Aviso de Privacidad
Mindup — Plataforma de cumplimiento NOM-035-STPS-2018
Léeme primero. Si trabajas en una empresa que te pidió responder cuestionarios en Mindup, este documento te explica de forma clara: quién maneja tus datos, qué hacemos con ellos, quién puede ver tus respuestas y cuáles son tus derechos. Si tienes dudas, escribe a privacidad@mindup.mx.
Resumen de 1 minuto
- La empresa donde trabajas es el Responsable de tus datos. Mindup los procesa por encargo de tu empresa.
- Tratamos los datos que pide la NOM-035: demográficos y respuestas a cuestionarios sobre factores de riesgo psicosocial.
- Quién ve qué: tus respuestas en escalas numéricas (Likert) pueden ser vistas por los administradores designados por tu empresa, asociadas a tu nombre. Si te identifican en riesgo, también podrá verlas el personal médico o psicológico que te canalicen para diagnóstico. Tu feedback abierto (texto libre) es anónimo.
- Usamos inteligencia artificial para identificar patrones, pero ninguna decisión que te afecte se toma de forma automatizada: la canalización siempre la decide un humano.
- Puedes ejercer tus derechos ARCO en cualquier momento escribiendo a privacidad@mindup.mx.
1.¿Quién trata tus datos personales?
Responsable (decide qué hacer con tus datos): La empresa donde trabajas (tu patrón o empleador). Es ella quien tiene la obligación legal de cumplir con la NOM-035 y por eso te pide responder los cuestionarios. Consulta el aviso de privacidad de tu empresa para conocer los detalles del Responsable.
Encargado (procesa los datos en nombre del Responsable): Mindup. Contacto: privacidad@mindup.mx.
¿Qué significa esta diferencia? Tu empresa es la que decidió usar Mindup, te dio de alta en la plataforma y es responsable del cumplimiento NOM-035. Mindup es el software que ella usa para hacerlo bien. Si tienes una solicitud sobre tus datos, puedes dirigirte a Mindup o a tu empresa; nosotros coordinaremos la respuesta.
2.Qué datos tuyos tratamos
2.1 Datos demográficos (Guía V de la NOM-035)
| Tipo | Datos específicos |
|---|---|
| Identificación | ID de empleado, nombres y apellidos, CURP |
| Contacto | Correo electrónico, teléfono celular |
| Demográficos | Género, fecha de nacimiento, estado civil, nivel de estudios |
| Laborales | Departamento, puesto, tipo de puesto, tipo de contratación, tipo de personal, tipo de jornada, rotación de turnos, tiempo en el puesto, experiencia laboral |
2.2 Respuestas a los cuestionarios NOM-035
- Guía I — Identificación de acontecimientos traumáticos severos.
- Guía II o III — Factores de riesgo psicosocial y entorno organizacional, según el tamaño de tu empresa.
Datos sensibles. Algunas respuestas pueden revelar información sobre tu estado emocional, condiciones laborales o experiencias de violencia. La LFPDPPP considera estos datos sensibles. Por eso te pediremos tu consentimiento expreso antes del primer cuestionario y los protegemos con medidas reforzadas.
2.3 Datos técnicos de uso
Cuando inicias sesión y respondes los cuestionarios, registramos automáticamente: dirección IP, dispositivo, fecha y hora de inicio y cierre de sesión, secuencia de acciones realizadas y folio único de registro. Esto se usa para construir tu “registro de auditoría” — la evidencia legal de que contestaste personalmente.
3.¿Para qué usamos tus datos?
3.1 Finalidades primarias
- Permitir que respondas los cuestionarios y que tus respuestas se procesen.
- Calcular niveles de riesgo psicosocial a nivel individual, departamental y organizacional, conforme a NOM-035.
- Permitir que los administradores designados por tu empresa identifiquen a personas que requieren canalización a atención profesional.
- Facilitar el diagnóstico por parte de personal médico o psicológico cuando hayas sido canalizado.
- Generar la evidencia legal (audit trail con firma electrónica simple) que tu empresa necesita para una auditoría de la STPS.
- Enviarte notificaciones para recordarte que tienes cuestionarios pendientes.
3.2 Finalidades secundarias (puedes oponerte)
- Mejorar el funcionamiento de la plataforma usando datos agregados y anonimizados.
- Generar estadísticas anónimas por sector económico para investigación de bienestar laboral.
Cómo oponerte: Escríbenos a privacidad@mindup.mx con asunto “Oposición a finalidades secundarias”. Tu oposición no afecta tu participación obligatoria en la NOM-035.
4.¿Quién puede ver tus respuestas?
