Aviso de Privacidad Integral

En cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y Lineamientos, Suelta(en adelante, “Suelta” o “nosotros”), proyecto operado por Bernardo Noriega, persona física en proceso de constitución como entidad legal formal en México, pone a su disposición el presente Aviso de Privacidad.

Como domicilio de contacto, mientras se completa el alta fiscal y el registro de un domicilio comercial formal, se designa la dirección de correo electrónico siguiente. Esta sección será actualizada con razón social y domicilio fiscal definitivos en cuanto el trámite concluya.

Para cualquier asunto relacionado con este Aviso de Privacidad, el tratamiento de sus datos personales o el ejercicio de sus derechos ARCO, puede escribirnos a privacidad@suelta.app.

Para las finalidades descritas en este Aviso, Suelta puede recabar y tratar los siguientes datos personales:

• De la persona profesional titular de la cuenta: nombre completo, correo electrónico, número telefónico, especialidad, ciudad, datos fiscales cuando aplique, y datos de facturación (procesados por terceros PCI-DSS como Stripe y Mercado Pago — Suelta no almacena datos completos de tarjeta).
• De las personas atendidas por el titular de la cuenta (pacientes / clientes): nombre, edad, contacto, notas clínicas, historial de sesiones, archivos clínicos y datos de pago. Estos datos son capturados directamente por el profesional en ejercicio de su práctica y Suelta actúa como encargado del tratamiento, no como responsable.
• Datos técnicos: dirección IP, tipo de navegador, sistema operativo, fechas y horas de acceso, y logs operativos necesarios para mantener la seguridad del servicio.

Datos personales sensibles: dado que el titular de la cuenta es un(a) profesional de la salud o el bienestar, las notas clínicas y archivos que registre pueden contener datos personales sensibles de sus pacientes (información sobre salud física o mental, hábitos, antecedentes, entre otros). Estos datos reciben un nivel de protección reforzado: cifrado en reposo, Row Level Security en base de datos, y acceso restringido exclusivamente al profesional que los capturó.

Finalidades primarias (necesarias para el servicio):

• Crear, mantener y administrar su cuenta en Suelta y los datos asociados a su práctica profesional.
• Procesar pagos de suscripción mediante Stripe y Mercado Pago.
• Enviar notificaciones operativas relacionadas con el servicio, recordatorios programados y mensajes transaccionales.
• Proveer soporte técnico, atender solicitudes y resolver incidencias.
• Cumplir con obligaciones legales, fiscales y regulatorias aplicables.

Finalidades secundarias (no necesarias para el servicio):

• Enviarle comunicaciones sobre nuevas funcionalidades, consejos y novedades de Suelta.
• Elaborar estadísticas agregadas y anónimas para mejorar el producto.

Si no desea que sus datos personales sean tratados para las finalidades secundarias, puede manifestarlo desde el momento del registro o en cualquier momento posterior enviando un correo a privacidad@suelta.app. La negativa al tratamiento para finalidades secundarias no será motivo para negarle el servicio.

Usted tiene derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales (derechos ARCO), así como a revocar el consentimiento que haya otorgado para tal efecto.

Para ejercer cualquiera de estos derechos, envíe una solicitud al correo privacidad@suelta.app con la siguiente información:

• Nombre completo y correo electrónico de contacto.
• Copia de una identificación oficial vigente (para acreditar identidad).
• Descripción clara y precisa del derecho que desea ejercer y los datos sobre los que recae.

Le daremos respuesta en un plazo máximo de 20 días hábiles a partir de la recepción de la solicitud completa, conforme a los artículos 28 a 35 de la LFPDPPP.

Suelta no vende, alquila ni comparte sus datos personales con terceros para fines comerciales. Sin embargo, para operar el servicio compartimos datos estrictamente necesarios con los siguientes proveedores tecnológicos, todos ellos sujetos a obligaciones de confidencialidad y protección de datos:

• Supabase (infraestructura y almacenamiento): base de datos, autenticación y almacenamiento de archivos.
• Vercel (hosting): alojamiento de la aplicación.
• Stripe y Mercado Pago (procesamiento de pagos): certificados PCI-DSS Nivel 1.
• Twilio / Meta WhatsApp Business API: envío de notificaciones y mensajes programados.
• Resend (correo transaccional): envío de correos operativos.
• Microsoft Clarity, Google Analytics y Meta Pixel (analítica de uso): herramientas que nos ayudan a entender de forma agregada cómo se usan el sitio público y la plataforma (páginas visitadas, clics, recorridos), sin identificar individualmente a las personas usuarias. Ver Sección 7 para el detalle de cookies y opciones de oposición.

Ninguna de estas transferencias requiere su consentimiento adicional conforme al artículo 37 de la LFPDPPP, ya que son necesarias para el cumplimiento del servicio contratado.

Suelta implementa medidas administrativas, técnicas y físicas para proteger sus datos personales contra acceso no autorizado, pérdida, alteración o divulgación indebida. Entre otras:

• Cifrado en tránsito (TLS 1.3) y en reposo.
• Row Level Security a nivel de base de datos: cada usuario solo puede acceder a sus propios datos, garantizado por reglas a nivel de motor de base de datos.
• Autenticación segura con contraseña y sesiones gestionadas por Supabase Auth.
• Acceso mínimo privilegiado: el personal de Suelta no tiene acceso a notas clínicas ni archivos de pacientes.
• Respaldos automáticos diarios y procedimientos de recuperación ante desastres.

Suelta utiliza tres categorías de cookies y tecnologías similares:

• Cookies estrictamente necesarias: mantienen su sesión iniciada, recuerdan sus preferencias y protegen contra accesos fraudulentos. No requieren consentimiento y no pueden desactivarse sin afectar el funcionamiento del servicio.
• Cookies de analítica de uso (Microsoft Clarity): cargamos Microsoft Clarity en el sitio público y en la plataforma para entender de forma agregada cómo se usa Suelta — qué páginas se visitan, dónde hacen clic las personas usuarias, en qué punto abandonan un flujo. Clarity enmascara automáticamente campos sensibles (contraseñas, datos de tarjeta, correos electrónicos) antes de registrar la sesión. Esta información se utiliza exclusivamente para mejorar el producto y nunca se comparte con fines publicitarios. Conforme a la LFPDPPP, el uso de cookies analíticas no requiere consentimiento previo.
• Cookies de medición de campañas (Google Analytics y Meta Pixel): nos permiten medir el desempeño de campañas publicitarias y entender cómo llegan visitantes nuevos a Suelta. Estas cookies solo se activan después de que usted acepta explícitamente el banner de cookies que aparece al ingresar al sitio.

Cómo oponerse al uso de cookies analíticas: usted puede oponerse en cualquier momento configurando su navegador para bloquear cookies de terceros, utilizando una extensión de bloqueo (uBlock Origin, Privacy Badger, etc.), navegando en modo privado o incógnito, o solicitando la oposición por escrito al correo privacidad@suelta.app. También puede consultar la Declaración de Privacidad de Microsoft para conocer cómo Clarity trata estos datos.

Sus datos personales se conservarán durante el tiempo que dure la relación contractual con Suelta. Al cancelar su cuenta, sus datos permanecerán accesibles en modo solo lectura por 30 días para que pueda exportarlos, y posteriormente serán borrados de nuestros sistemas productivos, salvo que la ley requiera conservarlos por un periodo mayor.

Suelta se reserva el derecho de modificar este Aviso de Privacidad cuando sea necesario por cambios legales, operativos o del servicio. Cualquier modificación será publicada en esta misma página con la fecha de última actualización. Los cambios sustanciales le serán notificados por correo electrónico al menos con 15 días de anticipación a su entrada en vigor.

Si usted considera que su derecho a la protección de datos personales ha sido vulnerado, puede acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) para presentar una denuncia. home.inai.org.mx