← Volver a NutriGest
🔒 Aviso de Privacidad Integral
LFPDPPP México · NOM-024-SSA3-2012 · GDPR · HIPAA
Última actualización: 26 de mayo de 2026 · Vigente
Resumen ejecutivo: NutriGest protege los datos clínicos de tus pacientes con cifrado AES-256 end-to-end, infraestructura Cloudflare con certificaciones SOC 2 / ISO 27001 / HIPAA, y cumplimiento total de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México.
1. Responsable del tratamiento
NutriGest (operado por Daniel Cruz Ramírez) con domicilio en México.
Contacto del responsable de privacidad: privacidad@full-system.com
2. Datos personales que recabamos
2.1 Datos identificativos (PII)
- Nombre completo
- Correo electrónico
- Teléfono
- Fecha de nacimiento
- Sexo
- Ocupación
2.2 Datos sensibles / clínicos (PHI)
⚠️ Datos sensibles bajo Art. 9 LFPDPPP. Estos requieren consentimiento expreso por escrito y se almacenan cifrados con AES-GCM 256 en columnas independientes:
- Peso, talla, IMC, composición corporal
- Mediciones antropométricas (cintura, cadera, % grasa, masa muscular)
- Presión arterial
- Alergias alimentarias y medicamentosas
- Restricciones dietéticas
- Antecedentes médicos personales y familiares
- Resultados de laboratorio (química sanguínea, perfil lipídico, etc.)
- Diagnósticos nutricionales
- Planes de alimentación y dietas prescritas
- Notas clínicas del nutriólogo
2.3 Datos técnicos (uso del sistema)
- Dirección IP del cliente
- User-Agent del navegador
- Logs de acceso (audit trail conforme NOM-024-SSA3-2012)
- Cookies técnicas estrictamente necesarias para la sesión
3. Finalidades del tratamiento
3.1 Finalidades primarias (sin consentimiento expreso son necesarias para el servicio)
- Prestación del servicio de gestión nutricional
- Generación de planes alimentarios personalizados
- Seguimiento clínico de evolución del paciente
- Comunicación entre paciente y nutriólogo
- Facturación electrónica conforme CFF (Código Fiscal)
- Cumplimiento de obligaciones legales (NOM-024, NOM-035)
3.2 Finalidades secundarias (requieren consentimiento expreso)
- Envío de recordatorios de cita (puedes oponerte)
- Notificaciones de educación nutricional (puedes oponerte)
- Estadísticas anonimizadas para mejora del servicio
Para oponerte a las finalidades secundarias envía un correo a privacidad@full-system.com con el asunto OPOSICION_SECUNDARIAS.
4. Transferencias de datos
NutriGest no vende, alquila ni intercambia datos personales con terceros. Únicamente compartimos información con:
| Tercero | Datos | Finalidad | Salvaguardas |
|---|
| Cloudflare Inc. (encargado) |
Todos (cifrados) |
Almacenamiento, procesamiento, edge delivery |
BAA firmado, SOC 2 Type II, ISO 27001, HIPAA-eligible, GDPR DPA + SCC |
| Autoridades fiscales (SAT) |
Datos fiscales solamente |
Facturación obligatoria CFF |
Conforme a ley |
| Autoridades judiciales |
Solo bajo orden judicial |
Cumplimiento legal |
Notificación al titular salvo prohibición legal |
5. Derechos ARCO
Conforme a los Artículos 22-32 de LFPDPPP, tienes derecho a:
- Acceso: conocer qué datos tenemos sobre ti
- Rectificación: corregir datos inexactos
- Cancelación: eliminar datos cuando ya no sean necesarios
- Oposición: oponerte a finalidades secundarias
Cómo ejercer tus derechos ARCO:
- Envía solicitud a privacidad@full-system.com con:
- Nombre completo y email registrado
- Identificación oficial (foto de INE/pasaporte)
- Descripción clara del derecho a ejercer
- Recibirás acuse de recibo en máximo 3 días hábiles
- Resolución en máximo 20 días hábiles (Art. 32 LFPDPPP)
- Implementación en máximo 15 días hábiles adicionales
Si no recibes respuesta o no estás conforme, puedes interponer queja ante el INAI: www.inai.org.mx
6. Medidas de seguridad técnicas
Implementamos las siguientes medidas conforme al Reglamento de la LFPDPPP Cap. III:
| Control | Implementación |
|---|
| Cifrado en tránsito | TLS 1.3 + HSTS preload |
| Cifrado en reposo (BBDD) | AES-256 (Cloudflare D1/R2/KV) |
| Cifrado por columna PHI | AES-GCM 256-bit con IV único |
| Autenticación | bcrypt + JWT + TOTP 2FA |
| Control de acceso | RBAC con field masking por rol |
| Auditoría | Audit trail inmutable cada acción |
| Rate limiting | 5/email + 20/IP por 15 min |
| Backup cifrado | D1 Time Travel 30 días |
| Anti-injection | Prepared statements 100% |
| Headers OWASP | HSTS, X-Frame, CSP, nosniff |
7. Tiempo de conservación
Conforme a la NOM-024-SSA3-2012 y artículo 11 LFPDPPP:
- Datos clínicos activos: durante la relación nutricional
- Expediente clínico post-baja: 5 años (obligación NOM)
- Audit logs: 7 años
- Datos fiscales: 5 años (CFF)
- Una vez vencido el plazo: eliminación segura con AES wipe
8. Cookies
Solo usamos cookies técnicas estrictamente necesarias para mantener la sesión:
nutrigest_jwt: token de sesión cifrado · HttpOnly + Secure + SameSite=None · expira 7 días
No usamos cookies de marketing, tracking ni analíticas de terceros.
9. Cambios al aviso
Te notificaremos cambios sustanciales por correo electrónico al menos 10 días antes de su entrada en vigor. La versión vigente siempre estará en esta URL.
10. Contacto
Daniel Cruz Ramírez · México · Aviso de Privacidad versión 1.0 · 2026-05-26