Aviso de privacidad

TraumaCore · traumacore.mx · Versión 1.0 · 13 de julio de 2026

RESUMEN

Este documento es el aviso de privacidad exigido por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) para el sitio traumacore.mx y para la aplicación TraumaCore. Cubre tres obligaciones simultáneas: (1) la obligación legal vigente bajo LFPDPPP, independiente de la certificación NOM-024; (2) el requisito de Google para la verificación de la aplicación OAuth, incluyendo la declaración de Limited Use de datos de usuario de Google; (3) el sustento del riesgo R-15 (canal WhatsApp), mediante la declaración de Meta como destinatario tercero.

Contiene además, al final, el aviso de privacidad simplificado que debe mostrarse junto al formulario de solicitud de licencia.

Punto central del documento: TraumaCore opera con cifrado extremo a extremo. El responsable no tiene acceso técnico a los datos clínicos de los pacientes atendidos por los médicos usuarios. Esos datos no se transmiten al responsable, no se almacenan en su infraestructura, y no son legibles por Google ni por ningún tercero. El responsable no es responsable ni encargado del tratamiento de los datos de los pacientes: esa calidad corresponde al médico o institución que utiliza la aplicación.


1. IDENTIDAD Y DOMICILIO DEL RESPONSABLE

Responsable: Fernando Ashanti Zenteno Arteaga, en su carácter de persona física con actividad empresarial.

Domicilio: Panamá 108, Col. El Mirador, Zacatecas, Zacatecas, México, C.P. 98079.

Correo electrónico de contacto y para el ejercicio de derechos ARCO: astronomerdomine@gmail.com

Teléfono / WhatsApp: +52 433 880 4042


2. DATOS PERSONALES QUE SE RECABAN

2.1 Datos que SÍ trata el responsable

El responsable trata los siguientes datos personales, obtenidos de forma directa cuando el titular los proporciona:

a) Datos de identificación y contacto (solicitud de demostración, contacto por WhatsApp o correo, formulario de licencia): - Nombre completo - Correo electrónico - Número telefónico - Nombre del consultorio o institución (opcional) - Cédula profesional o especialidad (opcional, únicamente cuando el titular la proporciona voluntariamente)

b) Datos fiscales y de facturación (únicamente en caso de adquisición de una licencia): - Razón social o nombre fiscal - Registro Federal de Contribuyentes (RFC) - Domicilio fiscal - Régimen fiscal - Correo para envío de comprobante fiscal digital

c) Datos técnicos mínimos de licenciamiento: - Identificador de licencia y su estado (activa, vencida, revocada) - Fecha de emisión y vigencia

No se recaban datos personales sensibles del titular usuario, con excepción de la especialidad médica cuando el propio titular la proporciona. Dicho dato se utiliza únicamente para adecuar la comunicación comercial y de soporte, y su omisión no impide la adquisición ni el uso de la licencia.

2.2 Datos que el responsable NO trata: declaración de no-acceso a información clínica

TraumaCore es un sistema de expediente clínico electrónico que opera bajo un modelo de cifrado extremo a extremo y almacenamiento local prioritario. En consecuencia, y de manera expresa:

  1. Los datos clínicos de los pacientes nunca se transmiten al responsable. No existe servidor, base de datos ni infraestructura del responsable que reciba, almacene o procese información clínica.

  2. Los datos clínicos se cifran en el dispositivo del médico con una clave derivada exclusivamente de la contraseña del propio médico (AES-GCM-256, derivación PBKDF2). El responsable no posee, no custodia y no puede reconstruir dicha clave.

  3. El respaldo en Google Drive contiene únicamente bloques cifrados opacos. Google no puede leer su contenido, y el responsable tampoco. La información permanece bajo el control exclusivo del médico.

  4. El responsable no es responsable ni encargado del tratamiento de los datos personales de los pacientes. Esa calidad recae en el médico, consultorio o institución que utiliza TraumaCore, quien determina las finalidades y medios del tratamiento y debe emitir su propio aviso de privacidad frente a sus pacientes, conforme a la LFPDPPP y a la NOM-004-SSA3-2012.

  5. Consecuencia crítica de este diseño: si el médico usuario pierde u olvida su contraseña, el responsable no puede recuperar la información. No existe mecanismo de recuperación, respaldo maestro ni llave de emergencia. Esta limitación es una característica deliberada de seguridad, no un defecto, y el titular la reconoce al adquirir la licencia. La aplicación exige la verificación de respaldos como parte del proceso de configuración inicial.


3. FINALIDADES DEL TRATAMIENTO

3.1 Finalidades primarias (necesarias; dan origen a la relación jurídica)

3.2 Finalidades secundarias (no necesarias; el titular puede oponerse sin afectar el servicio)

Para oponerse a las finalidades secundarias, el titular puede enviar un correo a astronomerdomine@gmail.com con la leyenda "No consiento finalidades secundarias", en cualquier momento y sin necesidad de justificar su decisión. La negativa no será motivo para negar los servicios contratados ni para limitar el funcionamiento de la aplicación.


4. DATOS DE USUARIO DE GOOGLE (Google API Services User Data Policy)

Esta sección describe cómo TraumaCore accede, utiliza, almacena y comparte los datos de usuario de Google, conforme a la Google API Services User Data Policy, incluyendo sus requisitos de Limited Use.

4.1 Permisos solicitados y justificación

TraumaCore solicita, mediante consentimiento explícito del médico usuario, los siguientes permisos (scopes):

Permiso Para qué se usa
drive.file Crear y mantener, exclusivamente dentro de una carpeta creada por la propia aplicación, los archivos de respaldo cifrado del expediente clínico. No otorga acceso a ningún otro archivo del Drive del usuario.
calendar.app.created Crear y gestionar únicamente el calendario creado por la propia aplicación para la agenda de citas. No otorga acceso a los calendarios personales del usuario.
calendar.acls Permitir que el médico comparta ese calendario creado por la aplicación con su asistente, a decisión del propio médico.

TraumaCore solicita el permiso más restringido disponible para cada función. No solicita los permisos amplios drive, drive.readonly ni calendar, por decisión expresa de mínimo privilegio.

4.2 Cómo se usan y almacenan los datos

4.3 Declaración de Limited Use

El uso que TraumaCore hace de la información recibida de las API de Google se apega a la Google API Services User Data Policy, incluidos sus requisitos de Limited Use. En particular:

4.4 Revocación

El usuario puede revocar en cualquier momento el acceso de TraumaCore a su cuenta de Google desde https://myaccount.google.com/permissions. La revocación no elimina los datos locales del dispositivo, que permanecen bajo el control exclusivo del usuario.


5. TRANSFERENCIAS Y REMISIONES A TERCEROS

El responsable no vende, no comercializa ni cede datos personales a terceros con fines de mercadotecnia.

Los siguientes terceros participan necesariamente en la operación del servicio:

Tercero Qué recibe En qué calidad Finalidad
Google LLC (Drive, Calendar, Firebase Hosting) Bloques cifrados ilegibles; metadatos de calendario del propio usuario; datos de conexión del sitio Encargado / proveedor de infraestructura Respaldo, agenda y alojamiento del sitio
Meta Platforms, Inc. (WhatsApp) Contenido del mensaje que el usuario decide enviar por ese canal Destinatario del canal de comunicación Contacto comercial y envío de resúmenes clínicos que el médico decide compartir
Autoridad competente Lo estrictamente requerido Cumplimiento de obligaciones legales

A la fecha de emisión de este aviso, el responsable no utiliza proveedores externos de procesamiento de pagos. En caso de incorporar alguno, este aviso se actualizará antes de que dicho tercero reciba dato alguno, y la nueva versión se publicará en la dirección señalada en la sección 10.

5.1 Advertencia específica sobre el canal de WhatsApp (riesgo R-15)

TraumaCore ofrece al médico la posibilidad de enviar a su paciente, por WhatsApp, un resumen clínico. Esta función es opcional y siempre requiere una acción deliberada del médico.

El titular debe conocer lo siguiente:

Esta advertencia se replica dentro de la aplicación al utilizar la función por primera vez.


6. USO DE COOKIES Y TECNOLOGÍAS DE RASTREO

El sitio traumacore.mx no utiliza cookies de rastreo, herramientas de analítica ni tecnologías de perfilamiento publicitario. No se emplea Google Analytics ni servicios equivalentes.

La aplicación TraumaCore utiliza almacenamiento local del navegador (IndexedDB) para su funcionamiento. Dicho almacenamiento reside exclusivamente en el dispositivo del usuario, es inaccesible para el responsable y no constituye una transferencia de datos.


7. DERECHOS ARCO Y MEDIOS PARA EJERCERLOS

El titular tiene derecho a Acceder a sus datos personales, Rectificar los inexactos, Cancelar su tratamiento cuando considere que son excesivos o innecesarios, y Oponerse a finalidades específicas. Asimismo, puede revocar su consentimiento y limitar el uso o divulgación de sus datos.

Cómo ejercerlos: enviando una solicitud al correo astronomerdomine@gmail.com, con:

  1. Nombre completo del titular y medio para comunicarle la respuesta.
  2. Documento que acredite su identidad (identificación oficial) o, en su caso, la representación legal.
  3. Descripción clara de los datos respecto de los que se busca ejercer el derecho y del derecho que se pretende ejercer.
  4. Cualquier elemento que facilite la localización de los datos.

Plazos: el responsable comunicará la determinación adoptada en un plazo máximo de veinte días hábiles contados desde la recepción de la solicitud. De resultar procedente, se hará efectiva dentro de los quince días hábiles siguientes a dicha comunicación. Estos plazos podrán ampliarse una sola vez por un periodo igual, cuando las circunstancias del caso lo justifiquen.

Sin costo. El ejercicio de los derechos ARCO es gratuito, debiendo cubrir el titular únicamente los gastos justificados de envío o reproducción, en su caso.

Limitación material: respecto de los datos clínicos gestionados dentro de la aplicación, el responsable carece de capacidad técnica para acceder, rectificar, cancelar o suprimirlos, por el diseño de cifrado extremo a extremo descrito en la sección 2.2. Dichos derechos deben ejercerse ante el médico o institución que actúa como responsable de ese tratamiento.

Autoridad: si el titular considera que su derecho a la protección de datos ha sido vulnerado, puede acudir ante la autoridad garante competente en materia de protección de datos personales.


8. CONSERVACIÓN DE LOS DATOS


9. MEDIDAS DE SEGURIDAD

El responsable ha implantado un Sistema de Gestión de Seguridad de la Información (SGSI) alineado con los requisitos del Anexo de Seguridad de la Información de la Guía GIIS-A004 de la Dirección General de Información en Salud (DGIS), en el marco del proceso de certificación de TraumaCore como SIRES conforme a la NOM-024-SSA3-2012, actualmente en curso.

Las medidas incluyen cifrado AES-GCM-256 de los datos clínicos en reposo, derivación de clave mediante PBKDF2, bitácora de auditoría encadenada mediante funciones hash, control de acceso por contraseña, verificación de integridad de los artefactos desplegados mediante SHA-256, y gestión formal de cambios e incidentes.


10. MODIFICACIONES AL PRESENTE AVISO

El responsable se reserva el derecho de modificar este aviso de privacidad. Toda modificación se publicará en https://traumacore.mx/privacidad, indicando la fecha de la última actualización y el número de versión.

Los cambios sustantivos —en particular, la sustitución del responsable por la persona moral que se constituya, o la incorporación de nuevos destinatarios de datos— se comunicarán además por correo electrónico a los titulares con licencia vigente.

Se recomienda al titular revisar periódicamente el presente aviso.


Fecha de última actualización: 13 de julio de 2026 · Versión 1.0

---

ANEXO — AVISO DE PRIVACIDAD SIMPLIFICADO

Para mostrar junto al formulario de solicitud de licencia o de demostración, con casilla de aceptación no premarcada.

Aviso de privacidad

Fernando Ashanti Zenteno Arteaga, con domicilio en Panamá 108, Col. El Mirador, Zacatecas, Zac., C.P. 98079, es el responsable del tratamiento de tus datos personales.

Los datos que nos proporciones (nombre, correo, teléfono y, en su caso, datos fiscales) se usarán para atender tu solicitud, emitir y administrar tu licencia de TraumaCore, brindarte soporte técnico y cumplir obligaciones fiscales. De forma adicional —y solo si lo consientes— podríamos enviarte información sobre nuevas versiones o productos.

TraumaCore no nos transmite información clínica de tus pacientes. Los datos clínicos se cifran en tu dispositivo con tu propia contraseña; nosotros no podemos leerlos, ni siquiera si quisiéramos.

Puedes conocer el aviso de privacidad integral, incluidas las transferencias a terceros y el procedimiento para ejercer tus derechos ARCO, en https://traumacore.mx/privacidad.