Contenido
1. Identidad del responsable
El responsable del tratamiento de tus datos personales es Quantum Smart Trade AI (en adelante "MediBot", "nosotros" o "el responsable"), con domicilio en México. Puedes contactarnos en cualquier momento al correo privacidad@quantumsmarttradeai.com.
2. Datos personales que recolectamos
MediBot es una herramienta de productividad para profesionales de la salud. Los datos que tratamos provienen de dos tipos de usuarios: doctores (titulares de cuenta) y pacientes (clientes finales que interactúan con el bot del consultorio).
2.1 Datos del doctor (titular de la cuenta)
- Nombre completo y correo electrónico (para crear cuenta y autenticación)
- Contraseña (almacenada con cifrado bcrypt; nunca legible en texto plano)
- Número de teléfono o celular (verificación y comunicaciones operativas)
- Cédula profesional, especialidad médica y firma digital (para emisión de recetas y documentos clínicos)
- Información del consultorio: nombre, dirección, horarios, plan contratado
- Información de facturación: RFC, razón social, régimen fiscal (para emisión de facturas electrónicas CFDI)
- Identificador único del dispositivo móvil (para sesiones y notificaciones push)
- Token de notificaciones push (Expo Push Token)
2.2 Datos de los pacientes (recolectados a través del doctor)
Los siguientes datos son introducidos por el doctor o el propio paciente a través de los canales de comunicación del bot (WhatsApp, Telegram, formularios web). El doctor es quien decide qué información recolecta de sus pacientes para fines clínicos.
- Nombre del paciente, fecha de nacimiento, sexo
- Datos de contacto: teléfono, correo electrónico
- Identificadores de canales de mensajería: ID de Telegram, número de WhatsApp, ID de Instagram (cuando el paciente inicia chat con el bot del consultorio)
- Información clínica capturada por el doctor en el expediente: motivo de consulta, antecedentes, signos vitales, diagnósticos, medicamentos, recetas, estudios de gabinete, alergias y notas de evolución
- Grabaciones de audio de la consulta (capturadas con consentimiento explícito del paciente, procesadas para generar transcripción automática)
- Fotografías de la consulta (cuando el doctor las captura directamente desde la app para anexarlas al expediente)
- Geolocalización aproximada (sólo si el paciente la comparte voluntariamente para servicios a domicilio)
2.3 Datos técnicos (automáticos)
- Dirección IP (para registro de actividad y prevención de fraude)
- Modelo de dispositivo, sistema operativo y versión de la app
- Registro de actividad: fechas de inicio de sesión, errores reportados
3. Para qué usamos tus datos
3.1 Finalidades primarias (necesarias para operar)
- Crear, autenticar y mantener tu cuenta de MediBot
- Permitir que el doctor administre la agenda, expedientes, recetas y comunicación con sus pacientes
- Procesar pagos de la suscripción mensual a través de Stripe
- Emitir comprobantes fiscales digitales (CFDI) cuando aplique
- Generar transcripción automática de consultas con tecnología de reconocimiento de voz
- Enviar notificaciones push relevantes (citas, mensajes, recordatorios) al doctor
- Brindar soporte técnico y mantener la seguridad de la plataforma
3.2 Finalidades secundarias (opcionales)
- Mejora del producto: análisis estadístico agregado y anónimo sobre el uso de funcionalidades
- Comunicaciones sobre nuevas funciones, mejoras o promociones (puedes darte de baja en cualquier momento)
NO usamos tus datos para fines publicitarios. No compartimos información con redes publicitarias ni con terceros para que te muestren publicidad. No vendemos tu información.
4. Con quién compartimos los datos
MediBot opera con proveedores tecnológicos (encargados del tratamiento) que procesan datos en nuestro nombre, bajo contratos que les obligan a cumplir con la confidencialidad y seguridad de la información:
| Proveedor | Servicio | Datos compartidos |
|---|---|---|
| Supabase | Base de datos y autenticación | Cuenta del doctor, datos de pacientes, expedientes |
| OpenAI | Transcripción de audio (Whisper) y procesamiento de texto | Audio de la consulta, transcripción |
| Anthropic (Claude) | Procesamiento de lenguaje natural para resúmenes clínicos | Transcripción de consulta (sin datos personales identificables siempre que sea posible) |
| Stripe | Procesamiento de pagos y suscripciones | Nombre, correo, método de pago (tokenizado) |
| Evolution API | Integración con WhatsApp Business | Mensajes y números de teléfono de pacientes |
| Telegram, Meta (WhatsApp, Instagram, Facebook) | Canales oficiales de mensajería | Mensajes que el paciente envía voluntariamente |
| Facturapi.io | Emisión de facturas electrónicas CFDI 4.0 ante SAT | Nombre, RFC, dirección fiscal del paciente que solicita factura |
| Expo (EAS) | Infraestructura de notificaciones push y actualizaciones OTA | Push token, identificador anónimo de dispositivo |
| Google Maps | Geocodificación y cálculo de rutas | Dirección del consultorio o del paciente (cuando aplique) |
| Render.com | Hospedaje del servidor backend | Tránsito de datos en HTTPS |
Cuando uses servicios de terceros (por ejemplo, cuando un paciente decida chatear con el bot a través de WhatsApp), los datos intercambiados también estarán sujetos a las políticas de privacidad de esos proveedores.
No transferimos datos personales a terceros para fines distintos a la prestación del servicio, salvo cuando exista un requerimiento legal de autoridad competente.
