AVISO DE PRIVACIDAD INTEGRAL PARA USUARIOS DE LA PLATAFORMA EXPEDIENTE ASTROCYTE

I. Identidad y Domicilio del Responsable

Diego Cesar Lerma Torres, actuando como persona física con actividad empresarial bajo el nombre comercial “Neuroglia” (en adelante, “Neuroglia”, “nosotros” o “el Responsable”), con los siguientes datos fiscales:

• RFC: LETD9811251F0
• CURP: LETD981125HGTRRG03
• Domicilio fiscal: Avenida La Fragua número 3, Departamento 7, Colonia Marfil Centro, Código Postal 36250, Guanajuato, Guanajuato, México (entre Calle Las Flores y Calle La Esperanza)

Es el responsable del tratamiento de los datos personales de los usuarios (profesionales de la salud, personal administrativo y otros usuarios autorizados, en adelante “Usted” o el “Usuario”) que utilizan la plataforma de gestión de expedientes clínicos electrónicos denominada “Expediente Astrocyte” (en adelante, la “Plataforma”).

Este Aviso de Privacidad describe cómo recabamos, utilizamos, almacenamos, compartimos y protegemos su información personal en cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y demás normativa aplicable en México. La protección de sus datos personales es una prioridad fundamental para Neuroglia.

II. Datos Personales que Recabamos y Tratamos

Neuroglia recaba directamente de Usted, a través de la Plataforma (https://app.expedienteastrocyte.com), formularios de registro, interacciones con soporte técnico, procesos de pago y otras comunicaciones directas, los siguientes datos personales:

a. Datos de Identificación

Nombre completo, Registro Federal de Contribuyentes (RFC). La Clave Única de Registro de Población (CURP) podrá ser recabada únicamente si resulta estrictamente necesaria y existe una justificación legal explícita para ello en el contexto de los servicios prestados.

b. Datos de Contacto

Domicilio físico (que puede ser profesional o fiscal), dirección de correo electrónico principal y secundarias si las proporciona, número(s) de teléfono fijo y/o móvil.

c. Datos Profesionales

Número de Cédula Profesional (en caso de ser profesional de la salud u otra profesión regulada que lo requiera para el uso de la Plataforma), especialidad médica o área profesional, institución educativa de egreso, cargo o puesto dentro de la clínica u organización usuaria.

d. Datos Fiscales

Domicilio fiscal, RFC, régimen fiscal y demás información necesaria para la correcta emisión de Comprobantes Fiscales Digitales por Internet (CFDI) o facturas correspondientes a los servicios contratados.

e. Datos de Autenticación

Nombre de usuario elegido para acceder a la Plataforma y contraseña asociada. Es importante destacar que su contraseña se almacena utilizando mecanismos de cifrado robustos (hashing) para proteger su confidencialidad; Neuroglia no tiene acceso a su contraseña en texto claro.

f. Datos de Uso de la Plataforma

Registros técnicos (logs) de sus accesos y actividades dentro de la Plataforma, incluyendo direcciones IP de origen, fechas y horas de acceso, tipo de navegador y sistema operativo utilizado, funcionalidades consultadas o utilizadas, interacciones con la interfaz, y otros metadatos técnicos necesarios para la operación, seguridad y mejora del servicio.

g. Datos de Pago

Información relacionada con el procesamiento de pagos por suscripciones o servicios, tal como el tipo de instrumento de pago utilizado (ej. tarjeta de crédito/débito), nombre del titular, y en algunos casos, los últimos cuatro dígitos de su tarjeta. Es fundamental aclarar que Neuroglia no almacena los datos completos de sus tarjetas de crédito o débito. El procesamiento de pagos se realiza a través de Stripe, Inc., proveedor especializado en procesamiento de pagos que cumple con los estándares de seguridad de la industria de pagos (PCI DSS - Payment Card Industry Data Security Standard) y actúa bajo nuestras instrucciones como Encargado del tratamiento, siendo Stripe quien maneja directamente la información financiera sensible.

No recabamos datos personales sensibles de Usted como Usuario de la Plataforma a través de los medios descritos, salvo aquellos que Usted voluntariamente pudiera incluir en campos de texto libre no destinados para ello, lo cual no es recomendable.

