Aviso de Privacidad

🏥

Carlos Gerardo Ortiz Guzmán Persona Física

Responsable del tratamiento de datos personales

📍 Monterrey, Nuevo León, México

Transición prevista: Una vez constituida Santech AI S.A.P.I. de C.V. (actualmente en proceso ante notario público), los datos personales serán transferidos a dicha entidad como nuevo responsable, manteniendo las mismas finalidades, medidas de seguridad y derechos establecidos en el presente aviso. Esta transferencia será notificada oportunamente.

Introducción y Marco Legal

En cumplimiento con lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento, los Lineamientos del Aviso de Privacidad emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), y la Reforma de Salud Digital publicada en el Diario Oficial de la Federación el 15 de enero de 2026, el responsable pone a su disposición el presente Aviso de Privacidad.

DoctorOS es una plataforma de gestión clínica digital diseñada para médicos, clínicas y hospitales. Este aviso aplica a todos los datos personales recabados a través de nuestros productos y servicios, incluyendo el sistema de expediente clínico electrónico (EMR), agenda, telemedicina, portal de pacientes y kiosko de registro.

            ✅ Nos comprometemos a proteger su privacidad y tratar sus datos personales conforme a los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad establecidos en la LFPDPPP.
        

Datos Personales Recabados

Recabamos las siguientes categorías de datos personales:

2.1 Datos de identificación y contacto:

Nombre completo, fecha de nacimiento, sexo, CURP
Domicilio (calle, número, colonia, municipio, estado, C.P.)
Teléfono, correo electrónico
Estado civil, ocupación, escolaridad
Contacto de emergencia (nombre, teléfono, parentesco)

2.2 Datos sensibles — salud:

            ⚠️ Los siguientes datos son considerados datos sensibles conforme al artículo 3, fracción VI de la LFPDPPP. Su tratamiento requiere su consentimiento expreso.
        

Expediente clínico electrónico (notas SOAP, diagnósticos CIE-10)
Antecedentes médicos: alergias, medicamentos, enfermedades crónicas
Procedimientos médicos previos e historial familiar
Signos vitales y somatometría
Recetas médicas y estudios de laboratorio/gabinete
Resultados de tamizaje en salud mental (PHQ-9, GAD-7, AUDIT-C, Burnout, Pittsburgh)
Grabaciones o registros de videoconsultas (telemedicina)
Análisis preliminares generados con IA (Doctor GPT)

2.3 Datos de médicos y profesionales de la salud:

Cédula profesional y especialidad
RFC y datos fiscales (para facturación CFDI)
Firma electrónica digital
Credenciales de acceso a la plataforma

2.4 Datos financieros:

Información de pagos procesados a través de Stripe y Conekta (NO almacenamos datos completos de tarjetas)
Historial de transacciones y comprobantes fiscales
Datos de facturación (RFC, dirección fiscal)

2.5 Datos técnicos:

Dirección IP, tipo de navegador, sistema operativo
Registros de acceso y actividad en la plataforma (logs de auditoría)
Cookies y tecnologías de rastreo para funcionamiento del sistema
País detectado por geolocalización IP (para idioma y moneda)

Finalidades del Tratamiento

3.1 Finalidades primarias (necesarias para la prestación del servicio):

Gestión del expediente clínico electrónico conforme a la NOM-004-SSA3-2012
Implementación del sistema EMR conforme a la NOM-024-SSA3-2010
Agenda y programación de citas médicas presenciales y videoconsultas
Emisión de recetas médicas digitales conforme a la NOM-072-SSA1-2012
Prestación del servicio de telemedicina conforme a la NOM-035-SSA3-2017 y la Reforma DOF 15/01/2026
Facturación electrónica CFDI 4.0 (próximamente)
Procesamiento de cobros y pagos a través de Stripe y Conekta
Envío de recordatorios de citas, magic links y notificaciones del sistema
Registro de pacientes mediante kiosko digital multilenguaje
Análisis preliminar de estudios mediante IA (Doctor GPT) — herramienta de apoyo informativo, no diagnóstico
Auditoría y seguridad del sistema

3.2 Finalidades secundarias (opcionales — puede oponerse):

Envío de comunicaciones informativas sobre nuevas funcionalidades de DoctorOS
Estadísticas agregadas y anonimizadas para mejora del servicio
Directorio de especialistas médicos (solo con consentimiento expreso)

            ℹ️ Si no desea que sus datos sean tratados para las finalidades secundarias, puede manifestarlo enviando un correo a privacidad@dros.mx en cualquier momento.
        

Transferencias y Proveedores de Servicios

Sus datos personales podrán ser compartidos con los siguientes proveedores de servicios para cumplir con las finalidades descritas. Todos cuentan con certificaciones internacionales de seguridad y privacidad:

Amazon Web Services (AWS)

Infraestructura cloud certificada para hospedaje de aplicación, base de datos y archivos.

us-east-1 · ISO 27001 · SOC 2

Stripe Payments

Procesamiento seguro de pagos con tarjeta para suscripciones MX y ES.

