AVISO DE PRIVACIDAD — PLATAFORMA LECORA

Fecha de entrada en vigor: 15 de abril del 2026

La plataforma lecora (en adelante, la "Plataforma"), propiedad del Lic. Luis Fernando Contreras Lara con domicilio en San Carlos 122-A, El Rosario, León, Guanajuato, pone a disposición de sus usuarios el presente Aviso de Privacidad, en cumplimiento con lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y demás normatividad aplicable. Al registrarse, acceder o utilizar la Plataforma, usted acepta lo dispuesto en este Aviso de Privacidad en su totalidad.

1. Definición de Roles en el Tratamiento de Datos Personales

Para efectos de claridad y transparencia en el tratamiento de datos personales, se definen las siguientes figuras:

• Titular: Persona física a quien corresponden los datos personales. Dependiendo de los datos, puede tratarse del Médico Titular, del Paciente o de Personal de los establecimientos de salud donde presta servicios el Médico (en adelante, "Personal de Soporte"). El Titular de los datos personales posee los derechos ARCO sobre sus datos.
• Responsable: Se identifica como tal al Médico Titular. Es la persona física que decide sobre las finalidades y los medios del tratamiento de los datos personales. El Responsable, entre otras obligaciones, tiene la obligación de recabar el consentimiento de los Titulares para tratar sus datos personales (ya sea de forma expresa o tácita, según la sensibilidad de los datos), así como de atender, evaluar y resolver las solicitudes de ejercicio de derechos ARCO presentadas por los Titulares.
• Encargado: La Plataforma. Actúa como la entidad que trata los datos personales por cuenta y orden del Responsable. Su función se limita a la prestación de los servicios tecnológicos contratados, procesando la información del Médico, de los Pacientes y del Personal de Soporte únicamente para los fines estipulados en el presente Aviso de Privacidad.

2. Datos Personales Recabados

La Plataforma recolecta y procesa diferentes categorías de datos dependiendo del sujeto titular:

2.1 Del Médico Titular

• Datos de Identificación: Nombre completo, edad y sexo.
• Datos de Contacto: Correo electrónico y número celular.
• Datos Profesionales: Información sobre formación académica, especialidad y cédula profesional.
• Datos Laborales: Información de los establecimientos de salud donde labora y la relación laboral que tiene con algunos de los empleados de estos.
• Datos Patrimoniales: Información parcial necesaria para la gestión de métodos de pago (procesada por un tercero).

2.2 De los Pacientes

• Datos de Identificación: Nombre completo, edad, sexo, lugar de nacimiento, CURP, estado civil y ocupación.
• Datos de Contacto: Domicilio, correo electrónico, número celular personal y número celular de emergencia.
• Datos Sensibles:
  • Datos Clínicos y de Salud: Antecedentes médicos, diagnósticos, notas de evolución y demás información contenida en el expediente clínico.
  • Otros Datos Sensibles: Nivel de escolaridad.
• Datos de Terceros: Datos básicos de identificación y de contacto del tutor legal (en caso de menores).

2.3 Del Personal de Soporte

• Datos de Identificación: Nombre completo.

3. Finalidades del Tratamiento

Los datos personales serán utilizados para las siguientes finalidades:

3.1 Finalidades Primarias (Necesarias para el servicio)

• Provisión de los servicios y funcionalidades básicas de la Plataforma, incluyendo gestión de Pacientes, programación y gestión de citas, registro de consultas médicas, entre otras.
• Ejecución de funcionalidades especiales, tales como autollenado de antecedentes médicos, entre otras.
• Provisión de servicios y funcionalidades para la ejecución de tareas administrativas y operativas por parte del Personal de Soporte.

3.2 Finalidades Secundarias

• Mejora continua de los servicios y funcionalidades ofrecidas.
• Monitoreo periódico de la seguridad, integridad y estabilidad de la base de datos y otros componentes de la Plataforma.
• Generación de estadísticas disociadas sobre el uso general de la Plataforma.
• Envío de boletines informativos y otras comunicaciones con fines de mercadotecnia dirigidas al Médico (este puede darse de baja de estas comunicaciones en cualquier momento desde el panel de configuración de su cuenta).

4. Transferencia de Datos a Terceros

La Plataforma realiza transferencias limitadas de datos con el tercero que presta los servicios de procesamiento de pagos:

• Proveedor: Para el procesamiento de pagos y gestión de renovación de suscripciones utilizamos los servicios de Stripe.
• Datos Compartidos: Con el fin de crear un perfil de cliente en Stripe se comparte con este únicamente el nombre completo y correo electrónico del Médico.
• Exclusión de Almacenamiento Financiero: La Plataforma no almacena, procesa, ni tiene acceso a datos bancarios completos ni información sensible de tarjetas de crédito o débito. Toda la información financiera es procesada y gestionada directamente por Stripe, quien cumple con el estándar internacional PCI DSS (Payment Card Industry Data Security Standard).

