EvidX
Política de Privacidad
Última actualización: 7 de junio de 2026
Esta Política de Privacidad describe cómo EvidX recopila, utiliza, almacena, comparte y protege la información personal del Usuario. Constituye el Aviso de Privacidad Integral en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México y su Reglamento, así como las normativas equivalentes en los demás países latinoamericanos donde opera el Servicio.
1. Identidad del responsable y aviso de privacidad integral
Responsable del tratamiento de datos personales:
- Dr. Julián Treviño González, persona física con actividad empresarial, quien opera EvidX.
- Cofundadores del proyecto: Dr. Julián Treviño González y Lic. Armando Olivares.
- Domicilio: Tepic, Nayarit, México.
- Correo de contacto en materia de privacidad: evidxapp@gmail.com
En caso de que EvidX se constituya posteriormente como sociedad mercantil, ésta asumirá el carácter de responsable del tratamiento, lo cual se notificará al Usuario conforme a la Sección 14.
Al utilizar el Servicio, el Usuario manifiesta haber leído, comprendido y otorgado su consentimiento expreso para el tratamiento de sus datos personales conforme a lo descrito en esta Política. Si no está de acuerdo, debe abstenerse de utilizar el Servicio.
2. Naturaleza del servicio y datos de pacientes
EvidX es una herramienta no médica de estudio y triage de literatura científica publicada. NO procesa datos de pacientes.
De forma expresa, EvidX:
- NO está diseñado para procesar información personal identificable de pacientes (PII/PHI).
- NO solicita, almacena ni procesa historias clínicas, notas médicas individuales, imágenes diagnósticas con datos identificables ni cualquier otra información clínica de pacientes específicos.
- Únicamente procesa artículos científicos publicados cargados por el Usuario con fines de estudio académico.
El Usuario se obliga expresamente a NO cargar archivos que contengan datos personales de pacientes. La carga de dichos archivos constituye un incumplimiento de los Términos y es responsabilidad exclusiva del Usuario.
Por la naturaleza no clínica del Servicio, EvidX no es una entidad cubierta (covered entity) bajo HIPAA en Estados Unidos, ni un prestador de servicios de salud bajo la NOM-024-SSA3-2012 en México, y no celebra Acuerdos de Asociado Comercial (BAA) ni acuerdos equivalentes.
3. Datos personales que recopilamos
3.1 Datos proporcionados directamente por el Usuario
- Datos de identificación y contacto: nombre completo, correo electrónico, número telefónico (opcional).
- Datos profesionales: especialidad médica, rol profesional (residente, especialista, médico general, pasante, estudiante de medicina), año de residencia o ejercicio, país de práctica, institución de afiliación (opcional).
- Datos de la cuenta: nombre de usuario, contraseña cifrada (almacenada mediante algoritmos de hashing irreversible).
- Datos de comunicación: contenido de los mensajes que el Usuario envía a EvidX por correo electrónico, formularios de contacto o soporte técnico.
3.2 Contenido y datos derivados del uso
- Contenido cargado por el Usuario: archivos PDF de artículos científicos publicados. Se procesan de forma transitoria, exclusivamente en memoria, únicamente durante el tiempo necesario para generar el Análisis. No se almacenan de forma persistente en los servidores de EvidX y no se conservan una vez generado el Análisis.
- Análisis generados (Output): los reportes estructurados de 5 pestañas y, cuando aplique, los podcasts generados quedan vinculados a la cuenta del Usuario en su historial.
- Historial de uso: análisis realizados, fechas, plan contratado, consumo mensual de análisis y podcasts, búsquedas PubMed realizadas.
3.3 Datos recopilados automáticamente
- Datos técnicos del dispositivo: tipo de dispositivo, sistema operativo y versión, idioma, identificador único de instalación (limitado al estrictamente necesario para operar el Servicio).
- Datos de uso y eventos: funcionalidades utilizadas, pestañas visitadas, frecuencia de uso, errores técnicos.
- Dirección IP (procesada únicamente para seguridad, prevención de fraude y diagnóstico técnico, no para perfilamiento).
3.4 Datos biométricos
EvidX permite al Usuario activar autenticación biométrica (huella dactilar / Face ID). Estos datos biométricos NO se transmiten a los servidores de EvidX ni a terceros. La autenticación se procesa exclusivamente en el dispositivo del Usuario a través de las APIs nativas de Apple (Touch ID/Face ID) y Android (BiometricPrompt). EvidX únicamente recibe una confirmación booleana (verdadero/falso) sobre el éxito de la autenticación. EvidX NO almacena, procesa ni tiene acceso a las huellas dactilares, características faciales ni cualquier otro dato biométrico del Usuario.
3.5 Datos de pago
EvidX NO recopila ni almacena directamente información de tarjetas de crédito, débito ni datos bancarios. Todos los pagos se procesan a través de Apple App Store y Google Play Store, con gestión técnica de suscripciones mediante RevenueCat Inc., proveedores que operan bajo sus propias políticas de privacidad.
3.6 Datos sensibles
EvidX NO solicita ni recopila datos sensibles del Usuario en términos de la LFPDPPP (datos sobre origen racial o étnico, estado de salud, información genética, creencias religiosas, opiniones políticas, vida sexual u orientación sexual).
Los datos de especialidad, año de residencia y rol profesional, aunque referidos al ámbito de la salud, no constituyen datos sensibles en términos del artículo 3, fracción VI de la LFPDPPP, toda vez que se refieren a la condición laboral-profesional del Usuario y no a su estado de salud individual.
4. Finalidades del tratamiento
4.1 Finalidades primarias (necesarias para prestar el Servicio)
- Crear, mantener y administrar la cuenta del Usuario.
- Procesar los archivos PDF cargados por el Usuario y generar los Análisis EvidX y podcasts correspondientes mediante el uso del proveedor de IA.
- Habilitar la búsqueda PubMed integrada.
- Gestionar la suscripción del Usuario (verificación de plan activo, conteo de análisis y podcasts, procesamiento de pagos vía Apple, Google y RevenueCat).
- Proporcionar soporte técnico y atender solicitudes del Usuario.
- Enviar comunicaciones operativas (actualizaciones del Servicio, cambios en Términos o esta Política, notificaciones de seguridad).
- Detectar, prevenir y atender problemas técnicos, fraudes y abusos del Servicio.
- Cumplir con obligaciones legales, regulatorias y fiscales aplicables.
4.2 Finalidades secundarias (no necesarias para prestar el Servicio)
Las siguientes finalidades requieren consentimiento expreso del Usuario, quien podrá oponerse en cualquier momento sin afectar la prestación del Servicio:
- Envío de comunicaciones de marketing, contenido educativo de @one.articleaday o promociones de EvidX.
- Análisis estadístico agregado y anónimo del uso del Servicio para mejorar funcionalidades.
- Encuestas de satisfacción o investigaciones de mercado.
4.3 Tipo de consentimiento
Las finalidades primarias descritas en 4.1 se tratan con consentimiento tácito del Usuario, entendido como la falta de oposición tras la puesta a disposición de la presente Política al momento del registro. Las finalidades secundarias descritas en 4.2 requieren consentimiento expreso otorgado mediante mecanismo afirmativo dentro de la aplicación (casilla de verificación específica para cada finalidad, distinta de la aceptación de Términos y Política). El Usuario podrá oponerse a las finalidades secundarias en cualquier momento desde la sección de Privacidad de su perfil, sin que ello afecte la prestación del Servicio.
5. Proveedores de infraestructura e inteligencia artificial
Para prestar el Servicio, EvidX utiliza los siguientes proveedores tecnológicos:
5.1 Anthropic PBC (Proveedor de IA)
Para generar los Análisis EvidX, el Servicio transmite el contenido cargado por el Usuario (texto extraído del PDF) y consultas asociadas a Anthropic PBC (San Francisco, California, EE.UU.), proveedor del modelo Claude. Anthropic procesa los datos exclusivamente con el propósito de generar la respuesta del modelo solicitada por EvidX.
EvidX procesa estos datos a través de la API comercial de Anthropic bajo el Acuerdo de Servicios Comerciales (Commercial Terms of Service) de Anthropic, el cual: (i) prohíbe expresamente el uso del contenido transmitido por EvidX para entrenar o mejorar los modelos de Anthropic; (ii) retiene el contenido transmitido por un periodo máximo de treinta (30) días con la única finalidad de prevención de abuso y cumplimiento de salvaguardas de seguridad, tras lo cual lo elimina, conforme a la política de retención vigente de la API comercial de Anthropic; (iii) somete el procesamiento a obligaciones contractuales de confidencialidad y seguridad.
EvidX no envía a Anthropic datos de identificación directa del Usuario asociados al contenido del PDF — la solicitud se procesa de forma seudonimizada respecto a la identidad del Usuario final.
5.2 Supabase Inc. (Backend e infraestructura)
EvidX utiliza Supabase Inc. (EE.UU.) como proveedor de base de datos PostgreSQL, autenticación de usuarios y funciones serverless (Edge Functions). La información de cuentas, historial de análisis, podcasts generados y metadatos del Usuario se almacena en infraestructura administrada por Supabase, bajo sus propios términos y política de privacidad.
5.3 RevenueCat Inc. (Gestión de suscripciones)
EvidX utiliza RevenueCat Inc. (EE.UU.) para gestionar técnicamente las suscripciones in-app y verificar el estado de pago a través de Apple App Store y Google Play. RevenueCat recibe únicamente un identificador seudonimizado de la suscripción y los metadatos necesarios para validar el plan activo del Usuario.
5.4 PostHog (Analítica de producto)
EvidX utiliza PostHog para analítica de uso del producto. PostHog procesa datos sobre cómo los Usuarios interactúan con la aplicación (funcionalidades utilizadas, flujos, eventos), con el propósito de mejorar la experiencia y detectar problemas. Los datos se procesan principalmente en forma seudonimizada o agregada.
5.5 Sentry (Crash reporting)
EvidX utiliza Sentry para registrar y diagnosticar errores técnicos (crashes) de la aplicación. Sentry recibe información técnica sobre el contexto del error (versión de la app, dispositivo, stack trace), con el propósito exclusivo de identificar y corregir fallos. EvidX configura Sentry para minimizar la captura de datos personales.
5.6 Apple Inc. y Google LLC (Distribución y pagos)
La aplicación se distribuye a través de Apple App Store y Google Play. Estos proveedores gestionan el procesamiento de pagos y las descargas bajo sus propias políticas de privacidad.
5.7 PubMed / NCBI (Búsqueda integrada)
Cuando el Usuario utiliza la función de búsqueda PubMed, EvidX envía la consulta a la API pública E-utilities del National Center for Biotechnology Information (NCBI), perteneciente al gobierno de Estados Unidos. Las consultas a PubMed se realizan sin transmitir datos personales identificables del Usuario.
5.8 No entrenamiento con datos del Usuario
EvidX NO utiliza el contenido cargado por los Usuarios, los Análisis generados, los podcasts ni cualquier dato personal del Usuario para entrenar modelos de inteligencia artificial propios o de terceros.
5.9 Servicios de notificaciones push
Cuando el Usuario active notificaciones, EvidX utiliza Apple Push Notification Service (APNs) en iOS y Firebase Cloud Messaging (FCM, Google LLC) en Android para entregar mensajes operativos. Estos servicios reciben un token anónimo asociado al dispositivo y el contenido del mensaje, conforme a sus respectivas políticas de privacidad.
5.10 Autenticación federada
Cuando el Usuario opte por autenticarse mediante Apple Sign In o Google Sign-In, EvidX recibe únicamente los datos mínimos compartidos por el proveedor (correo electrónico —que en el caso de Apple puede ser un alias privado— e identificador del usuario). EvidX no recibe contraseñas ni metadatos adicionales.
6. Transferencias internacionales de datos
Las transferencias internacionales descritas en esta Sección se realizan con fundamento en el artículo 36, fracción IV de la LFPDPPP (transferencia necesaria para el mantenimiento o cumplimiento de la relación jurídica entre el responsable y el titular), así como, de manera complementaria, con el consentimiento expreso del Usuario otorgado al aceptar la presente Política. Para titulares residentes en otras jurisdicciones de Latinoamérica, las transferencias se realizan con el consentimiento del titular y conforme a los mecanismos previstos por la legislación nacional aplicable (Decreto 1377 de 2013 en Colombia; Disposición 60-E/2016 de la AAIP en Argentina; Ley 19.628 —y la Ley 21.719, conforme a su entrada en vigencia— en Chile; Decreto Supremo 003-2013-JUS en Perú).
El Usuario reconoce y consiente expresamente que, debido a la naturaleza tecnológica del Servicio, sus datos personales son transferidos, almacenados y procesados fuera del país de residencia del Usuario, particularmente en los Estados Unidos de América, donde se encuentran:
- Anthropic PBC (proveedor de IA).
- Supabase Inc. (base de datos y backend).
- RevenueCat Inc. (gestión de suscripciones).
- PostHog (analítica).
- Sentry (crash reporting).
- Apple Inc. y Google LLC (distribución, pagos y notificaciones).
- NCBI/PubMed (búsqueda de literatura).
EvidX adopta las siguientes salvaguardas razonables:
- Selección de proveedores con compromisos contractuales de protección de datos y certificaciones de seguridad reconocidas (SOC 2, ISO 27001 cuando aplica).
- Transferencias bajo cláusulas contractuales estándar o mecanismos equivalentes cuando lo exija la ley aplicable.
- Minimización de datos: únicamente se transfiere la información estrictamente necesaria para prestar el Servicio.
7. Compartición de datos con terceros
EvidX NO vende, alquila ni comercializa los datos personales del Usuario. Únicamente comparte información con terceros en los siguientes supuestos:
- Proveedores de servicios listados en la sección 5, bajo obligaciones contractuales de confidencialidad y protección.
- Cuando lo exija una autoridad competente mediante orden judicial o requerimiento legalmente válido.
- Para proteger los derechos, propiedad o seguridad de EvidX, sus Usuarios o terceros.
- En el contexto de una constitución de sociedad, fusión, adquisición, venta de activos o reorganización corporativa, en cuyo caso se notificará al Usuario y se mantendrán los compromisos de privacidad.
8. Conservación de los datos
EvidX conserva los datos personales por los siguientes plazos:
- Archivos PDF cargados: NO se almacenan permanentemente. El texto extraído se transmite al proveedor de IA y se elimina del flujo de procesamiento una vez generado el Análisis.
- Análisis EvidX y podcasts generados: se conservan vinculados a la cuenta del Usuario mientras la cuenta esté activa. Se mantienen también en caché local del dispositivo para acceso sin conexión. Dicha caché local se elimina al cerrar sesión, al desinstalar la aplicación o al cancelar la cuenta.
- Datos de la cuenta: durante la vigencia de la relación con el Usuario, y hasta 90 días naturales posteriores a la cancelación de la cuenta, plazo tras el cual son eliminados o anonimizados.
- Registros técnicos, logs de seguridad y datos de Sentry: hasta 12 meses, salvo cuando se requiera mayor plazo por obligación legal o investigación de incidentes.
- Datos de analítica de PostHog: hasta 12 meses en forma identificable; posteriormente conservados solo en forma agregada y anónima.
- Datos fiscales y de facturación (gestionados por Apple/Google/RevenueCat): por el plazo que exija la legislación fiscal aplicable (típicamente 5 años en México conforme al Código Fiscal de la Federación).
9. Seguridad de la información
EvidX implementa medidas administrativas, técnicas y físicas razonables para proteger los datos personales:
- Cifrado en tránsito mediante TLS/HTTPS para todas las comunicaciones entre la aplicación y los servidores.
- Cifrado en reposo de la base de datos PostgreSQL en Supabase.
- Hashing irreversible de contraseñas.
- Controles de acceso basados en roles (Row Level Security en Supabase).
- Autenticación biométrica opcional procesada localmente en el dispositivo.
- Bloqueo automático de la aplicación por inactividad a los 30 minutos.
- Monitoreo de accesos y registro de eventos de seguridad.
- Capacitación de los fundadores y el equipo técnico en protección de datos.
Sin embargo, ningún sistema de transmisión electrónica o almacenamiento es 100% seguro. EvidX no puede garantizar la seguridad absoluta. El Usuario es responsable de proteger la confidencialidad de sus credenciales y de utilizar las funciones de autenticación biométrica y bloqueo automático para proteger el acceso al dispositivo.
10. Derechos ARCO del Usuario (México)
Conforme a la LFPDPPP, el Usuario tiene los siguientes derechos sobre sus datos personales:
10.1 Acceso
Conocer qué datos personales tiene EvidX sobre el Usuario, para qué los utiliza y las condiciones de su tratamiento.
10.2 Rectificación
Solicitar la corrección de datos personales inexactos, incompletos o desactualizados.
10.3 Cancelación
Solicitar la eliminación de los datos personales cuando considere que no se requieren para alguna de las finalidades señaladas, hayan finalizado las relaciones contractuales, o estén siendo utilizados para finalidades no consentidas. La cancelación implicará un periodo previo de bloqueo seguido de la supresión, salvo que exista obligación legal de conservación.
10.4 Oposición
Oponerse al uso de los datos personales para fines específicos, particularmente para finalidades secundarias como mercadotecnia.
10.5 Procedimiento para ejercer los derechos ARCO
Para ejercer cualquiera de los derechos anteriores, el Usuario deberá enviar una solicitud al correo electrónico evidxapp@gmail.com incluyendo:
- Nombre completo del titular y medio para recibir respuesta.
- Documentos que acrediten su identidad (copia de identificación oficial).
- Descripción clara y precisa de los datos personales sobre los que busca ejercer el derecho y del derecho que pretende ejercer.
- Cualquier otro elemento que facilite la localización de los datos personales.
EvidX responderá la solicitud en un plazo máximo de 20 días hábiles a partir de su recepción, conforme a la LFPDPPP. El ejercicio de estos derechos es gratuito, salvo los gastos justificados de envío o reproducción de información.
10.6 Portabilidad
Cuando la legislación aplicable lo prevea, el Usuario podrá solicitar una copia de sus Análisis EvidX en formato electrónico estructurado y de uso común. Asimismo, durante los 90 días naturales posteriores a la cancelación de su cuenta, el Usuario podrá solicitar la exportación de su historial de Análisis, conforme al plazo de conservación previsto en la Sección 8.
10.7 Revocación del consentimiento
El Usuario podrá revocar su consentimiento al tratamiento de sus datos personales en cualquier momento mediante el mismo procedimiento descrito en el punto 10.5. La revocación no tendrá efectos retroactivos y, dependiendo del alcance, puede implicar la imposibilidad de continuar prestando el Servicio.
10.8 Autoridad reguladora
Si el Usuario considera que sus derechos no han sido debidamente atendidos, podrá presentar denuncia ante la autoridad mexicana competente en materia de protección de datos personales —función que, a partir de la entrada en vigor de la LFPDPPP el 21 de marzo de 2025, corresponde a la Secretaría Anticorrupción y Buen Gobierno, en sustitución del extinto Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)— o ante la autoridad de protección de datos equivalente en su país de residencia.
11. Derechos de usuarios en otros países de Latinoamérica
Los Usuarios residentes en países distintos a México gozan de derechos equivalentes conforme a sus respectivas legislaciones nacionales de protección de datos personales, incluyendo:
- Colombia: Ley 1581 de 2012 (Habeas Data) y Decreto 1377 de 2013, supervisada por la Superintendencia de Industria y Comercio (SIC).
- Argentina: Ley 25.326 de Protección de los Datos Personales, supervisada por la Agencia de Acceso a la Información Pública (AAIP).
- Chile: Ley 19.628 sobre Protección de la Vida Privada (y la Ley 21.719, conforme a su entrada en vigencia), supervisada por la autoridad competente.
- Perú: Ley 29733 de Protección de Datos Personales, supervisada por la Autoridad Nacional de Protección de Datos Personales (ANPD).
Para ejercer derechos conforme a estas u otras legislaciones aplicables, el Usuario podrá utilizar el procedimiento descrito en el punto 10.5.
12. Cookies, identificadores y tecnologías de seguimiento
Por tratarse de una aplicación móvil nativa, EvidX no utiliza cookies de navegador. Sin embargo, utiliza las siguientes tecnologías:
- Identificador único de instalación de la aplicación (generado por iOS o Android), utilizado exclusivamente para vincular sesiones y mantener al Usuario autenticado.
- Identificadores anónimos de PostHog para asociar eventos de uso a sesiones (sin vincular directamente a la identidad del Usuario salvo cuando el Usuario está autenticado).
- Identificadores técnicos de Sentry para correlacionar reportes de errores.
EvidX NO utiliza los identificadores publicitarios IDFA (iOS) o AAID (Android) con fines de mercadotecnia, perfilamiento publicitario ni rastreo cruzado entre aplicaciones. EvidX no se integra con redes de publicidad.
13. Privacidad de menores
El Servicio está dirigido exclusivamente a profesionales de la salud y estudiantes de medicina mayores de 18 años. EvidX no recopila intencionalmente información personal de menores de edad. Si EvidX detecta que ha recopilado información de una persona menor de 18 años, procederá a la cancelación inmediata de la cuenta y a la supresión de los datos correspondientes, sin sujeción al plazo de conservación de 90 días previsto en la Sección 8.
Si un padre, madre o tutor identifica que un menor ha proporcionado información a EvidX, deberá contactarnos a evidxapp@gmail.com para solicitar la eliminación de dicha información.
14. Cambios a esta Política de Privacidad
EvidX podrá actualizar esta Política periódicamente para reflejar cambios en sus prácticas, requisitos legales o nuevas funcionalidades. Cuando se realicen cambios sustanciales, notificará al Usuario mediante:
- Publicación de la versión actualizada en el Servicio, con la nueva fecha de "Última actualización".
- Notificación a través del correo electrónico registrado o aviso visible dentro de la aplicación, con al menos 15 días naturales de anticipación.
El uso continuado del Servicio tras la entrada en vigor de las modificaciones constituye aceptación de las mismas. Si el Usuario no está de acuerdo, deberá dejar de utilizar el Servicio y podrá solicitar la cancelación de su cuenta.
15. Contacto y responsable de privacidad
Para cualquier pregunta, comentario, solicitud de ejercicio de derechos ARCO o reclamación relacionada con esta Política o el tratamiento de datos personales:
- EvidX — operado por el Dr. Julián Treviño González (persona física con actividad empresarial).
- Responsable / Oficial de Privacidad: Dr. Julián Treviño González, Cofundador.
- Correo electrónico: evidxapp@gmail.com
- Dirección: Tepic, Nayarit, México.
EvidX se compromete a responder toda solicitud relacionada con privacidad en los plazos previstos por la legislación aplicable.