1. Identidad y domicilio del Responsable

Dr. Heriberto Lizaola Díaz de León, RFC LIDH7505095B4, con domicilio en Antonio Aguilar 155-720, Colonia Burócratas del Estado, C.P. 78213, San Luis Potosí, San Luis Potosí, México, es el responsable del tratamiento de los datos personales recabados a través del ecosistema "IA Para Médicos", incluyendo su sitio principal, subdominios, formularios, checkout, cuentas de usuario, aplicaciones, herramientas, webinars, campañas y canales de soporte. Para cualquier asunto relacionado con privacidad, datos personales o ejercicio de derechos, puede contactarse a drlizaola@iamedica.mx.

2. Ámbito de aplicación

Este Aviso aplica al tratamiento de datos personales de usuarios actuales y potenciales, clientes, suscriptores, visitantes del sitio, asistentes a eventos, personas que solicitan información, soporte o demostraciones, así como de profesionales de la salud que interactúen con los servicios digitales del ecosistema.

Este Aviso se pone a disposición del titular en el sitio web, durante el registro, en el checkout, al activar una prueba gratis, al suscribirse a comunicaciones y por cualquier otro medio idóneo de acuerdo con la forma en que se recaben los datos.

3. Datos personales que podemos recabar

Dependiendo del punto de contacto y del servicio solicitado, podemos recabar las siguientes categorías de datos personales:

• Datos de identificación y contacto: nombre, apellidos, correo electrónico, teléfono, país, estado, ciudad y domicilio de facturación o contacto, cuando proceda.
• Datos profesionales: especialidad, subespecialidad, cédula, ocupación, institución, tipo de práctica, nivel de formación, intereses académicos y perfil profesional relacionado con el uso del ecosistema.
• Datos de cuenta y autenticación: usuario, hash de contraseña o credenciales equivalentes, tokens, identificadores internos, historial de acceso, verificaciones y configuraciones de seguridad.
• Datos transaccionales y fiscales: plan contratado, fecha y monto de cargos, descuentos, estado de pago, tokens o referencias del procesador (Stripe), datos de facturación y constancias relacionadas con CFDI. De forma ordinaria no almacenamos el número completo de tarjeta.
• Datos de navegación, dispositivo y uso: dirección IP, identificadores del navegador o dispositivo, sistema operativo, idioma, logs, eventos, clics, métricas de uso, preferencias, cookies y tecnologías similares.
• Datos de comunicación y soporte: mensajes, tickets, formularios, encuestas, dudas, retroalimentación, respuestas a campañas, grabaciones o transcripciones de sesiones de soporte o webinars cuando se informe previamente.
• Número de teléfono móvil para envío de mensajes a través de WhatsApp Business (operado vía Twilio), cuando el Usuario lo proporcione al registrarse o suscribirse.
• Contenido que el propio usuario decida proporcionar: prompts, comentarios, materiales, respuestas, evaluaciones, configuraciones, archivos o textos que voluntariamente cargue o envíe dentro de los servicios.

En la operación ordinaria del ecosistema no solicitamos ni requerimos datos personales sensibles del Usuario. Asimismo, el usuario no debe cargar datos identificables de pacientes o terceros dentro de la plataforma, salvo que exista un módulo expresamente habilitado para ello y se cuente con la base jurídica, autorizaciones y documentación complementaria correspondientes.

4. Datos sensibles y categorías especiales

Si en el futuro se habilitara una funcionalidad que requiera datos personales sensibles —por ejemplo, información de salud propia del usuario, biométricos, información genética, datos clínicos identificables o cualquier otro dato sujeto a régimen reforzado— el Responsable pondrá a disposición un flujo específico, un aviso complementario y un mecanismo de consentimiento expreso y separado, sin que este Aviso se interprete por sí solo como autorización suficiente para tratar tales datos.

5. Formas en que obtenemos los datos

• Directamente del titular, al registrarse, llenar formularios, contratar, pagar, enviar correos, acudir a soporte o participar en eventos.
• Automáticamente, mediante tecnologías del sitio, aplicaciones, cookies, SDKs, bitácoras, identificadores y herramientas de analítica o seguridad.
• A través de terceros autorizados por el titular o que intervienen en la operación del servicio, como procesadores de pago (Stripe), proveedores de autenticación (Supabase), mensajería (Twilio/WhatsApp Business), alojamiento o mensajería de correo (Resend), en la medida necesaria para prestar el servicio.

6. Finalidades primarias o necesarias

Trataremos los datos personales para las finalidades necesarias que dan origen y son indispensables para la relación jurídica con el titular:

• Crear, administrar, autenticar y proteger la cuenta del usuario.
• Verificar elegibilidad, perfil profesional, identidad razonable, prevenir fraude y atender seguridad de la plataforma.
• Procesar pagos, suscripciones, renovaciones, cancelaciones, reembolsos y facturación.
• Prestar los servicios contratados, incluyendo acceso a herramientas, contenidos, funcionalidades y soporte.
• Enviar notificaciones operativas y transaccionales relacionadas con la cuenta, cobros, accesos y soporte por los canales habilitados (correo, WhatsApp Business, notificaciones en plataforma).
• Cumplir con obligaciones legales, fiscales, regulatorias o requerimientos de autoridad.
• Resolver disputas, investigar fraudes y hacer cumplir los Términos y Condiciones.

7. Finalidades secundarias o no necesarias

Adicionalmente, si el titular no manifiesta su oposición, podremos tratar sus datos para:

• Enviar comunicaciones de marketing, boletines, novedades, invitaciones a webinars, nuevas herramientas y ofertas del ecosistema propio.
• Personalizar la experiencia, recomendar contenido relevante y adaptar la interfaz según el perfil profesional.
• Realizar analítica de uso, estudios de mercado internos y medición de satisfacción.
• Invitar al titular a participar en estudios, encuestas o proyectos de investigación agregados o disociados donde no resulte identificable.
• Elaborar estadísticas agregadas y disociadas del ecosistema para publicaciones, presentaciones o desarrollo de producto.

Si el titular desea oponerse a alguna o todas las finalidades secundarias, puede escribir a drlizaola@iamedica.mx con el asunto "Oposición finalidades secundarias".

8. Transferencias de datos

Para operar el ecosistema, podemos compartir datos con los siguientes encargados del tratamiento que procesan datos en nombre del Responsable bajo contratos de confidencialidad y seguridad adecuados:

• Stripe: procesamiento de pagos y gestión de suscripciones.
• Supabase: base de datos, autenticación y almacenamiento.
• Twilio / WhatsApp Business: envío de mensajes de notificación y comunicación operativa.
• Resend: envío de correos electrónicos transaccionales y de marketing.
• Anthropic (Claude API): procesamiento de documentos para generación de contenido educativo dentro de la plataforma.
• Vercel: alojamiento y distribución del sitio web.
• HubSpot: gestión de relaciones con clientes y automatización de marketing.

El Responsable no vende, arrienda ni comercializa datos personales identificables a terceros. Cualquier transferencia de datos que requiera consentimiento expreso del titular se recabará por el medio correspondiente.

9. Transferencias internacionales

Algunos encargados del tratamiento listados en la sección anterior pueden operar servidores fuera del territorio mexicano. En estos casos, el Responsable celebra con dichos encargados contratos o cláusulas contractuales tipo que establecen niveles de protección equivalentes a los exigidos por la legislación mexicana aplicable.

10. Cookies y tecnologías similares

El Sitio puede utilizar cookies propias y de terceros, así como tecnologías similares (localStorage, sessionStorage, SDKs, píxeles, beacons), para las siguientes finalidades:

• Esenciales: autenticación, seguridad, gestión de sesión y funcionamiento básico del servicio.
• Funcionales: recordar preferencias del usuario y personalizaciones no esenciales.
• Analíticas: medir tráfico, eventos, conversiones, navegación, rendimiento y eficacia de campañas.
• Comerciales propias: limitar la frecuencia de mensajes, medir respuesta y personalizar promociones o recordatorios propios del ecosistema.

Las cookies no esenciales deberán poder gestionarse desde el banner o panel de preferencias que habilite el Sitio cuando resulte aplicable. La desactivación de ciertas cookies puede afectar funcionalidades no esenciales o la experiencia general del servicio.

11. Medidas de seguridad

El Responsable adopta medidas administrativas, técnicas y físicas razonables para proteger los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado, tomando en cuenta la naturaleza de los datos y los riesgos razonablemente previsibles. Entre otras, puede emplear controles de acceso, autenticación, cifrado en tránsito cuando sea razonable, segregación de ambientes, bitácoras, respaldos, monitoreo y contratos de confidencialidad.

Ningún sistema es invulnerable. Si se llegara a presentar una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales del titular, el Responsable notificará en los términos exigidos por la ley.

12. Plazos de conservación, bloqueo y supresión

• Datos de cuenta y perfil: durante la relación activa y hasta 5 años después de la última actividad relevante, o por el plazo mayor que exija la ley o la defensa de derechos.
• Datos de facturación y transacciones: durante la relación contractual y los plazos fiscales, contables y de auditoría aplicables.
• Tickets, soporte y comunicaciones: hasta 2 años después del cierre del asunto, salvo que deban conservarse por una controversia o requerimiento legal.
• Bitácoras de seguridad y acceso: entre 12 y 24 meses, salvo investigación de fraude, seguridad o litigio.
• Marketing y preferencias comerciales: hasta que el titular solicite baja, retire consentimiento, se oponga, o se determine una inactividad prolongada razonable.
• Información agregada/disociada: podrá conservarse indefinidamente al no constituir datos personales identificables.

13. Derechos ARCO, revocación y limitación del uso o divulgación

El titular o su representante legal puede ejercer sus derechos de acceso, rectificación, cancelación y oposición ("ARCO"), así como revocar consentimientos cuando proceda y solicitar la limitación del uso o divulgación de sus datos, enviando una solicitud a drlizaola@iamedica.mx.

La solicitud deberá incluir, al menos: nombre del titular; correo o medio para comunicar la respuesta; relación con el ecosistema o datos suficientes para localizar la Cuenta; descripción clara del derecho que desea ejercer; documentos que acrediten identidad y, en su caso, representación; y cualquier elemento que facilite la atención de la solicitud.

El Responsable atenderá y responderá dentro de los plazos previstos por la legislación aplicable. Para dejar de recibir promociones, el titular puede usar los enlaces de baja en los correos, ajustar sus preferencias dentro de la Cuenta, o escribir a drlizaola@iamedica.mx con el asunto "Baja marketing".

14. Consentimiento y sus alcances

Cuando los datos se recaben directamente del titular y este Aviso se ponga a su disposición, el tratamiento se realizará en términos de la ley y de este Aviso. Para datos sensibles o para tratamientos que requieran consentimiento expreso, el Responsable lo obtendrá de forma separada mediante casillas, firmas electrónicas, dobles confirmaciones u otros mecanismos de autenticación.

15. Menores de edad y terceros

Los servicios del ecosistema están dirigidos a adultos y, de manera principal, a profesionales de la salud. El Responsable no pretende recabar datos de menores de edad de manera deliberada. Si un titular considera que se proporcionaron datos de un menor o de un tercero sin autorización, deberá notificarlo de inmediato a drlizaola@iamedica.mx para su revisión y, en su caso, atención conforme a la ley.

16. Sitios, integraciones y terceros

El Sitio puede contener enlaces, integraciones, pasarelas, eventos, códigos, webinars o herramientas operadas por terceros. Cuando el titular abandone el entorno del Responsable o interactúe directamente con un tercero, el tratamiento de datos se sujetará al aviso de privacidad de dicho tercero. El Responsable no controla ni responde por políticas de privacidad ajenas.

17. Cambios al Aviso de Privacidad

El Responsable podrá modificar o actualizar este Aviso por cambios legales, operativos, tecnológicos, de modelo de negocio o de las finalidades del tratamiento. La versión vigente se dará a conocer en el Sitio, en el registro o por medios de contacto cuando el cambio sea material.

18. Quejas, dudas y autoridad competente

Cualquier duda sobre este Aviso, solicitudes de privacidad, ejercicio de derechos o reportes de presuntas vulneraciones pueden dirigirse a drlizaola@iamedica.mx.

Autoridad competente en materia de protección de datos personales: Conforme a las reformas publicadas el 20 de marzo de 2025 en el Diario Oficial de la Federación, las funciones del INAI (extinto) en materia de datos personales en posesión de particulares fueron asumidas por la Secretaría de Anticorrupción y Buen Gobierno. Si el titular considera que su derecho a la protección de datos ha sido vulnerado, podrá acudir ante dicha Secretaría (www.gob.mx/buengobierno), sin perjuicio de intentar primero una solución directa con el Responsable.

19. Fecha de última actualización

24 de marzo de 2026.