Aviso de Privacidad Integral — MediSystem
Última actualización: [FECHA_ACTUALIZACION] Versión: 1.0
1. Identidad y domicilio del Responsable
[RAZON_SOCIAL] (en adelante "MediSystem"), con domicilio fiscal en [DOMICILIO_FISCAL_COMPLETO], Culiacán, Sinaloa, México, RFC [RFC], es el responsable del tratamiento de los datos personales recabados a través del sitio web https://medisystem.mx, sus aplicaciones, APIs e integraciones (en conjunto, la "Plataforma").
Contacto del Responsable de Datos Personales:
- Nombre: [NOMBRE_RESPONSABLE_DATOS]
- Correo: datos@medisystem.mx
- Teléfono: [TELEFONO_RESPONSABLE]
2. ¿Qué datos personales recabamos y para qué?
2.1 Datos de los usuarios de la Plataforma (médicos, asistentes, dueños de clínica)
| Tipo de dato | ¿Sensible? | Finalidad |
|---|---|---|
| Nombre completo, correo, teléfono | No | Identificación, contacto operativo, soporte |
| Usuario y contraseña (hash) | No | Autenticación |
| Cédula profesional, especialidad | No | Verificación profesional, despliegue en consentimientos |
| RFC y datos fiscales | No | Facturación CFDI |
| Información de tarjeta / método de pago | No | Cobro de la suscripción vía Stripe (los datos de tarjeta los procesa Stripe directamente; MediSystem no los almacena) |
| Datos de uso de la Plataforma (logs, IP, sesión) | No | Seguridad, auditoría, mejora del servicio |
| Token TOTP (cifrado AES-256-GCM) | No | Autenticación de dos factores (2FA) |
2.2 Datos personales que MediSystem procesa por cuenta de las clínicas (Encargado del Tratamiento)
Cuando una clínica usa la Plataforma para gestionar a sus pacientes, MediSystem actúa como Encargado del Tratamiento. La clínica es la Responsable frente a sus pacientes. Los datos que se procesan incluyen:
| Tipo de dato | ¿Sensible? | Finalidad |
|---|---|---|
| Nombre, fecha de nacimiento, género del paciente | No | Identificación |
| Teléfono, email, dirección | No | Contacto, recordatorios de citas |
| INE / Pasaporte / ID | No | Verificación de identidad |
| Historia clínica, antecedentes, diagnósticos, tratamientos | Sí (salud) | Expediente clínico electrónico (cumplimiento NOM-004-SSA3-2012) |
| Notas de evolución, recetas, estudios | Sí (salud) | Atención médica continuada |
| Consentimientos informados firmados | Sí (salud) | Cumplimiento NOM-004 punto 4.9 |
| Grabaciones / transcripciones de llamadas con el agente de voz | Sí (salud) si revelan información médica | Agendamiento, recados al doctor, calidad del servicio |
| Pagos del paciente | No | Punto de venta, facturación |
Las finalidades anteriores son necesarias para la prestación del servicio. Sin ellas no podemos operar la Plataforma.
2.3 Finalidades secundarias (voluntarias)
Solo si el titular consiente expresamente:
- Envío de boletines, novedades de producto y mejoras de MediSystem.
- Estudios anonimizados de uso agregado para mejorar el producto.
El titular puede oponerse en cualquier momento sin que ello afecte la prestación del servicio.
3. Tratamiento de datos personales sensibles
Los datos de salud son datos personales sensibles conforme a la LFPDPPP (DOF 20-mar-2025). Para su tratamiento se requiere consentimiento expreso por escrito del titular, otorgado mediante:
- Firma autógrafa, o
- Firma electrónica (incluyendo e.firma SAT), o
- Cualquier mecanismo de autenticación equivalente que la normativa secundaria reconozca.
El consentimiento se obtiene a través del formulario de "Consentimiento Informado" que la clínica presenta al paciente en su primera consulta y que MediSystem facilita como plantilla configurable conforme a la NOM-004-SSA3-2012.
