comunicaciones, notificaciones y resultados generados por los sistemas HELIOS.

1.3 Definiciones

Término	Definición	Relevancia jurisdiccional
Evaluación IA	El resultado clínico estructurado generado por el sistema de consenso de 107 agentes de HELIOS antes de la revisión médica. No es un diagnóstico médico.	Todas las jurisdicciones
Agentes de Consenso	Los 107 agentes de IA entrenados por especialidad que operan dentro del orquestador de HELIOS utilizando consenso multimodelo (WLOP + W de Kendall).	Todas las jurisdicciones
Datos Anonimizados	Datos del paciente de los que se han eliminado todos los identificadores directos e indirectos según los estándares HIPAA (45 CFR §164.514(b)) y RGPD Considerando 26.	EE.UU. + UE + toda LatAm
Paquete FHIR	Documento clínico estandarizado en formato HL7 FHIR R4 producido por el motor HERMES.	EE.UU. + UE + RU
Motor HERMES	El motor de reconciliación de registros clínicos de 6 capas que procesa documentos médicos extranjeros.	Todas las jurisdicciones
Grafo de Conocimiento Médico (GCM)	La base de datos propietaria de más de 121.671 alias de medicamentos, 76 países y 12 registros gubernamentales.	Todas las jurisdicciones
Cola de Revisión Médica	La interfaz segura a través de la cual los médicos con licencia revisan, editan y firman las evaluaciones generadas por IA antes de la entrega al paciente.	Todas las jurisdicciones
Bloqueo de Pre-Evaluación	El registro inmutable con marca de tiempo del resultado del consenso de IA almacenado antes de cualquier interacción médica, requerido para la validez de la investigación clínica.	Todas las jurisdicciones — FDA/EU MDR
Datos de Investigación	Datos clínicos anonimizados aportados voluntariamente por usuarios con consentimiento para el programa de validación clínica de HELIOS.	EE.UU. (FDA), UE (MDR), LatAm
Datos Sensibles de Salud	Todos los datos relativos a la salud física o mental, medicamentos, diagnósticos, procedimientos, valores de laboratorio e información genética.	RGPD Art. 9 / HIPAA / Leyes LatAm

SECCIÓN 2 — QUÉ ES Y QUÉ NO ES HELIOS

2.1 Qué es HELIOS

HELIOS es una plataforma de atención completa que proporciona:

Triaje clínico multilingüe y recopilación de síntomas en más de 20 idiomas utilizando la metodología OLDCARTS.
Síntesis asistida por IA del historial clínico en registros médicos estructurados y codificados.
Reconciliación de registros médicos transfronterizos (resolución de nombres de medicamentos, conversión de valores de laboratorio, normalización de vacunas, traducción de códigos de diagnóstico, detección de riesgo geográfico de enfermedades).
Enrutamiento seguro de información clínica estructurada a médicos con licencia para su revisión, validación y firma.
Registros de salud FHIR R4 portables de propiedad del paciente accesibles en múltiples sistemas sanitarios y países.
Navegación de atención e información de salud para ayudar a los pacientes a acceder a la atención médica adecuada.

2.2 Qué NO es HELIOS

HELIOS NO es:

Un médico, hospital o instalación sanitaria con licencia.
Un servicio de emergencias o plataforma de intervención en crisis.
Una herramienta diagnóstica — la Evaluación IA es un resultado de información clínica estructurada, no un diagnóstico.
Un servicio de prescripción autónomo — todas las prescripciones son emitidas exclusivamente por médicos con licencia tras revisión clínica independiente.
Un sustituto de la atención médica presencial para condiciones graves, crónicas o complejas.
Un servicio de salud mental en crisis — los usuarios en crisis deben contactar inmediatamente con los servicios de emergencia.

