Última actualización: 2026-05-13
Aviso de privacidad integral
Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) reformada por Decreto del Diario Oficial de la Federación del 20 de marzo de 2025, su Reglamento, y los Lineamientos del Aviso de Privacidad.
Identidad y domicilio del responsable
Saria es una plataforma operada en la Ciudad de México que provee a profesionales independientes de la salud (los “Doctores”) un asistente conversacional vía WhatsApp para la gestión de citas con sus pacientes.
El Responsable del tratamiento de datos es Romero Trust Capital, S.A.P.I. de C.V., sociedad operadora del nombre comercial Saria, con domicilio en Calle Belisario Domínguez No. Ext. 290, Colonia Centro, C.P. 23000, La Paz, Baja California Sur, México.
Para cualquier asunto relacionado con privacidad o para ejercer tus derechos ARCO, usa el formulario en línea en /aviso-privacidad/arco o escríbenos por WhatsApp al número con el que ya conversas con Saria.
Roles bajo la LFPDPPP
Saria actúa con un doble rol según el titular de los datos:
- Encargado respecto a los datos personales de los pacientes que el Doctor (Responsable del tratamiento) trata a través de la plataforma. Los pacientes ejercen sus derechos ARCO ante el Doctor; Saria opera bajo las instrucciones documentadas del Doctor.
- Responsable respecto a los datos personales del Doctor (nuestro cliente directo) y de los visitantes del sitio web.
La relación Doctor↔Saria se regula por un Contrato de Encargo de Tratamiento (DPA) que el Doctor acepta al contratar el servicio.
Datos personales que tratamos
De pacientes: nombre, número de teléfono móvil (formato E.164), mensajes de WhatsApp (texto y audio), fechas y hora de citas, motivo de consulta libre, e información que voluntariamente compartan en la conversación. Opcionalmente: RFC (para CFDI nominativo) si el paciente realiza un cobro al Doctor.
De doctores: nombre, correo electrónico, teléfono, especialidad médica, cédula profesional, datos del consultorio, datos de facturación (RFC, dirección fiscal, régimen fiscal, uso CFDI), credenciales de autenticación, y datos de método de pago tokenizados por Stripe.
De visitantes del sitio: dirección IP, agente de usuario, cookies estrictamente necesarias.
Datos sensibles: Saria no solicita ni almacena estructuradamente datos clínicos (diagnósticos, recetas, sintomatología). Los mensajes que un paciente comparta voluntariamente quedan únicamente como texto libre asociado a la conversación, etiquetados “informativos, no clínicos”. Este enfoque mantiene a Saria fuera del alcance de la NOM-024-SSA3-2012.
Finalidades del tratamiento
Finalidades primarias (necesarias para la prestación del servicio; tu consentimiento al continuar es indispensable):
- Agendar, reagendar, cancelar y confirmar citas.
- Enviar recordatorios 24 horas antes de la cita.
- Sincronizar la agenda con el calendario del Doctor.
- Escalar al Doctor cuando una conversación requiera juicio clínico humano.
- Facturación, cobro de la suscripción y emisión de CFDI.
- Procesamiento de cobros entre paciente y Doctor (cuando aplica) vía Stripe Connect.
- Notificaciones operativas relacionadas con tu cita o tu cuenta.
Finalidades secundarias (NO necesarias para el servicio; requieren tu consentimiento explícito separado y puedes revocarlas de forma independiente sin afectar las finalidades primarias):
- Mejora de la calidad del asistente mediante análisis agregado y anonimizado de interacciones.
- Comunicaciones comerciales sobre nuevas funciones (sólo doctores que opten activamente).
La reforma del 20 de marzo de 2025 a la LFPDPPP establece que las finalidades primarias y secundarias requieren mecanismos de consentimiento y revocación independientes. Puedes revocar tu consentimiento a las finalidades secundarias en cualquier momento sin afectar la operación del servicio principal (ver sección “Revocación del consentimiento”).
Transferencias nacionales e internacionales
Para operar el servicio, transferimos tus datos a los siguientes terceros que actúan como subencargados de tratamiento. La mayoría opera infraestructura en Estados Unidos de América. Estas transferencias están protegidas por:
- Acuerdos contractuales de encargo de tratamiento (DPAs) con cada subencargado;
- Certificaciones internacionales del subencargado (SOC 2 Type II, ISO 27001, PCI DSS según aplique);
- Mecanismos de cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
Subencargados y finalidad de la transferencia:
| Subencargado | País | Finalidad |
|---|---|---|
| Meta Platforms (WhatsApp Cloud API) | EE.UU. | Entrega de mensajes WhatsApp |
| Anthropic (Claude) | EE.UU. | Generación de respuestas conversacionales |
| OpenAI (Whisper) | EE.UU. | Transcripción de audios |
| Google (Calendar API + OAuth) | EE.UU. / multi-región | Sincronización de agenda |
| Stripe + Stripe Connect | EE.UU. | Procesamiento de pagos |
| Facturapi | México | Emisión de CFDI 4.0 |
| Supabase | EE.UU. | Base de datos y almacenamiento |
| Vercel | EE.UU. / multi-región | Hospedaje de sitio web y aplicaciones |
| Clerk | EE.UU. | Autenticación de doctores |
| Inngest | EE.UU. | Orquestación de procesos en segundo plano |
| Resend | EE.UU. | Correo transaccional |
| Sentry y Axiom | EE.UU. | Monitoreo, errores y auditoría |
Conforme al artículo 37 de la LFPDPPP, estas transferencias son indispensables para la prestación del servicio que has solicitado y no requieren tu consentimiento adicional. Si deseas oponerte a una transferencia específica, tu objeción puede implicar la imposibilidad de continuar con el servicio principal.
