Contenido
- Identidad del responsable
- Datos personales que recolectamos
- Para qué usamos tus datos
- Con quién compartimos los datos
- Seguridad y almacenamiento
- Retención y eliminación
- Tus derechos (ARCO)
- Datos de salud y responsabilidad del doctor
- Datos de menores de edad
- Términos de servicio
- Uso aceptable
- Limitación de responsabilidad
- Cancelación, pagos y reembolsos
- Jurisdicción y ley aplicable
- Cambios a este aviso
- Contacto
1. Identidad del responsable
El responsable del tratamiento de tus datos personales es MediBot (en adelante "nosotros" o "el responsable"), con domicilio en México. Puedes contactarnos en cualquier momento al correo daniel.martinez@medibotsalud.com.
2. Datos personales que recolectamos
MediBot es una herramienta de productividad para profesionales de la salud. Los datos que tratamos provienen de dos tipos de usuarios: doctores (titulares de cuenta) y pacientes (clientes finales que interactúan con el bot del consultorio).
2.1 Datos del doctor (titular de la cuenta)
- Nombre completo y correo electrónico (para crear cuenta y autenticación)
- Contraseña (almacenada con cifrado bcrypt; nunca legible en texto plano)
- Número de teléfono o celular (verificación y comunicaciones operativas)
- Cédula profesional, especialidad médica y firma digital (para emisión de recetas y documentos clínicos)
- Información del consultorio: nombre, dirección, horarios, plan contratado
- Información de facturación: RFC, razón social, régimen fiscal (para emisión de facturas electrónicas CFDI)
- Identificador único del dispositivo móvil (para sesiones y notificaciones push)
- Token de notificaciones push (Expo Push Token)
2.2 Datos de los pacientes (recolectados a través del doctor)
Los siguientes datos son introducidos por el doctor o el propio paciente a través de los canales de comunicación del bot (WhatsApp, Telegram, formularios web). El doctor es quien decide qué información recolecta de sus pacientes para fines clínicos.
- Nombre del paciente, fecha de nacimiento, sexo
- Datos de contacto: teléfono, correo electrónico
- Identificadores de canales de mensajería: ID de Telegram, número de WhatsApp, ID de Instagram (cuando el paciente inicia chat con el bot del consultorio)
- Información clínica capturada por el doctor en el expediente: motivo de consulta, antecedentes, signos vitales, diagnósticos, medicamentos, recetas, estudios de gabinete, alergias y notas de evolución
- Grabaciones de audio de la consulta (capturadas con consentimiento explícito del paciente, procesadas para generar transcripción automática)
- Fotografías de la consulta (cuando el doctor las captura directamente desde la app para anexarlas al expediente)
- Geolocalización aproximada (sólo si el paciente la comparte voluntariamente para servicios a domicilio)
Aviso sobre datos sensibles: la información clínica del paciente (diagnósticos, medicamentos, notas de evolución, estudios, grabaciones de audio de la consulta) constituye datos personales sensibles conforme al artículo 3, fracción VI de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, por tratarse de información relacionada con el estado de salud de una persona. Su tratamiento requiere tu consentimiento expreso, distinto de la sola aceptación de este aviso — se obtiene mediante una confirmación explícita antes de tu primera consulta (a través del bot del consultorio o de una autorización firmada en el propio consultorio, según cómo trabaje tu doctor).
2.3 Datos técnicos (automáticos)
- Dirección IP (para registro de actividad y prevención de fraude)
- Modelo de dispositivo, sistema operativo y versión de la app
- Registro de actividad: fechas de inicio de sesión, errores reportados
3. Para qué usamos tus datos
3.1 Finalidades primarias (necesarias para operar)
- Crear, autenticar y mantener tu cuenta de MediBot
- Permitir que el doctor administre la agenda, expedientes, recetas y comunicación con sus pacientes
- Procesar pagos de la suscripción mensual a través de Stripe
- Emitir comprobantes fiscales digitales (CFDI) cuando aplique
- Generar transcripción automática de consultas con tecnología de reconocimiento de voz
- Enviar notificaciones push relevantes (citas, mensajes, recordatorios) al doctor
- Brindar soporte técnico y mantener la seguridad de la plataforma
3.2 Finalidades secundarias (opcionales)
- Mejora del producto: análisis estadístico agregado y anónimo sobre el uso de funcionalidades
- Comunicaciones sobre nuevas funciones, mejoras o promociones (puedes darte de baja en cualquier momento)
NO usamos tus datos para fines publicitarios. No compartimos información con redes publicitarias ni con terceros para que te muestren publicidad. No vendemos tu información.
