Aviso de Privacidad Integral — Mexico
Ultima actualizacion: 20 de mayo de 2026
1. Responsable del Tratamiento
cepaos LLC, sociedad de responsabilidad limitada constituida en el Estado de Wyoming, Estados Unidos, es responsable del tratamiento de los datos personales recopilados a traves de la plataforma cepaos ("la Plataforma").
- Correo de contacto: privacidad@cepaos.com
- Delegado de proteccion de datos: dpo@cepaos.com
Representante en la UE (Art. 27 RGPD): La designacion de un representante en la Union Europea conforme al articulo 27 del Reglamento General de Proteccion de Datos esta en proceso de formalizacion. Los datos de contacto definitivos se publicaran en un plazo maximo de 14 dias. Mientras tanto, las consultas sobre proteccion de datos de residentes de la UE pueden dirigirse a privacy@cepaos.com.
2. Datos Personales que Recopilamos
2.1 Datos Proporcionados por el Usuario
- Nombre completo y cargo
- Direccion de correo electronico
- Numero de telefono (opcional)
- Nombre de la organizacion, identificacion fiscal y domicilio
- Informacion de facturacion y metodos de pago (procesados por dLocalGo o Stripe segun mercado)
- Datos de perfil y preferencias de la cuenta
2.2 Datos Recopilados Automaticamente
- Direccion IP y datos de geolocalizacion aproximada
- Tipo de navegador y sistema operativo
- Paginas visitadas, tiempo de permanencia y flujos de navegacion
- Identificadores de dispositivo y cookies (ver Politica de Cookies)
- Registros de acceso y logs de seguridad
2.3 Datos de la Organizacion
El Usuario puede ingresar datos operativos de su organizacion (inventarios, lotes, procesos productivos, datos comerciales). Estos datos se tratan conforme a los Terminos y Condiciones y al Acuerdo Marco de Servicios aplicable. cepaos trata dichos datos como informacion confidencial del Cliente.
3. Bases Legales del Tratamiento
Tratamos datos personales sobre las siguientes bases legales:
- Ejecucion contractual: para prestar el servicio contratado y gestionar la cuenta del Usuario.
- Consentimiento: para comunicaciones de marketing, analitica no esencial y cookies opcionales. El consentimiento puede retirarse en cualquier momento.
- Interes legitimo: para mejorar la seguridad de la plataforma, prevenir fraudes y generar analitica agregada.
- Obligacion legal: para cumplir con obligaciones fiscales, registros contables y requerimientos de autoridades competentes.
4. Finalidades del Tratamiento
- Prestar y mantener el servicio de la Plataforma
- Gestionar la cuenta, autenticacion y control de accesos
- Procesar pagos y facturacion
- Enviar notificaciones operativas y de seguridad
- Proporcionar soporte tecnico al Usuario
- Mejorar la Plataforma mediante analitica agregada y anonimizada
- Cumplir con obligaciones legales y regulatorias
- Prevenir fraudes y garantizar la seguridad de la Plataforma
- Enviar comunicaciones de marketing (solo con consentimiento)
5. Comparticion de Datos
cepaos no vende datos personales. Compartimos datos unicamente con:
5.1 Subprocesadores
Los siguientes proveedores procesan datos personales por cuenta de cepaos bajo contratos de tratamiento (DPA) y, cuando aplica, con las Clausulas Contractuales Tipo (SCC) de la Comision Europea o adhesion al EU-U.S. Data Privacy Framework como mecanismo de transferencia internacional. Para mayor detalle veanse las Secciones 6 y 10.
| Proveedor | Funcion | Ubicacion | Base / mecanismo legal |
|---|---|---|---|
| Stripe Inc. | Procesador de pagos (non-LATAM) | Estados Unidos | EU-U.S. DPF + SCC + Stripe DPA |
| dLocal Pty Ltd | Procesador de pagos (LATAM) | Uruguay | Equivalencia GDPR (Decision UE 2012) + DPA |
| Supabase Inc. | Base de datos y autenticacion | EE.UU. / UE | SCC + Supabase DPA |
| Railway Corp. | Hosting de aplicacion | Estados Unidos | SCC + Railway DPA |
| Cloudflare Inc. | CDN y proteccion DDoS | Estados Unidos (red global) | EU-U.S. DPF + SCC + Cloudflare DPA |
| Upstash Inc. | Cache y rate limiting (Redis) | Estados Unidos | SCC + Upstash DPA |
| Resend Inc. | Correo transaccional | Estados Unidos | SCC + Resend DPA |
| Sentry / Functional Software | Monitoreo de errores | Estados Unidos | SCC + Sentry DPA |
| PostHog Inc. | Analitica de producto (con consentimiento) | Estados Unidos / UE | SCC + PostHog DPA |
Datos compartidos con Stripe (Usuarios non-LATAM): correo electronico del administrador, nombre de la organizacion, identificador Stripe Customer ID y Stripe PaymentMethod ID (tokenizado). cepaos no recibe ni almacena el numero de tarjeta.
Datos compartidos con dLocal Go (Usuarios LATAM): correo electronico del administrador, identificador de cliente y token de tarjeta. cepaos no recibe ni almacena el numero de tarjeta.
5.2 Autoridades
Podemos divulgar datos personales cuando lo requiera una orden judicial, requerimiento de autoridad competente o cuando sea necesario para proteger derechos, propiedad o seguridad de cepaos, nuestros usuarios o el publico.
6. Transferencias Internacionales
Los datos personales pueden transferirse a paises fuera de la jurisdiccion del Usuario, incluyendo Estados Unidos. Aplicamos las siguientes salvaguardas:
- Clausulas contractuales tipo (SCC) aprobadas por la Comision Europea
- Evaluaciones de impacto de transferencia cuando corresponde
- Acuerdos de procesamiento de datos (DPA) con todos los subprocesadores
- Cifrado en transito (TLS 1.3) y en reposo (AES-256)
7. Retencion de Datos
- Datos de cuenta: durante la vigencia de la suscripcion mas 30 dias tras la cancelacion.
- Registros de facturacion: 10 anos (obligacion legal fiscal).
- Logs de seguridad: 12 meses.
- Datos de analitica: 24 meses en formato agregado y anonimizado.
- Copias de seguridad: eliminadas dentro de los 90 dias posteriores a la eliminacion de los datos originales.
8. Seguridad
Implementamos medidas tecnicas y organizativas para proteger los datos personales, incluyendo:
- Cifrado en transito (TLS 1.3) y en reposo (AES-256)
- Aislamiento multi-tenant con Row Level Security (RLS) en PostgreSQL
- Autenticacion con tokens seguros via Supabase Auth
- Rate limiting y proteccion contra ataques de fuerza bruta
- Monitoreo continuo de seguridad y alertas automatizadas
- Acceso restringido basado en roles (RBAC)
- Auditorias periodicas de seguridad
9. Derechos del Titular de los Datos
Segun la legislacion aplicable, el Usuario tiene los siguientes derechos:
- Acceso: solicitar una copia de los datos personales que conservamos.
- Rectificacion: corregir datos inexactos o incompletos.
- Supresion: solicitar la eliminacion de datos personales.
- Portabilidad: recibir datos en formato estructurado y legible por maquina (CSV, JSON).
- Oposicion: oponerse al tratamiento basado en interes legitimo.
- Limitacion: restringir temporalmente el tratamiento en ciertos casos.
- Retiro del consentimiento: retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.
Para ejercer estos derechos, contacte a privacidad@cepaos.com. Responderemos dentro de los plazos previstos por la ley aplicable a su jurisdiccion (ver Seccion 10).
