Conforme a los artículos 15, 16 y 17 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo, la "LFPDPPP"), sus disposiciones reglamentarias, los Lineamientos del Aviso de Privacidad emitidos por el INAI y demás normatividad aplicable, NORMAFLEX, S.A. de C.V., titular de la marca comercial PREVIA Care MX, pone a disposición de los titulares de datos personales el presente Aviso de Privacidad Integral.
1. Identidad y domicilio del Responsable
Responsable: NORMAFLEX, S.A. de C.V. ("NORMAFLEX" o "PREVIA") Domicilio: Monterrey, Nuevo León, México. Representante legal: José Alejandro Salazar Valdivia (Administrador Único). Contacto privacidad:contacto@previacare.org Oficial de Protección de Datos: pendiente de designación formal.
2. Datos personales que se recaban
NORMAFLEX recaba las siguientes categorías de datos personales, de manera directa, indirecta y/o a través de fuentes de acceso público:
2.1 Datos de identificación
Nombre completo, sexo, fecha y lugar de nacimiento, nacionalidad, CURP, RFC (en caso de requerir CFDI), identificación oficial (clave de elector, pasaporte, FM2/FM3), domicilio, fotografía de identificación.
2.2 Datos de contacto
Correo electrónico, teléfono fijo y móvil, contacto en caso de emergencia.
2.3 Datos patrimoniales o financieros
Datos de tarjeta de crédito/débito o medio de pago seleccionado (procesados por la pasarela de pagos certificada — NORMAFLEX no almacena PAN completo en sus servidores), historial de pagos y facturación.
2.4 Datos técnicos y de uso
Dirección IP, identificador único de dispositivo, sistema operativo, navegador, ubicación aproximada, cookies, logs de actividad, interacciones con el Asistente IA.
Apartado especial — Datos personales sensibles. NORMAFLEX recaba datos personales sensibles en términos del artículo 3, fracción VI, de la LFPDPPP, los cuales requieren del CONSENTIMIENTO EXPRESO Y POR ESCRITO del titular, conforme al artículo 9 de la propia ley. El otorgamiento de dicho consentimiento es voluntario; sin embargo, su negativa impide la prestación de los servicios de la Plataforma.
2.5 Datos personales sensibles — biométricos
Imagen facial capturada por la cámara del dispositivo durante el uso del Scanner, patrones derivados de fotopletismografía remota (rPPG), grabación de voz en interacciones con el Asistente IA cuando proceda, y video/audio de la videoconsulta.
2.6 Datos personales sensibles — de salud
Antecedentes personales patológicos y no patológicos, antecedentes heredofamiliares, motivo de consulta, sintomatología actual, signos vitales estimados por el Scanner (frecuencia cardiaca, presión arterial estimada, variabilidad de frecuencia cardiaca, frecuencia respiratoria, saturación de oxígeno y otros parámetros), diagnósticos, tratamientos, prescripciones, alergias, hábitos, expediente clínico electrónico, resultados de estudios de laboratorio y gabinete.
3. Finalidades del tratamiento
3.1 Finalidades primarias (necesarias para la prestación del servicio)
Crear, administrar y operar la cuenta del Usuario en la Plataforma;
Realizar el proceso de onboarding y validación de identidad;
Operar el Scanner biométrico y procesar las imágenes faciales para arrojar parámetros referenciales de tamizaje;
Operar el Asistente IA y capturar información pre-clínica;
Transmitir los datos clínicos pre-consulta al Médico Tratante;
Facilitar el agendado y la sala virtual de consulta;
Integrar y mantener el expediente clínico electrónico, en cumplimiento de la NOM-004-SSA3-2012 y NOM-024-SSA3-2012;
Procesar pagos y emitir el CFDI correspondiente;
Atender quejas, dudas, aclaraciones y ejercicio de derechos ARCO;
Cumplir con obligaciones legales, fiscales, sanitarias, regulatorias y de prevención de fraude.
3.2 Finalidades secundarias (no necesarias para la prestación del servicio)
Envío de comunicaciones comerciales, promociones y novedades sobre la Plataforma;
Realización de estudios estadísticos, analíticos y de mejora del servicio mediante datos disociados o anonimizados;
Entrenamiento, mejora y validación de algoritmos de inteligencia artificial únicamente con datos disociados o anonimizados;
Encuestas de satisfacción y experiencia del Usuario.