5. Medidas de Seguridad y Protección de Datos

Para garantizar la confidencialidad, integridad y disponibilidad de la información, implementamos medidas de seguridad administrativas, físicas y técnicas, incluyendo:

5.1 Seguridad de la Infraestructura

• Protección del servidor mediante llaves criptográficas SSH.
• Generación automática de respaldos (backups) diarios del servidor.
• Política estricta de acceso al servidor, restringida exclusivamente al Director de Tecnología, en términos de lo dispuesto en el numeral 7 del presente Aviso de Privacidad.

5.2 Cifrado de Datos y Restricción de Acceso a Información Confidencial

• Cifrado en Reposo: Los datos de los pacientes que permiten la identificación de la persona física son cifrados a nivel de base de datos.
• Cifrado en Tránsito: Todo intercambio de información entre el cliente (navegador) y el servidor está protegido mediante el protocolo HTTPS (TLS/SSL).
• Control de Acceso a Archivos: Los estudios clínicos son protegidos mediante asignación de permisos que restringen su acceso únicamente al servicio del back-end.

5.3 Registro de Peticiones (Logging)

Como medida de seguridad y trazabilidad, registramos todas las peticiones hechas al servidor y las respuestas de estas peticiones. Estos registros solo incluyen información superficial de las peticiones (URL, Query Parameters, Headers, entre otros). Estos registros no contienen el cuerpo (Body) de la petición con datos sensibles.

6. Protocolo ante Vulneraciones de Seguridad

En caso de detectarse una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares:

1. La Plataforma notificará vía correo electrónico a los Responsables (Médicos Titulares) afectados.
2. El comunicado detallará la naturaleza del incidente, los datos comprometidos y el impacto potencial sobre los Responsables y los Titulares, así como las medidas correctivas implementadas.

7. Política de Acceso y Privacidad de la Información

El acceso a la información contenida en la base de datos y el servidor está estrictamente restringido bajo el principio de mínimo privilegio.

• Acceso Autorizado: Únicamente el Director de Tecnología posee credenciales para acceder al servidor donde está alojada la información de los usuarios. Toda labor que realice está sujeta al más estricto secreto profesional y a la obligación de confidencialidad respecto a la información tratada, obligación que subsistirá de manera indefinida incluso tras la conclusión de su relación laboral.
• Uso Limitado: El uso de los datos, así como la ejecución de operaciones sobre estos se limitarán a lo estrictamente mínimo necesario para: (i) el cumplimiento de las finalidades secundarias descritas en el presente Aviso de Privacidad, y (ii) el procesamiento de solicitudes de ejercicio de derechos ARCO.
• Auditoría de Accesos: Se mantienen registros (logs) inalterables de todos los accesos y operaciones ejecutadas sobre los datos. Dichos registros son sometidos a auditorias periódicas para la verificación del cumplimiento de esta política.

8. Medios para Ejercer los Derechos ARCO

En cumplimiento con la normativa vigente, los Titulares de los datos personales tienen derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de su información (Derechos ARCO). A continuación, se detallan los medios y procedimientos a través de los cuales los diferentes Titulares de los datos personales pueden ejercer sus derechos ARCO:

1. Médico Titular

El siguiente desglose de los mecanismos para el ejercicio de los diferentes derechos ARCO aplica tanto para los datos personales de los que el Médico es Titular como de los que es Responsable:

