Aviso de Privacidad Integral
Servicio SaaS de Procesamiento de CFDI de Nómina (XML → Excel)
En cumplimiento de lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, “LFPDPPP”), su Reglamento y los Lineamientos del Aviso de Privacidad emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), se pone a disposición del Titular el presente Aviso de Privacidad Integral.
1. Identidad y domicilio del Responsable
El responsable del tratamiento de los datos personales recabados a través del servicio identificado comercialmente como “Aclara tu Devolución” (en adelante, el “Servicio”) es:
| Responsable | Regino Consultores S.C., sociedad civil constituida conforme a la legislación mexicana, que opera comercialmente bajo el nombre “Aclara tu Devolución”. |
| RFC | [Pendiente de asignación] |
| Domicilio convencional para oír y recibir notificaciones en materia de protección de datos personales | Avenida Heroico Colegio Militar 304, Colonia Reforma, C.P. 68050, Oaxaca de Juárez, Oaxaca, México. |
| Correo electrónico de privacidad (ARCO) | duodev12@gmail.com |
| Sitio web del servicio | https://www.aclaratudevolucion.com/ |
| Fecha de última actualización | 29 de abril de 2026 |
2. Datos personales que se recaban
Para las finalidades descritas en la sección 3, el Responsable recaba y trata las siguientes categorías de datos personales:
| Categoría | Datos comprendidos |
|---|---|
| Identificación y contacto | Nombre, correo electrónico, contraseña cifrada (hash), idioma y zona horaria. |
| Datos de facturación | Razón social o nombre, RFC, domicilio fiscal, régimen fiscal y uso de CFDI (cuando se solicite factura). |
| Datos transaccionales | Plan o paquete contratado, historial de compras, créditos consumidos y vigentes, identificadores de cliente y de suscripción de Stripe (NO se almacenan números de tarjeta ni CVV: estos son recabados y procesados directamente por Stripe, Inc. en entornos certificados PCI DSS Nivel 1). |
| Datos técnicos / de uso | Dirección IP, identificador de sesión, tipo de navegador y dispositivo, registros (logs) de acceso y de operaciones, marcas de tiempo de procesos. |
| Contenido procesado (transitorio) | Archivos XML CFDI 4.0 cargados por el Titular y archivos Excel generados. Estos archivos se procesan en memoria/almacenamiento temporal y se eliminan inmediatamente conforme a la Política de Cero Retención (sección 7). |
Datos personales sensibles. El Responsable no solicita ni trata datos personales sensibles del Titular en el sentido del artículo 3, fracción VI de la LFPDPPP (origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual). En caso de que el Titular cargue voluntariamente archivos que contengan información de esa naturaleza, dicha información será eliminada de los entornos de procesamiento de manera inmediata conforme a la Política de Cero Retención.
Datos patrimoniales y fiscales. Los datos fiscales (RFC, domicilio fiscal, régimen, montos pagados) se consideran datos patrimoniales y serán tratados con un nivel de seguridad reforzado conforme al artículo 19 de la LFPDPPP.
3. Finalidades del tratamiento
3.1. Finalidades primarias (necesarias para la prestación del Servicio)
Sin posibilidad de oposición por ser indispensables para la relación jurídica con el Titular:
- Crear, autenticar y administrar la cuenta del usuario.
- Recibir, procesar de manera transitoria y convertir archivos XML CFDI de nómina en archivos Excel para declaraciones fiscales del Titular o de los empleados a su cargo.
- Gestionar suscripciones, paquetes únicos (PAYG), créditos, facturación y cobranza.
- Atender solicitudes, dudas, reportes técnicos y reclamaciones.
- Cumplir con obligaciones fiscales, contables y de protección de datos a cargo del Responsable.
- Prevenir fraudes, abusos, accesos no autorizados y conductas contrarias a los Términos y Condiciones.
- Generar registros (logs) y métricas operativas mínimas para garantizar la disponibilidad y trazabilidad del Servicio.
3.2. Finalidades secundarias (no necesarias)
El Titular puede manifestar su negativa a las siguientes finalidades sin que ello afecte la prestación del Servicio:
- Envío de comunicaciones comerciales y promocionales sobre nuevas funciones, planes o productos del Responsable.
- Realización de encuestas de satisfacción y de mejora del Servicio.
- Elaboración de estadísticas agregadas y anonimizadas con fines de análisis de uso y comportamiento.
Mecanismo para manifestar la negativa. Si el Titular no desea que sus datos sean tratados para alguna o todas las finalidades secundarias, podrá enviar un correo a duodev12@gmail.com indicando “No consiento finalidades secundarias” en el asunto, o utilizar el enlace de cancelación incluido en cada comunicación comercial. La negativa se atenderá en un plazo máximo de cinco (5) días hábiles.
4. Tratamiento de datos de terceros contenidos en los CFDI (régimen Encargado)
Los archivos XML CFDI cargados al Servicio pueden contener datos personales de terceros (típicamente, los empleados del Titular: nombre, RFC, CURP, NSS, percepciones, deducciones, retenciones). Respecto de esos datos, el Titular actúa como responsable y el Responsable del Servicio actúa como encargado del tratamiento, en términos del artículo 3, fracción IX de la LFPDPPP y los artículos 49 a 56 de su Reglamento.
En su carácter de encargado, el Responsable del Servicio:
- Tratará los datos exclusivamente para ejecutar la conversión solicitada (XML → Excel).
- No utilizará los datos para finalidades distintas, ni los conservará más allá del tiempo estrictamente necesario para entregar el resultado al Titular.
- Aplicará las medidas de seguridad administrativas, físicas y técnicas previstas en los artículos 19 y 20 de la LFPDPPP.
- Eliminará los archivos cargados y los archivos generados de manera inmediata tras la entrega, conforme a la Política de Cero Retención.
- No realizará subcontrataciones distintas a los proveedores de infraestructura listados en la sección 5 sin notificación previa.
Es responsabilidad exclusiva del Titular haber obtenido el consentimiento, comunicado el aviso de privacidad correspondiente y contar con la base legitimadora aplicable respecto de los empleados o terceros cuyos datos consten en los CFDI cargados al Servicio. El Responsable del Servicio no asumirá obligaciones que correspondan al Titular en su carácter de responsable frente a esos terceros.
5. Transferencias y remisiones de datos personales
Para la operación del Servicio, los datos personales son remitidos a los siguientes encargados (proveedores de infraestructura y servicios) y, en su caso, transferidos a los destinatarios indicados:
| Destinatario | Finalidad | País | ¿Requiere consentimiento? |
|---|---|---|---|
| Supabase, Inc. | Autenticación de usuarios y almacenamiento de datos de cuenta, suscripciones y créditos. | Estados Unidos de América | No (necesaria para la prestación del servicio, art. 37 fracción VII LFPDPPP). |
| Stripe, Inc. y Stripe Payments Europe, Ltd. | Procesamiento de pagos, suscripciones recurrentes y compras únicas. | Estados Unidos de América / Irlanda | No (necesaria para la prestación del servicio). |
| DigitalOcean, LLC | Hospedaje de la aplicación (cómputo en la nube) y procesamiento transitorio de archivos. | Estados Unidos de América | No (encargado del tratamiento). |
| Resend, Inc. | Envío de correos transaccionales (verificación de cuenta, recuperación de contraseña, notificaciones del servicio). | Estados Unidos de América | No (necesaria para la prestación del servicio). |
| Autoridades competentes | Cumplimiento de requerimientos fundados y motivados (art. 37 fracción II LFPDPPP). | México | No. |
Transferencias internacionales. Las remisiones a Supabase, Stripe, DigitalOcean y Resend implican el envío de datos personales a los Estados Unidos de América. El Responsable mantiene con dichos encargados acuerdos contractuales de tratamiento que obligan a observar al menos los mismos principios y deberes de protección que la LFPDPPP, conforme a los artículos 36 y 37 de la Ley y 67 a 76 de su Reglamento.
Transferencias adicionales. Salvo las transferencias previstas en el artículo 37 de la LFPDPPP (cumplimiento legal, autoridades, etc.), el Responsable no transferirá los datos del Titular a terceros sin su consentimiento.
6. Medios y procedimiento para ejercer los derechos ARCO y la revocación del consentimiento
El Titular puede ejercer en todo momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), así como revocar el consentimiento otorgado para el tratamiento de sus datos personales, mediante solicitud dirigida al correo:
duodev12@gmail.com
La solicitud deberá contener, conforme al artículo 29 de la LFPDPPP:
- Nombre completo del Titular y medio para comunicarle la respuesta.
- Documentos que acrediten su identidad o, en su caso, la representación legal.
- Descripción clara y precisa de los datos respecto de los cuales se ejerce el derecho.
- Cualquier otro elemento que facilite la localización de los datos personales.
- Indicación expresa del derecho que se ejerce: acceso, rectificación, cancelación, oposición o revocación.
Plazos. El Responsable comunicará al Titular la determinación adoptada en un plazo máximo de veinte (20) días hábiles contados a partir de la recepción de la solicitud, y, en caso de resultar procedente, la hará efectiva dentro de los quince (15) días hábiles siguientes (artículo 32 LFPDPPP).
Gratuidad. El ejercicio de los derechos ARCO es gratuito; el Titular sólo deberá cubrir, en su caso, los gastos justificados de envío o el costo de reproducción en copias u otros formatos.
Limitaciones. El Responsable podrá negar total o parcialmente la cancelación, oposición o revocación cuando exista una obligación legal de conservar los datos, una resolución de autoridad competente, o cuando dicho ejercicio obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales o contractuales del Titular.
7. Política de Cero Retención y conservación de datos
El Servicio opera bajo una política de cero retención respecto de los archivos XML cargados y los archivos Excel generados:
- Los archivos se procesan en memoria o en almacenamiento temporal del servidor.
- Una vez entregado el resultado al Titular (descarga del archivo Excel o expiración del trabajo), los archivos son eliminados de manera inmediata y no se conservan respaldos.
- El contenido de los CFDI no es indexado, analizado, ni utilizado para entrenamiento de modelos, perfilamiento o cualquier finalidad distinta a la conversión solicitada.
Los demás datos (cuenta, suscripción, créditos, registros de operación) se conservan por el tiempo estrictamente necesario para mantener la relación con el Titular y, posteriormente, por los plazos exigidos por la legislación fiscal y mercantil aplicable, hasta cinco (5) años contados a partir de la conclusión de la relación, conforme al artículo 67 del Código de Comercio.
8. Medidas de seguridad
El Responsable ha implementado medidas administrativas, técnicas y físicas razonables, conforme al artículo 19 de la LFPDPPP, para proteger los datos personales contra daño, pérdida, alteración, destrucción o uso, acceso o tratamiento no autorizado, incluyendo:
- Cifrado en tránsito mediante TLS 1.2 o superior (HTTPS).
- Cifrado en reposo de la base de datos por parte del encargado de hospedaje.
- Autenticación basada en tokens y, en su caso, verificación por correo electrónico (OTP).
- Controles de acceso basados en roles y políticas de seguridad a nivel de fila (Row Level Security).
- Cumplimiento del estándar PCI DSS por parte del procesador de pagos (Stripe), de modo que los datos de tarjetas no son tratados ni almacenados por el Responsable.
- Registros de auditoría de accesos y operaciones.
- Procedimiento documentado de respuesta a vulneraciones de seguridad, conforme a los artículos 63 a 66 del Reglamento.
9. Uso de cookies, web beacons y tecnologías similares
El sitio web del Servicio utiliza cookies y tecnologías análogas estrictamente necesarias para mantener la sesión del usuario autenticado y para el funcionamiento de los formularios. No se utilizan cookies de terceros con fines publicitarios. El Titular puede deshabilitarlas desde la configuración de su navegador, en el entendido de que ciertas funciones del Servicio (autenticación, dashboard) podrían no operar correctamente.
10. Modificaciones al Aviso de Privacidad
El presente Aviso de Privacidad puede sufrir modificaciones, cambios o actualizaciones derivadas de nuevos requerimientos legales, de las propias necesidades del Responsable por los servicios que ofrece, de sus prácticas de privacidad, de cambios en su modelo de negocio o por otras causas.
El Responsable se compromete a mantener al Titular informado sobre los cambios mediante: (i) la publicación de la versión actualizada en https://www.aclaratudevolucion.com/privacy, y (ii) cuando los cambios sean sustanciales, mediante una notificación al correo electrónico registrado por el Titular, al menos cinco (5) días naturales antes de su entrada en vigor.
11. Autoridad de control
Si el Titular considera que su derecho a la protección de datos personales ha sido lesionado por alguna conducta u omisión del Responsable, o presume alguna violación a las disposiciones previstas en la LFPDPPP, su Reglamento y demás ordenamientos aplicables, podrá interponer la queja o denuncia correspondiente ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), o la autoridad federal que en su momento lo sustituya. Para mayor información: www.inai.org.mx.
12. Manifestación de consentimiento
La aceptación de los Términos y Condiciones del Servicio, así como la creación de una cuenta y la carga de archivos al Servicio, implican el conocimiento y aceptación del presente Aviso de Privacidad por parte del Titular, en términos de los artículos 8 y 16 de la LFPDPPP.
Última actualización: 29 de abril de 2026