Aviso de Privacidad Integral — Medware (v1.0 · borrador con datos provisionales)

⚠️ DATOS PROVISIONALES (genéricos, para no bloquear). Reemplazar al cierre: razón social, RFC, domicilio reales +

revisión de abogado. Cumple la estructura de la LFPDPPP y su Reglamento. Hay un Aviso por producto/vertical (cambian

datos y finalidades). Versión v1.0; la aceptación se registra con `user_id/patient_id + timestamp + IP + versión`. Para datos

sensibles (salud) el consentimiento es expreso (checkbox opt-in NO pre-marcado).

Encabezado común

Responsable del tratamiento ante el titular: *el Usuario que contrata Medware* (el médico/clínica, la farmacia/distribuidora

o el prestador de servicios), quien es el Responsable en términos de la LFPDPPP.

Encargado: Medware S.A.S. de C.V. *(provisional)*, RFC MED2606219Z0 *(provisional)*, domicilio Av. Ejemplo No. 123,

Col. Centro, C.P. 64000, Monterrey, Nuevo León, México *(provisional)*, que trata los datos **por cuenta y bajo instrucciones

del Responsable en infraestructura en la nube/on-premise, sin finalidades propias**.

Versión: 1.0 · Vigencia: 21 de junio de 2026.

Declaración de rol de Encargado (cláusula clave, los 3)

"Medware actúa exclusivamente como ENCARGADO del tratamiento de datos personales por cuenta del Responsable. **Medware no

es propietario de los datos, no los usa para finalidades propias y NO los comercializa, vende ni comparte con terceros**

(farmacéuticas, aseguradoras, anunciantes u otros) bajo ninguna circunstancia, salvo (i) instrucción expresa del Responsable,

(ii) los subencargados de infraestructura estrictamente necesarios para operar el servicio (hosting/respaldo), o (iii)

requerimiento de autoridad competente conforme a la ley."

Variante A — Medware Consultorios (datos personales SENSIBLES de salud)

Datos que se tratan (por cuenta del médico): identificación y contacto del paciente; datos de salud (historia clínica,

diagnósticos CIE-10, notas de evolución, recetas, estudios, resultados de laboratorio) — datos personales sensibles.

Finalidades primarias: prestación y gestión del servicio médico, integración del expediente clínico electrónico conforme a

NOM-004/NOM-024-SSA3, agenda, facturación y cobranza, y cumplimiento legal.

Consentimiento: por tratarse de datos sensibles, se requiere consentimiento EXPRESO del paciente (aceptación opt-in del

presente Aviso, no pre-marcada), recabado por el médico al inicio de la relación o vía el portal del paciente.

Transferencias: no se realizan transferencias a terceros sin consentimiento; los datos no se comparten con

farmacéuticas ni aseguradoras salvo instrucción del paciente/Responsable (p. ej. trámite de reembolso que el propio paciente

solicite).

Retención: el expediente clínico se conserva mínimo 5 años desde el último acto médico (NOM-004-SSA3).

Variante B — Medware (farmacia/distribuidora)

Datos: identificación y contacto de clientes/pacientes; datos de receta y, en su caso, de medicamentos controlados

(tratados conforme a COFEPRIS/NOM aplicables); datos fiscales para facturación.

Finalidades primarias: venta y dispensación, control de inventario y trazabilidad sanitaria, facturación CFDI,

farmacovigilancia y cumplimiento COFEPRIS.

Consentimiento: opt-in del Aviso al capturar datos del titular; expreso cuando se traten datos de salud.

Retención: conforme a obligaciones fiscales (CFF) y sanitarias aplicables.

Variante C — Medware Campo (servicios en campo)

Datos: identificación y contacto del cliente (nombre, domicilio del servicio, teléfono, correo), datos del equipo y del

pago.

Finalidades primarias: agendar y ejecutar el servicio, cotización, facturación y cobranza, garantías y soporte.

Consentimiento: opt-in del Aviso al agendar (booking público/portal) o al darse de alta como cliente.

Retención: periodo razonable conforme a la relación contractual y obligaciones fiscales.

Secciones comunes a las 3 variantes

Finalidades secundarias (opcionales, requieren consentimiento separado): mejoras del servicio, encuestas, comunicaciones

comerciales del Responsable. El titular puede negarlas sin afectar el servicio primario.

Derechos ARCO: el titular puede ejercer Acceso, Rectificación, Cancelación y Oposición, así como revocar su

consentimiento y limitar el uso/divulgación, presentando solicitud ante el Responsable (el Usuario). Medware, como

Encargado, habilita los mecanismos técnicos (exportación de datos, anonimización/baja) para que el Responsable atienda la

solicitud en los plazos de ley.

Medios para ejercer ARCO: el correo o formulario que el Responsable (Usuario) designe; subsidiariamente, en su carácter

de Encargado, privacidad@medware.com.mx para canalizar la solicitud al Responsable.

Seguridad: controles administrativos, técnicos y físicos (cifrado en tránsito y reposo, control de acceso por roles, RLS

multi-tenant, bitácora inmutable de auditoría, respaldos cifrados).

Cambios al Aviso: se notifican por la Plataforma y se publica la nueva versión; el histórico de versiones se conserva.

INAI: si el titular considera vulnerado su derecho, puede acudir al INAI (www.inai.org.mx).

*Documentos relacionados: `TERMINOS_Y_CONDICIONES.md`, `DPA_ACUERDO_ENCARGADO.md`, `SLA.md`.*