Aviso de Privacidad Integral

1. Identidad y domicilio del responsable

Daniel Alejandro Nader de Leon, persona fisica con actividad empresarial (PFAE) en los Estados Unidos Mexicanos, en lo sucesivo “el Responsable” o “Topiti”, es el responsable del tratamiento de los datos personales que recabamos a traves del sitio topiti.xyz y las aplicaciones asociadas.

• RFC: NALD900723M50.
• Domicilio fiscal y para oir y recibir notificaciones: Via Borelli 400, Colonia Del Valle, San Pedro Garza García, Nuevo León.
• Correo electronico registrado ante el SAT: dnader90@gmail.com.
• Correo electronico para asuntos de privacidad: privacy@topiti.xyz.

2. Datos personales que se recaban

El Responsable recabara, de forma directa, los siguientes datos personales:

Del padre, madre o tutor legal

• Datos de identificacion: nombre o apodo, edad declarada (≥18 anos).
• Datos de contacto: direccion de correo electronico de la cuenta.
• Datos de autenticacion: contrasena (almacenada con sal y hash bcrypt; el texto plano nunca se conserva).
• Datos financieros y patrimoniales: identificador de cliente Stripe asociado a la suscripcion. No almacenamos numeros de tarjeta; el tratamiento financiero corre a cargo de Stripe Inc.
• Datos de navegacion limitados del panel del padre (paginas vistas, interruptores de funcion) recabados unicamente para operar el servicio.
• Opcional: llave API de OpenAI si el padre o tutor decide aportar la propia (cifrada en reposo con AES-256-GCM).

De la nina, nino o adolescente (proporcionados por el padre o tutor)

• Datos de identificacion: primer nombre o apodo y edad declarada.
• Datos academicos: estado de dominio sobre los objetivos curriculares (SEP / Common Core) trabajados.
• Datos de contenido generados por la nina, nino o adolescente durante la actividad: dibujos, transcripciones de chat con la mascota Topiti.
• Datos sensibles considerados biometricos: grabaciones de voz durante actividades conversacionales. Estas grabaciones son transcritas a texto y el audio en bruto no se conserva despues de la transcripcion. Este tratamiento esta sujeto a consentimiento expreso del padre o tutor conforme al articulo 8 de la LFPDPPP.

3. Finalidades del tratamiento

Finalidades primarias (necesarias para la relacion juridica)

Las siguientes finalidades dan origen y son necesarias para la relacion juridica entre el titular y el Responsable; no se requiere consentimiento adicional para ellas, conforme a los articulos 10 y 17 de la LFPDPPP:

• Prestacion del servicio de tutoria con inteligencia artificial al menor de edad supervisado.
• Generacion de reportes pedagogicos al padre, madre o tutor legal en lenguaje curricular.
• Gestion de la cuenta, autenticacion, soporte y atencion al cliente.
• Facturacion y procesamiento de la suscripcion mensual mediante Stripe.
• Cumplimiento de obligaciones legales, fiscales y regulatorias aplicables.
• Atencion a solicitudes de derechos ARCO y a requerimientos de autoridades competentes.

Finalidades secundarias (requieren consentimiento expreso)

Las siguientes finalidades NO son necesarias para la relacion juridica y solo se realizaran cuando el padre, madre o tutor legal lo autorice expresamente, conforme al articulo 8 de la LFPDPPP:

• Mejora del servicio mediante el analisis agregado de patrones de uso y dominio curricular.
• Uso de muestras de contenido del menor para perfeccionar prompts internos o entrenar modelos propios. Nunca compartimos contenido del menor para entrenar modelos de terceros sin consentimiento expreso y separado.
• Comunicaciones informativas y educativas no esenciales (recordatorios optativos al correo del padre).

Si el padre o tutor no desea que sus datos o los del menor se traten para las finalidades secundarias, puede manifestarlo enviando un correo a privacy@topiti.xyz con el asunto “Negativa de finalidades secundarias” en cualquier momento. La negativa no condiciona la prestacion del servicio.

