Aviso de Privacidad Integral

Versión 1.1 · Vigente desde: 10 de enero de 2026

Última actualización: 10 de enero de 2026

Índice

En cumplimiento con lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante "LFPDPPP") y sus reformas vigentes (última reforma publicada en el Diario Oficial de la Federación el 14 de noviembre de 2025), ponemos a su disposición el presente Aviso de Privacidad Integral.

I. Identidad y Domicilio del Responsable

El responsable del tratamiento de sus datos personales es:

Responsable del Tratamiento

Denominación social: CARESNAROCA SAS

RFC: CAR230318N74

Domicilio: Calle Violante número 5, Interior 604, Colonia San Simón Tolnahuac, Código Postal 06920, Alcaldía Cuauhtémoc, Ciudad de México, México

Correo electrónico: hola@vitalink.lat

Teléfono: +52 55 9169 2746

CARESNAROCA SAS (en adelante "CARESNAROCA", "nosotros" o "VITALINK") es una sociedad mercantil constituida conforme a las leyes de los Estados Unidos Mexicanos, que opera comercialmente la plataforma tecnológica "Expediente VITALINK" bajo licencia de Atenea Labs OÜ.

Encargado del Tratamiento

Denominación social: Atenea Labs OÜ

Número de registro: 16668881

Domicilio: Sakala tn 7-2, Kesklinna linnaosa, Tallinn, Harju maakond, 10141, Estonia

VAT: EE102677991

Atenea Labs OÜ actúa como encargado del tratamiento, proporcionando los servicios tecnológicos de desarrollo, mantenimiento y hosting de la plataforma, tratando los datos personales únicamente conforme a las instrucciones de CARESNAROCA.

II. Datos Personales que Recabamos

Para las finalidades señaladas en el presente Aviso de Privacidad, podemos recabar las siguientes categorías de datos personales:

A. Datos de Profesionales de la Salud (Usuarios)

Categoría Datos Obligatorio
Identificación Nombre completo, fotografía de perfil
Contacto Correo electrónico, teléfono, dirección del consultorio
Profesionales Cédula profesional, especialidad, institución de egreso, universidad
Fiscales RFC, régimen fiscal, domicilio fiscal, constancia de situación fiscal Para facturación
Financieros Datos de tarjeta de pago (procesados por Stripe, no almacenados por nosotros) Para pago
Firma electrónica Imagen de firma manuscrita digitalizada Opcional

B. Datos de Pacientes

IMPORTANTE - Roles de tratamiento: Conforme a la LFPDPPP, el profesional de la salud (Usuario) es el Responsable del tratamiento de los datos personales de sus pacientes. CARESNAROCA actúa únicamente como Encargado del tratamiento, proporcionando la infraestructura tecnológica. El médico debe obtener el consentimiento de sus pacientes y cumplir con su propio Aviso de Privacidad.

Nota: Los datos de pacientes son ingresados al sistema por los profesionales de la salud (Usuarios) en el ejercicio de su práctica médica. El profesional de la salud es el responsable del tratamiento de los datos de sus pacientes y debe obtener el consentimiento correspondiente.

Categoría Datos
Identificación Nombre completo, CURP, fecha de nacimiento, sexo, lugar de nacimiento, estado civil, ocupación
Contacto Domicilio, teléfono, correo electrónico, contacto de emergencia
Salud (sensibles) Antecedentes heredofamiliares, antecedentes personales patológicos y no patológicos, antecedentes gineco-obstétricos, padecimiento actual, diagnósticos (CIE-10), tratamientos, medicamentos, alergias, signos vitales, somatometría, notas de evolución, estudios de laboratorio y gabinete, pronóstico

III. Datos Personales Sensibles

Tratamiento de Datos Sensibles

Conforme al artículo 3, fracción VI de la LFPDPPP, los datos relativos al estado de salud presente y futuro de una persona física son considerados datos personales sensibles, ya que su utilización indebida puede dar origen a discriminación o conllevar un riesgo grave para el titular.

