Identidad del Responsable del Tratamiento

El responsable del tratamiento de tus datos personales es SERMEÑO CONSULTING, S.A. de C.V. (en adelante, "el Responsable" o "nosotros"), con Registro Federal de Contribuyentes SCO211203946 y domicilio en Av. Paseo Tabasco 1203, Interior 1501 P15, Col. Villahermosa Centro, C.P. 86000, Centro, Tabasco, México.

Arkos Note es una marca y servicio operado por SERMEÑO CONSULTING, S.A. de C.V..

Para asuntos relacionados con tu privacidad puedes contactarnos en privacy@arkosmx.com o por escrito al domicilio anterior.

Marco legal aplicable y autoridad reguladora

Este aviso se emite con fundamento en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) publicada en el Diario Oficial de la Federación el 20 de marzo de 2025 y vigente desde el 21 de marzo de 2025, así como su Reglamento y los Lineamientos del Aviso de Privacidad aplicables.

A partir de la entrada en vigor de la nueva LFPDPPP, las facultades en materia de protección de datos personales en posesión de particulares que correspondían al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) se transfirieron a la Secretaría Anticorrupción y Buen Gobierno, autoridad ante la cual puedes interponer las denuncias o procedimientos previstos en la Ley si consideras que tus derechos no fueron debidamente atendidos.

Adicionalmente, en la medida en que el servicio integra APIs de Google y opera sobre WhatsApp Business Platform, su funcionamiento está alineado con la Google API Services User Data Policy y con los WhatsApp Business Solution Terms (incluida la AI Policy vigente desde el 15 de enero de 2026).

Alcance de este aviso

Este aviso aplica a personas físicas que interactúen con Arkos Note a través de:

El número de WhatsApp Business operado por nosotros.
El dashboard web disponible en https://panel-note.arkosmx.com.
El sitio público https://note.arkosmx.com.
La integración con Google Calendar que el usuario autorice por OAuth.

No aplica a sitios o servicios de terceros enlazados desde Arkos Note. Cada tercero rige sus propios tratamientos conforme a su política.

Datos personales que recopilamos

4.1 Datos que tú nos proporcionas directamente

Número de teléfono de WhatsApp y nombre de perfil.
Correo electrónico, nombre y foto de tu cuenta de Google (si la conectas).
Contenido de los mensajes que envías al asistente: texto, transcripciones de audio, imágenes, documentos y archivos.
Recordatorios, listas, gastos, notas y demás contenido que crees dentro del producto.
Archivos que decidas guardar en el "baúl" del asistente.
Datos fiscales que proporciones para la emisión de facturas (CFDI).

4.2 Datos obtenidos de Google (vía OAuth)

Únicamente cuando autorizas la conexión correspondiente. El detalle por permiso (scope) se describe en la sección 05.

4.3 Datos obtenidos a través de WhatsApp Business Cloud API

Cuando interactúas con nuestro número, Meta nos entrega: tus mensajes y adjuntos, tu número de teléfono, tu nombre de perfil de WhatsApp y los metadatos técnicos del envío (timestamp, identificadores de mensaje, estado de entrega).

4.4 Datos generados automáticamente

Dirección IP, agente de usuario, identificadores de sesión y marcas de tiempo.
Métricas de uso del producto (volumen de mensajes, latencias, errores).
Representaciones vectoriales (embeddings) derivadas de los contenidos que tú creas, generadas para que tu propio baúl sea buscable semánticamente.

4.5 Datos relacionados con pagos

Cuando contratas o renuevas tu suscripción mensual, recibimos de nuestro procesador de pagos (Stripe) un identificador de transacción, el monto, el plan contratado y el método utilizado. No almacenamos los datos de tu tarjeta: estos viajan directamente a Stripe. La gestión del método de pago, descarga de comprobantes y cancelación de la suscripción se realiza desde el portal de facturación de Stripe, accesible desde el dashboard.

4.6 Identificación expresa de datos sensibles

El servicio no solicita de manera deliberada datos personales sensibles (origen racial o étnico, estado de salud, información genética, creencias religiosas, opiniones políticas, preferencia sexual). Sin embargo, dado que el contenido de tus conversaciones, recordatorios o archivos lo decides tú libremente, podrías incidentalmente compartir información sensible. Cualquier información sensible que voluntariamente nos transmitas se trata con las mismas medidas reforzadas de seguridad descritas en la sección 11 y queda bajo tu control para borrarla en cualquier momento (sección 08).

