Este Anexo de Tratamiento de Datos Personales por Encargo (el “Anexo” o “DPA”) forma parte integral de los Términos y Condiciones de “Asistente WhatsApp”, operada por Edgar Saúl Aramburo Jiménez (RFC AAJE9509093I3) (el “Encargado” o la “Plataforma”), y regula el tratamiento de datos personales que el Encargado realiza por cuenta del negocio que contrata la Plataforma (el “Responsable” o el “Cliente”), conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Ley”) y su Reglamento.
1. Roles de las partes
El Cliente es el Responsable de los datos personales de sus pacientes/clientes finales y demás titulares cuyos datos trate a través de la Plataforma. El Encargado (la Plataforma) trata dichos datos por cuenta del Responsable, únicamente para prestar el Servicio y conforme a las instrucciones del Responsable.
2. Objeto del encargo
El objeto es el tratamiento de datos personales necesario para que el Encargado preste al Responsable las funciones de la Plataforma: recepción y envío de mensajes de WhatsApp, agente de IA, agenda y sincronización de calendario, gestión de conversaciones, revisión de comprobantes y panel de administración.
3. Duración
El tratamiento se realizará mientras esté vigente la relación contractual entre las partes y, posteriormente, durante el periodo necesario para la devolución, eliminación o anonimización de los datos conforme a este Anexo y a la Ley.
4. Naturaleza y finalidad del tratamiento
La naturaleza del tratamiento incluye operaciones de recolección, almacenamiento, uso, organización, consulta y, en su caso, eliminación de datos, por medios automatizados. La finalidad es exclusivamente prestar el Servicio contratado por el Responsable; el Encargado no determina finalidades propias sobre estos datos.
5. Categorías de titulares
- Pacientes y clientes finales del Responsable.
- Prospectos del Responsable que escriben por WhatsApp.
- Usuarios del negocio y personal autorizado por el Responsable.
6. Categorías de datos tratados
- Identificación y contacto: nombre, número de WhatsApp, correo.
- Contenido de mensajes, notas y archivos enviados por el titular.
- Citas, datos de agenda y comprobantes de pago.
- Cuando el Responsable lo utilice para servicios médicos/dentales, pueden tratarse datos sensibles de salud que el paciente comparta o que el negocio registre. El Encargado no requiere estos datos para operar; su tratamiento depende exclusivamente del Responsable.
7. Instrucciones del Responsable
El Encargado tratará los datos únicamente conforme a las instrucciones documentadas del Responsable, las cuales se entienden contenidas en los Términos, en este Anexo y en la configuración que el Responsable establezca dentro de la Plataforma. El Encargado no usará los datos para fines distintos a los instruidos.
8. Confidencialidad
El Encargado guardará confidencialidad respecto de los datos y se asegurará de que las personas autorizadas para tratarlos se obliguen a ello, incluso después de terminada la relación.
9. Medidas de seguridad
El Encargado aplicará medidas de seguridad administrativas, técnicas y físicas razonables (entre ellas cifrado de credenciales y secretos, control de acceso por roles, aislamiento de datos por organización/tenant y registros de actividad) para proteger los datos. Ninguna medida garantiza seguridad absoluta.
10. Subencargados
El Responsable autoriza al Encargado a apoyarse en subencargados que tratan datos por cuenta del Encargado para prestar el Servicio. Las categorías de subencargados son, de forma enunciativa:
- Meta/WhatsApp (mensajería).
- Proveedores de IA (OpenAI, Anthropic).
- Google (Calendar/OAuth), cuando se conecte.
- Proveedor de hosting/VPS y base de datos.
- Proveedores de correo y de pagos, cuando apliquen.
El Encargado mantendrá una relación contractual con sus subencargados que les imponga obligaciones de protección equivalentes a las de este Anexo. El Encargado podrá agregar o cambiar subencargados, informando al Responsable por medios razonables (por ejemplo, dentro de la Plataforma o por correo); si el Responsable se opone por una causa fundada en protección de datos, las partes buscarán una solución y, de no lograrse, el Responsable podrá terminar el Servicio.
11. Tratamiento internacional
Algunos subencargados pueden ubicarse fuera de México. El Encargado adoptará medidas contractuales y técnicas razonables para que dicho tratamiento cumpla un nivel de protección acorde con la Ley y este Anexo.
12. Apoyo en derechos ARCO
El Encargado apoyará razonablemente al Responsable para atender las solicitudes ARCO de los titulares (acceso, rectificación, cancelación, oposición), poniendo a su disposición las funciones o información necesarias. El Responsable es quien responde a los titulares.
13. Incidentes de seguridad
El Encargado notificará al Responsable, en un plazo razonable tras tener conocimiento, cualquier vulneración de seguridad que afecte de forma significativa los datos tratados por encargo, junto con la información disponible para que el Responsable cumpla sus obligaciones de notificación.
14. Devolución y eliminación al terminar
Al concluir la relación, el Encargado, a elección del Responsable y dentro de un plazo razonable, le permitirá exportar los datos y posteriormente los eliminará o anonimizará, salvo que la Ley exija conservarlos.
15. Evidencia de cumplimiento
A solicitud razonable del Responsable, el Encargado pondrá a su disposición la información razonablemente necesaria para demostrar el cumplimiento de este Anexo, sin comprometer la seguridad de otros clientes ni información confidencial de terceros.
16. Uso restringido de los datos
El Encargado no usará los datos del Responsable ni de sus pacientes/clientes para fines propios, marketing propio o entrenamiento de modelos de inteligencia artificial, salvo autorización expresa y documentada del Responsable.
17. Obligaciones del Responsable
- Contar con base legal, Aviso de Privacidad propio y el consentimiento necesario de sus titulares (incluido el consentimiento expreso para datos sensibles de salud).
- No ingresar datos personales innecesarios o excesivos en la Plataforma.
- Asumir la responsabilidad reforzada que la Ley impone al tratar datos sensibles de salud.
- Dar instrucciones lícitas y mantener actualizada su configuración.
18. Orden de prevalencia
En materia de tratamiento de datos personales por encargo, este Anexo prevalece sobre los Términos y Condiciones en caso de conflicto.
19. Aceptación
Al contratar o usar la Plataforma para tratar datos de sus pacientes/clientes, el Responsable acepta este Anexo.