Aviso de privacidad integral

1. Identidad y domicilio del responsable

El responsable del tratamiento de tus datos personales es Omar Villalobos Román, persona física con actividad empresarial bajo la marca comercial Ivyelevate, con domicilio para oír y recibir notificaciones en Cuernavaca, Morelos, México (dirección exacta disponible mediante solicitud previa al correo de contacto).

Conforme al artículo 30 de la LFPDPPP, se designa como Departamento de Datos Personales a Omar Villalobos Román, a cargo de atender solicitudes y dudas sobre el tratamiento de datos personales, con correo de contacto omar@ivyelevate.com.

2. Datos personales que recolectamos

Según el tipo de titular, recolectamos los siguientes datos:

• Prospectos (formulario de contacto, demo, correo, WhatsApp): nombre, correo electrónico, número de teléfono o WhatsApp, nombre del negocio, tipo de negocio o vertical y el mensaje que nos envías.
• Clientes (proyectos contratados): datos fiscales (RFC, razón social, dirección fiscal) para facturación, datos de acceso a servicios contratados (correos, números de WhatsApp Business, IDs de cuentas Meta, Google, Supabase u otros que el cliente nos comparta para operar la solución).
• Contactos finales que escriben al WhatsApp Business de nuestros clientes: número telefónico, nombre y, en su caso, foto de perfil, contenido y metadata de los mensajes que envían al cliente empresarial. (Ver sección 9 sobre nuestro rol respecto a estos datos.)
• Visitantes del sitio: métricas anónimas agregadas (Vercel Analytics) sin cookies de tracking ni huella digital.

3. Datos personales sensibles

Ivyelevate no recolecta ni solicita intencionalmente datos personales sensibles (origen racial o étnico, estado de salud, información genética, creencias religiosas o filosóficas, afiliación sindical, opiniones políticas, preferencia sexual, datos biométricos).

Si en el curso de una conversación operada vía WhatsApp Business Cloud API un contacto final transmite voluntariamente datos sensibles, éstos se tratarán con confidencialidad reforzada, acceso restringido y se considerará que el titular otorgó consentimiento expreso al comunicarlos directamente al negocio empresarial. No se utilizan para fines distintos a la conversación que les dio origen.

4. Consentimiento para el tratamiento

Conforme al artículo 8 de la LFPDPPP, el consentimiento se obtiene de las siguientes formas:

• Consentimiento tácito: al enviar el formulario de contacto, agendar una demo, escribirnos por correo o WhatsApp habiendo tenido acceso a este aviso, se entiende otorgado el consentimiento para las finalidades primarias listadas en la sección 5.
• Consentimiento expreso para el tratamiento de datos financieros o patrimoniales (datos fiscales para facturación, datos bancarios para pagos), obtenido al firmar el contrato o la propuesta del proyecto.
• Consentimiento expreso y por escrito para cualquier dato personal sensible que excepcionalmente pudiera requerirse, conforme al artículo 9 LFPDPPP.

5. Finalidades primarias (necesarias para prestar el servicio)

Estas finalidades son indispensables para mantener la relación contractual contigo. No requieren consentimiento adicional y no puedes oponerte a ellas sin que se afecte la prestación del servicio:

• Contactarte por correo o WhatsApp para coordinar los siguientes pasos.
• Enviarte propuesta, contrato y dar seguimiento al proyecto.
• Operar la solución contratada (sitio web, CRM, recordatorios, integraciones con WhatsApp Business, IA y servicios de terceros que el cliente autorizó).
• Emitir comprobantes fiscales (CFDI) y cobrar.
• Atender solicitudes de soporte, derechos ARCO, reclamos o requerimientos legales.

6. Finalidades secundarias (puedes oponerte)

Estas finalidades no son necesarias para la relación jurídica contigo. Puedes oponerte a ellas en cualquier momento sin que afecte el servicio:

• Enviarte comunicaciones de marketing puntuales sobre nuevos servicios, casos de éxito y contenido educativo.
• Mostrar tu proyecto como caso de éxito en el sitio o redes de Ivyelevate (nombre del negocio, capturas anonimizadas, métricas generales).
• Evaluación interna de calidad del servicio y mejora del producto.

Mecanismo de oposición previo: si no deseas que tus datos se traten para ninguna de las finalidades secundarias anteriores, envía un correo a omar@ivyelevate.com con el asunto "Oposición a finalidades secundarias" indicando cuáles te interesa limitar. Tu negativa no condiciona la prestación del servicio principal.

7. Mecanismos para limitar el uso o divulgación

Además del mecanismo de oposición anterior, puedes solicitar tu inscripción en el listado de exclusión interno de Ivyelevate (no recibir ninguna comunicación comercial ni aparecer en materiales de difusión) escribiendo al mismo correo. También puedes inscribirte en el Registro Público para Evitar Publicidad (REPEP) de la Profeco, que respetamos íntegramente.

8. Transferencias y remisiones a terceros

La LFPDPPP distingue dos figuras: las remisiones a encargados (proveedores que procesan datos por cuenta y bajo instrucciones de Ivyelevate, no requieren consentimiento adicional) y las transferencias a terceros.

Encargados (remisión), conforme al Reglamento de la LFPDPPP arts. 49-55:

• Vercel (hosting del sitio y de aplicaciones).
• Supabase (base de datos y autenticación).
• Cloudflare (DNS, email routing y protección de red).
• Resend (envío de correo transaccional).

Transferencias a terceros que actúan como responsables, con base en los supuestos del artículo 37 LFPDPPP (mantenimiento de relación jurídica entre el titular y el responsable, o cumplimiento de obligaciones legales):

• Meta Platforms, Inc. (WhatsApp Business Cloud API y Facebook Business) cuando el cliente contrata integración con WhatsApp.
• Google LLC (Gmail, Calendar, Drive) cuando el cliente autoriza estas integraciones.
• OpenAI, Anthropic u otros proveedores de modelos de lenguaje, únicamente cuando el cliente contrata funciones de IA y conforme a sus respectivas políticas (sin retención para entrenamiento).
• SAT y autoridades fiscales, cuando una ley lo exija (CFDI, requerimientos).

Algunos de estos terceros procesan datos fuera de México (principalmente Estados Unidos e Irlanda). Cuentan con marcos de protección equivalentes (GDPR, Cláusulas Contractuales Tipo, certificaciones SOC 2). Conforme al artículo 36 LFPDPPP, al usar nuestro servicio aceptas estas transferencias internacionales con las finalidades descritas. No vendemos tus datos ni los compartimos con redes publicitarias.

9. Datos de WhatsApp Business Cloud API y rol dual

Cuando un cliente conecta su número de WhatsApp Business a Ivyelevate vía el flujo oficial de Meta (Embedded Signup con Coexistencia), nuestro rol legal es dual:

• Respecto al cliente empresarial (la PyME que contrata el servicio), Ivyelevate actúa como responsable del tratamiento de los datos de contacto, fiscales y operativos del propio cliente.
• Respecto a los contactos finales que escriben al WhatsApp del cliente empresarial, Ivyelevate actúa como encargado por cuenta del cliente. El cliente es el responsable frente a sus propios contactos finales y debe contar con su propio aviso de privacidad y bases de consentimiento.

Datos que procesamos en esta integración:

• Identificadores de la WhatsApp Business Account (WABA ID, Phone Number ID) y tokens de acceso emitidos por Meta.
• Número, nombre y, en su caso, foto de perfil de los contactos finales que escriben al cliente empresarial.
• Contenido de las conversaciones (texto, imágenes, audios, documentos), metadata del mensaje (timestamps, estado de entrega) y, si el cliente lo autoriza explícitamente durante el onboarding, el historial previo a la conexión.
• Eventos de sincronización entre la app de WhatsApp Business del cliente y la plataforma (smb_app_state_sync, smb_message_echoes).

Cumplimiento: operamos conforme a las Políticas Comerciales de WhatsApp, la Adenda de Transferencia de Datos y la Política de Privacidad de Meta. No usamos los datos de WhatsApp para entrenar modelos propios ni para fines distintos a los acordados con el cliente.