Datos de Google API y cumplimiento Limited Use

5.1 Compromisos Limited Use

Limitamos el uso de tus datos de Google a las funciones del producto que son visibles y prominentes en su interfaz (recordatorios, agenda, listas y baúl).
No transferimos tus datos a terceros, salvo (i) cuando es estrictamente necesario para prestar el servicio que tú solicitas y únicamente con tu consentimiento, (ii) por motivos de seguridad (investigación de abuso), (iii) para cumplir con la ley aplicable, o (iv) en el contexto de una fusión, adquisición o venta de activos con notificación previa.
No permitimos que personas humanas lean tus datos de Google, salvo (i) con tu consentimiento explícito y específico, (ii) por motivos de seguridad, (iii) por mandato legal, o (iv) cuando los datos han sido agregados o anonimizados para operación interna.
No usamos tus datos para servir publicidad (incluida publicidad personalizada o de retargeting), para determinación de solvencia crediticia, para actividades de préstamo, ni para entrenar modelos generales de inteligencia artificial.

5.2 Permisos (scopes) que solicitamos

La siguiente tabla detalla cada permiso de Google que el servicio puede solicitar, los datos a los que accede, su finalidad, almacenamiento y plazo de conservación.

Permisos de Google solicitados por Arkos Note
Permiso (scope)	Datos a los que accede	Para qué lo usamos	Por qué es necesario	Dónde se almacena	Cuánto se conserva
`openid · profile · email`	Identificador único de Google (sub), nombre, foto de perfil, dirección de correo	Iniciar sesión en el dashboard y mostrar tu identidad	Login federado evita que tengas que crear y gestionar otra contraseña	PostgreSQL administrado (perfil de usuario)	Mientras tu cuenta esté activa
`https://www.googleapis.com/auth/calendar`	Lectura y escritura de eventos en tus calendarios de Google	Crear, consultar, actualizar y eliminar eventos a petición explícita por chat o desde el dashboard	Es el núcleo del producto para recordatorios y agenda en lenguaje natural	No persistimos eventos en nuestra base; solo guardamos los tokens OAuth cifrados	Tokens hasta que revoques el acceso

5.3 Revocación

El permiso de Google Calendar se solicita cuando inicias sesión con Google para conectar tu calendario. Los recordatorios, listas, gastos, contactos y baúl funcionan sin ninguna autorización de Google.

Puedes revocar el acceso en cualquier momento desde myaccount.google.com/permissions. La revocación es inmediata; en el siguiente intento de acceso nuestro sistema purga los tokens correspondientes.

Integración con WhatsApp Business y AI Policy 2026

La integración con WhatsApp se realiza directamente sobre la WhatsApp Business Cloud API operada por Meta Platforms, Inc. Al iniciar conversación con nuestro número manifiestas tu consentimiento expreso (opt-in) para recibir respuestas del asistente.

En cumplimiento con los WhatsApp Business Solution Terms y con la AI Policy vigente desde el 15 de enero de 2026:

Los mensajes que envías al asistente se transmiten a nuestros proveedores de modelos de lenguaje (Google Gemini y, contingentemente, OpenAI) únicamente para servir tu propia petición.
No compartimos el contenido de tus chats con terceros para entrenar modelos generales de IA.
No comercializamos ni cedemos tus mensajes con fines distintos a la prestación del servicio.
No simulamos un asistente conversacional abierto (estilo "ChatGPT en WhatsApp"); las respuestas están enmarcadas en las funciones específicas del producto.

Tu uso de WhatsApp también queda regido por la Política de Privacidad de WhatsApp. Meta cifra los mensajes en tránsito; los metadatos del envío (número, timestamps) son visibles para Meta como parte de la operación del canal.

Finalidades del tratamiento

7.1 Finalidades necesarias (origen del tratamiento)

Sin estas finalidades el servicio no puede prestarse:

Operar tu asistente personal y ejecutar las acciones que solicitas.
Autenticarte, mantener tu sesión y proteger tu cuenta.
Acceder, en tu nombre y bajo tu autorización, a los datos de Google necesarios para las integraciones que activaste.
Procesar pagos y emitir comprobantes fiscales.
Atender tus solicitudes de soporte y ejercicio de derechos ARCO.
Cumplir obligaciones legales y atender requerimientos de autoridad.

7.2 Finalidades voluntarias

Para estas finalidades requerimos tu consentimiento separado, y puedes oponerte sin afectar la prestación del servicio:

Mejoras del producto a partir de datos agregados y anonimizados (no individualizables).
Comunicaciones sobre nuevas funciones, novedades del producto o mantenimiento programado.

