MedAssistIniciar sesión
Legal

Política de Privacidad

Última actualización: junio de 2026

1. Responsable del Tratamiento

Ivan Daniel Mendez Alvarez (en adelante, “MedAssist”), persona física con domicilio en Ciudad Victoria, Tamaulipas, México, es el responsable del tratamiento de los datos personales de los Profesionales que contratan el Servicio, en los términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

Contacto del área de privacidad: privacidad@medassist.mx

2. Marco Legal Aplicable

La presente Política se rige por la LFPDPPP, su Reglamento, los Lineamientos del Aviso de Privacidad emitidos por el INAI, y demás normativa mexicana aplicable. Para Profesionales ubicados fuera de México, MedAssist aplica estándares de protección equivalentes conforme a la legislación local correspondiente.

3. Distinción de Sujetos de Datos

MedAssist opera con dos categorías diferenciadas de titulares de datos personales, con distintos roles, responsabilidades y bases legales. Es fundamental comprender esta distinción para entender cómo protegemos la información en nuestra plataforma.

4. Categoría A — Datos Personales del Profesional

4.1. Datos que recopilamos

MedAssist recopila los siguientes datos personales del Profesional en su calidad de usuario y cliente del Servicio:

  • Nombre completo y datos de identificación profesional
  • Dirección de correo electrónico
  • Número de teléfono
  • RFC y datos fiscales para efectos de facturación
  • Número de WhatsApp Business vinculado al Servicio
  • Información de pago de la suscripción (procesada directamente por Stripe; MedAssist no almacena números de tarjeta ni datos de instrumentos de pago)
  • Clave secreta de Stripe del Profesional, cuando este activa el cobro anticipado — almacenada cifrada con AES-256-GCM; MedAssist nunca la expone en texto claro
  • Identificadores de transacción de Stripe (PaymentIntent IDs) correspondientes a anticipos de pacientes, almacenados en el historial de citas para trazabilidad y soporte ante disputas
  • Mensajes de las conversaciones internas entre el Profesional o su equipo y el asistente automatizado de agenda (asistente interno), accesibles para el administrador de la organización
  • Información de perfil público: nombre, especialidad, descripción biográfica, foto de perfil y catálogo de servicios activos (con precios opcionales) — publicados voluntariamente en la página de perfil del Profesional (medassist.app/p/[slug]) si este activa la función. Opcionalmente, la dirección del consultorio cuando el Profesional la registra y mantiene activo el control de visibilidad correspondiente en su panel (activado por defecto; desactivable en cualquier momento en Configuración → Perfil público). Incluye un contador anónimo de clics en el botón de agendamiento (sin datos de identificación del visitante). Los visitantes de la página de perfil no son redirigidos a MedAssist: son enviados a WhatsApp, cuyo tratamiento de datos es responsabilidad de Meta Platforms.
  • Datos de uso y navegación dentro de la plataforma (registros de sesión, configuraciones)

4.2. Finalidades del tratamiento

Los datos del Profesional se utilizan para las siguientes finalidades:

Finalidades necesarias para la relación contractual: prestación del Servicio contratado, gestión de la cuenta y credenciales de acceso, facturación y cobro de la suscripción, soporte técnico y atención al cliente, y envío de comunicaciones operativas relacionadas con el Servicio (actualizaciones, mantenimientos, cambios en los Términos).

Finalidades secundarias que requieren consentimiento: envío de comunicaciones de marketing, novedades del producto o promociones. El Profesional puede revocar este consentimiento en cualquier momento desde la configuración de su cuenta o escribiendo a privacidad@medassist.mx.

4.3. Base legal del tratamiento

El tratamiento de los datos del Profesional se sustenta en la relación contractual derivada de la aceptación de los Términos y Condiciones del Servicio, y en el cumplimiento de obligaciones legales aplicables a MedAssist.

