Política de Privacidad

1. Identidad y Domicilio del Responsable del Tratamiento

El responsable del tratamiento de sus datos personales es el titular y operador de la plataforma Optisave, con presencia digital en https://www.optisave.app, y con domicilio fiscal en los Estados Unidos Mexicanos.

Para el ejercicio de los derechos que la LFPDPPP le confiere o para cualquier comunicación relacionada con el tratamiento de sus datos personales, el titular podrá contactar al Responsable a través de los medios indicados en la sección 11 del presente Aviso.

2. Datos Personales que se Recaban y Tratan

2.1 Datos de los usuarios de la plataforma (profesionales de salud y personal administrativo)

1. Datos de identificación: nombre completo, correo electrónico institucional, cargo profesional, número de cédula profesional.
2. Datos de autenticación: credenciales de acceso (hash de contraseña almacenado de forma segura) o token de identidad derivado del flujo Google OAuth 2.0.
3. Datos técnicos de sesión: dirección IP de acceso, tipo y versión de navegador, sistema operativo, fecha y hora de inicio y cierre de sesión.
4. Datos de configuración: preferencias de interfaz, zona horaria, idioma seleccionado.

2.2 Datos de pacientes (datos personales sensibles)

En su calidad de encargado del tratamiento, Optisave procesa los datos de pacientes registrados por el Suscriptor, los cuales pueden incluir datos personales sensibles conforme al artículo 3, fracción VI, de la LFPDPPP:

1. Datos de identificación: nombre, fecha de nacimiento, género, CURP, número de seguridad social.
2. Datos de contacto: domicilio, teléfono, correo electrónico.
3. Datos de salud: diagnósticos oftalmológicos, historial clínico, prescripciones, resultados de estudios y mediciones clínicas.
4. Datos de facturación: RFC, régimen fiscal, datos de cobertura médica o aseguradora.

El tratamiento de datos sensibles se realiza únicamente bajo el consentimiento expreso del paciente titular, conforme al artículo 9 de la LFPDPPP, y es responsabilidad del Suscriptor obtenerlo y documentarlo antes de registrar cualquier dato en la plataforma.

3. Finalidades del Tratamiento

3.1 Finalidades primarias (necesarias para la prestación del servicio)

1. Crear y gestionar la cuenta del Suscriptor y sus usuarios autorizados.
2. Prestar los servicios contratados de gestión clínica, agenda y facturación electrónica.
3. Garantizar la seguridad de la plataforma, la autenticación de usuarios y la integridad de los datos.
4. Generar y almacenar los registros de auditoría requeridos por la normativa aplicable.
5. Cumplir con las obligaciones contractuales, fiscales y legales derivadas de la relación de servicio.
6. Proporcionar soporte técnico y atender solicitudes de los Suscriptores.

3.2 Finalidades secundarias (requieren consentimiento adicional)

Con su consentimiento expreso, el Responsable podrá utilizar sus datos de contacto para:

1. Enviar comunicaciones sobre nuevas funcionalidades, actualizaciones y mejoras de la plataforma.
2. Invitarle a participar en encuestas de satisfacción y programas de retroalimentación.
3. Compartir contenidos educativos y materiales de formación relacionados con la gestión clínica oftalmológica.

Si el titular no desea que sus datos sean tratados para las finalidades secundarias, podrá manifestarlo enviando un correo electrónico a la dirección indicada en la sección 11 de este Aviso, indicando en el asunto "Oposición a finalidades secundarias".

4. Base de Licitud del Tratamiento

El tratamiento de datos personales realizado por Optisave se sustenta en las siguientes bases de licitud conforme al artículo 10 de la LFPDPPP y su Reglamento:

1. Ejecución del contrato: el tratamiento de datos de identificación y autenticación es necesario para la celebración y ejecución del contrato de suscripción suscrito con el usuario.
2. Obligación legal: el tratamiento de datos fiscales y registros de auditoría es necesario para cumplir con las obligaciones impuestas por la legislación tributaria (SAT) y la NOM-151-SCFI-2016.
3. Interés legítimo: el tratamiento de datos técnicos de sesión para garantizar la seguridad de la plataforma y prevenir fraudes o accesos no autorizados.
4. Consentimiento: el tratamiento para finalidades secundarias descritas en la sección 3.2, así como el tratamiento de datos sensibles de pacientes cuando el Responsable actúa como encargado del tratamiento.

5. Transferencias de Datos Personales

Sus datos personales podrán ser transferidos o comunicados a los siguientes destinatarios, con los fundamentos jurídicos indicados:

1. Supabase, Inc. (Estados Unidos): proveedor de base de datos, autenticación backend y almacenamiento de archivos. La transferencia se realiza al amparo del Data Processing Agreement suscrito con Supabase, conforme al artículo 36 de la LFPDPPP. Política de privacidad: https://supabase.com/privacy.
2. Google LLC (Estados Unidos): proveedor de servicios de autenticación federada (OAuth 2.0) mediante Google Identity. La transferencia comprende únicamente los datos mínimos necesarios para la verificación de identidad en el flujo de autenticación. Política de privacidad: https://policies.google.com/privacy.
3. Autoridades competentes: cuando la divulgación sea requerida por mandato legal, resolución judicial o requerimiento de autoridad administrativa, conforme al artículo 10, fracción IV, de la LFPDPPP.

Optisave no vende, arrienda ni comercializa datos personales a terceros con fines publicitarios o de prospección comercial.

