Política de Privacidad

🔍

Transparencia sobre cumplimiento regulatorio

Alyus opera bajo los siguientes marcos — aquí indicamos el estado real de cada uno en esta etapa.

✅

LFPDPPP (México) — Activo

Aviso de privacidad vigente. Derechos ARCO implementados. Base legal documentada para cada tratamiento de datos.

✅

Cifrado AES-256 + TLS 1.3 — Activo

Todos los datos en reposo y en tránsito están cifrados. Implementado desde la infraestructura de Google Cloud.

🔄

NOM-004 / NOM-024 — En implementación

Expediente clínico estructurado según los requisitos de ambas normas. Auditoría formal programada para Q3 2026.

🔄

HIPAA — BAAs en proceso

Arquitectura diseñada para cumplimiento HIPAA. Business Associate Agreements (BAA) en negociación con Google Cloud y Zoom. Sin BAA firmado aún con modelos de IA.

📋

ISO 27001 — Roadmap 2027

Certificación formal que requiere auditoría externa. Políticas internas de seguridad implementadas siguiendo el framework. Proceso de certificación planificado.

📋

SOC 2 Type II — Roadmap 2027

Auditoría formal por firma independiente. Controles de seguridad implementados siguiendo los criterios TSC. Certificación planificada al escalar operaciones.

ℹ️Alyus se compromete a publicar actualizaciones de estado de cumplimiento en esta página a medida que obtenga certificaciones. La transparencia regulatoria es parte de nuestra promesa de confianza con médicos y pacientes.

🔐

Política de Privacidad

Última actualización: 23 de febrero de 2026 · Aplica a doctores y pacientes

Alyus (en adelante "la Plataforma") es una solución SaaS de gestión médica con inteligencia artificial operada por Alyus Inc. Nos comprometemos a proteger la privacidad de nuestros dos tipos de usuarios: médicos (usuarios principales de la plataforma) y pacientes (cuyos datos son gestionados a través de ella). Este documento aplica a todos los servicios de Alyus.

ℹ️

Alyus actúa como Encargado del Tratamiento de los datos médicos de los pacientes, mientras que el médico actúa como Responsable del Tratamiento en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México.

1Datos que recopilamos

Categoría	Datos específicos	Usuario	Base legal
Identidad médico	Nombre, cédula profesional, especialidad, foto de perfil	Doctor	Contrato de servicio
Identidad paciente	Nombre, fecha de nacimiento, sexo, CURP (opcional)	Paciente	Consentimiento explícito
Datos de salud	Síntomas, diagnósticos, medicamentos, alergias, historial clínico, resultados de laboratorio, imágenes médicas	Paciente	Consentimiento + atención médica
Datos del cuestionario	Respuestas de triaje, escala de dolor, motivo de consulta	Paciente	Consentimiento explícito
Uso de plataforma	Logs de acceso, dispositivo, IP, funciones utilizadas	DoctorPaciente	Interés legítimo / seguridad
Datos de pago	Últimos 4 dígitos de tarjeta, historial de facturación (procesado por Stripe)	Doctor	Ejecución contractual
Comunicaciones	Mensajes en plataforma, notificaciones de follow-up, respuestas a encuestas	DoctorPaciente	Consentimiento

2Cómo usamos tus datos

Utilizamos la información recopilada únicamente para los siguientes propósitos:

