MEDIKAH

Aviso de Privacidad Integral

Privacy Notice

Empresa / Company: Medikah Corporation

Fecha de entrada en vigor / Effective Date: 1 de febrero de 2026 / February 1, 2026

Última actualización / Last Updated: 1 de febrero de 2026 / February 1, 2026

Nuestro Compromiso con su Privacidad / Our Commitment to Your Privacy

Medikah es una plataforma tecnológica que cumple con HIPAA y proporciona servicios de videoconferencia, facturación y coordinación de Citas médicas, permitiendo a proveedores de salud independientes conectarse con pacientes a través de las fronteras.

Medikah is a HIPAA-compliant technology platform that provides video conferencing, billing, and coordination services enabling independent healthcare providers to connect with patients across borders for Appointments.

Lo que somos / What We Are: Plataforma tecnológica (video, facturación, agendamiento) / Technology platform (video, billing, scheduling)

Lo que NO somos / What We Are NOT: Proveedor de atención médica ni práctica médica / Healthcare provider or medical practice

Su privacidad no es negociable. / Your privacy is not negotiable.

Nota Estructural / Structural Note

ES: Este documento consta de (i) un Cuerpo Común aplicable a todos los usuarios, (ii) el Anexo A — Aviso de Privacidad México (LFPDPPP), y (iii) el Anexo B — Privacy Notice United States (HIPAA + CCPA/CPRA). En caso de conflicto entre el Cuerpo Común y un Anexo, prevalece el Anexo para la jurisdicción correspondiente.

EN: This document consists of (i) a Common Body applicable to all users, (ii) Annex A — Mexico Privacy Notice (LFPDPPP), and (iii) Annex B — United States Privacy Notice (HIPAA + CCPA/CPRA). In case of conflict between the Common Body and an Annex, the Annex governs for the applicable jurisdiction.

CUERPO COMÚN / COMMON BODY — APLICABLE A TODOS LOS USUARIOS

1Who We AreQuiénes Somos

Medikah Corporation ("Medikah") es una plataforma tecnológica que proporciona servicios de videoconferencia cumpliendo con HIPAA, facturación médica, coordinación de Citas y almacenamiento seguro de registros de salud, con el fin de conectar a pacientes con proveedores de atención médica independientes.

Medikah Corporation ("Medikah") is a technology platform providing HIPAA-compliant video conferencing, medical billing, Appointment coordination, and secure health record storage services, enabling patients to connect with independent healthcare providers.

Medikah ES / ISMedikah NO ES / IS NOT
Business Associate bajo HIPAAProveedor médico / Medical provider
Responsable de datos (México) / Data controller (Mexico)Empleador de médicos / Employer of physicians
Plataforma tecnológica / Technology platformResponsable de diagnósticos o tratamientos / Responsible for diagnoses or treatments
2Users CoveredUsuarios Cubiertos

Este aviso aplica a dos perfiles de usuarios: / This notice applies to two user profiles:

Perfil / ProfileDescripción / Description
Pacientes / PatientsPersonas que usan la plataforma para Citas médicas / Individuals using the platform for medical Appointments
Proveedores de salud / Healthcare ProvidersMédicos e instituciones que prestan servicios a través de la plataforma / Physicians and institutions providing services via the platform
3Personal Data We ProcessDatos Personales que Tratamos

3.1 Datos de salud / Health Data (PHI / Datos Sensibles)

DATOS SENSIBLES / SENSITIVE DATA

ES: Los datos de salud tienen protección reforzada bajo la LFPDPPP 2025 (Art. 2 fracc. VI y Art. 8) y bajo HIPAA. Su tratamiento requiere consentimiento expreso por escrito, el cual Medikah recaba mediante mecanismo electrónico de autenticación al momento del registro y antes de cada Cita.

EN: Health data has heightened protection under LFPDPPP 2025 and HIPAA. Processing requires express written consent, which Medikah collects via electronic authentication at registration and before each Appointment.

