Volver

Acuerdo de Tratamiento de Datos Personales (Encargo)

Healthy Medical AI, S. DE R.L. DE C.V. · Vigente a partir del 4 de mayo de 2026 · Versión 1.0


El presente Acuerdo de Tratamiento de Datos Personales (el Acuerdo de Encargo o DPA) se celebra entre Healthy Medical AI, S. DE R.L. DE C.V. (Healthy o el Encargado) y la persona moral o persona física profesional sanitaria que contrata la Plataforma para integrar y administrar expedientes clínicos electrónicos de sus pacientes (la Clínica o el Responsable). Este Acuerdo instrumenta la relación encargado-responsable prevista en el artículo 50 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y se integra como anexo de los Términos y Condiciones disponibles en www.healthyehr.com/terms. Su aceptación electrónica por parte del representante legal de la Clínica al momento del onboarding institucional manifiesta el consentimiento de ambas partes en los términos del artículo 89 del Código de Comercio.

1. Identificación de las Partes

Encargado. Healthy Medical AI, S. DE R.L. DE C.V., con domicilio fiscal y legal en Calle T. López del Castillo 23, entre Ave. Quintana Roo y Ave. Campeche, Olivares, 83180 Hermosillo, Son., correo electrónico contacto@healthyehr.com.

Responsable. La Clínica, hospital, consultorio, profesional sanitario o institución que acepta este Acuerdo a través de su representante legal y que decide las finalidades y medios del tratamiento de los datos personales de sus pacientes. La Clínica mantiene en todo momento la calidad de Responsable conforme al artículo 3, fracción XIV, de la LFPDPPP.

2. Objeto del Encargo

El Responsable encarga a Healthy el tratamiento de datos personales y datos personales sensibles relativos a la salud de sus pacientes (los Datos), exclusivamente para la prestación de los servicios descritos en los Términos y Condiciones, conforme a las instrucciones documentadas del Responsable, este Acuerdo y la legislación aplicable. Healthy actuará por cuenta y a nombre del Responsable, sin facultad de utilizar los Datos para finalidades distintas a las pactadas.

3. Categorías de Datos Tratados

En el marco del Encargo, Healthy podrá tratar las siguientes categorías de Datos del paciente, cuando sean cargados o generados a través de la Plataforma:

  • Datos de identificación: nombre, fecha de nacimiento, género, estado civil, ocupación, número de expediente médico, fotografía.
  • Datos de contacto: correo electrónico, teléfono, domicilio, contacto de emergencia.
  • Datos de identificación oficial cuando se requieran para verificación de identidad.
  • Datos personales sensibles relacionados con la salud: antecedentes médicos personales y familiares, alergias, diagnósticos en clasificación CIE-10, medicamentos, signos vitales, estudios de laboratorio, imagen y gabinete (incluidos estudios DICOM y NIfTI), notas de evolución, recetas, indicaciones, planes terapéuticos, información de salud mental, gineco-obstétrica, andrológica, perinatal, odontológica, datos sobre adicciones, vida sexual y reproductiva e información biométrica derivada del propio expediente.

4. Naturaleza, Finalidad y Duración del Tratamiento

Naturaleza. Almacenamiento, organización, estructuración, conservación, consulta, transmisión interna, copia de seguridad, supresión y, cuando sea solicitado por el Responsable, análisis documental asistido por modelos de inteligencia artificial operados sobre la infraestructura de Amazon Bedrock.

Finalidad. Permitir al Responsable cumplir con sus obligaciones de integración, conservación y consulta del expediente clínico electrónico conforme a la NOM-024-SSA3-2012 y la NOM-004-SSA3-2012, así como apoyar la operación clínica y administrativa de la Clínica.

Duración. El Encargo permanecerá vigente mientras el Responsable mantenga contratada la Plataforma. A su terminación, Healthy continuará conservando los Datos por el plazo mínimo de cinco años exigido por la NOM-004-SSA3-2012 y, en su caso, los plazos adicionales previstos por la legislación, conforme a la cláusula 12 de este Acuerdo.

5. Obligaciones del Encargado (art. 50 Reglamento LFPDPPP)

Healthy se obliga a:

  • Tratar los Datos únicamente conforme a las instrucciones documentadas del Responsable y este Acuerdo, absteniéndose de utilizarlos con finalidad distinta.
  • Implementar las medidas de seguridad administrativas, físicas y técnicas exigidas por los artículos 19 y 20 de la LFPDPPP y los artículos 60 a 65 de su Reglamento, considerando la categoría de los Datos y los riesgos asociados a su tratamiento.
  • Guardar confidencialidad respecto de los Datos, obligación que subsiste aún después de concluida la relación con el Responsable, conforme al artículo 21 de la LFPDPPP.
  • Asistir al Responsable en el cumplimiento de las solicitudes de derechos ARCO de los titulares, proporcionando los medios técnicos para la atención dentro de los plazos legales.
  • Comunicar al Responsable, sin demora injustificada, cualquier vulneración de seguridad ocurrida en cualquier fase del tratamiento que afecte de forma significativa los derechos patrimoniales o morales del titular, conforme al artículo 64 del Reglamento de la LFPDPPP.
  • Suprimir o devolver los Datos al Responsable a la terminación del Encargo, en los términos de la cláusula 12 de este Acuerdo.

6. Obligaciones del Responsable

La Clínica se obliga a: (a) emitir su propio Aviso de Privacidad a los pacientes y obtener el consentimiento informado para el tratamiento de sus Datos en la Plataforma; (b) recabar el consentimiento expreso para el tratamiento de datos sensibles conforme al artículo 9 de la LFPDPPP; (c) mantener actualizadas las cuentas de su personal y retirarlas oportunamente cuando cesen sus funciones; (d) instruir a Healthy únicamente con base legítima y en los términos permitidos por la legislación; (e) informar a sus pacientes que sus Datos podrán ser tratados por Healthy en su carácter de Encargado, así como por los sub-encargados descritos en la cláusula 8.

7. Subcontratación

El Responsable autoriza expresamente a Healthy a subcontratar a los sub-encargados listados en la cláusula 14 de los Términos y Condiciones para la prestación del servicio. Healthy garantizará que cada sub-encargado se obligue contractualmente a observar medidas de seguridad y confidencialidad equivalentes a las pactadas en este Acuerdo, y mantendrá frente al Responsable la responsabilidad por el cumplimiento de dichos sub-encargados. Cualquier modificación material a la lista de sub-encargados será notificada al Responsable con razonable anticipación.

8. Sub-encargados Autorizados

ProveedorFinalidadUbicación
Amazon Web Services, Inc.Cómputo, base de datos, almacenamiento cifrado, CDN, correo (SES)EE.UU.
AWS Bedrock / Anthropic, PBCInferencia de modelos de inteligencia artificial (sin reentrenamiento)EE.UU.
Twilio, Inc.Mensajería SMS y WhatsApp Business para envíos transaccionalesEE.UU.

9. Transferencias Internacionales

El tratamiento incluye transferencias internacionales hacia los Estados Unidos de América, donde están ubicados los sub-encargados. Dichas transferencias se realizan al amparo del artículo 36 de la LFPDPPP, con garantías contractuales que aseguran un nivel de protección equivalente al exigido por la legislación mexicana, incluidas cláusulas de confidencialidad, prohibición de reentrenamiento de modelos sobre los Datos, y obligación del sub-encargado de notificar cualquier vulneración a Healthy.

10. Medidas de Seguridad

Healthy implementa, sin que la siguiente enumeración sea limitativa: cifrado en tránsito mediante TLS 1.2 o superior; cifrado en reposo mediante el cifrado del lado del servidor disponible en AWS (SSE-KMS) y cifrado de almacenamiento de Amazon RDS; control de acceso basado en roles granular conforme a la cláusula 11 de los Términos y Condiciones; autenticación contra el proveedor de identidad de AWS Cognito; bitácoras de auditoría inmutables que registran accesos a recursos clínicos y modificaciones; segregación de redes y entornos; respaldos periódicos y pruebas de restauración; revocación inmediata de tokens en cierre de sesión; supresión de credenciales en logs; y procesos documentados de respuesta a incidentes alineados con NIST SP 800-66 e ISO/IEC 27001.

