Acuerdo de Procesamiento de Datos (DPA)

• Responsable del tratamiento: la clínica usuaria registrada en Kiper Medical.
• Encargado del tratamiento: Kiper Medical, plataforma SaaS de gestión clínica.

Kiper Medical tratará datos personales de los pacientes del Responsable, exclusivamente en nombre y por cuenta de éste, con el único fin de prestar el servicio SaaS contratado.

• Almacenamiento del expediente clínico electrónico.
• Gestión de citas y agenda médica.
• Emisión y archivo de recetas médicas digitales.
• Comunicaciones transaccionales con pacientes (recordatorios, confirmaciones).

• Datos de identificación del paciente (nombre, fecha de nacimiento, sexo).
• Datos de contacto (teléfono, email, domicilio cuando aplique).
• Datos personales sensibles de salud (categoría especial conforme al art. 3 fracción VI LFPDPPP).

• Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable.
• Implementar y mantener medidas técnicas, físicas y administrativas de seguridad suficientes.
• No transferir los datos a terceros sin la autorización previa del Responsable, salvo subencargados aprobados.
• Notificar al Responsable cualquier vulneración de seguridad dentro de las 72 horas siguientes a su detección.
• Devolver o eliminar los datos al terminar el contrato, salvo las obligaciones legales de conservación.

• Contar con bases legales suficientes para el tratamiento de datos de sus pacientes.
• Obtener el consentimiento expreso de los pacientes para el tratamiento de datos sensibles de salud.
• Notificar a Kiper Medical cualquier cambio sustancial en las finalidades del tratamiento.
• Cumplir con la NOM-004-SSA3-2012 respecto al expediente clínico.

Para la prestación del servicio, Kiper Medical utiliza los siguientes subencargados, todos ellos sujetos a obligaciones contractuales equivalentes a las del presente DPA:

• Airtable Inc. — infraestructura de almacenamiento de datos.
• Twilio SendGrid Inc. — envío de comunicaciones transaccionales.
• Stripe Payments Mexico, S. de R.L. de C.V. — procesamiento de pagos de la clínica (no aplica a datos clínicos).

• Cifrado en tránsito (TLS 1.3) entre cliente y servidor.
• Cifrado en reposo (AES-256) para datos almacenados.
• Control de acceso por roles (RBAC) y autenticación reforzada.
• Bitácora de auditoría de accesos y modificaciones al expediente clínico.
• Respaldos periódicos con cifrado equivalente.

El presente DPA estará vigente durante toda la suscripción activa del Responsable. Kiper Medical conservará los datos clínicos por un mínimo de 5 años posteriores a la cancelación de la suscripción, conforme a la NOM-004-SSA3-2012.

El Responsable podrá solicitar la eliminación anticipada de los datos con un aviso mínimo de 30 días naturales, salvo cuando una obligación legal exija su conservación.

El presente acuerdo se rige por la legislación mexicana, en particular por la LFPDPPP y su Reglamento. Las partes se someten a la jurisdicción de los tribunales competentes de la Ciudad de México, renunciando expresamente a cualquier otro fuero que pudiera corresponderles.