← Volver al inicio

Aviso de Privacidad

Última actualización: mayo 2026

1. Responsable del tratamiento

Lutra (en adelante, "Lutra" o "el responsable") es responsable del tratamiento de tus datos personales, de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y los Lineamientos del Aviso de Privacidad, vigentes en los Estados Unidos Mexicanos.

Domicilio del responsable: Ciudad de México, México. Como Lutra es una plataforma de servicio digital, designamos el siguiente medio para oír y recibir notificaciones relacionadas con el tratamiento y protección de tus datos personales: soporte@lutra.health

2. Datos que recopilamos

Recopilamos los siguientes datos personales:

Del nutriólogo (titular de la cuenta):

  • Nombre completo
  • Correo electrónico
  • Cédula profesional
  • Nombre del consultorio o clínica
  • Datos de facturación (cuando aplique)

De los pacientes registrados por el nutriólogo:

  • Nombre y datos de contacto (correo, teléfono)
  • Datos antropométricos (peso, talla, composición corporal)
  • Historia clínica y antecedentes de salud
  • Planes de alimentación y recordatorios dietéticos
  • Notas de consulta

Nota importante: Los datos de los pacientes son ingresados directamente por el nutriólogo. Lutra actúa como encargado del tratamiento respecto a esos datos (Art. 49 del Reglamento de la LFPDPPP), cuyo responsable es el propio nutriólogo frente a sus pacientes. El nutriólogo debe contar con su propio aviso de privacidad para sus pacientes.

⚖️ Compromiso de uso exclusivo de los datos de pacientes

Los datos clínicos y personales que el nutriólogo ingresa sobre sus pacientes son tratados única y exclusivamente para que el nutriólogo pueda operar su práctica profesional dentro de Lutra. En particular, declaramos de forma expresa:

  • NO vendemos ni compartimos datos de pacientes con aseguradoras, farmacéuticas, anunciantes, brokers de datos, ni con ningún tercero ajeno a los proveedores técnicos listados en la sección 4.
  • NO usamos los datos de pacientes para entrenar modelos de IA propios. Tampoco se usan para fines de marketing, segmentación publicitaria o perfilamiento comercial.
  • NO compartimos historiales clínicos con investigadores ni cedemos acceso a instituciones académicas o de salud pública.
  • Acceso restringido por nutriólogo: cada cuenta solo puede ver sus propios pacientes. El equipo de Lutra NO accede a historiales clínicos individuales salvo solicitud expresa del nutriólogo titular para soporte técnico, y siempre dejando registro auditable.
  • Análisis agregados anonimizados: podemos usar estadísticas agregadas (ej. número total de pacientes, % de planes terminados) sin identificadores personales para mejorar el producto. Nunca se exportan datos individuales.
  • OpenAI (IA): los datos enviados a OpenAI no se usan para entrenar sus modelos (compromiso contractual de OpenAI). Ver sección 5.

Este compromiso es parte integral del contrato de prestación de servicios y aplica mientras la cuenta del nutriólogo esté activa, así como tras su cancelación.

2.1 Datos personales sensibles

Reconocemos que los datos sobre salud, antropometría, historia clínica, patologías, alergias, medicamentos y planes nutricionales del paciente son datos personales sensibles conforme al artículo 3, fracción VI de la LFPDPPP. El tratamiento de datos sensibles requiere consentimiento expreso y por escrito del titular (Art. 8 y 9 LFPDPPP).

Responsabilidad del nutriólogo: al ingresar datos clínicos de sus pacientes a Lutra, el nutriólogo declara haber obtenido el consentimiento expreso del paciente para el tratamiento de sus datos sensibles, incluyendo la transferencia a Lutra como encargado y al uso opcional de las funciones de IA descritas en la sección 5.

Aplicamos medidas de seguridad reforzadas para datos sensibles: cifrado en tránsito, segregación lógica por nutriólogo, acceso restringido y registros de auditoría.

3. Finalidades del tratamiento

Finalidades primarias (necesarias para el servicio):

  • Crear y gestionar tu cuenta de usuario
  • Brindarte las funcionalidades de la plataforma
  • Procesar pagos y emitir comprobantes
  • Enviarte comunicaciones del servicio (alertas de seguridad, notificaciones de pago, recordatorios funcionales del producto)

Finalidades secundarias (opcionales):

  • Análisis de uso agregado y anonimizado para mejorar el producto
  • Comunicaciones sobre nuevas funcionalidades y mejoras (no son spam, son periódicas)

Puedes oponerte a las finalidades secundarias en cualquier momento escribiendo a soporte@lutra.health con el asunto "Oposición a finalidades secundarias", sin que ello afecte la prestación del servicio principal.

