Doctor Hub MX

Aviso de Privacidad Integral

Última actualización: 25 de mayo de 2026

1. Identidad y Domicilio del Responsable

Kognia Studio S.A. de C.V.(en adelante “Kognia Studio” o “el Responsable”), con domicilio en Ciudad de México, México, es el responsable del tratamiento de los datos personales que se recaben a través de la plataforma Doctor Hub MX (en adelante “la Plataforma”), de conformidad con lo establecido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y los Lineamientos del Aviso de Privacidad publicados en el Diario Oficial de la Federación.

2. Datos Personales que Recabamos

Para proporcionar los servicios de expediente clínico electrónico, agenda médica, recetas, facturación y consulta con apoyo de inteligencia artificial, recabamos las siguientes categorías:

  • Datos de identificación: Nombre completo, CURP, RFC, fecha de nacimiento, sexo, entidad federativa de nacimiento, estado civil, ocupación, escolaridad, grupo étnico, religión, derechohabiencia.
  • Datos de contacto: Correo electrónico, teléfono, dirección, contacto de emergencia.
  • Datos de salud (datos personales sensibles): Historial médico completo (11 secciones: antecedentes patológicos, no patológicos, heredofamiliares, quirúrgicos, traumáticos, psiquiátricos, gineco-obstétricos, nutricionales, estilo de vida, esquema de vacunación, medicamentos activos), signos vitales, diagnósticos (ICD-11 e ICD-11), alergias, tipo de sangre, notas de consulta SOAP, recetas médicas, exploración física por sistemas, datos de salud ocupacional, documentos clínicos.
  • Datos fiscales: RFC, razón social, régimen fiscal, código postal fiscal, correo para facturación electrónica.
  • Datos de uso: Dirección IP, tipo de dispositivo, navegador, páginas visitadas, fecha y hora de acceso.
  • Datos de autenticación: Correo electrónico, contraseña (hash bcrypt), tokens JWT, códigos TOTP (MFA), PIN de portal del paciente (hash bcrypt).

Los datos de salud son considerados datos personales sensibles conforme al artículo 3, fracción VI de la LFPDPPP y reciben un nivel de protección reforzado, incluyendo cifrado en reposo (AES-256-GCM) y seudonimización (hashes ciegos HMAC-SHA256) para operaciones de búsqueda.

3. Finalidades del Tratamiento

Finalidades primarias (necesarias para la existencia del servicio):

  • Crear, almacenar y administrar expedientes clínicos electrónicos conforme a la NOM-004-SSA3-2012.
  • Gestionar consultas médicas con nota SOAP, signos vitales, diagnósticos y planes de tratamiento.
  • Agendar y administrar citas médicas con detección de conflictos de horario.
  • Generar recetas médicas electrónicas conforme al artículo 226 de la Ley General de Salud.
  • Emitir comprobantes fiscales digitales por internet (CFDI 4.0).
  • Proporcionar acceso al portal del paciente para consulta de expedientes, recetas y documentos.
  • Brindar asistencia clínica con inteligencia artificial responsable (copilotos de diagnóstico).
  • Realizar auditoría de seguridad, cumplimiento normativo y prevención de fraudes.
  • Procesar pagos de suscripciones a través de Stripe.
  • Gestionar la seguridad informática (detección de intrusiones, prevención de abusos).

Finalidades secundarias (que no dan origen a la relación jurídica):

  • Enviar notificaciones y recordatorios de citas por correo electrónico.
  • Enviar comunicados sobre actualizaciones del servicio, nuevas funcionalidades y cambios en los términos.
  • Realizar análisis estadísticos con datos anonimizados o seudonimizados para mejora del producto.

En caso de que no desee que sus datos personales sean tratados para las finalidades secundarias, puede manifestarlo enviando un correo electrónico a privacidad@kogniastudio.com. La negativa no será motivo para que le neguemos los servicios solicitados.

4. Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)

Usted tiene derecho a conocer qué datos personales tenemos sobre usted, para qué los utilizamos y las condiciones del uso que les damos (Acceso). Asimismo, es su derecho solicitar la corrección de su información personal en caso de que esté desactualizada, sea inexacta o incompleta (Rectificación); que eliminemos su información de nuestros registros o bases de datos cuando considere que la misma no está siendo utilizada adecuadamente (Cancelación); así como oponerse al uso de sus datos personales para fines específicos (Oposición). Estos derechos se conocen como derechos ARCO.

Para ejercer cualquiera de los derechos ARCO, envíe una solicitud por correo electrónico a privacidad@kogniastudio.com con la siguiente información:

  • Nombre completo del titular de los datos personales.
  • Copia de documento oficial que acredite su identidad (INE, pasaporte, cédula profesional o documento migratorio vigente).
  • En caso de representante legal: documento que acredite la representación (poder notarial, carta poder simple firmada ante dos testigos o declaratoria de representación del INE).
  • Descripción clara y precisa del derecho que desea ejercer y los datos personales sobre los cuales solicita el ejercicio.
  • Correo electrónico o domicilio para recibir la respuesta.

El plazo máximo para atender su solicitud es de 20 días hábiles contados desde la recepción de la solicitud completa, de conformidad con el artículo 32 de la LFPDPPP. La respuesta se enviará al medio de contacto proporcionado. En caso de que la solicitud de acceso sea procedente, pondremos a su disposición los datos personales de forma gratuita mediante copias simples, documentos electrónicos o cualquier otro medio que usted elija.

5. Transferencia de Datos Personales

Kognia Studio no vende, renta, comercializa ni comparte sus datos personales con terceros para fines de mercadotecnia. Sus datos personales podrán ser transferidos a terceros únicamente en los siguientes supuestos, de conformidad con el artículo 37 de la LFPDPPP:

  • Proveedores de infraestructura: Neon, Inc. (servicio de base de datos PostgreSQL en la nube) y Upstash, Inc. (servicio de caché Redis en la nube). Estos proveedores almacenan los datos en servidores ubicados en Estados Unidos de América y cuentan con medidas de seguridad técnicas y contractuales equivalentes a las nuestras.
  • Proveedores de servicios: Stripe, Inc. (procesamiento de pagos), Resend, Inc. (envío de correos electrónicos transaccionales), FiscalAPI (timbrado de facturas CFDI 4.0) y OpenRouter, Inc. (procesamiento de inteligencia artificial). Únicamente se transfieren los datos estrictamente necesarios para la prestación de cada servicio.
  • Autoridades competentes: Cuando exista un requerimiento legal debidamente fundado y motivado por autoridad competente, en estricto cumplimiento de la legislación aplicable.

En todos los casos de transferencia a proveedores de servicios, se celebran acuerdos contractuales que obligan a los terceros a tratar los datos personales exclusivamente conforme a nuestras instrucciones y a mantener medidas de seguridad equivalentes a las descritas en este Aviso.

6. Medidas de Seguridad Implementadas

Para proteger sus datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado, implementamos las siguientes medidas de seguridad administrativas, técnicas y físicas:

  • Cifrado en reposo: AES-256-GCM para todos los datos personales sensibles (CURP, RFC, dirección, teléfono, correo electrónico, contactos de emergencia, datos fiscales).
  • Seudonimización: Hashes ciegos mediante HMAC-SHA256 para operaciones de búsqueda que no requieren exposición de datos en texto plano.
  • Aislamiento multi-tenant: Row-Level Security (RLS) en PostgreSQL para separar rigurosamente los datos entre diferentes clínicas y organizaciones.
  • Control de acceso basado en roles (RBAC): Seis roles diferenciados con permisos granulares y 12 permisos administrativos específicos.
  • Autenticación reforzada: JWT con rotación de refresh tokens, doble clave secreta (access/refresh), autenticación multifactor (TOTP) para administradores.
  • Auditoría exhaustiva: Registro inmutable de cada operación de lectura y modificación sobre datos clínicos con trazabilidad completa de actor, recurso, acción e IP.
  • Cifrado en tránsito: TLS 1.3 para todas las comunicaciones cliente-servidor.
  • Cabeceras de seguridad HTTP: Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
  • Rate limiting: Protección contra fuerza bruta y abuso en endpoints sensibles.
  • Revocación de sesiones: Blacklist de tokens JWT con invalidación inmediata al cerrar sesión.

7. Retención y Eliminación de Datos

Los datos personales se conservarán durante el tiempo que la cuenta del titular permanezca activa en la Plataforma. Al terminar la relación contractual, los datos clínicos (expedientes) se conservarán por un período mínimo de 5 años en cumplimiento con la NOM-004-SSA3-2012. Los datos de facturación se conservarán por el plazo establecido en el Código Fiscal de la Federación (5 años). Transcurridos dichos plazos, los datos serán eliminados de forma segura mediante procedimientos de borrado irreversible.

8. Cookies y Tecnologías de Rastreo

Utilizamos exclusivamente cookies esenciales para el funcionamiento de la Plataforma (autenticación JWT, preferencias de interfaz). No utilizamos cookies de publicidad comportamental, cookies de terceros con fines de marketing, ni tecnologías de fingerprinting. Para más información, consulte nuestra Política de Cookies.

9. Cambios al Aviso de Privacidad

Nos reservamos el derecho de modificar este Aviso de Privacidad en cualquier momento para reflejar cambios en nuestras prácticas de tratamiento de datos, en la Plataforma o en la legislación aplicable. Las modificaciones serán notificadas a través de la Plataforma y/o por correo electrónico con al menos 15 días de anticipación a su entrada en vigor. Le recomendamos revisar periódicamente este Aviso. La fecha de última actualización se indica al inicio de este documento.

10. Quejas y Denuncias ante el INAI

Si considera que su derecho a la protección de datos personales ha sido lesionado por alguna conducta u omisión de nuestra parte, o presume alguna violación a las disposiciones previstas en la LFPDPPP, su Reglamento y demás ordenamientos aplicables, puede presentar su queja o denuncia ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Para más información sobre los requisitos y el procedimiento, visite www.inai.org.mx o comuníquese al Teléfono del INAI: 800 835 4324.

11. Contacto del Departamento de Privacidad

Para cualquier duda, aclaración o solicitud relacionada con este Aviso de Privacidad:

  • Correo electrónico: privacidad@kogniastudio.com
  • Sitio web: kogniastudio.com/contacto
  • Responsable del Departamento de Privacidad: Oficial de Privacidad, Kognia Studio S.A. de C.V..