Aviso de Privacidad Integral

I. Identidad y Domicilio del Responsable

SHERPA MONTERREY, S.A. DE C.V. (en adelante “Sherpa”), con domicilio en Callejón de Capellanía No. 400, Zona de los Callejones, San Pedro Garza García, Nuevo León, C.P. 66228, es el responsable del uso y protección de sus datos personales, en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante “LFPDPPP”) y su Reglamento.

Departamento de Protección de Datos Personales:

• Correo electrónico: info@sherpa.la
• Domicilio: Callejón de Capellanía No. 400, Zona de los Callejones, San Pedro Garza García, N.L., C.P. 66228

II. Datos Personales que se Tratan

Para las finalidades descritas en el presente Aviso, Sherpa tratará las siguientes categorías de datos:

a) Datos de identificación y contacto

• Nombre completo
• Clave Única de Registro de Población (CURP)
• Fecha de nacimiento
• Sexo
• Entidad y municipio de nacimiento
• País de origen
• Domicilio
• Teléfono
• Correo electrónico
• Número de colaborador/nómina asignado por la empresa empleadora

b) Datos laborales

• Nombre de la empresa empleadora
• Puesto o cargo
• Clave Única de Establecimientos de Salud (CLUES), cuando aplique al prestador de servicios de salud

c) Datos personales sensibles — requieren consentimiento expreso

Los siguientes datos son considerados datos personales sensibles conforme al Artículo 3 fracción VI y el Artículo 9 de la LFPDPPP, por lo que su tratamiento requiere su consentimiento expreso y por escrito:

• Historia clínica (anamnesis, antecedentes hereditarios, familiares, personales, patológicos y no patológicos)
• Diagnósticos clínicos (codificados conforme al Catálogo Internacional de Enfermedades CIE-10)
• Historial de consultas médicas y registros de atención
• Resultados de exámenes clínicos periódicos
• Esquema de vacunación
• Incapacidades laborales y su clasificación
• Estado de ánimo y bienestar emocional
• Indicadores de salud y cambios de hábitos
• Evolución del paciente y seguimiento clínico

El mecanismo de consentimiento expreso para estos datos se obtiene a través de la aceptación activa y documentada al momento del registro en la plataforma, mediante un mecanismo de autenticación electrónica que registra fecha, hora y versión del aviso aceptado, en términos del Artículo 9 de la LFPDPPP.

III. Finalidades del Tratamiento

Sherpa es una empresa de tecnología que proporciona una plataforma digital de gestión de salud ocupacional. Sherpa actúa exclusivamente como facilitador tecnológico: pone a disposición la herramienta; la empresa que contrata el servicio es quien determina el uso, el acceso y el alcance del tratamiento de los datos dentro de la plataforma.

a) Finalidades primarias — necesarias para la prestación del servicio

• Verificar y corroborar la identidad del titular para habilitar el acceso a la plataforma.
• Generar y administrar las credenciales de usuario conforme al perfil asignado por la empresa contratante.
• Habilitar el registro, consulta y gestión del expediente de salud dentro de la plataforma, según las funcionalidades contratadas.
• Garantizar el funcionamiento técnico, la seguridad y la integridad de la plataforma y de los datos almacenados en ella.
• Validar la CURP del titular ante el Registro Nacional de Población (RENAPO) para asegurar la autenticidad del registro.
• Cumplir con las obligaciones técnicas de Sherpa derivadas de la certificación NOM-024-SSA3-2012.

b) Finalidades secundarias — no necesarias para el servicio

De manera adicional, Sherpa podría utilizar información anonimizada y agregada para las siguientes finalidades. Usted puede oponerse a ellas sin que ello afecte la prestación del servicio:

• Realización de estudios estadísticos anónimos y análisis de usabilidad de la plataforma.
• Mejora continua de funcionalidades y experiencia de usuario.

Si no desea que sus datos sean utilizados para estas finalidades secundarias, puede manifestarlo enviando un correo a info@sherpa.la con el asunto “Oposición a finalidades secundarias”. La negativa no será motivo para negarle el servicio.

IV. Transferencias de Datos Personales

Sherpa únicamente transfiere datos al proveedor de infraestructura tecnológica necesario para el funcionamiento de la plataforma. Cualquier otra transferencia o divulgación de información a terceros — incluyendo autoridades de salud, dependencias de gobierno u otras organizaciones — es responsabilidad exclusiva de la empresa que haya contratado los servicios de Sherpa, quien actúa como responsable del tratamiento de los datos de sus propios colaboradores o pacientes.

Sherpa no transfiere, comparte ni divulga datos personales de los titulares a ningún tercero, salvo en el único caso señalado a continuación:

Responsabilidad del cliente contratante: la empresa u organización que haya contratado la plataforma Sherpa es la responsable del tratamiento de los datos personales de sus colaboradores, pacientes o usuarios dentro de la plataforma. Cualquier decisión sobre compartir, transferir o reportar información a autoridades de salud, dependencias de gobierno (incluyendo DGIS, SINBA 2.0 u otras), o terceros, corresponde únicamente a dicha empresa en su calidad de responsable, conforme a sus propias obligaciones legales y normativas.

Sherpa no asume responsabilidad sobre las transferencias que el cliente contratante realice a partir de los datos gestionados en la plataforma.

V. Derechos ARCO, Portabilidad y Mecanismos para su Ejercicio

Usted tiene derecho a Acceder, Rectificar, Cancelar u Oponerse (derechos ARCO) al tratamiento de sus datos personales, conforme a los Artículos 22 al 32 de la LFPDPPP.

Para ejercer cualquiera de estos derechos, deberá enviar su solicitud al Departamento de Protección de Datos Personales:

• Correo electrónico: info@sherpa.la
• Asunto: “Solicitud de derechos ARCO — [tipo de derecho]”

Su solicitud deberá incluir: nombre completo, datos de contacto para recibir respuesta, descripción clara de los datos sobre los que ejerce el derecho, y documentos que acrediten su identidad o representación legal (conforme al Art. 29 LFPDPPP).

Plazo de respuesta: Sherpa responderá su solicitud en un plazo máximo de 20 días hábiles contados a partir de su recepción, conforme al Art. 32 de la LFPDPPP. En caso de ser procedente, los cambios se harán efectivos en los siguientes 15 días hábiles.

Derecho de Portabilidad (LFPDPPP 2025)

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares publicada el 20 de marzo de 2025 en el Diario Oficial de la Federación, usted tiene derecho a obtener una copia de sus datos personales que obren en posesión de Sherpa, en un formato estructurado, de uso común y lectura mecánica, a fin de transmitirlos a otro responsable del tratamiento.

Alcance y limitaciones del derecho de portabilidad en Sherpa:

• Aplica a: datos de identificación del titular y datos laborales registrados en la plataforma.
• No aplica a: datos clínicos cuyo resguardo mínimo de 5 años sea obligatorio conforme a la NOM-024-SSA3-2012 y la Ley General de Salud. Dichos datos no pueden ser eliminados ni transferidos antes del vencimiento del plazo legal de conservación, aun cuando se solicite su portabilidad o cancelación.
• Formato de entrega: archivo en formato JSON o CSV, entregado vía correo electrónico a través de legal@sherpa.la, en un plazo máximo de 20 días hábiles a partir de la recepción de la solicitud.

VI. Revocación del Consentimiento

Usted puede revocar el consentimiento que haya otorgado para el tratamiento de sus datos personales en cualquier momento, sin efectos retroactivos. Para ello, envíe su solicitud a legal@sherpa.la con el asunto “Revocación de consentimiento”.

Tenga en cuenta que la revocación podrá implicar la imposibilidad de continuar prestando el servicio para determinadas finalidades, en particular las relacionadas con el expediente clínico electrónico, cuando la ley exija el tratamiento de los datos para su operación.

VII. Limitación del Uso y Divulgación de sus Datos

Para limitar el uso y divulgación de su información personal, cuenta con los siguientes mecanismos:

• Inscripción en el Registro Público para Evitar Publicidad (REPEP) ante la PROFECO
• Oposición a finalidades secundarias mediante correo a legal@sherpa.la (ver Sección III, inciso b)

VIII. Medios de Recopilación de Datos

a) Directamente del titular

• A través de la plataforma web https://sherpa.la/ y sus módulos de registro
• Por correo electrónico

b) Indirectamente

• A través de bases de datos proporcionadas por la empresa empleadora que tenga contrato vigente con Sherpa, dentro de los términos y condiciones aplicables
• Cuando otro titular registre sus datos para el alta en la plataforma, caso en el cual ese titular es responsable de contar con el consentimiento previo de las personas cuyos datos proporciona, y de informarles sobre el tratamiento

En el caso de menores de edad, el tratamiento de sus datos de salud requerirá el consentimiento expreso de sus padres o tutores, a través del mecanismo documentado de consentimiento parental disponible en la plataforma o mediante formato físico firmado. Al cumplir la mayoría de edad, el titular podrá confirmar, modificar o revocar el consentimiento previamente otorgado.

IX. Uso de Tecnologías de Rastreo

Sherpa utiliza cookies y tecnologías similares en su plataforma web. A continuación se describen las cookies empleadas:

Puede deshabilitar las cookies desde la configuración de su navegador (Safari, Google Chrome, Mozilla Firefox, Microsoft Edge) consultando las instrucciones en el sitio de soporte de cada navegador. Tenga en cuenta que deshabilitar cookies puede afectar la funcionalidad de la plataforma.

X. Medidas de Seguridad

Sherpa implementa medidas de seguridad administrativas, técnicas y físicas para proteger sus datos personales conforme al Artículo 19 de la LFPDPPP y a las especificaciones técnicas de la guía GIIS-A004 de la NOM-024-SSA3-2012, incluyendo:

• Cifrado de datos en tránsito mediante TLS
• Cifrado de datos en reposo conforme a estándares aplicables
• Control de acceso por roles con principio de mínimo privilegio
• Registro de auditoría de accesos y modificaciones a datos clínicos
• Copias de seguridad cifradas y automatizadas
• Infraestructura en la nube con alta disponibilidad y segmentación de redes

En caso de que ocurra una vulneración de seguridad que afecte significativamente sus derechos patrimoniales o morales, Sherpa le informará de forma inmediata, conforme al Artículo 20 de la LFPDPPP.

XI. Plazo de Conservación de Datos

Los datos personales tratados por Sherpa serán conservados durante los plazos mínimos establecidos por la normatividad aplicable, a partir de los cuales serán bloqueados o eliminados de forma segura:

Transcurridos los plazos mínimos aplicables, los datos serán bloqueados o eliminados de forma segura, salvo que exista una obligación legal o contractual que justifique su conservación por un período adicional. Nota: La solicitud de cancelación o portabilidad de datos clínicos no podrá ejecutarse antes del vencimiento del plazo mínimo legal de conservación establecido por la NOM-024-SSA3-2012 y la Ley General de Salud.

XII. Cambios al Aviso de Privacidad

El presente aviso de privacidad puede ser modificado, actualizado o ampliado en cualquier momento en respuesta a nuevos requerimientos legales, cambios en nuestros servicios, o modificaciones en nuestras prácticas de privacidad.

Cualquier cambio relevante al aviso será notificado a través de:

• Correo electrónico al último registrado por el titular en la plataforma
• Notificación dentro de la plataforma al iniciar sesión
• Publicación en el sitio web https://sherpa.la/

La versión vigente siempre estará disponible en https://sherpa.la/ con su fecha de última actualización.

XIII. Consentimiento Expreso para el Tratamiento de Datos Sensibles

De conformidad con el Artículo 9 de la LFPDPPP, el tratamiento de sus datos personales sensibles (listados en la Sección II, inciso c) requiere su consentimiento expreso. Dicho consentimiento se obtiene mediante:

• La aceptación activa y explícita del presente Aviso de Privacidad al momento del registro en la plataforma, a través de un mecanismo de autenticación electrónica que registra fecha, hora y versión del aviso aceptado.
• En el caso de datos de menores de edad, mediante el consentimiento parental documentado descrito en la Sección VIII.

La aceptación de este aviso implica que usted ha leído, comprendido y otorgado su consentimiento expreso para el tratamiento de sus datos personales sensibles de salud con las finalidades primarias aquí descritas. Las finalidades secundarias requerirán consentimiento adicional cuando así lo establezca la ley.

XIV. Marco Normativo Aplicable

El tratamiento de sus datos personales se rige por:

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) — DOF 20 de marzo de 2025 — y su Reglamento
• Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de Información de Registro Electrónico para la Salud
• Guía de Intercambio de Información en Salud para un SGSI en Salud (GIIS-A004-01-07)
• Ley General de Salud y demás disposiciones normativas aplicables al sector salud en México

XV. Dudas y Contacto

Para cualquier duda, aclaración o solicitud relacionada con el presente Aviso de Privacidad o con el tratamiento de sus datos personales, puede contactar a nuestro Departamento de Protección de Datos Personales en:

• Correo electrónico: info@sherpa.la
• Domicilio: Callejón de Capellanía No. 400, Zona de los Callejones, San Pedro Garza García, N.L., C.P. 66228

Última actualización: 02 de abril de 2026 | Versión 2.0

SHERPA MONTERREY, S.A. DE C.V. | info@sherpa.la | https://sherpa.la/