OrismaiVolver al sitio

Aviso de Privacidad Integral

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento · Versión 1.0.0 · Vigente desde 15 de mayo de 2026.

Resumen para el titular: Orismai opera bajo legislación mexicana, NO vende datos personales, anonimiza la información clínica antes de cualquier procesamiento con modelos de inteligencia artificial y conserva los expedientes con cifrado AES-256 dentro de infraestructura auditada. Puedes ejercer tus derechos ARCO en cualquier momento escribiendo a privacidad@orismai.com.

1. Identidad y domicilio del responsable

EPX Solutions SA de CV (en lo sucesivo, “EPX Solutions”, “el Responsable” u “Orismai”), persona moral mexicana con Registro Federal de Contribuyentes ESO240101AAA, con domicilio en Río Mocorito 801 L1, Col. Independencia, Mexicali, B.C., México, C.P. 21290, es la responsable del tratamiento de los datos personales recabados a través de la plataforma Orismai (en adelante, “la Plataforma”), accesible en orismai.com.

Para cualquier asunto vinculado con este Aviso o con tus datos personales, dirige comunicación al Departamento de Protección de Datos: privacidad@orismai.com.

2. Datos personales que tratamos

Según el rol del titular y la finalidad del tratamiento, EPX Solutions recaba las siguientes categorías de datos personales:

2.1 Datos del Cliente (clínica / profesional)

  • Datos de identificación: nombre completo, fecha de nacimiento, correo electrónico, teléfono.
  • Datos profesionales: cédula profesional, especialidad odontológica, vigencia de cédula, universidad.
  • Datos fiscales: RFC, razón social, domicilio fiscal y régimen para emisión de CFDI 4.0.
  • Datos de medio de pago: procesados directamente por Stripe Inc.; Orismai NO almacena números completos de tarjeta. Conservamos únicamente últimos cuatro dígitos y token de cliente para conciliación.
  • Registros técnicos: dirección IP, agente de usuario, fecha y hora de acceso, identificador de sesión, eventos auditables.

2.2 Datos del Paciente (recabados por el Cliente y procesados por Orismai como Encargado)

  • Datos de identificación: nombre, fecha de nacimiento, sexo, CURP, RFC, dirección, teléfono y correo.
  • Datos personales sensibles (artículo 3 fracción VI LFPDPPP): historia y anamnesis clínica, padecimientos actuales y previos, antecedentes heredofamiliares, alergias, medicamentos, hábitos, imagenología (radiografías intraorales y extraorales, fotografías clínicas, CBCT), periodontogramas, planes de tratamiento, observaciones del odontólogo, análisis generados por agentes de inteligencia artificial, recetas y prescripciones.
  • Datos financieros del paciente: facturas, pagos, métodos de pago, deudores y créditos.
  • Datos de comunicación: mensajes enviados o recibidos vía WhatsApp, SMS o correo electrónico operados por la clínica a través de la Plataforma.

3. Finalidades del tratamiento

3.1 Finalidades primarias (sin necesidad de consentimiento expreso adicional)

El tratamiento de los datos para estas finalidades es necesario para la prestación del servicio y, en su caso, para cumplir con obligaciones legales:

  • Operar y mantener el expediente clínico electrónico conforme a NOM-024-SSA3-2012.
  • Generar análisis clínicos asistidos por IA, siempre bajo supervisión y validación del odontólogo con cédula profesional vigente.
  • Procesar facturación CFDI 4.0, cobranza y conciliación contable.
  • Gestionar agenda, recordatorios y comunicación operativa con el paciente.
  • Cumplir con obligaciones fiscales (SAT), sanitarias (COFEPRIS), de protección de datos (INAI) y de salud bucal aplicables en México.
  • Auditoría de seguridad, prevención de fraude y mantenimiento de los controles requeridos por la NOM-024-SSA3-2012 (audit log inmutable, retención 10 años).
  • Auditoría de neutralidad clínica del programa Orismai Wallet, sin acceso a datos individuales del paciente.

3.2 Finalidades secundarias (requieren consentimiento expreso)

  • Mejora de los modelos de IA mediante datos agregados y anonimizados de forma irreversible.
  • Investigación académica o publicaciones científicas, siempre con anonimización irreversible.
  • Comunicación de novedades, mejoras de la Plataforma o contenido educativo a profesionales.

Si no deseas que tus datos sean tratados para finalidades secundarias, envía un correo a privacidad@orismai.com con asunto “Limitación de uso” y el ID del titular o número de cliente. La ausencia de respuesta a esta sección NO condiciona la prestación del servicio principal.

4. Transferencias de datos y encargados

EPX Solutions NO vende, alquila ni comercializa datos personales identificables a terceros. Las únicas transferencias y/o remisiones autorizadas son las siguientes (todas con contratos de confidencialidad y, cuando aplica, cláusulas modelo o Standard Contractual Clauses):

SubencargadoFinalidadPaís
Vercel Inc.Hosting y entrega de la Plataforma (frontend, edge).Estados Unidos
Neon Inc.Base de datos PostgreSQL gestionada (cifrado AES-256 en reposo, TLS 1.3 en tránsito).Estados Unidos
Anthropic PBCProcesamiento de prompts de los agentes IA. Toda información clínica se anonimiza con HMAC antes de salir del perímetro Orismai. No se transfieren identificadores personales del paciente. Anthropic NO entrena modelos con datos enviados por API.Estados Unidos
Twilio Inc.Envío de mensajes vía WhatsApp Business y SMS para recordatorios y comunicación con el paciente.Estados Unidos
Resend Inc.Envío de correos transaccionales y notificaciones.Estados Unidos
Stripe Inc.Procesamiento de pagos de suscripción. Cumple PCI DSS Nivel 1. Orismai NO almacena tarjetas.Estados Unidos
Sentry / proveedor de observabilidadRegistro de errores técnicos. Los payloads se filtran (scrub) para excluir datos personales antes de ser enviados.Estados Unidos

Adicionalmente, EPX Solutions podrá transferir datos a autoridades competentescuando exista orden judicial, requerimiento del Servicio de Administración Tributaria, de la COFEPRIS, del INAI, o de cualquier otra autoridad sanitaria, fiscal o de protección de datos competente.

Los patrocinadores del programa Wallet reciben únicamente métricas agregadas (volumen de recetas trazadas por categoría) y NUNCA datos individuales del paciente.

La lista actualizada de subencargados está disponible en /legal/dpa. Notificaremos al Cliente con al menos 30 días de anticipación cualquier cambio sustantivo.

5. Medidas de seguridad

  • Cifrado en tránsito (TLS 1.3) y en reposo (AES-256-GCM).
  • Aislamiento por inquilino (multi-tenant) con Row Level Security forzada a nivel PostgreSQL en todas las tablas con tenant_id.
  • Contraseñas almacenadas con bcrypt 12 rondas; nunca en texto plano.
  • Autenticación multifactor (MFA) opt-in con TOTP para acceso al expediente clínico.
  • Audit log inmutable y append-only de cada acceso o modificación a datos sensibles, con retención mínima de 10 años (NOM-024-SSA3-2012).
  • Anonimización con HMAC determinístico antes de cualquier llamada a APIs externas.
  • Acceso al código de producción restringido por roles, identidad federada y MFA.
  • Respaldos automáticos con cifrado independiente, retención mínima de 30 días y pruebas de restauración trimestrales.
  • Pruebas de penetración anuales por terceros independientes.

6. Derechos ARCO y portabilidad

Como titular tienes derecho a:

  • Acceder a tus datos personales y a los avisos vigentes que rigen su tratamiento.
  • Rectificar los datos inexactos o incompletos.
  • Cancelar el tratamiento cuando consideres que no se ajusta a los principios y deberes legales aplicables. Importante: los expedientes clínicos están sujetos a retención mínima por la NOM-004-SSA3-2012 / NOM-024-SSA3-2012 (mínimo 5 años desde la última atención).
  • Oponerte al tratamiento de tus datos para finalidades secundarias.
  • Limitar el uso o divulgación de tus datos personales.
  • Revocar el consentimiento que nos hayas otorgado.
  • Portabilidad: solicitar tus datos en formato estructurado y de uso común.

Para ejercer cualquiera de estos derechos envía un correo a privacidad@orismai.com anexando identificación oficial vigente del titular o de su representante legal, así como descripción clara y precisa de los datos respecto de los que se busca ejercer el derecho. Responderemos en un máximo de 20 días hábiles (acceso) o 15 días hábiles (rectificación, cancelación, oposición).

7. Revocación del consentimiento

Puedes revocar tu consentimiento en cualquier momento al mismo correo privacidad@orismai.com. La revocación no tendrá efectos retroactivos sobre el tratamiento previamente realizado y podrá implicar la imposibilidad de seguir prestando el servicio cuando el dato sea indispensable.

8. Conservación de datos

Los expedientes clínicos se conservan por mínimo 5 años desde la última atención y hasta por 10 años en cumplimiento de la NOM-024-SSA3-2012 para efectos de auditoría sanitaria. Los datos de facturación se conservan por 5 años por obligaciones del Código Fiscal de la Federación. Tras la terminación de la relación con el Cliente, los datos no sujetos a retención obligatoria son eliminados de los respaldos en un plazo máximo de 90 días.

9. Cookies y tecnologías similares

La Plataforma utiliza exclusivamente cookies estrictamente necesarias para mantener la sesión activa, balancear carga y registrar eventos de seguridad. No utilizamos cookies publicitarias ni de seguimiento de terceros con fines comerciales. Puedes deshabilitar las cookies desde tu navegador; al hacerlo, la Plataforma podrá no funcionar correctamente.

10. Modificaciones al Aviso

EPX Solutions podrá modificar el presente Aviso para reflejar cambios legales, operativos o en los servicios ofrecidos. Notificaremos al Cliente con al menos 30 días de anticipación a través del correo registrado y mediante banner en la Plataforma. La versión vigente siempre está disponible en orismai.com/legal/privacidad.

11. Limitación de uso y divulgación

Para registrar tus datos en el listado de exclusión publicitaria o solicitar limitación de uso, escribe a privacidad@orismai.com con asunto “Limitación de uso”.

12. INAI

Si consideras que tu derecho a la protección de datos personales ha sido vulnerado, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en home.inai.org.mx.

Documento versión 1.0.0. Vigente desde 15 de mayo de 2026. Última actualización publicada por EPX Solutions SA de CV.