4. Transferencias
MediSystem comparte datos personales únicamente con los siguientes terceros, en cada caso con base en una relación contractual que asegura el cumplimiento de la LFPDPPP:
| Tercero | País | Propósito |
|---|---|---|
| Stripe Payments Mexico, S. de R.L. de C.V. | México / EUA | Procesamiento de pagos |
| MongoDB Atlas o servicio equivalente de hosting | EUA | Almacenamiento cifrado de la base de datos |
| Vercel Inc. (o proveedor equivalente) | EUA | Hosting de la aplicación |
| Resend / SendGrid / proveedor de email | EUA | Envío de correos transaccionales |
| Twilio / WhatsApp Business API | EUA | Envío de SMS y mensajes WhatsApp |
| Retell AI Inc. | EUA | Procesamiento de llamadas de voz IA |
| Anthropic / OpenAI / DeepSeek | EUA / EUA / China | Generación de notas médicas estructuradas a partir de transcripciones (uso bajo cuenta empresarial sin entrenamiento del modelo con tus datos) |
Nota a la nueva LFPDPPP 2025: la nueva ley eliminó la obligación general de informar transferencias en el Aviso. Aun así, mantenemos esta sección por transparencia y porque algunas finalidades pueden requerir consentimiento conforme al reglamento secundario en desarrollo.
5. Derechos ARCO (Acceso, Rectificación, Cancelación, Oposición)
Toda persona titular puede ejercer sus derechos ARCO enviando una solicitud al correo datos@medisystem.mx con la siguiente información:
- Nombre completo y medio de contacto.
- Documento de identificación (INE, pasaporte).
- Descripción clara del derecho que ejerce (acceso, rectificación, cancelación, oposición).
- Cualquier otro elemento que facilite localizar los datos.
Plazos:
- Confirmación de recepción: 3 días hábiles.
- Respuesta: máximo 20 días hábiles, prorrogables 10 más por causa justificada.
- Ejecución: 15 días hábiles posteriores a la respuesta afirmativa.
Restricciones:
- Si los datos son procesados por cuenta de una clínica (relación de Encargado), la solicitud se canalizará a la clínica responsable, quien dará respuesta dentro de los plazos legales.
- La cancelación de datos médicos puede estar sujeta a obligaciones de conservación impuestas por la NOM-004-SSA3-2012 (mínimo 5 años contados desde la última atención).
6. Limitación del uso o divulgación
El titular puede limitar el uso o divulgación de sus datos personales escribiendo a datos@medisystem.mx. Adicionalmente, puede inscribirse al Registro Público para Evitar Publicidad de la PROFECO (https://repep.profeco.gob.mx) si no desea recibir publicidad de MediSystem.
7. Mecanismos de seguridad
MediSystem implementa medidas administrativas, físicas y técnicas razonables para proteger los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado, incluyendo:
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
- Autenticación de dos factores (2FA TOTP) para roles administrativos.
- Control de acceso basado en roles (RBAC).
- Bitácoras de auditoría de operaciones críticas (AuditLog).
- Respaldos cifrados con retención y prueba de restauración.
- Capacitación periódica al personal en materia de protección de datos.
- Procedimiento documentado de respuesta a incidentes y notificación de vulneraciones.
El detalle se encuentra en nuestro Documento de Seguridad (no público).
8. Conservación y bloqueo de datos personales
Los datos se conservan por el tiempo necesario para cumplir las finalidades descritas y las obligaciones legales aplicables:
| Tipo de dato | Periodo de conservación |
|---|---|
| Datos de cuenta del usuario | Mientras la cuenta esté activa + 1 año posterior a la baja |
| Expediente clínico electrónico | Mínimo 5 años desde la última atención (NOM-004-SSA3-2012) |
| Facturación y comprobantes | 5 años (Código Fiscal de la Federación) |
| Logs de seguridad | 12 meses |
| Grabaciones de llamadas | 90 días salvo solicitud expresa de retención |
Transcurrido el periodo, los datos pasan a un bloqueo (acceso restringido) por el periodo de prescripción de las acciones derivadas de la relación, y posteriormente se eliminan de forma segura.
9. Uso de cookies y tecnologías similares
Utilizamos cookies estrictamente necesarias para mantener la sesión del usuario y cookies analíticas opcionales (Google Analytics) que el usuario puede aceptar o rechazar al ingresar al sitio.
10. Cambios al Aviso de Privacidad
Cualquier modificación se publicará en https://medisystem.mx/privacidad con al menos 15 días de anticipación a su entrada en vigor. Los cambios sustanciales que afecten finalidades requerirán el consentimiento expreso del titular cuando la ley lo exija.
11. Autoridad reguladora
A partir del 21 de marzo de 2025, la autoridad competente en materia de protección de datos personales en posesión de los particulares es la Secretaría Anticorrupción y Buen Gobierno del Gobierno Federal de México, en sustitución del INAI (cuyas funciones en esta materia se transfirieron por la nueva LFPDPPP del 20 de marzo de 2025).
Si el titular considera que su derecho a la protección de datos personales ha sido vulnerado, puede presentar denuncia ante dicha autoridad.
Fecha de entrada en vigor: [FECHA_ENTRADA_VIGOR]