2.3 El Modelo con Médico en el Circuito

Todos los resultados clínicos de HELIOS que constituyan evaluaciones clínicas, sugerencias de diagnóstico, recomendaciones de tratamiento o apoyo a prescripciones están sujetos a revisión obligatoria por un médico con licencia antes de su entrega al paciente. Esto significa:

La IA de HELIOS genera una evaluación clínica estructurada (la 'Pre-Evaluación') basada en la información reportada por el paciente.
Esta Pre-Evaluación es revisada por un médico con licencia de forma independiente — el médico revisa los datos del paciente ANTES de ver la Pre-Evaluación de la IA para evitar el sesgo de anclaje.
El médico puede confirmar, modificar o rechazar la Pre-Evaluación de la IA.
Solo tras la firma del médico se entrega cualquier resultado clínico al paciente.
Todas las ediciones y códigos de razón de la revisión médica se registran de forma inmutable para auditoría y mejora clínica.

NOTA DE INVESTIGACIÓN: El modelo de divulgación secuencial (datos del paciente presentados antes de la Pre-Evaluación de la IA) es necesario para la validez metodológica del programa de investigación clínica integrado de HELIOS y para la generación de evidencia regulatoria para FDA/UE.

SECCIÓN 3 — ELEGIBILIDAD Y REGISTRO DE CUENTA

3.1 Elegibilidad

Para usar HELIOS debe:

Tener al menos 18 años de edad, O tener a un padre o tutor legal que cree y gestione su cuenta en su nombre.
Tener capacidad legal para celebrar acuerdos vinculantes en su jurisdicción de residencia.
No encontrarse en una jurisdicción donde HELIOS esté legalmente prohibido.
Comprometerse a proporcionar información precisa y completa sobre su historial de salud e identidad.

3.2 Registro de Cuenta y Verificación de Identidad

El registro requiere: nombre completo, fecha de nacimiento, país de residencia, correo electrónico y número de teléfono móvil. Para los servicios relacionados con prescripciones, puede requerirse verificación de identidad mediante documento oficial según las regulaciones de telemedicina aplicables.

3.3 Seguridad de la Cuenta

Usted es responsable de mantener la confidencialidad de las credenciales de su cuenta. HELIOS implementa medidas de seguridad técnica que incluyen cifrado AES-256-GCM en reposo, TLS 1.3 en tránsito y opciones de autenticación multifactor. Debe notificarnos inmediatamente en [email protected] si sospecha acceso no autorizado.

SECCIÓN 4 — CUMPLIMIENTO DE HIPAA (ESTADOS UNIDOS)

4.1 Estado como Entidad Cubierta HIPAA

Axessible Tech Inc opera como Socio Comercial (Business Associate) con respecto a los proveedores de salud cubiertos por HIPAA integrados en la plataforma HELIOS.

4.2 Sus Derechos HIPAA (Usuarios de EE.UU.)

Bajo HIPAA (45 CFR Partes 160 y 164), usted tiene derecho a:

Acceder y recibir una copia de su información de salud (45 CFR §164.524).
Solicitar la corrección de su información de salud (45 CFR §164.526).
Solicitar un registro de divulgaciones (45 CFR §164.528).
Solicitar restricciones sobre ciertos usos y divulgaciones (45 CFR §164.522).
Recibir comunicaciones confidenciales (45 CFR §164.522(b)).
Presentar una queja ante la Oficina de Derechos Civiles (OCR) del HHS en www.hhs.gov/ocr.

4.3 Usos y Divulgaciones de PHI

HELIOS usa y divulga PHI para: Tratamiento, Operaciones de atención sanitaria, Pago, Requerido por ley, e Investigación (solo con protocolo aprobado por un Comité de Ética / IRB).

4.4 Acuerdos de Socio Comercial

Todos los subencargados que manejan PHI en nombre de HELIOS han firmado Acuerdos de Socio Comercial (BAA) que cumplen con 45 CFR §164.504. Los subencargados incluyen: Anthropic, Supabase, Hume AI, Twilio, DocuPipe y SendGrid.

4.5 Notificación de Brechas de Seguridad

En caso de una brecha de PHI no protegida, HELIOS notificará a las personas afectadas, al Secretario del HHS y (para brechas que involucren a más de 500 personas en un estado) a medios de comunicación prominentes, de conformidad con 45 CFR §164.400-414. Las notificaciones se proporcionarán sin demora injustificada y dentro de los 60 días posteriores al descubrimiento de la brecha.

