Acuerdo de Procesamiento de Datos (DPA) / Convenio de Encargado — Medware (v1.0 · borrador con datos provisionales)

⚠️ DATOS PROVISIONALES (genéricos, para no bloquear). Reemplazar al cierre: razón social, RFC, domicilio reales +

revisión de abogado. Instrumenta la relación Responsable–Encargado de la LFPDPPP (arts. 49–55 del Reglamento). Se

firma entre el Usuario (Responsable) y Medware S.A.S. de C.V. (Encargado), como anexo a los Términos.

Responsable: el Usuario que contrata (médico/clínica, farmacia/distribuidora o prestador de servicios).

Encargado: Medware S.A.S. de C.V. *(provisional)*, RFC MED2606219Z0 *(provisional)*, domicilio Av. Ejemplo No. 123,

Col. Centro, C.P. 64000, Monterrey, Nuevo León, México *(provisional)*.

Versión: 1.0 · Vigencia: mientras exista la relación de servicio.

1. Objeto

El Encargado tratará los datos personales que el Responsable le confíe únicamente para prestar los servicios del Software,

conforme a las instrucciones del Responsable y al Aviso de Privacidad, sin finalidades propias.

1. Tratar los datos solo según instrucciones del Responsable.

2. No transferir los datos a terceros salvo instrucción del Responsable, subencargados necesarios para el servicio

(hosting/respaldo, listados en el Anexo A) o mandato de autoridad.

3. Implementar medidas de seguridad administrativas, técnicas y físicas (cifrado en tránsito y reposo, control de acceso por

roles, aislamiento multi-tenant/RLS, bitácora inmutable de auditoría con cadena de hash, respaldos cifrados, pruebas de

restauración).

4. Guardar confidencialidad, incluso después de terminada la relación.

5. Suprimir o devolver los datos al terminar el servicio, salvo obligación legal de conservarlos (p. ej. 5 años

expedientes clínicos NOM-004; obligaciones fiscales).

6. Permitir y colaborar en auditorías razonables del Responsable sobre el cumplimiento de este Acuerdo.

7. Asistir al Responsable en la atención de derechos ARCO y en sus obligaciones de seguridad.

Cláusula clave (los 3):

"En caso de detectar una vulneración de seguridad que afecte de forma significativa los datos personales tratados por

cuenta del Responsable (acceso, pérdida, alteración o divulgación no autorizada), el Encargado **notificará al Responsable sin

demora injustificada y, a más tardar, dentro de las 72 horas** siguientes a su detección, proporcionando: (i) la naturaleza

del incidente, (ii) los datos y titulares potencialmente afectados, (iii) las medidas correctivas y de mitigación adoptadas, y

(iv) recomendaciones para que el Responsable pueda informar a los titulares afectados y, en su caso, a la autoridad. El

Responsable, como obligado ante el INAI y los titulares, decidirá las notificaciones que correspondan."

El Encargado mantendrá un registro de incidentes (`security_incidents`) con la cronología, alcance y acciones, disponible

para el Responsable.

El Encargado se apoya en subencargados de infraestructura estrictamente necesarios. Anexo A:

Infraestructura/servidor: on-premise propia (servidor Lenovo ThinkSystem) administrada por Medware, con respaldo cifrado externo.
Almacenamiento de objetos/respaldo: MinIO (en el servidor) + Google Drive cifrado (AES-256) para respaldo de recuperación.
Correo transaccional: SMTP propio (cPanel/VPS).
Pasarela de pago: Stripe. · PAC/CFDI: Facturama. · Mensajería: WhatsApp/Meta Cloud API y, en su caso, Twilio (SMS).

Cada uno trata datos solo para la función contratada. *(Confirmar/actualizar la lista al cierre.)*

Cada parte responde por el incumplimiento de sus obligaciones. La limitación de responsabilidad de los Términos aplica a este

Acuerdo.

*Documentos relacionados: `TERMINOS_Y_CONDICIONES.md`, `AVISO_DE_PRIVACIDAD.md`, `SLA.md`.*