PCI DSS Level 1

Conekta S.A.P.I. de C.V.

Procesamiento de pagos para clínicas mexicanas (cobros a pacientes).

PCI DSS Level 1 · MX

Resend Inc.

Envío transaccional de correos: magic links, recordatorios, notificaciones.

GDPR · USA

Daily.co

Infraestructura de videollamadas para telemedicina (servidores TURN/STUN).

GDPR · HIPAA

Anthropic PBC

Modelo de lenguaje (Claude) para Doctor GPT — apoyo informativo. Datos enviados se procesan sin almacenamiento permanente.

SOC 2 Type II · USA

Autoridades competentes: Sus datos podrán ser compartidos cuando sea requerido por ley, orden judicial o autoridad sanitaria (Secretaría de Salud, COFEPRIS, INAI).

            ⚠️ NO vendemos, rentamos ni cedemos sus datos personales a terceros con fines comerciales o publicitarios. Las transferencias se realizan únicamente para cumplir con las finalidades del servicio.
        

Derechos ARCO

Usted tiene derecho a ejercer los siguientes derechos respecto a sus datos personales:

Acceso

Conocer qué datos personales tenemos de usted, para qué los usamos y las condiciones de su uso.

Rectificación

Solicitar la corrección de sus datos personales cuando estén incompletos, inexactos o desactualizados.

Cancelación

Solicitar la eliminación de sus datos de nuestros registros cuando considere que no están siendo usados conforme a los principios de la ley.

Oposición

Oponerse al uso de sus datos personales para finalidades específicas, incluyendo finalidades secundarias.

Para ejercer sus derechos ARCO, envíe una solicitud a privacidad@dros.mx indicando:

Nombre completo e identificación oficial
Descripción clara del derecho que desea ejercer
Datos de contacto para notificarle la respuesta

Daremos respuesta a su solicitud en un plazo máximo de 20 días hábiles conforme al artículo 32 de la LFPDPPP.

Medidas de Seguridad

Implementamos medidas técnicas, administrativas y físicas para proteger sus datos personales:

Cifrado SSL/TLS en todas las comunicaciones (HTTPS obligatorio)
Cifrado en reposo en bases de datos y almacenamiento (AWS S3 + RDS)
Hashing de contraseñas con bcrypt
Firma digital con hash SHA-256 en expedientes y recetas
Registro de auditoría de todas las acciones en el sistema
Acceso restringido por roles (médico, auxiliar, administrador) y autenticación segura
Infraestructura hospedada en AWS con certificaciones ISO 27001, SOC 2 Type II
Sesiones con expiración automática por inactividad
Backups automatizados diarios con retención de 7 días (snapshots) + S3 lifecycle 30 días
Plan de Recuperación ante Desastres (DRP) documentado

            ✅ El expediente clínico electrónico cumple con los requisitos de la NOM-004-SSA3-2012, la NOM-024-SSA3-2010, y la Reforma DOF 15/01/2026 sobre Salud Digital.
        

Telemedicina e Inteligencia Artificial

Telemedicina: Las consultas a distancia se rigen por la NOM-035-SSA3-2017 sobre la atención médica a distancia y la Reforma de Salud Digital DOF 15/01/2026. Las videoconsultas se procesan en infraestructura HIPAA-compliant (Daily.co) y no se graban por defecto. La grabación, si ocurre, requiere consentimiento expreso del paciente.

Doctor GPT (IA Clínica): Es una herramienta de apoyo informativo dirigida al médico tratante, que utiliza el modelo de lenguaje Claude (Anthropic). NO emite diagnósticos ni prescribe tratamientos. Los datos del paciente se procesan en la API de Anthropic sin almacenamiento permanente y bajo políticas de privacidad SOC 2 Type II.

            ℹ️ El criterio clínico final es siempre responsabilidad del médico tratante. La información generada por IA tiene carácter referencial y NO sustituye la valoración profesional.
        

Uso de Cookies

DoctorOS utiliza cookies estrictamente necesarias para el funcionamiento de la plataforma:

Cookies de sesión — Para mantener su sesión activa de forma segura
Cookies de preferencias — Para recordar configuraciones como idioma y región

No utilizamos cookies de rastreo publicitario ni compartimos información de cookies con terceros con fines comerciales.

Cambios al Aviso de Privacidad

Nos reservamos el derecho de modificar el presente Aviso de Privacidad en cualquier momento para reflejar cambios en nuestras prácticas, en la legislación aplicable, en los servicios que ofrecemos, o cuando se constituya formalmente Santech AI S.A.P.I. de C.V. como nuevo responsable.

Cualquier modificación será notificada a través de nuestra plataforma y/o por correo electrónico. La fecha de última actualización siempre estará visible al inicio de este documento.

¿Preguntas sobre tu privacidad?

Nuestro equipo de privacidad está disponible para atender cualquier duda o solicitud relacionada con el tratamiento de tus datos personales.

✉️ privacidad@dros.mx