El presente Acuerdo de Procesamiento de Datos (en adelante «DPA») establece las condiciones bajo las cuales simiriki, operado por Jairo José De La Rosa Piñeiro (en adelante «el Procesador»), trata datos personales por cuenta del cliente o usuario (en adelante «el Responsable»), en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y las mejores prácticas internacionales de protección de datos.
1. Definiciones
Responsable del tratamiento (Controller): La persona física o moral que determina los fines y medios del tratamiento de datos personales. En el contexto de este acuerdo, el cliente que contrata los servicios de simiriki.
Encargado del tratamiento (Processor): La persona física o moral que trata datos personales por cuenta del Responsable. En este caso, simiriki.
Titular (Data Subject): La persona física a quien corresponden los datos personales objeto del tratamiento.
Datos personales (Personal Data): Cualquier información concerniente a una persona física identificada o identificable, incluyendo nombre, correo electrónico, teléfono, datos de uso del servicio y cualquier otro dato recabado en el marco de la prestación de servicios.
Sub-procesador: Tercero contratado por el Procesador para llevar a cabo actividades específicas de tratamiento por cuenta del Responsable.
Incidente de seguridad: Cualquier acceso, uso, divulgación, alteración, pérdida o destrucción no autorizada de datos personales.
2. Alcance del procesamiento
Datos tratados
Nombre completo, correo electrónico, teléfono y empresa del contacto.
Respuestas al diagnóstico de madurez digital (industria, puntuación, nivel de riesgo).
Datos de navegación y uso del sitio (páginas visitadas, tiempo de sesión, dispositivo).
Datos de transacciones de pago (procesados por Stripe; simiriki no almacena datos de tarjeta).
Contenido de comunicaciones enviadas a través de formularios de contacto.
Finalidades del tratamiento
Prestación de los servicios contratados (diagnóstico, consultoría, automatización).
Gestión de la relación comercial y comunicaciones transaccionales.
Procesamiento de pagos y facturación.
Análisis estadístico para mejora del servicio (solo con consentimiento del titular).
Envío de comunicaciones de seguimiento y contenido educativo (solo con consentimiento).
Duración del tratamiento
Los datos personales se tratarán durante la vigencia de la relación comercial entre el Responsable y el Procesador, y se conservarán por un período adicional de 5 años para cumplir obligaciones legales, fiscales y contables aplicables en México, salvo que el titular ejerza su derecho de cancelación antes de dicho plazo.
3. Obligaciones del Procesador
simiriki, en su calidad de Encargado del tratamiento, se obliga a:
Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable.
No utilizar los datos para fines propios distintos a la prestación del servicio contratado.
Garantizar que el personal con acceso a datos personales se encuentre sujeto a obligaciones de confidencialidad.
Implementar medidas de seguridad técnicas y organizativas apropiadas para proteger los datos.
No sub-contratar el tratamiento sin autorización previa del Responsable (ver sección 4).
Asistir al Responsable en el cumplimiento de solicitudes de ejercicio de derechos ARCO de los titulares.
Notificar al Responsable de cualquier incidente de seguridad sin demora indebida.
Al término de la relación, devolver o eliminar los datos personales según instrucciones del Responsable.
Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de este DPA.
4. Sub-procesadores
simiriki utiliza los siguientes sub-procesadores para la prestación de sus servicios. Cada sub-procesador está sujeto a acuerdos de confidencialidad y protección de datos equivalentes a los establecidos en este DPA:
Stripe, Inc. (San Francisco, EE.UU.) — Procesamiento de pagos. Trata datos de transacciones, nombre, correo electrónico y datos de tarjeta de pago del titular. Cumple con PCI DSS Nivel 1.
Resend, Inc. (EE.UU.) — Envío de correos electrónicos transaccionales y notificaciones. Trata correo electrónico del destinatario y contenido del mensaje.
Railway Corp. (EE.UU.) / PostgreSQL — Hospedaje de infraestructura y base de datos. Almacena datos de contacto, diagnósticos, configuraciones de servicio y registros de operaciones.
Microsoft Corporation (EE.UU.) — Microsoft Graph API. Utilizado para integraciones de correo y calendario cuando el cliente lo autoriza. Trata datos de comunicación y agenda del Responsable.
HubSpot, Inc. (Cambridge, EE.UU.) — CRM y gestión de contactos. Almacena nombre, correo, empresa, teléfono, interacciones comerciales y datos de diagnóstico del titular.
Anthropic, PBC (San Francisco, EE.UU.) — Procesamiento de lenguaje natural mediante inteligencia artificial. Recibe respuestas del diagnóstico de madurez digital para generar análisis y recomendaciones. No retiene datos de entrenamiento con los datos enviados vía API.