3.3 Verificación de cuenta por SMS
Cuando te registras como doctor en MediBot, enviamos un mensaje SMS de un solo uso a tu número de teléfono con un código de verificación para confirmar que ese número te pertenece y completar tu registro. Este mensaje se envía a través de nuestro proveedor Twilio, expira a los pocos minutos, y no contiene contenido publicitario ni promocional.
No compartimos tu información de consentimiento de mensajes de texto (opt-in) con terceros ni afiliados con fines de mercadotecnia. Ninguna de las categorías de datos descritas en este aviso incluye tus datos de consentimiento u opt-in de mensajería de texto — esa información nunca se comparte con terceros.
No mobile information will be shared with third parties or affiliates for marketing or promotional purposes. All the categories of data described above exclude text messaging originator opt-in data and consent; this information will not be shared with any third parties.
4. Con quién compartimos los datos
MediBot opera con proveedores tecnológicos (encargados del tratamiento) que procesan datos en nuestro nombre, bajo contratos que les obligan a cumplir con la confidencialidad y seguridad de la información:
| Proveedor | Servicio | Datos compartidos |
|---|---|---|
| Supabase | Base de datos y autenticación | Cuenta del doctor, datos de pacientes, expedientes |
| OpenAI | Transcripción de audio (Whisper) y procesamiento de texto | Audio de la consulta, transcripción |
| Anthropic (Claude) | Procesamiento de lenguaje natural para resúmenes clínicos | Transcripción de consulta (sin datos personales identificables siempre que sea posible) |
| Stripe | Procesamiento de pagos y suscripciones | Nombre, correo, método de pago (tokenizado) |
| Evolution API | Integración con WhatsApp Business | Mensajes y números de teléfono de pacientes |
| Twilio | Envío de código de verificación por SMS durante el registro del doctor | Número de teléfono del doctor, código de verificación de un solo uso |
| Telegram, Meta (WhatsApp, Instagram, Facebook) | Canales oficiales de mensajería | Mensajes que el paciente envía voluntariamente |
| Facturapi.io | Emisión de facturas electrónicas CFDI 4.0 ante SAT | Nombre, RFC, dirección fiscal del paciente que solicita factura |
| Expo (EAS) | Infraestructura de notificaciones push y actualizaciones OTA | Push token, identificador anónimo de dispositivo |
| Google Maps | Geocodificación y cálculo de rutas | Dirección del consultorio o del paciente (cuando aplique) |
| Google Calendar | Sincronización de citas médicas con el calendario del doctor | Fechas, horas y descripción de citas agendadas en MediBot. Solo accedemos al calendario que el doctor autoriza expresamente mediante OAuth 2.0. No accedemos a eventos personales ni a calendarios no autorizados. El doctor puede revocar este acceso en cualquier momento desde myaccount.google.com/permissions. |
| Render.com | Hospedaje del servidor backend | Tránsito de datos en HTTPS |
El uso y la transferencia de los datos obtenidos a través de las APIs de Google ("Google Calendar") cumplen con la Política de Datos de Usuario de los Servicios de API de Google, incluyendo los requisitos de Uso Limitado (Limited Use).
Cuando uses servicios de terceros (por ejemplo, cuando un paciente decida chatear con el bot a través de WhatsApp), los datos intercambiados también estarán sujetos a las políticas de privacidad de esos proveedores.
No transferimos datos personales a terceros para fines distintos a la prestación del servicio, salvo cuando exista un requerimiento legal de autoridad competente.
4.1 Transferencia internacional de datos
Algunos de los proveedores listados arriba (OpenAI y Anthropic) procesan información en servidores ubicados fuera de México, principalmente en Estados Unidos. Esto constituye una transferencia internacional de datos personales conforme al artículo 36 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Estas transferencias se realizan únicamente para las finalidades necesarias descritas en este aviso (transcripción y procesamiento automatizado de la consulta), bajo los términos contractuales de dichos proveedores, y nunca para fines distintos ni para venta o cesión a terceros no relacionados con la prestación del servicio. Al aceptar este aviso y otorgar tu consentimiento expreso para el tratamiento de datos de salud (ver sección 2.2), autorizas esta transferencia internacional para dichas finalidades.