El Usuario podrá oponerse al tratamiento para finalidades secundarias en cualquier momento, sin que ello afecte la prestación de los servicios primarios, mediante el procedimiento descrito en el apartado 7 del presente Aviso.
4. Transferencias de datos personales
NORMAFLEX transfiere datos personales del Usuario a los siguientes terceros, conforme a las finalidades indicadas:
Al Tercero Proveedor de servicios médicos: transferencia de información clínica del Usuario al Médico Tratante asignado, indispensable para la prestación del Servicio Médico.
Al licenciante tecnológico del Scanner (proveedor de tecnología rPPG): transferencia de imagen facial estrictamente durante la sesión de medición, para el procesamiento algorítmico y obtención de parámetros referenciales, conforme al contrato de licencia respectivo.
Al proveedor del Asistente IA y del modelo de lenguaje subyacente: transferencia del contenido conversacional para el procesamiento de lenguaje natural y captura estructurada de información pre-clínica.
A pasarelas de pago y emisores de CFDI: transferencia de datos financieros y fiscales para el procesamiento del pago y emisión del comprobante.
A proveedores de infraestructura cloud, hosting, correo transaccional y entrega de video (Netlify, Neon, Resend, Amazon Web Services y similares): para la operación técnica de la Plataforma.
A autoridades competentes: cuando exista requerimiento legal fundado y motivado en términos del artículo 37 de la LFPDPPP (autoridades sanitarias, fiscales, judiciales, ministeriales).
Con excepción del supuesto previsto en la fracción VI anterior, las transferencias se realizarán únicamente con encargados o terceros que hayan suscrito con NORMAFLEX el correspondiente contrato de tratamiento de datos personales o cláusulas de protección de datos en términos del Reglamento de la LFPDPPP.
Transferencias internacionales. Para la operación técnica de la Plataforma pueden ocurrir transferencias de datos a proveedores ubicados en Estados Unidos de América (servicios cloud, correo transaccional, IA, video streaming) y otras jurisdicciones. NORMAFLEX exige a sus encargados y terceros la adopción de medidas de protección equivalentes a las exigidas por la LFPDPPP, mediante cláusulas contractuales estándar y compromisos contractuales de confidencialidad, seguridad y limitación de uso.
Consentimiento requerido para transferencias de datos sensibles. La transferencia de datos sensibles (biométricos y de salud) al Tercero Proveedor, al Médico Tratante, al proveedor del Scanner y al proveedor del Asistente IA requiere del CONSENTIMIENTO EXPRESO Y POR ESCRITO del titular, mismo que se otorga mediante la aceptación expresa del presente Aviso al momento del onboarding.
5. Período de conservación
Datos del expediente clínico electrónico: por el plazo mínimo de cinco (5) años conforme a la NOM-004-SSA3-2012, o el plazo mayor que llegare a establecer la normatividad aplicable;
Datos fiscales y financieros: por el plazo previsto en el Código Fiscal de la Federación (cinco años contados a partir de la fecha en que se presentó o debió presentarse la declaración correspondiente);
Datos de identificación y contacto: mientras subsista la relación con el Usuario y por un plazo adicional de cinco (5) años para efectos de defensa legal;
Datos técnicos y de uso: por un plazo no mayor a veinticuatro (24) meses;
Datos biométricos del Scanner: serán procesados de manera efímera durante la sesión y los parámetros estimados serán almacenados como parte del expediente clínico; las imágenes faciales no serán almacenadas más allá del tiempo necesario para el procesamiento, salvo consentimiento expreso del Usuario para finalidades secundarias.
6. Medidas de seguridad
NORMAFLEX implementa medidas de seguridad administrativas, técnicas y físicas, en términos del artículo 19 de la LFPDPPP y los artículos 57 a 62 de su Reglamento, para proteger los datos personales contra daño, pérdida, alteración, destrucción o uso, acceso o tratamiento no autorizado. Estas medidas incluyen, de manera enunciativa: cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), control de accesos basado en roles, autenticación robusta (incluyendo verificación de correo electrónico con código de un solo uso), registros de auditoría, gestión de vulnerabilidades, respaldos cifrados y contratos de confidencialidad con personal y encargados.