No vendemos ni compartimos tus datos personales con terceros para fines de marketing.

4. Transferencia de datos a terceros

Para operar el servicio transferimos datos a los siguientes proveedores, todos obligados contractualmente a tratarlos de forma confidencial y segura:

  • Convex (base de datos) — almacenamiento de todos los datos del servicio.
  • Clerk (autenticación) — gestión de sesión y credenciales del nutriólogo.
  • Vercel (hosting) — ejecución y entrega del sitio.
  • Stripe (pagos) — procesamiento de la suscripción. Recibe correo, nombre y monto del nutriólogo que paga; no recibe datos clínicos.
  • Resend (correo transaccional) — envío de correos de servicio (bienvenida, recordatorios, notificaciones de pago).
  • OpenAI (inteligencia artificial) — ver sección 5.
  • Meta Conversions API — recibe un hash (SHA-256) del correo del nutriólogo que se suscribe, para medir eficacia de campañas. No recibe datos de pacientes.

No vendemos ni compartimos tus datos personales con terceros para fines de marketing ni con intermediarios publicitarios distintos a los listados.

4.1 Transferencias internacionales

Algunos de los proveedores listados procesan datos fuera de México (principalmente en Estados Unidos e Irlanda): Convex, Clerk, Vercel, Stripe, Resend, OpenAI y Meta (Conversions API). Conforme al artículo 36 de la LFPDPPP, estas transferencias se realizan bajo las siguientes salvaguardas:

  • Cláusulas contractuales de tratamiento de datos firmadas con cada proveedor (Data Processing Agreements / DPA).
  • Compromiso contractual de los proveedores de aplicar medidas de seguridad equivalentes a las exigidas por la LFPDPPP.
  • El proveedor de IA (OpenAI) cuenta con compromiso explícito de no usar los datos para entrenamiento (ver sección 5).
  • Al aceptar este aviso y crear una cuenta, otorgas tu consentimiento para estas transferencias internacionales necesarias para la operación del servicio.

5. Uso de inteligencia artificial (OpenAI)

Lutra integra funciones opcionales de inteligencia artificial basadas en la API de OpenAI para generar ideas de menús, sugerencias de planes y análisis clínicos de productos. Cuando el nutriólogo utiliza estas funciones, los siguientes datos se envían a OpenAI:

  • Nombre (o iniciales) y edad del paciente, sexo y objetivo.
  • Datos antropométricos y requerimientos calculados.
  • Patologías, alergias, medicamentos y recomendaciones clínicas, si se han registrado.

OpenAI actúa como encargado del tratamiento y, de acuerdo con su política de uso de la API, no utiliza estos datos para entrenar sus modelos y los conserva un máximo de 30 días con fines de abuso y cumplimiento, tras los cuales los elimina.

El uso de la IA es opcional. Si no deseas que los datos de un paciente se envíen a OpenAI, evita usar las funciones de IA para ese paciente; el resto de la plataforma funciona sin invocar la API de OpenAI.

Recomendamos al nutriólogo obtener consentimiento informado del paciente antes de utilizar funciones de IA que procesen sus datos clínicos, conforme a los artículos 8, 9 y 15 de la LFPDPPP para datos personales sensibles.

5.1 App móvil (iOS y Android)

Lutra ofrece una aplicación móvil nativa (iOS y Android) construida sobre Expo. La app consume los mismos servicios backend descritos en este aviso y se rige por las mismas reglas de privacidad. Adicionalmente, la app móvil:

  • Notificaciones push: si el usuario activa las notificaciones explícitamente en su dispositivo, almacenamos un token único de notificación (Expo Push Token) asociado a su cuenta para enviar avisos de mensajes del nutriólogo, recordatorios de comidas o hidratación. El usuario puede desactivar las notificaciones en cualquier momento desde la app o desde los Ajustes del sistema operativo.
  • Permisos del sistema: la app solicita acceso a cámara y galería únicamente cuando el paciente decide subir una foto de su comida o de su progreso. Estos permisos son opcionales — si el usuario los niega, la app sigue funcionando sin foto-log.
  • Almacenamiento local: usamos almacenamiento seguro del dispositivo (Keychain en iOS, EncryptedSharedPreferences en Android) para guardar el token de sesión del usuario. Adicionalmente cacheamos información no sensible (preferencias de UI, último día visto del plan) en almacenamiento local estándar (AsyncStorage) únicamente para acelerar el arranque de la app. Estos datos se eliminan al desinstalar la app o cerrar sesión.
  • Deep Links / Universal Links: los enlaces de la forma https://lutra.health/p/<token> abren la app nativa si está instalada. El sistema operativo verifica el dominio antes de abrir; no compartimos el token con terceros y no instalamos cookies adicionales.
  • Sin trackers publicitarios: la app móvil NO incluye Facebook Pixel, Google AdMob, ni SDKs de tracking publicitario. La única integración de marketing (Meta Conversions API) corre exclusivamente en el sitio web durante el proceso de registro, no dentro de la app móvil.
  • Eliminación de datos desde mobile: el usuario puede eliminar su cuenta y todos sus datos desde la app móvil (Ajustes → Eliminar cuenta), con el mismo efecto irreversible que la eliminación desde el sitio web (ver sección 9).

