Contrato de Encargo del Tratamiento de Datos Personales
Accesorio a los Términos y Condiciones · art. 50-55 del Reglamento de la LFPDPPP · Versión 2026-06-11
Lo esencial que aceptas:
- Tú eres el Responsable de los datos de tus pacientes; Medipagos es solo el Encargado que los trata por tu cuenta y bajo tus instrucciones.
- Te obligas a recabar el consentimiento del paciente antes de enviar sus datos a Medipagos.
- Medipagos resguarda esos datos con cifrado y seguridad, y solo los usa para gestionar tu cobro.
Contrato de encargo del tratamiento de datos personales (el “Contrato”) que celebran, por una parte, AEK Grupo Financiero, S.A.P.I. de C.V., que opera bajo el nombre comercial “Medipagos” (el “Encargado”), y por la otra, la persona física profesional de la medicina que acepta este Contrato al crear su cuenta (el “Doctor” o “Responsable”). Es accesorio y complementario de los Términos y Condiciones (cláusula 7, sobre el carácter de Encargado) y del Aviso de Privacidad (sección 3, sobre el modelo Encargado/Responsable, y sección 7, sobre el ejercicio de derechos ARCO).
Declaraciones
El Doctor declara que es profesional de la medicina con cédula vigente; que en su práctica recaba datos de sus pacientes, incluidos datos sensibles de salud (art. 9 LFPDPPP), respecto de los que es Responsable; y que recaba, documenta y conserva, de manera previa, el consentimiento expreso y por escrito del paciente antes de remitir cualquier dato a Medipagos.
Medipagos declara que cuenta con las medidas de seguridad para tratar datos por cuenta del Responsable conforme a la LFPDPPP y su Reglamento, y que se obliga como Encargado (arts. 49-55 del Reglamento).
1. Objeto
Regular el encargo por el cual el Responsable encomienda al Encargado tratar datos personales por su cuenta y bajo sus instrucciones, con la finalidad exclusiva de prestar el servicio de gestión de cobranza médica (generar el CFDI del honorario en nombre del Doctor, presentar y dar seguimiento al cobro ante la aseguradora, y dispersar el honorario cobrado).
2. Carácter de las Partes
El Doctor es el Responsable de los datos del paciente y conserva las decisiones sobre su finalidad y medios. Medipagos es el Encargado, que trata esos datos únicamente por cuenta del Responsable y conforme a sus instrucciones; no decide sobre su finalidad ni los usa para fines propios. Respecto de los datos del propio Doctor, Medipagos actúa como Responsable conforme a su Aviso de Privacidad.
3. Datos y titulares
Titulares: los pacientes cuyos honorarios se gestionan. Datos: nombre del paciente, póliza o identificador del caso, aseguradora, monto del honorario y la información del expediente estrictamente necesaria, incluidos datos sensibles de salud. Medipagos tratará solo lo necesario para la finalidad (minimización).
4. Instrucciones del Responsable
El acto del Doctor de cargar o remitir un caso a la plataforma constituye su instrucción para que Medipagos trate los datos de ese paciente con la sola finalidad de gestionar dicho cobro, incluida la transferencia a los terceros declarados en la cláusula 8. Medipagos no tratará los datos para finalidades distintas a las instruidas.
5. Obligaciones del Encargado
Medipagos se obliga a:
- tratar los datos solo conforme a las instrucciones del Responsable;
- no tratarlos para finalidades propias ni distintas;
- aplicar las medidas de seguridad de la cláusula 6;
- guardar confidencialidad, aun después de terminada la relación, y hacerla extensiva a su personal y subencargados;
- no transferir los datos salvo por instrucción del Responsable o mandato de autoridad;
- al concluir la relación, suprimir o devolver los datos (cláusula 11);
- permitir al Responsable verificar el cumplimiento;
- informar sin demora de cualquier vulneración de seguridad que afecte los datos del paciente;
- auxiliar al Responsable en las solicitudes ARCO, en el entendido de que el paciente las ejerce directamente ante el Doctor.
6. Medidas de seguridad
Dado el carácter sensible de los datos de salud, Medipagos aplica, como mínimo: cifrado de los datos en tránsito y en reposo; control de acceso por roles bajo mínimo privilegio; aislamiento lógico por seguridad a nivel de fila (RLS), de modo que los datos de un Doctor no sean accesibles por otros usuarios; resguardo, respaldo y bitácoras de acceso; y obligaciones de confidencialidad para su personal (arts. 57-60 del Reglamento). Medipagos podrá emplear, adoptar y actualizar las medidas de seguridad que considere necesarias para la correcta protección de los datos personales, conforme evolucionen las mejores prácticas y la tecnología.
7. Confidencialidad
Medipagos y su personal guardarán estricta confidencialidad sobre los datos del paciente, obligación que subsiste indefinidamente aun después de terminar este Contrato.
8. Subencargados y terceros
El Responsable autoriza a Medipagos a apoyarse, para prestar el servicio, en: (a) el Proveedor Autorizado de Certificación (PAC) para timbrar el CFDI ante el SAT; (b) la aseguradora como destinataria del cobro, por instrucción del Doctor y al amparo del consentimiento que éste recabó del paciente; y (c) el proveedor de infraestructura en la nube para alojar y procesar técnicamente los datos. Cada subencargado asume por escrito las mismas obligaciones de protección de datos (art. 54 del Reglamento); Medipagos responde por ellos e informará al Doctor si incorpora uno nuevo. El Responsable autoriza a Medipagos a utilizar los servidores y proveedores que considere adecuados —incluidos los que alojen o procesen datos en territorio nacional o en el extranjero— para la correcta prestación del servicio y la protección de los datos personales, asegurándose de que dichos proveedores ofrezcan un nivel de protección acorde con la LFPDPPP y su Reglamento.
9. Verificación
El Responsable podrá solicitar por escrito, con periodicidad razonable, información que acredite el cumplimiento de este Contrato, sin comprometer la seguridad de otros usuarios ni secretos de terceros.
10. Consentimiento del paciente a cargo del Responsable
El Doctor, como único Responsable frente al paciente, se obliga a recabar, documentar y conservar, de forma previa, el consentimiento expreso y por escrito del paciente para el tratamiento y la transferencia de sus datos sensibles con fines de cobranza (art. 9 LFPDPPP), y a entregarle el aviso de privacidad correspondiente. El Doctor garantiza a Medipagos que todo dato de paciente que remita cuenta con dicho consentimiento previo; Medipagos lo recibe como receptor de información de un tercero y no mantiene relación directa con el paciente.
11. Vigencia y terminación
Entra en vigor al aceptarlo al crear la cuenta y permanece vigente mientras subsista la relación de servicio. Al terminar, Medipagos suprimirá o devolverá los datos del paciente a elección del Responsable, salvo los que deba conservar (bloqueados) para cumplir obligaciones legales —fiscales (CFF/CFDI) y antilavado (LFPIORPI, 10 años)—, tras lo cual los suprimirá de forma segura.
12. Forma de aceptación
En esta fase, el Doctor acepta este Contrato mediante aceptación electrónica por click al crear su cuenta (arts. 89-114 del Código de Comercio y LFPDPPP). En una fase posterior, el mandato y la cesión de Factoraje se formalizarán mediante firma electrónica avanzada.
13. Ley aplicable y jurisdicción
Este Contrato se rige por las leyes de los Estados Unidos Mexicanos, en particular la LFPDPPP y su Reglamento. Las Partes se someten a la jurisdicción de los tribunales competentes de la Ciudad de México, renunciando a cualquier otro fuero.