4. Transferencias de datos personales

El Responsable transfiere datos personales a los siguientes terceros, todos ubicados en los Estados Unidos de America, con el unico fin de operar el servicio. Cada transferencia esta amparada por contrato o terminos que obligan al receptor a tratar los datos conforme a este Aviso y a la LFPDPPP.

• OpenAI, L.L.C. (EUA) — modelos de lenguaje y de voz a texto que dan vida a la tutoria y a la transcripcion. Politica: openai.com/policies/privacy-policy.
• ElevenLabs Inc. (EUA) — sintesis de voz para la mascota Topiti. elevenlabs.io/privacy.
• Vercel Inc. (EUA) — hosting y entrega de la aplicacion en el borde. vercel.com/legal/privacy-policy.
• Neon Inc. (EUA) — base de datos PostgreSQL administrada donde residen las cuentas y el estado de aprendizaje. neon.tech/privacy-policy.
• MongoDB, Inc. (Atlas) (EUA) — almacenamiento de dibujos y otros archivos generados por el menor. mongodb.com/legal/privacy-policy.
• Stripe, Inc. (EUA) — procesamiento de pagos y suscripcion. stripe.com/privacy.

Por tratarse de transferencias internacionales conforme al articulo 36 de la LFPDPPP, se requiere consentimiento expreso del padre, madre o tutor legal. Al marcar la casilla correspondiente al momento del registro, el titular consiente expresamente estas transferencias. La negativa puede manifestarse en cualquier momento al correo privacy@topiti.xyz; sin embargo, dado que la totalidad de la infraestructura del servicio reside en EUA, la negativa puede implicar la imposibilidad de continuar prestando el servicio.

5. Medios para ejercer los derechos ARCO

En cualquier momento, el padre, madre o tutor legal en representacion del menor, o el propio padre por sus datos, puede ejercer los derechos de Acceso, Rectificacion, Cancelacion y Oposicion (ARCO), previstos en los articulos 22 a 27 de la LFPDPPP.

• Acceso: conocer que datos tenemos y para que se tratan.
• Rectificacion: corregir datos inexactos o incompletos.
• Cancelacion: que los datos sean eliminados de nuestros registros, sujeto al periodo de bloqueo de 30 dias y a las obligaciones legales de conservacion.
• Oposicion: oponerse al tratamiento para finalidades especificas.

Mecanismo: envia un correo a privacy@topiti.xyz con el asunto “Derechos ARCO” e incluye:

• Nombre completo del titular y, en su caso, del menor cuyos datos se solicitan.
• Documento que acredite la identidad del padre, madre o tutor (identificacion oficial vigente) y, cuando aplique, la patria potestad o tutela del menor.
• Descripcion clara y precisa del derecho que se ejerce.
• Cualquier elemento o documento que facilite la localizacion de los datos.
• Domicilio o correo electronico para recibir la respuesta.

El Responsable atendera la solicitud en un plazo maximo de 20 dias habiles y, en su caso, hara efectivo el derecho en los 15 dias habiles siguientes, conforme al articulo 32 de la LFPDPPP. Si la solicitud es procedente, se hara efectiva sin costo, salvo por gastos justificados de envio o reproduccion en formatos distintos al electronico.

6. Procedimiento para revocar el consentimiento

El padre, madre o tutor legal puede revocar en cualquier momento el consentimiento otorgado para el tratamiento de los datos personales propios o del menor, sin efectos retroactivos.

Para revocar el consentimiento:

• Envia un correo a privacy@topiti.xyz con el asunto “Revocacion de consentimiento” indicando los datos y/o finalidades respecto de las cuales se revoca; o
• Elimina la cuenta desde el panel del padre. La eliminacion sigue el calendario descrito en la Politica de Privacidad (periodo de bloqueo de 30 dias y borrado definitivo posterior en PostgreSQL y MongoDB; solicitud de eliminacion en los registros de OpenAI mediante su mecanismo de eliminacion de datos).