SECCIÓN 5 — CUMPLIMIENTO DEL RGPD (UNIÓN EUROPEA Y EEE)

5.1 Identidad del Responsable del Tratamiento

Para los usuarios de la Unión Europea y el Espacio Económico Europeo, el responsable del tratamiento de datos es: Axessible Technologies SL, registrada en Barcelona, España. Contacto del Delegado de Protección de Datos: [email protected].

5.2 Bases Legales para el Tratamiento (RGPD Artículos 6 y 9)

Actividad de tratamiento	Base legal (Art. 6)	Base para cat. especial (Art. 9)
Registro de cuenta y verificación de identidad	Art. 6(1)(b) — ejecución del contrato	No aplicable
Triaje clínico y recopilación de síntomas	Art. 6(1)(a) — consentimiento explícito	Art. 9(2)(a) — consentimiento explícito
Generación de evaluación clínica IA	Art. 6(1)(a) — consentimiento explícito	Art. 9(2)(a) — consentimiento explícito
Revisión y validación médica	Art. 6(1)(a) — consentimiento explícito	Art. 9(2)(h) — prestación de atención sanitaria
Reconciliación transfronteriza de medicamentos (HERMES)	Art. 6(1)(a) — consentimiento explícito	Art. 9(2)(h) — prestación de atención sanitaria
Investigación clínica (anonimizada)	Art. 6(1)(a) — consentimiento explícito	Art. 9(2)(j) — investigación de interés público
Registros de auditoría de la Ley de IA de la UE	Art. 6(1)(c) — obligación legal	Art. 9(2)(b) — obligación legal

5.3 Sus Derechos RGPD

Como interesado bajo el RGPD, tiene los siguientes derechos, ejercitables contactando con [email protected]:

Derecho de acceso (Art. 15): Obtener confirmación sobre si sus datos son tratados y recibir una copia.
Derecho de rectificación (Art. 16): Solicitar la corrección de datos personales inexactos.
Derecho de supresión (Art. 17): Solicitar la eliminación de sus datos personales, sujeto a obligaciones legales de conservación.
Derecho a la limitación del tratamiento (Art. 18): Solicitar la limitación temporal del tratamiento.
Derecho a la portabilidad de datos (Art. 20): Recibir sus datos en formato estructurado y legible por máquina (paquete FHIR R4 IPS proporcionado a petición).
Derecho de oposición (Art. 21): Oponerse al tratamiento basado en intereses legítimos o para marketing directo.
Derecho a retirar el consentimiento (Art. 7(3)): Retirar el consentimiento en cualquier momento sin que ello afecte al tratamiento previo legítimo.
Derecho a reclamar: Presentar una reclamación ante su autoridad de control nacional.

5.4 Períodos de Conservación de Datos

Registros de pacientes activos: Duración de la cuenta más 10 años.
Datos de investigación anonimizados: Indefinidamente como parte del GCM.
Registros de auditoría: Mínimo 7 años, inmutables, solo de adición.
Datos de cuenta tras solicitud de eliminación: 90 días para sistemas de respaldo, luego eliminación permanente certificada.

5.5 Transferencias Internacionales de Datos

Transferencias a EE.UU.: Cláusulas Contractuales Tipo (CCT) según la Decisión de la Comisión Europea 2021/914.
Transferencias a Suiza: Suiza cuenta con una decisión de adecuación de la UE.
Almacenamiento de datos principal de la UE: AWS eu-west-3 (París). Almacenamiento de datos suizos: Exoscale SKS ch-gva-2 (Ginebra).

5.6 Cumplimiento de la Ley de IA de la UE

HELIOS y HERMES están clasificados como sistemas de IA de alto riesgo bajo el Reglamento de IA de la UE (2024/1689) Anexo III, Punto 5(b) (sistemas de IA destinados a ser utilizados como dispositivos médicos). Se mantienen registros de auditoría completos según el Art. 14.

SECCIÓN 6 — CUMPLIMIENTO DE LA PROTECCIÓN DE DATOS SUIZA

6.1 Ley Federal Suiza de Protección de Datos (nDSG/revLPD)

Para los usuarios que acceden a HELIOS a través de heliosmed.ai o desde Suiza, se aplica la Ley Federal de Protección de Datos revisada (nDSG, vigente desde el 1 de septiembre de 2023). Los datos de salud se clasifican como 'datos personales especialmente sensibles' bajo el artículo 5(c) de la nDSG y requieren consentimiento explícito.

