tlacatlaolli.lat Delicioso siempre

Aviso de Privacidad · Tlacatlaolli

Última actualización · 28 de abril de 2026
Versión · 2.0 · incluye integración WhatsApp Business

Resumen rápido · Tlacatlaolli es una plataforma operada bajo la marca COVARIANTE por Sergio Mora Navarrete (persona física con actividad empresarial · RESICO · México). Recolectamos solo datos necesarios para operar tu negocio · usamos Supabase para almacenamiento · Stripe para pagos · Meta WhatsApp Business Cloud API para mensajería con tu red comercial · Anthropic Claude para asistencia AI auxiliar. No vendemos tus datos. Tienes derechos ARCO · contáctanos en privacidad@aristos.lat.

1. Identidad del responsable

Responsable · Sergio Mora Navarrete
Régimen fiscal · Persona Física con Actividad Empresarial · RESICO · Servicio de Administración Tributaria (SAT) · México
Marca comercial visible · Tlacatlaolli
Plataforma operadora · COVARIANTE · Aristos
Domicilio · Disponible bajo solicitud · sujeto a verificación de identidad para protección del titular
Contacto privacidad · privacidad@aristos.lat

2. Datos personales que recolectamos

2.1 Datos del titular del negocio (tenant)

  • Nombre completo · razón social
  • RFC · datos fiscales (CSF SAT)
  • Email · teléfono
  • Domicilio fiscal · domicilio comercial
  • Información bancaria para Stripe Connect (procesada directamente por Stripe · Tlacatlaolli no almacena tarjetas)
  • PassKey · biometría de dispositivo · NUNCA sale del dispositivo

2.2 Datos del catálogo y operación

  • Productos · servicios · reservaciones · membresías · precios · stock
  • Imágenes · videos · documentos del negocio
  • Configuración fiscal · CFDI · códigos postales

2.3 Datos de la red comercial del tenant (foreigners)

  • Nombre · teléfono · email de proveedores y clientes
  • Conversaciones WhatsApp · SMS · email iniciadas por el foreigner
  • Cotizaciones · solicitudes · histórico de transacciones
  • Métricas agregadas · tiempo respuesta · win rate

2.4 Datos técnicos

  • Dirección IP · timestamp de acceso
  • Tipo de dispositivo · sistema operativo · versión app
  • Logs de error y diagnóstico
  • Identificador único de instalación (FCM token)

3. Finalidades del tratamiento

  • Provisión del servicio · gestión de negocio · CRM · catálogo · pagos
  • Procesamiento de pagos vía Stripe
  • Emisión de comprobantes fiscales (CFDI)
  • Comunicación con tu red comercial (proveedores · clientes) vía WhatsApp Business Cloud API · SMS · email
  • Asistencia AI auxiliar (AsistIA · powered by Anthropic Claude) para orquestación de comunicación · NO chatbot de propósito general
  • Cumplimiento de obligaciones legales (SAT · LFPDPPP · EU AI Act)
  • Mejora del servicio · analítica anónima agregada
  • Notificaciones push · alertas operativas

4. Base legal del tratamiento

Categoría de datosBase legal · LFPDPPPBase legal · GDPR
Datos del tenantConsentimiento + ejecución de contratoArt 6(1)(b) · contrato
Datos fiscalesCumplimiento obligación legalArt 6(1)(c) · obligación legal
Datos red comercialInterés legítimo del tenantArt 6(1)(f) · interés legítimo
Datos técnicosInterés legítimo (seguridad)Art 6(1)(f) · interés legítimo
Datos AI · WhatsAppConsentimiento + EU AI Act complianceArt 6(1)(a) + Reg UE 2024/1689

5. Compartición con terceros · sub-procesadores

Sub-procesadorServicioDatos compartidosLocalización
Supabase Inc.Base de datos · storage · Edge FunctionsTodos los datos del tenantEE.UU. (us-east-1)
Stripe Inc.Procesamiento de pagosDatos de tarjeta · facturaciónEE.UU.
Meta Platforms (WhatsApp Business)MensajeríaMensajes · números teléfono · metadataEE.UU. + Irlanda
Anthropic PBC (Claude AI)Asistencia AI auxiliarMensajes contextualizados (zero-retention)EE.UU.
Google LLC (FCM)Notificaciones pushFCM token · payload cortoEE.UU. + global
Cloudflare Inc.CDN · DNS · workersTráfico HTTP · DNS queriesGlobal
FacturamaTimbrado CFDI · MéxicoDatos fiscales · facturasMéxico

Todos los sub-procesadores están bajo contrato de tratamiento de datos · cumplen estándares LFPDPPP MX y GDPR EU según aplicable.

6. Transferencias internacionales

Tus datos se almacenan principalmente en infraestructura Supabase ubicada en EE.UU. Realizamos esta transferencia con base en cláusulas contractuales tipo equivalentes a los Standard Contractual Clauses (SCC) de la Comisión Europea · y conforme al artículo 36 LFPDPPP MX para transferencias internacionales.

7. Retención de datos

Tipo de datoPeriodo de retenciónJustificación
Datos fiscales · CFDI · timbres5 años post-emisiónCódigo Fiscal de la Federación · México
Datos de la cuenta tenantMientras la cuenta esté activa + 90 díasOperación · disputas
Mensajes WhatsApp · conversaciones90 días desde último mensajeOperación · WhatsApp Policy
Logs técnicos · errores30 díasDiagnóstico · seguridad
Datos de pagos Stripe7 añosObligación fiscal · disputas
Datos AI · contexto ClaudeNO retenidos · zero-retention APIAnthropic política

Tras el periodo de retención · los datos se eliminan o anonimizan irreversiblemente. El tenant puede solicitar eliminación anticipada vía derechos ARCO.

8. Derechos del usuario · ARCO · GDPR · CCPA

Tienes derecho a:

  • Acceder a tus datos personales · solicitar copia
  • Rectificar datos inexactos · incompletos · desactualizados
  • Cancelar el tratamiento de tus datos · solicitar eliminación
  • Oponerte al tratamiento por interés legítimo
  • Revocar consentimiento en cualquier momento
  • Portabilidad · recibir tus datos en formato estructurado
  • Limitación del tratamiento en casos específicos

8.1 Residentes de California · CCPA / CPRA

Si resides en California · adicionalmente tienes derecho a:

  • Right to Know · saber qué datos personales recolectamos · de dónde los obtenemos · con quién los compartimos
  • Right to Delete · solicitar eliminación de datos personales sujeto a excepciones legales
  • Right to Correct · corregir datos personales inexactos
  • Right to Opt-Out of Sale/Sharing · NO vendemos ni compartimos datos personales para publicidad cross-context · no aplica solicitud · pero queda explícito que no lo hacemos
  • Right to Limit Use of Sensitive Personal Information · solo procesamos datos sensibles para finalidades estrictamente necesarias
  • Right to Non-Discrimination · no penalizamos a quien ejerce sus derechos CCPA
Cómo ejercer tus derechos:
Envía un correo a privacidad@aristos.lat con · (1) tu nombre completo · (2) descripción del derecho que ejerces · (3) copia de identificación oficial.

Plazo de respuesta · 20 días hábiles desde la recepción de tu solicitud completa. Si no estás conforme con la respuesta · puedes acudir al Instituto Nacional de Transparencia · Acceso a la Información y Protección de Datos Personales (INAI) · home.inai.org.mx

9. Sección WhatsApp Business · transparencia AI

9.1 Qué hacemos con tus mensajes WhatsApp

Cuando un tenant conecta su número WhatsApp Business · todos los mensajes enviados y recibidos en ese número se almacenan en nuestra infraestructura Supabase para que el tenant pueda gestionarlos desde el panel administrativo. Esto incluye · texto · imágenes · audio · video · documentos.

9.2 AsistIA · asistente AI auxiliar

AsistIA es un asistente automatizado powered by Anthropic Claude. Es una herramienta auxiliar que ayuda al dueño humano del negocio a gestionar comunicación con su red comercial. NO es un chatbot de propósito general. Cumple con · EU AI Act (Regulación UE 2024/1689) · Meta WhatsApp Business Policy · prohibición de chatbots de propósito general en WhatsApp (vigente Enero 15, 2026).

9.3 Disclosure obligatoria

Cada vez que AsistIA inicia una conversación con un tercero (foreigner) · el primer mensaje incluye:

"Hola · soy el asistente automatizado de [nombre del tenant]. Escribe 'humano' en cualquier momento para hablar con una persona."

9.4 Comando humano · auto-handoff

Cualquier mensaje que contenga "humano" · "agente" · "persona" · "human" o "hablar con alguien" automáticamente desactiva la AI y escala la conversación al dueño humano del tenant. La AI nunca toma decisiones comerciales finales.

9.5 Datos AI · zero-retention

Anthropic Claude API opera en modo zero-retention · NO almacena tus mensajes para entrenamiento ni propósitos secundarios. Los mensajes se procesan en memoria · respuesta generada · datos descartados.

9.6 Opt-in obligatorio · consentimiento del foreigner

El tenant es responsable de obtener opt-in expreso de cada proveedor · cliente o socio comercial (foreigner) ANTES de iniciar comunicación vía WhatsApp Business · conforme a la WhatsApp Business Messaging Policy de Meta y al artículo 8 de la LFPDPPP · que exige consentimiento previo para tratamiento de datos personales con fines comerciales.

El opt-in válido debe cumplir:

  • Acción afirmativa del foreigner · click en checkbox · respuesta YES · firma de formulario · tap en botón explícito
  • Información clara · qué tipo de mensajes recibirá · frecuencia esperada · cómo darse de baja
  • Identificación del tenant · nombre comercial visible · NO opt-in genérico para "terceros"
  • Registro auditable · timestamp · medio · texto del consentimiento · retenido por 5 años

Mensajes no solicitados · spam · marketing masivo sin opt-in violan la WhatsApp Business Policy y resultan en suspensión inmediata del WABA del tenant por Meta. Tlacatlaolli suspende automáticamente la integración WhatsApp del tenant si Meta envía un account_alerts con severity CRITICAL/HIGH.

El foreigner puede revocar su opt-in en cualquier momento respondiendo "BAJA" · "STOP" · "UNSUBSCRIBE" o equivalentes en su idioma. El sistema procesa la baja en menos de 24 horas y notifica al tenant.

10. Seguridad

  • Cifrado en tránsito · TLS 1.3 obligatorio para todas las comunicaciones
  • Cifrado en reposo · AES-256 en Supabase storage + database
  • Autenticación · PassKey biométrica · NO almacenamos contraseñas
  • Webhook signature verification · HMAC-SHA256 sobre raw body para endpoints WhatsApp
  • Auditoría · logs de acceso retenidos 90 días
  • Backup · respaldos automáticos diarios Supabase

11. Menores de edad

Tlacatlaolli es una plataforma B2B · NO está dirigida a menores de 18 años. No recolectamos intencionalmente datos de menores. Si descubrimos que datos de un menor fueron recolectados sin consentimiento parental · los eliminamos inmediatamente.

12. Cookies y tecnologías similares

La aplicación móvil de Tlacatlaolli NO usa cookies. La web pública usa cookies estrictamente necesarias para funcionamiento (sesión · preferencias) · sin tracking ni publicidad.

13. Eliminación de cuenta · paso a paso

Conforme a las políticas de Google Play vigentes desde el 15 de abril de 2026 · ofrecemos un mecanismo claro para que el titular del negocio (tenant) solicite la eliminación de su cuenta y datos asociados.

13.1 Cómo eliminar tu cuenta desde la aplicación

  1. Abrir la aplicación de Tlacatlaolli en tu dispositivo
  2. Iniciar sesión con tu PassKey biométrica
  3. Ir al menú Gestor de cuenta
  4. Bajar a la sección Sistema · sub-card Cancelaciones
  5. Seleccionar "Eliminar mi cuenta"
  6. Confirmar con autenticación PassKey
  7. Recibirás email de confirmación · proceso completado en máximo 30 días

13.2 Cómo eliminar tu cuenta vía email (alternativa)

  1. Enviar correo a privacidad@aristos.lat
  2. Asunto: "Eliminación de cuenta · Tlacatlaolli"
  3. Incluir · (1) tu nombre completo · (2) email registrado · (3) RFC si aplica · (4) copia de identificación oficial
  4. Recibirás acuse en 48 horas hábiles · solicitud procesada en máximo 30 días

13.3 Datos que se eliminan inmediatamente al solicitar baja

  • Perfil del usuario · nombre · email · teléfono · domicilio
  • PassKey credenciales del dispositivo
  • Catálogo · productos · imágenes · videos del negocio
  • Conversaciones WhatsApp · mensajes inbound y outbound
  • Configuración de tenant · branding · integraciones
  • Datos de la red comercial (foreigners · cotizaciones · solicitudes)
  • Tokens FCM · sesiones activas

13.4 Datos que se retienen por obligación legal

Por imposición del Código Fiscal de la Federación México (CFF) · ciertos datos deben preservarse aún después de la eliminación de cuenta:

Tipo de datoRetenciónFundamento legal
CFDI emitidos · timbres SAT5 añosArt. 67 CFF
Datos de pagos Stripe · facturación7 añosObligación contable + disputas
Logs de acceso · seguridad90 díasInvestigación de fraude

Estos datos retenidos quedan en estado de archivo legal · sin uso operativo · con acceso restringido a auditores y autoridades fiscales. Tras vencimiento del plazo legal · se eliminan irreversiblemente.

13.5 Eliminación parcial · opción intermedia

Si no quieres eliminar tu cuenta completa pero quieres borrar datos específicos (ej. conversaciones WhatsApp antiguas · histórico de productos · imágenes) · contactanos en privacidad@aristos.lat indicando exactamente qué quieres borrar. Procesamos eliminación parcial en máximo 20 días hábiles.

14. Cambios al aviso de privacidad

Nos reservamos el derecho de modificar este aviso. Cambios materiales serán notificados con 30 días de anticipación vía:

  • Email a la dirección registrada del tenant
  • Notificación push en la app
  • Banner visible en el sitio web

15. Quejas y autoridad supervisora

Si consideras que tus derechos no han sido respetados · puedes presentar queja ante:

  • México · Instituto Nacional de Transparencia · INAI · home.inai.org.mx
  • Unión Europea · autoridad supervisora del país de residencia · listado en edpb.europa.eu