Enfea

Aviso de Privacidad Integral

Versión 2.0 · Actualizado: 10 de julio de 2026

AVISO DE PRIVACIDAD INTEGRAL — Versión 2.0 — 10 de julio de 2026

RESPONSABLE DEL TRATAMIENTO
Enfea, S.A.S. de C.V. ("Enfea"), Ciudad de México, México.
Contacto: privacidad@enfea.mx

Marco normativo: LFPDPPP (D.O.F. 5-jul-2010), su Reglamento (D.O.F. 21-dic-2011), Lineamientos del Aviso de Privacidad (D.O.F. 17-ene-2013), NOM-004-SSA3-2012, CFF art. 30, Ley General de Salud.

1. DATOS QUE RECABAMOS

Identificación y contacto: nombre completo, correo electrónico, teléfono, domicilio.
Cuenta: contraseña (hash bcrypt, nunca en texto plano), historial de accesos.
Ubicación: dirección y coordenadas del servicio solicitado.
Profesionales de salud: cédula profesional, RFC, CURP, comprobante de domicilio, identificación oficial vigente (INE/pasaporte), certificaciones, carta de antecedentes no penales, CLABE.
Datos sensibles (requieren consentimiento expreso adicional):
  • Salud: alergias, padecimientos crónicos, medicamentos, antecedentes, recetas, documentos médicos adjuntos.
  • Biométricos: fotografía del rostro para verificación de identidad (liveness check).

2. FINALIDADES

Necesarias: crear y gestionar tu cuenta, conectar pacientes con profesionales, gestionar reservas y pagos, verificar identidad y credenciales, cumplir obligaciones legales/fiscales/sanitarias, atender derechos ARCO, enviar notificaciones operativas.
Secundarias (puedes oponerte): comunicaciones sobre nuevas funcionalidades o servicios.

Para oponerte a finalidades secundarias: privacidad@enfea.mx con asunto "Oposición a finalidades secundarias".

3. DATOS SENSIBLES DE SALUD

Tratados conforme al art. 9 LFPDPPP con consentimiento expreso. Protección aplicada:
• Cifrado AES-256-GCM en reposo (archivos y campos).
• Acceso restringido al profesional asignado al servicio activo.
• Documentos comprimidos (gzip) y cifrados; llave no almacenada junto al archivo.

4. TRANSFERENCIAS

a) Profesional asignado — información mínima necesaria para el servicio.
b) Procesadores de pago (Stripe/Mercado Pago) — datos de transacción.
c) Proveedor de notificaciones (Expo/APNs/FCM) — token de dispositivo.
d) Proveedor de correo (Resend) — correo para OTPs y confirmaciones.
e) Infraestructura (Railway/Vercel) — bajo acuerdos de confidencialidad.
f) Autoridades — cuando exista requerimiento legal fundado y motivado.

No vendemos, rentamos ni cedemos datos personales a terceros con fines comerciales.

5. DERECHOS ARCO

Tienes derecho a Acceder, Rectificar, Cancelar y Oponerte al tratamiento (arts. 28-36 LFPDPPP).
Solicitudes: privacidad@enfea.mx con asunto "Solicitud ARCO".
Incluir: nombre, correo registrado, derecho a ejercer, documentos de identidad.
Plazo de respuesta: máximo 20 días hábiles (art. 32 LFPDPPP).
También puedes eliminar tu cuenta desde la app (Configuración > Eliminar cuenta).

6. MEDIDAS DE SEGURIDAD

• Cifrado en tránsito: TLS 1.3 en todas las comunicaciones.
• Cifrado en reposo: contraseñas con bcrypt; documentos sensibles con AES-256-GCM.
• Autenticación: 2FA con OTP por correo, JWT con expiración 7 días.
• Control de acceso basado en roles (RBAC); mínimo privilegio.
• Bitácora de auditoría en accesos a documentos sensibles.

7. CONSERVACIÓN DE DATOS

Datos de identificación: durante vigencia de la cuenta; anonimizados al cancelar.
Documentos de validación profesional: eliminados definitivamente al cancelar.
Información médica / expediente: cifrada por 5 años adicionales tras cancelación (NOM-004-SSA3-2012).
Datos fiscales (RFC, CLABE): 5 años (CFF art. 30).

Ver "Política de Conservación y Anonimización de Datos" para detalle completo.

8. COOKIES

Solo cookies de sesión para autenticación. No usamos cookies de rastreo de terceros con fines publicitarios.

9. MODIFICACIONES

Cambios sustanciales se notificarán por correo electrónico con al menos 15 días de anticipación.

10. AUTORIDAD DE SUPERVISIÓN

Quejas ante el INAI: www.inai.org.mx

Enfea, S.A.S. de C.V. — privacidad@enfea.mx — Versión 2.0 — 10 de julio de 2026