  • Síntomas, condiciones médicas y antecedentes / Symptoms, medical conditions, and medical history
  • Medicamentos, alergias y tratamientos previos / Medications, allergies, and prior treatments
  • Imágenes, audio y mensajes de Citas en video / Images, audio, and messages from video Appointments
  • Resultados de laboratorio, estudios de imagen, recetas / Lab results, imaging studies, prescriptions
  • Información de facturación médica: códigos de diagnóstico y procedimiento / Medical billing: diagnosis and procedure codes

3.2 Datos de identificación personal / Personal Identification Data

  • Nombre completo, fecha de nacimiento, género / Full name, date of birth, gender
  • Correo electrónico, teléfono, domicilio / Email address, phone number, mailing address
  • País de residencia e idioma preferido / Country of residence and preferred language
  • Identificación oficial cuando aplique / Government-issued ID when applicable

3.3 Datos técnicos / Technical Data

  • Nombre de usuario y contraseña cifrada / Username and encrypted password
  • Registros de acceso, direcciones IP y metadatos de sesión / Login records, IP addresses, session metadata
  • Registros de auditoría / Audit logs
4Purposes of ProcessingFinalidades del Tratamiento

4.1 Finalidades primarias / Primary Purposes

  • Habilitar Citas médicas seguras por video / Enable secure medical video Appointments
  • Procesar pagos y coordinar facturación médica / Process payments and coordinate medical billing
  • Almacenar y transmitir registros de salud de forma segura / Securely store and transmit health records
  • Coordinar Citas, referencias y seguimiento clínico / Coordinate Appointments, referrals, and clinical follow-up
  • Cumplir con obligaciones legales y regulatorias / Comply with legal and regulatory obligations
  • Garantizar la seguridad de la plataforma / Ensure platform security

4.2 Finalidades secundarias / Secondary Purposes

Con consentimiento adicional del titular / With additional consent of the data subject:

  • Análisis de calidad y mejora de la plataforma (datos anonimizados) / Quality analysis and platform improvement (anonymized data)
  • Estudios de salud pública (datos desidentificados) / Public health studies (de-identified data)

PROHIBICIÓN ABSOLUTA / ABSOLUTE PROHIBITION

Medikah NUNCA usará datos identificables de salud para fines de mercadotecnia, publicidad ni los venderá a terceros.

Medikah will NEVER use identifiable health data for marketing or advertising, nor sell it to third parties.

5Data TransfersTransferencias de Datos
  • Proveedores de salud elegidos por el paciente / Healthcare providers chosen by the patient
  • Proveedores de tecnología con contrato equivalente a BAA / Technology providers with BAA-equivalent contract
  • Aseguradoras e instituciones de facturación / Insurance companies and billing institutions
  • Autoridades por mandato legal o resolución judicial / Authorities when required by legal mandate or court order

Citas Transfronterizas / Cross-Border Appointments

ES: Cuando usted agenda una Cita Informativa con un proveedor en otro país, sus datos de salud serán transmitidos electrónicamente a través de fronteras internacionales. Esta transmisión está protegida por cifrado extremo a extremo (TLS 1.3 / AES-256) y requiere su consentimiento expreso en el Formulario MEDIKAH-CB-001.

EN: When you schedule an Informational Appointment with a provider in another country, your health information is transmitted electronically across international borders. This transmission is protected by end-to-end encryption (TLS 1.3 / AES-256) and requires your express consent in Form MEDIKAH-CB-001.

6Security MeasuresMedidas de Seguridad
Medida / MeasureDetalle / Detail
Cifrado en tránsito / Encryption in transitTLS 1.3
Cifrado en reposo / Encryption at restAES-256
Autenticación / AuthenticationMulti-factor (MFA)
Control de acceso / Access controlRole-based (RBAC)
Monitoreo / Monitoring24/7 security monitoring
Auditoría / AuditTamper-proof audit logs — 45 CFR §164.312(b)
Evaluaciones / AssessmentsAnnual risk analysis — 45 CFR §164.308(a)(1)
7ContactContacto
Área / AreaContacto / Contact
Privacidad / Privacyprivacy@medikah.health
Oficial de Datos / DPOdpo@medikah.health
Soporte / Supportsupport@medikah.health
Autoridad MéxicoSecretaría Anticorrupción y Buen Gobierno — www.gob.mx/anticorrupcion
Autoridad EUA / USAHHS/OCR — www.hhs.gov/ocr
Autoridad CaliforniaCalifornia AG — oag.ca.gov/privacy

ANEXO A — AVISO DE PRIVACIDAD MÉXICO (LFPDPPP)

En cumplimiento de los artículos 15, 16 y demás disposiciones aplicables de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, DOF 20-mar-2025, última reforma DOF 14-nov-2025), ponemos a su disposición el siguiente Aviso de Privacidad. El Reglamento de esta Ley se encuentra pendiente de expedición; el presente aviso se basa directamente en el texto legal vigente.

A-1. Identidad y Domicilio del Responsable

DatoInformación
Razón socialMedikah Corporation
ConstituciónDelaware, Estados Unidos de América
OperacionesTexas | California | México
Contacto de privacidadprivacy@medikah.health
Persona de Datos Personales (Art. 29 LFPDPPP 2025)privacy@medikah.health
Autoridad competenteSecretaría Anticorrupción y Buen Gobierno

NOTA LEGAL

La nueva LFPDPPP (DOF 20-mar-2025) no establece expresamente la obligación de designar representante local para responsables extranjeros. El Reglamento, pendiente de expedición, podrá desarrollar obligaciones adicionales. Medikah monitorea activamente su publicación.

A-2. Datos Personales que se Tratan

A-2.1 Datos sensibles (Art. 2, fracción VI y Art. 8 LFPDPPP 2025)

CONSENTIMIENTO EXPRESO REQUERIDO

Por tratarse de datos sensibles en los términos del artículo 2, fracción VI de la LFPDPPP 2025, su tratamiento requiere consentimiento expreso y por escrito del titular, el cual podrá otorgarse mediante firma electrónica o cualquier mecanismo de autenticación (Art. 8 LFPDPPP 2025). Medikah lo recaba mediante mecanismo electrónico de autenticación al momento del registro y antes de cada Cita.

  • Estado de salud presente y pasado: síntomas, condiciones, enfermedades
  • Historial médico, tratamientos previos, cirugías
  • Medicamentos, dosis y alergias
  • Resultados de laboratorio, estudios de imagen, notas de Cita
  • Datos visuales y de audio captados durante Citas en video (con consentimiento expreso)
  • Información de facturación médica: códigos CIE-10 y CPT cuando apliquen

A-2.2 Datos personales no sensibles

  • Nombre completo, fecha de nacimiento, sexo, CURP cuando aplique
  • Correo electrónico, número de teléfono, domicilio
  • País de residencia, idioma preferido, zona horaria
  • Datos de pago (procesados por terceros certificados PCI-DSS — Medikah no almacena números completos de tarjeta)
  • Datos técnicos: dirección IP, tipo de navegador, registros de acceso, metadatos de sesión

A-3. Finalidades del Tratamiento

A-3.1 Finalidades primarias (necesarias para la prestación del servicio)

  • Habilitar Citas médicas y Citas Informativas seguras a través de la plataforma
  • Generar y conservar el expediente clínico electrónico conforme a NOM-024-SSA3-2012
  • Procesar pagos y coordinar facturación médica
  • Coordinar Citas, referencias, recordatorios y seguimiento clínico
  • Cumplir con obligaciones legales bajo la LFPDPPP, Ley General de Salud y demás legislación aplicable
  • Garantizar la seguridad e integridad de la plataforma

A-3.2 Finalidades secundarias (puede oponerse sin afectar el servicio)

  • Análisis de calidad y mejora de la plataforma (datos anonimizados, sin identificación individual)
  • Investigación en salud pública (datos disociados)

Para oponerse: privacy@medikah.health — Asunto: "Oposición a finalidades secundarias".

A-4. Transferencias de Datos

Sus datos no serán vendidos, cedidos ni transferidos a terceros distintos a los siguientes:

  • Al proveedor de salud específico asignado a su Cita — únicamente para los fines de esa Cita
  • A proveedores de servicios tecnológicos que actúan como encargados del tratamiento bajo instrucciones de Medikah, obligados contractualmente mediante acuerdos equivalentes a BAA
  • A aseguradoras e instituciones de facturación, cuando usted lo autorice expresamente
  • A autoridades competentes cuando lo exija disposición legal o resolución judicial
  • En el contexto de Citas Informativas transfronterizas: sus datos serán transmitidos a proveedores en México o EE.UU. según corresponda — usted otorga consentimiento expreso en el Formulario MEDIKAH-CB-001

A-5. Derechos ARCO y Revocación del Consentimiento

DerechoContenido
Acceso (Art. 22)Conocer qué datos personales trata Medikah, cómo los trata y para qué finalidades.
Rectificación (Art. 23)Solicitar la corrección de datos inexactos, incompletos o desactualizados.
Cancelación (Art. 24)Solicitar la supresión de sus datos, sujeto a períodos de bloqueo y plazos legales.
Oposición (Art. 26)Oponerse al tratamiento de sus datos para finalidades secundarias o cuando exista causa legítima.
Revocación del consentimiento (Art. 7)Revocar en cualquier momento el consentimiento otorgado, sin efecto retroactivo.

A-5.1 Procedimiento para el ejercicio de derechos ARCO

Enviar solicitud a privacy@medikah.health incluyendo:

  • Nombre completo y correo electrónico registrado en la plataforma
  • Descripción clara del derecho que desea ejercer
  • Copia de identificación oficial para verificación de identidad
  • En caso de rectificación: documentos que acrediten la corrección solicitada

Plazos de Respuesta

Medikah responderá en un plazo máximo de 20 días hábiles. Si resulta procedente, se hará efectiva dentro de los 15 días hábiles siguientes. El plazo podrá ampliarse una sola vez por período igual (Art. 31 LFPDPPP 2025). El ejercicio de los derechos ARCO es gratuito (Art. 34 LFPDPPP 2025).

Si considera que su solicitud no fue atendida correctamente, podrá interponer solicitud de protección de datos ante la Secretaría Anticorrupción y Buen Gobierno, dentro de los 15 días siguientes a la respuesta del responsable (Art. 40 LFPDPPP 2025).

A-6. Uso de Cookies y Tecnologías de Rastreo

La plataforma utiliza cookies esenciales para autenticación, gestión de sesiones y seguridad. Con consentimiento del usuario, utiliza cookies analíticas para mejora de la plataforma. Medikah NO utiliza cookies de publicidad, rastreo de comportamiento entre sitios ni comparte datos con plataformas de mercadotecnia.

A-7. Modificaciones al Aviso de Privacidad

Medikah se reserva el derecho de modificar el presente Aviso en cualquier momento. Toda modificación material será notificada mediante: (i) publicación en la plataforma con al menos 30 días de anticipación (60 días para cambios que afecten datos de salud), y (ii) correo electrónico al último registrado. El uso continuado de la plataforma después de la fecha de entrada en vigor constituirá aceptación de las modificaciones.

ANNEX B — PRIVACY NOTICE UNITED STATES (HIPAA + CCPA/CPRA)

This Annex constitutes Medikah's Notice of Privacy Practices required under HIPAA (45 CFR Parts 160 and 164) and the disclosure required under CCPA/CPRA (Cal. Civ. Code §1798.100 et seq.).

B-1. Medikah's Role Under HIPAA

Business Associate Status

Medikah Corporation is a Business Associate under HIPAA (45 CFR §160.103). Healthcare providers using the platform are Covered Entities responsible for your clinical care and primary HIPAA obligations. Medikah handles PHI on behalf of those Covered Entities pursuant to Business Associate Agreements (BAAs). Your HIPAA privacy rights are primarily exercised through your healthcare provider, not Medikah.

As a Business Associate, Medikah is required to: (i) use and disclose PHI only as permitted by applicable BAAs and HIPAA; (ii) implement the administrative, physical, and technical safeguards required by the HIPAA Security Rule (45 CFR Part 164, Subpart C); (iii) report breaches of unsecured PHI to Covered Entities within the timeframes required by 45 CFR §164.410; and (iv) make its internal practices available to the Secretary of HHS for compliance audits.

B-2. Protected Health Information (PHI) We Handle

  • Health conditions, symptoms, diagnoses, and medical history discussed during Appointments
  • Medications, allergies, and treatment plans
  • Video, audio, and chat content from Appointments (with consent)
  • Lab results, imaging reports, prescriptions, and provider notes
  • Billing information: ICD-10 diagnosis codes, CPT procedure codes, and insurance information
  • Demographic information linked to health services: name, date of birth, address

B-3. Permitted Uses and Disclosures of PHI

B-3.1 Treatment, Payment, and Healthcare Operations (45 CFR §164.506)

  • Treatment: Facilitating communication between you and your healthcare providers; transmitting records to specialists; enabling Appointments via secure video
  • Payment: Processing billing and claims, verifying insurance coverage, coordinating payments
  • Healthcare Operations: Quality improvement analysis using de-identified data, platform security, fraud prevention

B-3.2 Required Disclosures

  • To you or your personal representative, upon request
  • To the Secretary of HHS for HIPAA compliance audits
  • As required by valid court order, subpoena, or other lawful process (45 CFR §164.512(e))
  • For public health reporting as mandated by federal or state law (45 CFR §164.512(b))
  • To avert a serious, credible, and imminent threat to health or safety (45 CFR §164.512(j))

B-3.3 Uses Requiring Your Authorization (45 CFR §164.508)

  • Marketing communications using your PHI
  • Sale of your PHI to any third party
  • Any use not described in this Notice

ABSOLUTE PROHIBITIONS

Medikah will NEVER sell your PHI, use it for advertising, or share it with data brokers for commercial purposes. These prohibitions are absolute and unconditional.

B-4. Your HIPAA Rights (45 CFR §§164.522–164.528)

RightHow to Exercise with Medikah
Right to Access (§164.524)Request copies of PHI Medikah holds — privacy@medikah.health. Response within 30 days.
Right to Accounting of Disclosures (§164.528)Request list of PHI disclosures (past 6 years) — privacy@medikah.health. Response within 60 days.
Right to Confidential CommunicationsRequest alternative contact method. No explanation required. Email privacy@medikah.health.
Right to Restrict DisclosuresMust be requested through your healthcare provider.
Right to AmendmentMust be requested through your healthcare provider.
Right to Breach Notification (§164.404)Notification within 60 days of breach discovery with full details.

B-5. Cross-Border Informational Appointments

CRITICAL NOTICE

When you use Medikah to connect with a healthcare provider in a different country, your health information is transmitted internationally. A physician licensed in Mexico may not be licensed in the United States. Cross-border Informational Appointments are for informational and care planning purposes only — they are not telemedicine, medical consultations, or treatment under U.S. law, as described in Medikah's Terms of Service and Form MEDIKAH-CB-001. This does not affect Medikah's data protection obligations under HIPAA.

International transfers of PHI are carried out pursuant to: (i) Business Associate Agreements with all receiving providers; (ii) contractual clauses requiring equivalent data protection standards; and (iii) your express consent in Form MEDIKAH-CB-001 executed before each Informational Appointment. You have the right to object to cross-border data sharing, in which case Medikah cannot facilitate international Appointments on your behalf.

B-6. California Residents — CCPA/CPRA Rights

CCPA/CPRA — HIPAA Interaction

HIPAA-regulated PHI is exempt from CCPA for treatment, payment, and healthcare operations purposes (Cal. Civ. Code §1798.145(c)). The following rights apply to personal information outside the HIPAA exemption.

CCPA/CPRA RightHow to Exercise
Right to Know (§1798.110)Email privacy@medikah.health — "California Privacy Request." Response within 45 days.
Right to Delete (§1798.105)Email privacy@medikah.health. Subject to legal retention exceptions.
Right to Correct (§1798.106)Email privacy@medikah.health.
Right to Opt-Out (§1798.120)Medikah does not sell or share data for behavioral advertising. No opt-out needed.
Right to Non-Discrimination (§1798.125)Medikah will not discriminate for exercising any CCPA/CPRA right.
Right to Limit Sensitive PI UseEmail privacy@medikah.health — "Limit Sensitive PI."

B-7. Data Security

  • Risk analysis and risk management program (45 CFR §164.308(a)(1))
  • Encryption of PHI in transit (TLS 1.3) and at rest (AES-256)
  • Audit controls and tamper-proof logging (45 CFR §164.312(b))
  • Automatic session termination and multi-factor authentication
  • Annual security risk assessments and periodic penetration testing
  • Business Associate Agreements with all vendors accessing PHI

B-8. Breach Notification

In the event of a breach of unsecured PHI, Medikah will: (i) notify the affected Covered Entity within the timeframe required by 45 CFR §164.410; (ii) support the Covered Entity in notifying affected individuals within 60 days; (iii) notify you directly if required by applicable state breach notification law (Texas Bus. & Com. Code §521.053; Cal. Civ. Code §1798.29); and (iv) notify the Secretary of HHS as required by 45 CFR §164.408.

B-9. How to File a Complaint

Complaint AvenueContact
Medikah Privacy Officeprivacy@medikah.health — Subject: "Privacy Complaint"
HHS Office for Civil Rights (HIPAA)www.hhs.gov/ocr/privacy/hipaa/complaints — File within 180 days
California Attorney General (CCPA/CPRA)oag.ca.gov/privacy
Secretaría Anticorrupción y Buen Gobiernowww.gob.mx/anticorrupcion

B-10. Effective Date and Updates

This Notice is effective as of February 1, 2026. Material changes will be communicated via: (i) platform notification at least 30 days before effective date; (ii) email notification to your registered address. Changes affecting health data processing will be communicated at least 60 days in advance.

medikah

privacy@medikah.health | dpo@medikah.health

© 2026 Medikah Corporation. All rights reserved. / Todos los derechos reservados.