Vercel, Inc. (San Francisco, EE.UU.) — Hospedaje del sitio web y ejecución de funciones serverless. Procesa datos de solicitudes HTTP, incluyendo dirección IP y encabezados del navegador.
Google LLC (EE.UU.) — Google Analytics. Recopila datos de navegación anonimizados (solo con consentimiento del titular).
El Procesador notificará al Responsable con al menos 15 días de anticipación antes de incorporar un nuevo sub-procesador, otorgando al Responsable la oportunidad de objetar. La lista actualizada de sub-procesadores estará siempre disponible en esta página.
5. Transferencias internacionales de datos
Dado que la mayoría de los sub-procesadores se encuentran ubicados en Estados Unidos, los datos personales pueden transferirse fuera de México. En todos los casos:
Se exigen garantías contractuales equivalentes a las previstas en los artículos 36 y 37 de la LFPDPPP.
Los sub-procesadores cuentan con políticas de privacidad y medidas de seguridad alineadas con estándares internacionales (SOC 2, ISO 27001, PCI DSS, según aplique).
El titular es informado de estas transferencias en el Aviso de Privacidad y otorga su consentimiento al utilizar los servicios de simiriki.
6. Medidas de seguridad técnicas y organizativas
simiriki implementa las siguientes medidas para proteger los datos personales:
Medidas técnicas
Cifrado en tránsito (TLS 1.2+) para todas las comunicaciones.
Cifrado en reposo de la base de datos (AES-256).
Autenticación basada en tokens JWT con expiración configurable.
Variables de entorno seguras para claves API y credenciales (nunca en código fuente).
Verificación de firmas en webhooks (Stripe webhook signature verification).
Validación de entrada con esquemas Zod en todos los endpoints de la API.
Campos honeypot en formularios para prevención de spam automatizado.
Medidas organizativas
Acceso a datos personales limitado al personal estrictamente necesario.
Principio de mínimo privilegio en la configuración de accesos a sistemas.
Revisión periódica de dependencias y actualizaciones de seguridad.
Registro de accesos y operaciones en la base de datos.
Procedimiento documentado de respuesta a incidentes de seguridad.
7. Notificación de incidentes
En caso de un incidente de seguridad que afecte datos personales, simiriki se compromete a:
Notificar al Responsable dentro de las 72 horas siguientes al momento en que tenga conocimiento del incidente.
Proporcionar información detallada sobre la naturaleza del incidente, las categorías y número aproximado de titulares afectados, las consecuencias probables y las medidas adoptadas o propuestas para remediar el incidente.
Cooperar con el Responsable y cualquier autoridad competente en la investigación y remediación del incidente.
Documentar el incidente, incluyendo las circunstancias, sus efectos y las acciones correctivas implementadas.
8. Derechos del titular
Los titulares de los datos personales tienen derecho a ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) conforme a la LFPDPPP:
Acceso: Solicitar información sobre los datos personales que simiriki trata, la finalidad del tratamiento y los terceros con quienes se comparten.
Rectificación: Solicitar la corrección de datos personales inexactos o incompletos.
Cancelación: Solicitar la eliminación de sus datos personales cuando considere que no están siendo tratados conforme a la ley o este DPA.
Oposición: Oponerse al tratamiento de sus datos para finalidades específicas, particularmente las finalidades secundarias (marketing, análisis estadístico).
Revocación del consentimiento: Revocar en cualquier momento el consentimiento otorgado para el tratamiento de datos personales.
simiriki asistirá al Responsable en la atención de estas solicitudes dentro de los plazos establecidos por la LFPDPPP (20 días hábiles).
9. Duración y terminación
Este DPA entra en vigor en el momento en que el Responsable utiliza cualquier servicio de simiriki que implique el tratamiento de datos personales, y permanecerá vigente mientras dure la relación comercial.
Al término de la relación, simiriki:
Cesará todo tratamiento de datos personales por cuenta del Responsable.
A elección del Responsable, devolverá todos los datos personales en un formato estructurado y de uso común, o los eliminará de forma segura.
Eliminará las copias existentes salvo que la legislación aplicable exija su conservación (obligaciones fiscales y contables: hasta 5 años).
Proporcionará certificación escrita de la eliminación o devolución, si el Responsable lo solicita.
10. Contacto
Para cualquier consulta relacionada con este Acuerdo de Procesamiento de Datos, el ejercicio de derechos ARCO, o la notificación de incidentes de seguridad, puede comunicarse con nosotros: