Aviso de Privacidad

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Última actualización: 20 de Noviembre de 2025

Versión: 1.0

1. Identidad y Domicilio del Responsable

Responsable: Fractal

Fractal es el responsable del tratamiento de los datos personales que nos proporcione. Este Aviso de Privacidad describe cómo recopilamos, usamos, compartimos y protegemos su información en cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

2. Datos Personales que Recabamos

Recopilamos las siguientes categorías de datos personales:

A) Datos de Identificación:

  • Nombre completo o razón social
  • Correo electrónico
  • Número telefónico (opcional)

B) Datos de Cuenta y Acceso:

  • Credenciales de acceso (usuario y contraseña cifrada)
  • API Keys generadas
  • Preferencias de configuración
  • Historial de inicio de sesión

C) Datos de Facturación:

  • Información de pago (procesada por terceros)
  • Historial de transacciones
  • Plan contratado y características

D) Datos Operacionales:

  • Configuraciones de workflows
  • Resultados de ejecuciones
  • Logs de sistema y errores
  • Estadísticas de uso

E) Datos de Navegación:

  • Tipo de navegador y dispositivo

Datos Sensibles:

No solicitamos ni recopilamos datos personales sensibles (origen racial/étnico, salud, información genética, creencias religiosas, opiniones políticas, preferencia sexual). Si usted procesa datos sensibles mediante workflows, es su responsabilidad como Controlador de Datos obtener los consentimientos necesarios de sus usuarios finales.

3. Finalidades del Tratamiento

Finalidades Primarias (Necesarias para el servicio):

  • Proveer acceso y funcionalidad de la Plataforma
  • Crear y gestionar su cuenta de usuario
  • Autenticar y autorizar acceso
  • Ejecutar workflows y procesar peticiones
  • Proporcionar soporte técnico
  • Comunicaciones relacionadas con el servicio
  • Cumplir obligaciones legales y contractuales

Finalidades Secundarias (Opcionales, puede oponerse):

  • Mejorar la Plataforma mediante análisis de uso agregado
  • Enviar comunicaciones de marketing sobre nuevas funcionalidades
  • Realizar encuestas de satisfacción
  • Elaborar estadísticas y estudios internos
  • Elaborar perfiles de uso para optimización del servicio

4. Fundamento Legal del Tratamiento

El tratamiento de sus datos personales se realiza con base en:

  • Consentimiento: Al aceptar este Aviso de Privacidad durante el registro.
  • Relación Jurídica: Necesario para la ejecución del contrato de servicios (Términos y Condiciones).
  • Interés Legítimo: Mejora del servicio y prevención de fraude.

5. Transferencias de Datos Personales

Sus datos personales pueden ser transferidos y tratados por terceros dentro y fuera del país. En todos los casos, la transferencia se realiza con base en su consentimiento otorgado mediante la aceptación de este Aviso, o porque es necesaria para el cumplimiento del servicio contratado.

Subprocesadores y Terceros Autorizados:

1. Google Cloud Platform (Estados Unidos)

  • Finalidad: Hosting, almacenamiento de base de datos, infraestructura
  • Tipo de datos: Todos los datos operacionales
  • Ubicación: us-central (Estados Unidos)
  • Protección: Cláusulas Contractuales Estándar (SCC), certificado SOC 2

2. OpenAI (Estados Unidos)

  • Finalidad: Procesamiento de inteligencia artificial (según configuración de workflow)
  • Tipo de datos: Datos de entrada a workflows, contexto de conversación
  • Ubicación: Estados Unidos
  • Protección: DPA de OpenAI, cumplimiento GDPR
  • Nota: OpenAI no entrena modelos con datos de clientes empresariales (API)

3. Anthropic (Estados Unidos)

  • Finalidad: Procesamiento de inteligencia artificial (según configuración de workflow)
  • Tipo de datos: Datos de entrada a workflows, contexto de conversación
  • Ubicación: Estados Unidos
  • Protección: DPA de Anthropic, cumplimiento GDPR

4. Google AI (Estados Unidos)

  • Finalidad: Procesamiento de inteligencia artificial (según configuración de workflow)
  • Tipo de datos: Datos de entrada a workflows, contexto de conversación
  • Ubicación: Estados Unidos
  • Protección: DPA de Google, cumplimiento GDPR

5. Procesadores de Pago

  • Finalidad: Procesamiento de pagos y suscripciones
  • Tipo de datos: Información de pago, historial de transacciones
  • Nota: Fractal no almacena información completa de tarjetas de crédito (PCI-DSS compliant)

Cambios en Subprocesadores: Le notificaremos con al menos 30 días de anticipación cualquier cambio de subprocesadores. Si no está de acuerdo, puede cancelar el servicio sin penalidad.

Si no desea que sus datos sean transferidos: Desafortunadamente, las transferencias listadas son necesarias para proveer el servicio. Si se opone a estas transferencias, no podremos proporcionarle nuestros servicios.

6. Medidas de Seguridad

Implementamos medidas de seguridad administrativas, técnicas y físicas para proteger sus datos:

Medidas Técnicas:

  • Cifrado en tránsito
  • Cifrado en reposo (base de datos cifrada)
  • Hashing de contraseñas (bcrypt)
  • Hashing de API Keys
  • Firewalls y sistemas de detección de intrusiones
  • Backups automáticos diarios cifrados
  • Logs de auditoría de acceso

Medidas Administrativas:

  • Políticas de acceso y seguridad
  • Capacitación de personal
  • Control de acceso basado en roles
  • Revisiones de seguridad periódicas
  • Contratos de confidencialidad con empleados

Medidas Físicas:

  • Infraestructura en Google Cloud (certificado SOC 2, ISO 27001)
  • Centros de datos con seguridad física 24/7
  • Redundancia geográfica

7. Derechos ARCO

Usted tiene derecho a:

  • Acceso: Conocer qué datos personales tenemos de usted y para qué los utilizamos.
  • Rectificación: Solicitar la corrección de sus datos si son inexactos o incompletos.
  • Cancelación: Solicitar la eliminación de sus datos de nuestros registros.
  • Oposición: Oponerse al tratamiento de sus datos para finalidades específicas.

Revocación del Consentimiento: Puede revocar su consentimiento en cualquier momento. La revocación no tendrá efectos retroactivos y puede resultar en la imposibilidad de continuar prestando el servicio.

8. Retención y Eliminación de Datos

Durante vigencia del servicio: Conservamos sus datos mientras mantenga cuenta activa.

Después de cancelación:

  • Período de gracia: 30 días (puede reactivar cuenta)
  • Soft delete: 90 días adicionales (recuperable bajo solicitud)
  • Eliminación definitiva: 120 días totales desde cancelación

Excepciones (conservación extendida):

  • Logs de seguridad: 2 años (auditoría)
  • Datos anónimos agregados: indefinido (estadísticas)

Derecho al olvido: Puede solicitar eliminación inmediata ejerciendo su derecho de Cancelación. Proceso completado en 7 días hábiles con certificado de eliminación.

9. Cookies y Tecnologías de Rastreo

Utilizamos cookies y tecnologías similares para:

  • Cookies esenciales: Mantener sesión activa, autenticación
  • Cookies funcionales: Guardar preferencias, idioma
  • Cookies analíticas: Entender uso de la plataforma
  • Cookies de rendimiento: Optimizar carga y respuesta

Puede configurar su navegador para rechazar cookies, aunque esto puede afectar la funcionalidad de la Plataforma.

10. Menores de Edad

Nuestros servicios están dirigidos exclusivamente a empresas y personas mayores de 18 años. No recopilamos intencionalmente datos de menores de edad. Si descubrimos que hemos recopilado datos de un menor sin consentimiento parental, eliminaremos dicha información inmediatamente.

11. Modificaciones al Aviso de Privacidad

Nos reservamos el derecho de modificar este Aviso de Privacidad en cualquier momento. Las modificaciones se notificarán mediante:

  • Correo electrónico a su cuenta registrada
  • Notificación en la Plataforma al iniciar sesión

Los cambios entrarán en vigor 10 días calendario después de la notificación. El uso continuado de los servicios después de dicho período constituye su aceptación. Si no está de acuerdo, puede cancelar su cuenta.

12. Legislación Aplicable y Autoridad

Este Aviso de Privacidad se rige por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

Autoridad competente:

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)

Sitio web INAI: http://www.inai.org.mx

Teléfono INAI: 01 800 835 43 24

Si considera que su derecho a la protección de datos personales ha sido lesionado, puede acudir al INAI para presentar una queja o denuncia.

Documento generado el 20 de Noviembre de 2025

Fractal - Aviso de Privacidad v1.0 - Cumple LFPDPPP