10. Tiempo de conservación

• Prospectos sin contratación: hasta 24 meses desde el último contacto, para hacer seguimiento.
• Clientes activos: mientras dure la relación contractual.
• Datos fiscales y contables: 5 años tras el fin de la relación, por obligación del SAT (Código Fiscal de la Federación, art. 30).
• Mensajes y eventos de WhatsApp: mientras la integración esté activa y hasta 24 meses tras la desconexión, salvo solicitud anticipada de eliminación.

11. Medidas de seguridad

Conforme al artículo 19 LFPDPPP, implementamos las siguientes medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra daño, pérdida, alteración, destrucción o uso, acceso o tratamiento no autorizado:

• Cifrado en tránsito (HTTPS/TLS 1.2+) para todas las comunicaciones del sitio y de las API.
• Cifrado en reposo de las bases de datos y backups, gestionado por los proveedores de infraestructura.
• Control de acceso por rol; autenticación con factores múltiples en cuentas administrativas y proveedores críticos.
• Tokens de acceso a APIs de terceros (Meta, Google, etc.) almacenados de forma cifrada y rotados según las recomendaciones del proveedor.
• Logs de acceso y auditoría sobre acciones sensibles (eliminación, exportación, modificación masiva).
• Backups cifrados con retención cíclica y purga automática en plazos acotados.
• Acuerdos de confidencialidad con cualquier colaborador o encargado que tenga contacto con los datos.

12. Tus derechos ARCO

Conforme a los artículos 22 a 27 de la LFPDPPP, tienes derecho en todo momento a:

• Acceso: conocer qué datos tuyos tenemos y para qué los usamos.
• Rectificación: corregir datos inexactos o incompletos.
• Cancelación: que eliminemos tus datos cuando consideres que no se requieren para alguna de las finalidades, no estén siendo tratados conforme a este aviso o haya cesado la relación contractual.
• Oposición: oponerte al tratamiento para finalidades específicas (por ejemplo, marketing).

El ejercicio de los derechos ARCO es gratuito (art. 35 LFPDPPP). Solo se podrían cobrar costos justificados de reproducción o envío. Procedimiento detallado, plazos y formulario en Eliminación de datos.

Cuando rectifiques tus datos, notificaremos la rectificación a los encargados y terceros a los que se les hayan transferido, conforme al artículo 26 LFPDPPP.

13. Revocación del consentimiento

Puedes revocar tu consentimiento para el tratamiento de tus datos personales en cualquier momento, conforme al artículo 8 LFPDPPP. Para hacerlo, envía un correo a omar@ivyelevate.com con el asunto "Revocación de consentimiento". Respondemos en máximo 20 días hábiles.

Considera que: (a) la revocación no tiene efectos retroactivos sobre tratamientos ya realizados; (b) ciertos datos deben conservarse por obligación legal (fiscal, contable); y (c) la revocación puede impedir la prestación de servicios cuyo cumplimiento requiera el tratamiento, en cuyo caso se da por terminada la relación contractual en los términos del contrato firmado.

14. Datos personales de menores de edad

Los servicios de Ivyelevate no están dirigidos a menores de 18 años. No recolectamos intencionalmente datos de menores. Si identificamos datos de un menor de edad en nuestros sistemas sin el consentimiento de quien ejerce la patria potestad o tutela, los eliminamos al detectarlos. Si eres padre, madre o tutor y consideras que tu hijo o pupilo ha proporcionado datos personales sin tu consentimiento, escríbenos a omar@ivyelevate.com.

15. Autoridad competente y medio de defensa

Si consideras que tu derecho a la protección de datos personales ha sido vulnerado o que la respuesta a tu solicitud ARCO no es satisfactoria, puedes iniciar el Procedimiento de Protección de Derechos ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) dentro de los 15 días hábiles siguientes a la fecha en que recibiste la respuesta o venció el plazo para responderte, conforme al artículo 45 LFPDPPP.

Información y portal del INAI: home.inai.org.mx.

16. Cookies y analítica

Usamos Vercel Analytics, que registra visitas de forma anónima y agregada (sin cookies de tracking ni huella digital). No usamos publicidad de terceros ni remarketing.

17. Cambios a este aviso

Si actualizamos este aviso, publicaremos la nueva versión en esta misma URL y modificaremos la fecha de "última actualización" al inicio. Cuando los cambios sean sustanciales, además te notificaremos por el medio de contacto que nos hayas proporcionado.