Aviso de Privacidad Integral

Spinus®, plataforma operada por Angel Manuel Ancona Pérez, con domicilio en Mérida, Yucatán, México, es el responsable del tratamiento de los datos personales que usted nos proporcione, en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

Para cualquier asunto relacionado con sus datos personales o el ejercicio de derechos ARCO, puede contactarnos en privacidad@spinus.com.mx.

Para la prestación de servicios médicos y la operación de la plataforma Spinus® podemos recabar las siguientes categorías de datos:

• Identificación del usuario médico: nombre completo, correo electrónico, teléfono, cédula profesional, cédula de especialidad, especialidad médica, dirección y datos del consultorio.
• Identificación del paciente: nombre, fecha de nacimiento, sexo, contacto, identificación oficial cuando se requiera para consentimientos informados.
• Datos de salud (sensibles): historial clínico, antecedentes, diagnósticos, tratamientos, recetas médicas, resultados de estudios de laboratorio, estudios de imagen, notas de evolución, consentimientos informados y demás documentación clínica generada en la atención.
• Datos de uso de la plataforma: registros de inicio y cierre de sesión, dirección IP, fecha y hora de acceso a expedientes y documentos, y eventos de auditoría requeridos por la normatividad.
• Datos de facturación: plan de suscripción, historial de pagos. Los datos de tarjeta son procesados directamente por Stripe, Inc. y nunca son almacenados en nuestros servidores.

La plataforma trata datos personales sensibles relativos al estado de salud de los pacientes, los cuales son indispensables para la prestación del servicio médico. Estos datos se encuentran protegidos con las medidas técnicas, administrativas y físicas descritas en la sección V.

Al utilizar la plataforma, el titular o quien legalmente lo represente otorga su consentimiento expreso para el tratamiento de los datos sensibles para las finalidades primarias descritas en este aviso.

Implementamos medidas administrativas, técnicas y físicas para proteger sus datos conforme a los principios de la LFPDPPP:

La plataforma utiliza servicios de inteligencia artificial de Google (Gemini) y Anthropic (Claude) para asistir al profesional de salud en la redacción de notas clínicas, consultas rápidas y la extracción estructurada de resultados de laboratorio.

Anonimización obligatoria: antes de enviar cualquier texto a estos servicios, la plataforma elimina automáticamente:

• Nombres propios completos del paciente y de terceros.
• CURP, RFC y cualquier identificador oficial.
• Números de teléfono.
• Direcciones de correo electrónico.
• Domicilios y direcciones físicas.
• Fechas de nacimiento.
• Identificadores únicos del sistema (UUIDs).

Los servicios de IA reciben únicamente texto clínico despersonalizado (síntomas, signos vitales, diagnósticos, tratamientos, valores de laboratorio). Estos proveedores tratan los datos conforme a sus propios términos de servicio para uso empresarial vía API, los cuales no contemplan el uso de datos transmitidos para el entrenamiento de modelos. Spinus no transfiere a estos servicios información que permita identificar al paciente.

La asistencia de IA es exclusivamente una herramienta de apoyo. El profesional de salud debe revisar y aprobar todo contenido generado antes de incorporarlo al expediente clínico.

Sus datos personales pueden ser transferidos a los siguientes encargados y terceros, exclusivamente para las finalidades descritas:

Estas transferencias se realizan con fundamento en los artículos 36 y 37 de la LFPDPPP y no requieren consentimiento adicional cuando son necesarias para la prestación del servicio o para el cumplimiento de obligaciones derivadas de la relación jurídica entre el titular y el responsable.

En el supuesto de que Spinus participe en una operación de fusión, escisión, adquisición, venta de activos, reestructuración corporativa o cualquier transacción similar, los datos personales tratados a través de la plataforma podrán ser transferidos al nuevo responsable como parte de los activos involucrados, siempre y cuando dicha transferencia respete las finalidades originales y la normatividad vigente en materia de protección de datos personales.

En tal supuesto, Spinus notificará a los usuarios con anticipación razonable a través de la plataforma o por correo electrónico, informando la identidad del nuevo responsable. El nuevo responsable quedará obligado a cumplir con los términos del presente aviso de privacidad respecto de los datos transferidos, hasta en tanto no se publique un nuevo aviso aceptado por los titulares.