7.3 Cómo limitar las finalidades voluntarias

Para oponerte al tratamiento con fines voluntarios, escríbenos a privacy@arkosmx.com indicando "Oposición a finalidades voluntarias" en el asunto. Atenderemos tu solicitud en un máximo de 20 días hábiles.

Conservación y eliminación de datos

8.1 Plazos de conservación

Categoría	Plazo	Base
Tokens OAuth de Google	Hasta que revoques el acceso	Necesarios para operar las integraciones que autorizaste
Mensajes de WhatsApp y chat web	24 meses (rolling)	Necesarios para mantener el contexto de tu asistente; eliminables a petición
Baúl de archivos y embeddings semánticos	Hasta que tú los borres	Datos creados por ti; bajo tu control en todo momento
Caché de contactos de Google	≤ 24 horas	Reducir latencia en resolución de destinatarios
Logs técnicos (IP, user-agent, timestamps)	90 días	Seguridad, diagnóstico y prevención de abuso
Comprobantes y facturación	5 años	Obligación fiscal (Código Fiscal de la Federación, México)

8.2 Mecanismos de eliminación

Tienes cuatro vías equivalentes para eliminar tus datos. La más rápida es el botón de borrado en el dashboard.

Botón "Borrar mi cuenta" dentro del dashboard (https://panel-note.arkosmx.com/configuracion). Elimina tu cuenta y todos los datos derivados sin intervención humana.
Por correo electrónico a privacy@arkosmx.com. Atendemos en un máximo de 20 días hábiles.
Revocando el acceso a Google desde myaccount.google.com/permissions. Al revocar, perdemos inmediatamente la capacidad de actuar sobre tus servicios de Google y los tokens correspondientes se purgan de nuestra base.
Comando en WhatsApp: envía /borrar-cuenta al número del asistente.

La eliminación es definitiva, salvo aquellos datos que estemos legalmente obligados a conservar (por ejemplo, comprobantes fiscales por 5 años conforme al Código Fiscal de la Federación).

Subprocesadores y terceros con acceso

Para prestar el servicio nos apoyamos en los siguientes proveedores. Cada uno opera bajo cláusulas contractuales que reflejan los compromisos de este aviso, y solo procesa datos en la medida necesaria para su función.

Proveedor	Función	Datos que procesa	Jurisdicción	Política
Meta Platforms, Inc. (WhatsApp Business Cloud API)	Canal de mensajería bidireccional con el usuario	Mensajes, audios, imágenes y archivos enviados; número de teléfono; nombre de perfil de WhatsApp	Estados Unidos / global	Ver política
Google LLC (Gemini, Calendar)	Modelo de lenguaje (Gemini) y servicios de productividad accedidos vía OAuth con tu autorización	Mensajes que envías al asistente (procesados por Gemini únicamente para servir tu petición) y los datos correspondientes a los scopes OAuth que autorizaste	Estados Unidos / global	Ver política
OpenAI, L.L.C.	Modelo de lenguaje (uso contingente; configurado pero actualmente no activo)	Mensajes que envías al asistente, si y solo si esta vía está habilitada para tu cuenta	Estados Unidos	Ver política
Deepgram, Inc.	Transcripción de audio (speech-to-text)	Audios de WhatsApp procesados temporalmente; el audio no se persiste tras la transcripción	Estados Unidos	Ver política
Stripe, Inc.	Procesamiento de cobros de la suscripción mensual	Correo, monto, identificadores de transacción y plan contratado. NO almacenamos datos de tarjeta (PAN); pasan directamente a Stripe	Estados Unidos / global	Ver política
Cloudflare, Inc. (Pages + R2)	Hosting de la landing pública y almacenamiento del baúl de archivos del usuario	Archivos que subes al baúl; IP y metadata de las solicitudes web	Estados Unidos / global	Ver política

La lista de subprocesadores puede actualizarse cuando incorporemos o sustituyamos un proveedor. Notificaremos cualquier cambio relevante en este mismo aviso con al menos 15 días de anticipación.

Transferencias internacionales

Algunos de nuestros subprocesadores tratan datos fuera del territorio nacional, principalmente en Estados Unidos y la Unión Europea. Para estas transferencias aplicamos las siguientes salvaguardas:

Cláusulas contractuales con el subprocesador que reflejan los principios de la LFPDPPP y exigen niveles de protección equivalentes.
Verificación de que el subprocesador adhiere a marcos de protección reconocidos internacionalmente (por ejemplo, certificaciones SOC 2, ISO 27001, marcos de transferencia de la UE).
Limitación contractual al uso de los datos exclusivamente para la función que les fue encomendada.

