Política de Privacidad

1. Introducción

1.1 Sobre KinBé

KinBé es una plataforma de gestión administrativa diseñada exclusivamente para profesionales de salud mental (psicólogos, psicoterapeutas, consejeros y clínicas de psicología) en México.

Responsabilidad clínica: KinBé es una herramienta administrativa. Toda responsabilidad clínica (diagnósticos, tratamientos, decisiones terapéuticas) recae exclusivamente en el profesional de salud mental que utiliza la plataforma, no en KinBé.

1.2 Alcance de esta política

Esta Política de Privacidad explica:

• Qué datos personales procesamos de profesionales de salud mental (nuestros clientes directos)
• Qué datos personales procesamos de pacientes (usuarios finales del servicio del profesional)
• Cómo protegemos la información de salud conforme a regulaciones mexicanas
• Tus derechos sobre tus datos personales

1.3 Aceptación de esta política

Si eres un profesional de salud mental:

Al registrarte en KinBé, aceptas esta Política de Privacidad y los Términos de Servicio. Eres responsable de:

• Informar a tus pacientes sobre el uso de KinBé
• Obtener consentimientos necesarios conforme a la Ley General de Salud y NOM-004
• Gestionar derechos ARCO de tus pacientes
• Cumplir con obligaciones de confidencialidad profesional

Si eres un paciente:

Accedes a funcionalidades limitadas de KinBé (agenda, diario compartido, mensajes) a través de tu profesional de salud mental. Tu profesional es responsable de:

• Explicarte cómo se usa KinBé en tu tratamiento
• Obtener tu consentimiento para usar herramientas digitales
• Proteger tu información conforme a regulaciones de salud
• Gestionar tus derechos sobre tus datos

Tu relación de tratamiento es con el profesional, no con KinBé.

2. Responsable del Tratamiento

El responsable del tratamiento de datos personales conforme a la LFPDPPP es:

• Razón Social: José Rogelio Corona Solís (persona física con actividad empresarial, operando como KinBé)
• RFC: COSR880916FXA
• Representante Legal: José Rogelio Corona Solís
• Domicilio: Santiago de Querétaro, Querétaro, México
• Email de contacto: legal@coronaee.com.mx

2.2 Responsables y Encargados según LFPDPPP

Implicación práctica:

Cuando KinBé actúa como ENCARGADO:

• El profesional de salud mental es el RESPONSABLE legal de los datos de sus pacientes
• KinBé solo procesa esos datos siguiendo instrucciones del profesional
• El profesional debe obtener consentimientos y gestionar derechos ARCO
• KinBé proporciona herramientas técnicas para cumplir con estas obligaciones

Contrato de Encargado: Al registrarte como profesional, aceptas las Cláusulas de Encargado del Tratamiento incluidas en los Términos de Servicio, que cumplen con Art. 36 de la LFPDPPP.

3. Datos personales que recopilamos

3.1 Datos de profesionales de salud mental (nuestros clientes)

Cuando te registras y usas KinBé como profesional, recopilamos:

A) Información de registro:

• Nombre completo
• Correo electrónico profesional
• Número de teléfono
• Cédula profesional (obligatorio para verificación)
• Especialidad y certificaciones
• Afiliaciones a colegios profesionales (opcional)
• Contraseña (almacenada con hash bcrypt, nunca en texto plano)

B) Información de facturación:

• RFC (Registro Federal de Contribuyentes)
• Razón social o nombre fiscal
• Domicilio fiscal
• Certificado de Sello Digital (CSD) para facturación
• Método de pago (tarjeta de crédito tokenizada vía Stripe)
• Historial de facturación y pagos

C) Información de uso:

• Logs de acceso (IP, dispositivo, navegador)
• Funcionalidades utilizadas
• Tiempo de uso de la plataforma
• Interacciones con soporte técnico
• Configuraciones y preferencias

D) Información profesional voluntaria:

• Foto de perfil
• Biografía profesional
• Servicios que ofreces
• Tarifas (si compartes)
• Horarios de disponibilidad

3.2 Datos de pacientes (usuarios finales del profesional)

A) Información básica del paciente:

• Nombre completo
• Fecha de nacimiento o edad
• Género (opcional)
• Correo electrónico (opcional, para recordatorios)
• Teléfono (opcional, para recordatorios vía WhatsApp)

B) Información de salud mental (expediente clínico):

• Motivo de consulta
• Historia clínica
• Antecedentes personales y familiares
• Diagnóstico(s) conforme a CIE-10/DSM-5 (registrado por profesional)
• Plan de tratamiento
• Notas de evolución por sesión
• Escalas de evaluación aplicadas
• Transcripciones de sesiones (si el profesional activa esta funcionalidad)
• Archivo de documentos (estudios previos, reportes)

C) Información de agenda:

• Historial de citas (fechas, horas, duración)
• Asistencias y cancelaciones
• Notas administrativas relacionadas con citas

D) Información del diario compartido:

• Entradas de diario escritas por el paciente
• Comentarios del profesional
• Recursos compartidos
• Tareas o ejercicios asignados

3.3 Datos sensibles y su protección especial

Datos de salud = datos sensibles: Toda información de salud mental de pacientes es considerada dato personal sensible conforme al Art. 3, fracción VI de la LFPDPPP.

Cumplimiento de secreto profesional: KinBé está diseñado para ayudar al profesional a cumplir con el secreto profesional conforme a:

• Ley General de Salud (Art. 51 Bis)
• Código Ético de la profesión
• Obligaciones del Colegio de Psicólogos correspondiente

Los empleados de KinBé que puedan tener acceso a información de pacientes (solo soporte técnico en casos excepcionales) firman acuerdos de confidencialidad.

4. Información del Responsable

5. Finalidades del Tratamiento

Procesamos datos personales para las siguientes finalidades:

5.1 Finalidades primarias (necesarias para el servicio)

• Proporcionar acceso y funcionamiento de la plataforma KinBé
• Gestión de expedientes clínicos conforme a NOM-004
• Procesamiento de pagos y facturación CFDI
• Comunicación entre profesionales y pacientes
• Soporte técnico y atención al cliente
• Cumplimiento de obligaciones legales y fiscales
• Seguridad de la plataforma y prevención de fraudes

5.2 Finalidades secundarias (requieren consentimiento adicional)

• Análisis con IA para organizar información clínica
• Transcripción automática de sesiones
• Envío de comunicaciones de marketing
• Análisis de uso para mejorar la plataforma
• Estudios estadísticos agregados y anónimos

Puedes oponerte al tratamiento para finalidades secundarias sin que esto afecte el servicio principal.

6. Consentimiento para el tratamiento de datos personales

6.1 Consentimiento de profesionales de salud mental

Consentimientos opcionales:

Puedes activar o desactivar en cualquier momento:

• ✅ Procesamiento con IA (transcripción, análisis de notas)
• ✅ Comunicaciones de marketing
• ✅ Compartir estadísticas anónimas para investigación

Cómo modificar tu consentimiento: Configuración > Privacidad > Gestionar Consentimientos

6.2 Consentimiento de pacientes (obtenido por el profesional)

Elementos mínimos del consentimiento:

1. Uso de plataforma digital:

   "Autorizo a mi profesional tratante a utilizar la plataforma digital KinBé para gestionar mi expediente clínico, agendar citas y comunicarse conmigo conforme a las regulaciones de protección de datos personales y NOM-004-SSA3-2012."

2. Almacenamiento digital:

   "Entiendo que mi información de salud será almacenada de forma cifrada en servidores ubicados en Estados Unidos, bajo medidas de seguridad técnicas y administrativas que protegen mi privacidad."

3. Funcionalidades específicas (si aplican):

   Si el profesional usará transcripción:

   "Autorizo la grabación de audio de sesiones y su transcripción mediante proveedor tecnológico en Estados Unidos (Soniox) bajo acuerdo de confidencialidad HIPAA. Entiendo que el audio será eliminado cuando mi terapeuta lo aplique y solo el texto transcrito se conservará en mi expediente."

   Si el profesional usará análisis con IA:

   "Autorizo el uso de herramientas de inteligencia artificial para organizar y analizar información de mi expediente clínico. Entiendo que la información enviada a estos sistemas será desidentificada (sin mi nombre real) y que toda decisión clínica la toma mi profesional, no una máquina."

   Si se enviarán recordatorios:

   "Autorizo recibir recordatorios de citas vía correo electrónico y/o WhatsApp al contacto que proporcioné."

4. Derechos ARCO:

   "Entiendo que puedo ejercer mis derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) sobre mi información contactando a mi profesional tratante y, adicionalmente, al correo legal@coronaee.com.mx."