Finalidad	Descripción	¿Aplica a?
Prestación del servicio	Gestión de citas, expediente clínico, recetas y seguimiento	DoctorPaciente
Asistente Médico Inteligente (IA)	Agente médico de IA que asiste al médico en prediagnóstico, Medical Scribe, alertas clínicas y planes de tratamiento. Para el paciente: seguimiento activo, recordatorios y detección de alarmas. Nunca sustituye el criterio médico profesional.	DoctorPacienteClínica
Follow-up automatizado	Envío de recordatorios de medicación, encuestas post-consulta y alertas vía app, SMS, WhatsApp o correo	Paciente
Catálogo médico Lymbika	Ante cualquier duda de salud o situación de urgencia, el paciente tiene acceso al catálogo médico de Lymbika Healthcare para localizar y contactar a un médico disponible. Operado por Lymbika Healthcare bajo sus propios términos.	PacienteDoctor
Mejora del servicio	Análisis de uso anonimizado para mejorar la plataforma. Jamás se vincula con identidades individuales.	Ambos
Seguridad y fraude	Detección de accesos no autorizados y actividades sospechosas	Ambos
Cumplimiento legal	Respuesta a solicitudes de autoridades competentes bajo mandato judicial	Ambos

⚠️

Prohibición expresa sobre datos clínicos: Alyus Inc. NUNCA venderá, rentará ni compartirá datos de salud identificados (diagnósticos, síntomas, medicamentos, notas clínicas) con fines publicitarios, de marketing o comerciales de ningún tipo. Excepción documentada — Lymbika Healthcare: Lymbika Healthcare, plataforma de generación de pacientes y coordinación operativa del mismo ecosistema, puede recibir datos de uso y contacto (no datos clínicos identificados) con fines de marketing, coordinación operativa y publicidad, únicamente cuando el usuario haya otorgado consentimiento explícito para ello al momento del registro o en su perfil. Los datos clínicos compartidos con Lymbika son siempre agregados y anonimizados — nunca identificados.

3Con quién compartimos la información

Compartimos datos únicamente con las siguientes categorías de terceros, todos bajo acuerdos de confidencialidad estrictos:

Proveedor / Categoría	Propósito	País	Datos compartidos
Google Cloud / Firebase	Infraestructura de nube y base de datos	EUA (BAA en negociación)	Todos los datos cifrados AES-256
Lymbika Healthcare	Plataforma de generación de pacientes y coordinación operativa. Lymbika puede utilizar datos de uso (no datos clínicos identificados) con fines de marketing, comerciales y publicitarios conforme al consentimiento otorgado por el usuario.	México / EUA	Datos de uso y contacto cifrados. Datos clínicos: solo agregados y anonimizados. Nunca datos de salud identificados con fines comerciales.
Anthropic / OpenAI	Modelos de IA para el Asistente Médico Inteligente	EUA	Datos clínicos pseudoanonimizados
Zoom Video Communications	API de teleconsulta para consultas médicas remotas	EUA	Metadatos de sesión, nombre y contacto
Stripe	Procesamiento de pagos (PCI DSS Nivel 1)	EUA	Datos de facturación únicamente
SendGrid / Twilio	Notificaciones y correo de follow-up	EUA	Nombre y datos de contacto
WhatsApp Business API (Meta)	Mensajería de seguimiento, recordatorios de medicación, comunicación médico-paciente y notificaciones del agente médico de IA vía WhatsApp	EUA / Global	Nombre, número de teléfono, mensajes de seguimiento. Los mensajes tienen cifrado de extremo a extremo de Meta.
Médico / Clínica / Hospital tratante	Acceso completo al expediente de sus propios pacientes	México / País del prestador	Expediente clínico completo
Autoridades competentes	Solo bajo orden judicial o mandato legal verificable	Según jurisdicción	Exclusivamente lo requerido por ley

4Seguridad de la información

Implementamos controles técnicos y organizacionales de nivel hospitalario para proteger tus datos:

✅

Cifrado AES-256 + TLS 1.3 — Activo. Todos los datos en reposo y en tránsito están cifrados vía Google Cloud.

✅

Autenticación multifactor (MFA) — Activo. Implementado vía Firebase Auth para todos los accesos de médicos e instituciones.

✅

Logs de auditoría — Activo. Registro de accesos por usuario, fecha y acción, almacenados en Google Cloud Logging.

🔄

Penetration testing — Programado. Primera auditoría de seguridad externa planificada para Q3 2026 previo a escala comercial.

✅

Backups automáticos — Activo. Google Cloud realiza backups automáticos diarios con retención configurable.

🔄

Protocolo de brechas — Documentado. Procedimiento interno definido. Notificación al INAI y usuarios afectados en máximo 72 horas. Proceso en validación legal.

5Retención y eliminación de datos

Los datos de salud de los pacientes se conservan durante el período activo de la relación médico-paciente y por un mínimo de 5 años posteriores a la última consulta, en cumplimiento con la NOM-004-SSA3-2012 (Expediente Clínico) y la NOM-024-SSA3-2012. Al cancelar la suscripción, el médico puede exportar todos los datos dentro de los 30 días siguientes. El formato HL7 FHIR R4 está en roadmap de implementación para Q4 2026; actualmente la exportación está disponible en formato JSON/CSV. Transcurrido ese plazo, los datos serán eliminados de forma segura.

📋

Términos y Condiciones de Servicio

Aplican a médicos registrados como titulares de la cuenta Alyus

Al registrarse y utilizar Alyus, el médico (en adelante "el Usuario") acepta los presentes términos. Estos términos constituyen un contrato vinculante entre el Usuario y Alyus Inc.

1Uso aceptable de la plataforma

✅ Permitido	❌ Prohibido
Gestionar exclusivamente pacientes dentro de su práctica médica legítima	Compartir credenciales de acceso con terceros no autorizados
Usar la IA como herramienta de apoyo al diagnóstico clínico	Usar sugerencias de IA como diagnóstico definitivo sin evaluación clínica
Exportar datos de sus propios pacientes para continuidad de atención	Extraer datos masivamente para fines distintos a la atención médica
Registrar el consentimiento informado del paciente antes de procesar sus datos	Registrar datos de pacientes sin su conocimiento o consentimiento
Reportar vulnerabilidades de seguridad al equipo de Alyus	Intentar acceder a datos de otros médicos o sus pacientes

2Responsabilidad médica y limitación de la IA

🚨

Aviso crítico: Las funcionalidades de inteligencia artificial de Alyus — incluyendo prediagnóstico, Medical Scribe, alertas clínicas y planes de tratamiento — son herramientas de apoyo clínico y en ningún caso constituyen diagnóstico médico definitivo, recomendación de tratamiento, ni sustituyen el juicio clínico del médico. La responsabilidad profesional, ética y legal de todo acto médico recae exclusivamente en el médico tratante cédula habilitado.

Alyus no es un dispositivo médico certificado para diagnóstico definitivo. Los modelos de IA utilizados tienen una precisión estimada que varía según la especialidad y la calidad de los datos ingresados. El Usuario debe siempre contrastar los resultados de la IA con su experiencia clínica, exploración física y criterio profesional.

3Suscripción, pagos y cancelación

🏢

Entidades facturadoras autorizadas: La suscripción a Alyus puede ser facturada por Alyus Inc. (factura en USD para usuarios en EUA) o por Medical Cyberphysic Platform S.A.P.I. de C.V. (factura en MXN con CFDI 4.0 para usuarios en México), según la jurisdicción fiscal del usuario y el plan contratado. Ambas entidades operan bajo los mismos términos de servicio y política de privacidad aquí descritos.

Concepto	Condición
Facturación	Mensual o anual, cobrada en la fecha de activación. Precio en MXN o USD según plan.
Periodo de prueba	14 días gratuitos sin tarjeta de crédito. Al vencer, se requiere método de pago para continuar.
Cancelación	En cualquier momento. El acceso se mantiene hasta el fin del periodo facturado. Sin cargos adicionales.
Reembolsos	Planes mensuales: no reembolsables. Planes anuales: reembolso proporcional en primeros 30 días.
Cambios de precio	Notificación con 30 días de anticipación. El usuario puede cancelar sin cargo si no acepta el nuevo precio.
Impuestos (México)	Precios no incluyen IVA (8% zona fronteriza / 16% resto de México). Se emite CFDI 4.0. En EUA pueden aplicar impuestos estatales según jurisdicción.

4Disponibilidad del servicio y SLA

Alyus garantiza una disponibilidad objetivo del 99.5% mensual (equivalente a menos de 3.6 horas de inactividad al mes), excluidas ventanas de mantenimiento programado que se notifican con 48 horas de anticipación. En caso de incumplimiento, el Usuario podrá solicitar créditos en su siguiente factura proporcionales al tiempo de inactividad.

5Propiedad intelectual

El software, diseño, algoritmos de IA y marca de Alyus son propiedad exclusiva de Alyus Inc. Los datos clínicos ingresados por el médico y sus pacientes pertenecen al médico y al paciente en todo momento. Alyus no adquiere ningún derecho de propiedad sobre los datos médicos. El médico otorga a Alyus Inc. una licencia limitada, no exclusiva y revocable, únicamente para procesar dichos datos con el fin específico de prestar el servicio contratado.

6Jurisdicción y ley aplicable

Estos términos se rigen por las leyes de los Estados Unidos Mexicanos. Para cualquier controversia, las partes se someten a la jurisdicción de los tribunales del Estado de Delaware, EUA, sin perjuicio de las obligaciones de cumplimiento en México conforme a LFPDPPP y NOM aplicables, renunciando a cualquier otro fuero que pudiera corresponderles.

🏥

Tratamiento Especial de Datos Médicos

Datos de categoría especial bajo LFPDPPP y NOM-024-SSA3-2012

Los datos de salud constituyen una categoría especial de datos sensibles bajo la legislación mexicana. Su tratamiento requiere el consentimiento expreso, informado, libre e inequívoco del titular (el paciente). Alyus implementa salvaguardas adicionales específicas para este tipo de información.

1Expediente clínico digital

El expediente clínico de Alyus está diseñado siguiendo los lineamientos de la NOM-004-SSA3-2012 y la NOM-024-SSA3-2012. La verificación formal de cumplimiento con ambas normas está programada para Q3 2026. Las siguientes funcionalidades ya están implementadas:

📋

Registro de autoría con fecha, hora y cédula profesional en cada nota clínica. Las notas firmadas electrónicamente son inmutables y no pueden eliminarse, solo adicionarse correcciones.

🔍

Trazabilidad completa: cada acceso al expediente queda registrado con identificador del usuario, fecha, hora y acción realizada (lectura, modificación, exportación).

📤

Portabilidad en formato HL7 FHIR R4, estándar internacional de interoperabilidad en salud, que permite transferir el expediente a otros sistemas o instituciones.

2Inteligencia Artificial: qué hace y qué no hace

Funcionalidad IA	Qué hace	Qué NO hace
Prediagnóstico	Sugiere diagnósticos probables con porcentajes basados en síntomas del cuestionario, usando modelos de ML entrenados en literatura médica.	No emite diagnóstico definitivo. No prescribe tratamientos de forma autónoma.
Medical Scribe	Genera borrador de nota clínica estructurada a partir de los datos de la consulta para revisión del médico.	No firma ni valida notas clínicas. El médico debe revisar y aprobar cada nota.
Alertas de seguimiento	Detecta patrones de riesgo (abandono de medicación, empeoramiento de síntomas) y alerta al médico.	No toma acciones autónomas ni contacta servicios de emergencia sin intervención humana.
Verificación de recetas	Revisa posibles interacciones medicamentosas y alergias registradas, alertando al médico.	No bloquea recetas ni sustituye al farmacéutico o al criterio médico.

🔬

Los modelos de IA de Alyus son procesados por proveedores de IA de clase mundial bajo acuerdos de procesamiento de datos estrictos. Los datos enviados a los modelos son pseudoanonimizados (se eliminan identificadores directos como nombre y CURP antes del procesamiento). Los proveedores de IA no pueden usar estos datos para entrenar sus modelos.

