Volver a NutriGest

🔒 Aviso de Privacidad Integral

LFPDPPP México · NOM-024-SSA3-2012

Última actualización: 10 de junio de 2026 · Vigente

Resumen ejecutivo: NutriGest protege los datos clínicos de tus pacientes con cifrado AES-256, infraestructura sobre Cloudflare (proveedor con certificaciones SOC 2 / ISO 27001), conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México.

1. Responsable del tratamiento

NutriGest, operado por Daniel Alberto Cruz Ramírez, con domicilio en Calle Vesubio 502, Colonia Higueras, Xalapa, Veracruz, México, C.P. 91163, teléfono 228 193 3939.

Para efectos de este Aviso y del ejercicio de tus derechos, el domicilio para oír y recibir notificaciones es el correo electrónico [email protected], atendido por la persona designada como responsable de datos personales (Art. 30 LFPDPPP).

Dado que NutriGest opera como plataforma de software para profesionales de la nutrición, actúa como encargado respecto de los datos de los pacientes que el profesional (Titular de la cuenta) introduce, siendo este último el responsable de dichos datos; y como responsable respecto de los datos de la propia cuenta del profesional. Este Aviso describe el tratamiento en ambos roles.

2. Datos personales que recabamos

2.1 Datos identificativos (PII)

2.2 Datos sensibles / clínicos (PHI)

⚠️ Datos sensibles bajo Art. 9 LFPDPPP. Estos requieren consentimiento expreso por escrito y se almacenan cifrados con AES-GCM 256 en columnas independientes:

2.3 Datos técnicos (uso del sistema)

3. Finalidades del tratamiento

3.1 Finalidades primarias (sin consentimiento expreso son necesarias para el servicio)

3.2 Finalidades secundarias (requieren consentimiento expreso)

Para oponerte a las finalidades secundarias envía un correo a [email protected] con el asunto OPOSICION_SECUNDARIAS.

4. Transferencias de datos

NutriGest no vende, alquila ni intercambia datos personales con terceros. Únicamente compartimos información con:

TerceroDatosFinalidadSalvaguardas
Cloudflare Inc. (encargado · EE.UU.) Todos (cifrados) Almacenamiento, procesamiento, edge delivery Proveedor con certificaciones SOC 2 Type II e ISO 27001
Resend (resend.com) (encargado · EE.UU.) Correo electrónico y nombre del destinatario Envío de correos transaccionales (verificación, códigos de acceso, notificaciones) Encargado obligado por contrato a confidencialidad; solo procesa lo necesario para el envío
MercadoPago (Mercado Libre) (encargado) Datos de facturación y de la transacción de pago Procesamiento de pagos de la suscripción del profesional. NutriGest no almacena datos de tarjetas Procesador de pagos con estándar PCI-DSS; trata los datos bajo su propia política
Autoridades fiscales (SAT) Datos fiscales solamente Facturación obligatoria CFF Conforme a ley
Autoridades judiciales Solo bajo orden judicial Cumplimiento legal Notificación al titular salvo prohibición legal

5. Derechos ARCO

Conforme a los Artículos 22-32 de LFPDPPP, tienes derecho a:

Cómo ejercer tus derechos ARCO:

  1. Envía solicitud a [email protected] con:
  2. Recibirás acuse de recibo en máximo 3 días hábiles
  3. Resolución en máximo 20 días hábiles (Art. 32 LFPDPPP)
  4. Implementación en máximo 15 días hábiles adicionales

Si no recibes respuesta o no estás conforme, puedes acudir a la autoridad competente en materia de protección de datos personales conforme a la legislación vigente (tras la reforma constitucional del 20 de diciembre de 2024, las funciones del extinto INAI fueron reasignadas a la autoridad que determine la ley).

5.1 Revocación del consentimiento

Conforme al Art. 8 LFPDPPP, puedes revocar en cualquier momento el consentimiento que otorgaste para el tratamiento de tus datos personales, sin efectos retroactivos. Para ello:

  1. Envía tu solicitud a [email protected] con el asunto REVOCACION_CONSENTIMIENTO, indicando tu nombre completo, correo registrado e identificación oficial.
  2. Recibirás acuse en máximo 3 días hábiles y la confirmación de la revocación en máximo 20 días hábiles.

⚠️ La revocación puede implicar que ya no podamos seguir prestando el servicio que depende del tratamiento de esos datos. Algunos datos podrán conservarse bloqueados durante los plazos legales de conservación (fiscales y sanitarios) antes de su supresión definitiva, conforme al Art. 11 LFPDPPP.

6. Medidas de seguridad técnicas

Implementamos las siguientes medidas conforme al Reglamento de la LFPDPPP Cap. III:

ControlImplementación
Cifrado en tránsitoTLS 1.3 + HSTS preload
Cifrado en reposo (BBDD)AES-256 (Cloudflare D1/R2/KV)
Cifrado por columna PHIAES-GCM 256-bit con IV único
Autenticaciónbcrypt + JWT + TOTP 2FA
Control de accesoRBAC con field masking por rol
AuditoríaAudit trail inmutable cada acción
Rate limiting5/email + 20/IP por 15 min
Backup cifradoD1 Time Travel 30 días
Anti-injectionPrepared statements 100%
Headers OWASPHSTS, X-Frame, CSP, nosniff

6.1 Notificación de vulneraciones de seguridad

Conforme al Art. 20 LFPDPPP, si ocurriera una vulneración de seguridad que afecte de forma significativa tus derechos patrimoniales o morales, te lo informaremos de forma inmediata por correo electrónico, indicando la naturaleza del incidente, los datos comprometidos, las recomendaciones para proteger tus intereses y las acciones correctivas que estamos implementando, a fin de que puedas tomar las medidas que correspondan a la defensa de tus derechos.

7. Tiempo de conservación

Conforme a la NOM-004-SSA3-2012 (expediente clínico), NOM-024-SSA3-2012 (sistemas de información en salud) y artículo 11 LFPDPPP:

8. Cookies

Solo usamos cookies técnicas estrictamente necesarias para mantener la sesión:

No usamos cookies de marketing, tracking ni analíticas de terceros.

9. Cambios al aviso

Te notificaremos cambios sustanciales por correo electrónico al menos 10 días antes de su entrada en vigor. La versión vigente siempre estará en esta URL.

10. Contacto


Daniel Cruz Ramírez · México · Aviso de Privacidad versión 1.1 · 2026-06-10