Consentimiento para el Tratamiento de Datos Personales Sensibles

Docsa Health

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)

---

Identificación del Responsable

Responsable: Dmitrii Fedorov Operando bajo el régimen RESICO de Persona Física

Correo electrónico para asuntos de privacidad: privacy@docsa.health

Sitio web: https://docsa.health/

---

1. Declaraciones Previas

Docsa Health es una plataforma de expedientes médicos personales que permite a los usuarios almacenar, organizar y compartir su información de salud de manera segura.

De conformidad con los artículos 8 y 9 de la LFPDPPP, el tratamiento de datos personales sensibles requiere el consentimiento expreso y por escrito del titular.

Los datos personales sensibles son aquellos que afectan la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.

---

2. Datos Personales que se Recaban

2.1 Datos de Identificación

Dato	Propósito
Nombre completo	Identificación de la cuenta
Fecha de nacimiento	Identificación y cálculo de edad
Dirección	Contacto y facturación
Correo electrónico	Comunicaciones y acceso a cuenta
Número de teléfono	Comunicaciones, MFA, recordatorios
CURP	Identificación oficial
INE u otra identificación	Verificación de identidad

2.2 Datos Personales Sensibles

IMPORTANTE: Los siguientes datos son considerados SENSIBLES conforme a la LFPDPPP:

Categoría	Datos Específicos
Estado de Salud	Diagnósticos, padecimientos actuales y pasados, condiciones crónicas
Historia Clínica	Antecedentes médicos personales y familiares, cirugías, hospitalizaciones
Alergias	Alergias a medicamentos, alimentos, sustancias
Resultados de Laboratorio	Análisis de sangre, orina, estudios de imagen, biopsias
Recetas y Medicamentos	Prescripciones médicas, dosis, tratamientos en curso
Información Genética	Pruebas genéticas, predisposiciones hereditarias (si aplica)
Salud Mental	Diagnósticos psicológicos o psiquiátricos (si aplica)
Información de Seguros de Salud	Pólizas, cobertura médica, reclamaciones
Datos Biométricos de Salud	Signos vitales, datos de dispositivos portátiles

---

3. Finalidades del Tratamiento

3.1 Finalidades Primarias (Necesarias para el Servicio)

Trataremos sus datos personales sensibles para las siguientes finalidades necesarias:

#	Finalidad
1	Almacenar y organizar su expediente médico personal
2	Mostrar su información de salud en la plataforma
3	Procesar datos recibidos de instituciones de salud
4	Enviar recordatorios de citas médicas, medicamentos y procedimientos
5	Proporcionar acceso de emergencia a personal médico según su configuración
6	Facilitar la compartición de datos con terceros que usted autorice expresamente
7	Atender solicitudes de soporte relacionadas con sus datos de salud
8	Cumplir con obligaciones legales y regulatorias aplicables

3.2 Finalidades Secundarias (Opcionales - Requieren Consentimiento Adicional)

Las siguientes finalidades NO son necesarias para la prestación del servicio básico:

#	Finalidad	Descripción
1	OCR de Documentos	Usar inteligencia artificial para extraer texto de documentos escaneados
2	Clasificación Automática	Usar IA para categorizar automáticamente sus documentos médicos
3	Traducción de Documentos	Usar IA para traducir documentos médicos entre idiomas
4	Transcripción de Audio	Usar IA para transcribir grabaciones de consultas médicas
5	Generación de Correspondencia	Usar IA para redactar comunicaciones con proveedores de salud

Nota: El procesamiento con inteligencia artificial NO almacena ni acumula sus datos más allá de la tarea inmediata. Los sistemas de IA no tienen acceso permanente a su información.

---

4. Aviso sobre Inteligencia Artificial

ADVERTENCIA IMPORTANTE

El contenido generado por inteligencia artificial:

• NO constituye asesoramiento médico
• NO reemplaza la consulta con profesionales de salud
• Puede contener errores o inexactitudes
• NO debe usarse para tomar decisiones médicas

SIEMPRE consulte con un profesional de la salud calificado antes de tomar cualquier decisión médica.