Al aceptar este aviso reconoces que tus datos pueden ser tratados por los subprocesadores indicados en la sección 09 en sus jurisdicciones correspondientes.

Medidas de seguridad

Implementamos medidas administrativas, técnicas y físicas razonables:

Cifrado en tránsito: TLS 1.2 o superior en todas las comunicaciones.
Cifrado at-rest: tokens OAuth y secretos cifrados en nuestra base de datos PostgreSQL gestionada.
Aislamiento por usuario: los datos están segmentados por identificador de usuario; no hay endpoints administrativos que devuelvan datos cruzados entre cuentas.
Acceso mínimo necesario: los accesos administrativos se otorgan por necesidad operativa, son nominativos y quedan registrados en bitácora.
Rotación de secretos y revisión periódica de dependencias.
Reporte de incidentes: ante cualquier sospecha de incidente de seguridad escríbenos a security@arkosmx.com.

En el evento improbable de una vulneración que afecte materialmente tus datos, te lo comunicaremos sin demora indebida y conforme a los plazos previstos por la legislación aplicable.

Derechos ARCO y portabilidad

Como titular de tus datos personales tienes derecho a Acceder, Rectificar, Cancelar y Oponerte al tratamiento de los mismos (derechos ARCO), así como a limitar su uso o divulgación, revocar el consentimiento que hayas otorgado y, cuando proceda, ejercer la portabilidad de tus datos.

12.1 Procedimiento

Envía tu solicitud por correo a privacy@arkosmx.com desde la dirección de correo asociada a tu cuenta de Google, o por escrito al domicilio del Responsable.
Indica claramente: tu nombre y datos de contacto, el derecho que deseas ejercer (acceso, rectificación, cancelación u oposición), una descripción precisa de los datos involucrados y, en su caso, los documentos que acrediten tu identidad o representación legal.
Responderemos a tu solicitud en un plazo máximo de 20 días hábiles y, de ser procedente, la haremos efectiva dentro de los siguientes 15 días hábiles.

12.2 Recurso ante la autoridad

Si consideras que tu derecho no fue debidamente atendido, puedes acudir ante la Secretaría Anticorrupción y Buen Gobierno conforme a los procedimientos previstos en la nueva LFPDPPP.

Personas menores de edad

El servicio está dirigido a personas mayores de 18 años. No solicitamos ni recopilamos deliberadamente datos personales de menores de edad.

Si detectamos que una cuenta corresponde a un menor de edad sin consentimiento de quien ejerce la patria potestad o tutela, suspenderemos el acceso y procederemos a la eliminación de los datos asociados. Si eres madre, padre o tutor y consideras que un menor a tu cargo creó una cuenta sin tu consentimiento, escríbenos a privacy@arkosmx.com.

Cookies y tecnologías similares

El sitio público https://note.arkosmx.com opera sin cookies de seguimiento publicitario ni píxeles de terceros con fines de retargeting.

El dashboard utiliza cookies estrictamente necesarias para mantener tu sesión iniciada (cookie de sesión httpOnly, Secure, SameSite=Lax). Estas no son opcionales: sin ellas no podríamos autenticarte.

Si en el futuro incorporamos analítica web (por ejemplo, una solución autohospedada y respetuosa de la privacidad), actualizaremos esta sección y te notificaremos conforme a la sección 15.

Cambios al aviso

Podemos actualizar este aviso cuando cambien la legislación aplicable, los servicios prestados, las prácticas de tratamiento o nuestra lista de subprocesadores. Cada actualización lleva versión y fecha visibles al inicio del documento.

Los cambios materiales se notificarán con al menos 15 días de anticipación a través del dashboard, por correo electrónico a la dirección registrada y/o por mensaje en WhatsApp. La continuación en el uso del servicio después de la entrada en vigor implica la aceptación del aviso actualizado; si no estás de acuerdo, puedes cancelar tu cuenta antes de esa fecha.

Contacto

Para asuntos relacionados con tu privacidad, derechos ARCO o este aviso:

Correo: privacy@arkosmx.com
Reportes de seguridad: security@arkosmx.com
Domicilio: Av. Paseo Tabasco 1203, Interior 1501 P15, Col. Villahermosa Centro, C.P. 86000, Centro, Tabasco, México

Para asuntos comerciales, soporte general o facturación, dirígete a soporte@arkosmx.com.

Este aviso se complementa con los Términos y Condiciones de Uso de Arkos Note.