Legal
Aviso de Privacidad Integral
Versión 1.3 — Última actualización: 3 de junio de 2026
Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el DOF el 20 de marzo de 2025.
1Identidad y domicilio del responsable
Para los efectos de la LFPDPPP y de su Reglamento aplicable, Klinova es responsable del tratamiento de los datos personales descritos en este Aviso.
2Encargado interno de privacidad
Klinova ha designado como responsable de atender las solicitudes de los titulares y de fomentar la cultura de protección de datos a su titular:
3Datos personales que serán tratados
De los clientes (clínicas, profesionales de la salud) y sus representantes
- Datos de identificación: nombre o razón social, RFC, domicilio fiscal, correo electrónico, teléfono.
- Datos fiscales: régimen fiscal SAT, uso de CFDI, código postal fiscal.
- Datos del representante legal: nombre completo, cargo, correo electrónico, teléfono.
- Datos de pago: procesados por Stripe Payments Mexico. Klinova no almacena números de tarjeta ni códigos CVV.
- Datos de uso de la plataforma: direcciones IP, logs de acceso, patrones de uso.
De los visitantes del sitio web klinova.mx
- Datos técnicos de navegación: IP, dispositivo, navegador, páginas visitadas, fecha y hora.
- Datos de formularios de contacto: nombre, correo electrónico, teléfono, organización, mensaje.
4Finalidades del tratamiento
Finalidades primarias (necesarias para la prestación del servicio)
- Celebración, ejecución y seguimiento del contrato de prestación de servicios SaaS.
- Facturación y cobranza, incluyendo emisión de CFDI 4.0.
- Cumplimiento de obligaciones legales (fiscales, mercantiles, protección de datos).
- Soporte técnico y comunicación operativa.
- Seguridad de la plataforma y prevención de fraudes.
- Defensa de intereses legítimos en caso de litigio.
Finalidades secundarias (sujetas a negativa del titular)
- Envío de comunicaciones comerciales sobre nuevos productos o servicios.
- Análisis estadísticos agregados para mejorar el servicio (siempre anonimizados).
- Estudios de mercado internos (siempre anonimizados).
5Encargados del tratamiento (sub-procesadores)
Las siguientes relaciones constituyen remisiones (no transferencias) conforme a la LFPDPPP. Cada encargado ha suscrito un acuerdo de protección de datos con Klinova.
| Encargado | Finalidad | Localización |
|---|---|---|
| Stripe Payments Mexico | Procesamiento de pagos | México / EE.UU. |
| Anthropic PBC | Procesamiento conversacional IA | EE.UU. |
| Meta Platforms (WhatsApp Cloud API) | Envío y recepción de mensajes WhatsApp | EE.UU. / Irlanda |
| Neon, Inc. | Almacenamiento cifrado PostgreSQL | EE.UU. |
| Cloudflare, Inc. | CDN, almacenamiento R2, seguridad | Internacional |
| Clerk, Inc. | Autenticación y gestión de sesiones | EE.UU. |
| Sentry (Functional Software) | Monitoreo de errores | EE.UU. |
| PostHog, Inc. | Analítica (datos seudonimizados) | UE / EE.UU. |
| Doppler, Inc. | Gestión cifrada de secretos | EE.UU. |
| Facturama | Emisión de CFDI | México |
| Google LLC (Google Calendar API) | Sincronización del calendario del médico (push de citas + disponibilidad, opt-in por profesional) | EE.UU. |
| Vultr Holdings, LLC | Alojamiento de infraestructura aplicativa (VPS CDMX + Coolify) | México |
Klinova notificará cambios en la lista de encargados con 30 días de anticipación en esta página.
6Uso limitado de los datos de las APIs de Google
Cuando un profesional de la salud conecta voluntariamente su Google Calendar a Klinova:
- Se solicitan únicamente los permisos
calendar.events(para crear, actualizar y cancelar las citas gestionadas por Klinova) ycalendar.readonly(para leer los periodos ocupados y evitar dobles reservas, solo en modo bidireccional). - No se almacena el contenido de los eventos de Google (títulos, descripciones, invitados): únicamente las franjas horarias de inicio y fin necesarias para calcular la disponibilidad.
- No se transfieren estos datos a terceros, no se usan con fines publicitarios y no se permite que personas los lean, salvo con consentimiento explícito, por motivos de seguridad, para cumplir la ley, o como parte de operaciones internas con datos agregados o anonimizados.
- El profesional puede revocar el acceso en cualquier momento desde Klinova (Configuración → Médicos) o desde su cuenta de Google; al hacerlo, se eliminan los tokens de acceso y los periodos ocupados almacenados.
7Transferencias de datos
Klinova no transfiere datos personales a terceros, salvo cuando:
- Sea legalmente requerido por autoridad competente.
- Sea necesario para cumplir obligaciones fiscales (transmisión al SAT vía PAC).
- Exista consentimiento expreso del titular.
8Períodos de conservación
| Categoría | Período |
|---|---|
| Datos contractuales activos | Mientras dure la relación contractual |
| Datos contractuales y fiscales históricos | 5 años tras terminación (Art. 67 CFF) |
| Logs de auditoría y acceso técnico | 5 años |
| Datos de visitantes sin contratación | 12 meses desde el último contacto |
| Datos sujetos a solicitud ARCO de cancelación | Soft-delete inmediato + purga en 30 días |
| Datos sujetos a hold legal | Suspendidos hasta resolución del asunto |
9Derechos ARCO y otros derechos del titular
Como titular, tienes derecho a:
- Acceder a tus datos personales en posesión de Klinova.
- Rectificar datos inexactos o incompletos.
- Cancelar tus datos cuando no sean necesarios para ninguna finalidad.
- Oponerte al uso de tus datos para fines específicos.
- Revocar el consentimiento otorgado para el tratamiento.
- Limitar el uso o divulgación de tus datos.
Cómo ejercer tus derechos
Envía una solicitud a arco@klinova.mx indicando:
- Nombre completo y medio para recibir respuesta.
- Documento que acredite tu identidad.
- Descripción clara del derecho que deseas ejercer.
- Cualquier elemento que facilite la localización de los datos.
10Medidas de seguridad
- Cifrado AES-256-GCM at-rest con derivación de claves por tenant (HKDF).
- Cifrado TLS 1.3 in-transit.
- Autenticación multi-factor para administradores y operadores.
- Aislamiento entre clientes mediante Row Level Security en PostgreSQL.
- Auditoría inmutable de accesos y operaciones sensibles.
- Política documentada de gestión y rotación de claves criptográficas.
- Procedimientos de respuesta a incidentes y notificación de vulneraciones.
11Notificación de vulneraciones de seguridad
En caso de vulneración que afecte significativamente los derechos del titular, Klinova lo notificará de forma inmediata conforme a la LFPDPPP 2025, incluyendo la naturaleza del incidente, los datos comprometidos, recomendaciones de protección y acciones correctivas tomadas.
12Tratamiento de datos de menores
Klinova no recaba ni trata datos personales de menores en su calidad de responsable. Los datos de menores en contextos pediátricos son tratados exclusivamente como encargado, bajo las instrucciones de la clínica responsable.
13Uso de cookies y tecnologías similares
- Cookies estrictamente necesarias — gestión de sesión, protección CSRF. No requieren consentimiento.
- Cookies analíticas (PostHog Cloud) — análisis de uso con anonimización de IP. Sujetas al consentimiento recabado en el banner al primer acceso. Pueden modificarse desde Política de Cookies.
14Modificaciones al Aviso de Privacidad
Cualquier modificación será:
- Publicada en esta página con fecha de actualización.
- Notificada a clientes activos por correo con al menos 15 días naturales de anticipación para modificaciones de finalidades o políticas generales, y con al menos 30 días naturales para cambios de encargados del tratamiento.
- Sujeta a consentimiento cuando incluya nuevas finalidades o cambios sustanciales.
15Autoridad de control
La autoridad competente es la Secretaría Anticorrupción y Buen Gobierno, que sustituyó al INAI conforme a las reformas publicadas en el DOF el 20 de marzo de 2025.
Más información: www.gob.mx/buengobierno
16Datos de contacto
Versión 1.3 — Fecha de última actualización: 3 de junio de 2026
Este Aviso debe leerse junto con el Contrato de Prestación de Servicios celebrado entre Klinova y cada clínica cliente.