10. Cumplimiento — Mexico (LFPDPPP)
LFPDPPP Ley Federal de Proteccion de Datos Personales en Posesion de los Particulares
Identidad y Domicilio del Responsable (art. 16-I)
cepaos LLC, sociedad de responsabilidad limitada con domicilio en Wyoming, Estados Unidos. Contacto: privacidad@cepaos.com.
Departamento de Proteccion de Datos
Para el ejercicio de derechos ARCO, contacte a dpo@cepaos.com.
Datos Personales Tratados (art. 16-II)
Datos de identificacion y contacto, datos fiscales (RFC, domicilio fiscal), datos de pago, datos de navegacion. cepaos no recaba datos personales sensibles conforme al art. 3-VI de la LFPDPPP.
Finalidades del Tratamiento (art. 16-III)
Finalidades primarias (necesarias para el servicio):
- Crear y administrar la cuenta del Usuario
- Prestar el servicio de la Plataforma
- Procesar pagos y emitir facturacion
- Brindar soporte tecnico
- Cumplir obligaciones legales y fiscales
Finalidades secundarias (opcionales):
- Envio de comunicaciones comerciales y newsletter
- Analisis estadistico no anonimizado
- Encuestas de satisfaccion
El Titular puede oponerse a las finalidades secundarias en cualquier momento contactando a privacidad@cepaos.com sin que ello afecte la prestacion del servicio.
Transferencias de Datos (art. 16-V, art. 36)
cepaos transfiere datos personales a los siguientes terceros sin requerir consentimiento adicional, conforme al art. 37 de la LFPDPPP:
- Autoridades competentes cuando lo requiera la ley (art. 37-VI)
- Proveedores de servicios (Supabase, Cloudflare, dLocalGo, Stripe, Resend, Upstash, Sentry, PostHog) — sujetos a acuerdos de procesamiento
Derechos ARCO (arts. 22-26)
El Titular tiene derecho a:
- Acceso: conocer los datos personales tratados.
- Rectificacion: corregir datos inexactos o incompletos.
- Cancelacion: solicitar la supresion de datos.
- Oposicion: oponerse al tratamiento para finalidades especificas.
Las solicitudes ARCO deben enviarse a privacidad@cepaos.com con la informacion del art. 29 de la LFPDPPP. Plazo de respuesta: 20 dias habiles desde la recepcion.
Revocacion del Consentimiento (art. 8)
El Titular puede revocar el consentimiento en cualquier momento enviando una solicitud a privacidad@cepaos.com.
Cookies y Tecnologias de Seguimiento
Esta Plataforma utiliza cookies. Vease nuestra Politica de Cookies para mayor detalle. El consentimiento puede gestionarse desde el banner de cookies.
Modificaciones al Aviso
Las modificaciones se notificaran con al menos 30 dias de anticipacion por correo electronico y se publicaran en la Plataforma. La fecha de la ultima actualizacion consta al inicio de este Aviso.
Autoridad de Control — INAI
El Titular puede presentar denuncia ante el Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales (INAI): https://home.inai.org.mx.
11. Menores de Edad
La Plataforma esta dirigida exclusivamente a operaciones comerciales (B2B) y no recopila intencionalmente datos de menores de 18 anos. Si tomamos conocimiento de que hemos recopilado datos de un menor, procederemos a eliminarlos de inmediato.
12. Modificaciones a esta Politica
cepaos puede actualizar esta Politica de Privacidad periodicamente. Las modificaciones se notificaran con al menos 30 dias de anticipacion por correo electronico y/o aviso en la Plataforma. La fecha de la ultima actualizacion se indica al inicio de este documento.
13. Contacto
Para consultas sobre privacidad y proteccion de datos:
- Privacidad: privacidad@cepaos.com
- DPO: dpo@cepaos.com
- cepaos LLC — Wyoming, Estados Unidos
Estos términos pueden ser actualizados periódicamente. La versión vigente es la publicada en cepaos.com. Para consultas legales, escribí a legal@cepaos.com.