Privacidad · CoreDocAviso de Privacidad de CoreDoc
Cómo se tratan los datos personales dentro de la aplicación CoreDoc. Este aviso distingue los datos de la cuenta del cliente (clínica o profesional de la salud) de los datos de pacientes, que incluyen datos personales sensibles de salud.
1. Identidad del responsable y aclaración de roles
Core Suite S.A.S. (Sociedad por Acciones Simplificadas), con Registro Federal de Contribuyentes CSU260324P42 y domicilio en Calle 72C número 499, Cerrada Lluvia de Oro, entre Calle 13J, Colonia Gran Santa Fe, Mérida, Yucatán, México, C.P. 97314 (en adelante, "Core Suite"), es el desarrollador y operador de la aplicación de gestión clínica CoreDoc.
Este aviso se rige por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento. Para cualquier asunto relacionado con la privacidad en CoreDoc puedes escribir a [email protected].
1.1 Doble rol bajo la LFPDPPP
El tratamiento de datos en CoreDoc opera bajo dos roles distintos:
- Datos de la cuenta del cliente (la clínica o el profesional de la salud que contrata CoreDoc): respecto de estos datos, Core Suite es el «responsable» y los trata para prestar, facturar y dar soporte al servicio.
- Datos de los pacientes (incluidos datos personales sensibles de salud) capturados por el cliente dentro de CoreDoc: respecto de estos datos, la clínica o el profesional de la salud es el «responsable» y Core Suite/CoreDoc actúa únicamente como «encargado», es decir, trata esos datos por cuenta y nombre del cliente, siguiendo sus instrucciones y conforme al contrato de prestación de servicios / encargo de tratamiento (DPA) celebrado entre ambas partes.
Como encargado, Core Suite no usa los datos de los pacientes para finalidades propias distintas de la prestación del servicio al cliente, ni decide sobre dichas finalidades. La relación con cada paciente, la obtención de su consentimiento y la atención de sus derechos corresponden, en primer término, al cliente responsable, con el apoyo operativo de CoreDoc.
2. Datos personales que se tratan
2.1 Datos de la cuenta del cliente (Core Suite como responsable)
- Nombre del profesional o razón social de la clínica.
- Cédula profesional y especialidad médica.
- Datos de contacto: correo electrónico, teléfono y número de WhatsApp.
- Domicilio y datos fiscales para facturación.
- Credenciales de acceso y registros de uso de la aplicación.
2.2 Datos de pacientes (el cliente como responsable; CoreDoc como encargado)
Dentro de CoreDoc, el cliente captura y administra datos de sus pacientes, que pueden incluir:
- Datos de identificación y contacto del paciente (nombre, fecha de nacimiento, teléfono, correo).
- Datos personales sensibles de salud: historia clínica, diagnósticos, padecimientos, tratamientos, prescripciones, resultados de estudios, notas de evolución y demás información del expediente clínico electrónico.
Consentimiento expreso para datos personales sensibles de salud. Conforme al artículo 9 de la LFPDPPP y en alineación con la NOM-004-SSA3 y la NOM-024-SSA3, el tratamiento de datos personales sensibles de salud requiere el consentimiento expreso del titular (el paciente). La obtención de dicho consentimiento corresponde al cliente responsable (la clínica o el profesional de la salud), quien declara contar con él al capturar la información en CoreDoc. Core Suite, como encargado, provee los mecanismos técnicos para registrar y resguardar ese consentimiento, pero no sustituye la obligación del cliente de recabarlo.
3. Finalidades del tratamiento
Finalidades primarias (necesarias para prestar el servicio)
- Crear y administrar la cuenta del cliente y autenticar su acceso.
- Permitir al cliente gestionar el expediente clínico de sus pacientes: agenda, citas, historia clínica, prescripciones y seguimiento.
- Enviar, por cuenta del cliente, notificaciones y recordatorios de citas a los pacientes por WhatsApp, SMS y correo electrónico (ver sección 7).
- Brindar soporte técnico, respaldos y seguridad de la información.
- Facturar el servicio y cumplir obligaciones legales, contables y fiscales.
Finalidades secundarias (opcionales — requieren consentimiento)
- Enviar al cliente novedades de producto, contenido educativo y promociones.
- Realizar análisis estadístico agregado y anonimizado para mejorar CoreDoc.
Las finalidades secundarias no son necesarias para el servicio. Negarte a ellas no afecta la prestación del servicio. Para oponerte, ver la sección 6.
4. Encargados subcontratados y transferencias
Para operar CoreDoc, Core Suite se apoya en los siguientes proveedores, que actúan como encargados subcontratados. Cada uno está obligado por contrato a tratar los datos exclusivamente para los fines aquí descritos, con medidas de seguridad adecuadas y sin usarlos para fines propios.
| Proveedor | Para qué se utiliza |
|---|---|
| Microsoft Azure | Hosting, infraestructura y almacenamiento de la base de datos. |
| Azure Communication Services | Envío de correo electrónico (notificaciones y comunicaciones). |
| Twilio | Envío de mensajería SMS y de WhatsApp. |
| Meta Platforms, Inc. — WhatsApp Business Platform | Envío de mensajes de WhatsApp (recordatorios y notificaciones de citas). |
Core Suite no vende, renta ni comparte datos personales con terceros con fines publicitarios. No se comparten datos con anunciantes, farmacéuticas, aseguradoras ni grupos de investigación. Cualquier transferencia distinta de las aquí señaladas requerirá el consentimiento previo cuando la ley lo exija.
5. Derechos ARCO y revocación del consentimiento
Todo titular tiene derecho a Acceder, Rectificar, Cancelar u Oponerse (derechos ARCO) al tratamiento de sus datos personales, así como a revocar el consentimiento otorgado.
Pacientes: dado que la clínica o profesional de la salud es el responsable de tus datos, dirige tu solicitud en primer término a la clínica que te atiende. Core Suite, como encargado, dará el apoyo técnico necesario para que el responsable pueda atenderla.
Clientes (titulares de la cuenta): para ejercer tus derechos sobre los datos de tu cuenta, sigue este procedimiento:
- Envía tu solicitud a [email protected] indicando el derecho que deseas ejercer (acceso, rectificación, cancelación, oposición o revocación).
- Adjunta identificación oficial que acredite tu identidad (o poder, si actúas por representante).
- Describe de forma clara los datos sobre los que recae tu solicitud.
- Recibirás acuse de recibo y, en su caso, te pediremos información adicional para verificar tu identidad o precisar la solicitud.
- Revocación: al recibir tu solicitud de revocación, deshabilitamos el tratamiento asociado al consentimiento revocado y te confirmamos su efecto. La revocación puede limitar o impedir la prestación de ciertas funciones cuando el tratamiento sea indispensable para el servicio.
Responderemos tu solicitud en un plazo máximo de [REVISAR-LEGAL: plazo de respuesta ARCO en días hábiles] y, de proceder, la haremos efectiva dentro de [REVISAR-LEGAL: plazo para hacer efectiva la solicitud ARCO]. El ejercicio de estos derechos es gratuito conforme a la LFPDPPP.
6. Negativa al tratamiento para finalidades secundarias
Puedes negarte en cualquier momento al tratamiento de tus datos para las finalidades secundarias (sección 3) sin que ello afecte el servicio. Para hacerlo, escribe a [email protected] con el asunto «Baja de finalidades secundarias», o utiliza el enlace de cancelación de suscripción incluido en cada comunicación. Tu solicitud se atenderá sin condicionar el uso de CoreDoc.
7. Notificaciones y consentimiento por canal
CoreDoc utiliza WhatsApp, SMS y correo electrónico para enviar a los pacientes recordatorios y notificaciones de citas, por cuenta del cliente responsable.
El consentimiento para estas comunicaciones se gestiona por canal: el paciente puede aceptar o rechazar cada canal de forma independiente (por ejemplo, aceptar correo y rechazar WhatsApp). La preferencia por canal puede actualizarse en cualquier momento, y rechazar un canal no impide recibir notificaciones por los canales que sí se hayan aceptado.
8. Cambios a este aviso
Este aviso puede actualizarse por cambios legales, nuevos encargados o ajustes en las finalidades. La versión vigente se publicará siempre en esta página, indicando la fecha de su última actualización. Cuando los cambios sean sustanciales, se notificará por los medios de contacto registrados con al menos [REVISAR-LEGAL: plazo de aviso previo ante cambios sustanciales] de anticipación. Última actualización: 18 de junio de 2026.
9. Conservación de datos
Los datos de la cuenta del cliente se conservan mientras la relación contractual esté vigente y por los plazos legales aplicables posteriores. Los datos de pacientes se conservan conforme a las instrucciones del cliente responsable y a la normatividad sanitaria aplicable al expediente clínico. [REVISAR-LEGAL: plazos exactos de conservación de datos de pacientes y de la cuenta del cliente].
10. Autoridad regulatoria
Si consideras vulnerado tu derecho a la protección de datos personales, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): www.inai.org.mx. Para los efectos de este aviso, las partes se someten a la legislación federal mexicana y a la jurisdicción de los tribunales de Mérida, Yucatán.