Política de Privacidad

Este Aviso de Privacidad describe cómo Regeneris Therapy S.A. de C.V. recaba, utiliza, almacena y protege los datos personales de los usuarios que interactúan con nuestra Página de Facebook, nuestra cuenta de Instagram Business y nuestra aplicación interna «Regeneris CRM».

01Alcance y propósito

Este Aviso de Privacidad describe cómo Regeneris Therapy S.A. de C.V. («Regeneris», «nosotros») recaba, utiliza, almacena y protege los datos personales de los usuarios que interactúan con nuestra Página de Facebook, nuestra cuenta de Instagram Business y nuestra aplicación interna «Regeneris CRM» (en lo sucesivo, la «App»). La App se utiliza exclusivamente por nuestro personal clínico y administrativo autorizado para gestionar las comunicaciones entrantes y salientes con pacientes actuales y prospectos a través de Facebook Messenger e Instagram Direct.

El fundamento legal del tratamiento en México es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento; en la Unión Europea (cuando aplica a residentes de la UE que nos contactan), el Reglamento General de Protección de Datos (RGPD) Artículo 6(1)(b) (ejecución de un servicio solicitado) y 6(1)(c) (obligación legal de retención del expediente clínico bajo la NOM-004-SSA3-2012).

02Datos que recabamos vía APIs de Meta

Cuando nos escribes a nuestra Página de Facebook o a nuestra cuenta de Instagram Business, Meta entrega los siguientes datos a nuestra App a través de sus APIs de Graph / Mensajería. No recabamos ninguno de estos datos fuera de una conversación directa que tú inicies con nosotros.

No recabamos: números telefónicos (Meta no los expone vía estas APIs), direcciones de correo, datos de pago, datos de ubicación, listas de amigos ni ningún otro campo del Graph API más allá de los listados arriba.

03Cómo usamos los datos

Utilizamos los datos recabados exclusivamente para las siguientes finalidades:

1. Brindar respuestas clínicas y de servicio al cliente. El personal lee los mensajes entrantes en la bandeja del CRM y responde dentro de la ventana de 24 horas de Messenger o de 7 días de Mensajería Estándar, según aplique.
2. Agendar citas. Si preguntas por disponibilidad, nuestro personal puede ofrecerte horarios y confirmar reservas.
3. Enviar recordatorios de citas. Si has reservado una cita y diste consentimiento expreso para recordatorios, enviamos uno aproximadamente 24 horas antes de la cita. Puedes darte de baja en cualquier momento respondiendo STOP, BAJA, NO MÁS o PARAR (LFPDPPP Art. 22).
4. Mantener el expediente clínico cuando aplique. La ley sanitaria mexicana (NOM-004-SSA3-2012, Del expediente clínico, numeral 5.4) exige conservar los registros de comunicaciones clínicas durante un mínimo de 5 años contados a partir del último acto médico (y hasta 10 años para estudios de imagenología diagnóstica).
5. Calidad operativa. Podemos agregar métricas anonimizadas (tiempo medio de respuesta, volumen de mensajes por hora) para reporte interno de calidad. Estos agregados no contienen texto de mensajes ni identificadores.

Nunca:

• Vendemos tus datos a terceros.
• Compartimos tus datos con anunciantes, brokers de datos ni partes externas a los encargados listados en §5.
• Usamos el contenido de tus mensajes para entrenar modelos de IA, públicos o privados.
• Enviamos mensajes promocionales no solicitados. Las comunicaciones de marketing, si las hay, se envían por correo electrónico y requieren un consentimiento expreso e independiente.
• Tratamos tus datos para cualquier finalidad no listada arriba.

04Cumplimiento LFPDPPP y derechos ARCO

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, tienes los siguientes derechos, conocidos colectivamente como derechos ARCO:

• Acceso — solicitar una copia de los datos personales que tenemos sobre ti.
• Rectificación — corregir datos inexactos o incompletos.
• Cancelación — solicitar que eliminemos tus datos. Cumpliremos salvo que la retención sea obligatoria por ley (p. ej., retención del expediente clínico bajo NOM-004-SSA3-2012).
• Oposición — oponerte al tratamiento para una finalidad específica (normalmente marketing).

Para ejercer cualquier derecho ARCO, envía un correo a contact@regeneristherapy.com con: tu nombre completo y copia de una identificación oficial (INE, pasaporte); una descripción clara del derecho que deseas ejercer; el sujeto de la solicitud; y un medio para responderte.

Respondemos dentro de 20 días hábiles conforme al Art. 32 de la LFPDPPP. También puedes presentar la solicitud mediante el formulario público en /legal/arco. Si no estás satisfecho con nuestra respuesta, puedes presentar una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

05Revocación del consentimiento (LFPDPPP Art. 35)

Además de los derechos ARCO del §4, los Arts. 8 y 35 de la LFPDPPP te otorgan el derecho independiente a revocar tu consentimiento al tratamiento de tus datos personales en cualquier momento. Este mecanismo es expreso, gratuito y de fácil acceso conforme al Art. 35 LFPDPPP y al Art. 21 del Reglamento.

Cómo revocar tu consentimiento. Envía un correo a contact@regeneristherapy.com con el asunto «Revocación de Consentimiento» e incluye la información de identidad requerida por el Art. 29 de la LFPDPPP:

• Tu nombre completo.
• Copia de una identificación oficial (INE, pasaporte o CURP). Tacha cualquier dato que no quieras compartir.
• El canal de Meta (Messenger / Instagram) u otro identificador con el que nos contactaste.
• Un medio para responderte (correo electrónico es aceptable).
• Una breve declaración de que deseas revocar tu consentimiento al tratamiento de tus datos personales.

Plazo. Respondemos dentro de 20 días hábiles conforme al Art. 32 LFPDPPP. La revocación es gratuita.

Efectos de la revocación. Al validar tu solicitud cesaremos el tratamiento de tus datos para las finalidades que dependen de tu consentimiento (respuestas clínicas, agenda de citas, recordatorios opt-in, métricas operativas) y registraremos tu PSID/IGSID en nuestra tabla de opt-out para impedir cualquier contacto proactivo futuro.

Lo que la revocación NO hace. La revocación no elimina los expedientes clínicos cuya retención nos exige la ley conforme a la NOM-004-SSA3-2012 (Del expediente clínico, numeral 5.4: mínimo de 5 años contados desde el último acto médico; hasta 10 años para estudios de imagenología diagnóstica) — estos son supuestos exceptuados bajo el Art. 10 LFPDPPP. En esos casos anonimizamos los identificadores y conservamos únicamente el contenido clínico bajo un ID no identificable durante el plazo legalmente exigido, tras lo cual eliminamos o anonimizamos definitivamente el registro.

06Encargados y transferencias transfronterizas

La App se hospeda en infraestructura fuera de México. Bajo el Art. 36 de la LFPDPPP, te informamos de los receptores de transferencias transfronterizas:

• Vercel Inc. (Estados Unidos) — hospedaje de la aplicación para admin.regeneristherapy.com y regeneristherapy.com. SOC 2 Tipo II; TLS 1.3.
• Supabase Inc. (Estados Unidos, us-east-1) — base de datos PostgreSQL, autenticación, almacenamiento y canales en tiempo real. SOC 2 Tipo II; AES-256 en reposo; seguridad a nivel de fila en cada tabla.
• Meta Platforms, Inc. (Estados Unidos) — origen de los datos del mensaje; Meta es el responsable original de Facebook / Instagram y corresponsable con nosotros respecto de los datos que ingerimos.
• Resend (Estados Unidos) — envío de correos transaccionales. Recibe sólo correos electrónicos — nunca contenido de mensajes de Meta.
• Cal.com (Estados Unidos) — agenda de citas. Recibe nombre, apellido y metadatos de cita — nunca contenido de mensajes de Meta.

Para residentes de México: al aceptar este aviso, autorizas expresamente la transferencia internacional de tus datos a los encargados listados, bajo las salvaguardas descritas, conforme al Art. 36 LFPDPPP.

07Retención de datos

Clasificamos los mensajes en dos regímenes según su contenido:

6.1 Mensajes médicos / clínicos — 7 años

Si el hilo de mensajes corresponde a un asunto clínico (síntomas, seguimiento de tratamiento, preguntas post-procedimiento, prescripciones, resultados de laboratorio, cualquier cosa que forme parte del expediente clínico), el hilo completo se conserva durante 7 años desde la fecha del último mensaje. Cubre el mínimo NOM-004-SSA3-2012 (5 años contados desde el último acto médico, numeral 5.4) más buffer de 2 años por posibles reclamos civiles (Art. 1934 del Código Civil Federal). Los estudios de imagenología diagnóstica que forman parte del expediente clínico se conservan por 10 años cuando NOM-004 numeral 5.4 así lo exige.

6.2 Mensajes no médicos — 5 años

Las conversaciones limitadas a contenido administrativo, de agenda o comercial se conservan por 5 años desde la fecha del último mensaje. Después de 5 años, el cuerpo del mensaje, los adjuntos y cualquier foto de perfil cacheada se eliminan; sólo conservamos un identificador hasheado y la marca de tiempo de la conversación para reportes estadísticos.

6.3 Eliminación anticipada a solicitud del usuario

Si ejerces tu derecho de Cancelación (§4) eliminamos tus datos dentro de 20 días hábiles, salvo que la retención sea obligatoria por ley. En el caso médico, anonimizamos (eliminando PSID/IGSID y datos de perfil) y conservamos sólo el contenido del mensaje bajo un ID no identificable — el balance que la LFPDPPP exige entre tu derecho al olvido y nuestra obligación de preservar el expediente clínico.

6.4 Retención de opt-out

Cuando te das de baja del envío proactivo (respondes STOP / BAJA / NO MÁS / PARAR), conservamos el opt-out indefinidamente — eso es lo que nos permite honrar la baja a perpetuidad. El registro de opt-out contiene únicamente el PSID/IGSID y la marca de tiempo.

08Seguridad

• TLS 1.3 para todos los datos en tránsito (Meta → nuestro webhook, nuestro webhook → Supabase, navegador → app admin).
• AES-256 para datos en reposo (cifrado administrado por Supabase).
• Seguridad a nivel de fila (RLS) en cada tabla de Supabase — el personal sólo ve los hilos asignados a su rol.
• Verificación HMAC en cada entrega de webhook de Meta (el META_APP_SECRET se rota anualmente).
• Bitácora de auditoría de cada lectura / escritura en las tablas del CRM.
• Principio de mínimo privilegio para el acceso del personal — front-desk puede ver y responder pero no exportar datos en bulk.

En el caso poco probable de un incidente de seguridad que afecte tus datos, notificamos al INAI dentro de 72 horas tras la confirmación conforme al Art. 20 LFPDPPP, y te notificamos directamente dentro de 72 horas cuando el incidente afecte materialmente tus derechos.

09Datos de menores

No tratamos a sabiendas datos personales de menores de 13 años a través de la App. Si un padre o tutor legal reserva una cita para un menor y nos envía mensajes sobre ella, el sujeto de los datos del expediente clínico es el menor y aplica el consentimiento del representante legal (LFPDPPP Art. 8). Los padres pueden ejercer derechos ARCO en nombre de sus hijos.

10Cambios a este Aviso de Privacidad

Podemos actualizar este Aviso de Privacidad para reflejar cambios en la ley, en nuestras prácticas de tratamiento o en las APIs de Meta. Cuando lo hagamos, la fecha de «Última actualización» al inicio del documento cambia y el valor interno PRIVACY_NOTICE_VERSION se actualiza a una nueva cadena YYYY-MM-DD. Para cambios materiales que afecten tus derechos te notificaremos por mensaje directo a tu cuenta de Meta antes de que la nueva versión entre en vigor.

11Contacto

• Responsable del tratamiento: Regeneris Therapy S.A. de C.V.
• Domicilio: Av. Tulúm SM 11 MZ 1 Lote 1 Local 207, Cancún, Quintana Roo, C.P. 77504, México
• Correo de privacidad / DPO: contact@regeneristherapy.com
• Correo general: hola@regeneristherapy.com
• Teléfono: +52 998 616 0110
• Formulario ARCO en línea: /legal/arco
• Regulador: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), home.inai.org.mx.

12Resumen para Meta App Review

Esta sección existe para que un revisor de Meta App Review pueda verificar que la política cumple sus requisitos de plataforma en menos de un minuto.

• Datos recabados vía APIs de Meta: PSIDs / IGSIDs, texto del mensaje, adjuntos, perfil público (first_name, last_name, profile_pic, username de IG) y marcas de tiempo. Detallado en §2.
• Uso: leer + responder mensajes entrantes, agendar citas, enviar recordatorios con opt-in, mantener el expediente clínico cuando aplique. Detallado en §3.
• Lo que nunca hacemos: vender, compartir para publicidad, entrenar modelos de IA o enviar marketing no solicitado. Detallado en §3.
• Retención: 7 años para mensajes clínicos (NOM-004-SSA3-2012 numeral 5.4: mínimo de 5 años + buffer civil de 2 años; 10 años para imagenología diagnóstica), 5 años para mensajes no clínicos. Detallado en §6.
• Eliminación: los usuarios pueden solicitar la eliminación vía el formulario ARCO en /legal/arco. Detallado en §4.
• Hospedaje: Vercel (EEUU) para la app, Supabase (EEUU, us-east-1) para la base de datos. Detallado en §5.
• Seguridad: TLS 1.3 en tránsito, AES-256 en reposo, RLS, verificación HMAC de webhooks, bitácora de auditoría. Detallado en §7.