Aviso de Privacidad

Última actualización: 19 de Mayo, 2026

Este Aviso de Privacidad cumple con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México y describe cómo medynota recolecta, usa, almacena, comparte y protege la información de profesionales de la salud y de sus pacientes.

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es medynota, con contacto a través de [email protected]. Los profesionales que utilizan el servicio son corresponsables del tratamiento de los datos personales de sus pacientes ingresados en la plataforma.

2. Datos que recolectamos

Recolectamos únicamente la información necesaria para prestar el servicio:

  • Datos de la cuenta del profesional: nombre, apellidos, título profesional, correo electrónico, contraseña cifrada, último acceso.
  • Datos de facturación: nombre fiscal y correo. Los datos de pago (tarjeta) son procesados y almacenados directamente por Stripe; medynota no tiene acceso al número completo de tarjeta ni al CVV.
  • Datos de pacientes ingresados por el profesional: nombre, apellidos, identificador interno, fecha de nacimiento, género, antecedentes médicos, signos vitales y cualquier información clínica capturada durante la consulta.
  • Notas y consultas: texto crudo dictado o tecleado, notas SOAP generadas, archivos PDF exportados, mediciones clínicas.
  • Audio (solo función de grabación de sesión, en piloto): archivo de audio de la consulta cuando el médico activa esta función. El archivo se elimina automáticamente después de generar la transcripción.
  • Datos técnicos: dirección IP, agente de usuario del navegador, registros de acceso, métricas de uso anonimizadas vía Google Analytics 4.

3. Finalidades

Tratamos estos datos para:

  • Prestar el servicio de generación y resguardo de notas clínicas.
  • Procesar pagos y administrar la suscripción.
  • Estructurar texto mediante inteligencia artificial (ver § 5).
  • Atender solicitudes de soporte técnico.
  • Cumplir obligaciones legales, fiscales y regulatorias.
  • Mejorar la plataforma a partir de métricas agregadas y anónimas.

4. Base de legitimación

El tratamiento se realiza con base en la relación contractual derivada de la suscripción al servicio, así como en el consentimiento que otorgas al registrarte. Para los datos de pacientes, el profesional de la salud es responsable de contar con la base legal y, cuando aplique, con el consentimiento informado correspondiente.

5. Procesadores externos (sub-encargados)

Para prestar el servicio, transferimos parte de los datos a los siguientes proveedores. Cada uno actúa como encargado y procesa la información únicamente por instrucción de medynota:

  • Google Cloud (Gemini API): recibe el texto que dictas o capturas para devolver la estructura SOAP, signos vitales extraídos o resúmenes de antecedentes. Google declara no usar el contenido enviado a la API de Gemini para entrenar sus modelos.
  • OpenAI (API de transcripción Whisper): recibe los archivos de audio de la función de grabación de sesión para convertirlos a texto. OpenAI declara no usar el contenido enviado a su API para entrenar modelos.
  • Stripe: procesa los pagos. Recibe datos de tarjeta y datos fiscales básicos. medynota no almacena el número de tarjeta.
  • Cloudflare: proporciona red de distribución (CDN), protección contra ataques y verificación anti-bot (Turnstile) en formularios públicos.
  • Proveedor de infraestructura: los servidores donde corre medynota están alojados en infraestructura ubicada en los Estados Unidos. El acceso está restringido al personal técnico de medynota mediante credenciales individuales.
  • Google Analytics 4: ver § 8.

No vendemos datos personales ni los compartimos con terceros con fines comerciales o publicitarios.

6. Cifrado y seguridad

Implementamos medidas técnicas y organizativas razonables, incluyendo:

  • Cifrado en tránsito: toda comunicación entre tu navegador y nuestros servidores usa TLS 1.2 o superior (HTTPS).
  • Cifrado en reposo: los datos almacenados en disco y los respaldos están cifrados usando los mecanismos de cifrado del proveedor de infraestructura.
  • Aislamiento por cuenta: cada cuenta tiene su propia base de datos aislada, sin acceso cruzado entre clientes.
  • Control de acceso: el acceso del personal de medynota a datos clínicos está restringido al personal autorizado y queda registrado en bitácoras.

Importante: medynota no implementa cifrado de extremo a extremo (E2E). Para que la IA pueda estructurar tus notas, nuestros servidores y los proveedores de IA referidos en § 5 procesan el contenido en texto claro durante el tiempo necesario para devolver el resultado.

7. Conservación de los datos

  • Mientras la suscripción esté activa, conservamos todos los datos para que estén disponibles en la plataforma.
  • Al cancelar, conservamos los datos clínicos por 90 días naturales para permitir reactivación o exportación. Después se eliminan definitivamente de los sistemas productivos; los respaldos cifrados se purgan en los 30 días siguientes.
  • Los datos fiscales se conservan por los plazos exigidos por la legislación fiscal mexicana.
  • Los audios de la función de grabación de sesión se eliminan en cuanto se genera la transcripción.

8. Análisis de uso (Google Analytics 4)

Usamos Google Analytics 4 para entender cómo se usa la plataforma y mejorarla. GA4 registra páginas visitadas, eventos generales (inicio de sesión, creación de registros) e identificadores anonimizados. No enviamos a GA4 contenido clínico, nombres de pacientes ni texto de consultas. Puedes optar por no participar instalando la extensión de exclusión de Google Analytics.

9. Derechos ARCO

Tienes derecho en todo momento a:

  • Acceso: conocer qué datos tuyos tratamos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Cancelación: solicitar la eliminación de tus datos.
  • Oposición: oponerte al tratamiento para finalidades específicas.
  • Portabilidad: obtener una copia de tus datos en formato estructurado y de uso común (exportación PDF disponible en la aplicación, exportación completa bajo solicitud).
  • Limitación y revocación del consentimiento respecto del tratamiento de tus datos personales.

Para ejercer estos derechos, envía tu solicitud a [email protected]. Responderemos en un plazo máximo de 20 días hábiles conforme a la LFPDPPP.

10. Transferencias internacionales

Algunos de los proveedores enlistados en § 5 procesan datos fuera de México, principalmente en los Estados Unidos. Al utilizar medynota consientes estas transferencias, que están limitadas a la prestación del servicio y se realizan bajo los compromisos contractuales de cada proveedor.

11. Cambios al Aviso de Privacidad

Podemos actualizar este Aviso. Notificaremos los cambios materiales por correo electrónico o dentro de la aplicación con al menos 15 días de antelación. La fecha de "última actualización" siempre aparece al inicio del documento.

12. Contacto del Oficial de Privacidad

Para cualquier duda, queja o solicitud relacionada con privacidad: [email protected]