5. Seguridad y almacenamiento
- Cifrado en tránsito: toda la comunicación entre la app móvil, el sitio web y nuestros servidores se realiza sobre HTTPS con TLS 1.2 o superior.
- Cifrado en reposo: los datos almacenados en Supabase se cifran en disco con AES-256 administrado por nuestro proveedor de infraestructura.
- Cifrado de credenciales locales: en la app móvil, las credenciales para inicio de sesión biométrico se almacenan en el Keychain de iOS o Keystore de Android (cifrado a nivel del sistema operativo).
- Contraseñas: nunca almacenamos contraseñas en texto plano. Se hashean con bcrypt antes de guardarse.
- Sesiones móviles: los tokens de acceso JWT expiran en 15 minutos; los tokens de refresh tienen una validez de 60 días y se revocan automáticamente al cerrar sesión.
- Acceso interno: sólo personal autorizado de MediBot tiene acceso a la infraestructura de producción, bajo principio de mínimo privilegio.
A pesar de las medidas adoptadas, ningún sistema es 100% seguro. En caso de un incidente que afecte tus datos, te lo notificaremos conforme a la normativa aplicable.
6. Retención y eliminación
- Cuenta del doctor: conservamos tus datos mientras tu cuenta esté activa. Si cancelas la suscripción, conservamos la información durante 12 meses para permitirte reactivar la cuenta. Después de ese plazo se eliminará de forma permanente.
- Expedientes médicos: el doctor es responsable de su expediente médico según la NOM-004-SSA3-2012. Conservamos los datos durante el tiempo que el doctor mantenga su cuenta activa, más los 5 años que establece la norma a partir del último uso del expediente.
- Audios de consulta: las grabaciones se conservan hasta que el doctor las elimine manualmente o se cancele la cuenta.
- Datos de pago: Stripe conserva la información de pago según su propia política. Nosotros sólo guardamos el último dígito de la tarjeta para identificación.
- Logs y registros técnicos: 90 días.
- Refresh tokens: 60 días desde el último uso.
7. Tus derechos (ARCO)
Como titular de tus datos personales, tienes derecho a:
- Acceso: conocer qué datos personales tuyos tenemos almacenados.
- Rectificación: corregir datos inexactos o incompletos.
- Cancelación: solicitar la eliminación de tus datos cuando consideres que ya no son necesarios.
- Oposición: oponerte al tratamiento de tus datos para finalidades específicas (como mercadotecnia).
- Portabilidad: recibir copia de tus datos en formato estructurado para transferirlos a otro responsable.
- Revocación del consentimiento: retirar tu consentimiento al tratamiento en cualquier momento.
Para ejercer cualquiera de estos derechos, envía un correo a daniel.martinez@medibotsalud.com con la siguiente información:
- Tu nombre y correo registrado en MediBot
- Documento de identificación (INE o pasaporte)
- Descripción clara del derecho que deseas ejercer
Tendrás una respuesta en un plazo máximo de 20 días hábiles.
8. Datos de salud y responsabilidad del doctor
Los datos clínicos de los pacientes (motivo de consulta, diagnósticos, medicamentos, recetas, estudios) son introducidos y administrados por el doctor que utiliza MediBot. El doctor es responsable directo de la confidencialidad, exactitud y manejo de los datos clínicos de sus pacientes, conforme a la NOM-004-SSA3-2012 sobre expediente clínico y demás normatividad aplicable.
MediBot actúa únicamente como encargado del tratamiento técnico de la información (alojamiento, transmisión, procesamiento automatizado) bajo instrucciones del doctor. No accedemos al contenido de los expedientes salvo cuando sea estrictamente necesario para resolver problemas técnicos reportados por el propio doctor.
La transcripción automática de audio se realiza mediante un proveedor externo (OpenAI Whisper). El audio se procesa exclusivamente para generar la transcripción y no se utiliza para entrenar modelos de inteligencia artificial.
9. Datos de menores de edad
MediBot está dirigido a profesionales de la salud mayores de edad. Cuando el paciente atendido sea menor de edad, la información clínica es administrada por el doctor con la autorización del padre, madre o tutor legal del menor. La responsabilidad de obtener dicha autorización corresponde al doctor.
Si eres padre, madre o tutor y consideras que datos de un menor bajo tu cuidado están siendo tratados indebidamente, contáctanos para ejercer los derechos correspondientes en su nombre.