---

5. Transferencias de Datos

5.1 Transferencias con Consentimiento

Sus datos personales sensibles podrán ser transferidos a:

Destinatario	Propósito
Proveedores de salud que usted designe	Compartir expediente médico
Familiares o cuidadores que usted autorice	Acceso a información de salud
Personal médico de emergencia	Acceso de emergencia (si lo configura)

5.2 Transferencias sin Consentimiento (Art. 37 LFPDPPP)

Destinatario	Propósito	Contrato
Amazon Web Services	Almacenamiento, procesamiento AI	Business Associate Agreement
Cloudflare	Seguridad, entrega de contenido	Business Associate Agreement
Autoridades competentes	Cumplimiento de obligaciones legales	N/A

5.3 Transferencias Internacionales

Sus datos pueden ser transferidos a Estados Unidos para su procesamiento. SMARTAUTOMATICA LLC (Delaware, EE.UU.) puede recibir y procesar datos como parte de la operación del servicio.

---

6. Medidas de Seguridad

Implementamos las siguientes medidas para proteger sus datos sensibles:

Medida	Descripción
Cifrado AES-256	Todos los datos se cifran en reposo
SSL/TLS	Todas las comunicaciones se cifran en tránsito
VPN	Túneles seguros para transferencias de datos
Control de Acceso	Acceso basado en roles con mínimo privilegio
MFA	Autenticación multifactor disponible
Monitoreo 24/7	Vigilancia continua de seguridad
Centro de Datos en México	Almacenamiento primario para usuarios mexicanos

---

7. Derechos ARCO

Usted tiene derecho a:

Derecho	Descripción	Cómo Ejercerlo
Acceso	Conocer sus datos y cómo se tratan	Solicitud a privacy@docsa.health
Rectificación	Corregir datos inexactos	Solicitud a privacy@docsa.health
Cancelación	Solicitar eliminación de datos	Solicitud a privacy@docsa.health
Oposición	Oponerse al tratamiento	Solicitud a privacy@docsa.health

Plazo de respuesta: 20 días hábiles desde la recepción de la solicitud.

---

8. Revocación del Consentimiento

Usted puede revocar su consentimiento en cualquier momento enviando un correo a privacy@docsa.health con el asunto “Revocación de Consentimiento”.

Efectos de la revocación:

• La revocación de finalidades secundarias no afecta el servicio básico
• La revocación total implica la eliminación de su cuenta en 30 días
• La revocación no tiene efectos retroactivos

---

9. Conservación de Datos

Escenario	Plazo
Cuenta activa	Durante la vigencia de la cuenta
Eliminación solicitada	30 días
Datos de instituciones de salud	Hasta 6 años
Cuentas inactivas	Hasta 6 años

---

10. Autoridad Competente

Para quejas o denuncias, puede acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI):

INAI www.inai.org.mx Teléfono: 800 835 4324

---

11. Formulario de Consentimiento

Consentimiento para Datos Personales Sensibles

Yo, el Titular de los datos, declaro que:

☐ He leído y comprendido el presente documento de consentimiento

☐ He leído y comprendido el Aviso de Privacidad de Docsa Health

☐ Entiendo que mis datos de salud son considerados datos personales sensibles

☐ OTORGO MI CONSENTIMIENTO EXPRESO para el tratamiento de mis datos personales sensibles para las finalidades primarias descritas en la Sección 3.1

---

Consentimiento para Finalidades Secundarias (Opcional)

Marque las casillas de las finalidades secundarias para las cuales otorga su consentimiento:

☐ OCR de Documentos con Inteligencia Artificial

☐ Clasificación Automática con Inteligencia Artificial

☐ Traducción de Documentos con Inteligencia Artificial

☐ Transcripción de Audio con Inteligencia Artificial

☐ Generación de Correspondencia con Inteligencia Artificial

---

Consentimiento para Transferencias

☐ OTORGO MI CONSENTIMIENTO para la transferencia de mis datos personales sensibles a los destinatarios indicados en la Sección 5, incluyendo transferencias internacionales a Estados Unidos

---

12. Constancia de Consentimiento Digital

Al crear una cuenta en Docsa Health y aceptar este documento mediante la interfaz de la plataforma, usted:

1. Manifiesta su consentimiento expreso y por escrito para el tratamiento de sus datos personales sensibles
2. Reconoce haber sido informado sobre las finalidades, transferencias y derechos relacionados con sus datos
3. Acepta los términos del Aviso de Privacidad de Docsa Health

Este consentimiento se registra electrónicamente con:

• Fecha y hora de aceptación
• Dirección IP
• Versión del documento aceptado
• Identificador único de la sesión

---

Documento versión: 1.0 Fecha de última actualización: 20 de enero de 2025

Consent for the Processing of Sensitive Personal Data

Docsa Health

In Compliance with the Federal Law on Protection of Personal Data Held by Private Parties (LFPDPPP)

---

Identification of the Data Controller

Data Controller (Responsable): Dmitrii Fedorov Operating under RESICO PF regime

Email for privacy matters: privacy@docsa.health

Website: https://docsa.health/

---

1. Preliminary Statements

Docsa Health is a personal health records platform that allows users to securely store, organize, and share their health information.

In accordance with Articles 8 and 9 of the LFPDPPP, the processing of sensitive personal data requires the express written consent of the data subject.

Sensitive personal data refers to data that affects the most intimate sphere of the data subject, or whose improper use could give rise to discrimination or pose a serious risk to the individual.

---

2. Personal Data Collected

2.1 Identification Data

Data	Purpose
Full name	Account identification
Date of birth	Identification and age calculation
Address	Contact and billing
Email address	Communications and account access
Phone number	Communications, MFA, reminders
CURP	Official identification (Mexico)
INE or other identification	Identity verification

2.2 Sensitive Personal Data

IMPORTANT: The following data is considered SENSITIVE under the LFPDPPP:

Category	Specific Data
Health Status	Diagnoses, current and past conditions, chronic illnesses
Medical History	Personal and family medical history, surgeries, hospitalizations
Allergies	Allergies to medications, foods, substances
Laboratory Results	Blood tests, urinalysis, imaging studies, biopsies
Prescriptions and Medications	Medical prescriptions, dosages, ongoing treatments
Genetic Information	Genetic tests, hereditary predispositions (if applicable)
Mental Health	Psychological or psychiatric diagnoses (if applicable)
Health Insurance Information	Policies, medical coverage, claims
Biometric Health Data	Vital signs, wearable device data

---

3. Purposes of Processing

3.1 Primary Purposes (Necessary for Service Delivery)

We will process your sensitive personal data for the following necessary purposes:

#	Purpose
1	Store and organize your personal medical records
2	Display your health information on the platform
3	Process data received from healthcare institutions
4	Send reminders for medical appointments, medications, and procedures
5	Provide emergency access to medical personnel as configured by you
6	Facilitate data sharing with third parties you expressly authorize
7	Respond to support requests related to your health data
8	Comply with applicable legal and regulatory obligations

3.2 Secondary Purposes (Optional - Require Additional Consent)

The following purposes are NOT necessary for basic service delivery:

#	Purpose	Description
1	Document OCR	Use artificial intelligence to extract text from scanned documents
2	Automatic Classification	Use AI to automatically categorize your medical documents
3	Document Translation	Use AI to translate medical documents between languages
4	Audio Transcription	Use AI to transcribe recordings of medical consultations
5	Correspondence Generation	Use AI to draft communications with healthcare providers

Note: AI processing does NOT store or accumulate your data beyond the immediate task. AI systems do not have permanent access to your information.

---

4. Artificial Intelligence Disclaimer

IMPORTANT WARNING

Content generated by artificial intelligence:

• Does NOT constitute medical advice
• Does NOT replace consultation with healthcare professionals
• May contain errors or inaccuracies
• Should NOT be used to make medical decisions

ALWAYS consult with a qualified healthcare professional before making any medical decisions.

---

5. Data Transfers

5.1 Transfers with Consent

Your sensitive personal data may be transferred to:

Recipient	Purpose
Healthcare providers you designate	Share medical records
Family members or caregivers you authorize	Access to health information
Emergency medical personnel	Emergency access (if configured)

5.2 Transfers without Consent (Art. 37 LFPDPPP)

Recipient	Purpose	Contract
Amazon Web Services	Storage, AI processing	Business Associate Agreement
Cloudflare	Security, content delivery	Business Associate Agreement
Competent authorities	Compliance with legal obligations	N/A

5.3 International Transfers

Your data may be transferred to the United States for processing. SMARTAUTOMATICA LLC (Delaware, USA) may receive and process data as part of service operations.

---

6. Security Measures

We implement the following measures to protect your sensitive data:

Measure	Description
AES-256 Encryption	All data is encrypted at rest
SSL/TLS	All communications are encrypted in transit
VPN	Secure tunnels for data transfers
Access Control	Role-based access with least privilege
MFA	Multi-factor authentication available
24/7 Monitoring	Continuous security monitoring
Data Center in Mexico	Primary storage for Mexican users

---

7. ARCO Rights

You have the right to:

Right	Description	How to Exercise
Access	Know your data and how it is processed	Request to privacy@docsa.health
Rectification	Correct inaccurate data	Request to privacy@docsa.health
Cancellation	Request data deletion	Request to privacy@docsa.health
Opposition	Object to processing	Request to privacy@docsa.health

Response time: 20 business days from receipt of request.

---

8. Withdrawal of Consent

You may withdraw your consent at any time by sending an email to privacy@docsa.health with the subject line “Consent Withdrawal.”

Effects of withdrawal:

• Withdrawal of secondary purposes does not affect basic service
• Total withdrawal implies account deletion within 30 days
• Withdrawal does not have retroactive effects

---

9. Data Retention

Scenario	Period
Active account	Duration of account
Deletion requested	30 days
Data from healthcare institutions	Up to 6 years
Inactive accounts	Up to 6 years

---

10. Competent Authority

For complaints or claims, you may contact the National Institute for Transparency, Access to Information and Protection of Personal Data (INAI):

INAI www.inai.org.mx Phone: 800 835 4324

---

11. Consent Form

Consent for Sensitive Personal Data

I, the Data Subject, declare that:

☐ I have read and understood this consent document

☐ I have read and understood the Privacy Notice of Docsa Health

☐ I understand that my health data is considered sensitive personal data

☐ I GRANT MY EXPRESS CONSENT for the processing of my sensitive personal data for the primary purposes described in Section 3.1

---

Consent for Secondary Purposes (Optional)

Check the boxes for the secondary purposes for which you grant consent:

☐ Document OCR with Artificial Intelligence

☐ Automatic Classification with Artificial Intelligence

☐ Document Translation with Artificial Intelligence

☐ Audio Transcription with Artificial Intelligence

☐ Correspondence Generation with Artificial Intelligence

---

Consent for Transfers

☐ I GRANT MY CONSENT for the transfer of my sensitive personal data to the recipients indicated in Section 5, including international transfers to the United States

---

12. Digital Consent Record

By creating an account on Docsa Health and accepting this document through the platform interface, you:

1. Express your explicit written consent for the processing of your sensitive personal data
2. Acknowledge that you have been informed about the purposes, transfers, and rights related to your data
3. Accept the terms of the Docsa Health Privacy Notice

This consent is electronically recorded with:

• Date and time of acceptance
• IP address
• Version of document accepted
• Unique session identifier

---

Document version: 1.0 Last update date: January 20, 2025