Esta transferencia se realiza con fundamento en el artículo 37, fracción VII, de la LFPDPPP.

Utilizamos cookies estrictamente necesarias para mantener la sesión del usuario autenticado. No utilizamos cookies de publicidad ni tecnologías de rastreo con fines de mercadotecnia o perfilamiento de terceros.

Spinus no utiliza herramientas de analítica web orientadas al perfilamiento publicitario ni redes de rastreo de terceros (como píxeles publicitarios, identificadores de marketing o etiquetas de remarketing).

La única herramienta técnica de telemetría que opera sobre la plataforma es Sentry, utilizada exclusivamente para el monitoreo de errores y el rendimiento del servicio. Sentry está configurado con filtros de información personal automáticos que redactan datos identificables (nombres, CURP, RFC, correos, teléfonos, identificadores únicos, cookies y cuerpos de petición) antes de cualquier envío.

Cómo deshabilitar las cookies: el usuario puede deshabilitar o eliminar las cookies desde la configuración de su navegador (Chrome, Firefox, Safari, Edge u otros). Tenga presente que el deshabilitar las cookies estrictamente necesarias impedirá el correcto funcionamiento de la sesión autenticada y, por tanto, el acceso a la plataforma.

Las instrucciones específicas para gestionar cookies están disponibles en los centros de ayuda oficiales de cada navegador.

Como titular de los datos personales, usted tiene derecho a:

• Acceso: conocer qué datos personales tenemos sobre usted y cómo los tratamos.
• Rectificación: solicitar la corrección de datos inexactos o incompletos.
• Cancelación: solicitar la eliminación o anonimización de sus datos cuando considere que no son necesarios para alguna de las finalidades señaladas o cuando hayan dejado de ser necesarios.
• Oposición: oponerse al uso de sus datos para fines específicos, en particular para finalidades secundarias.

Para ejercer cualquiera de estos derechos, envíe un correo a:

La solicitud deberá indicar: nombre completo del titular, copia de identificación oficial, descripción clara y precisa del derecho que desea ejercer y, en su caso, los datos sobre los que recae la solicitud. Responderemos en un plazo máximo de 20 días hábiles contados a partir de la recepción de la solicitud, conforme al artículo 32 de la LFPDPPP.

El ejercicio de los derechos ARCO sobre datos clínicos está sujeto a las limitaciones establecidas en la NOM-004-SSA3-2012, particularmente respecto al periodo mínimo de conservación del expediente clínico.

Usted tiene derecho a revocar en cualquier momento el consentimiento que ha otorgado para el tratamiento de sus datos personales. Para ello, deberá enviar una solicitud al correo:

La solicitud deberá contener el nombre completo del titular, identificación oficial y manifestación expresa de la revocación. Spinus dará respuesta en un plazo máximo de 20 días hábiles.

Implicaciones de la revocación: dado que el tratamiento de sus datos personales es indispensable para la prestación del servicio médico y la operación de la plataforma, la revocación del consentimiento puede implicar la imposibilidad de continuar prestando los servicios. Asimismo, ciertos datos clínicos deberán conservarse aun después de la revocación, en cumplimiento del periodo mínimo de cinco (5) años establecido por la NOM-004-SSA3-2012, así como cualquier otra obligación legal que resulte aplicable.

Adicionalmente a los derechos ARCO, usted puede solicitar limitar el uso o la divulgación de sus datos personales para finalidades secundarias o accesorias, tales como el envío de comunicaciones promocionales, recordatorios opcionales o estadísticas internas.

Para ejercer este derecho, envíe su solicitud al correo:

Registro Público para Evitar Publicidad (REPEP): si desea evitar de manera general el contacto con fines publicitarios o de mercadotecnia, puede inscribir su número telefónico en el REPEP administrado por la Procuraduría Federal del Consumidor (PROFECO), disponible en repep.profeco.gob.mx. Spinus respeta dicho registro y se abstiene de utilizar datos inscritos en él para fines publicitarios.

Retención mínima: los expedientes clínicos se conservan por un periodo mínimo de cinco (5) años contados a partir de la última atención médica, conforme a la NOM-004-SSA3-2012.