6. Seguridad

Implementamos medidas técnicas y organizativas para proteger tus datos:

  • Transmisión cifrada (HTTPS/TLS)
  • Autenticación segura con verificación de identidad
  • Acceso restringido a datos por nutriólogo (cada usuario solo ve sus propios pacientes)
  • Copias de seguridad automáticas

7. Derechos ARCO y revocación del consentimiento

Como titular de datos personales, tienes derecho a:

  • Acceder a tus datos personales que tenemos en nuestros sistemas.
  • Rectificar tus datos cuando sean inexactos o incompletos.
  • Cancelar el tratamiento de tus datos cuando consideres que no se requieren para alguna de las finalidades.
  • Oponerte al tratamiento de tus datos para fines específicos.
  • Revocar el consentimiento que nos hayas otorgado.
  • Limitar el uso o divulgación de tus datos personales.

Para ejercer cualquiera de estos derechos, escríbenos a soporte@lutra.health con el asunto "Derechos ARCO", identificándote con tu nombre completo y correo registrado en Lutra. Atenderemos tu solicitud en un plazo máximo de 20 días hábiles conforme a los artículos 28 a 35 de la LFPDPPP.

Si tu solicitud es procedente, se hará efectiva dentro de los 15 días hábiles siguientes a la notificación de la respuesta.

8. Cookies

Lutra utiliza cookies de sesión necesarias para el funcionamiento del servicio (autenticación de usuario). No utilizamos cookies de rastreo publicitario de terceros.

9. Retención y eliminación de datos

Conservamos tus datos mientras tu cuenta esté activa. Puedes eliminar tu cuenta en cualquier momento desde Ajustes → "Eliminar mi cuenta". La eliminación borra inmediatamente y de forma irreversible todos tus pacientes, planes, consultas, historias clínicas, screenings, recetas, alimentos personalizados y archivos almacenados (incluyendo tu logotipo), salvo obligación legal de conservarlos por un período mayor (p. ej. comprobantes fiscales, requerimientos de autoridad).

También puedes solicitar la eliminación escribiendo a soporte@lutra.health — atenderemos la solicitud en un plazo máximo de 20 días hábiles.

10. Cambios a esta política

Podemos actualizar esta política en cualquier momento. Te notificaremos por correo electrónico con al menos 15 días de anticipación cuando los cambios sean significativos.

11. Mecanismo de consentimiento

Al crear tu cuenta en Lutra y aceptar este Aviso de Privacidad mediante el formulario de registro (checkbox "He leído y acepto el Aviso de Privacidad"), otorgas tu consentimiento expreso para el tratamiento de tus datos personales, incluyendo:

  • El tratamiento de datos personales sensibles que ingreses sobre tus pacientes (Art. 9 LFPDPPP).
  • Las transferencias internacionales descritas en la sección 4.1 (Art. 36 LFPDPPP).
  • El uso opcional de las funciones de IA descritas en la sección 5.

Como nutriólogo (responsable frente a tus pacientes), declaras y garantizas haber obtenido el consentimiento expreso y por escrito de cada paciente cuyos datos clínicos ingreses a la plataforma, conforme a los artículos 8, 9 y 10 de la LFPDPPP para datos personales sensibles.

12. Autoridad de protección de datos

Si consideras que tus derechos han sido vulnerados por el tratamiento indebido de tus datos personales, tienes derecho a acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) para presentar una denuncia o queja:

Sitio web: home.inai.org.mx

Recomendamos que antes de acudir al INAI nos contactes a soporte@lutra.health para resolver tu inquietud directamente.

13. Contacto

Para cualquier consulta sobre privacidad o el tratamiento de tus datos: soporte@lutra.health