6. Derechos ARCO y Procedimiento para su Ejercicio

Conforme a los artículos 22 al 35 de la LFPDPPP, el titular de los datos personales tiene derecho a:

1. Acceso: conocer qué datos personales suyos obran en poder del Responsable, para qué se utilizan y las condiciones generales de su tratamiento.
2. Rectificación: solicitar la corrección de sus datos cuando sean inexactos, incompletos o estén desactualizados.
3. Cancelación: solicitar la supresión de sus datos del sistema cuando considere que no están siendo tratados conforme a la Ley o han dejado de ser necesarios para la finalidad que motivó su tratamiento.
4. Oposición: oponerse al tratamiento de sus datos para finalidades específicas, en particular para las finalidades secundarias descritas en la sección 3.2.

Procedimiento para el ejercicio de derechos ARCO

Para ejercer cualquiera de los derechos anteriores, el titular deberá enviar una solicitud a través del correo electrónico indicado en la sección 11, incluyendo:

1. Nombre completo del titular y correo electrónico registrado en la plataforma, para fines de verificación de identidad.
2. Descripción clara y precisa del derecho que desea ejercer y los datos personales a los que se refiere la solicitud.
3. Copia de identificación oficial vigente (INE, pasaporte o cédula profesional).
4. En caso de actuar a través de representante legal, documento que acredite dicha representación.

El Responsable dará respuesta a la solicitud en un plazo máximo de veinte (20) días hábiles contados a partir de su recepción, conforme al artículo 24 de la LFPDPPP. Si la solicitud procede, los cambios se harán efectivos en un plazo adicional de quince (15) días hábiles.

7. Medidas de Seguridad Implementadas

Conforme al artículo 19 de la LFPDPPP, el Responsable ha implementado las siguientes medidas de seguridad técnicas, administrativas y físicas para proteger los datos personales tratados a través de la plataforma:

1. Cifrado en tránsito mediante TLS 1.2 o superior en todas las comunicaciones entre el cliente y la plataforma.
2. Cifrado en reposo de los datos almacenados en la infraestructura de Supabase.
3. Aislamiento lógico de datos por tenant mediante Row-Level Security (RLS) a nivel de base de datos.
4. Controles de acceso basados en roles (RBAC) con principio de mínimo privilegio.
5. Registros de auditoría inmutables de todos los accesos a información sensible.
6. Autenticación multifactor disponible para todos los usuarios de la plataforma.
7. Revisiones periódicas de seguridad y pruebas de vulnerabilidades.

En caso de una brecha de seguridad que afecte datos personales, el Responsable notificará al titular afectado y, en su caso, al INAI, dentro de los plazos establecidos por la legislación aplicable.

8. Conservación y Retención de Datos

Los datos personales serán conservados únicamente durante el tiempo necesario para cumplir con las finalidades descritas en este Aviso y con las obligaciones legales aplicables:

1. Datos de la cuenta del Suscriptor: durante la vigencia del contrato de suscripción y por un período adicional de cinco (5) años a efectos fiscales y legales, conforme al Código Fiscal de la Federación.
2. Datos de pacientes: durante el plazo establecido por la normativa sanitaria mexicana aplicable a la conservación de expedientes clínicos (mínimo cinco años desde la última consulta, conforme a la NOM-004-SSA3-2012).
3. Registros de auditoría: por un período mínimo de tres (3) años conforme a los lineamientos de la NOM-151-SCFI-2016.
4. Datos técnicos de sesión: noventa (90) días a partir de la fecha de registro.

Transcurridos los plazos anteriores, los datos serán eliminados o anonimizados de forma irreversible.

9. Uso de Cookies y Tecnologías de Rastreo Web

Optisave, al ser una aplicación que se ejecuta íntegramente en el navegador web, utiliza cookies, almacenamiento local (localStorage) y almacenamiento de sesión (sessionStorage) para garantizar el funcionamiento seguro de la plataforma. Las cookies de sesión y autenticación son estrictamente necesarias para la prestación del servicio y no requieren consentimiento previo del usuario.

Para información detallada sobre los tipos de cookies utilizadas, sus finalidades, duración y las opciones de gestión disponibles, consulte la Política de Cookies de la plataforma, que forma parte integrante del presente Aviso de Privacidad.

10. Modificaciones al Aviso de Privacidad

El Responsable se reserva el derecho de actualizar o modificar el presente Aviso de Privacidad en cualquier momento, a fin de reflejar cambios en las prácticas de tratamiento de datos, en los servicios ofrecidos, en la infraestructura técnica o en el marco normativo aplicable. Las modificaciones se notificarán al titular mediante aviso en la plataforma y, cuando sean sustanciales, también por correo electrónico, con al menos quince (15) días naturales de anticipación a su entrada en vigor. La versión vigente del Aviso de Privacidad estará disponible permanentemente en https://www.optisave.app/privacy.

11. Datos del Responsable y Medios de Contacto

Para ejercer sus derechos ARCO, presentar una queja, revocar su consentimiento o realizar cualquier consulta relacionada con el tratamiento de sus datos personales, el titular podrá contactar directamente al Responsable:

Correo electrónico: [email protected]
Teléfono: +52 449 345 6789
Sitio web: https://www.optisave.app
Horario de atención: Lunes a viernes, 9:00 a 18:00 horas (tiempo del Centro de México).

Asimismo, si el titular considera que el Responsable no ha dado respuesta satisfactoria a su solicitud de ejercicio de derechos o que sus datos han sido tratados en contravención a la LFPDPPP, podrá interponer queja o denuncia ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), con domicilio en Insurgentes Sur No. 3211, Col. Insurgentes Cuicuilco, Alcaldía Coyoacán, C.P. 04530, Ciudad de México, o a través de https://www.inai.org.mx.