7. Derechos ARCO y revocación del consentimiento
El titular tiene derecho a:
Acceder a sus datos personales y conocer las condiciones de su tratamiento;
Rectificar sus datos cuando sean inexactos o incompletos;
Cancelar sus datos cuando considere que no se requieren para alguna de las finalidades, o estén siendo utilizados para finalidades no consentidas o haya finalizado la relación contractual o de servicio;
Oponerse al tratamiento por causa legítima, así como para finalidades secundarias;
Revocar el consentimiento otorgado para el tratamiento de sus datos personales.
Para ejercer los derechos ARCO o revocar el consentimiento, el titular podrá:
Enviar solicitud al correo: contacto@previacare.org, anexando: (i) copia simple de identificación oficial; (ii) descripción clara y precisa del derecho que ejerce; (iii) cuando corresponda, los documentos que sustenten su solicitud.
Utilizar el formulario habilitado en la sección "Privacidad" de la Plataforma.
NORMAFLEX dará respuesta en un plazo no mayor a veinte (20) días hábiles contados a partir de la fecha de recepción, y hará efectiva la determinación dentro de los quince (15) días hábiles siguientes a la fecha de comunicación al titular.
Importante: la revocación del consentimiento sobre datos sensibles necesarios para la prestación del servicio implicará la imposibilidad de seguir utilizando la Plataforma y el Servicio Médico. Cuando el dato forme parte del expediente clínico electrónico, su conservación durante el plazo legal mínimo (NOM-004) prevalecerá sobre la solicitud de cancelación.
8. Uso de cookies y tecnologías similares
La Plataforma utiliza cookies y tecnologías similares (web beacons, pixel tags, local storage) para optimizar la experiencia del Usuario, mantener sesiones activas, recordar preferencias y, en su caso, realizar analítica. El detalle se encuentra en la Política de Cookies. El Usuario puede gestionar las cookies desde la configuración de su navegador o desde el panel de preferencias de la Plataforma.
9. Cambios al Aviso de Privacidad
NORMAFLEX se reserva el derecho de modificar el presente Aviso. Las modificaciones se comunicarán al Usuario por al menos uno de los siguientes medios: publicación en la Plataforma, correo electrónico, notificación dentro de la aplicación, o aviso en el panel del Usuario.
10. INAI
Si el titular considera que su derecho a la protección de datos personales ha sido lesionado por NORMAFLEX, podrá presentar denuncia ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), con domicilio en Av. Insurgentes Sur 3211, Col. Insurgentes Cuicuilco, Demarcación Territorial Coyoacán, C.P. 04530, Ciudad de México, o a través del portal www.inai.org.mx.
Consentimiento expreso para datos personales sensibles
De conformidad con el artículo 9 de la LFPDPPP, el Usuario, al aceptar el presente Aviso mediante el mecanismo de click-wrap habilitado en la Plataforma, manifiesta:
"Otorgo mi consentimiento EXPRESO Y POR ESCRITO para el tratamiento de mis datos personales sensibles —biométricos (imagen facial, patrones rPPG, voz) y de salud (antecedentes, signos vitales, diagnósticos, prescripciones)— por parte de NORMAFLEX, S.A. de C.V., para las finalidades primarias descritas en el presente Aviso de Privacidad Integral, así como para su transferencia al Tercero Proveedor, al Médico Tratante, al licenciante tecnológico del Scanner y al proveedor del Asistente IA, en los términos aquí establecidos."
Este consentimiento se otorgará mediante click-wrap reforzado o firma electrónica al momento del onboarding, y se conservará registro electrónico que haga prueba plena conforme al artículo 210-A del CFPC.
Manifestación de aceptación electrónica
Ha leído íntegramente el presente documento;
Comprende su alcance, derechos y obligaciones;
Cuenta con plena capacidad legal para obligarse en términos de los artículos 1798 y 1803, fracción I, del Código Civil Federal;
Otorga su consentimiento expreso y por escrito para el tratamiento y transferencia de sus datos personales sensibles (biométricos y de salud), conforme a las finalidades primarias del presente Aviso;
Acepta que la aceptación por medios electrónicos surte plenos efectos en términos de los artículos 89, 89 bis, 90, 90 bis y 93 del Código de Comercio y del artículo 1803, fracción I, del Código Civil Federal.
Registro de aceptación: NORMAFLEX registrará en sus sistemas la fecha, hora, dirección IP, dispositivo, ubicación aproximada y mecanismo de aceptación, los cuales harán prueba plena conforme al artículo 210-A del CFPC.