Volver al Inicio
CAMALEÓN NUTRI🦎

AVISO DE PRIVACIDAD
INTEGRAL — CAMALEÓN NUTRI

Software as a Service (SaaS) para Profesionales de la Nutrición • GenIA Labs

Versión 2.4 — Vigente a partir del 5 de junio de 2026. Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

01. Identidad y Domicilio del Responsable

Mauricio Martínez Langarica, denominado comercialmente como GenIA Labs, con domicilio en Uxmal 513 Int. 3, Col. Vértiz Narvarte, Alcaldía Benito Juárez, C.P. 03600, Ciudad de México, es el Responsable del Tratamiento de los datos personales recabados a través de la plataforma Camaleón Nutri (en adelante, "la Plataforma"), accesible en getcamaleon.com.

Correo de contacto para ejercicio de derechos ARCO y consultas de privacidad: hola@getcamaleon.com

02. Definiciones y Roles de Tratamiento

Para efectos de claridad y cumplimiento normativo (LFPDPPP / GDPR), se establecen los siguientes roles:

  • Responsable del TratamientoGenIA Labs, quien determina las finalidades y medios del tratamiento de los datos personales de El Profesional (el nutriólogo suscriptor).
  • Encargado del Tratamiento (Data Processor)GenIA Labs actúa también como Encargado respecto de los datos de los pacientes de El Profesional, procesándolos únicamente bajo las instrucciones implícitas del uso de la Plataforma. GenIA Labs no es propietario de dichos datos, no los utiliza para fines propios y no los comercializa.
  • Responsable ante sus PacientesEl Profesional es el Responsable del Tratamiento frente a sus propios pacientes. Camaleón Nutri genera y despliega por defecto un aviso simplificado con la identidad del consultorio (Art. 15 LFPDPPP); El Profesional debe mantener veraces sus datos de identidad y recabar el consentimiento correspondiente.

03. Datos Personales Recabados y su Origen

A) Del Profesional Suscriptor:

  • Nombre completo, correo electrónico y contraseña (cifrada).
  • Datos de perfil: nombre del consultorio, logo, paleta de colores, URL personalizada.
  • Datos de facturación (nombre fiscal, RFC, dirección fiscal) — opcionales.
  • Datos de pago: procesados exclusivamente por Stripe bajo estándares PCI-DSS. GenIA Labs nunca almacena números de tarjeta completos, CVV ni datos bancarios sensibles.
  • Datos de pago previo al registro: cuando El Profesional paga antes de crear su cuenta (flujo de landing page), se almacena temporalmente su correo electrónico, identificador de suscripción de Stripe y plan contratado en una tabla de suscripciones pendientes, exclusivamente para vincular el pago con la cuenta al momento del registro. Este registro se elimina o marca como vinculado en el momento del primer inicio de sesión exitoso.

B) De los Pacientes de El Profesional (tratados como Encargado):

  • Identificación (NOM-024): nombre, CURP (cuando disponible), fecha de nacimiento, sexo, nacionalidad, entidad de nacimiento (EDONAC).
  • Domicilio estructurado: entidad, municipio y localidad (catálogos INEGI) y código postal.
  • Datos antropométricos, signos vitales y composición corporal (InBody/BIA u otros).
  • Expediente clínico-nutricional: diagnósticos codificados CIE-10, objetivos, historial de consultas, notas de progreso.
  • Planes de alimentación, recetarios y listas de supermercado generados.
  • Datos de contacto: correo electrónico (opcional), número de teléfono (opcional, para enlace de contacto WhatsApp iniciado por el paciente desde la PWA; la plataforma no envía mensajes automáticos).
  • Fotografías de seguimiento (si El Profesional las carga).
  • Credenciales de acceso a la PWA: código de acceso único + contraseña (cifrada con bcrypt). El correo no constituye credencial de inicio de sesión en la PWA.

C) Datos Técnicos y de Navegación:

  • Dirección IP, tipo de dispositivo, navegador y sistema operativo.
  • Registros de acceso (logs) para seguridad y detección de anomalías.
  • Cookies de sesión y de autenticación (ver Política de Cookies).
  • Métricas de uso agregadas y anonimizadas para la mejora del servicio.

04. Finalidades del Tratamiento

Finalidades primarias (necesarias para la prestación del servicio):

  • Proveer, administrar y mantener el acceso a la Plataforma Camaleón Nutri.
  • Gestión de expedientes, agenda, planes nutricionales y reportes.
  • Procesamiento de suscripciones y pagos a través de Stripe.
  • Vinculación de pagos previos al registro con cuentas de nuevos usuarios.
  • Habilitación del Copiloto IA para generación de contenido nutricional personalizado.
  • Envío de notificaciones operativas: confirmaciones de pago, alertas de renovación y suspensión.
  • Soporte técnico y atención a incidencias.
  • Cumplimiento de obligaciones legales, fiscales y regulatorias.

Finalidades secundarias (requieren consentimiento adicional):

  • Envío de comunicaciones de marketing, actualizaciones de producto y casos de éxito. (El Profesional puede darse de baja en cualquier momento mediante el enlace de cancelación en cualquier correo.)

05. Tratamiento de Datos de Salud — Categoría Sensible

Los datos de salud de los pacientes de El Profesional constituyen datos personales sensibles conforme al artículo 3, fracción VI de la LFPDPPP, y reciben el nivel más alto de protección técnica y organizativa disponible.

Estos datos son procesados por GenIA Labs únicamente bajo instrucción implícita de El Profesional al usar la Plataforma, y nunca serán utilizados para: entrenamiento de modelos de IA de uso público, venta a terceros, análisis estadísticos externos o cualquier finalidad ajena a la operación del consultorio de El Profesional.

06. Seguridad de la Información

GenIA Labs implementa las siguientes medidas técnicas y organizativas:

  • Cifrado AES-256 en reposoTodos los datos almacenados en Supabase se cifran con estándar AES-256.
  • TLS 1.3 en tránsitoToda comunicación entre cliente y servidor viaja cifrada mediante TLS 1.3.
  • Aislamiento multi-tenant con Row Level Security (RLS)La arquitectura de base de datos garantiza que cada nutriólogo solo puede acceder a sus propios datos. Es técnicamente imposible que un tenant acceda a los datos de otro.
  • Autenticación seguraGestión de sesiones a través de Supabase Auth con tokens JWT de vida limitada y refresh automático. Contraseñas almacenadas con hash bcrypt.
  • Integridad de expedientes clínicos (NOM-151)Huella SHA-256 automática al registrar actos clínicos, registros append-only (NOM-024) y sello de integridad diferido 24 horas después del registro. Facilita auditorías; no equivale a certificación PSC ni firma electrónica avanzada.
  • Pagos bajo PCI-DSSStripe es el único procesador de pagos. GenIA Labs no almacena datos de tarjetas.

07. Transferencia de Datos y Subencargados

Para la operación de la Plataforma, GenIA Labs comparte datos con los siguientes subencargados de confianza, todos con niveles adecuados de protección:

  • Supabase, Inc. (EE.UU.)Almacenamiento de base de datos, autenticación y storage de archivos. Infraestructura bajo estándares SOC 2 Type II.
  • Vercel, Inc. (EE.UU.)Alojamiento y distribución global de la aplicación web (CDN). Certificación SOC 2.
  • Stripe, Inc. (EE.UU.)Procesamiento de pagos bajo PCI-DSS Nivel 1.
  • Google LLC (EE.UU.) / OpenAI (EE.UU.)Modelos de inteligencia artificial para el Copiloto. Los datos enviados son anonimizados en la medida de lo posible y no se utilizan para reentrenamiento de modelos públicos conforme a los acuerdos de procesamiento de datos de cada proveedor.
  • Resend, Inc. (EE.UU.)Envío de correos transaccionales: bienvenida, recordatorios de cita, alertas de trial, notificaciones de solicitudes ARCO y comunicaciones operativas.

Al contratar la Plataforma, El Profesional consiente la transferencia internacional de datos necesaria para la operación del servicio, en los términos del artículo 36 de la LFPDPPP.

08 · GENERACIÓN ASISTIDA DE AVISO SIMPLIFICADO HACIA PACIENTES

Camaleón Nutri es una plataforma White Label que, por defecto, genera y despliega automáticamente un aviso simplificado de privacidad hacia los pacientes de El Profesional en la PWA, inyectando la identidad del consultorio (nombre, domicilio y contacto) conforme al artículo 15 LFPDPPP.

El Profesional permanece como Responsable del Tratamiento frente a sus pacientes y es responsable de mantener veraces y actualizados los datos de identidad capturados en la Plataforma. GenIA Labs actúa como Encargado del Tratamiento respecto de dichos datos de pacientes.

El Profesional puede sustituir el aviso generado pegando su propio texto en la configuración de la app de pacientes. GenIA Labs no sustituye asesoría legal individual ni garantiza que un aviso personalizado pegado por El Profesional cumpla todos los requisitos legales aplicables a su consultorio.

08·1 · CONSENTIMIENTO EN TRES CAPAS (PWA DEL PACIENTE)

Antes de acceder al plan clínico, el paciente completa un flujo de tres capas independientes, cada una con registro separado en la base de datos:

  • Paso 1: Aceptación de términos de la plataforma Camaleón y creación de contraseña de acceso.
  • Paso 2: Lectura y aceptación del aviso de privacidad del consultorio (Art. 15 LFPDPPP), generado con la identidad registrada por El Profesional.
  • Paso 3: Consentimiento informado clínico para el tratamiento nutricional.

El Profesional es responsable de que sus pacientes completen el flujo antes del acceso al contenido clínico. GenIA Labs conserva evidencia técnica de cada aceptación (incluida la fecha de primer acceso tras consentimiento).

09. Derechos ARCO y Mecanismo de Ejercicio

A) Del Profesional Suscriptor (datos de su cuenta):

Conforme a la LFPDPPP, El Profesional tiene derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales (Derechos ARCO), así como a revocar su consentimiento.

Para ejercer estos derechos, envíe su solicitud a hola@getcamaleon.com con el asunto "Ejercicio Derechos ARCO", indicando: nombre completo, correo registrado, derecho que desea ejercer y documentación de identidad. GenIA Labs responderá en un plazo máximo de 20 días hábiles y, en su caso, hará efectiva la solicitud en un plazo adicional de hasta 15 días hábiles, conforme a la ley.

B) De los Pacientes del Consultorio (expediente clínico):

El paciente puede ejercer sus derechos ARCO mediante el formulario integrado en la PWA de su nutriólogo (sección Perfil). La solicitud se registra en la plataforma y El Profesional — como Responsable frente a sus pacientes — la gestiona desde su panel de expediente en los plazos de la LFPDPPP. GenIA Labs actúa como encargado técnico del procesamiento y notifica al Profesional por correo al recibir cada solicitud.

El paciente también puede contactar directamente a su nutriólogo por los medios que éste indique en su aviso simplificado de privacidad.

En solicitudes de Cancelación (profesional o paciente), los datos pueden entrar en un periodo de bloqueo de tratamiento: dejan de tratarse activamente pero se conservan el tiempo necesario para determinar responsabilidades. Los datos de salud necesarios para prevención, diagnóstico o gestión de servicios de salud bajo secreto profesional pueden exceptuarse de la cancelación (Art. 25 LFPDPPP), en cuyo caso se bloquean pero no se eliminan hasta vencimiento de la NOM-004-SSA3-2012.

10. Retención y Eliminación de Datos

Los datos operativos de El Profesional se conservan durante la vigencia de la suscripción y por un período adicional de 30 días naturales tras la cancelación, para facilitar la portabilidad mediante exportación. Transcurrido dicho período, el acceso a la plataforma se bloquea (archivo en frío).

Los expedientes clínicos de pacientes se conservan por el período mínimo de 5 (cinco) años desde el último acto médico, conforme a la NOM-004-SSA3-2012, aunque El Profesional haya cancelado su suscripción. La eliminación definitiva solo ocurre una vez vencido dicho plazo legal.

Los datos de pago previo al registro (suscripciones pendientes) se eliminan o marcan como vinculados en el momento del primer inicio de sesión exitoso. En caso de no completarse el registro, se eliminan automáticamente a los 90 días naturales del pago.

11. Cookies

Camaleón Nutri utiliza cookies técnicas esenciales para el funcionamiento del SaaS y cookies analíticas opcionales. Para el inventario detallado y opciones de control, consulte nuestra Política de Cookies.

12. Cambios al Aviso de Privacidad

GenIA Labs puede actualizar este Aviso de Privacidad. Los cambios se notificarán mediante un aviso en la Plataforma o por correo electrónico al registrado. La fecha de la última versión siempre se indicará en el encabezado de este documento.

13. Autoridad Supervisora

Si considera que su derecho a la protección de datos personales ha sido vulnerado, tiene derecho a presentar una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), con sitio web en inai.org.mx.

14. Vulneraciones de Seguridad (Art. 19 LFPDPPP)

Conforme al Artículo 19 de la LFPDPPP, cuando ocurran vulneraciones de seguridad en los sistemas o bases de datos que afecten de forma significativa los derechos morales o patrimoniales de los titulares, GenIA Labs informará de forma inmediata a las personas afectadas para que puedan tomar las medidas correspondientes en defensa de sus derechos.

La notificación incluirá, como mínimo:

  • La naturaleza del incidente de seguridad.
  • Las categorías de datos personales potencialmente comprometidos.
  • Las medidas de seguridad adoptadas de forma inmediata.
  • Recomendaciones para que el titular defienda sus derechos.
  • Medios de contacto para obtener información adicional.

Canal dedicado para incidentes de seguridad: seguridad@getcamaleon.com

Cuando la vulneración sea imputable a la infraestructura de la plataforma (por ejemplo, proveedores cloud como Supabase o Vercel), GenIA Labs notificará directamente a El Profesional (como titular suscriptor) y, en su carácter de encargado, a los pacientes que tengan correo electrónico registrado. El Profesional deberá notificar por sus propios medios a los pacientes sin correo en la plataforma, en cumplimiento de su obligación como Responsable frente a ellos.

Cuando la vulneración sea imputable exclusivamente al consultorio o negligencia del Profesional, éste conserva la obligación de notificar a sus pacientes; GenIA Labs cooperará proporcionando la información técnica disponible sobre el alcance del incidente en la medida legalmente permitida.

Cuando proceda conforme al Reglamento de la LFPDPPP (Art. 42–43), GenIA Labs notificará al INAI en los plazos y términos legales aplicables.