10. Términos de servicio
Los presentes Términos de Servicio regulan el acceso y uso de la plataforma MediBot por parte del doctor o profesional de salud que contrate el servicio (en adelante "el Usuario" o "el Doctor"). Al aceptar estos términos, el Usuario declara ser mayor de edad y tener capacidad legal para suscribir contratos en México.
10.1 Descripción del servicio
MediBot es una plataforma SaaS de gestión de consultorios médicos que incluye: agendamiento de citas, expediente clínico digital, facturación electrónica (CFDI), recordatorios automáticos por WhatsApp/Telegram/SMS, asistente virtual con IA y herramientas de marketing digital para el consultorio.
10.2 Registro y cuenta
- El Usuario es responsable de mantener la confidencialidad de sus credenciales.
- Cada suscripción corresponde a un consultorio o práctica médica.
- El Usuario es responsable de toda actividad que ocurra bajo su cuenta.
- MediBot se reserva el derecho de suspender cuentas que violen estos términos.
10.3 Prueba gratuita
MediBot ofrece un período de prueba de 14 días sin costo. Al finalizar la prueba, si el Usuario no cancela, se realizará el cobro correspondiente al plan seleccionado.
11. Uso aceptable
El Usuario se compromete a:
- Usar MediBot únicamente para fines legítimos de gestión médica.
- No ingresar información falsa o fraudulenta en expedientes clínicos.
- Obtener el consentimiento informado de sus pacientes antes de registrar sus datos.
- No intentar acceder a datos de otros consultorios sin autorización.
- No usar la plataforma para actividades ilegales, spam o phishing.
- Cumplir con la NOM-004-SSA3-2012 y demás normativa aplicable al ejercicio médico.
12. Limitación de responsabilidad
En la máxima medida permitida por la ley aplicable, MediBot no será responsable por:
- Daños derivados de decisiones médicas basadas en información gestionada en la plataforma.
- Pérdida de datos causada por el propio Usuario (eliminación accidental, etc.).
- Interrupciones del servicio causadas por terceros (Stripe, Supabase, Twilio, proveedores de telecomunicaciones).
- Daños indirectos, incidentales o punitivos.
La responsabilidad máxima de MediBot ante el Usuario no excederá el monto pagado por el Usuario en los últimos 3 meses de suscripción.
13. Cancelación, pagos y reembolsos
13.1 Cancelación
- El Usuario puede cancelar su suscripción en cualquier momento desde el panel o contactando a soporte.
- La cancelación es efectiva al final del período de facturación en curso.
- Los datos del consultorio estarán disponibles para exportación durante 30 días tras la cancelación.
13.2 Pagos
- Los cobros se realizan mensualmente, según la fecha de inicio.
- Los precios están en pesos mexicanos (MXN) e IVA incluido, salvo indicación contraria.
- MediBot se reserva el derecho de modificar precios con 30 días de aviso previo.
13.3 Reembolsos
No se realizan reembolsos por períodos parciales ya facturados. Excepcionalmente, si el servicio estuvo inaccesible por causas imputables a MediBot por más de 24 horas continuas, el Usuario podrá solicitar un crédito proporcional a daniel.martinez@medibotsalud.com.
14. Jurisdicción y ley aplicable
Estos términos se rigen por las leyes de los Estados Unidos Mexicanos. Para cualquier controversia derivada del uso de MediBot, las partes se someten a la jurisdicción de los tribunales competentes de la Ciudad de México, renunciando a cualquier otro fuero que pudiera corresponderles por razón de sus domicilios presentes o futuros.
En caso de controversia, las partes intentarán resolverla de manera amigable en un plazo de 30 días antes de acudir a instancias judiciales.
15. Cambios a este aviso
Podemos actualizar este aviso de privacidad para reflejar cambios en nuestras prácticas, en la tecnología empleada o en la legislación. Cuando hagamos cambios significativos:
- Actualizaremos la fecha de "Última actualización" en la parte superior de este documento.
- Te notificaremos a través de la app o por correo electrónico al menos 30 días antes de que entren en vigor cambios sustanciales.
- Si los cambios afectan derechos que requieren tu consentimiento expreso, solicitaremos tu autorización antes de aplicarlos.
16. Contacto
Para cualquier duda, comentario o solicitud relacionada con este aviso de privacidad o con el tratamiento de tus datos personales:
- Correo electrónico: daniel.martinez@medibotsalud.com
- Sitio web: medibotsalud.com
Si consideras que tu derecho a la protección de datos personales ha sido vulnerado y no recibes respuesta satisfactoria de nuestra parte, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): www.inai.org.mx.