5. Seguridad y almacenamiento
- Cifrado en tránsito: toda la comunicación entre la app móvil, el sitio web y nuestros servidores se realiza sobre HTTPS con TLS 1.2 o superior.
- Cifrado en reposo: los datos almacenados en Supabase se cifran en disco con AES-256 administrado por nuestro proveedor de infraestructura.
- Cifrado de credenciales locales: en la app móvil, las credenciales para inicio de sesión biométrico se almacenan en el Keychain de iOS o Keystore de Android (cifrado a nivel del sistema operativo).
- Contraseñas: nunca almacenamos contraseñas en texto plano. Se hashean con bcrypt antes de guardarse.
- Sesiones móviles: los tokens de acceso JWT expiran en 15 minutos; los tokens de refresh tienen una validez de 60 días y se revocan automáticamente al cerrar sesión.
- Acceso interno: sólo personal autorizado de Quantum Smart Trade AI tiene acceso a la infraestructura de producción, bajo principio de mínimo privilegio.
A pesar de las medidas adoptadas, ningún sistema es 100% seguro. En caso de un incidente que afecte tus datos, te lo notificaremos conforme a la normativa aplicable.
6. Retención y eliminación
- Cuenta del doctor: conservamos tus datos mientras tu cuenta esté activa. Si cancelas la suscripción, conservamos la información durante 12 meses para permitirte reactivar la cuenta. Después de ese plazo se eliminará de forma permanente.
- Expedientes médicos: el doctor es responsable de su expediente médico según la NOM-004-SSA3-2012. Conservamos los datos durante el tiempo que el doctor mantenga su cuenta activa, más los 5 años que establece la norma a partir del último uso del expediente.
- Audios de consulta: las grabaciones se conservan hasta que el doctor las elimine manualmente o se cancele la cuenta.
- Datos de pago: Stripe conserva la información de pago según su propia política. Nosotros sólo guardamos el último dígito de la tarjeta para identificación.
- Logs y registros técnicos: 90 días.
- Refresh tokens: 60 días desde el último uso.
7. Tus derechos (ARCO)
Como titular de tus datos personales, tienes derecho a:
- Acceso: conocer qué datos personales tuyos tenemos almacenados.
- Rectificación: corregir datos inexactos o incompletos.
- Cancelación: solicitar la eliminación de tus datos cuando consideres que ya no son necesarios.
- Oposición: oponerte al tratamiento de tus datos para finalidades específicas (como mercadotecnia).
- Portabilidad: recibir copia de tus datos en formato estructurado para transferirlos a otro responsable.
- Revocación del consentimiento: retirar tu consentimiento al tratamiento en cualquier momento.
Para ejercer cualquiera de estos derechos, envía un correo a privacidad@quantumsmarttradeai.com con la siguiente información:
- Tu nombre y correo registrado en MediBot
- Documento de identificación (INE o pasaporte)
- Descripción clara del derecho que deseas ejercer
Tendrás una respuesta en un plazo máximo de 20 días hábiles.
8. Datos de salud y responsabilidad del doctor
Los datos clínicos de los pacientes (motivo de consulta, diagnósticos, medicamentos, recetas, estudios) son introducidos y administrados por el doctor que utiliza MediBot. El doctor es responsable directo de la confidencialidad, exactitud y manejo de los datos clínicos de sus pacientes, conforme a la NOM-004-SSA3-2012 sobre expediente clínico y demás normatividad aplicable.
Quantum Smart Trade AI actúa únicamente como encargado del tratamiento técnico de la información (alojamiento, transmisión, procesamiento automatizado) bajo instrucciones del doctor. No accedemos al contenido de los expedientes salvo cuando sea estrictamente necesario para resolver problemas técnicos reportados por el propio doctor.
La transcripción automática de audio se realiza mediante un proveedor externo (OpenAI Whisper). El audio se procesa exclusivamente para generar la transcripción y no se utiliza para entrenar modelos de inteligencia artificial.
9. Datos de menores de edad
MediBot está dirigido a profesionales de la salud mayores de edad. Cuando el paciente atendido sea menor de edad, la información clínica es administrada por el doctor con la autorización del padre, madre o tutor legal del menor. La responsabilidad de obtener dicha autorización corresponde al doctor.
Si eres padre, madre o tutor y consideras que datos de un menor bajo tu cuidado están siendo tratados indebidamente, contáctanos para ejercer los derechos correspondientes en su nombre.
10. Cambios a este aviso
Podemos actualizar este aviso de privacidad para reflejar cambios en nuestras prácticas, en la tecnología empleada o en la legislación. Cuando hagamos cambios significativos:
- Actualizaremos la fecha de "Última actualización" en la parte superior de este documento.
- Te notificaremos a través de la app o por correo electrónico al menos 30 días antes de que entren en vigor cambios sustanciales.
- Si los cambios afectan derechos que requieren tu consentimiento expreso, solicitaremos tu autorización antes de aplicarlos.
11. Contacto
Para cualquier duda, comentario o solicitud relacionada con este aviso de privacidad o con el tratamiento de tus datos personales:
- Correo electrónico: privacidad@quantumsmarttradeai.com
- Sitio web: bots.quantumsmarttradeai.com
Si consideras que tu derecho a la protección de datos personales ha sido vulnerado y no recibes respuesta satisfactoria de nuestra parte, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): www.inai.org.mx.