El Servicio "Expediente VITALINK" está diseñado específicamente para el almacenamiento y gestión de expedientes clínicos electrónicos, por lo que necesariamente implica el tratamiento de datos personales sensibles relativos a la salud.

Fundamento legal: El tratamiento de estos datos sensibles se realiza con fundamento en:

  • Artículo 9 de la LFPDPPP: Consentimiento expreso y por escrito del titular
  • Artículo 10, fracción VI de la LFPDPPP: Tratamiento necesario para la prevención, diagnóstico, prestación de asistencia sanitaria, tratamiento médico o gestión de servicios sanitarios
  • NOM-004-SSA3-2012: Obligación legal de integrar y conservar el expediente clínico
  • Ley General de Salud: Obligaciones de los prestadores de servicios de salud

Consentimiento expreso: Para el tratamiento de datos personales sensibles de pacientes, el profesional de la salud (Usuario) debe obtener el consentimiento expreso y por escrito del paciente, lo cual se realiza mediante:

  • Firma del consentimiento informado por parte del paciente
  • Aceptación expresa al momento de registrar al paciente en el sistema
  • Carta de consentimiento para procedimientos específicos

El profesional de la salud es responsable de recabar y conservar evidencia del consentimiento de sus pacientes conforme a la normativa aplicable.

IV. Finalidades del Tratamiento

A. Finalidades Primarias (Necesarias)

Sus datos personales serán tratados para las siguientes finalidades que dan origen y son necesarias para la relación jurídica entre usted y CARESNAROCA:

  1. Prestación del Servicio: Proporcionar acceso y funcionamiento de la plataforma Expediente VITALINK para la gestión de expedientes clínicos electrónicos
  2. Gestión de cuenta: Crear, administrar y mantener su cuenta de usuario, incluyendo autenticación y control de acceso
  3. Verificación profesional: Validar su cédula profesional ante el Registro Nacional de Profesionistas de la SEP
  4. Cumplimiento normativo: Cumplir con las obligaciones establecidas en la NOM-004-SSA3-2012, NOM-024-SSA3-2012 y demás normativa sanitaria aplicable
  5. Facturación y cobranza: Procesar pagos, emitir comprobantes fiscales (CFDI) y gestionar la relación comercial
  6. Soporte técnico: Atender solicitudes de soporte, resolver incidencias y proporcionar asistencia técnica
  7. Comunicaciones operativas: Enviar notificaciones relacionadas con el funcionamiento del Servicio, actualizaciones, mantenimientos y alertas de seguridad
  8. Seguridad: Proteger la integridad del Servicio, prevenir fraudes y detectar actividades no autorizadas

B. Finalidades Secundarias (No Necesarias)

De manera adicional, y previo consentimiento, utilizaremos sus datos personales para las siguientes finalidades que no son necesarias para la prestación del Servicio, pero que nos permiten brindarle una mejor experiencia:

  1. Comunicaciones promocionales: Enviar información sobre nuevas funcionalidades, promociones, eventos y contenido educativo relacionado con el Servicio
  2. Encuestas y estudios: Realizar encuestas de satisfacción y estudios de mercado para mejorar nuestros servicios
  3. Estadísticas agregadas: Elaborar estadísticas y análisis con datos agregados y anonimizados para investigación y mejora del Servicio
  4. Personalización: Personalizar su experiencia de usuario basándose en sus preferencias y patrones de uso

Derecho de oposición: Si no desea que sus datos personales sean tratados para las finalidades secundarias, puede manifestarlo enviando un correo electrónico a hola@vitalink.lat con el asunto "Oposición a finalidades secundarias". La negativa para el uso de sus datos personales para estas finalidades no será motivo para negarle los servicios que solicita o contrata.