Importante. Esta sección describe quién en tu empresa puede ver qué información tuya. Léela con atención antes de responder los cuestionarios.
| Quién | Qué puede ver |
|---|---|
| Tú | Todas tus respuestas y, si tu empresa lo permite, tu nivel de riesgo individual calculado. |
| Administradores designados por tu empresa | Tus respuestas a las escalas numéricas (Likert) de los cuestionarios, asociadas a tu nombre. Esto les permite identificar áreas y personas que requieren atención conforme a la NOM-035. |
| Personal médico o psicológico | Tus respuestas individuales, únicamente cuando tu empresa te canalice a atención profesional tras identificarte en riesgo, para fines de diagnóstico. |
| Tu empresa, a nivel agregado | Resultados consolidados por departamento y organización (gráficas, promedios, niveles de riesgo por dominio). |
| Mindup (Encargado) | Acceso técnico mínimo necesario para operar la plataforma, bajo deber de confidencialidad. No leemos respuestas individuales salvo soporte técnico. |
| Subprocesadores | Solo lo necesario para alojamiento, envío de correo o procesamiento con IA. Detalle en la Sección 6. |
Tu feedback abierto es anónimo. Cuando un cuestionario te permite escribir comentarios en texto libre, ese texto NO se vincula a tu nombre. Tu empresa solo puede ver los comentarios sin identificación del autor. Aprovecha este espacio para expresarte con confianza si quieres compartir información que prefieres no atribuir a ti directamente.
4.1 Reglas que protegen tu información
- La NOM-035 establece que los resultados individuales se usan exclusivamente para canalización a atención profesional. No deben usarse para evaluación de desempeño, sanciones disciplinarias, ni decisiones de contratación, promoción o despido.
- Si consideras que un administrador de tu empresa está haciendo uso indebido de tus respuestas, puedes reportarlo a privacidad@mindup.mx. Mindup colaborará con la investigación y conservará evidencia del acceso a tus datos.
- Mindup no comparte ni vende tus respuestas a terceros con fines comerciales.
5.Confidencialidad del proceso de canalización
Si tu empresa te identifica como persona en riesgo y te canaliza a atención profesional:
- Se te pedirá tu consentimiento expreso adicional antes de compartir tus datos con el personal médico o psicológico.
- Puedes negarte a la canalización. Tu negativa se registrará y no implica sanción alguna.
- El diagnóstico, tratamiento y notas clínicas que genere el personal médico o psicológico se rigen por el secreto profesional y la NOM-004-SSA3-2012 (expediente clínico), no por este aviso de privacidad.
6.Subprocesadores y transferencias internacionales
Mindup usa los siguientes proveedores para operar el servicio. Algunos están en Estados Unidos, lo que implica transferencia internacional de tus datos al amparo del artículo 36 de la LFPDPPP:
| Proveedor | Para qué |
|---|---|
| Amazon Web Services (AWS) | Almacena la base de datos y los archivos. EE.UU. |
| SendGrid (Twilio Inc.) | Envía los correos de notificación. EE.UU. |
| Twilio Inc. | Envía mensajes SMS/WhatsApp cuando aplica. EE.UU. |
| Anthropic, OpenAI, Google Gemini | Procesan patrones agregados con IA. EE.UU. Tienen contratos de no retención: tus datos no se usan para entrenar sus modelos. |
7.Cómo se usa la inteligencia artificial
Mindup aplica algoritmos de IA para identificar patrones de riesgo en grupos y para apoyar el análisis cualitativo de comentarios abiertos de forma agregada y anónima.
Lo importante para ti:
- La IA NO toma decisiones que te afecten directamente. Si la plataforma te clasifica como “empleado en riesgo”, esa señal le llega a un administrador humano de tu empresa, quien decide si canalizarte a atención profesional. Tú siempre puedes aceptar o rechazar la canalización.
- Tienes derecho a solicitar revisión humana de cualquier resultado individual. Escribe a privacidad@mindup.mx.
8.¿Cuánto tiempo guardamos tus datos?
| Tipo de dato | Plazo |
|---|---|
| Datos demográficos y respuestas | Mientras dure el contrato entre tu empresa y Mindup. |
| Registros de auditoría (audit trail) NOM-035 | 5 años después de aplicado el cuestionario, por validez probatoria ante la STPS. |
| Datos de tu cuenta tras solicitar baja | 30 días naturales como periodo de gracia, luego eliminación segura. |
| Datos al terminar el contrato con tu empresa | Se entregan a tu empresa para que conserve la evidencia. Después se anonimizan en nuestros sistemas. |
9.Tus derechos ARCO
Tienes derecho a:
- Acceder a tus datos y respuestas.
- Rectificar datos incorrectos.
- Cancelar tus datos cuando ya no sean necesarios.
- Oponerte a tratamientos específicos.
- Revocar tu consentimiento.
- Limitar el uso de tus datos.
- Portar tus datos en un formato estructurado.
