Aviso de Privacidad Integral

Responsable del tratamiento

ATALARIA, S.A.P.I. de C.V., con domicilio en Ciudad de México, México (domicilio fiscal y datos de inscripción disponibles mediante solicitud al Oficial de Privacidad), es responsable del tratamiento legítimo, controlado e informado de sus datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento. El presente aviso se pone a su disposición previo a recabar sus datos, para que tome decisiones informadas.

Puntos de contacto del Oficial de Privacidad: privacidad@atalaria.io | +52 55 2072 9410

1) Datos personales que tratamos

De forma enunciativa, podemos recabar las siguientes categorías:

• Identificación: nombre, nacionalidad, fecha y lugar de nacimiento, CURP, RFC, firma, identificaciones oficiales (INE, pasaporte, cédula), fotografía y biometría de verificación (prueba de vida/1:1) cuando sea necesaria.
• Contacto: domicilios, correos electrónicos, teléfonos y mensajería profesional.
• Laborales/representación: puesto, empresa, poderes, beneficiario controlador (UBO), estatus PEP, vínculos societarios.
• Fiscales/financieros: razón/denominación social, datos para facturación/pagos/CLABE.
• Autenticación/seguridad: credenciales (hash), tokens, MFA, bitácoras y registros de auditoría.
• Uso del servicio/técnicos: IP, identificadores de dispositivo, navegador/OS, zona horaria, eventos de app, cookies y tecnologías similares.
• Soporte/comunicaciones: tickets, correos, evidencias, encuestas y, cuando se informe previamente, grabaciones de llamadas/videollamadas.
• Datos cargados por clientes: información de usuarios/clientes finales/proveedores/beneficiarios para fines de compliance; en estos casos actuamos como encargados conforme a instrucciones del cliente.
• Reclutamiento: CV, historial académico-laboral y referencias.
• Menores de edad: no recabamos deliberadamente datos de menores; si se identifican sin consentimiento del tutor, se eliminarán de forma segura.
• Datos sensibles: solo cuando sean indispensables (p. ej., biometría), con consentimiento expreso por escrito y salvaguardas reforzadas.

2) Finalidades del tratamiento

A) Finalidades necesarias para la relación jurídica:

• KYC/KYB/AML (PLD/FT): verificación de identidad (incluida prueba de vida/biometría), listas de control/sanciones, matrices de riesgo, monitoreo transaccional, generación/envío de avisos/reportes, cumplimiento de requerimientos de autoridad y auditorías.
• Prestación de servicios de Atalaria: alta y administración de cuentas, autenticación y control de accesos, gestión de casos y evidencias, integraciones por API y soporte técnico.
• Facturación, cobranza y pagos; administración contable y fiscal.
• Gestión de proveedores y terceros con acceso operativo estrictamente necesario.
• Conservación y archivo por plazos legales; defensa de derechos y 'legal hold'.

B) Finalidades adicionales (opcionales):

• Comunicaciones comerciales (nuevos productos, actualizaciones, eventos).
• Calidad y mejora (encuestas, métricas de uso, analítica con datos disociados/anonimizados); entrenamiento/validación de modelos con datos disociados.
• Testimonios/marketing identificable solo con consentimiento expreso.

Puede oponerse a finalidades adicionales escribiendo a privacidad@atalaria.io (asunto: "Oposición finalidades adicionales").

3) Fundamentos de licitud y consentimiento

Tratamos datos con base en: (i) consentimiento (expreso o tácito), (ii) cumplimiento de disposiciones jurídicas (p. ej., LFPIORPI y normativa financiera), y (iii) atención de obligaciones derivadas de la relación jurídica. Para datos sensibles (p. ej., biométricos) se requiere consentimiento expreso por escrito (firma autógrafa o electrónica).

Supuestos sin consentimiento: tratamientos/transferencias previstos en ley, datos de fuentes públicas, disociación, cumplimiento de obligaciones derivadas de relación jurídica o mandato de autoridad.

4) Transferencias y remisiones

Remisiones a encargados: nube, verificación de identidad/biometría, listas de control, mensajería/correo, pagos, soporte/analítica (con datos disociados), auditoría y ciberseguridad, bajo contratos de encargo.

Transferencias a terceros responsables: filiales/controladoras, autoridades y organismos reguladores, contrapartes necesarias, asesores legales/contables/de cumplimiento y otros terceros indispensables. El receptor asumirá obligaciones equivalentes.

Transferencias internacionales: exigiremos obligaciones equivalentes (cláusulas contractuales/controles). Puede oponerse a transferencias no necesarias escribiendo a privacidad@atalaria.io.

5) Seguridad e incidentes

Implementamos medidas administrativas, técnicas y físicas proporcionales al riesgo (cifrado, control de accesos, auditoría, gestión de vulnerabilidades, continuidad). Avisaremos oportunamente vulneraciones significativas que puedan afectar sus derechos.

6) Derechos ARCO y otros medios de control

Envíe un correo a privacidad@atalaria.io con asunto "Solicitud ARCO" incluyendo: nombre y medio de contacto; identificación; descripción de los datos y del derecho; elementos para localizar datos. Para rectificación, adjunte documentación soporte.

Plazos: respuesta en 20 días hábiles; de proceder, ejecución en 15 días hábiles adicionales (con posible ampliación por otro periodo igual). Entrega en copia electrónica común y legible.

Improcedencia/limitación: falta de acreditación; datos inexistentes; derechos de terceros; impedimento legal o resolución; ejercicio previo del derecho.

Puede limitar uso/divulgación o revocar consentimiento por los medios previstos. La revocación no es retroactiva.

7) Conservación (retención) y supresión

Regla general: conservación mientras dure la relación y, después, por plazos legales o para defensa de derechos/requerimientos. Cumplidos los plazos, supresión o disociación.

AML/PLD (LFPIORPI): conservación mínima de 10 años de expedientes e informes vinculados a identificación y operaciones.

Facturación/contabilidad: plazos fiscales aplicables. Logs: hasta 24 meses (ampliables por investigación o requerimiento). Respaldos: borrado seguro al vencer plazos.

8) Cookies y tecnologías similares

Usamos cookies y tecnologías de seguimiento para medir uso, recordar preferencias y mejorar la experiencia. Puede deshabilitarlas en su navegador o usar mecanismos de opt-out. El bloqueo puede afectar funcionalidades.

9) Decisiones automatizadas y perfilamiento

Si usamos modelos/algoritmos que produzcan efectos jurídicos o afecten significativamente, podrá solicitar revisión humana, expresar su punto de vista u oponerse, conforme a la ley.

10) Rol de Atalaria como ENCARGADO vs. RESPONSABLE

10.1 Definiciones y alcance

Para efectos de la LFPDPPP y su Reglamento: "Responsable" es la persona física o moral que decide sobre el tratamiento de datos personales (fines y medios). "Encargado" es quien trata datos por cuenta del Responsable, conforme a sus instrucciones y únicamente para las finalidades instruidas.

10.2 Doble rol de Atalaria

(a) Cuando Atalaria administra cuentas, facturación, soporte, seguridad de la plataforma y analítica disociada, actúa como RESPONSABLE respecto de los datos de contacto y uso de la plataforma de sus usuarios/clientes. (b) Cuando los clientes cargan o transmiten datos de sus usuarios, empleados, proveedores, beneficiarios o contrapartes para procesos de KYC/KYB/AML/avisos, Atalaria actúa estrictamente como ENCARGADO y trata dichos datos conforme a instrucciones documentadas del cliente.

10.3 Deberes del Responsable (cliente)

El cliente, en su carácter de RESPONSABLE: (i) determina las finalidades y medios del tratamiento; (ii) proporciona y mantiene vigente su propio aviso de privacidad frente a los titulares cuyos datos recauda; (iii) recaba, cuando aplique, los consentimientos (incluidos los relativos a datos sensibles/biométricos y transferencias no indispensables); (iv) asegura la licitud, calidad, pertinencia y exactitud de los datos que ingresa a la Plataforma; (v) define políticas de conservación y supresión; (vi) atiende las solicitudes ARCO de sus titulares cuando Atalaria funge como ENCARGADO; y (vii) decide y asume las consecuencias de aprobación, rechazo, escalamiento o bloqueo derivados de sus procesos de cumplimiento.

10.4 Deberes del Encargado (Atalaria)

Cuando actúa como ENCARGADO, Atalaria: (i) tratará los datos únicamente conforme a instrucciones lícitas, documentadas y compatibles con las finalidades informadas por el Responsable; (ii) implementará medidas de seguridad administrativas, técnicas y físicas adecuadas al riesgo; (iii) auxiliará al Responsable para atender solicitudes ARCO cuando sea técnicamente posible y bajo instrucciones; (iv) informará sin demora indebida al Responsable sobre eventos de seguridad que puedan afectar datos tratados por cuenta de éste; (v) permitirá, en términos del contrato de encargo (DPA), verificaciones razonables de cumplimiento; y (vi) al término de la prestación, eliminará o devolverá los datos según instrucción, salvo obligaciones legales de conservación.