3Consentimiento del paciente

Antes de registrar los datos de un paciente, el médico es responsable de obtener su consentimiento informado. Alyus provee un formulario de consentimiento digital estándar que cumple con la regulación mexicana, disponible en español e inglés. Este consentimiento debe incluir: descripción de los datos a recopilar, finalidad del tratamiento, derechos del paciente (ARCO), y la participación de la IA en el análisis de sus datos.

⚖️

Derechos de los Usuarios

Derechos ARCO + derechos extendidos para pacientes

Tanto médicos como pacientes gozan de los siguientes derechos sobre sus datos personales, ejercibles en cualquier momento sin necesidad de justificación:

👁

Acceso

Conocer qué datos personales tenemos sobre ti, con qué finalidad los tratamos y con quién los compartimos. Respuesta en máx. 20 días hábiles.

✏️

Rectificación

Corregir datos inexactos o incompletos. Para datos médicos, el médico tratante debe validar la corrección en el expediente.

🗑

Cancelación

Solicitar la eliminación de tus datos. Aplica excepciones para datos con obligación de conservación legal (expediente clínico mínimo 5 años).

🚫

Oposición

Oponerte al tratamiento de tus datos para finalidades específicas como envío de comunicaciones o análisis estadístico.

📦

Portabilidad

Recibir tus datos en formato estructurado, legible y portable (JSON / HL7 FHIR). Disponible para médicos y pacientes.

🤖

No discriminación por IA

Los pacientes tienen derecho a que ninguna decisión médica definitiva sea tomada únicamente por sistemas automatizados sin revisión humana.

📩

Para ejercer cualquiera de estos derechos, envía tu solicitud a contact@alyus.ai con tu nombre completo y descripción de la solicitud. Tiempo de respuesta: máximo 20 días hábiles. Puedes presentar quejas ante el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) si consideras que tus derechos no fueron atendidos.

📩

Contacto Legal y DPO

Responsable de Privacidad y canales oficiales de contacto

Para consultas relacionadas con privacidad, protección de datos, reporte de vulnerabilidades, ejercicio de derechos ARCO o cualquier asunto legal relacionado con Alyus:

📧

Privacidad y ARCO

contact@alyus.ai

🛡

Seguridad / Brechas

contact@alyus.ai

⚖️

Asuntos Legales

contact@alyus.ai

🏢

Alyus Inc. · Responsable del tratamiento de datos · Ciudad Juárez, Chihuahua, México · Delaware, EUA · El Responsable de Protección de Datos (DPO) puede ser contactado en contact@alyus.ai

Alyus se reserva el derecho de actualizar esta Política de Privacidad y los Términos de Servicio. Los cambios materiales serán notificados con al menos 30 días de anticipación por correo electrónico y mediante aviso destacado en la plataforma. El uso continuado de Alyus después de la fecha de vigencia de los cambios constituye aceptación de los mismos.

Tu privacidad y seguridad son nuestra prioridad

Transparencia sobre cumplimiento regulatorio

Política de Privacidad

1Datos que recopilamos

2Cómo usamos tus datos

3Con quién compartimos la información

4Seguridad de la información

5Retención y eliminación de datos

Términos y Condiciones de Servicio

1Uso aceptable de la plataforma

2Responsabilidad médica y limitación de la IA

3Suscripción, pagos y cancelación

4Disponibilidad del servicio y SLA

5Propiedad intelectual

6Jurisdicción y ley aplicable

Tratamiento Especial de Datos Médicos

1Expediente clínico digital

2Inteligencia Artificial: qué hace y qué no hace

3Consentimiento del paciente

Derechos de los Usuarios

Acceso

Rectificación

Cancelación

Oposición

Portabilidad

No discriminación por IA

Contacto Legal y DPO