V. Transferencias de Datos Personales

Sus datos personales podrán ser transferidos y tratados dentro y fuera del país por las siguientes personas, empresas u organizaciones:

Destinatario País Finalidad Consentimiento
Atenea Labs OÜ Estonia (UE) Desarrollo, mantenimiento y operación técnica de la plataforma No requerido (Art. 36, frac. VII LFPDPPP - encargado)
Supabase Inc. Estados Unidos Almacenamiento en la nube, base de datos y autenticación No requerido (Art. 36, frac. VII LFPDPPP - encargado)
Stripe Inc. Estados Unidos Procesamiento de pagos con tarjeta No requerido (Art. 36, frac. VII LFPDPPP - encargado)
Resend Inc. Estados Unidos Envío de correos electrónicos transaccionales No requerido (Art. 36, frac. VII LFPDPPP - encargado)
Google LLC Estados Unidos Análisis de uso del sitio web (Google Analytics 4) Requiere consentimiento previo
Meta Platforms Inc. Estados Unidos Medición de campañas publicitarias (Meta Pixel) Requiere consentimiento previo
TikTok Pte. Ltd. Estados Unidos / Singapur Medición de campañas publicitarias (TikTok Pixel) Requiere consentimiento previo
Autoridades sanitarias México Cumplimiento de obligaciones legales y requerimientos de autoridad No requerido (Art. 36, frac. I LFPDPPP - obligación legal)
Autoridades judiciales México Cumplimiento de mandatos judiciales No requerido (Art. 36, frac. I LFPDPPP - obligación legal)

Transferencias Internacionales

Las transferencias internacionales de datos personales a Estados Unidos se realizan al amparo de:

  • Tratado entre México, Estados Unidos y Canadá (T-MEC): Capítulo 19 sobre Comercio Digital, que establece compromisos sobre flujos transfronterizos de datos
  • Artículo 36 de la LFPDPPP: Los destinatarios asumen las mismas obligaciones que corresponden al responsable
  • Cláusulas contractuales: Contratos con proveedores que incluyen obligaciones de protección de datos equivalentes a la legislación mexicana

Todos nuestros proveedores de servicios en la nube cuentan con certificaciones de seguridad reconocidas internacionalmente (SOC 2 Type II, ISO 27001) y cumplen con estándares de protección de datos equivalentes o superiores a los establecidos en México.

VI. Derechos ARCO

Conforme a la LFPDPPP, usted tiene derecho a conocer qué datos personales tenemos de usted, para qué los utilizamos y las condiciones del uso que les damos (Acceso). Asimismo, es su derecho solicitar la corrección de su información personal en caso de que esté desactualizada, sea inexacta o incompleta (Rectificación); que la eliminemos de nuestros registros o bases de datos cuando considere que la misma no está siendo utilizada adecuadamente (Cancelación); así como oponerse al uso de sus datos personales para fines específicos (Oposición). Estos derechos se conocen como derechos ARCO.

Procedimiento para ejercer derechos ARCO

Para ejercer cualquiera de los derechos ARCO, usted deberá presentar una solicitud (en adelante "Solicitud ARCO") a través de los siguientes medios:

Correo electrónico: hola@vitalink.lat

Asunto: "Solicitud ARCO - [Tipo de derecho]"

Domicilio: Calle Violante número 5, Interior 604, Colonia San Simón Tolnahuac, C.P. 06920, Alcaldía Cuauhtémoc, Ciudad de México

Su Solicitud ARCO deberá contener y acompañar la siguiente información y documentación:

  1. Nombre completo del titular y correo electrónico para comunicarle la respuesta
  2. Copia de documento oficial que acredite su identidad (INE, pasaporte, cédula profesional)
  3. Descripción clara y precisa de los datos personales respecto de los que busca ejercer alguno de los derechos ARCO
  4. Cualquier otro elemento o documento que facilite la localización de los datos personales
  5. En caso de solicitar rectificación, indicar las modificaciones a realizar y aportar documentación que sustente su petición
  6. En caso de actuar a través de representante legal, documento que acredite la representación

Plazos de respuesta

  • Comunicación de determinación: 20 días hábiles contados desde la recepción de la solicitud
  • Plazo para hacer efectiva la determinación: 15 días hábiles siguientes a la comunicación de la respuesta
  • Ampliación de plazos: Los plazos podrán ampliarse una sola vez por un período igual, cuando las circunstancias del caso lo justifiquen

La respuesta a su solicitud se comunicará a través del correo electrónico que haya proporcionado en su solicitud.

