Welko
Welko
← Volver al inicio
Cumple LFPDPPP · México

Aviso de Privacidad Integral

Última actualización: 26 de marzo de 2026 · Versión 2.0

01

Identidad y Domicilio del Responsable del Tratamiento

Welko (en adelante "el Responsable" o "Welko"), con domicilio en Ciudad de México, México, es el responsable del tratamiento de los datos personales que se recaban a través de la plataforma welko.mx y sus servicios asociados, de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

Para cualquier asunto relacionado con este Aviso, puede contactarnos en: privacidad@welko.org

02

Calidad del Tratamiento — Responsable y Encargado

Welko actúa en una doble calidad según la relación con cada titular de datos:

Responsable del Tratamiento

Aplica: Respecto a los datos del médico o administrador de la clínica (usuario registrado).

Welko decide los fines y medios del tratamiento de los datos del contratante para brindar el servicio SaaS.

Encargado del Tratamiento

Aplica: Respecto a los datos de salud de los pacientes de la clínica contratante.

Welko procesa los datos de los pacientes exclusivamente por instrucción de la clínica. El médico o clínica es el Responsable ante sus pacientes y debe recabar el consentimiento de estos conforme a la normativa aplicable.

El tratamiento de datos de pacientes por parte de Welko se rige por el contrato de servicio suscrito con la clínica contratante, el cual incluye cláusulas de confidencialidad y protección de datos equivalentes a las obligaciones del Responsable.

03

Datos Personales Recabados

A. Datos del titular de la cuenta (médico / administrador de la clínica):

  • Nombre completo e iniciales profesionales.
  • Correo electrónico y número de teléfono de contacto.
  • Nombre comercial y domicilio de la clínica.
  • Horarios de atención y catálogo de tratamientos.
  • Datos de facturación (RFC, razón social) — solo si aplica.

B. Datos de pacientes de la clínica (procesados como Encargado):

  • Nombre y apellidos del paciente.
  • Número de teléfono (WhatsApp Business) utilizado para agendar.
  • Historial de citas: fecha, hora, tratamiento solicitado, estado (confirmada / cancelada / asistida).
  • Notas clínicas breves derivadas de la conversación con el asistente (ej. "primera visita", "alergia a la lidocaína"), cuando el paciente las proporcione voluntariamente.
  • Canal de contacto (WhatsApp, llamada de voz).

Datos de salud — categoría sensible (Art. 9 LFPDPPP)

El historial de citas y las notas clínicas constituyen datos sensibles conforme al Artículo 3 fracción VI de la LFPDPPP. Su tratamiento por parte de Welko se realiza exclusivamente como Encargado bajo instrucción de la clínica contratante, con cifrado AES-256-GCM en reposo y sin acceso por parte de personal no autorizado.

C. Datos recabados automáticamente:

  • Dirección IP y agente de navegador (logs de seguridad, conservados máximo 90 días).
  • Cookies de sesión estrictamente necesarias (sin cookies publicitarias).
  • Métricas de uso agregadas y anónimas para mejora del servicio.
04

Finalidad del Tratamiento

Finalidades primarias (necesarias para el servicio):

  • Operar el recepcionista virtual con IA: responder consultas, agendar citas y enviar recordatorios de forma autónoma a través de WhatsApp Business.
  • Gestionar la agenda y calendario de la clínica contratante en tiempo real.
  • Procesar pagos y administrar la suscripción del plan contratado (mediante Stripe).
  • Enviar confirmaciones de cita, recordatorios y notificaciones de cancelación al paciente.
  • Generar reportes de rendimiento (citas agendadas, asistencia, conversión) para el panel de la clínica.

Finalidades secundarias (requieren consentimiento adicional):

  • Envío de comunicaciones comerciales o promociones de Welko al titular de la cuenta. Puede oponerse a este tratamiento en cualquier momento escribiendo a privacidad@welko.org.

Importante: Los datos de los pacientes nunca se utilizan para entrenar modelos de inteligencia artificial públicos ni de terceros, ni para fines distintos al agendamiento y gestión de citas de la clínica contratante.

05

Fundamento Legal del Tratamiento

  • LFPDPPP (Diario Oficial de la Federación, 5 de julio de 2010).
  • Reglamento de la LFPDPPP (Diario Oficial de la Federación, 21 de diciembre de 2011).
  • Lineamientos del Aviso de Privacidad (INAI, 2013).
  • NOM-024-SSA3-2012 (Sistemas de información de registros electrónicos para la salud).
06

Transferencia de Datos a Terceros

Welko no vende ni renta datos personales. Las transferencias a terceros se limitan a:

Stripe, Inc.

Procesamiento de pagos y suscripciones.

Necesaria para la ejecución del contrato. PCI DSS Nivel 1.

Clerk, Inc.

Autenticación de usuarios y gestión de sesiones.

Necesaria para la seguridad del servicio.

Meta Platforms (WhatsApp Business API)

Canal de comunicación con los pacientes de la clínica.

Necesaria para la operación del recepcionista virtual.

Vercel, Inc.

Infraestructura de alojamiento y entrega de contenido.

Todos los datos se procesan dentro del territorio nacional o bajo acuerdos de protección equivalentes.

Welko no realiza transferencias internacionales de datos de salud sin garantías contractuales equivalentes a la protección establecida en la LFPDPPP.

07

Derechos ARCO del Titular

De conformidad con los artículos 22 al 27 de la LFPDPPP, el titular de los datos — o su representante legal — tiene derecho a:

A

Acceso

Conocer qué datos personales tenemos, cómo los tratamos y para qué fines.

R

Rectificación

Solicitar la corrección de datos inexactos o incompletos.

C

Cancelación

Solicitar la supresión de sus datos cuando no sea necesario conservarlos.

O

Oposición

Oponerse al tratamiento de sus datos para finalidades secundarias.

¿Cómo ejercer sus derechos ARCO?

  1. 1Envíe un correo a privacidad@welko.org con el asunto "Ejercicio de Derechos ARCO".
  2. 2Indique el derecho que desea ejercer y los datos personales involucrados.
  3. 3Acredite su identidad (identificación oficial vigente) o la de su representante legal.
  4. 4Recibirá acuse de recibo en 5 días hábiles. La resolución se emitirá en máximo 20 días hábiles (prorrogables por 20 días más cuando sea justificado).

Si considera que Welko no atiende correctamente su solicitud, puede acudir al INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) en inai.org.mx.

08

Medidas de Seguridad Técnica y Administrativa

Welko implementa las siguientes medidas de seguridad conforme al Artículo 19 de la LFPDPPP y los Lineamientos de protección de datos personales del INAI:

Arquitectura de Seguridad — Grado Médico

ACTIVO

Cifrado AES-256-GCM

EN REPOSO

Todos los datos de pacientes (nombre, teléfono, historial de citas, notas clínicas) se cifran con AES-256-GCM antes de ser almacenados en la base de datos. Cada campo recibe un vector de inicialización (IV) único de 96 bits.

TLS 1.3 + HSTS

EN TRÁNSITO

Toda comunicación entre el navegador, la API y los servicios de terceros viaja cifrada con TLS 1.3. El header Strict-Transport-Security (HSTS) con max-age de 2 años fuerza HTTPS en todos los subdominios.

Content Security Policy (CSP)

APLICACIÓN

Headers HTTP de seguridad configurados en la capa de infraestructura: CSP, X-Frame-Options (SAMEORIGIN), X-Content-Type-Options (nosniff), Referrer-Policy y Permissions-Policy que bloquean cámara, micrófono y geolocalización.

Control de acceso y auditoría

ACCESO

Acceso a datos de producción restringido por roles. Autenticación multifactor (MFA) obligatoria para el equipo de Welko. Logs de acceso y modificación de datos conservados durante 90 días.

En caso de vulneración de seguridad que afecte derechos patrimoniales o morales de los titulares, Welko notificará al INAI y a los afectados a la brevedad posible, conforme al Artículo 20 de la LFPDPPP.

09

Consentimiento y Limitación del Tratamiento

Al registrarse en Welko y hacer uso del servicio, el titular de la cuenta otorga su consentimiento tácito para el tratamiento de sus datos con las finalidades primarias descritas en este Aviso.

Para el tratamiento de datos de pacientes, la clínica contratante — en su calidad de Responsable ante sus pacientes — es la obligada a recabar el consentimiento correspondiente, incluyendo el consentimiento expreso cuando se trate de datos de salud sensibles, conforme al Artículo 9 de la LFPDPPP.

Welko proporciona a la clínica la leyenda de aviso de privacidad que puede compartirse con sus pacientes al inicio de cada conversación con el asistente virtual, disponible en el panel de configuración.

10

Cambios a este Aviso de Privacidad

Welko puede modificar este Aviso cuando sea necesario por cambios en la legislación, en el servicio o en sus prácticas de privacidad. Los cambios se publicarán en esta página con la fecha de última actualización. Si los cambios afectan significativamente el tratamiento de sus datos, se le notificará por correo electrónico con al menos 30 días de anticipación.

El uso continuado del servicio tras la notificación implica la aceptación de los cambios. Si no está de acuerdo, puede solicitar la cancelación de su cuenta en cualquier momento.

¿Tienes preguntas sobre tu privacidad?

Nuestro equipo responde solicitudes ARCO en máximo 20 días hábiles.

Contactar al área de privacidad →