Verificación de consentimiento: Antes de activar funcionalidades sensibles (transcripción, IA), KinBé solicita al profesional confirmar: "☑️ Confirmo que obtuve consentimiento informado del paciente para esta funcionalidad"

6.3 Revocación de consentimiento

Profesionales:

Puedes cerrar tu cuenta en cualquier momento:

• Configuración > Cuenta > "Cerrar cuenta y exportar datos"
• Tus datos de facturación se conservarán 5 años (obligación fiscal)
• Datos clínicos de tus pacientes se te entregan para tu resguardo

Pacientes:

Para revocar consentimiento, contacta directamente a tu profesional de salud mental. Este puede:

• Eliminar tu información de KinBé
• Exportarla para conservarla de otra forma
• Transferirla a otro sistema si cambias de terapeuta

6.4 Consentimiento para procesamiento internacional

Aplicable a transcripción con Soniox y análisis con IA: Si el profesional activa funcionalidades que requieren procesamiento en Estados Unidos:

1. Información previa al paciente: El profesional debe informar específicamente que:
   • Audio o texto será procesado por proveedor en USA
   • Medidas de protección aplicadas (desidentificación, BAA, eliminación)
   • Alternativas disponibles (notas manuales sin procesamiento externo)
2. Consentimiento específico: Requerido por separado del consentimiento general de tratamiento
3. Derecho a rechazar: El paciente puede rechazar esta funcionalidad específica sin afectar su tratamiento

Ver Sección 13 para detalles completos de procesamiento internacional.

7. Cookies y Tecnologías Similares

Utilizamos cookies y tecnologías similares para mejorar tu experiencia en nuestra plataforma.

7.1 Tipos de cookies que utilizamos

• Cookies esenciales: Necesarias para el funcionamiento básico de la plataforma
• Cookies de funcionalidad: Recordar tus preferencias y configuraciones
• Cookies de análisis: Entender cómo usas la plataforma para mejorarla
• Cookies de seguridad: Proteger tu cuenta y detectar actividad sospechosa

Puedes gestionar tus preferencias de cookies en la configuración de tu navegador o en nuestra plataforma.

8. Almacenamiento y Seguridad

Implementamos medidas de seguridad técnicas, físicas y administrativas para proteger tus datos.

8.1 Medidas técnicas

• Cifrado AES-256 para datos en reposo
• Cifrado TLS 1.3 para datos en tránsito
• Autenticación de dos factores (2FA)
• Monitoreo continuo de seguridad
• Respaldos automáticos cifrados

8.2 Ubicación de servidores

Los datos se almacenan en bases de datos MongoDB ubicadas físicamente en Estados Unidos. Esta transferencia internacional cuenta con las siguientes salvaguardas:

• Contrato de Transferencia: Data Processing Agreement (DPA) con MongoDB
• Cláusulas Contractuales Tipo: Standard Contractual Clauses (SCC)
• Cifrado: AES-256 en tránsito y reposo
• Acceso restringido: Solo personal autorizado
• Cumplimiento: SOC 2 Type II, ISO 27001

Plan a mediano plazo: migrar una réplica a un centro de datos certificado en Querétaro, México, una vez que estén disponibles los controles técnicos requeridos.

9. Retención de Datos

Conservamos tus datos personales únicamente durante el tiempo necesario para cumplir con las finalidades descritas.

9.1 Períodos de retención

• Cuentas activas: Mientras esté vigente la relación contractual
• Cuentas canceladas: 24 meses para gestionar obligaciones pendientes
• Expedientes clínicos: Mínimo 5 años conforme a NOM-004-SSA3-2012
• Datos de facturación: 5 años por obligaciones fiscales (SAT)
• Logs de acceso y seguridad: 12 meses
• Registros de soporte: 24 meses
• Copias temporales de archivos (p. ej., multimedia de WhatsApp): Eliminación automática en máximo 30 días
• Respaldos cifrados: Retención rotativa de 35 días

Una vez vencidos los plazos, bloqueamos el acceso y programamos la eliminación segura o anonimización, salvo obligación legal de retención adicional.

10. Compartir con Terceros

No vendemos ni compartimos tus datos personales con terceros, excepto en las siguientes circunstancias:

10.1 Proveedores de servicios

Compartimos datos con proveedores que nos ayudan a operar la plataforma:

• Facturama: Procesamiento de facturas CFDI
• Stripe: Procesamiento de pagos
• Soniox: Transcripción de audio (con consentimiento específico)
• Proveedores de IA: Análisis de texto desidentificado (con consentimiento)

10.2 Obligaciones legales

Podemos compartir información cuando sea requerido por:

• Autoridades competentes con orden judicial
• Cumplimiento de obligaciones fiscales (SAT)
• Protección de derechos, propiedad o seguridad

10.3 Solicitudes de autoridades públicas

Atendemos únicamente solicitudes por escrito que identifiquen autoridad, fundamento legal y alcance. Antes de divulgar datos realizamos:

1. Revisión legal obligatoria: Verificamos competencia y base legal; para contenidos exigimos orden judicial.
2. Impugnación cuando proceda: Si la solicitud es inválida o desproporcionada, pedimos su corrección o la impugnamos.
3. Minimización de datos: Entregamos solo los campos estrictamente necesarios y en el rango temporal mínimo, usando canales cifrados.
4. Documentación: Registramos fecha, autoridad, fundamento, decisión, datos entregados, responsables internos y método de entrega.

