OrismaiVolver al sitio

Acuerdo de Tratamiento de Datos Personales (DPA)

Encargo de tratamiento entre el Cliente (Responsable) y EPX Solutions (Encargado) · LFPDPPP artículos 49–53 y Reglamento artículos 50–58 · Versión 1.0.0 · Vigente desde 15 de mayo de 2026.

Este Acuerdo (en adelante, el “DPA”) forma parte integral de los Términos de Servicio y se acepta automáticamente al contratar Orismai. Su finalidad es regular el tratamiento de los Datos del Paciente que la Clínica encarga a EPX Solutions para la prestación de la Plataforma. En caso de conflicto entre los Términos de Servicio y este DPA respecto al tratamiento de datos personales, prevalece este DPA.

1. Partes y carácter

Responsable: el Cliente (la Clínica o profesional dental titular del contrato Orismai), quien decide los fines y medios del tratamiento de los Datos del Paciente.

Encargado: EPX Solutions SA de CV, con domicilio en Río Mocorito 801 L1, Col. Independencia, Mexicali, B.C., México, C.P. 21290, RFC ESO240101AAA, quien trata los Datos del Paciente por cuenta del Responsable conforme a las instrucciones documentadas en este DPA, los Términos de Servicio y la configuración de la Plataforma.

2. Objeto del encargo

El Responsable encarga al Encargado el tratamiento de los Datos del Paciente con el único propósito de operar la Plataforma Orismai conforme a sus funcionalidades contratadas, incluyendo: almacenamiento del expediente clínico, generación de outputs asistidos por IA, agenda, comunicación con el paciente, facturación, reportes y, en su caso, el módulo Wallet.

3. Datos personales objeto del tratamiento

  • Datos de identificación del paciente: nombre, fecha de nacimiento, sexo, CURP, RFC, dirección, teléfono, correo.
  • Datos personales sensibles: historia y anamnesis clínica, padecimientos, alergias, medicamentos, imagenología (radiografías, fotografías clínicas, CBCT), periodontogramas, planes de tratamiento, recetas, observaciones del odontólogo, análisis generados por agentes IA.
  • Datos financieros: facturas, pagos, métodos de pago.
  • Datos de comunicación: mensajes WhatsApp / SMS / email entre la clínica y el paciente vía Plataforma.

Categorías de titulares: pacientes del Responsable, sus representantes legales (si el paciente es menor o incapacitado) y, cuando aplique, otros profesionales que el Responsable autorice.

4. Finalidades autorizadas

  • Operar el expediente clínico electrónico conforme a NOM-024-SSA3-2012.
  • Generar outputs asistidos por IA sujetos a validación humana.
  • Procesar facturación CFDI 4.0 y conciliación.
  • Operar agenda y comunicación con el paciente conforme a las preferencias del Responsable.
  • Cumplir obligaciones legales del Responsable y del Encargado.

El Encargado NO tratará los Datos del Paciente para finalidades distintas a las aquí autorizadas sin instrucción documentada del Responsable, salvo obligación legal aplicable.

5. Obligaciones del Encargado

  1. Tratar los datos únicamente conforme a las instrucciones del Responsable.
  2. Implementar y mantener las medidas de seguridad técnicas, administrativas y físicas enumeradas en la sección 7.
  3. Guardar confidencialidad respecto de los Datos del Paciente, obligación que sobrevive a la terminación del contrato.
  4. Notificar al Responsable cualquier vulneración de seguridad que afecte los Datos del Paciente dentro de las 72 horas siguientes a su detección, conforme al artículo 20 LFPDPPP, indicando: naturaleza del incidente, datos comprometidos, consecuencias materializadas o probables, medidas correctivas implementadas y recomendaciones para el titular.
  5. Asistir al Responsable en la atención de solicitudes de derechos ARCO en el plazo requerido (máximo 20 días hábiles para acceso; 15 hábiles para rectificación, cancelación, oposición).
  6. Permitir al Responsable realizar auditoría documental anual sobre el cumplimiento del presente DPA, previa solicitud por escrito con al menos 15 días hábiles de anticipación (ver sección 10).
  7. Devolver o eliminar los Datos del Paciente al término del contrato conforme a la sección 11, respetando los plazos de retención legal obligatoria.

6. Obligaciones del Responsable

  • Obtener y conservar el consentimiento informado del Paciente para el tratamiento de sus datos, incluida la remisión al Encargado.
  • Mantener un Aviso de Privacidad propio donde se identifique a Orismai como Encargado.
  • Atender directamente las solicitudes ARCO de los pacientes (Orismai asistirá técnicamente).
  • No introducir en la Plataforma datos personales que no sean necesarios para las finalidades autorizadas (principio de minimización).
  • Validar clínicamente cada output IA antes de aplicarlo al expediente.

7. Medidas de seguridad técnicas, administrativas y físicas

  • Cifrado en tránsito: TLS 1.3 en toda comunicación cliente-servidor.
  • Cifrado en reposo: AES-256-GCM en base de datos y almacenamiento de objetos.
  • Aislamiento multi-tenant: Row Level Security forzada (FORCE RLS) sobre todas las tablas con tenant_id, validada con suite de pruebas automatizadas.
  • Autenticación: contraseñas con bcrypt 12 rondas, MFA opt-in (TOTP) para acceso al expediente clínico.
  • Audit log inmutable: append-only, retención mínima de 10 años conforme a NOM-024-SSA3-2012, cubriendo cada acceso o modificación a datos sensibles.
  • Anonimización: aplicación de HMAC determinístico para identificadores antes de cualquier llamada a APIs externas (LLMs, terceros).
  • Control de acceso: principio de mínimo privilegio, separación de roles, MFA para acceso a producción.
  • Respaldos: automáticos, cifrados con clave independiente, retención mínima de 30 días, pruebas de restauración trimestrales.
  • Pruebas de penetración: anuales por tercero independiente.
  • Gestión de vulnerabilidades: Dependabot + escaneo continuo de dependencias; parches críticos en menos de 48 horas.
  • Capacitación: al equipo de EPX Solutions en LFPDPPP, NOM-024 y seguridad de la información.

8. Subencargados autorizados

El Responsable autoriza al Encargado a subcontratar los siguientes prestadores de servicio para fines exclusivos de operación de la Plataforma, cada uno bajo compromisos contractuales equivalentes o superiores a este DPA:

SubencargadoFunciónPaís
Vercel Inc.Hosting y edge de la aplicación web.Estados Unidos
Neon Inc.PostgreSQL gestionado con cifrado AES-256.Estados Unidos
Anthropic PBCProcesamiento de prompts de los agentes IA. Datos anonimizados con HMAC; sin identificadores personales del paciente; sin entrenamiento sobre los datos transmitidos vía API.Estados Unidos
Twilio Inc.WhatsApp Business y SMS transaccionales.Estados Unidos
Resend Inc.Correo transaccional.Estados Unidos
Stripe Inc.Procesamiento de pagos PCI DSS Nivel 1.Estados Unidos
Sentry / ObservabilidadTelemetría de errores con scrubbing automático de datos personales.Estados Unidos

El Encargado notificará al Responsable con al menos 30 días de anticipación cualquier alta, baja o sustitución de subencargado. El Responsable podrá oponerse por causa justificada; en caso de no llegar a acuerdo, podrá terminar el contrato sin penalización.

9. Transferencias internacionales

Las transferencias hacia subencargados ubicados fuera del territorio mexicano se realizan al amparo de las excepciones previstas en el artículo 37 LFPDPPP (necesarias para la prestación del servicio contratado por el Responsable) y bajo cláusulas contractuales equivalentes a las cláusulas modelo internacionales. El Encargado se compromete a mantener evidencia documental de dichas cláusulas y a entregarla al Responsable bajo requerimiento.

10. Auditoría

El Responsable podrá solicitar una auditoría documental anual sobre el cumplimiento del DPA. La solicitud deberá realizarse por escrito a legal@orismai.com con al menos 15 días hábiles de anticipación. El Encargado proporcionará: reporte SOC-style interno, evidencia de pruebas de penetración, copias de cláusulas contractuales con subencargados (con redacciones comerciales) y respuestas a un cuestionario de seguridad.

Auditorías presenciales o intrusivas (acceso físico a infraestructura) requieren confidencialidad reforzada, no perturbación de la operación y costos a cargo del Responsable, salvo cuando deriven de un incidente atribuible al Encargado.

11. Retención y eliminación al término

A la terminación del contrato, el Encargado:

  1. Entrega al Responsable, dentro de los 90 días siguientes, un export completo de los Datos del Paciente en formato estructurado (JSON + PDFs del expediente).
  2. Elimina los Datos del Paciente de sistemas activos y respaldos en un plazo máximo de 90 días, salvo los datos sujetos a retención obligatoria:
    • Expediente clínico: mínimo 5 años y hasta 10 años (NOM-024 / NOM-004).
    • Datos fiscales y facturación: 5 años (CFF).
    • Audit log: 10 años en almacenamiento WORM.
  3. Emite constancia de eliminación firmada por el responsable de Compliance del Encargado.

12. Gestión de incidentes

  1. El Encargado contiene el incidente en menos de 1 hora desde su detección.
  2. Notifica al Responsable en menos de 72 horas con la información del artículo 5.4 anterior.
  3. Coopera con la notificación al titular y, en su caso, al INAI.
  4. Entrega un postmortem por escrito dentro de 30 días naturales con causa raíz y medidas correctivas.

13. Confidencialidad

El personal del Encargado con acceso a los Datos del Paciente está sujeto a obligación de confidencialidad por escrito, con vigencia que sobrevive a la terminación de su relación laboral o contractual. El Encargado mantiene registros de quién accede a qué datos (audit log) por al menos 10 años.

14. Vigencia y modificaciones

Este DPA permanece vigente mientras el Responsable utilice la Plataforma. Cualquier modificación se comunicará con al menos 30 días de anticipación. El uso continuado tras la entrada en vigor implica aceptación.

15. Ley aplicable

Aplica la legislación de los Estados Unidos Mexicanos, en particular la LFPDPPP, su Reglamento, los Lineamientos del Aviso de Privacidad y la NOM-024-SSA3-2012. Jurisdicción: tribunales federales de la Ciudad de México.

16. Contacto del DPO

Departamento de Protección de Datos del Encargado: privacidad@orismai.com. Asuntos legales: legal@orismai.com.

Documento versión 1.0.0. Vigente desde 15 de mayo de 2026. La aceptación de los Términos de Servicio implica la aceptación de este DPA, que se persiste en el sistema con marca de tiempo, IP y agente de usuario del aceptante.