6.2 Residencia de Datos en Suiza

Los datos de pacientes suizos se procesan y almacenan en la infraestructura Exoscale SKS ubicada en Ginebra, Suiza (ch-gva-2), garantizando la soberanía de datos suiza.

SECCIÓN 7 — CUMPLIMIENTO DE PRIVACIDAD Y REGULATORIO EN AMÉRICA LATINA

7.1 Argentina — Ley 25.326 e Investigación Clínica

Para los usuarios en Argentina, se aplican la Ley de Protección de los Datos Personales (Ley 25.326) y sus decretos reglamentarios. HELIOS registra todas las bases de datos ante la AAIP, obtiene consentimiento libre, expreso e informado, y proporciona derechos de acceso, rectificación, actualización y supresión (habeas data).

7.2 Colombia — Ley 1581 de 2012

Todo tratamiento de datos personales cumple con la Ley Estatutaria 1581 de 2012 (Habeas Data). Los datos de salud se clasifican como 'dato sensible' bajo el Artículo 5 y requieren autorización explícita. Los servicios de telemedicina cumplen con la Ley 1438 de 2011 y la Resolución 2654 de 2019.

7.3 México — LFPDPPP y NOM-024-SSA3

Todo tratamiento de datos personales cumple con la LFPDPPP. Los datos de salud se clasifican como 'datos sensibles' bajo el Artículo 3(VI) y requieren consentimiento expreso por escrito. Los usuarios tienen derechos ARCO ejercitables en [email protected]. Los servicios de telemedicina cumplen con la NOM-024-SSA3-2012.

7.4 Brasil — LGPD y ANVISA

Todo tratamiento de datos personales cumple con la LGPD (Lei 13.709/2018). Los datos de salud se clasifican como 'dados sensíveis' bajo el Artículo 11 y requieren consentimiento explícito. Los usuarios en Brasil tienen los derechos del Artículo 18 de la LGPD. Los servicios de telemedicina cumplen con la Resolución CFM 2.314/2022.

7.5 Otras Jurisdicciones Latinoamericanas

HELIOS monitorea y cumple con las leyes de privacidad y datos de salud aplicables en todas las jurisdicciones donde opera, incluyendo: Chile (Ley 19.628, Ley 20.584), Perú (Ley 29733), Uruguay (Ley 18.331) y otros mercados latinoamericanos.

SECCIÓN 8 — CUMPLIMIENTO DEL REINO UNIDO

8.1 RGPD del RU y DPA 2018

Para los usuarios en el Reino Unido, se aplica el RGPD del RU (tal como fue incorporado por la Ley de Protección de Datos de 2018). El responsable del tratamiento de datos para usuarios del RU es Axessible Technologies SL (Barcelona).

8.2 Criterios de Evaluación de Tecnología Digital del NHS (DTAC)

Año 1 (2026): HERMES recibe documentos cargados por pacientes o personal clínico — sin conexión directa al sistema NHS. Año 2 (2027): Retroescritura en HCE mediante SMART on FHIR tras la evaluación DTAC.

SECCIÓN 9 — ARQUITECTURA DE SEGURIDAD DE DATOS

9.1 Estándares de Cifrado

En reposo: AES-256-GCM con cifrado en sobre. Claves de cifrado de datos (DEK) por documento protegidas por Claves de cifrado de claves (KEK).
En tránsito: TLS 1.3 con Secreto Perfecto hacia Adelante para todas las comunicaciones cliente-servidor. mTLS para comunicaciones entre servicios.
Preparación postcuántica: HELIOS monitorea los estándares NIST PQC e implementará intercambio de claves híbrido clásico+PQC antes de 2030.

9.2 Infraestructura

UE principal: AWS eu-west-3 (París), Francia — certificado ISO 27001, SOC 2 Tipo II.
Soberanía suiza: Exoscale SKS ch-gva-2 (Ginebra).
Ningún dato de pacientes almacenado en localStorage del navegador ni en almacenamiento del lado del cliente.

SECCIÓN 10 — RED DE MÉDICOS, RESPONSABILIDAD CLÍNICA Y NEGLIGENCIA MÉDICA

10.1 Red de Médicos Independientes

Los médicos que revisan y validan las Evaluaciones IA de HELIOS son profesionales médicos independientes con licencia que operan a través de redes de socios de telemedicina. No son empleados de Axessible Technologies SL ni de Axessible Tech Inc.

10.2 Responsabilidad Clínica

El médico con licencia que revisa y firma un resultado clínico es el único responsable del juicio clínico expresado en ese resultado firmado. HELIOS proporciona herramientas informativas para asistir en la toma de decisiones clínicas; no sustituye el juicio del médico.

10.3 Servicios de Prescripción

Las prescripciones son emitidas exclusivamente por médicos con licencia tras una evaluación clínica independiente.
Las prescripciones iniciales para nuevas condiciones requieren interacción médico-paciente según las leyes de telemedicina aplicables.
Las sustancias controladas, inyectables y medicamentos que requieren monitoreo de laboratorio están excluidos de los servicios de renovación por telesalud.

SECCIÓN 11 — PROTECCIONES DE PRIVACIDAD PARA POBLACIONES VULNERABLES Y MIGRANTES

11.1 El Riesgo de Privacidad de los Datos de Salud Transfronterizos

HELIOS sirve a poblaciones que incluyen migrantes internacionales, refugiados, personas indocumentadas y personas cuyos datos de salud pueden revelar el estado migratorio, el país de origen o información políticamente sensible. HELIOS implementa las protecciones de privacidad más estrictas para esta población.

11.2 Indicadores de Privacidad Controlados por el Paciente (Método de Patente A7)

HELIOS implementa indicadores de privacidad codificados como extensiones FHIR. Los pacientes pueden restringir selectivamente la divulgación de:

Estado de VIH/SIDA e historial de tratamiento relacionado.
Diagnósticos de enfermedades tropicales o endémicas que puedan implicar el país de origen.
Registros de vacunación cuyas lagunas puedan implicar entrada no documentada.
Diagnósticos de salud mental.
Información de salud reproductiva.
Información genética.
Registros de tratamiento por trastorno por uso de sustancias.

11.3 Sin Divulgación a Autoridades de Inmigración

HELIOS no divulgará voluntariamente información de salud de pacientes a autoridades de inmigración, fuerzas del orden o agencias gubernamentales relacionadas con el estado migratorio bajo ninguna circunstancia.

SECCIÓN 12 — PARTICIPACIÓN EN INVESTIGACIÓN CLÍNICA Y CONSENTIMIENTO

12.1 Naturaleza del Programa de Investigación

HELIOS opera un programa integrado de validación clínica (el 'Estudio de Validación HELIOS'). El objetivo es evaluar la precisión y seguridad de la evaluación clínica asistida por IA en comparación con la evaluación médica, y generar Evidencia del Mundo Real (RWE) para presentaciones regulatorias ante la FDA (vía De Novo), organismos notificados de la UE MDR y otras autoridades regulatorias globales.

REGISTRO DEL ESTUDIO: El Estudio de Validación HELIOS está registrado en ClinicalTrials.gov. Investigador Principal: Dr. Camilo E. Gutiérrez, MD, FACEP. Comité de Ética: Northwestern Medicine IRB.

12.2 Modelo de Consentimiento Dual

Consentimiento A — Atención Clínica: Autorización para que HELIOS trate sus datos de salud con fines de atención clínica (obligatorio para usar la plataforma).
Consentimiento B — Participación en Investigación: Autorización voluntaria para contribuir datos anonimizados al Estudio de Validación HELIOS (opcional, puede retirarse en cualquier momento).

12.3 Qué Significa Participar en la Investigación

Si consiente en participar en la investigación (Consentimiento B), ocurre lo siguiente:

Su Pre-Evaluación IA se captura con una marca de tiempo inmutable antes de que el médico revise su caso.
La evaluación independiente del médico se captura por separado, permitiendo medir la verdadera concordancia IA-médico sin sesgo de anclaje.
A los 30 y 90 días de su consulta, puede recibir breves preguntas de seguimiento sobre sus resultados de salud.
Todos los datos utilizados para la investigación se anonimizan según el Safe Harbor de HIPAA y el Considerando 26 del RGPD.
Los datos anonimizados pueden incluirse en presentaciones regulatorias ante la FDA, CER de la UE MDR, publicaciones revisadas por pares y comunicaciones con agencias regulatorias.
No será identificable individualmente en ninguna publicación ni presentación regulatoria.

12.4 Cumplimiento de BPC (Buenas Prácticas Clínicas)

El Estudio de Validación HELIOS se realiza de conformidad con: Guías ICH E6(R2), ICH E17, FDA 21 CFR Partes 50 y 56, Reglamento de Ensayos Clínicos de la UE (CTR 536/2014), y requisitos locales de BPC en cada jurisdicción.

12.5 Uso Regulatorio en Latinoamérica

Los datos de investigación de participantes latinoamericanos pueden presentarse ante: COFEPRIS (México), INVIMA (Colombia), ANVISA (Brasil) y ANMAT (Argentina).

12.6 Proceso de Anonimización de Datos

El identificador del paciente es reemplazado por un research_id seudónimo (hash irreversible).
La fecha de nacimiento es reemplazada por un rango de edad (bandas de 5 años).
El origen geográfico es reemplazado por el código de región de la OMS.
Las fechas de atención son desplazadas por un offset aleatorio.
Las condiciones raras se suprimen donde puedan identificar a individuos.
Los campos de texto libre son depurados mediante NLP para eliminar nombres, ubicaciones e identificadores.
El conjunto de datos anonimizados se almacena en un esquema segregado (helios_rwe_deidentified).

12.7 Retiro del Consentimiento de Investigación

Puede retirar el consentimiento de participación en investigación (Consentimiento B) en cualquier momento contactando con [email protected] o a través de la configuración de su cuenta. La retirada no afectará su atención clínica ni el acceso a la plataforma HELIOS.

SECCIÓN 13 — RECONCILIACIÓN DE REGISTROS CLÍNICOS HERMES

13.1 Qué Hace HERMES

HERMES (Health Exchange and Record Migration Engine System / Sistema de Motor de Intercambio y Migración de Registros de Salud) es un motor de reconciliación de registros clínicos de 6 capas integrado en la plataforma HELIOS. Procesa documentos médicos extranjeros y los convierte en registros FHIR R4 estandarizados.

13.2 Las 6 Capas de HERMES

Capa	Función	Método de Patente
L1 — Extracción de Documentos	OCR y extracción estructurada de documentos médicos	—
L2 — Resolución de Medicamentos	Resolución de nombres de medicamentos con umbral de confianza	A1
L3 — Conversión de Laboratorio	Conversión de valores de laboratorio consciente del estándar de informes	A2
L4 — Normalización de Vacunas	Sustitución desencadenada por historial de vacunas	A3
L5 — Traducción de Códigos Diagnósticos	Traducción que preserva la incertidumbre entre ICD-10, SNOMED CT, CIE-10	A5
L6 — Detección de Riesgo Geográfico	Matriz de intersección origen geográfico-tratamiento	A4

13.3 Cola de Revisión Humana

Cuando la confianza de HERMES cae por debajo de los umbrales definidos, los elementos se enrutan a la Cola de Revisión Humana para verificación por un médico con licencia antes de su inclusión en el registro del paciente.

SECCIÓN 14 — PROPIEDAD INTELECTUAL

14.1 Propiedad Intelectual de HELIOS

Toda la propiedad intelectual de la plataforma HELIOS, incluyendo la arquitectura del motor HERMES de 6 capas, el sistema de 107 Agentes de Consenso, el Grafo de Conocimiento Médico (GCM), y todos los métodos de patente asociados, son propiedad intelectual exclusiva de Axessible Technologies SL y/o Axessible Tech Inc.

14.2 Datos Generados por el Paciente

Su información personal de salud sigue siendo de su propiedad. Usted otorga a HELIOS una licencia no exclusiva, libre de royalties y mundial para procesar sus datos con los fines descritos en este acuerdo.

SECCIÓN 15 — EXENCIONES, LIMITACIÓN DE RESPONSABILIDAD E INDEMNIZACIÓN

EXENCIÓN: HELIOS no proporciona asesoramiento, diagnóstico ni tratamiento médico. Todos los resultados clínicos son informativos y requieren revisión médica. Nada en HELIOS sustituye el juicio médico profesional. Los usuarios se apoyan en los resultados de HELIOS bajo su propia responsabilidad y siempre deben consultar a un proveedor de atención médica con licencia para tomar decisiones médicas.

15.2 Limitaciones de la IA

Los sistemas de IA de HELIOS, incluidos los 107 Agentes de Consenso, pueden producir resultados inexactos, incompletos o contextualmente inapropiados. HELIOS implementa múltiples mecanismos de seguridad (7 puertas de seguridad deterministas, medición de concordancia W de Kendall, revisión médica obligatoria) para mitigar este riesgo, pero ningún sistema de IA es infalible.

15.3 Limitación de Responsabilidad

La responsabilidad agregada total de HELIOS no excederá el mayor de: (a) el importe pagado por usted en los 12 meses anteriores, o (b) 1.000 USD.
HELIOS no será responsable de ningún daño indirecto, incidental, especial, consecuente, punitivo o ejemplar.
Esta limitación no se aplica a: muerte o lesiones personales causadas por negligencia grave, fraude, o cualquier responsabilidad que no pueda excluirse bajo la ley aplicable.

SECCIÓN 16 — PAGOS, SUSCRIPCIONES Y POLÍTICA DE REEMBOLSO

16.1 Niveles de Precios

Nivel Gratuito: Triaje de IA y recopilación de síntomas. Sin revisión médica. Sin resultados clínicos.
Nivel Clínico (9,90 USD/mes o 99 USD/año): Triaje completo de IA, revisión médica, resultados de navegación clínica, gestión de registros de salud.
Informe HERMES: 29 USD por informe.
Empresa/B2B: Precios personalizados según el acuerdo de asociación.

16.2 Renovación Automática y Cancelación

Las suscripciones se renuevan automáticamente a menos que se cancelen al menos 24 horas antes de la fecha de renovación. Cancele en cualquier momento a través de la configuración de la cuenta.

SECCIÓN 17 — LEY APLICABLE Y RESOLUCIÓN DE DISPUTAS

17.1 Ley Aplicable por Jurisdicción

Ubicación del usuario	Ley aplicable	Protecciones obligatorias
Estados Unidos	Leyes de Delaware, EE.UU.	Leyes estatales de protección al consumidor
Unión Europea	Ley de España	Directiva de Derechos del Consumidor, RGPD, Ley de IA de la UE
Suiza	Ley suiza	nDSG y ley de consumidores suiza
Reino Unido	Ley de Inglaterra y Gales	RGPD del RU y Ley de Derechos del Consumidor de 2015
Argentina	Ley argentina	Ley 24.240 y Ley 25.326
Colombia	Ley colombiana	Ley 1480 de 2011 y Ley 1581
México	Ley de México (CDMX)	LFPDPPP y Ley Federal de Protección al Consumidor
Brasil	Ley de Brasil (São Paulo)	CDC (Ley 8.078/90) y LGPD

17.2 Resolución de Disputas

Usuarios de EE.UU.: Arbitraje vinculante bajo las Reglas de la AAA, excepto para reclamaciones menores (<10.000 USD).
Usuarios de la UE: Plataforma ODR de la UE (ec.europa.eu/odr). Tribunales españoles para disputas no resueltas.
Usuarios suizos: Tribunales de Ginebra, Suiza.
Usuarios del RU: Tribunales de Inglaterra y Gales.
Usuarios latinoamericanos: Tribunales locales según la ley aplicable.

SECCIÓN 18 — TRANSPARENCIA DE IA, INFORMACIÓN DEL MODELO Y CONTROL DE CAMBIOS

18.1 Sistemas de IA en Uso

claude-opus-4-6 (Anthropic): Chat orientado al paciente, función de moderador, capas de razonamiento clínico HERMES L2, L5, L6.
claude-sonnet-4-5 (Anthropic): Agentes especialistas (107 Agentes de Consenso), revisores de seguridad.
Gemini 2.5 Flash (Google): Preprocesamiento masivo de OCR (HERMES L1), solo verificación entre modelos.
Hume EVI 4 mini (Hume AI): Interacción por voz, análisis de inteligencia emocional (Cara + Prosodia + Lenguaje, AI-PHQ-9).
Cadena de respaldo: Anthropic → OpenAI GPT-4o → Gemini 2.5 Flash → GPT-4o-mini.

18.2 Política de Actualización de Modelos (PCCP)

HELIOS opera un Plan de Control de Cambios Predeterminado (PCCP) que rige todos los cambios en los modelos de IA. Las actualizaciones que cambien la función clínica, alteren el rendimiento o introduzcan nuevas indicaciones requieren revalidación antes de su implementación.

18.3 Sin Decisiones Clínicas Autónomas

Los sistemas de IA de HELIOS no toman decisiones clínicas autónomas. Todos los resultados clínicos son (a) filtrados por 7 puertas de seguridad deterministas, (b) presentados a un médico con licencia para revisión independiente, y (c) la evaluación firmada del médico constituye el acto clínico.

SECCIÓN 19 — DISPOSICIONES GENERALES

19.1 Acuerdo Completo

Este documento, junto con el Adendo de Privacidad de HELIOS y cualquier suplemento específico de jurisdicción aplicable, constituye el acuerdo completo entre usted y HELIOS.

19.2 Modificaciones

HELIOS se reserva el derecho de modificar estos Términos en cualquier momento. Los cambios sustanciales se notificarán a los usuarios activos por correo electrónico y notificación dentro de la aplicación al menos 30 días antes de la fecha de vigencia.

19.3 Separabilidad

Si un tribunal con jurisdicción competente declara inaplicable alguna disposición de este acuerdo, dicha disposición se modificará en la medida mínima necesaria para hacerla aplicable, y todas las demás disposiciones permanecen en plena vigencia.

19.4 Información de Contacto

Propósito	Contacto	Tiempo de respuesta
Soporte general	[email protected] / [email protected]	48 horas
Legal y privacidad (UE/CH)	[email protected]	72 horas (RGPD: 30 días)
Oficial de Privacidad HIPAA (EE.UU.)	[email protected]	5 días hábiles
Delegado de Protección de Datos	[email protected]	30 días según RGPD Art. 12
Incidentes de Seguridad	[email protected]	24 horas
Participación en Investigación	[email protected]	5 días hábiles
Consultas Clínicas HERMES	[email protected]	5 días hábiles
Privacidad LatAm (español)	[email protected]	72 horas

RECONOCIMIENTO DE CONSENTIMIENTO Y FIRMA

IMPORTANTE: Al crear una cuenta en HELIOS o utilizar la plataforma HELIOS, usted confirma que ha leído, comprendido y acepta en su totalidad estos Términos de Servicio, Política de Privacidad y Acuerdo de Participación en Investigación. Si no está de acuerdo, no debe utilizar la plataforma.

CONSENTIMIENTO A — ATENCIÓN CLÍNICA (OBLIGATORIO)

Consiento que HELIOS trate mis datos de salud con fines de atención clínica tal como se describe en este acuerdo. Entiendo que los resultados clínicos requieren validación médica y no constituyen consejo médico.

CONSENTIMIENTO B — PARTICIPACIÓN EN INVESTIGACIÓN (OPCIONAL)

Consiento voluntariamente en participar en el Estudio de Validación HELIOS. Entiendo que mis datos anonimizados pueden utilizarse para investigación, presentaciones regulatorias (incluidas FDA y UE MDR) y publicaciones revisadas por pares. Entiendo que este consentimiento es opcional, no afecta mi atención clínica y puede retirarse en cualquier momento contactando con [email protected].

CONSENTIMIENTO C — TRANSFERENCIA INTERNACIONAL DE DATOS (OBLIGATORIO PARA USO INTERNACIONAL)

Consiento la transferencia de mi información de salud a proveedores de atención sanitaria, redes de médicos y encargados del tratamiento en los países necesarios para proporcionar el servicio HELIOS, sujeto a las protecciones y salvaguardias descritas en este acuerdo.