Conservación de datos
Conservamos tus datos por el tiempo que dure tu relación con el Doctor o con Saria, más los plazos legales aplicables:
- CFDIs emitidos: 5 años (obligación fiscal SAT, CFF Art. 30).
- Registros de pago y facturación: 5 años.
- Audios de WhatsApp: 90 días post-conversación; después se eliminan automáticamente.
- Registros de consentimiento (ConsentRecord): 5 años post-cancelación (Reglamento LFPDPPP Art. 61.II — evidencia del cumplimiento del aviso).
- Logs de auditoría: 12 meses para eventos operativos, 5 años para eventos relacionados con accesos a datos personales.
- Mensajes de WhatsApp (texto): mientras dure la relación con el Doctor o hasta que ejerzas tu derecho de cancelación.
- Backups: 7-30 días en la infraestructura de Supabase (point-in-time recovery).
Después de los plazos legales, los datos se eliminan de manera segura. Cuando la eliminación no es posible por obligación legal (e.g. CFDIs fiscales), los registros se anonimizan en la medida de lo posible.
Tus derechos ARCO
En cualquier momento puedes ejercer tus derechos de Acceso, Rectificación, Cancelación y Oposición sobre tus datos personales:
- Vía WhatsApp: envía la palabra exacta
MIS DATOSal número con el que ya conversas con Saria. Recibirás un enlace al formulario web para completar tu solicitud. - Vía formulario web: /aviso-privacidad/arco.
Para acreditar tu identidad como titular, te solicitaremos copia de tu identificación oficial (INE, IFE, pasaporte o cédula profesional) y validaremos contra tu número telefónico registrado. Recibirás respuesta en hasta 20 días hábiles conforme al artículo 32 de la LFPDPPP. Este plazo puede prorrogarse por 20 días hábiles adicionales en casos excepcionales debidamente notificados.
Representación: si un tercero ejerce derechos ARCO en tu nombre (apoderado legal, tutor, padre o madre en caso de menor de edad), deberá presentar carta poder simple, poder notarial o documento equivalente que acredite la representación.
Solicitudes para datos de pacientes de un Doctor: si eres paciente y deseas ejercer ARCO sobre datos que tu Doctor trata a través de Saria, tu Doctor es el Responsable y atiende tu solicitud directamente. Saria, como Encargado, ejecuta las operaciones técnicas bajo instrucción del Doctor.
Revocación del consentimiento
Puedes revocar tu consentimiento en cualquier momento:
- Revocación total (cancela toda la atención por Saria): envía
ALTOpor WhatsApp. A partir de ese momento Saria dejará de procesar mensajes tuyos. - Revocación de finalidades secundarias (mantienes el servicio principal): solicítalo mediante el formulario en línea o por WhatsApp, indicando qué finalidad secundaria deseas revocar.
La revocación de finalidades primarias implica la imposibilidad de continuar con el servicio principal (no podemos agendar tus citas sin tu consentimiento al tratamiento de tus datos básicos).
Menores de edad
Saria no recolecta intencionalmente datos personales de menores de 18 años. Si eres menor de edad y deseas usar el servicio del Doctor que te atiende, requerimos el consentimiento de tu padre, madre, tutor o representante legal. Si detectas que un menor de edad ha interactuado con Saria sin este consentimiento, contáctanos por WhatsApp o mediante el formulario en línea para tomar las medidas correspondientes.
Seguridad
Implementamos medidas administrativas, físicas y técnicas para proteger tus datos conforme al Reglamento LFPDPPP, Artículos 60-65:
- Cifrado en tránsito (HTTPS/TLS 1.2+) en todos los endpoints.
- Cifrado en reposo (AES-256) en la base de datos y archivos.
- Autenticación multi-factor para los doctores; autenticación por firma digital de mensajes WhatsApp para identificación de pacientes.
- Validación de firma criptográfica en todos los webhooks (Meta, Stripe, Clerk).
- Aislamiento por inquilino (multi-tenancy) mediante Row-Level Security en la base de datos.
- Monitoreo continuo de eventos de seguridad (Sentry + Axiom).
- Backups automáticos diarios y procedimiento de recuperación.
El detalle completo está documentado en nuestro Documento de Seguridad interno, disponible para autoridades regulatorias y socios bajo solicitud justificada.
Notificación de vulneraciones
En el caso poco probable de una vulneración de seguridad que afecte de forma significativa tus derechos patrimoniales o morales, notificaremos al titular sin demora indebida, conforme al artículo 20 de la LFPDPPP, mediante:
- Correo electrónico al titular afectado;
- SMS o mensaje WhatsApp, cuando el correo no esté disponible;
- Aviso público en
saria.health/seguridadcuando la afectación sea masiva.
La notificación incluirá: naturaleza del incidente, datos comprometidos, recomendaciones para protegerte, y acciones correctivas implementadas.
Cambios al aviso
Publicaremos cualquier modificación a este aviso en esta misma página. La versión vigente siempre se indica en “Última actualización” al inicio.
Cuando el cambio sea material (afecte finalidades, transferencias, datos sensibles, o derechos del titular), te lo notificaremos por WhatsApp o correo electrónico y podremos requerir que vuelvas a otorgar tu consentimiento.
Autoridad regulatoria
Si consideras que tus derechos no fueron atendidos correctamente, puedes presentar una queja ante la autoridad regulatoria mexicana competente en materia de protección de datos personales.