No eliminación física: los expedientes clínicos nunca se eliminan físicamente de la base de datos. Cuando un paciente solicita la cancelación, sus datos personales identificables se anonimizan mediante un proceso de borrado lógico (soft delete), preservando los datos clínicos disociados conforme lo exige la normatividad sanitaria.

Las foreign keys de la base de datos están configuradas con la restricción ON DELETE RESTRICT, lo cual impide técnicamente la eliminación de un paciente con historial clínico asociado.

Los datos de cuenta del usuario médico se conservan mientras la relación contractual esté vigente. Tras la cancelación de la suscripción, los datos clínicos siguen sujetos a los plazos de retención sanitaria descritos.

Al dar de alta a un paciente en la plataforma, se registra el consentimiento del titular —o de quien legalmente lo represente— para el tratamiento de sus datos personales, junto con la versión del aviso de privacidad vigente al momento del alta. El profesional de salud es responsable de informar al paciente del contenido del presente aviso antes de recabar el consentimiento.

Los consentimientos informados específicos para procedimientos médicos se gestionan de forma adicional a través del módulo de consentimientos de la plataforma, incluyendo firma del paciente, médico tratante, anestesiólogo, testigos y representante legal cuando corresponda.

Es indispensable diferenciar los roles que existen respecto a los datos personales de los pacientes registrados en la plataforma:

• El médico usuario es el responsable del tratamiento de los datos personales y de los datos de salud de sus pacientes, en términos de la LFPDPPP. Es el médico quien establece las finalidades del tratamiento clínico y quien responde directamente ante el paciente por el uso de su información.
• Spinus actúa como encargado del tratamiento en términos del artículo 49 del Reglamento de la LFPDPPP. Spinus trata los datos por cuenta y bajo las instrucciones del médico responsable, proporcionando la infraestructura técnica, las medidas de seguridad descritas en la sección V y las herramientas para el cumplimiento de la normatividad sanitaria.
• Declaración del médico: al registrar a un paciente en la plataforma, el médico declara y garantiza que cuenta con el consentimiento informado y la autorización expresa del paciente —o de su representante legal— para recabar, tratar y registrar sus datos personales y de salud en Spinus, así como para que dichos datos sean tratados por Spinus en su carácter de encargado.
• El médico es responsable de informar al paciente sobre el contenido del presente aviso de privacidad y de obtener su consentimiento antes de incorporar sus datos a la plataforma.
• Spinus no establece relación directa con los pacientes registrados por sus médicos usuarios, salvo cuando un paciente ejerza directamente sus derechos ARCO o de revocación al correo de contacto, en cuyo caso Spinus dará traslado al médico responsable para el cumplimiento conjunto de la solicitud.

El presente aviso se emite con fundamento en:

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.
• NOM-004-SSA3-2012 — Del expediente clínico.
• NOM-024-SSA3-2012 — Sistemas de información de registro electrónico para la salud.
• Ley General de Salud, artículos 80 y 81.
• Reglamento de la Ley General de Salud en Materia de Prestación de Servicios de Atención Médica.

La autoridad competente en México para la tutela del derecho a la protección de datos personales en posesión de los particulares es la Secretaría Anticorrupción y Buen Gobierno del Gobierno Federal, dependencia que asumió las funciones del extinto Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) tras su reforma estructural.

Si usted considera que su derecho a la protección de datos personales ha sido vulnerado por alguna conducta u omisión de Spinus, o presume alguna violación a las disposiciones de la LFPDPPP, su Reglamento o demás ordenamientos aplicables, podrá interponer la denuncia o queja correspondiente ante dicha autoridad. Más información en el sitio oficial:

Spinus recomienda al titular agotar previamente los canales de contacto del responsable antes de acudir a la autoridad, con el fin de procurar una solución directa y expedita.

Spinus se reserva el derecho de modificar el presente aviso en cualquier momento para reflejar cambios legislativos, nuevas funcionalidades o mejoras de seguridad. Cualquier modificación será publicada en esta misma página, indicando claramente la fecha de actualización y el número de versión. Le recomendamos revisar este aviso periódicamente.

Para cualquier consulta relacionada con este aviso de privacidad o el tratamiento de sus datos personales, puede contactarnos en: