Privacidad

• #PolíticaPrivacidad
• 17 de abril de 2026 |

Aviso de Privacidad Integral

Plataforma MATILDE

Software de Gestión de Consultorios y Expediente Clínico Electrónico

BAWARE S.A. DE C.V.  |  Versión 2.0  |  17 de abril de 2026  |  matilde.mx/privacy.html

I. Identidad y domicilio del responsable

• Responsable: BAWARE S.A. DE C.V. (en lo sucesivo, "BWR")
• RFC: BAW120201QK6
• Domicilio: Calle Montes Urales 455, Piso 1 y 2, Col. Lomas de Virreyes, Lomas de Chapultepec III Sección, C.P. 11000, Miguel Hidalgo, Ciudad de México
• Sitio de la plataforma: https://matilde.mx
• Contacto privacidad / ARCO: privacidad@bwr.mx
• Soporte técnico: soporte@bwr.mx
• Autoridad — protección de datos: Secretaría de Anticorrupción y Buen Gobierno (SABG), conforme a la LFPDPPP vigente (DOF 20 de marzo de 2025)
• Autoridad — incidentes de datos: Instituto de Transparencia para el Pueblo (ITP), para notificación de incidentes por el Responsable del tratamiento conforme al art. 20 LFPDPPP

BWR desarrolla, opera y comercializa MATILDE, plataforma de gestión de consultorios médicos y Expediente Clínico Electrónico (ECE) en modalidad SaaS, alojada en infraestructura de nube de Amazon Web Services (AWS). El presente Aviso de Privacidad Integral se emite en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento, la NOM-024-SSA3-2012 y la NOM-004-SSA3-2012, y es parte integral de los Términos y Condiciones de MATILDE.

AVISO SOBRE CERTIFICACIÓN NOM-024: A la fecha de emisión del presente Aviso, la plataforma MATILDE se encuentra en proceso de certificación como Sistema de Información de Registro Electrónico para la Salud (SIRES) conforme a la NOM-024-SSA3-2012. Ha sido desarrollada tomando en cuenta los estándares de dicha norma. BWR notificará a todos los usuarios activos en cuanto se obtenga la certificación oficial.

II. Titulares de datos a quienes aplica este aviso

El presente Aviso aplica a las siguientes categorías de titulares, cuyo tratamiento de datos se describe de manera diferenciada a lo largo del documento:

• Profesional de Salud (Cliente): Médico, odontólogo, psicólogo, nutriólogo, terapeuta u otro profesional de la salud que contrata MATILDE, así como su personal autorizado. (Sección IV-A)
• Paciente: Persona cuyos datos clínicos son registrados en el ECE por el Profesional de Salud. (Sección IV-B)
• Paciente — Portal del Paciente: Cuando el Paciente accede directamente a la plataforma mediante el Portal del Paciente (funcionalidad opcional). (Sección IV-C)

BWR actúa en roles jurídicos distintos respecto a cada titular: frente al Profesional de Salud es Responsable del tratamiento; frente a los datos del Paciente actúa como Encargado del tratamiento conforme al artículo 50 del Reglamento de la LFPDPPP, siendo el Profesional de Salud el Responsable del ECE del Paciente conforme a la NOM-004-SSA3-2012.

III. Datos personales que se tratan

A) Datos del Profesional de Salud (Cliente — Titular Tipo A)

• Datos de identificación: nombre completo, RFC, cédula profesional, CURP, identificación oficial vigente (pasaporte, INE/IFE, cédula profesional u equivalente).
• Datos de contacto: correo electrónico, número telefónico, domicilio del consultorio.
• Datos de habilitación profesional: número de cédula en la Dirección General de Profesiones, especialidad médica, institución de adscripción cuando aplique.
• Datos financieros: información fiscal completa (RFC con régimen, domicilio fiscal) para emisión de CFDI; datos de tarjeta de crédito o débito para domiciliación de suscripción, procesados por pasarela de pago certificada PCI-DSS — BWR no almacena datos de tarjeta en sus propios servidores.
• Datos de acceso: credenciales de usuario, dirección IP, registros de sesión y actividad en la plataforma (logs de auditoría).

B) Datos del Paciente registrados en el ECE (Titular Tipo B) — Datos Personales Sensibles

Los datos de Paciente son DATOS PERSONALES SENSIBLES conforme al artículo 3, fracción VI de la LFPDPPP, al incluir información relativa al estado de salud presente y futuro. Su tratamiento requiere el consentimiento expreso e informado del Paciente, que debe ser recabado por el Profesional de Salud en su calidad de Responsable del ECE.

• Datos de identificación del Paciente: nombre, fecha de nacimiento, sexo, CURP, datos de contacto.
• Datos clínicos: motivo de consulta, antecedentes heredofamiliares y personales, historia clínica, signos vitales, diagnósticos con codificación CIE-10, notas de evolución (SOAP), planes de tratamiento, prescripciones y recetas electrónicas.
• Resultados de estudios: laboratorio, radiología, imagenología y demás estudios de diagnóstico.
• Datos biométricos cuando sean registrados: peso, talla, índice de masa corporal, presión arterial y otros.
• Información genética cuando el Profesional de Salud la incorpore al expediente.
• Grabaciones de audio o transcripciones de voz generadas mediante las funcionalidades de Inteligencia Artificial de la plataforma (transcripción de consultas), únicamente cuando el Paciente haya otorgado consentimiento expreso y previo al Profesional de Salud para dicha grabación, conforme a la Sección X del presente Aviso.

Importante: BWR no recaba directamente datos de Pacientes. Toda la información clínica es ingresada exclusivamente por el Profesional de Salud o el personal que este autorice dentro de la plataforma. El Profesional de Salud es el Responsable del ECE y tiene la obligación legal de obtener el consentimiento informado del Paciente.

C) Datos del Paciente — Portal del Paciente (Titular Tipo C)

Cuando se habilite la funcionalidad opcional de Portal del Paciente, el Paciente podrá acceder directamente a información de su expediente. En este supuesto, el Paciente se convierte en titular directo frente a BWR, y BWR recabará adicionalmente:

• Datos de acceso: correo electrónico y credenciales del Paciente para el Portal.
• Registros de actividad en el Portal: fecha y hora de accesos, documentos consultados.

El acceso al Portal del Paciente estará sujeto a términos específicos que se pondrán a disposición del Paciente al momento de su habilitación.

IV. Finalidades del tratamiento

A) Profesional de Salud — Finalidades primarias

• Verificar la identidad y acreditación profesional del Cliente para el alta en la plataforma, incluyendo validación de cédula profesional ante la Dirección General de Profesiones.
• Formalizar y administrar el contrato de licencia de uso de MATILDE.
• Gestionar la suscripción, facturación (emisión de CFDI), cobro recurrente y programa de referidos.
• Proporcionar soporte técnico, mantenimiento y atención al Cliente.
• Gestionar el acceso, roles y permisos del Profesional de Salud y su personal autorizado dentro de la plataforma.
• Cumplir con obligaciones fiscales, contables y legales aplicables.
• Atender solicitudes de ejercicio de derechos ARCO y revocación de consentimiento.

A) Profesional de Salud — Finalidades secundarias (requieren consentimiento adicional)

• Envío de comunicaciones sobre nuevas funcionalidades, actualizaciones de la plataforma o materiales informativos del sector salud.
• Invitaciones a actividades, webinars o programas de capacitación organizados por BWR.
• Participación en encuestas de satisfacción o estudios de mejora del servicio.

El titular puede oponerse al tratamiento para finalidades secundarias en cualquier momento enviando un correo a privacidad@bwr.mx, sin que ello afecte la prestación del servicio contratado.

B) Paciente — Finalidades del tratamiento del ECE

• Almacenar, organizar y hacer accesible el ECE del Paciente para el Profesional de Salud que lo atiende, conforme a la NOM-004-SSA3-2012 y NOM-024-SSA3-2012.
• Garantizar la continuidad, integridad, confidencialidad y disponibilidad del expediente clínico electrónico durante el plazo legal de conservación.
• Permitir la generación de recetas electrónicas, órdenes de laboratorio y demás documentos clínicos derivados del ECE.
• Habilitar las funcionalidades de apoyo basadas en Inteligencia Artificial (transcripción de voz, asistencia en notas clínicas, alertas de interacciones medicamentosas), siempre como herramientas de apoyo al Profesional de Salud y nunca como sustituto del criterio clínico.
• Permitir al Paciente el acceso a su información a través del Portal del Paciente, cuando dicha funcionalidad esté habilitada.

V. Obtención de datos personales

BWR obtiene los datos del Profesional de Salud a través de:

• El formulario de registro electrónico en el sitio web de MATILDE (matilde.mx).
• La carga de identificación oficial y cédula profesional durante el proceso de alta y verificación de identidad.
• Las comunicaciones por correo electrónico, teléfono o canales de soporte.
• El uso de la plataforma (logs de actividad, métricas de uso generadas de forma automática).

Los datos del Paciente son ingresados y cargados directamente por el Profesional de Salud o el personal que este autorice dentro de la plataforma. BWR no recaba directamente datos de Pacientes a través de ningún medio propio.

VI. Encargados del tratamiento y transferencias

A) Encargado de infraestructura — Amazon Web Services (AWS)

BWR utiliza Amazon Web Services, Inc. (AWS) como proveedor de infraestructura en nube para el alojamiento, almacenamiento y procesamiento de los datos de la plataforma. AWS actúa como sub-encargado del tratamiento conforme al artículo 50 del Reglamento de la LFPDPPP, bajo un acuerdo de procesamiento de datos que incluye las salvaguardas técnicas y contractuales requeridas. Los centros de datos de AWS pueden estar ubicados en México, Estados Unidos y/o la Unión Europea. Las transferencias internacionales de datos se realizan al amparo de cláusulas contractuales que garantizan niveles de protección equivalentes a los exigidos por la LFPDPPP.

B) Otros encargados del tratamiento

• Procesador de pagos certificado PCI-DSS: para la gestión del cobro recurrente de suscripciones. Solo recibe los datos estrictamente necesarios para procesar el cargo autorizado.
• Proveedor de correo transaccional: para el envío de notificaciones operativas y facturas electrónicas al correo registrado por el Cliente.

C) Transferencias a terceros

BWR no comercializa, vende ni transfiere datos de Profesionales de Salud ni datos clínicos de Pacientes a terceros para fines comerciales. Las únicas comunicaciones posibles son:

• A autoridades competentes (SABG, COFEPRIS, Secretaría de Salud, ITP, autoridades judiciales o administrativas) cuando sea requerido por disposición legal o resolución firme.
• A los sub-encargados descritos en los incisos A y B anteriores, bajo acuerdos de confidencialidad y únicamente en la medida necesaria para cada servicio.

En ningún caso se realizarán transferencias de datos clínicos de Pacientes sin el conocimiento del Profesional de Salud Responsable del ECE.

VII. Plazos de conservación

• Datos del Profesional de Salud (contrato, facturación): Vigencia del contrato + 5 años. Fundamento: Obligaciones fiscales (CFF art. 30) y civiles.
• ECE de Pacientes adultos (mayores de edad): Mínimo 5 años desde el último acto médico documentado. Fundamento: NOM-004-SSA3-2012, numerales 5.9 y 5.10.
• ECE de Pacientes menores de edad al momento del último acto médico: Hasta la mayoría de edad del Paciente + 5 años adicionales. Fundamento: NOM-004-SSA3-2012; régimen especial de protección de menores.
• Grabaciones de audio / transcripciones de voz (IA): El tiempo estrictamente necesario para la transcripción; no se conserva el audio original tras su procesamiento. Fundamento: Principio de proporcionalidad — art. 13 y 14 LFPDPPP.
• Logs de auditoría y accesos: 5 años. Fundamento: NOM-024-SSA3-2012 num. 5.3; ISO/IEC 27001.
• Datos de facturación y pago: 5 años. Fundamento: Código Fiscal de la Federación, art. 30.
• Identificación oficial cargada para verificación de identidad: El tiempo mínimo indispensable para completar la verificación; eliminada una vez validada la identidad. Fundamento: Principio de proporcionalidad y minimización — arts. 13 y 14 LFPDPPP.

Al término del contrato, BWR mantendrá el Contenido del Cliente disponible para exportación durante 30 días naturales, transcurridos los cuales procederá a la eliminación segura, con excepción de la información sujeta a los plazos de conservación obligatorios descritos en la tabla anterior.

VIII. Consentimiento para datos personales sensibles de pacientes

De conformidad con el artículo 9 de la LFPDPPP, el tratamiento de datos personales sensibles requiere el consentimiento expreso e informado del titular. Al registrar datos clínicos de un Paciente en MATILDE, el Profesional de Salud declara y garantiza:

• Haber recabado el consentimiento informado del Paciente (o de su representante legal, en caso de minoría de edad o incapacidad) para el tratamiento de sus datos de salud, conforme al artículo 29 de la Ley General de Salud y al artículo 9 de la LFPDPPP, cumpliendo los requisitos formales de dicho precepto.
• Haber informado al Paciente de manera clara que su información será almacenada y gestionada mediante la Plataforma MATILDE, operada por BAWARE S.A. de C.V. como Encargado del tratamiento.
• Ser el Responsable del ECE del Paciente en los términos de la NOM-004-SSA3-2012 y conservar la evidencia del consentimiento obtenido, exhibiéndola ante BWR o las autoridades competentes cuando le sea requerido.
• Haber elaborado y puesto a disposición de cada Paciente su propio Aviso de Privacidad como Responsable del tratamiento, conforme al artículo 16 de la LFPDPPP, mencionando expresamente que utiliza MATILDE de BAWARE S.A. de C.V. como Encargado para la gestión del ECE.

BWR, en su carácter de Encargado del Tratamiento, procesará los datos clínicos que el Profesional de Salud ingrese en la plataforma exclusivamente para la prestación de los servicios contratados, sin acceder a su contenido salvo para fines de soporte técnico con autorización expresa del Profesional de Salud, y sin utilizarlos para fines propios distintos a la prestación del servicio.

IX. Funcionalidades de inteligencia artificial

MATILDE incluye funcionalidades basadas en Inteligencia Artificial (IA) como herramientas de apoyo al Profesional de Salud: asistencia en redacción de notas clínicas, generación de resúmenes y alertas sobre interacciones medicamentosas. Estas herramientas son de apoyo y no constituyen diagnóstico, prescripción ni recomendación terapéutica vinculante. El Profesional de Salud es el único responsable de verificar y validar cualquier sugerencia generada por la IA antes de tomar decisiones clínicas.

X. Derechos ARCO y revocación del consentimiento

Todo titular tiene derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales (derechos ARCO), así como a Revocar el consentimiento otorgado, en cualquier momento, conforme a los artículos 22 al 37 de la LFPDPPP.

Derechos ARCO del Profesional de Salud

El Profesional de Salud puede ejercer sus derechos ARCO sobre sus propios datos enviando solicitud a privacidad@bwr.mx con los siguientes elementos:

• Nombre completo y datos de contacto para recibir la respuesta.
• Documento que acredite su identidad o la de su representante legal.
• Descripción clara de los datos sobre los que solicita ejercer el derecho y la acción específica.
• En caso de rectificación: documentación que sustente la modificación solicitada.

BWR determinará la procedencia de la solicitud dentro de los 20 días hábiles siguientes a su recepción y, de ser procedente, efectivizará el derecho dentro de los 15 días hábiles adicionales. Ambos plazos son prorrogables por igual período mediante aviso fundado al titular.

Derechos ARCO de los Pacientes

Los derechos ARCO de los Pacientes sobre sus datos clínicos deben ser atendidos por el Profesional de Salud en su calidad de Responsable del ECE. BWR asistirá al Profesional de Salud con la información técnica disponible en los sistemas, pero no está obligado a responder directamente frente a los Pacientes. El Profesional de Salud es el único obligado a atender las solicitudes de sus Pacientes.

Limitación al ejercicio del derecho de Cancelación sobre el ECE

Los datos clínicos contenidos en el ECE no podrán cancelarse durante el plazo mínimo de conservación establecido por la NOM-004-SSA3-2012, al tratarse de información con valor probatorio y de salud pública. Para el caso de Pacientes menores de edad, aplica el régimen especial descrito en la Sección VIII. Transcurrido el plazo correspondiente, el Profesional de Salud podrá solicitar la eliminación del ECE conforme al procedimiento descrito en los Términos y Condiciones de MATILDE.

XI. Actualización del aviso de privacidad

BWR podrá modificar el presente Aviso en cualquier momento para reflejar cambios en la plataforma, en la legislación aplicable o en sus medidas de seguridad. Los cambios serán notificados mediante:

• Aviso en la pantalla de inicio de sesión de MATILDE con al menos 15 días naturales de anticipación a su entrada en vigor.
• Correo electrónico al correo registrado del Cliente.

Cuando la modificación afecte el tratamiento de Datos Personales Sensibles, BWR actualizará el Aviso conforme a la LFPDPPP y, cuando sea legalmente requerido, recabará el consentimiento expreso del Cliente.

La versión vigente estará siempre disponible en matilde.mx/privacy.html. La versión del Aviso aceptada por el Cliente al momento del registro quedará registrada en la plataforma para efectos de trazabilidad.

XII. Autoridades competentes

Las siguientes autoridades son competentes en las materias descritas:

• Secretaría de Anticorrupción y Buen Gobierno (SABG): Protección de datos personales en posesión de particulares; sanciones por incumplimiento de la LFPDPPP. Acceso: www.gob.mx/buengobierno
• Instituto de Transparencia para el Pueblo (ITP): Resolución de inconformidades ciudadanas en materia de acceso a información; notificación de incidentes de datos por el Responsable (art. 20 LFPDPPP). Acceso: A través de la Secretaría Anticorrupción y Buen Gobierno.
• COFEPRIS / Secretaría de Salud: Supervisión del cumplimiento de NOM-004 y NOM-024 en materia de expediente clínico electrónico y SIRES. Acceso: www.gob.mx/cofepris

BAWARE S.A. DE C.V.  |  RFC: BAW120201QK6  |  privacidad@bwr.mx  |  matilde.mx  |  Ciudad de México

Versión 2.0 — Alineado con la · LFPDPPP (DOF 20/03/2025) · NOM-004 · NOM-024 · LGS Cap. VI Bis

Documento preparado para el expediente de certificación SIRES-DGIS de la Secretaría de Salud.