Politica de Privacidad

1. Quienes somos

Topiti es operado por Daniel Alejandro Nader de Leon, persona fisica con actividad empresarial (PFAE) en Mexico. Para efectos de este aviso, esa persona es el responsable del tratamiento de los datos personales recabados a traves del sitio web y las aplicaciones de Topiti.

RFC: NALD900723M50.
Domicilio fiscal: Via Borelli 400, Colonia Del Valle, San Pedro Garza García, Nuevo León.
Contacto de privacidad: privacy@topiti.xyz.

2. Alcance

Esta politica cubre Topiti tal como se ofrece a familias en Mexico y Estados Unidos. Topiti esta disenado para ninos en grados iniciales (preescolar a 6° de primaria, aproximadamente entre 3 y 12 anos) y sus padres o tutores.

No dirigimos Topiti a ninos fuera del flujo supervisado por el padre o tutor. Los ninos no pueden crear cuentas por su cuenta; solo un padre o tutor verificado puede hacerlo.

3. Informacion que recopilamos

Del padre o tutor

• Direccion de correo electronico y contrasena con sal y hash.
• Informacion de pago opcional procesada por Stripe (almacenamos un identificador de cliente Stripe, no el numero de tarjeta).
• Llave API de OpenAI opcional, si el padre o tutor decide aportar la propia. La llave se cifra en reposo con AES-256-GCM.
• Datos limitados de uso del panel (paginas vistas, interruptores) usados para operar el servicio.

Del nino

• Primer nombre (o apodo elegido) y edad, proporcionados por el padre o tutor.
• Grabaciones de voz durante actividades conversacionales. El audio es transcrito por un proveedor de voz a texto y se conserva la transcripcion; el audio en bruto no se conserva despues de la transcripcion.
• Dibujos que el nino crea dentro de la app, junto con la indicacion que los produjo.
• Transcripciones de la conversacion entre el nino y Topiti.
• Estado de dominio: que objetivos curriculares se han expuesto, practicado y consolidado.

4. Como usamos la informacion

• Para brindar el servicio de tutoria al nino.
• Para producir reportes al padre en lenguaje pedagogico.
• Para procesar los pagos de la suscripcion mediante Stripe.
• Para responder a solicitudes enviadas a privacy@topiti.xyz.
• Para cumplir obligaciones legales (fiscales, requerimientos regulatorios, solicitudes de derechos ARCO).

No vendemos informacion personal. No usamos la informacion del nino para entregar publicidad conductual. No usamos el contenido del nino para entrenar modelos de inteligencia artificial externos sin consentimiento explicito y separado del padre o tutor.

5. Terceros con quienes compartimos

Apoyamos la operacion de Topiti en los siguientes proveedores. Cada uno esta obligado por contrato escrito y trata los datos unicamente segun nuestras instrucciones.

• OpenAI (Estados Unidos) — modelos de lenguaje y de voz a texto que potencian la tutoria y la transcripcion. openai.com/policies/privacy-policy.
• ElevenLabs (Estados Unidos) — texto a voz para la voz de la mascota Topiti. elevenlabs.io/privacy.
• Vercel (Estados Unidos) — alojamiento web y entrega en el borde. vercel.com/legal/privacy-policy.
• Neon (Estados Unidos) — base de datos PostgreSQL administrada para cuentas y estado de aprendizaje. neon.tech/privacy-policy.
• MongoDB Atlas (Estados Unidos) — almacenamiento de dibujos y otros archivos. mongodb.com/legal/privacy-policy.
• Stripe (Estados Unidos) — facturacion de la suscripcion. stripe.com/privacy.

Como todos los proveedores estan basados en Estados Unidos, la informacion se transfiere y procesa en ese pais. Al utilizar Topiti, el padre o tutor reconoce esa transferencia; para usuarios mexicanos se solicita un consentimiento explicito y separado en el Aviso de Privacidad.

6. Ninos menores de 13 anos en Estados Unidos (COPPA)

Topiti cumple con la Ley de Proteccion de la Privacidad Infantil en Linea de Estados Unidos (Children’s Online Privacy Protection Act, 15 U.S.C. §§ 6501–6506; 16 C.F.R. Parte 312, incluidas las reformas de 2025 con vigencia a partir del 2025-06-23).

• Consentimiento parental verificable. Antes de recopilar cualquier dato personal de un nino menor de 13 anos, el padre o tutor crea la cuenta, verifica la direccion de correo y reconoce esta politica. Un nino no puede registrarse sin un padre o tutor verificado.
• Derecho de revisar y eliminar. El padre o tutor puede, en cualquier momento, revisar la informacion recopilada del nino, solicitar su eliminacion y rechazar recopilaciones futuras. Estas acciones estan disponibles desde el panel de padres.
• Sin condicionamiento. La participacion del nino en cualquier actividad nunca esta condicionada a divulgar mas informacion de la razonablemente necesaria.
• Sin publicidad conductual. No entregamos publicidad conductual a los ninos y no permitimos publicidad de terceros en la experiencia del nino.
• Sin compras en la app visibles para el nino. Toda la superficie de pago vive en el panel del padre. El nino nunca ve precios y no puede iniciar una compra.

7. Conservacion

• Grabaciones de voz: se transcriben y se descartan. El audio en bruto no se conserva en almacenamiento de largo plazo.
• Transcripciones, dibujos y estado de dominio: se conservan mientras la cuenta esta activa para que el tutor mantenga contexto entre sesiones.
• Eliminacion de cuenta: el padre o tutor puede eliminar la cuenta en cualquier momento desde el panel. Tras la eliminacion conservamos los datos durante un periodo de gracia de 30 dias por si se desea revertir, y despues realizamos un borrado definitivo en PostgreSQL y MongoDB. Tambien solicitamos a OpenAI la eliminacion de los registros mediante su mecanismo de eliminacion de datos.
• Registros de facturacion: se conservan por el plazo que requieran las leyes fiscales mexicanas y estadounidenses (tipicamente hasta 5 anos), incluso despues de la eliminacion de la cuenta.

8. Derechos del padre o tutor

El padre o tutor puede en cualquier momento:

• Revisar la informacion recopilada sobre el padre y el nino.
• Solicitar la correccion de informacion inexacta.
• Eliminar el perfil del nino o la cuenta completa; la eliminacion se propaga a todos los datos relacionados despues del periodo de gracia de 30 dias.
• Optar por no participar en usos opcionales (por ejemplo, opt-in para mejora del servicio con IA).
• Recibir una exportacion portatil de los datos del nino a solicitud. Buscamos atender las solicitudes de exportacion en un plazo de 30 dias.

Las solicitudes pueden enviarse a privacy@topiti.xyz desde la direccion de correo registrada en la cuenta.

9. Seguridad

• Seguridad en transito: TLS 1.2+ para todo el trafico entre el dispositivo y nuestros servidores.
• Cifrado en reposo: cifrado administrado en PostgreSQL (Neon) y MongoDB Atlas. Los secretos sensibles aportados por el padre, como una llave de OpenAI, se cifran adicionalmente con AES-256-GCM antes de almacenarse.
• Almacenamiento de contrasenas: hashes bcrypt con sal; nunca se guardan contrasenas en texto plano.
• Control de acceso: el acceso a la base de datos de produccion se limita a operadores autorizados y se audita.
• Revision periodica: revisamos la postura de seguridad al menos una vez al ano y despues de cualquier cambio arquitectonico relevante.

Ningun sistema es perfectamente seguro. Si tenemos conocimiento de un incidente que afecte datos personales, notificaremos a los padres afectados sin demora indebida y conforme a la ley aplicable.

10. Residentes de California (CCPA / CPRA)

No vendemos ni compartimos datos personales segun esos terminos los define la Ley de Privacidad del Consumidor de California. Padres y ninos residentes en California tienen derecho a conocer, eliminar, corregir y limitar el uso de informacion personal sensible. Las solicitudes pueden enviarse a privacy@topiti.xyz.

11. Usuarios internacionales

Topiti se ofrece actualmente solo en Mexico y Estados Unidos. No aceptamos conscientemente registros desde el Espacio Economico Europeo, el Reino Unido u otras jurisdicciones fuera de MX y EUA. Cuando expandamos a esos mercados actualizaremos esta politica para reflejar el GDPR y obligaciones equivalentes.

12. Cambios a esta politica

Cuando hagamos un cambio sustancial actualizaremos la fecha de “ultima actualizacion” en la parte superior, publicaremos un aviso en el panel del padre y enviaremos correo a los padres registrados. El uso continuo del servicio despues del cambio indica aceptacion de la politica actualizada. Un padre o tutor que no acepte el cambio puede eliminar la cuenta.

13. Contacto

Preguntas, solicitudes o quejas sobre esta politica pueden enviarse a privacy@topiti.xyz. Los usuarios mexicanos tambien pueden acudir al INAI (home.inai.org.mx) si consideran que sus derechos no fueron respetados.