III. Finalidades del Tratamiento de sus Datos Personales

Sus datos personales son tratados para las siguientes finalidades, las cuales se distinguen entre primarias (aquellas indispensable para la relación jurídica y la prestación del servicio) y secundarias (aquellas no indispensables, sobre las cuales Usted tiene derechos específicos de oposición):

A. Finalidades Primarias (Necesarias para el Servicio)

Estas finalidades son esenciales para que podamos establecer y mantener nuestra relación contractual y brindarle acceso y uso a la Plataforma Expediente Astrocyte. Su negativa a proporcionar datos para estas finalidades podría impedir la prestación del servicio.

a. Creación y Gestión de su Cuenta

Verificar su identidad, crear, administrar, mantener actualizada y asegurar su cuenta de usuario en la Plataforma.

b. Prestación de los Servicios Contratados

Permitirle el acceso y uso de las funcionalidades de Expediente Astrocyte conforme a los términos contratados, incluyendo el almacenamiento y gestión de la información que Usted administra dentro de la Plataforma (distinguiendo claramente que esto no incluye el tratamiento de datos de pacientes como Responsable, ver Sección IX), y asegurar la operatividad técnica general del servicio.

c. Procesamiento de Pagos y Facturación

Gestionar el cobro de las tarifas de suscripción o servicios adicionales, procesar los pagos a través de nuestros proveedores autorizados, emitir los comprobantes fiscales (CFDI) correspondientes y realizar la gestión de cobranza en caso de ser necesario.

d. Soporte Técnico y Atención al Cliente

Atender sus solicitudes de soporte técnico, resolver dudas, responder a consultas, quejas o reclamaciones relacionadas con el uso de la Plataforma o los servicios contratados.

e. Cumplimiento de Obligaciones Legales y Contractuales

Cumplir con las obligaciones legales a las que Neuroglia está sujeta (por ejemplo, en materia fiscal, de prevención de lavado de dinero si aplicara, o requerimientos de autoridades competentes), así como dar cumplimiento a los términos y condiciones del servicio y demás obligaciones contractuales derivadas de nuestra relación jurídica con Usted.

f. Mantenimiento de la Seguridad y Prevención de Fraudes

Monitorear y mantener la seguridad de la Plataforma, prevenir accesos no autorizados, detectar actividades fraudulentas o abusivas, proteger la integridad de los sistemas y de la información, y tomar las medidas necesarias para mitigar riesgos de seguridad.

g. Análisis Operativo para Mantenimiento y Mejora Funcional

Realizar análisis internos basados en datos de uso (como logs de errores o rendimiento) que resulten indispensables para el mantenimiento correctivo y preventivo de la Plataforma, la optimización de su rendimiento y la garantía de su funcionalidad esencial y seguridad. Este análisis se enfoca estrictamente en la operatividad técnica y no en perfiles de usuario para otros fines.

B. Finalidades Secundarias (No Indispensables - Requieren su Consentimiento u Oposición)

Estas finalidades no son estrictamente necesarias para la prestación del servicio principal, pero nos permiten mejorar su experiencia, ofrecerle información relevante o desarrollar nuevos productos. Usted tiene derecho a oponerse a ellas.

a. Comunicaciones Informativas y Promocionales

Enviarle a su correo electrónico registrado u otros medios de contacto proporcionados, comunicaciones informativas, boletines (newsletters), consejos de uso, noticias sobre actualizaciones o nuevas funcionalidades de Expediente Astrocyte, así como publicidad sobre otros productos, servicios o soluciones ofrecidos por Neuroglia Solutions.

b. Encuestas y Estudios

Invitarle a participar en encuestas de satisfacción del cliente, estudios de mercado, o evaluaciones sobre la calidad del servicio con el fin de obtener retroalimentación para mejorar nuestros productos y atención.

c. Análisis Estadístico, Mejora de Servicios y Desarrollo con Datos Anonimizados

Utilizar datos derivados del uso que Usted hace de la Plataforma, así como datos (incluyendo aquellos que originalmente pudieran ser clínicos o de pacientes) que hayan sido sometidos a un proceso de anonimización o disociación irreversible de tal forma que no sea posible identificar de ninguna manera a los individuos originales (Usuarios o Pacientes), para las siguientes finalidades:

• Realizar análisis estadísticos agregados sobre patrones de uso, tendencias epidemiológicas (de forma anonimizada), y preferencias.
• La mejora general de la Plataforma Expediente Astrocyte y otros productos o servicios de Neuroglia.
• El desarrollo y entrenamiento de modelos de Inteligencia Artificial (IA) y algoritmos de aprendizaje automático.
• La investigación y desarrollo de nuevas funcionalidades, tecnologías o soluciones en el ámbito de la salud digital y la gestión clínica.
• La aplicación de otras técnicas de ciencia de datos para la innovación y optimización de nuestros servicios.