9.1 Cómo ejercer tus derechos
Escribe a privacidad@mindup.mx con copia al departamento de Recursos Humanos de tu empresa. Incluye:
- Tu nombre completo y un correo de contacto.
- Copia de tu identificación oficial.
- Descripción clara de qué derecho quieres ejercer y sobre qué datos.
Plazos: Respondemos en 20 días hábiles. Si procede tu solicitud, la hacemos efectiva en los siguientes 15 días hábiles.
9.2 Si no estás conforme con la respuesta
Puedes acudir al INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) en home.inai.org.mx.
10.Seguridad y cómo proteger tu cuenta
Aplicamos las siguientes medidas para proteger tus datos:
- Cifrado en tránsito (TLS) y en reposo en AWS.
- Bitácoras de auditoría que registran cualquier acceso o cambio.
- Capacitación regular del equipo en protección de datos.
Tu parte: Protege tu contraseña. No la compartas. Si crees que alguien accedió a tu cuenta sin permiso, avisa a Recursos Humanos de tu empresa y escribe a privacidad@mindup.mx para que bloqueemos la sesión y revisemos el registro.
Importante: La contraseña que recibes la primera vez es temporal y debes cambiarla en tu primer inicio de sesión.
11.Si respondiste tu cuestionario en papel
Cuando por razones operativas (personal sin acceso digital, trabajadores de campo, plantas de producción, etc.) el Cliente decide aplicar los cuestionarios de la NOM-035 de forma impresa, aplican estas reglas adicionales:
11.1 Consentimiento expreso en hoja separada
Antes de responder, debes firmar una hoja de consentimiento informado por separado que tu empleador (Cliente) te entrega junto con el cuestionario. Esta hoja contiene los mismos elementos que las casillas que aparecen en la versión digital (ver Sección 13) y constituye tu consentimiento expreso para el tratamiento de datos sensibles, en los términos del Art. 9 de la LFPDPPP.
11.2 Custodia de las hojas físicas
Las hojas físicas (cuestionario respondido + consentimiento firmado) son recolectadas y resguardadas por el Cliente, no por Mindup. El Cliente es responsable de conservarlas en un lugar seguro y de destruirlas conforme a sus propias políticas y a los plazos legales aplicables.
11.3 Proceso de OCR
Una vez digitalizadas (escaneadas o fotografiadas) las hojas, el administrador del Cliente las carga a la plataforma. Mindup procesa las imágenes mediante OCR para extraer las respuestas Likert. El administrador valida visualmente la lectura antes de confirmarla y las asocia a tu registro.
Mindup únicamente conserva los datos estructurados resultantes (respuestas Likert) y un hash criptográfico (huella digital) de la imagen para fines de integridad y auditoría. La imagen original puede ser eliminada del sistema una vez completado el proceso, según la configuración del Cliente.
11.4 Feedback abierto
En la versión impresa no se solicita feedback abierto (preguntas de texto libre). Si tu cuestionario contiene preguntas abiertas, éstas solo se aplican en la versión digital de la plataforma.
12.Consentimiento expreso para datos sensibles (Art. 9 LFPDPPP)
Dado que los cuestionarios pueden incluir información sensible sobre tu salud emocional y vivencias laborales, la ley exige tu consentimiento expreso para tratarlos. La forma en que otorgas ese consentimiento depende del canal por el que respondas:
12.1 Si respondes en línea (versión digital)
Antes de responder tu primer cuestionario te pediremos marcar explícitamente las siguientes casillas:
- He leído y acepto este Aviso de Privacidad y entiendo quién puede ver mis respuestas individuales.
- Consiento expresamente el tratamiento de mis datos sensibles relacionados con factores de riesgo psicosocial laboral.
- Consiento la transferencia internacional de mis datos a los subprocesadores listados en la Sección 6.
- Acepto (o no) el uso de mis datos para finalidades secundarias listadas en la Sección 3.2.
12.2 Si respondes en papel
Tu consentimiento expreso queda registrado mediante la hoja de consentimiento firmada físicamente que tu empleador te entregó junto con el cuestionario (ver Sección 12.2). Esa hoja firmada es la evidencia equivalente a las casillas digitales y debe conservarla el Cliente.
Revocación: Puedes revocar tu consentimiento en cualquier momento dirigiendo la solicitud al Responsable (tu empleador). La revocación no afectará la licitud del tratamiento realizado con anterioridad.
13.Cambios al Aviso
Podemos actualizar este aviso cuando cambien nuestras prácticas o la legislación. Te notificaremos cualquier cambio relevante a través de la plataforma y por correo electrónico, al menos 30 días naturales antes de su entrada en vigor.
Contacto
Si tienes dudas sobre este Aviso de Privacidad, escríbenos: