Aviso de Privacidad Integral

Datos personales de salud y expediente clínico

Pendiente de revisión legal. Reemplaza los campos entre [corchetes] y haz validar este aviso por un abogado en protección de datos antes de operarlo. Por tratarse de datos sensibles de salud, esta revisión es indispensable.

1. Identidad y domicilio del Responsable

[RAZÓN SOCIAL DEL RESPONSABLE] (“el Responsable”), con domicilio en [Domicilio completo: calle, número, colonia, municipio, estado, C.P.] y RFC [RFC], es responsable del tratamiento de sus datos personales, incluidos los datos sensibles relativos a su salud y expediente clínico, en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (DOF 20 de marzo de 2025), su Reglamento y demás normativa aplicable.

Para la operación, el Responsable se apoya en la plataforma OnMedi 360 (app.onmedi.com.mx) y en los proveedores descritos en la cláusula 7, quienes actúan como encargados y tratan los datos por cuenta y bajo instrucciones del Responsable.

2. Datos personales que se tratan

Para cumplir las finalidades de este aviso, el Responsable podrá tratar:

Identificación y contacto: nombre, fecha de nacimiento, sexo, CURP, RFC, NSS, domicilio, teléfono, correo, fotografía, número de empleado.
Laborales: puesto, área, turno, antigüedad, centro de trabajo, factores de riesgo, capacitaciones.
Académicos (en su caso): escolaridad, certificaciones y cédula profesional del personal médico.

Datos personales sensibles — datos de salud. Antecedentes heredofamiliares y personales; exámenes médicos de ingreso, periódicos y de egreso; aptitud médica; diagnósticos y padecimientos (incluidas enfermedades profesionales); signos vitales y exploración física; incapacidades (ST-2, ST-7, ST-8, ST-9); accidentes y enfermedades de trabajo; evaluaciones de riesgo psicosocial (NOM-035-STPS); evaluaciones ergonómicas; medicamentos administrados; campañas de salud; y en general la información que integra su expediente clínico.

3. Tratamiento de datos sensibles

El Responsable informa de manera expresa que tratará datos personales sensibles de salud. Conforme a la ley, su tratamiento requiere su consentimiento expreso. Al aceptar este aviso por los mecanismos señalados (firma autógrafa o electrónica, o aceptación dentro de la plataforma), usted otorga dicho consentimiento para las finalidades necesarias. Estos datos se tratan bajo estrictas medidas de seguridad y confidencialidad, con acceso limitado al personal de salud y a las personas autorizadas.

4. Finalidades del tratamiento

Primarias (necesarias). Sin ellas no es posible prestar el servicio ni cumplir la normativa:

Integrar y resguardar su expediente e historia clínica laboral.
Realizar exámenes de ingreso, periódicos y de egreso, y determinar la aptitud médica.
Brindar atención médica y registrar la consulta.
Gestionar incapacidades, accidentes y enfermedades de trabajo, y emitir formatos (incluido el pase al IMSS).
Cumplir la Ley Federal del Trabajo, la Ley del Seguro Social y las NOM de la STPS aplicables (NOM-030, 035, 036, 017, 019, 004, 009, 029, 033, entre otras).
Realizar evaluaciones psicosociales, ergonómicas y vigilancia epidemiológica.
Atender requerimientos de autoridades competentes.

Secundarias (no necesarias). Requieren su consentimiento adicional; puede negarse sin afectar el servicio:

Estadísticas e indicadores anonimizados para mejora de los servicios.
Comunicaciones sobre campañas de salud y bienestar.

Negativa a finalidades secundarias: escriba a [correo-de-datos-personales@dominio.com] con el asunto “Negativa de finalidades secundarias”. Su negativa no afectará los servicios.

5. Fundamento legal

Ley Federal de Protección de Datos Personales en Posesión de los Particulares (DOF 20 de marzo de 2025 y su reforma del 14 de noviembre de 2025) y su Reglamento; en lo conducente, NOM-004-SSA3-2012 (expediente clínico), Ley Federal del Trabajo, Ley del Seguro Social y las NOM de seguridad y salud en el trabajo aplicables.

6. Principios y deberes

Sus datos se tratan bajo los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, y los deberes de seguridad y confidencialidad.

7. Encargados y proveedores

Sus datos se almacenan y procesan a través de proveedores que actúan como encargados, por cuenta del Responsable y bajo obligaciones de seguridad y confidencialidad: Supabase (base de datos y almacenamiento), Vercel (alojamiento de la app) y Resend (notificaciones por correo). Algunos pueden procesar información fuera del territorio nacional. El Responsable no transferirá sus datos a terceros distintos sin su consentimiento, salvo en los casos legalmente exceptuados (p. ej., requerimientos de autoridad o del IMSS).

8. Medidas de seguridad

Se aplican medidas administrativas, técnicas y físicas: control de acceso por roles, aislamiento de la información por empresa, cifrado en tránsito, autenticación de usuarios y registro de accesos. El personal y los encargados guardan confidencialidad incluso después de terminada la relación.

9. Conservación de los datos

Los datos se conservan el tiempo necesario para las finalidades y obligaciones legales. El expediente clínico se conserva por un mínimo de 5 años a partir del último acto médico (NOM-004-SSA3-2012), sin perjuicio de plazos mayores. Concluidos los plazos, los datos se bloquean y posteriormente se cancelan.

10. Derechos ARCO y cómo ejercerlos

Usted puede Acceder, Rectificar (incluida la actualización), Cancelar u Oponerse al tratamiento de sus datos (derechos ARCO), incluida la oposición a decisiones basadas únicamente en tratamientos automatizados que le afecten significativamente.

Envíe su solicitud a [correo-de-datos-personales@dominio.com], dirigida al [Departamento / Responsable de Datos Personales], indicando: (i) su nombre y un medio para responderle; (ii) documento que acredite su identidad; (iii) descripción clara del derecho que desea ejercer; (iv) datos que faciliten localizar su información. El Responsable responderá en un máximo de 20 días hábiles y, de proceder, lo hará efectivo en los 15 días hábiles siguientes.

11. Revocación del consentimiento

Puede revocar su consentimiento en cualquier momento por los mismos medios. En ciertos casos la revocación podría no surtir efecto inmediato o total cuando exista una obligación legal que requiera continuar el tratamiento (p. ej., conservación del expediente clínico).

12. Cambios al aviso de privacidad

Este aviso puede modificarse para atender cambios legislativos o nuevos requerimientos; las modificaciones se pondrán a su disposición en app.onmedi.com.mx. Cualquier cambio a las finalidades requerirá, cuando la ley lo exija, su nuevo consentimiento.

13. Autoridad

Si considera vulnerado su derecho a la protección de datos, puede acudir ante la Secretaría Anticorrupción y Buen Gobierno, autoridad que asumió las funciones del extinto INAI a partir del 21 de marzo de 2025.

Última actualización: [DD/MM/AAAA] · OnMedi 360 — Salud Ocupacional

← Volver al inicio de sesión