Cuando la ley lo permita, notificamos al titular. Contacto oficial: legal@coronaee.com.mx.

10.4 No compartimos datos con otros profesionales sin autorización

11. Derechos ARCO

Conforme a la LFPDPPP, tienes derecho a:

• Acceso: Conocer qué datos personales tenemos y cómo los usamos
• Rectificación: Corregir datos inexactos o incompletos
• Cancelación: Solicitar la eliminación de tus datos
• Oposición: Oponerte a ciertos tratamientos de datos

11.1 Cómo ejercer tus derechos

Para ejercer tus derechos ARCO, envía un correo a: legal@coronaee.com.mx

Tu solicitud debe incluir:

• Nombre completo
• Correo electrónico de contacto
• Descripción clara del derecho que deseas ejercer
• Copia de identificación oficial

Tiempo de respuesta: 20 días hábiles máximo para confirmar procedencia y, en su caso, ejecución dentro de los 15 días hábiles siguientes.

11.2 Eliminación de datos (Data Deletion)

Puedes solicitar la eliminación de tu información enviando un correo a legal@coronaee.com.mx con asunto "Data Deletion Request", indicando: nombre completo, teléfono usado en WhatsApp y el alcance (marketing, toda la cuenta o fechas específicas). Responderemos en 20 días hábiles y, en su caso, ejecutaremos la eliminación en los 15 días hábiles siguientes. Consulta el proceso detallado en coronaee.com.mx/data-deletion.

Si tu terapeuta usa expediente clínico digital, cierta información puede conservarse por obligación legal mínima de 5 años (NOM-004-SSA3-2012); en ese caso se bloqueará el acceso y se eliminará lo no obligatorio.

12. Protección de Menores

KinBé está diseñado para ser usado por profesionales de salud mental. Para el tratamiento de menores de edad:

• El profesional debe obtener consentimiento de padres o tutores
• Se aplican protecciones adicionales para datos de menores
• Los menores pueden ejercer derechos ARCO a través de sus representantes legales

13. Procesamiento Internacional

13.1 Procesamiento en Estados Unidos (con salvaguardas)

A) Transcripción de audio con Soniox

• Qué se procesa: Audio de sesiones terapéuticas
• Finalidad: Convertir audio a texto para expediente clínico
• Duración: Audio eliminado cuando el terapeuta lo aplique, solo texto conservado
• Protecciones:
  • Business Associate Agreement (BAA) firmado
  • Cumplimiento HIPAA
  • Prohibición contractual de uso secundario
  • Eliminación de audio cuando el terapeuta lo aplique
• Control del profesional: Funcionalidad opcional, se puede desactivar

B) Análisis con IA (Anthropic, OpenAI, xAI)

• Qué se procesa: Texto desidentificado (sin nombres, fechas, ubicaciones)
• Finalidad: Organizar información clínica, buscar patrones, generar resúmenes
• Protecciones:
  • Desidentificación previa (técnica de pseudonimización)
  • Prohibición contractual de entrenar modelos
  • Data Processing Agreements (DPA) firmados
  • Eliminación inmediata post-procesamiento
• Control del profesional: Completamente opcional, granular por paciente

13.2 Consentimiento específico requerido

13.3 Alternativas sin procesamiento internacional

Si prefieres no usar funcionalidades que requieren procesamiento en Estados Unidos:

• ✅ Notas manuales en lugar de transcripción automática
• ✅ Búsqueda básica en lugar de análisis con IA
• ✅ Todas las demás funcionalidades permanecen disponibles
• ✅ Sin reducción en calidad del servicio principal

13.4 Marco legal aplicable

Las transferencias internacionales se realizan bajo:

• Art. 37 de la LFPDPPP (consentimiento del titular)
• Cláusulas contractuales estándar basadas en modelo europeo
• Business Associate Agreements para cumplimiento HIPAA
• Certificaciones SOC 2 Type II de proveedores

14. Cambios a esta Política

Podemos actualizar esta Política de Privacidad ocasionalmente. Te notificaremos sobre cambios importantes:

• Correo electrónico a tu dirección registrada
• Aviso prominente en la plataforma
• 60 días de anticipación para cambios sustanciales

Tu uso continuado de la plataforma después de los cambios constituye aceptación de la nueva política.

15. Contacto

Para ejercer derechos ARCO:

Envía tu solicitud a legal@coronaee.com.mx con la documentación requerida en la Sección 11.

Para reportar incidentes de seguridad o dudas de privacidad:

Contacta al equipo de privacidad en privacidad@coronaee.com.mx. Para soporte técnico operativo, escribe a soporte@coronaee.com.mx.