Se reitera que este tratamiento se realiza exclusivamente sobre datos que, tras el proceso de anonimización, ya no se consideran datos personales conforme a la LFPDPPP, garantizando la imposibilidad de re-identificación. Le informamos sobre este proceso para su total transparencia, y como finalidad secundaria, Usted tiene el derecho de oponerse a que los datos originalmente vinculados a su cuenta, aun antes de ser anonimizados, sean considerados para estos procesos de anonimización y uso posterior, conforme a la Sección IV.

d. Invitaciones a Eventos y Capacitación

Enviarle invitaciones para participar en eventos, seminarios web (webinars), programas de capacitación, demostraciones de producto o programas de fidelización organizados, patrocinados o promocionados por Neuroglia.

IV. Mecanismos para Manifestar su Negativa para Finalidades Secundarias o Accesorias

Usted tiene derecho a oponerse al tratamiento de sus datos personales para las finalidades secundarias descritas en la Sección III.B, o a revocar el consentimiento que previamente nos hubiera otorgado para ellas, sin que esto afecte la prestación de los servicios asociados a las finalidades primarias.

Para manifestar su negativa, puede optar por las siguientes vías:

Durante el Registro o en Configuración

Si durante el proceso de registro de su cuenta o posteriormente dentro de las opciones de configuración de su perfil en la Plataforma se habilita una casilla de verificación específica para aceptar o rechazar el tratamiento para finalidades secundarias, Usted podrá marcar su preferencia allí.

Mediante Solicitud Directa

En cualquier momento, Usted puede enviar una solicitud expresa manifestando su negativa u oposición al tratamiento de sus datos para alguna o todas las finalidades secundarias. Dicha solicitud deberá dirigirse al correo electrónico indicado en la Sección VI de este Aviso, especificando claramente las finalidades a las que se opone.

Neuroglia procesará su solicitud en un plazo razonable y dejará de utilizar sus datos para las finalidades secundarias indicadas. Es importante reiterar que el consentimiento para el tratamiento de sus datos con fines secundarios no es condición para contratar o utilizar los servicios de Expediente Astrocyte.

V. Transferencias de Datos Personales

Neuroglia podrá transferir sus datos personales a terceros nacionales o extranjeros en los siguientes casos, algunos de los cuales no requieren su consentimiento por encontrarse dentro de las excepciones previstas en el artículo 37 de la LFPDPPP, mientras que otros podrían requerirlo:

A. Transferencias que No Requieren Consentimiento

Sociedades del Mismo Grupo

A sociedades controladoras, subsidiarias o afiliadas que operen bajo los mismos procesos y políticas de protección de datos que Neuroglia, o a una sociedad matriz, siempre que la finalidad esté alineada con las operaciones del grupo y se mantengan las protecciones adecuadas. (Art. 37, fracc. III LFPDPPP). Esta transferencia se realizará solo si aplica a la estructura corporativa de Neuroglia y bajo dichas condiciones.

Autoridades Competentes

Cuando la transferencia sea legalmente exigida para cumplir con leyes, reglamentos, o en virtud de un mandamiento judicial o administrativo debidamente fundado y motivado por parte de autoridades competentes (fiscales, judiciales, administrativas). (Art. 37, fracc. I y VII LFPDPPP).

Cumplimiento de la Relación Jurídica

Cuando la transferencia sea necesaria para el mantenimiento o cumplimiento de la relación jurídica entre Neuroglia y Usted. Esto incluye, fundamentalmente, a terceros que actúan como Encargados bajo nuestras instrucciones y contratos que les obligan a mantener la confidencialidad y seguridad de los datos:

Proveedores de Servicios Tecnológicos

Neuroglia utiliza proveedores especializados que actúan como Encargados del tratamiento para la operación de la Plataforma. Estos proveedores pueden incluir, de manera enunciativa más no limitativa:

• Servicios de Infraestructura y Alojamiento (Cloud Computing): Para alojar la Plataforma, almacenar datos y asegurar la disponibilidad del servicio. Estos proveedores operan infraestructura a nivel global, lo que puede implicar transferencias internacionales de datos (incluyendo hacia Estados Unidos y la Unión Europea). Neuroglia se asegura de que existan garantías contractuales adecuadas de cumplimiento con estándares internacionales de protección de datos, incluyendo Cláusulas Contractuales Estándar (Standard Contractual Clauses), certificaciones de seguridad (SOC 2, ISO 27001), y obligaciones reforzadas de confidencialidad.

• Procesadores de Pago: Para procesar de forma segura los pagos por suscripciones y servicios. Compartimos únicamente la información estrictamente necesaria para verificar la identidad, procesar transacciones, prevenir fraudes y cumplir con la normativa financiera aplicable. Estos proveedores cumplen con el estándar PCI DSS (Payment Card Industry Data Security Standard).

• Servicios de Inteligencia Artificial y Procesamiento de Lenguaje: Para funcionalidades de transcripción de audio médico, procesamiento de voz, síntesis de voz, y otras capacidades de inteligencia artificial. Es importante aclarar que NUNCA se envían a estos servicios datos personales identificables de pacientes. Todos los datos de pacientes se someten a un proceso de sanitización automática que remueve información de identificación personal (PII) antes de ser procesados, conforme a lo descrito en la Sección III.B.c sobre anonimización de datos.

• Servicios de Mapas y Geolocalización: Para funcionalidades de mapas, búsqueda de ubicaciones y geolocalización de consultorios.

• Bases de Datos Médicas y Farmacológicas: Para proporcionar información médica y farmacológica actualizada. Estos proveedores no reciben datos personales de usuarios ni pacientes.

• Servicios de Monitoreo y Análisis de Errores: Para monitoreo de errores, rendimiento y estabilidad de la aplicación. Procesan logs técnicos y metadatos, pero no reciben información identificable de pacientes gracias a nuestro sistema de sanitización automática. El uso de estos servicios está sujeto al consentimiento de la categoría “monitoring” de cookies (ver Sección VII).

• Herramientas de Soporte y Comunicación: Plataformas para gestionar solicitudes de soporte técnico, sistemas de ticketing, y administración de comunicaciones con usuarios.

• Servicios de Calendario y Videoconferencia: Para funcionalidades de agendamiento de citas médicas y teleconsulta, la Plataforma se integra con servicios de calendario y videoconferencia de Google mediante autorización OAuth 2.0. Accedemos a sus calendarios personales con su autorización expresa para crear, leer, actualizar y eliminar eventos de citas médicas, permitiendo sincronización bidireccional para prevenir conflictos de agenda. Asimismo, generamos enlaces de videoconsulta para citas de telemedicina mediante la creación programática de salas de reunión virtuales. Solo accedemos a estos servicios previa autorización explícita a través del flujo OAuth de Google, y los datos se utilizan exclusivamente para la gestión de citas y provisión de servicios de teleconsulta descritos en este Aviso.

Todos estos proveedores actúan como Encargados bajo contrato y están obligados contractualmente a implementar medidas de seguridad robustas, mantener la confidencialidad, tratar los datos únicamente conforme a nuestras instrucciones, y cumplir con los estándares de protección establecidos en este Aviso. (Art. 37, fracc. IV y VII LFPDPPP).

Neuroglia se reserva el derecho de cambiar de proveedores según las necesidades operativas y de seguridad de la empresa, manteniendo siempre los mismos estándares de protección de datos y obligaciones contractuales. Usted puede solicitar información específica sobre los proveedores actuales ejerciendo su derecho de Acceso conforme a la Sección VI.

B. Transferencias que Podrían Requerir Consentimiento

Terceros para Fines Secundarios

Si Neuroglia considerara compartir sus datos personales (no anonimizados) con terceros para que estos le contacten con fines de marketing o para realizar análisis independientes que no estén cubiertos por las finalidades primarias o secundarias ya descritas (y sobre las cuales Usted ya tuvo opción de oponerse), se requeriría su consentimiento expreso y previo, informándole sobre la identidad del tercero y la finalidad de la transferencia. Actualmente, Neuroglia no realiza este tipo de transferencias que requieran consentimiento adicional.

Neuroglia se compromete a que todas las transferencias de datos personales, ya sea que requieran o no consentimiento, se realicen asegurando que los terceros receptores asuman, como mínimo, las mismas obligaciones de protección de datos que Neuroglia y respeten los términos de este Aviso de Privacidad, generalmente mediante la firma de contratos o cláusulas específicas.

C. Declaración de No Comercialización de Datos

Neuroglia se compromete a NUNCA vender, rentar, arrendar, comercializar o divulgar sus datos personales ni los datos obtenidos de servicios de Google a:

• Plataformas publicitarias o redes de anuncios
• Data brokers, corredores de información o revendedores de datos
• Empresas de marketing de terceros no relacionadas con la prestación del servicio
• Empresas de análisis crediticio o scoring
• Cualquier tercero con fines comerciales ajenos a las finalidades descritas en este Aviso

Los datos obtenidos de servicios de Google a través de OAuth se utilizan exclusivamente para las finalidades descritas en este Aviso: gestión de citas médicas, sincronización de calendarios y provisión de servicios de teleconsulta. No utilizamos ni utilizaremos estos datos para:

• Servir publicidad de ningún tipo (retargeting, publicidad personalizada o basada en intereses)
• Análisis de comportamiento con fines publicitarios
• Determinación de solvencia crediticia o elegibilidad financiera
• Ningún propósito distinto a la operación de la Plataforma Expediente Astrocyte

Cumplimiento con la Política de Google API Services

El uso que Astrocyte hace de la información recibida de las APIs de Google cumplirá con la Política de Datos de Usuario de Servicios API de Google (Google API Services User Data Policy), incluidos los requisitos de Uso Limitado (Limited Use requirements).