Atenderemos la solicitud en los mismos plazos previstos para los derechos ARCO. La revocacion no afecta tratamientos amparados por obligaciones legales (por ejemplo, conservacion fiscal de comprobantes hasta por 5 anos) ni tratamientos ya concluidos.

7. Limitacion del uso o divulgacion de datos

El padre, madre o tutor legal puede limitar el uso o divulgacion de los datos personales propios o del menor mediante los siguientes mecanismos:

• Solicitud directa al correo privacy@topiti.xyz con asunto “Limitacion de uso o divulgacion”.
• Inscripcion gratuita en el Registro Publico para Evitar Publicidad de la Procuraduria Federal del Consumidor (PROFECO) cuando aplique: repep.profeco.gob.mx.

La aceptacion o negativa a estas limitaciones se confirmara por correo electronico al titular en el plazo establecido por la LFPDPPP.

8. Mecanismos de seguridad

El Responsable ha implementado medidas de seguridad administrativas, fisicas y tecnicas razonables para proteger los datos personales contra dano, perdida, alteracion, destruccion o uso, acceso o tratamiento no autorizado, conforme al articulo 19 de la LFPDPPP. En particular:

• Cifrado en transito: TLS 1.2 o superior para todas las comunicaciones entre el dispositivo del usuario y nuestros servidores.
• Cifrado en reposo: bases de datos PostgreSQL (Neon) y MongoDB Atlas con cifrado administrado en disco. Secretos sensibles proporcionados por el padre (por ejemplo, una llave de OpenAI) cifrados adicionalmente con AES-256-GCM antes de almacenarse.
• Almacenamiento de contrasenas: hashes bcrypt con sal; el texto plano nunca se conserva.
• Control de acceso: acceso a la base de datos productiva limitado a operadores autorizados, con bitacoras de auditoria.
• Minimizacion de datos: el audio en bruto se descarta tras la transcripcion; no se conservan datos sensibles innecesarios.
• Revision periodica: revisamos la postura de seguridad al menos una vez al ano y despues de cualquier cambio arquitectonico relevante.
• Notificacion de incidentes: conforme al articulo 20 de la LFPDPPP, ante cualquier vulneracion de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares, notificaremos sin dilacion al titular afectado para que pueda tomar las medidas correspondientes.

9. Tratamiento de datos de menores de edad

El interes superior de la nina, nino y adolescente es principio rector del tratamiento, conforme a la Ley General de los Derechos de Ninas, Ninos y Adolescentes. Por ello:

• Solo el padre, madre o tutor legal puede crear la cuenta y otorgar consentimiento para el tratamiento de los datos del menor.
• No mostramos publicidad al menor, no permitimos publicidad de terceros en la experiencia infantil y no compartimos los datos del menor con anunciantes.
• El menor nunca ve precios, no puede iniciar pagos y no puede compartir datos con extranos dentro de la plataforma.
• El padre o tutor puede acceder, revisar, exportar o eliminar todos los datos del menor desde el panel parental en todo momento.

10. Cambios al Aviso de Privacidad

El Responsable se reserva el derecho de modificar el presente Aviso en cualquier momento. Cualquier cambio sustancial sera notificado a los titulares registrados por correo electronico y mediante publicacion del Aviso actualizado en topiti.xyz/aviso-privacidad con la fecha de ultima actualizacion claramente visible. La fecha que aparece en la parte superior de este Aviso indica la version vigente.

Si el titular no esta de acuerdo con el Aviso modificado, puede solicitar la cancelacion de sus datos y eliminar la cuenta antes de la fecha de entrada en vigor; en caso contrario, se entendera que acepta el Aviso modificado.

11. Autoridad de control

Si el titular considera que su derecho a la proteccion de datos personales no ha sido respetado, puede acudir al Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales (INAI): home.inai.org.mx.