11. Asistencia para Derechos ARCO y Solicitudes de Autoridad

Cuando un titular dirija al Responsable una solicitud ARCO, Healthy proporcionará dentro de un plazo razonable, y sin costo para el Responsable, las herramientas técnicas o los datos necesarios para que el Responsable atienda la solicitud dentro de los plazos legales. Cuando una solicitud ARCO sea recibida directamente por Healthy, ésta la canalizará al Responsable y le asistirá en su atención. La cancelación se ejecutará por la vía de disociación cuando concurra el plazo de retención sanitaria, conforme a la cláusula 9 del Aviso de Privacidad. Cuando una autoridad competente requiera el acceso a Datos, Healthy notificará al Responsable con razonable anticipación, salvo prohibición legal expresa.

12. Devolución y Supresión al Término del Encargo

A la terminación del Encargo, el Responsable dispondrá de noventa días naturales para exportar la totalidad de los Datos en formatos electrónicos estándar, mediante las herramientas que Healthy ponga a su disposición. Transcurrido dicho plazo, Healthy procederá a la supresión segura de los Datos identificables, salvo que la normativa aplicable —en particular la NOM-004-SSA3-2012— exija su conservación por un plazo mayor; en tal caso, los Datos quedarán disociados y conservados por Healthy únicamente en cumplimiento de dicha obligación legal.

13. Notificación de Vulneraciones de Seguridad

Healthy notificará al Responsable, sin demora injustificada y por correo electrónico, cualquier vulneración de seguridad que afecte los Datos, conforme al artículo 64 del Reglamento de la LFPDPPP. La notificación incluirá: descripción de los hechos y su naturaleza; categorías de Datos comprometidos; número aproximado de titulares afectados; medidas correctivas adoptadas o propuestas; y recomendaciones para que el Responsable cumpla, a su vez, su deber de notificación al titular en los términos del artículo 20 de la LFPDPPP.

14. Auditoría

El Responsable podrá solicitar a Healthy, con razonable anticipación y máximo una vez al año calendario, información razonable sobre las medidas de seguridad implementadas, así como copia de los reportes de auditoría externa, certificaciones de cumplimiento y resultados de pruebas de seguridad de las que disponga Healthy, todo ello bajo deber de confidencialidad. Auditorías in situ podrán pactarse adicionalmente cuando exista una causa razonable, mediando aviso previo no menor a treinta días naturales y a costa del Responsable.

15. Limitación de Responsabilidad

La responsabilidad de Healthy bajo este Acuerdo se rige por la limitación de responsabilidad establecida en la cláusula 35 de los Términos y Condiciones, sin perjuicio de los carve-outs irrenunciables ahí previstos. La responsabilidad por las decisiones clínicas, profesionales y de tratamiento que el Responsable adopte con base en la Plataforma es exclusiva del propio Responsable.

16. Subsistencia y Ley Aplicable

Las obligaciones de confidencialidad, conservación regulatoria, asistencia para ARCO, notificación de vulneraciones y supresión sobreviven a la terminación del Encargo. Este Acuerdo se rige por las leyes de los Estados Unidos Mexicanos. Cualquier controversia se someterá a la jurisdicción exclusiva de los tribunales competentes de Hermosillo, Sonora, en los mismos términos pactados en la cláusula 45 de los Términos y Condiciones.

17. Aceptación Electrónica

La aceptación electrónica de este Acuerdo por parte del representante legal del Responsable, ya sea mediante casilla de verificación, botón habilitado durante el proceso de onboarding institucional, o cualquier otro acto inequívoco de uso de la Plataforma en su modalidad institucional, tiene la validez de mensaje de datos y firma electrónica conforme al Título Segundo del Código de Comercio y vincula plenamente al Responsable.


© 2026 Healthy Medical AI, S. DE R.L. DE C.V. Todos los derechos reservados.