Astrocyte’s use of information received from Google APIs will adhere to Google API Services User Data Policy, including the Limited Use requirements.

Para más información: https://developers.google.com/terms/api-services-user-data-policy

V-A. Retención y Eliminación de Datos Personales

Política General de Retención

Conservamos sus datos personales mientras su cuenta permanezca activa o según sea necesario para prestarle servicios. También podemos retener y utilizar sus datos en la medida necesaria para cumplir con obligaciones legales (por ejemplo, obligaciones fiscales que requieren conservar registros por períodos específicos establecidos por el Servicio de Administración Tributaria), resolver disputas y hacer cumplir nuestros acuerdos.

Datos Obtenidos de Servicios de Google

Tokens de Acceso OAuth

Los tokens de acceso a servicios de Google (calendario, videoconferencia) se conservan cifrados en nuestros sistemas únicamente mientras usted mantenga autorización activa. Cuando revoca el acceso desde su cuenta de Google (https://myaccount.google.com/permissions), los tokens son inmediatamente revocados y eliminados permanentemente de nuestros sistemas.

Datos de Calendario Sincronizados

Los eventos de calendario se almacenan temporalmente en caché para el funcionamiento de la Plataforma mientras mantenga autorización activa. Al revocar el acceso, dejamos de sincronizar pero conservamos los registros históricos de citas médicas ya realizadas conforme a obligaciones legales de conservación de expedientes clínicos (mínimo 5 años según NOM-004-SSA3-2012).

Enlaces de Videoconferencia

Los enlaces generados para teleconsulta se conservan como parte del expediente médico de cada cita por el período legalmente requerido para expedientes clínicos.

Control de Acceso a Servicios de Google

Usted mantiene control total sobre el acceso de Astrocyte a sus servicios de Google y puede revocar la autorización en cualquier momento:

Desde su Cuenta de Google:

1. Visite https://myaccount.google.com/permissions
2. Localice “Astrocyte” en la lista de aplicaciones conectadas
3. Seleccione “Remover acceso” para revocar la autorización

Desde la Plataforma Astrocyte:

• En su perfil, sección “Integraciones”, puede desconectar los servicios de Google

Efecto de la Revocación:

• Astrocyte dejará inmediatamente de poder acceder a su calendario o crear salas de videoconferencia
• Los tokens de acceso OAuth serán eliminados permanentemente de nuestros sistemas
• Las citas ya programadas permanecerán en su historial médico sin capacidad de sincronización futura con Google
• Puede volver a autorizar el acceso en cualquier momento repitiendo el flujo de autorización OAuth

Eliminación de Cuenta Completa

Puede eliminar su cuenta de Astrocyte en cualquier momento:

Desde la aplicación:

1. Inicie sesión en su cuenta
2. Vaya a Configuración > Cuenta
3. Seleccione “Eliminar mi cuenta”
4. Confirme la eliminación

Por correo electrónico: Si tiene problemas para acceder a la aplicación, puede solicitar la eliminación enviando un correo a: contacto@neuroglias.com

Efecto inmediato de la eliminación:

• Todos los tokens OAuth de Google son revocados y eliminados permanentemente
• Sus datos de perfil y configuración son eliminados
• Su acceso a la plataforma se desactiva inmediatamente

Retención de registros médicos: Los registros de citas médicas históricas se conservan por el plazo mínimo legal requerido para expedientes médicos (5 años según NOM-004-SSA3-2012), tras lo cual son eliminados de forma segura y permanente.

Tiempo de procesamiento: La eliminación de datos no médicos es inmediata. Los registros médicos se eliminan automáticamente después de 5 años desde la última consulta.

Cuando la eliminación de datos no sea legalmente posible debido a obligaciones de retención (como expedientes médicos), le informaremos sobre el período de retención aplicable (5 años) y los fundamentos legales correspondientes (NOM-004-SSA3-2012).

VI. Ejercicio de los Derechos de Acceso, Rectificación, Cancelación u Oposición (ARCO) y Revocación del Consentimiento

Usted, como titular de sus datos personales, tiene derecho a ejercer en cualquier momento sus derechos ARCO, así como a revocar el consentimiento que nos haya otorgado para el tratamiento de sus datos (en la medida que la ley lo permita) y a limitar su uso o divulgación.

Acceso: Conocer qué datos personales tenemos de Usted, para qué los utilizamos y las condiciones del uso que les damos.

Rectificación: Solicitar la corrección de su información personal en caso de que esté desactualizada, sea inexacta o incompleta.

