Contrato de Prestación de Servicios y Encargo del Tratamiento de Datos Personales

Modelo MVP. Cualquier despliegue real debe ser revisado por abogado especialista en LFPDPPP / contratación mercantil.

Entre:

[CLINICA_RAZON_SOCIAL], con RFC [CLINICA_RFC] y domicilio en [CLINICA_DOMICILIO] (en adelante, "el Responsable"), representada por [REPRESENTANTE_CLINICA] en su calidad de [PUESTO];

Y:

[MEDISYSTEM_RAZON_SOCIAL], con RFC [MEDISYSTEM_RFC] y domicilio en [MEDISYSTEM_DOMICILIO], Culiacán, Sinaloa (en adelante, "el Encargado" o "MediSystem"), representada por [REPRESENTANTE_MEDISYSTEM].

Conjuntamente "las Partes".

Cláusula 1. Objeto

El Responsable contrata al Encargado la prestación del servicio de software como servicio (SaaS) "MediSystem", a cambio del cual el Encargado tratará datos personales por cuenta y bajo instrucciones del Responsable, con el único fin de prestar dicho servicio.

Cláusula 2. Naturaleza de la relación bajo LFPDPPP

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (DOF 20-mar-2025) y su reglamentación supletoria:

  • El Responsable es el titular del tratamiento de los datos personales de sus pacientes, médicos del staff, usuarios, etc.
  • El Encargado trata los datos por cuenta del Responsable, sin tomar decisiones sobre las finalidades del tratamiento.

Cláusula 3. Datos personales objeto del encargo

CategoríaTipo
PacientesIdentificación, contacto, INE/pasaporte
Pacientes (sensibles)Expediente clínico electrónico, historia clínica, antecedentes, diagnósticos, tratamientos, recetas, estudios, consentimientos firmados
PacientesPagos y transacciones
Llamadas IAGrabaciones, transcripciones de llamadas con el agente de voz
Personal del ResponsableCuenta de acceso, datos profesionales

Cláusula 4. Obligaciones del Encargado

El Encargado se obliga a:

  1. Tratar los datos únicamente conforme a las instrucciones del Responsable y para los fines del servicio contratado.
  2. No utilizar los datos para finalidades propias distintas a la prestación del servicio.
  3. Implementar medidas de seguridad administrativas, físicas y técnicas razonables para proteger los datos, incluyendo cifrado en reposo y tránsito, control de acceso por roles, 2FA para administradores, bitácoras de auditoría y respaldos cifrados (detalladas en el Documento de Seguridad del Encargado, anexo a este contrato).
  4. Mantener la confidencialidad de los datos, extendiendo esta obligación a su personal y subcontratistas.
  5. Notificar al Responsable de cualquier vulneración de seguridad que afecte los datos en plazo no mayor a 48 horas desde su conocimiento.
  6. Atender solicitudes ARCO que reciba directamente, canalizándolas al Responsable en plazo de 3 días hábiles.
  7. Suprimir o devolver los datos al Responsable al término de la relación contractual, salvo obligaciones legales de conservación (CFF, NOM-004).
  8. No transferir los datos a terceros sin instrucción escrita del Responsable, excepto a los subencargados listados en el Anexo A.
  9. Cumplir auditorías razonables que el Responsable solicite con notificación de 30 días.

Cláusula 5. Subencargados autorizados

El Responsable autoriza al Encargado a subcontratar el tratamiento con los siguientes proveedores, todos los cuales han suscrito DPA o equivalente:

  • MongoDB Atlas (almacenamiento BD)
  • Vercel (hosting)
  • Stripe (pagos)
  • Resend / proveedor de email transaccional
  • Twilio / WhatsApp Business API (mensajería)
  • Retell AI (procesamiento de voz)
  • Anthropic / OpenAI / DeepSeek (generación de notas a partir de transcripciones, sin entrenamiento)
  • Firebase Storage (archivos adjuntos)

Cualquier nuevo subencargado se notificará al Responsable con 15 días de anticipación, quien podrá oponerse fundadamente.

Cláusula 6. Obligaciones del Responsable

El Responsable se obliga a:

  1. Obtener el consentimiento expreso por escrito de los titulares (pacientes) para el tratamiento de datos personales sensibles (salud), conforme al Art. relevante de la LFPDPPP 2025.
  2. Mantener un Aviso de Privacidad propio dirigido a sus pacientes.
  3. Atender las solicitudes ARCO de sus pacientes en los plazos legales.
  4. Pagar puntualmente la contraprestación del servicio.
  5. Usar la Plataforma conforme a la legalidad: no introducir datos de personas sin su consentimiento, no utilizar el agente de voz para fines distintos a los autorizados, etc.

Cláusula 7. Vigencia

El presente contrato entra en vigor el [FECHA_INICIO] y se mantendrá vigente mientras subsista la relación de prestación de servicios SaaS, renovándose automáticamente con el ciclo de facturación.

Cláusula 8. Terminación

Cualquiera de las Partes puede terminar el contrato con 30 días de notificación. A la terminación:

  • El Encargado entregará al Responsable un export completo de los datos en formato estándar (JSON / CSV) en plazo no mayor a 30 días.
  • El Encargado eliminará los datos de sus sistemas en plazo no mayor a 90 días posteriores a la entrega, salvo obligaciones de conservación legal.
  • Los respaldos cifrados se purgarán en su próximo ciclo de rotación (máximo 12 meses).

Cláusula 9. Responsabilidades y límites

El Encargado responde por daños derivados del incumplimiento doloso o gravemente culpable de sus obligaciones de seguridad. Su responsabilidad agregada se limita al monto pagado por el Responsable en los últimos 12 meses, salvo en casos de dolo, negligencia grave o violación a derechos fundamentales.

Cláusula 10. Jurisdicción

Para la interpretación y cumplimiento del presente contrato, las Partes se someten a la jurisdicción de los tribunales competentes de Culiacán, Sinaloa, renunciando expresamente a cualquier otro fuero que pudiera corresponderles.

Firmado en Culiacán, Sinaloa, a [FECHA].

Por el ResponsablePor el Encargado
__________________________________________________
[REPRESENTANTE_CLINICA][REPRESENTANTE_MEDISYSTEM]
[PUESTO][PUESTO]

Anexo A — Descripción técnica del servicio

[Adjuntar Documento de Seguridad de MediSystem y descripción funcional del SaaS]