• Acceso: La Plataforma cuenta con una serie de interfaces a través de las cuales el Médico Titular puede consultar, sin restricción alguna, toda la información que ha registrado en la Plataforma, ya sean datos propios o datos de terceros.
• Rectificación: La Plataforma integra módulos de edición que le permiten al Médico Titular actualizar o corregir sus datos personales, así como los datos de terceros. En caso de que la Plataforma no cuente con un módulo de edición para los datos específicos que el Médico desee rectificar deberá seguir el procedimiento especificado al final de este numeral para solicitar manualmente la rectificación de dichos datos. En caso de que los datos sujetos a rectificación hayan sido transmitidos a un tercero, las modificaciones también tendrán efecto sobre los datos en posesión del tercero.
• Cancelación: La Plataforma cuenta con herramientas para la eliminación de algunos registros, con estas herramientas el Médico Titular puede eliminar autónomamente algunos de sus datos, así como datos de terceros. En caso de que la Plataforma no cuente con la herramienta pertinente para la eliminación de un dato o un conjunto de datos el Médico Titular deberá seguir el procedimiento especificado al final de este numeral para solicitar manualmente la cancelación de dichos datos. En este caso, si la solicitud se determina procedente, en apego a la LFPDPPP, los datos serán puestos en estado de bloqueo: permanecerán accesibles únicamente para el cumplimiento de las responsabilidades nacidas del tratamiento, cualquier otra operación quedará restringida. El periodo del bloqueo se definirá en función del plazo de prescripción de las acciones derivadas de la relación jurídica que funde el tratamiento de los datos, en los términos de la Ley aplicable. Para el caso concreto de los expedientes clínicos, el periodo de bloqueo se ajustará por defecto (el Médico puede definir un periodo diferente en la solicitud) al plazo de conservación del expediente clínico estipulado en la NOM-004-SSA3-2012, la cual ordena su conservación por un mínimo de 5 años contados a partir de la fecha del último acto médico. Concluido el periodo de bloqueo se procederá con la supresión definitiva de los datos. Por último, en caso de que los datos sujetos a cancelación hayan sido transmitidos a un tercero, estos también serán eliminados de las bases de datos del tercero.
• Oposición: El Médico Titular, desde el panel de configuración de su cuenta, puede gestionar sus preferencias de privacidad y oponerse a una serie de tratamientos, como el uso de su correo electrónico para envío de boletines informativos y otros correos con fines de mercadotecnia. En caso de que el Médico desee oponerse a otros tratamientos que no estén listados en el panel de configuración, deberá seguir el procedimiento especificado al final de este numeral para manifestar manualmente su negativa a dichos tratamientos, fundamentando su decisión en una causa legítima según la LFPDPPP.

2. Paciente y Personal de Soporte

Dado que la Plataforma actúa en calidad de Encargado del tratamiento y el Médico Titular funge como Responsable ante sus pacientes y empleados o colaboradores; Cualquier solicitud de derechos ARCO por parte de Pacientes o Personal de Soporte deberá canalizarse directamente ante el Médico Responsable con quien tienen la relación jurídica. La Plataforma asistirá al Médico Responsable con las herramientas técnicas necesarias para dar cumplimiento a dichas solicitudes.

Procedimiento para solicitar manualmente el ejercicio de derechos ARCO

En los supuestos donde la arquitectura de la Plataforma no permita el ejercicio autónomo de algún derecho ARCO, el Médico Titular deberá remitir una solicitud al departamento de datos personales al correo electrónico contacto@lecora.io desde el correo electrónico registrado, incluyendo:

• Derecho a ejercer: Especificar claramente qué derecho ARCO desea ejercer (Acceso, Rectificación, Cancelación u Oposición) y la descripción precisa de los datos objeto de la solicitud.
• Identificación: Nombre completo del Titular de los datos. Si el solicitante es el propio Médico Titular actuando sobre sus datos, bastará con indicarlo.
• Acreditación: Documento digitalizado que acredite la identidad del solicitante o la representación legal, según corresponda.

Tiempos de Respuesta y Ejecución: Tras la recepción del correo, se verificará la información y se comunicará la determinación adoptada en un plazo máximo de 10 días naturales. De resultar procedente la solicitud, la ejecución de la medida solicitada se hará efectiva dentro de los 15 días naturales siguientes a la comunicación de la respuesta. (Plazos establecidos conforme a lo dispuesto en la LFPDPPP).

Conservación de Evidencias: Los registros de comunicación (correos electrónicos enviados y recibidos) relacionados con la solicitud se conservarán por un periodo de 30 días naturales posteriores a la conclusión de la misma, para fines de trazabilidad y calidad en el servicio. Transcurrido este plazo, se procederá a la eliminación de dichos correos para cumplir con el principio de minimización de datos. El Médico reconoce que, tras dicha eliminación, la Plataforma no conservará evidencia para desahogar aclaraciones extemporáneas sobre el manejo que se le dio a la solicitud.

9. Modificaciones al Aviso de Privacidad

La Plataforma se reserva el derecho de modificar o reemplazar el presente Aviso de Privacidad en cualquier momento para adaptarlo a mejoras de la Plataforma, nuevas políticas o nuevos requerimientos legales.

Cualquier modificación será notificada al correo electrónico registrado con al menos una semana de antelación a su entrada en vigor. El uso continuado de la Plataforma posterior a dicha fecha implicará la aceptación tácita del nuevo Aviso de Privacidad.

10. Contacto

Para cualquier duda, aclaración o comentario respecto del presente Aviso de Privacidad, por favor póngase en contacto con nosotros a través del correo electrónico contacto@lecora.io.