Cancelación: Solicitar que eliminemos su información de nuestros registros o bases de datos cuando considere que la misma no está siendo utilizada adecuadamente, siempre y cuando no exista una obligación legal o contractual que impida su eliminación (por ejemplo, plazos de conservación fiscal).

Oposición: Oponerse al uso de sus datos personales para fines específicos, particularmente para las finalidades secundarias descritas en la Sección III.B, o si considera que el tratamiento le causa un perjuicio y tiene una causa legítima para ello.

Procedimiento para Ejercer sus Derechos

Para ejercer cualquiera de sus derechos ARCO, revocar su consentimiento o solicitar la limitación del uso/divulgación de sus datos (incluyendo la oposición a finalidades secundarias si no lo hizo por otra vía), deberá presentar una solicitud formal a nuestro Departamento de Protección de Datos Personales, a través del siguiente medio:

Correo Electrónico para Protección de Datos: contacto@neuroglias.com

Para consultas generales y soporte técnico puede contactarnos en: soporte@neuroglias.com

Su solicitud deberá contener y acompañar lo siguiente:

• Su nombre completo como titular de los datos.
• Su dirección de correo electrónico u otro medio para comunicarle la respuesta a su solicitud.
• Una descripción clara y precisa del derecho que desea ejercer (Acceso, Rectificación, Cancelación u Oposición), y los datos personales respecto de los cuales busca ejercer dicho derecho.
• En caso de solicitar Rectificación, deberá indicar las modificaciones a realizarse y aportar la documentación que sustente su petición (si aplica).
• Cualquier otro elemento o documento que facilite la localización de sus datos personales.
• Una copia de un documento oficial que acredite su identidad (ej. credencial para votar INE, pasaporte, cédula profesional). Este documento se utilizará exclusivamente para verificar su identidad como titular de los datos y será tratado con confidencialidad.

Proceso de Respuesta

Una vez recibida su solicitud completa, nuestro Departamento de Protección de Datos Personales:

• Le enviará un acuse de recibo dentro de un plazo máximo de 5 días hábiles.
• Analizará su solicitud y, en caso de ser procedente, le comunicará la determinación adoptada en un plazo máximo de 20 días hábiles contados desde la fecha en que se recibió la solicitud completa. Este plazo podrá ser ampliado una sola vez por un período igual, siempre y cuando así lo justifiquen las circunstancias del caso y se le notifique dicha ampliación.
• Si su solicitud resulta procedente, la haremos efectiva dentro de los 15 días hábiles siguientes a la fecha en que se le comunique la respuesta.
• La respuesta se le comunicará a través del medio de contacto que Usted haya indicado en su solicitud.

Limitaciones y Revocación

Tenga en cuenta que la cancelación de sus datos o la revocación del consentimiento para finalidades primarias podría implicar la imposibilidad de continuar prestándole los servicios de Expediente Astrocyte, dándose por terminada la relación contractual. La revocación del consentimiento aplica hacia el futuro (no tiene efectos retroactivos sobre tratamientos ya realizados). El ejercicio de los derechos ARCO es gratuito, debiendo Usted cubrir únicamente los gastos justificados de envío o el costo de reproducción en copias u otros formatos, si aplica.

VII. Uso de Cookies y Tecnologías Similares

La Plataforma Expediente Astrocyte (https://app.expedienteastrocyte.com) utiliza cookies, web beacons y otras tecnologías similares para mejorar su experiencia de usuario, asegurar el funcionamiento técnico y analizar el uso del servicio.

¿Qué son?

Las cookies son pequeños archivos de texto que se almacenan en su navegador o dispositivo cuando visita un sitio web. Los web beacons (o píxeles de seguimiento) son pequeñas imágenes gráficas que pueden estar incrustadas en sitios web o correos electrónicos para monitorear la actividad.

¿Para qué las usamos?

La Plataforma utiliza un sistema de gestión de consentimiento de cookies con las siguientes categorías:

1. Cookies Esenciales (essential): Son estrictamente necesarias para el funcionamiento básico de la Plataforma. Permiten la navegación, el acceso a áreas seguras (inicio de sesión), la gestión de sesiones de usuario, autenticación y funciones de seguridad críticas. Sin estas cookies, los servicios no pueden funcionar correctamente. Estas cookies NO requieren consentimiento explícito ya que son indispensables para la prestación del servicio, pero se informa sobre su uso para transparencia.

2. Cookies de Funcionalidad (functionality): Permiten que la Plataforma recuerde elecciones que Usted hace (como preferencias de tema claro/oscuro, idioma, configuración de interfaz, preferencias de visualización) para proporcionar una experiencia más personalizada y conveniente. Requieren su consentimiento, el cual puede otorgar o denegar en la configuración de cookies.

3. Cookies de Análisis (analytics): Recopilan información agregada y anónima sobre cómo los usuarios utilizan la Plataforma (ej. qué funcionalidades utilizan más, tiempos de carga, patrones de navegación, errores encontrados). Nos ayudan a entender y mejorar el rendimiento y la experiencia de uso. Estas cookies requieren su consentimiento explícito.

4. Cookies de Monitoreo (monitoring): Utilizadas por herramientas como Sentry para monitorear errores técnicos, estabilidad de la aplicación y performance del sistema. Procesan metadatos técnicos (logs de errores, información de navegador, sistema operativo) pero NO incluyen información identificable de pacientes gracias a nuestro sistema de sanitización automática. Requieren su consentimiento, el cual puede otorgar o denegar.

IMPORTANTE: NO utilizamos cookies de marketing, publicidad ni rastreo de terceros con fines comerciales dentro de la Plataforma Expediente Astrocyte.

¿Qué datos recopilan?

Pueden recopilar información como su dirección IP, tipo de navegador, sistema operativo, páginas visitadas dentro de nuestro sitio/plataforma, tiempo de visita, preferencias seleccionadas, e identificadores únicos de dispositivo o sesión.

¿Cómo deshabilitarlas?

Usted puede administrar, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones de su navegador web. A continuación, le proporcionamos enlaces a las instrucciones de los navegadores más comunes (Neuroglia no se responsabiliza por el contenido o actualización de estos enlaces externos):

• Google Chrome: https://support.google.com/chrome/answer/95647
• Mozilla Firefox: https://support.mozilla.org/es/kb/habilitar-y-deshabilitar-cookies-sitios-web-rastrear-preferencias
• Microsoft Edge: https://support.microsoft.com/es-es/microsoft-edge/eliminar-las-cookies-en-microsoft-edge-63947406-40ac-c3b8-57b9-2a946a29ae09
• Safari (Mac): https://support.apple.com/es-es/guide/safari/sfri11471/mac
• Safari (iPhone/iPad): https://support.apple.com/es-es/HT201265

Gestión de Consentimiento de Cookies

Al iniciar sesión en la Plataforma por primera vez, se le presentará un banner de consentimiento de cookies donde podrá:

• Aceptar todas las categorías de cookies (esenciales, funcionalidad, analytics, monitoring)
• Rechazar todas las cookies no esenciales (solo se activarán las cookies esenciales)
• Configurar sus preferencias de forma personalizada para cada categoría

Usted puede modificar sus preferencias de cookies en cualquier momento accediendo a la configuración de privacidad dentro de su perfil en la Plataforma. Tenga en cuenta que si deshabilita las cookies esenciales a nivel de navegador, la Plataforma no podrá funcionar correctamente y algunas funcionalidades básicas no estarán disponibles.

VIII. Medidas de Seguridad para la Protección de sus Datos Personales

Neuroglia ha implementado y mantiene medidas de seguridad administrativas, técnicas y físicas razonables y acordes con las mejores prácticas de la industria para proteger sus datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. Estas medidas incluyen, entre otras:

• Uso de centros de datos seguros con controles de acceso físico y ambiental.
• Cifrado de la información sensible tanto en tránsito (utilizando protocolos como TLS/SSL para las comunicaciones web) como en reposo (para datos almacenados en nuestras bases de datos).
• Controles de acceso lógico basados en roles y perfiles de usuario (principio de mínimo privilegio).
• Mecanismos de autenticación robustos para el acceso a la Plataforma.
• Monitoreo de seguridad de la infraestructura y sistemas.
• Realización periódica de análisis de vulnerabilidades y/o pruebas de penetración (según aplique).

Sanitización Automática de Datos de Pacientes para IA

Implementamos un sistema automatizado de sanitización que remueve toda información de identificación personal (PII) de los datos de pacientes antes de enviarlos a servicios de inteligencia artificial. Este sistema elimina nombres, apellidos, identificadores (CURP, RFC), información de contacto, direcciones y cualquier otro dato que pueda identificar a un paciente. Solo se procesan datos médicos contextuales anonimizados, cumpliendo con estándares tipo HIPAA.

Sistema de Logging Médico con Audit Trail

Mantenemos un registro de auditoría (audit trail) de todas las operaciones médicas realizadas en la Plataforma, cumpliendo con estándares de registro médico. Este sistema registra accesos a información de pacientes, modificaciones de expedientes, y otras operaciones críticas, manteniendo la trazabilidad necesaria para cumplimiento normativo y seguridad de datos médicos.

Hashing de Identificadores Sensibles

Los identificadores personales que deben registrarse en logs técnicos se procesan mediante funciones de hash unidireccionales, imposibilitando la reconstrucción de los datos originales y protegiendo la privacidad incluso en logs internos.

• Políticas internas de protección de datos y capacitación al personal con acceso a información personal.
• Procedimientos para la gestión de incidentes de seguridad.
• Prácticas de desarrollo seguro de software.
• Acuerdos de confidencialidad con nuestro personal y proveedores.

A pesar de nuestros esfuerzos, es importante recordar que ninguna transmisión de datos por Internet o sistema de almacenamiento electrónico es 100% seguro. Por ello, aunque nos esforzamos por utilizar medios comercialmente aceptables para proteger su información personal, no podemos garantizar su seguridad absoluta. Asimismo, Usted es responsable de mantener la confidencialidad de sus credenciales de acceso (nombre de usuario y contraseña) y de tomar las precauciones necesarias para proteger su propia información.

IX. Tratamiento de Datos Personales de Pacientes (Rol de Encargado)

Es fundamental distinguir el tratamiento de sus datos personales como Usuario de la Plataforma (descrito en este Aviso de Privacidad, donde Neuroglia es el Responsable), del tratamiento de los datos personales de los pacientes que Usted, como profesional de la salud o entidad clínica, ingresa, gestiona o almacena utilizando la Plataforma Expediente Astrocyte.

Este Aviso de Privacidad NO CUBRE los datos personales de los pacientes.

Respecto a toda la información y datos personales de pacientes (incluyendo datos personales sensibles como información de salud) que Usted ingrese o procese a través de Expediente Astrocyte, Usted (el profesional de la salud, clínica u organización usuaria) es el único “Responsable” del tratamiento de dichos datos en términos de la LFPDPPP.

Diego Cesar Lerma Torres (Neuroglia) actúa únicamente como “Encargado” del tratamiento de los datos de los pacientes. Esto significa que solo procesamos dichos datos por cuenta y bajo las instrucciones explícitas o implícitas (derivadas del uso normal de la Plataforma) de Usted, el Responsable. No utilizamos los datos de los pacientes para fines propios, salvo en la forma anonimizada descrita en la Sección III.B.c de este Aviso, para la cual Usted tiene derecho de oposición.

Nuestras obligaciones específicas como Encargado del tratamiento de datos de pacientes, incluyendo las medidas de seguridad aplicadas, deberes de confidencialidad, gestión de sub-encargados (como proveedores de nube), y procedimientos en caso de instrucciones o incidentes relacionados con datos de pacientes, se detallan en los Términos y Condiciones del Servicio de Expediente Astrocyte, los cuales incluyen o hacen referencia a un Anexo de Tratamiento de Datos (Data Processing Addendum - DPA) que rige nuestra relación como Encargado frente a Usted como Responsable. Le instamos a revisar detenidamente dichos Términos y Condiciones.

Como Responsable de los datos de sus pacientes, es su exclusiva obligación cumplir con todas las disposiciones de la LFPDPPP frente a ellos, lo que incluye, entre otros: proporcionarles su propio Aviso de Privacidad, obtener los consentimientos necesarios (especialmente para datos sensibles), atender sus solicitudes de derechos ARCO, y asegurar la licitud del tratamiento que Usted realiza a través de nuestra Plataforma.

Esta clara delimitación de roles es esencial para el cumplimiento normativo y la correcta gestión de las responsabilidades en materia de protección de datos.

X. Modificaciones al Aviso de Privacidad

Diego Cesar Lerma Torres (Neuroglia) se reserva el derecho de efectuar en cualquier momento modificaciones o actualizaciones al presente Aviso de Privacidad, derivadas de novedades legislativas, políticas internas, nuevos requerimientos para la prestación u ofrecimiento de nuestros servicios o productos, o cambios en nuestras prácticas de privacidad.

Nos comprometemos a mantenerle informado sobre los cambios que pueda sufrir el presente Aviso de Privacidad. Cualquier modificación será comunicada a través de uno o varios de los siguientes medios:

• Publicación de la versión actualizada en la Plataforma: https://app.expedienteastrocyte.com (en una sección dedicada a la privacidad o avisos legales).
• Notificación destacada dentro de la propia Plataforma Expediente Astrocyte al iniciar sesión.
• Envío de una comunicación a la dirección de correo electrónico que Usted nos haya proporcionado.

Le recomendamos revisar periódicamente este Aviso de Privacidad para estar al tanto de la versión más reciente. Podrá consultar la fecha de la última actualización al final de este documento. El uso continuado de la Plataforma después de la notificación de los cambios (o de su publicación por los medios indicados) podrá considerarse como aceptación de dichas modificaciones, salvo en casos donde la ley exija su consentimiento expreso para cambios específicos.

Fecha de última actualización: 4 de noviembre de 2025.