AVISO DE PRIVACIDAD INTEGRAL
Última actualización: 1 de mayo de 2026 Versión: 1.0 Vigencia: A partir de la fecha de aceptación por el Titular
Status: BORRADOR pendiente de revisión por abogado mexicano de protección de datos antes de publicación pública. No utilizar en producción hasta validación legal.
1. Identidad y domicilio del Responsable
EVCGARZA LLC, en lo sucesivo "Heronova", con domicilio en 2105 Vista Oeste St NW, Suite E #1117, Albuquerque, New Mexico 87120, Estados Unidos, es el Responsable del tratamiento de los datos personales que se recaban a través de la plataforma disponible en app.heronova.net y demás dominios y subdominios asociados (la "Plataforma").
Nota al revisor legal: EVCGARZA LLC está incorporada en el estado de New Mexico (US). Validar: (i) si la referencia a CFF Art. 30 (retención fiscal 5 años en sección 9) aplica — la LLC no es residente fiscal mexicana; probablemente sustituir por requerimientos del IRS y/o de New Mexico Taxation & Revenue; (ii) procesador de Stripe en sección 4 debe ser Stripe, Inc. (US), no Stripe Payments Mexico; (iii) confirmar que LFPDPPP aplica a la LLC por procesar datos de residentes mexicanos vía la Plataforma, independientemente de que la entidad esté incorporada en New Mexico; (iv) considerar también la New Mexico Data Breach Notification Act (NMSA § 57-12C) si hay incidentes que afecten a residentes de NM.
Contacto para asuntos de privacidad:
- Correo electrónico:
privacidad@heronova.net - Teléfono: [OPCIONAL — número de contacto]
2. Datos personales que recabamos
2.1 Datos del Titular (administrador o empleado de un negocio cliente)
| Categoría | Datos específicos | Origen |
|---|---|---|
| Identificación | Nombre completo, correo electrónico | Proporcionado por el Titular al registrarse |
| Acceso | Contraseña (en formato hash, nunca en texto plano), tokens de sesión | Generado por la Plataforma |
| Contacto profesional | Cargo, organización, número telefónico (opcional) | Proporcionado por el Titular |
| Operación de cuenta | Historial de inicios de sesión, dispositivos, dirección IP | Recabado automáticamente |
| Pagos | Identificador de cliente en Stripe, últimos 4 dígitos de tarjeta, dirección fiscal | Proporcionado vía Stripe (NO almacenamos datos completos de tarjeta) |
2.2 Datos de los clientes finales del Titular
Cuando el Titular utiliza la Plataforma para administrar su propio negocio, puede registrar información de sus clientes finales (los "Clientes Finales"):
- Nombre y apellidos
- Número telefónico (incluido WhatsApp)
- Información de citas, servicios contratados, historial de conversaciones
- Cualquier campo personalizado que el Titular configure
Importante: respecto a los datos de los Clientes Finales, el Titular es el Responsable del tratamiento ("Controller" bajo terminología GDPR), y Heronova actúa como Encargado ("Processor"). El Titular es responsable de:
- Recabar el consentimiento de sus Clientes Finales
- Publicar su propio Aviso de Privacidad
- Atender los derechos ARCO de sus Clientes Finales
- Cumplir con las obligaciones de la LFPDPPP en su carácter de Responsable
3. Finalidades del tratamiento
3.1 Finalidades primarias (necesarias para prestar el servicio)
Sus datos personales serán tratados para:
- Crear y administrar su cuenta en la Plataforma
- Autenticarlo y prevenir accesos no autorizados
- Procesar pagos de su suscripción a través de Stripe
- Operar el servicio: almacenamiento de información, ejecución de funciones contratadas (gestión de citas, mensajería automatizada vía WhatsApp, generación de respuestas con inteligencia artificial)
- Atender solicitudes de soporte técnico y consultas
- Cumplir obligaciones legales y fiscales (facturación electrónica, retención de documentos contables por 5 años conforme al Código Fiscal de la Federación)
- Detectar y prevenir fraude, uso indebido o violaciones a los Términos del Servicio
- Proporcionar análisis técnico de errores vía servicios de monitoreo (Sentry) — datos anonimizados o pseudonimizados
3.2 Finalidades secundarias (no son necesarias para prestar el servicio)
Sus datos podrán ser utilizados para:
- Envío de comunicaciones promocionales sobre nuevas funciones, mejoras o productos relacionados
- Encuestas de satisfacción y mejora del servicio
- Estudios estadísticos agregados (datos disociados)
Si NO desea que sus datos se utilicen para las finalidades secundarias, puede manifestarlo enviando un correo a privacidad@heronova.net con el asunto "Limitación de uso secundario". Esta limitación NO afectará la prestación del servicio.
4. Transferencias de datos a terceros
Sus datos personales pueden ser transferidos a los siguientes terceros como parte de la operación del servicio:
| Tercero | Finalidad | Ubicación | Naturaleza |
|---|---|---|---|
| Stripe Payments Mexico, S.A. de C.V. / Stripe, Inc. | Procesamiento de pagos | México / Estados Unidos | Encargado |
| Google Cloud Platform / Firebase (Google LLC) | Almacenamiento de datos en Firestore, autenticación, infraestructura | Estados Unidos / región configurada | Encargado |
| Render Services, Inc. | Hospedaje del servidor backend | Estados Unidos | Encargado |
| Vercel Inc. | Hospedaje de la aplicación web (frontend) | Estados Unidos | Encargado |
| WATI (Clare AI Limited) y/o Meta Platforms Ireland Limited (WhatsApp Cloud API) | Envío y recepción de mensajes de WhatsApp | India / Irlanda / Estados Unidos | Encargado |
| Twilio Inc. (cuando aplique) | Mensajería SMS y WhatsApp alternativa | Estados Unidos | Encargado |
| OpenAI, L.L.C. | Procesamiento de inteligencia artificial sobre el contenido de mensajes para generar respuestas automatizadas | Estados Unidos | Encargado |
| Functional Software, Inc. (Sentry) | Monitoreo y reporte de errores técnicos (datos anonimizados) | Estados Unidos | Encargado |
| Autoridades fiscales y judiciales | Cumplimiento de obligaciones legales o requerimientos formales | México | Conforme a ley |
4.1 Transferencias internacionales
Reconoce y consiente que algunos de los terceros listados se encuentran fuera de México. Heronova exige a todos ellos garantías contractuales mínimas equivalentes a las exigidas por la LFPDPPP, incluyendo cláusulas tipo donde aplique (Standard Contractual Clauses bajo GDPR para destinatarios en jurisdicciones sin decisión de adecuación).
4.2 Sub-encargados
Los terceros listados pueden a su vez subcontratar a sub-encargados (por ejemplo, proveedores de infraestructura cloud subyacente). Heronova conserva la responsabilidad ante usted por el cumplimiento de sus sub-encargados.
4.3 NO realizamos las siguientes transferencias
- No vendemos sus datos personales a terceros para fines de mercadotecnia.
- No transferimos sus datos para fines distintos de los descritos en este Aviso sin su consentimiento expreso.
5. Derechos ARCO
Como Titular, tiene derecho a:
| Derecho | Descripción |
|---|---|
| A — Acceso | Conocer qué datos personales tenemos sobre usted, para qué los usamos y las condiciones del uso |
| R — Rectificación | Solicitar corrección de datos inexactos o incompletos |
| C — Cancelación | Solicitar la eliminación de sus datos cuando considere que no son necesarios para alguna de las finalidades |
| O — Oposición | Oponerse al uso de sus datos para fines específicos |
5.1 Cómo ejercer sus derechos ARCO
Envíe su solicitud a privacidad@heronova.net incluyendo:
- Nombre completo y datos de contacto
- Identificación oficial (INE, pasaporte) en copia legible — para verificar su identidad
- Tipo de derecho ARCO que ejerce
- Descripción clara del derecho específico (qué datos quiere acceder/rectificar/cancelar)
- Si aplica: documentos que acrediten la información a rectificar
Plazos de respuesta:
- Acuse de recibo: 5 días hábiles desde la recepción
- Respuesta formal sobre la procedencia: 20 días hábiles
- Ejecución (si procede): 15 días hábiles adicionales
5.2 Limitaciones a los derechos ARCO
La cancelación de datos puede no ser total cuando exista obligación legal de conservación. En particular:
- Datos fiscales asociados a transacciones (facturación, pagos) se conservan 5 años conforme al Código Fiscal de la Federación, aún tras la cancelación.
- Snapshots de evidencia del proceso de cancelación se conservan 5 años para fines de defensa ante reclamos.
Le notificaremos qué datos se eliminan y cuáles se retienen por obligación legal.
6. Medios para limitar el uso o divulgación de sus datos
Adicional al ejercicio de derechos ARCO, puede:
- Limitar uso secundario — enviando correo a
privacidad@heronova.netcon asunto "Limitación de uso secundario" - Inscribirse en el Registro Público para Evitar Publicidad (REPEP) del INAI — una vez registrado, dejaremos de enviarle publicidad
- Modificar preferencias de comunicación desde la configuración de su cuenta
7. Tratamiento de cookies y tecnologías similares
La Plataforma utiliza:
| Cookie / tecnología | Finalidad | Duración | Esencial |
|---|---|---|---|
heronova_token (httpOnly) | Autenticación | Hasta cierre de sesión o expiración (15 min) | Sí |
heronova_refresh (httpOnly) | Renovación de sesión | 30 días | Sí |
heronova_csrf | Protección anti-CSRF | 24 horas | Sí |
| Sentry Session Replay (solo en caso de error) | Diagnóstico técnico — sin captura de campos sensibles | Hasta 90 días | No |
No utilizamos cookies de mercadotecnia, publicidad o seguimiento entre sitios web (cross-site tracking).
Puede configurar su navegador para bloquear cookies, pero las cookies marcadas como "Esencial" son indispensables para el funcionamiento del servicio.
8. Medidas de seguridad
Implementamos medidas administrativas, técnicas y físicas razonables para proteger sus datos personales contra acceso no autorizado, pérdida, alteración o destrucción. Estas incluyen:
- Cifrado en tránsito (TLS 1.2+) en todas las comunicaciones
- Cifrado en reposo en Firestore y Stripe
- Hashing de contraseñas con bcrypt
- Hashing de refresh tokens (SHA-256) en almacenamiento
- Autenticación basada en JWT con expiración corta
- Validación de origen en todas las operaciones (CSRF, CORS)
- Rate limiting anti-fuerza-bruta
- Monitoreo continuo de eventos de seguridad y errores (Sentry)
- Respaldos point-in-time de la base de datos (7 días)
- Auditoría regular de dependencias y vulnerabilidades
A pesar de estas medidas, ningún sistema de información es completamente seguro. En caso de incidente de seguridad que afecte sus datos, le notificaremos conforme a los plazos de la LFPDPPP (Art. 20).
9. Conservación de datos
Sus datos personales se conservan mientras tenga una cuenta activa, y posteriormente:
- Datos de cuenta (no fiscales): eliminados a los 30 días de la cancelación de la cuenta
- Datos fiscales (facturación, pagos): 5 años desde el último ejercicio fiscal (CFF Art. 30)
- Logs operacionales (no personales o anonimizados): 90 días
- Snapshots ARCO: 5 años posteriores a la ejecución de la solicitud
10. Cambios al Aviso de Privacidad
Heronova podrá actualizar este Aviso de Privacidad para reflejar cambios legales, operativos o tecnológicos.
Notificación de cambios:
- Cambios sustanciales (nuevos terceros, nuevas finalidades, cambios al ejercicio de derechos): notificación por correo electrónico al Titular con 15 días naturales de anticipación
- Cambios menores (correcciones tipográficas, aclaraciones): publicación de la nueva versión en
app.heronova.net/aviso-de-privacidadcon cambio de "Última actualización"
El uso continuado de la Plataforma posterior a la entrada en vigor implica aceptación tácita de los cambios.
11. Consentimiento
Al registrarse en la Plataforma o continuar utilizándola, declara haber leído este Aviso de Privacidad y consiente el tratamiento de sus datos personales conforme a las finalidades primarias y secundarias descritas.
Para las finalidades secundarias, su consentimiento puede revocarse en cualquier momento siguiendo los mecanismos descritos en la sección 6.
12. Quejas ante el INAI
Si considera que su derecho a la protección de datos personales ha sido vulnerado por Heronova, puede presentar queja ante:
Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)
- Sitio: https://home.inai.org.mx
- Teléfono: 800 835 4324
Heronova | app.heronova.net | privacidad@heronova.net