Documento legal

Aviso de Privacidad Integral

Última actualización: 10 de marzo de 2026 · Versión 1.0

Este aviso se emite en cumplimiento de los artículos 15 y 16 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, D.O.F. 5-VII-2010) y de los artículos 23 al 32 de su Reglamento.

Contenido

  1. Identidad y domicilio del Responsable
  2. Datos personales recabados
  3. Finalidades del tratamiento
  4. Base legal del tratamiento
  5. Datos sensibles de salud
  6. PsiFlow como encargado del tratamiento (datos de pacientes)
  7. Transferencias a terceros y subprocesadores
  8. Plazos de retención
  9. Medidas de seguridad
  10. Derechos ARCO
  11. Limitación y oposición al uso
  12. Revocación del consentimiento
  13. Uso de cookies y tecnologías de seguimiento
  14. Cambios al aviso de privacidad
  15. Autoridad competente — INAI

1. Identidad y domicilio del Responsable

El Responsable del tratamiento de sus datos personales es:

Denominación comercial: PsiFlow

Giro: Plataforma SaaS de gestión clínica para profesionales de la salud

Domicilio: Avenida Insurgentes Sur 1602, Col. Crédito Constructor, Alcaldía Benito Juárez, Ciudad de México, C.P. 03940, México

Correo de privacidad: privacidad@psiflow.mx

PsiFlow opera la plataforma tecnológica. Para efectos de los datos de pacientes, el profesional de salud que usa el Servicio es el Responsable primario; PsiFlow actúa como Encargado del tratamiento. Véase la sección 6.

2. Datos personales recabados

PsiFlow recaba las siguientes categorías de datos dependiendo del tipo de titular:

A. Datos del Profesional (usuario de PsiFlow)

Datos de identificación y contacto

  • Nombre completo
  • Correo electrónico (identificador de cuenta)
  • Número de teléfono (opcional, para soporte)

Datos profesionales

  • Cédula profesional (requerida para cumplir con NOM-004-SSA3-2012)
  • Especialidad clínica
  • Nombre del consultorio o práctica privada
  • Dirección del consultorio (opcional)
  • Datos de miembros del equipo que el Profesional añada (secretaria, colega)

Datos de acceso y sesión

  • Hash de contraseña (nunca almacenamos la contraseña en texto claro)
  • Tokens de sesión (HttpOnly, SameSite=Strict, cifrados)
  • Dirección IP y agente de usuario (para detección de fraude y seguridad)

Datos de facturación (Plan Pro)

  • RFC y datos fiscales para emitir CFDI (cuando aplique)
  • Referencia de cliente en Stripe (stripe_customer_id); PsiFlow no almacena números de tarjeta
  • Historial de pagos y suscripciones

B. Datos de pacientes (registrados por el Profesional)

Importante: PsiFlow procesa estos datos únicamente como Encargado y bajo instrucción del Profesional, quien es el Responsable primario conforme a la LFPDPPP. El Profesional debe recabar el consentimiento informado de sus pacientes antes de registrar sus datos en la plataforma.

Datos de identificación y contacto del paciente

  • Nombre completo (apellido paterno, materno y nombre)
  • Número de teléfono (para recordatorios de cita vía SMS/WhatsApp)
  • Correo electrónico (para confirmaciones y recordatorios)
  • Fecha de nacimiento y edad

Datos sensibles de salud — tratamiento especialmente protegido

  • Historia clínica (antecedentes heredofamiliares, patológicos, no patológicos)
  • Notas de sesión con estructura SOAP, DAP o BIRP
  • Diagnósticos CIE-11 (Clasificación Internacional de Enfermedades)
  • Resultados de evaluaciones psicométricas (PHQ-9, GAD-7 y otros)
  • Tipo de psicoterapia, fechas de inicio y seguimiento
  • Información de medicación cuando el profesional la registra

Datos financieros del paciente

  • Montos y fechas de consulta pagadas
  • Método de pago (efectivo, transferencia, tarjeta — solo categoría, no número)
  • Adeudos pendientes

3. Finalidades del tratamiento

Finalidades primarias (necesarias para el Servicio):

  • Crear y administrar la cuenta del Profesional en la plataforma.
  • Proveer las funciones del Servicio: gestión de agenda, expedientes clínicos electrónicos, evaluaciones psicométricas, finanzas y facturación.
  • Procesar el pago de la suscripción al Plan Pro mediante Stripe.
  • Enviar correos transaccionales al Profesional: confirmación de cuenta, recuperación de contraseña, notificaciones de pago.
  • Enviar recordatorios automáticos de cita a los pacientes del Profesional (bajo instrucción de éste y sujeto a los datos que haya registrado).
  • Generar exportaciones en PDF/CSV del expediente clínico a solicitud del Profesional.
  • Cumplir con obligaciones legales: conservación de bitácoras de auditoría conforme a NOM-004-SSA3-2012.

Finalidades secundarias (puede oponerse a ellas):

  • Enviar comunicaciones sobre nuevas funciones o actualizaciones del Servicio (boletín opcional).
  • Análisis estadístico agregado y completamente anonimizado del uso de la plataforma para mejorar el producto. Estos análisis nunca incluyen datos de pacientes identificables.
Para oponerse a las finalidades secundarias, envíe un correo a privacidad@psiflow.mx indicando "Oposición a finalidades secundarias" en el asunto.

5. Datos sensibles de salud

Los datos de salud de los pacientes son datos sensibles conforme al artículo 3, fracción VI de la LFPDPPP. Su tratamiento está sujeto a las protecciones especiales del artículo 9 de la misma Ley y requiere el consentimiento expreso del titular (el paciente).

PsiFlow almacena y procesa datos sensibles de salud únicamente como Encargado bajo instrucción del Profesional. El Profesional, en su calidad de Responsable primario, es quien debe:

  • Informar a sus pacientes que sus datos clínicos serán gestionados mediante la plataforma PsiFlow.
  • Recabar el consentimiento expreso, por escrito, para el tratamiento de datos sensibles (Art. 9 LFPDPPP). La plataforma provee un módulo de consentimiento informado digital para este fin.
  • Custodiar el expediente clínico conforme a los estándares de la NOM-004-SSA3-2012, que establece un período mínimo de conservación de 5 años a partir de la última consulta.

PsiFlow implementa cifrado AES-256 en reposo y TLS 1.3 en tránsito para todos los datos de salud. Las políticas de seguridad a nivel de base de datos (Row Level Security) garantizan que cada consultorio solo puede acceder a sus propios expedientes.

6. PsiFlow como Encargado del tratamiento (datos de pacientes)

En la relación entre PsiFlow y los profesionales de salud que usan la plataforma, existen dos roles distintos bajo la LFPDPPP:

RolQuiénResponsabilidad principal
ResponsableEl Profesional de salud (psicólogo, médico, etc.)Decidir qué datos de pacientes se recaban, con qué finalidad y por cuánto tiempo. Recabar consentimientos. Responder derechos ARCO de sus pacientes.
EncargadoPsiFlowAlmacenar, proteger y procesar los datos según las instrucciones del Responsable. Nunca usar los datos de pacientes para fines propios.

PsiFlow y el Profesional celebran implícitamente un contrato de encargo del tratamiento al aceptar estos términos (Art. 50 del Reglamento de la LFPDPPP), mediante el cual PsiFlow se compromete a:

  • Tratar los datos de pacientes solo para prestar el Servicio contratado.
  • Implementar las medidas de seguridad descritas en la sección 9.
  • No subcontratar el tratamiento de datos sensibles sin notificación previa al Profesional.
  • Devolver o eliminar los datos al término de la relación contractual.

7. Transferencias a terceros y subprocesadores

Transferencias internacionales (Art. 36 LFPDPPP): PsiFlow utiliza Supabase (Amazon Web Services, región us-east-1, Virginia, EE.UU.) para el almacenamiento de la base de datos y autenticación, y Vercel Inc. para el alojamiento y entrega de la aplicación mediante nodos de red globales (incluyendo EE.UU. y UE). Estas transferencias se realizan bajo convenios de confidencialidad y Cláusulas Contractuales Tipo (CCT), conforme al Art. 36 LFPDPPP. Consulte la lista completa y actualizada de subprocesadores.

Para operar el Servicio, PsiFlow transfiere datos personales a los siguientes subprocesadores. Todas las transferencias se realizan bajo acuerdos contractuales que garantizan niveles de protección equivalentes o superiores a los exigidos por la LFPDPPP, incluyendo Cláusulas Contractuales Tipo (CCT) reconocidas internacionalmente:

ProveedorFinalidadUbicaciónMarco legal
Supabase Inc.Base de datos (PostgreSQL) y autenticaciónIrlanda (UE) / EE.UU.GDPR / CCT
Vercel Inc.Hosting y entrega de la aplicación (CDN)EE.UU. / UECCT / DPA
Resend Inc.Envío de correos transaccionalesEE.UU.DPA / CCT
Stripe Inc.Procesamiento de pagos y suscripcionesEE.UU. / Irlanda (UE)PCI-DSS / GDPR / CCT
Sentry (Functional Software)Monitoreo de errores (solo trazas técnicas, sin datos de pacientes)EE.UU.DPA / CCT

PsiFlow no vende, arrienda ni cede datos personales a terceros con fines comerciales o publicitarios. Las transferencias listadas se realizan exclusivamente para proveer el Servicio contratado y no requieren consentimiento adicional conforme al Art. 37, fracción II de la LFPDPPP (transferencias a encargados).

En caso de requerimiento de autoridad competente mexicana, PsiFlow notificará al Profesional afectado con la mayor anticipación posible, salvo que la ley prohíba expresamente dicha notificación.

8. Plazos de retención

Categoría de datoPlazo de retenciónFundamento
Datos de cuenta del ProfesionalMientras la cuenta esté activa + 30 días para exportaciónContrato de servicio
Expedientes clínicos de pacientesMínimo 5 años desde la última consultaNOM-004-SSA3-2012
Datos de facturación y CFDI5 años fiscalesCFF Art. 30
Bitácoras de auditoría clínica5 años desde el eventoNOM-004-SSA3-2012
Logs de seguridad (IP, sesiones)90 díasInterés legítimo / seguridad

Al vencimiento del plazo correspondiente, los datos son eliminados de forma segura mediante procedimientos de borrado irreversible. Los datos de expedientes en los que el Profesional haya ejercido el derecho de cancelación anticipada serán suprimidos dentro de los 30 días hábiles siguientes a la solicitud, salvo cuando exista obligación legal de conservación.

9. Medidas de seguridad

PsiFlow implementa medidas de seguridad administrativas, técnicas y físicas conforme al artículo 19 de la LFPDPPP y a las mejores prácticas de la industria:

Cifrado en tránsito

TLS 1.3 en todas las comunicaciones cliente–servidor.

Cifrado en reposo

AES-256 para datos almacenados en la base de datos.

Aislamiento de datos

Row Level Security (RLS) en PostgreSQL: cada consultorio solo accede a sus propios datos.

Autenticación segura

Cookies HttpOnly + SameSite=Strict. Soporte de verificación en dos pasos (OTP).

Auditoría clínica

Bitácora inmutable de cambios en expedientes (quién, qué, cuándo).

Monitoreo de errores

Sentry para detectar anomalías técnicas sin exponer datos de pacientes.

Política de contraseñas

Hashing bcrypt. No se almacenan contraseñas en texto claro.

Política de mínimo privilegio

Los tokens de API de subprocesadores tienen permisos mínimos necesarios.

En caso de brecha de seguridad que afecte datos personales, PsiFlow notificará al Profesional afectado y al INAI en los plazos establecidos por la LFPDPPP (Art. 20), detallando la naturaleza de la brecha, los datos comprometidos y las medidas correctivas adoptadas.

10. Derechos ARCO

Conforme a los artículos 22 al 27 de la LFPDPPP, el titular de los datos tiene derecho a:

A

Acceso

Conocer qué datos personales suyos tenemos, para qué los usamos y a quién se los hemos transferido.

R

Rectificación

Solicitar la corrección de datos inexactos o incompletos.

C

Cancelación

Solicitar la supresión de sus datos cuando ya no sean necesarios para la finalidad que motivó su tratamiento.

O

Oposición

Oponerse al tratamiento de sus datos para finalidades secundarias o cuando exista causa legítima.

Procedimiento para ejercer derechos ARCO:

Envíe su solicitud a privacidad@psiflow.mx con los siguientes datos:

  1. Nombre completo y correo electrónico registrado en la plataforma.
  2. Descripción clara del derecho que desea ejercer.
  3. Copia de identificación oficial vigente (INE, pasaporte).
  4. En caso de actuar por representación: poder notarial o carta poder simple con firma autógrafa.

PsiFlow responderá en un plazo máximo de 20 días hábiles a partir de la recepción de la solicitud completa, conforme al Art. 24 de la LFPDPPP.

Nota importante para pacientes: Si usted es paciente de un profesional que usa PsiFlow, los derechos ARCO sobre sus expedientes clínicos deben ejercerse directamente ante dicho profesional, quien es el Responsable primario de sus datos. PsiFlow puede orientarle sobre cómo contactar al profesional correspondiente.

11. Derecho de limitación y oposición al uso

Adicionalmente a los derechos ARCO, el titular puede solicitar en cualquier momento la limitación del uso y divulgación de sus datos personales (Art. 34 LFPDPPP), incluyendo:

  • Inscripción en el Registro Público para Evitar Publicidad (REPEP) ante la PROFECO, cuando aplique.
  • Solicitud directa a PsiFlow para no recibir comunicaciones de marketing o boletines.
  • Restricción del tratamiento para finalidades secundarias indicadas en la sección 3.

Las solicitudes de limitación se atienden en el mismo plazo y por los mismos canales que los derechos ARCO.

Adicionalmente, tiene derecho a oponerse al tratamiento de sus datos personales para finalidades secundarias específicas (análisis agregado, boletín informativo, mejoras del servicio) sin necesidad de cancelar su cuenta. Para ejercer este derecho de oposición granular, envíe un correo a privacidad@psiflow.mx especificando las finalidades a las que se opone. Le responderemos en un plazo máximo de 20 días hábiles.

12. Revocación del consentimiento

El titular puede revocar en cualquier momento el consentimiento otorgado para el tratamiento de sus datos personales, siempre que ello no resulte incompatible con una obligación legal de conservación (por ejemplo, el período mínimo de retención de expedientes clínicos establecido por la NOM-004-SSA3-2012).

Para revocar el consentimiento, el Profesional puede:

  • Eliminar su cuenta desde el panel de Configuración de la plataforma.
  • Enviar una solicitud formal a privacidad@psiflow.mx.

La revocación del consentimiento no afecta la licitud del tratamiento realizado con anterioridad (Art. 8, último párrafo, LFPDPPP). Antes de la eliminación definitiva, PsiFlow ofrecerá una ventana de 30 días para exportar todos los datos en formato PDF y/o CSV.

13. Uso de cookies y tecnologías de seguimiento

PsiFlow utiliza únicamente cookies estrictamente necesarias para el funcionamiento del Servicio. No se utilizan cookies de rastreo, publicidad comportamental ni analítica de terceros que permitan construir perfiles de usuario.

CookieFinalidadCaducidad
sb-[project]-auth-tokenSesión autenticada (Supabase Auth)Al cerrar sesión
sb-[project]-auth-token-code-verifierVerificación PKCE en flujo de autenticaciónSesión de navegador

Todas las cookies de sesión son HttpOnly, Secure y SameSite=Lax, lo que las hace resistentes a ataques XSS y CSRF. No es posible deshabilitarlas sin perder acceso al Servicio.

14. Cambios al aviso de privacidad

PsiFlow puede modificar el presente Aviso de Privacidad cuando sea necesario para reflejar cambios en el Servicio, en la legislación aplicable o en las prácticas de tratamiento de datos.

Cuando los cambios sean materiales (por ejemplo, una nueva categoría de datos, una nueva transferencia a terceros, o un cambio en las finalidades primarias), PsiFlow notificará al Profesional por correo electrónico con al menos 15 días de anticipación a la entrada en vigor del nuevo aviso.

El aviso actualizado estará siempre disponible en psiflow.mx/privacidad con la fecha de última actualización indicada al inicio del documento. El uso continuado del Servicio tras la fecha de vigencia constituye aceptación del aviso actualizado.

15. Autoridad competente — INAI

Si considera que su solicitud de ejercicio de derechos ARCO no fue atendida en tiempo y forma, o que sus datos personales están siendo tratados de forma contraria a la LFPDPPP, puede presentar una queja o denuncia ante el:

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)

Sitio web: www.inai.org.mx

Sistema de atención en línea: Ventanilla Única de Transparencia (VUT)

PsiFlow — Aviso de Privacidad Integral

Fecha de última actualización: 10 de marzo de 2026 · Versión 1.0

Contacto: privacidad@psiflow.mx