VII. Revocación del Consentimiento

Usted puede revocar el consentimiento que, en su caso, nos haya otorgado para el tratamiento de sus datos personales. Sin embargo, es importante que tenga en cuenta que no en todos los casos podremos atender su solicitud o concluir el uso de forma inmediata, ya que es posible que por alguna obligación legal requiramos seguir tratando sus datos personales.

Para revocar su consentimiento deberá presentar su solicitud a través de los mismos medios establecidos para el ejercicio de derechos ARCO, indicando:

  1. Nombre completo y correo electrónico de contacto
  2. Copia de documento oficial de identidad
  3. Descripción clara de los datos y/o finalidades respecto de los cuales revoca su consentimiento
  4. Cualquier otro elemento que facilite la localización de los datos

Importante: La revocación del consentimiento para el tratamiento de datos necesarios para la prestación del Servicio implicará la terminación de la relación contractual y la cancelación de su cuenta. Conforme a la NOM-004-SSA3-2012, los expedientes clínicos deben conservarse por un mínimo de 5 años, por lo que ciertos datos no podrán ser eliminados durante dicho período.

VIII. Limitación del Uso o Divulgación

Con objeto de que usted pueda limitar el uso y divulgación de su información personal, le ofrecemos los siguientes medios:

  • Lista de exclusión de comunicaciones promocionales: Puede solicitar su inscripción enviando un correo a hola@vitalink.lat con el asunto "Baja de comunicaciones promocionales"
  • Configuración de cuenta: Desde la configuración de su cuenta puede gestionar sus preferencias de comunicación y notificaciones
  • Enlace de cancelación: Todos nuestros correos promocionales incluyen un enlace para cancelar la suscripción

Adicionalmente, le informamos que sus datos personales no serán compartidos con terceros para fines mercadotécnicos, publicitarios o comerciales ajenos a los descritos en este Aviso de Privacidad.

IX. Uso de Cookies, Web Beacons y Tecnologías Similares

Le informamos que en nuestra página de internet y aplicaciones utilizamos cookies, web beacons y otras tecnologías a través de las cuales es posible monitorear su comportamiento como usuario de internet, brindarle un mejor servicio y experiencia de usuario, así como ofrecerle nuevos productos y servicios basados en sus preferencias.

Consentimiento previo requerido: Conforme a la LFPDPPP 2025, las cookies no esenciales (analíticas y de preferencias) requieren su consentimiento previo antes de ser instaladas en su dispositivo. Al visitar nuestro sitio, le mostraremos un aviso de cookies donde podrá aceptar o rechazar cada categoría.

Tipos de cookies que utilizamos

Tipo Nombre Proveedor Finalidad Duración
Esencial vl_cookies VITALINK Guardar su preferencia de cookies (localStorage) Permanente
Analítica _ga, _ga_* Google LLC Google Analytics 4 - Medir visitas y comportamiento 2 años
Marketing _fbp, _fbc Meta Platforms Meta Pixel - Medir conversiones de anuncios 90 días
Marketing _ttp, ttclid TikTok TikTok Pixel - Medir conversiones de anuncios 13 meses

Nota: Las cookies analíticas y de marketing solo se activan si usted acepta en el aviso de cookies. La cookie esencial vl_cookies usa localStorage (no es una cookie HTTP) y solo guarda su preferencia ("accepted" o "rejected").

Herramientas de Análisis y Marketing

Utilizamos las siguientes herramientas de terceros para analizar el uso de nuestro sitio y medir la efectividad de nuestras campañas publicitarias. Estas herramientas solo se activan si usted acepta las cookies:

Google Analytics 4

Servicio de análisis web de Google LLC que nos permite entender cómo los visitantes interactúan con nuestro sitio. Configuración de privacidad:

  • IP anonimizada por defecto
  • Google Consent Mode v2 (solo se activa con su consentimiento)
  • No compartimos datos con Google para publicidad personalizada

Meta Pixel (Facebook/Instagram)

Herramienta de Meta Platforms Inc. que nos permite medir la efectividad de nuestros anuncios en Facebook e Instagram, y crear audiencias para campañas publicitarias.