10.5 ARCO y contacto con titulares

(i) Cuando Atalaria sea ENCARGADO, canalizará al titular con el Responsable y/o lo asistirá conforme al DPA, sin responder de fondo en nombre del Responsable, salvo instrucción escrita y suficiente. (ii) Cuando Atalaria sea RESPONSABLE (p.ej., datos de cuentas, facturación, seguridad de acceso), atenderá directamente las solicitudes conforme a este Aviso.

10.6 Subencargados y transferencias

Atalaria podrá involucrar subencargados para funciones operativas (nube, verificación de identidad/biometría, listas, mensajería, seguridad, auditoría), bajo contratos que impongan obligaciones equivalentes de confidencialidad, seguridad, subcontratación y devolución/supresión.

10.7 Instrucciones ilícitas o desproporcionadas

Atalaria podrá rechazar o solicitar modificación de instrucciones que, a su juicio razonable, sean contrarias a la ley, desproporcionadas o técnicamente inviables; lo anterior no constituye incumplimiento de Atalaria.

10.8 Limitación de responsabilidad y consecuencias

a) Decisiones y consecuencias del Responsable.

El cliente reconoce y acepta que toda decisión de aprobar, rechazar, escalar, reportar, bloquear o dar por terminada una relación con un titular, así como cualquier otra determinación de cumplimiento (KYC/KYB/AML), es adoptada por el RESPONSABLE y bajo su propio criterio y riesgo. Atalaria no asume responsabilidad por las consecuencias de dichas decisiones.

b) Contenido y veracidad de los datos.

El cliente es el único responsable por la licitud, veracidad, calidad, pertinencia y actualización de los datos que proporcione o cargue; Atalaria no garantiza ni responde por errores, omisiones o falsedad en documentos o información de terceros, ni por desactualización de fuentes externas o listas de control mantenidas por terceros.

c) Uso de resultados y umbrales de riesgo.

Los puntajes, alertas, coincidencias, métricas o banderas generadas por la Plataforma tienen carácter de apoyo operativo para el Responsable y no constituyen una determinación automática vinculante. Los umbrales y reglas de decisión son definidos por el Responsable.

d) Alcance técnico del servicio.

Salvo pacto escrito, la Plataforma se opera bajo el principio de "mejores esfuerzos" técnicos y comerciales, sin garantía de disponibilidad ininterrumpida ni de detección exhaustiva de riesgos, fraudes o identidades falsas. Atalaria no responde por interrupciones o fallas atribuibles a servicios de terceros, canales de verificación, autoridades, proveedores de nube, o eventos de fuerza mayor/caso fortuito.

e) Responsabilidad por incidentes.

Atalaria responderá únicamente por incumplimientos que le sean directa y exclusivamente imputables, hasta el límite de responsabilidad pactado en el contrato comercial/DPA correspondiente. En ningún caso será responsable por daños indirectos, consecuenciales, lucro cesante, pérdida de oportunidad o reputacionales.

f) Indemnidad del Responsable.

El cliente mantendrá indemne a Atalaria frente a reclamaciones de titulares o autoridades que se originen en (i) instrucciones del cliente; (ii) uso contrario a la ley o al contrato; (iii) falta de aviso/consentimiento frente a titulares; (iv) contenido o licitud de los datos proporcionados por el cliente o recabados por éste.

g) Conservación legal.

Cuando una norma exija conservar información (p. ej., LFPIORPI/AML por 10 años), Atalaria podrá mantener los datos estrictamente necesarios durante dichos plazos, aun si recibe instrucciones de supresión, informándolo al Responsable.

h) Canal de contacto y escalamiento.

Cualquier notificación, instrucción o autorización vinculada a esta sección deberá realizarse a través del punto de contacto designado en el DPA/contrato. En ausencia de instrucciones claras, Atalaria podrá suspender temporalmente el tratamiento cuestionado y solicitar aclaración.

11) Modificaciones al aviso

Publicaremos modificaciones en https://atalaria.io e indicaremos fecha de actualización. Para cambios sustanciales que requieran consentimiento, lo solicitaremos nuevamente.

12) Quejas y denuncias ante la autoridad

Puede contactarnos primero en privacidad@atalaria.io (asunto: "Queja de privacidad"). También puede acudir a la autoridad competente en materia de protección de datos conforme a la LFPDPPP.