4.4. Procesadores técnicos

Para la operación del Servicio, MedAssist comparte datos del Profesional únicamente con los siguientes proveedores tecnológicos, quienes actúan como encargados del tratamiento bajo acuerdos contractuales de confidencialidad y protección de datos:

  • Clerk, Inc. — gestión de autenticación e identidad
  • Stripe, Inc. — procesamiento de pagos de la suscripción del Profesional y, cuando el Profesional activa el cobro anticipado, generación de enlaces de pago y procesamiento de cobros y reembolsos de anticipos directamente en la cuenta Stripe del Profesional
  • Neon, Inc. / Amazon Web Services, Inc. — almacenamiento de datos estructurados en servidores ubicados en la región us-east-1 (Estados Unidos)
  • Cloudflare, Inc. — almacenamiento de archivos multimedia (fotografías de perfil de clínica y archivos adjuntos de notas clínicas) mediante el servicio Cloudflare R2, bajo la infraestructura global de Cloudflare

4.6. Datos del asistente interno

Los Profesionales y miembros del equipo que consultan el asistente interno de agenda por WhatsApp generan conversaciones que MedAssist almacena en su base de datos. Estos registros son accesibles para el administrador de la organización y se utilizan exclusivamente para ofrecer el servicio de consulta interna. No contienen datos clínicos de pacientes ni se comparten con terceros fuera de los procesadores técnicos descritos en el punto 4.4. Su período de retención sigue las mismas reglas aplicables a los datos del Profesional (§4.5).

4.5. Retención de datos

MedAssist conserva los datos del Profesional durante la vigencia de su suscripción y por un período adicional de hasta 90 días naturales tras la cancelación o eliminación de la cuenta. Durante los primeros 30 días de ese período, el Profesional conserva acceso en modo de solo lectura para exportar su información. Transcurrido el período total de retención, los datos —incluyendo archivos multimedia almacenados en Cloudflare R2— serán eliminados de forma irreversible, salvo que su conservación sea requerida por obligación legal (por ejemplo, registros fiscales bajo el artículo 30 del Código Fiscal de la Federación, cuyo plazo de conservación es de 5 años).

5. Categoría B — Datos Personales de los Pacientes Finales

5.1. Rol de MedAssist como Encargado del Tratamiento

Los pacientes finales son personas que interactúan con el asistente automatizado de WhatsApp configurado por el Profesional. En relación con los datos de los pacientes, MedAssist actúa exclusivamente como encargado del tratamiento (procesador de datos), en los términos del artículo 50 del Reglamento de la LFPDPPP. El Profesional es el responsable del tratamiento frente a sus pacientes y frente a la autoridad.

Esta distinción tiene consecuencias prácticas importantes: MedAssist trata los datos de los pacientes únicamente siguiendo las instrucciones del Profesional y para los fines acordados en los Términos y Condiciones; el Profesional es quien debe obtener el consentimiento de sus pacientes, informarles sobre el uso de un sistema automatizado y atender sus solicitudes de derechos ARCO en primera instancia.

5.2. Datos que MedAssist procesa de los pacientes

  • Nombre del paciente
  • Número de teléfono de WhatsApp
  • Historial de citas agendadas, reprogramadas o canceladas
  • Contenido de las conversaciones con el asistente automatizado
  • Identificador de transacción de Stripe (PaymentIntent ID) asociado al anticipo de una cita, cuando el Profesional tiene activado el cobro anticipado — MedAssist no almacena datos de la tarjeta del paciente; dicha información la custodia Stripe de forma directa
  • Historial de citas completadas previas, consultado por el asistente para identificar si el paciente es recurrente y pre-sugerir el médico y servicio de su última visita al iniciar una nueva solicitud de agendamiento — con el fin de reducir los pasos necesarios para el paciente
  • Registro de eventos de escalación cuando el asistente detecta indicadores de emergencia médica o crisis de salud mental en el contenido de los mensajes (por ejemplo, expresiones de ideación suicida o síntomas de emergencia física). Este registro se crea para alertar al Profesional de la salud responsable de la atención del paciente y se almacena en la cuenta del Profesional bajo las mismas medidas de seguridad reforzadas descritas en §5.3. El contenido del mensaje que activó la alerta se conserva de forma parcial (máximo 200 caracteres) con el único fin de que el Profesional pueda contextualizar la situación

5.3. Clasificación como datos sensibles

Los datos de historial de citas y conversaciones en el contexto de una consulta de salud constituyen datos personales sensibles en los términos del artículo 3, fracción VI de la LFPDPPP, por estar vinculados al estado de salud de los pacientes. MedAssist aplica medidas de seguridad reforzadas para este tipo de información.

5.4. Restricciones absolutas sobre datos de pacientes

MedAssist se compromete expresamente a:

  • No utilizar los datos de los pacientes para fines distintos a la prestación del Servicio al Profesional
  • No vender, ceder, arrendar ni compartir datos de pacientes con terceros fuera de los procesadores técnicos necesarios
  • No utilizar los datos de los pacientes para elaborar perfiles comerciales ni para el envío de publicidad
  • No utilizar los datos de los pacientes para entrenar modelos de inteligencia artificial propietarios ni de terceros
  • No contactar directamente a los pacientes en nombre propio de MedAssist por ningún canal. Los mensajes automáticos que el Servicio envía a los pacientes en nombre del Profesional — recordatorios de cita, seguimientos post-ausencia, avisos de anticipo pendiente, ofertas de reagendamiento al cancelar — son funcionalidades contratadas y no constituyen contacto directo de MedAssist

5.5. Responsabilidad del Profesional sobre datos de pacientes

El Profesional, en su calidad de responsable del tratamiento, deberá:

  • Informar a sus pacientes sobre el uso del asistente automatizado de MedAssist para el agendamiento de citas, incluyendo el envío de recordatorios previos a la cita (disponibles en todos los planes), mensajes de seguimiento post-ausencia y recordatorios de anticipo pendiente (disponibles en los planes Pro y Max), el envío de enlaces de pago por WhatsApp cuando la cita requiera anticipo, la identificación como paciente recurrente cuando el asistente consulte el historial de citas para pre-sugerir médico y servicio y agilizar el agendamiento, el envío de una oferta de reagendamiento inmediata cuando el paciente cancela su cita vía el asistente (disponible en todos los planes), y el análisis automático de mensajes para detectar indicadores de emergencia médica o crisis de salud mental con el fin de alertar al Profesional responsable
  • Obtener el consentimiento válido de sus pacientes para el tratamiento de sus datos personales, incluyendo datos sensibles de salud
  • Contar con un aviso de privacidad propio dirigido a sus pacientes que cubra el uso de herramientas tecnológicas de terceros
  • Atender en primera instancia las solicitudes de derechos ARCO que presenten sus pacientes

5.6. Solicitudes de derechos ARCO de pacientes

Los pacientes que deseen ejercer sus derechos de Acceso, Rectificación, Cancelación u Oposición (ARCO) deberán dirigirse en primer término al Profesional que administra su información. Si el Profesional no pudiera atender la solicitud o se negara a hacerlo injustificadamente, el paciente podrá contactar a MedAssist en privacidad@medassist.mx, indicando el nombre del profesional de salud correspondiente.

5.7. Retención de datos de pacientes

Los datos de los pacientes se conservan durante la vigencia de la suscripción del Profesional y por 30 días adicionales tras la cancelación. El Profesional puede exportar o solicitar la eliminación de estos datos en cualquier momento desde el panel de administración. Transcurrido el plazo de retención, los datos serán eliminados o anonimizados de forma irreversible.

6. Seguridad de la Información

MedAssist implementa medidas técnicas, administrativas y físicas de seguridad apropiadas para proteger los datos personales que trata, incluyendo cifrado en tránsito (TLS) y en reposo, controles de acceso basados en roles, registro de actividad y auditorías periódicas. Las credenciales de API de terceros que el Profesional proporciona —en particular, la clave secreta de Stripe para el cobro anticipado— se almacenan cifradas con AES-256-GCM; las claves de cifrado nunca se almacenan junto con los datos cifrados. Sin embargo, ningún sistema de seguridad es absolutamente infalible; en caso de una brecha de seguridad que afecte datos personales o credenciales almacenadas, MedAssist notificará al Profesional y, cuando corresponda, a la autoridad competente, conforme a los plazos y procedimientos establecidos en la normativa aplicable.

7. Cookies y Tecnologías de Rastreo

MedAssist utiliza exclusivamente cookies técnicas y de sesión necesarias para el funcionamiento de la plataforma y la gestión de la autenticación a través de Clerk. No utilizamos cookies de terceros con fines publicitarios ni herramientas de rastreo del comportamiento del usuario para fines comerciales. El navegador del usuario puede configurarse para rechazar cookies, aunque esto puede afectar el correcto funcionamiento de la plataforma.

8. Transferencias Internacionales de Datos

Para la operación del Servicio, los datos personales son procesados por proveedores ubicados fuera de México, específicamente en Estados Unidos. Dichas transferencias se realizan bajo los siguientes marcos de protección:

  • Neon, Inc. / Amazon Web Services (región us-east-1) — almacenamiento de datos estructurados bajo acuerdos de procesamiento con cláusulas de confidencialidad
  • Cloudflare, Inc. (infraestructura global) — almacenamiento de archivos multimedia mediante Cloudflare R2, bajo la política de privacidad y acuerdos de procesamiento de datos de Cloudflare
  • Stripe, Inc. — procesamiento de pagos de suscripción del Profesional y, cuando aplica, procesamiento directo de cobros y reembolsos de anticipos de pacientes en la cuenta Stripe del Profesional, bajo políticas de seguridad certificadas PCI-DSS. En el cobro anticipado, Stripe actúa directamente como procesador del pago del paciente sin intermediación de MedAssist
  • Meta Platforms, Inc. — mensajería a través de WhatsApp Cloud API bajo los términos de servicios empresariales de Meta. Al conectar su WABA, MedAssist registra plantillas de mensajes de categoría Utilidad directamente en la cuenta de Meta Business Manager del Profesional mediante el token de acceso que este proporciona; dichas plantillas son visibles en el WhatsApp Manager del Profesional y están sujetas a la revisión de Meta
  • Clerk, Inc. — autenticación bajo políticas de privacidad y acuerdos de procesamiento de datos

9. Derechos ARCO del Profesional

El Profesional puede ejercer sus derechos de Acceso, Rectificación, Cancelación u Oposición respecto a sus propios datos personales de dos formas:

  • Eliminación de cuenta (self-service): desde el panel de administración, en Configuración → Eliminar cuenta. La eliminación es inmediata e irreversible y no requiere enviar una solicitud por correo.
  • Solicitud ARCO por correo: enviando un email a privacidad@medassist.mx indicando nombre completo, correo electrónico registrado y descripción del derecho que desea ejercer.

Para solicitudes por correo, MedAssist verificará la identidad del solicitante antes de procesar cualquier acción sobre sus datos. La verificación podrá realizarse mediante: (a) confirmación desde el correo electrónico registrado en la cuenta, o (b) aportando nombre completo, RFC y los últimos 4 dígitos de la tarjeta con que se realizó el último pago. MedAssist responderá en un plazo máximo de 20 días hábiles contados a partir de la recepción de la solicitud, conforme al artículo 32 de la LFPDPPP. Si la complejidad de la solicitud lo requiere, MedAssist podrá prorrogar dicho plazo por 10 días hábiles adicionales, notificando al Profesional antes del vencimiento del plazo original.

10. Modificaciones a Esta Política

MedAssist podrá actualizar esta Política de Privacidad cuando resulte necesario. Notificará al Profesional por correo electrónico sobre cambios materiales con al menos 30 días de anticipación. La versión vigente siempre estará disponible en medassist.mx/privacidad.