  • Eventos rastreados: PageView (visita a página)
  • Datos transferidos a Estados Unidos (Meta Platforms Inc.)
  • Política de privacidad de Meta: facebook.com/privacy/policy

TikTok Pixel

Herramienta de TikTok que nos permite medir la efectividad de nuestros anuncios en TikTok y crear audiencias para campañas publicitarias.

  • Eventos rastreados: PageView (visita a página)
  • Datos transferidos a Estados Unidos/Singapur (TikTok Pte. Ltd.)
  • Política de privacidad de TikTok: tiktok.com/legal/privacy-policy

Los datos personales que obtenemos de estas tecnologías de rastreo son los siguientes:

  • Identificadores de sesión y autenticación
  • Tipo de navegador y sistema operativo
  • Páginas visitadas y tiempo de permanencia
  • Dirección IP (anonimizada para analíticas)
  • Fecha y hora de acceso
  • Sitio web de referencia

Desactivación de cookies: Puede deshabilitar las cookies no esenciales a través de la configuración de su navegador. Sin embargo, esto puede afectar la funcionalidad del Servicio. Las cookies esenciales no pueden ser deshabilitadas ya que son necesarias para el funcionamiento básico del sitio.

Cookies de marketing solo con su consentimiento. Las cookies de Meta Pixel y TikTok Pixel se utilizan exclusivamente para medir la efectividad de nuestras campañas publicitarias y solo se activan si usted acepta en el aviso de cookies. No compartimos información de cookies con terceros para publicidad personalizada fuera de nuestras propias campañas.

X. Medidas de Seguridad

CARESNAROCA ha implementado y mantiene medidas de seguridad administrativas, técnicas y físicas para proteger sus datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, conforme a lo dispuesto en la LFPDPPP y su Reglamento.

Medidas Técnicas

  • Cifrado en tránsito: Todas las comunicaciones utilizan TLS 1.3 (Transport Layer Security)
  • Cifrado en reposo: Los datos almacenados están cifrados con AES-256
  • Control de acceso: Sistema de control de acceso basado en roles (RBAC) con principio de mínimo privilegio
  • Row Level Security (RLS): Políticas de seguridad a nivel de fila en base de datos que garantizan que cada usuario solo acceda a sus propios datos
  • Autenticación segura: Contraseñas hasheadas con bcrypt, opción de autenticación de dos factores (2FA)
  • Auditoría: Registro de todos los accesos y modificaciones a datos sensibles
  • Respaldos: Copias de seguridad automáticas diarias, cifradas y almacenadas en ubicación geográfica separada
  • Monitoreo: Sistemas de detección de intrusiones y monitoreo continuo de seguridad

Medidas Administrativas

  • Políticas y procedimientos de seguridad de la información documentados
  • Capacitación del personal en protección de datos personales
  • Acuerdos de confidencialidad con empleados y proveedores
  • Evaluaciones periódicas de riesgos y vulnerabilidades
  • Plan de respuesta a incidentes de seguridad
  • Revisión y actualización periódica de medidas de seguridad

Certificaciones de Proveedores

Nuestros proveedores de infraestructura cuentan con las siguientes certificaciones:

  • Supabase: SOC 2 Type II, HIPAA eligible
  • Stripe: PCI DSS Level 1 (el más alto nivel de certificación de la industria de pagos)

Notificación de vulneraciones: En caso de que ocurra una vulneración de seguridad que afecte de forma significativa sus derechos patrimoniales o morales, le informaremos de forma inmediata a través del correo electrónico registrado en su cuenta, a fin de que pueda tomar las medidas correspondientes para la defensa de sus derechos.

XI. Modificaciones al Aviso de Privacidad

El presente Aviso de Privacidad puede sufrir modificaciones, cambios o actualizaciones derivadas de nuevos requerimientos legales, de nuestras propias necesidades por los productos o servicios que ofrecemos, de nuestras prácticas de privacidad, de cambios en nuestro modelo de negocio, o por otras causas.

Nos comprometemos a mantenerlo informado sobre los cambios que pueda sufrir el presente Aviso de Privacidad, a través de los siguientes medios:

  • Publicación de la versión actualizada en esta página web (expediente.vitalink.lat/privacidad)
  • Notificación por correo electrónico a la dirección registrada en su cuenta
  • Aviso destacado dentro de la plataforma al iniciar sesión

El procedimiento a través del cual se llevarán a cabo las notificaciones sobre cambios o actualizaciones al presente Aviso de Privacidad es el siguiente:

  1. Se publicará la nueva versión del Aviso de Privacidad en esta página
  2. Se enviará un correo electrónico informando sobre los cambios realizados
  3. Se indicará la fecha de entrada en vigor de los cambios
  4. Se proporcionará un período de al menos 30 días para que revise los cambios antes de su entrada en vigor, salvo que los cambios sean requeridos por ley

Le recomendamos revisar periódicamente este Aviso de Privacidad para estar informado sobre cómo protegemos sus datos personales.

XII. Consentimiento

Al proporcionar sus datos personales a través de nuestro sitio web, aplicaciones o cualquier otro medio, y al utilizar nuestros servicios, usted consiente el tratamiento de sus datos personales en los términos descritos en el presente Aviso de Privacidad.

Consentimiento tácito

Conforme al artículo 8 de la LFPDPPP, se entenderá que usted consiente tácitamente el tratamiento de sus datos personales cuando habiéndose puesto a su disposición el presente Aviso de Privacidad, no manifieste su oposición.

Consentimiento expreso para datos sensibles

Conforme al artículo 9 de la LFPDPPP, el tratamiento de datos personales sensibles requiere consentimiento expreso y por escrito del titular. En el caso de los datos de salud de pacientes:

  • El profesional de la salud (Usuario) es responsable de obtener el consentimiento expreso de sus pacientes
  • El consentimiento se obtiene mediante la firma del consentimiento informado
  • El profesional debe conservar evidencia del consentimiento otorgado

Declaración de consentimiento: Al crear una cuenta, marcar la casilla de aceptación o utilizar el Servicio, usted declara que ha leído y comprendido el presente Aviso de Privacidad y otorga su consentimiento para el tratamiento de sus datos personales conforme a lo aquí descrito. Para el caso de datos personales sensibles, usted otorga su consentimiento expreso para su tratamiento.

XIII. Contacto

Si usted tiene alguna duda, comentario o queja relacionada con el tratamiento de sus datos personales o el ejercicio de sus derechos, puede contactarnos a través de los siguientes medios:

Departamento de Protección de Datos

Correo electrónico: hola@vitalink.lat

WhatsApp: +52 55 9169 2746

Domicilio: Calle Violante número 5, Interior 604, Colonia San Simón Tolnahuac, Código Postal 06920, Alcaldía Cuauhtémoc, Ciudad de México, México

Horario de atención: Lunes a viernes de 9:00 a 18:00 horas (tiempo del centro de México)

Autoridad de Protección de Datos

Si considera que su derecho a la protección de datos personales ha sido lesionado por alguna conducta u omisión de nuestra parte, o presume alguna violación a las disposiciones previstas en la LFPDPPP y demás ordenamientos aplicables, podrá interponer su inconformidad o denuncia ante la autoridad competente.

Secretaría de Anticorrupción y Buen Gobierno (SABG)

A partir del 21 de marzo de 2025, las funciones de protección de datos personales que anteriormente ejercía el INAI fueron transferidas a la SABG.

Sitio web: https://www.gob.mx/anticorrupcion

Aviso de Privacidad vigente a partir del 10 de enero de 2026
Versión 1.1 · Última actualización: 10 de enero de 2026