Acuerdo de Tratamiento de Datos

Propósito de este documento: Este Acuerdo formaliza la relación entre la Clínica Cliente (Responsable del Tratamiento) y MultiClínica (Encargado del Tratamiento) respecto a los datos personales de los pacientes. Forma parte integrante de los Términos del Servicio.

1. Objeto y partes

El presente Acuerdo de Tratamiento de Datos («ATD» o «Acuerdo») regula el tratamiento de datos personales que MultiClínica («MultiClínica», el «Encargado») realiza por cuenta de la Clínica Cliente que contrata el Servicio (el «Responsable»), en el marco de la prestación de servicios de software de gestión clínica.

Encargado del Tratamiento

MultiClínica

privacidad.multiclinica@fgsoft.mx

https://multiclinica.fgsoft.mx

Responsable del Tratamiento

La Clínica Cliente (persona moral o física) identificada en el proceso de registro de la plataforma.

2. Definiciones

Responsable del Tratamiento: Persona física o moral que decide sobre el tratamiento de datos personales; en este caso, la Clínica Cliente conforme al art. 3 fracc. XIV LFPDPPP.
Encargado del Tratamiento: Quien trata datos personales por cuenta del Responsable; en este caso, MultiClínica conforme al art. 3 fracc. VII LFPDPPP.
Titular: Persona física cuya información personal es objeto de tratamiento: pacientes, personal de salud y demás personas relacionadas con la Clínica.
Datos Personales: Cualquier información vinculada o que razonablemente pueda asociarse a una persona física identificada o identificable (art. 3 fracc. V LFPDPPP).
Datos Sensibles: Datos personales que afectan la esfera más íntima del titular, en particular datos de salud, estado de salud presente, pasado y futuro, así como información genética (art. 3 fracc. VI LFPDPPP). Los expedientes clínicos contienen datos sensibles.
Subencargado: Tercero que, bajo instrucción del Encargado, realiza operaciones de tratamiento específicas en nombre del Responsable.

3. Instrucciones del Responsable

MultiClínica trata los datos personales de los pacientes únicamente conforme a las instrucciones documentadas del Responsable, expresadas a través de la configuración y uso de la plataforma. MultiClínica no tratará los datos para fines propios distintos a la prestación del Servicio, salvo obligación legal.

Queda expresamente prohibido a MultiClínica: vender, arrendar, ceder o transferir los datos del Responsable a terceros con fines comerciales ajenos al Servicio contratado.

Si MultiClínica considera que una instrucción del Responsable infringe la LFPDPPP u otra normativa aplicable, lo notificará de inmediato al Responsable, quien decidirá si modifica la instrucción, asume la responsabilidad o da por terminado el contrato.

4. Obligaciones de MultiClínica (Encargado)

MultiClínica se compromete a:

Cifrado: Aplicar cifrado en reposo (XChaCha20-Poly1305 mediante Supabase Vault) para datos clínicos sensibles y cifrado en tránsito (TLS 1.3) en todas las comunicaciones.
Aislamiento multi-tenant: Garantizar separación de datos entre clínicas mediante políticas de seguridad a nivel de fila (Row Level Security) con filtrado estricto por clinic_id en todas las tablas.
Control de acceso de personal: Restringir el acceso interno a los datos del Responsable al personal de MultiClínica que lo necesite para prestar el Servicio, bajo acuerdo de confidencialidad.
Auditoría: Mantener registros de auditoría durante al menos 7 años, conforme a NOM-004-SSA3-2012 y NOM-024-SSA3-2012.
Notificación de incidentes: Notificar al Responsable dentro de las 72 horas siguientes a detectar cualquier brecha de seguridad que afecte datos personales de sus pacientes.
Asistencia ARCO: Asistir al Responsable en la atención de solicitudes de Acceso, Rectificación, Cancelación u Oposición de los titulares, en la medida en que sea técnicamente posible.
Evaluaciones de seguridad: Realizar revisiones periódicas de seguridad y atender razonablemente las auditorías del Responsable con previo aviso de 30 días, no más de una vez por año.

5. Subencargados autorizados

El Responsable autoriza expresamente a MultiClínica a emplear los siguientes subencargados para la prestación del Servicio. MultiClínica garantiza que los subencargados están sujetos a obligaciones de confidencialidad y seguridad equivalentes a las de este Acuerdo.

Subencargado	País / Región	Función
Supabase (AWS us-east-1)	EUA	Base de datos, autenticación, almacenamiento de archivos
Vercel	EUA / Global (CDN)	Alojamiento de la aplicación web, Edge Functions
Google LLC (Calendar API)	EUA	Sincronización de agenda con Google Calendar (solo con autorización expresa del usuario)
Sentry	EUA	Monitoreo de errores — configurado para no capturar datos clínicos ni PII de pacientes

En caso de que MultiClínica incorpore nuevos subencargados que traten datos del Responsable, lo notificará con al menos 30 días naturales de anticipación. El Responsable podrá objetar por escrito; si la objeción es fundada y no puede resolverse, ambas partes podrán terminar el contrato sin penalización.

Transferencias internacionales: Los subencargados ubicados en los Estados Unidos de América (Supabase/AWS, Vercel, Sentry, Google) reciben datos conforme al artículo 36 bis de la LFPDPPP, bajo acuerdos contractuales que garantizan un nivel de protección equivalente al establecido por la ley mexicana. Al contratar el Servicio, el Responsable autoriza dichas transferencias.

6. Derechos de los titulares (ARCO)

El Responsable (la Clínica) es el único obligado directamente ante los titulares para atender solicitudes de derechos ARCO. MultiClínica, como Encargado, facilitará técnicamente la exportación, corrección o eliminación de datos cuando el Responsable lo solicite, dentro de un plazo razonable de 10 días hábiles.

Si MultiClínica recibe directamente una solicitud ARCO de un titular, la redirigirá al Responsable de inmediato, informando al titular que debe dirigirse a la Clínica correspondiente.

7. Medidas de seguridad

MultiClínica implementa las siguientes medidas técnicas, físicas y administrativas:

Cifrado de datos sensibles en reposo (XChaCha20-Poly1305)
Cifrado en tránsito mediante TLS 1.3
Aislamiento de tenants por Row Level Security (RLS) en PostgreSQL
Autenticación de dos pasos disponible para cuentas administrativas
Rotación periódica de claves de cifrado según mejores prácticas de seguridad
Registros de auditoría inmutables con retención de 7 años
Revisiones periódicas de seguridad de la infraestructura
Plan de respuesta a incidentes con tiempos de respuesta definidos
Copias de seguridad automáticas con verificación de integridad

La documentación técnica detallada está disponible bajo solicitud para clientes con plan empresarial o para auditorías formales previamente coordinadas.

8. Duración, retención y eliminación

Este Acuerdo está vigente mientras el contrato de servicio principal (Términos del Servicio) esté en vigor.

Tras la terminación o cancelación del Servicio:

Periodo de exportación (30 días): El Responsable podrá exportar todos sus datos en formato estándar (CSV/JSON).
Eliminación segura (90 días): Transcurrido el periodo de exportación, MultiClínica eliminará de forma segura todos los datos del Responsable de los sistemas de producción.
Excepción por retención legal: Los datos sujetos a obligaciones de retención legal (p.ej., expedientes clínicos conforme a NOM-004-SSA3-2012 y NOM-024-SSA3-2012: mínimo 7 años desde la última consulta, o en el caso de menores, hasta 5 años después de su mayoría de edad) podrán retenerse en formato cifrado y en modo restringido durante el plazo legal aplicable. MultiClínica notificará al Responsable sobre cualquier dato retenido por obligación legal y el plazo estimado.
Copias de seguridad: Los datos podrán persistir en copias de seguridad cifradas hasta 90 días adicionales, siendo eliminados en el ciclo normal de rotación de respaldos.

Términos del Servicio Aviso de Privacidad Política de Cookies