Volver al inicio

Aviso de Privacidad

VOLTRIOR — AVISO DE PRIVACIDAD INTEGRAL

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento, y los Lineamientos del Aviso de Privacidad publicados en el DOF

Versión 2.5 — Última actualización: marzo de 2026

I. IDENTIDAD Y DOMICILIO DEL RESPONSABLE

Joshua Bermea, persona física con actividad empresarial, operando bajo el nombre comercial Voltrior (en adelante “Voltrior”), con domicilio en Saltillo, Coahuila de Zaragoza, México, es el responsable del tratamiento de sus datos personales en los términos de la LFPDPPP y su Reglamento.

  • Razón social: Joshua Bermea, persona física con actividad empresarial, operando bajo el nombre comercial Voltrior
  • Domicilio: Saltillo, Coahuila de Zaragoza, México
  • Departamento de Datos Personales: privacidad@voltrior.com
  • Soporte técnico: privacidad@voltrior.com
  • Sitio web: https://voltrior.com
  • Horario de atención: Lunes a viernes, 9:00 a 18:00 horas (tiempo del centro de México)

II. DATOS PERSONALES QUE RECOPILAMOS

Voltrior recopila las siguientes categorías de datos personales, clasificados por tipo de titular y sensibilidad:

A. Datos de Clientes (negocios contratantes)

B. Datos de Clientes Finales (consumidores del chatbot)

C. Datos de Usuarios del Panel (operadores, repartidores)

D. Datos que NO recopilamos

Voltrior declara expresamente que NO recopila, solicita ni trata las siguientes categorías de datos personales sensibles conforme al artículo 3, fracción VI de la LFPDPPP:

  • Origen racial o étnico
  • Estado de salud presente o futuro
  • Información genética
  • Creencias religiosas, filosóficas o morales
  • Opiniones políticas
  • Preferencia sexual
  • Datos biométricos (huella digital, reconocimiento facial, iris, voz)
  • Afiliación sindical

Tampoco recopilamos: números de tarjeta de crédito/débito (los procesan directamente los procesadores de pago certificados PCI-DSS), contraseñas en texto plano (solo almacenamos hashes bcrypt irreversibles), ni datos de menores de edad de manera intencional.

III. MECANISMOS Y MOMENTOS DE RECOPILACIÓN

Los datos personales se recopilan a través de los siguientes mecanismos:

  • Registro en la plataforma
  • Interacción con el chatbot
  • Procesamiento de pedidos
  • Configuración de cuenta

Voltrior NO recopila datos personales de fuentes públicas, bases de datos comerciales ni redes sociales. Todos los datos provienen directamente del titular o del Cliente que los proporciona.

IV. FINALIDADES DEL TRATAMIENTO

A. Finalidades primarias (necesarias — no requieren consentimiento adicional)

Estas finalidades son indispensables para la prestación del servicio contratado:

  • Crear, administrar y mantener las cuentas de usuario en la Plataforma.
  • Provisionar y operar la Plataforma SaaS conforme al plan contratado.
  • Procesar pedidos entre el Cliente y sus Clientes Finales (recepción, confirmación, seguimiento, entrega).
  • Operar el chatbot de atención al cliente mediante procesamiento de lenguaje natural (IA) para: interpretación de mensajes, detección de intenciones, generación de respuestas, gestión de carrito de compras.
  • Transcribir mensajes de voz enviados por Clientes Finales mediante servicios de speech-to-text (Whisper/OpenAI).
  • Verificar direcciones de entrega mediante servicios de geolocalización (Google Maps) cuando esta funcionalidad esté activada por el Cliente.
  • Procesar pagos de suscripción y cobros recurrentes al Cliente.
  • Generar links de pago para que los Clientes Finales paguen sus pedidos al Cliente.
  • Enviar notificaciones operativas: confirmación de pedido, estado de entrega, alertas de emergencia, avisos de pago.
  • Proporcionar soporte técnico y resolver incidencias reportadas por el Cliente.
  • Gestionar el sistema de recargas programadas (entregas recurrentes).
  • Gestionar el sistema de citas y agenda.
  • Registrar y almacenar auditoría de acciones para seguridad y trazabilidad.
  • Cumplir obligaciones legales y fiscales (facturación, retención de registros conforme al Código Fiscal de la Federación).
  • Prevenir fraude, abuso y acceso no autorizado a la Plataforma.

B. Finalidades secundarias (opcionales — requieren consentimiento)

Estas finalidades NO son necesarias para la prestación del servicio. El titular puede negar o revocar su consentimiento sin afectar el servicio:

  • Envío de comunicaciones comerciales, promociones, descuentos o novedades sobre nuevas funcionalidades de la Plataforma.
  • Realización de encuestas de satisfacción sobre el servicio.
  • Elaboración de estadísticas y análisis agregados y anonimizados sobre uso de la Plataforma para mejora continua del servicio (en este caso, los datos se anonimizan irreversiblemente antes del análisis y no permiten identificar a ningún titular).
  • Invitaciones a eventos, webinars o capacitaciones relacionadas con la Plataforma.

Para negar su consentimiento a las finalidades secundarias, envíe un correo a privacidad@voltrior.com con el asunto “Negar finalidades secundarias”.

V. TRANSFERENCIAS DE DATOS PERSONALES

A. Transferencias que no requieren consentimiento (Art. 37 LFPDPPP)

B. Transferencias que requieren consentimiento

Voltrior NO realiza transferencias de datos personales que requieran consentimiento del titular. NO vendemos, alquilamos ni comercializamos datos personales a terceros para fines de publicidad, marketing o perfilamiento.

C. Transferencias internacionales

Algunos de los destinatarios listados tienen domicilio fuera de México (Estados Unidos). Estas transferencias se realizan conforme al artículo 37, fracción VII de la LFPDPPP, por ser necesarias para el mantenimiento o cumplimiento de la relación jurídica entre el responsable y el titular. Los proveedores cumplen con estándares de seguridad equivalentes o superiores a los exigidos por la LFPDPPP (SOC 2, ISO 27001, PCI-DSS según aplique).

VI. MEDIDAS DE SEGURIDAD

Conforme al artículo 19 de la LFPDPPP, Voltrior implementa medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra daño, pérdida, alteración, destrucción, acceso, uso o tratamiento no autorizado:

Medidas técnicas:

  • Cifrado en tránsito: TLS 1.3 (HTTPS) obligatorio en todas las comunicaciones entre clientes y servidores.
  • Cifrado en reposo: AES-256-GCM con nonce aleatorio de 12 bytes para claves de API y credenciales sensibles. Cada tenant tiene su propio AAD (Associated Authenticated Data) derivado de su UUID, lo que impide descifrado cruzado entre negocios.
  • Hash de contraseñas: bcrypt con salt aleatorio. Las contraseñas originales NO se almacenan ni son recuperables.
  • Autenticación: JWT (JSON Web Tokens) con expiración de 15 minutos para access tokens y 30 días para refresh tokens. Los refresh tokens se almacenan como hash SHA-256 en la base de datos y se rotan en cada uso (rotation + revocation).
  • Protección contra fuerza bruta: Ventana deslizante en Redis que permite máximo 10 intentos de login fallidos por IP o email en 5 minutos. Tras exceder el límite, bloqueo de 10 minutos con header Retry-After.
  • Aislamiento multi-tenant: Cada query SQL incluye verificación de business_id. Los endpoints validan que el JWT del usuario corresponda al negocio solicitado. No existe acceso cruzado entre tenants.
  • Rate limiting: Límite de mensajes por minuto por tenant, basado en el plan contratado, implementado con sliding window en Redis.
  • Verificación de webhooks: HMAC-SHA256 para validar la autenticidad de mensajes entrantes de WhatsApp, Meta y Telegram.
  • Content Security Policy (CSP): Headers de seguridad en el frontend que previenen ejecución de scripts no autorizados, clickjacking (X-Frame-Options: DENY), y MIME type sniffing.
  • Contraseñas temporales: Generadas con 22+ caracteres de alta entropía (secrets.token_urlsafe), con expiración obligatoria de 48 horas y flag must_change_password que impide usar la Plataforma sin cambiar la contraseña.
  • Validación de entrada: Todos los endpoints validan entrada con Pydantic (tipado estricto, max_length, patrones regex). Queries SQL parametrizados para prevenir inyección SQL.

Medidas administrativas:

  • Principio de mínimo privilegio: Cada rol (SUPER_ADMIN, ADMIN_NEGOCIO, OPERADOR) tiene scopes específicos que limitan las acciones permitidas.
  • Registro de auditoría: Todas las acciones críticas se registran con timestamp, usuario, IP de origen y payload del evento.
  • Política de contraseñas: Mínimo 8 caracteres, requiere al menos una mayúscula, una minúscula y un número.
  • Revisión de código: El código fuente se revisa mediante auditorías estáticas de seguridad (SAST).
  • Gestión de incidentes: Protocolo de notificación al Cliente dentro de 72 horas ante cualquier vulneración de seguridad.

Medidas físicas:

  • Infraestructura hospedada en Railway (backend) y Vercel (frontend), proveedores que operan centros de datos certificados SOC 2 Tipo II con controles de acceso físico, videovigilancia, detección de incendios y energía redundante.
  • No se almacenan datos personales en dispositivos físicos locales, USB, discos duros externos ni medios removibles.
  • El acceso a producción está restringido a personal autorizado mediante autenticación multifactor.

VII. DERECHOS ARCO Y REVOCACIÓN DEL CONSENTIMIENTO

Conforme a los artículos 22 a 35 de la LFPDPPP, usted tiene los siguientes derechos:

  • Acceso: Conocer qué datos personales tenemos y cómo los tratamos.
  • Rectificación: Corregir datos inexactos o incompletos.
  • Cancelación: Solicitar la eliminación de sus datos cuando ya no sean necesarios.
  • Oposición: Oponerse al tratamiento de sus datos para fines específicos.
  • Revocación del consentimiento: Revocar el consentimiento otorgado para el tratamiento de sus datos.

Procedimiento para ejercer sus derechos:

Envíe su solicitud por correo electrónico a: privacidad@voltrior.com

La solicitud deberá contener:

  • Nombre completo del titular y correo electrónico registrado en la Plataforma.
  • Descripción clara, precisa y detallada de los datos personales respecto de los cuales desea ejercer su derecho, incluyendo cualquier elemento que facilite su localización.
  • Indicación expresa del derecho que desea ejercer (Acceso, Rectificación, Cancelación, Oposición o Revocación).
  • Copia digitalizada (escaneada o fotografiada) de identificación oficial vigente (INE/IFE, pasaporte mexicano o cédula profesional) por ambos lados, para acreditar su identidad o la de su representante legal.
  • En caso de Rectificación: documentación que sustente la información correcta (ej: constancia de RFC, comprobante de domicilio).
  • En caso de actuar mediante representante legal: carta poder firmada ante dos testigos, o poder notarial, acompañado de identificación oficial del representante.

Plazos:

  • Voltrior acusará recibo de su solicitud dentro de los 3 días hábiles siguientes a su recepción.
  • Se comunicará la determinación dentro de los 20 días hábiles contados a partir de la recepción de la solicitud completa.
  • Si la solicitud es procedente, se hará efectiva dentro de los 15 días hábiles siguientes a la comunicación de la determinación.
  • Los plazos podrán ampliarse una sola vez por un período igual, cuando las circunstancias lo justifiquen, previa notificación al titular.

Limitaciones:

Voltrior podrá negar el ejercicio de derechos ARCO cuando:

  • El solicitante no sea el titular ni acredite representación legal.
  • Los datos no obren en las bases de datos de Voltrior.
  • Exista un impedimento legal o una resolución de autoridad competente que lo impida.
  • La cancelación o supresión haya sido previamente realizada.
  • Los datos sean necesarios para el cumplimiento de una obligación legal (ej: datos fiscales durante el período de retención legal de 5 años).

VIII. COOKIES, ALMACENAMIENTO LOCAL Y TECNOLOGÍAS DE RASTREO

A. Tecnologías que utilizamos

  • Cookies de sesión para mantener la autenticación del usuario.
  • Almacenamiento local (localStorage) para preferencias de interfaz.

B. Tecnologías que NO utilizamos

  • Cookies de terceros con fines publicitarios o de perfilamiento.
  • Google Analytics, Facebook Pixel, ni ninguna herramienta de analytics de terceros.
  • Web beacons, pixels de rastreo, fingerprinting de dispositivo.
  • Tracking cross-site o cross-device.
  • Publicidad programática o retargeting.

C. Control del usuario

El usuario puede eliminar las cookies y datos de almacenamiento local en cualquier momento a través de la configuración de su navegador. Esto cerrará la sesión activa y requerirá un nuevo login.

IX. DATOS DE MENORES DE EDAD

La Plataforma está diseñada exclusivamente para uso comercial por personas mayores de 18 años. Voltrior NO recopila, solicita ni trata intencionalmente datos personales de menores de edad (menores de 18 años conforme al artículo 646 del Código Civil Federal).

Si Voltrior tiene conocimiento de que se han recopilado datos de un menor sin el consentimiento de su padre, madre o tutor, procederá a eliminarlos dentro de las 72 horas siguientes. Si usted tiene conocimiento de que un menor ha proporcionado datos a la Plataforma, contacte inmediatamente a privacidad@voltrior.com.

X. PERÍODO DE CONSERVACIÓN DE DATOS

Los datos personales se conservarán durante los períodos estrictamente necesarios para cumplir las finalidades para las que fueron recopilados.

Al término de los períodos señalados, los datos personales serán bloqueados y posteriormente suprimidos de manera segura e irreversible, o anonimizados de forma que impidan la identificación del titular, conforme a los artículos 11 y 32 del Reglamento de la LFPDPPP.

XI. VULNERACIONES DE SEGURIDAD

En caso de que ocurra una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares, Voltrior actuará conforme al artículo 20 de la LFPDPPP:

  • Notificará a los titulares afectados de manera inmediata y sin dilación injustificada, por el medio que resulte más expedito (correo electrónico y/o mensaje en la Plataforma).
  • La notificación incluirá: naturaleza del incidente, datos personales comprometidos, acciones correctivas implementadas, medidas que el titular puede tomar para protegerse, y datos de contacto del Departamento de Datos Personales.
  • Notificará al Cliente (como responsable) dentro de las 72 horas siguientes al conocimiento del incidente.
  • Documentará internamente el incidente, sus causas, efectos y medidas correctivas conforme al artículo 63 del Reglamento.

XII. CAMBIOS AL AVISO DE PRIVACIDAD

Voltrior se reserva el derecho de modificar el presente Aviso de Privacidad para adaptarlo a novedades legislativas, resoluciones del INAI, cambios en la Plataforma, o mejores prácticas de la industria.

Las modificaciones se notificarán mediante:

  • Correo electrónico a la dirección registrada del titular.
  • Aviso destacado y visible en el panel de administración de la Plataforma durante al menos 30 días.
  • Publicación de la versión actualizada en el sitio web de Voltrior con fecha de actualización visible.

Se recomienda revisar periódicamente este Aviso. La versión vigente estará siempre disponible en la Plataforma y en el sitio web.

XIII. AUTORIDAD COMPETENTE

Si usted considera que su derecho a la protección de datos personales ha sido vulnerado por alguna conducta de nuestros empleados o acciones de Voltrior, o si existe desacuerdo con la respuesta a su solicitud de derechos ARCO, puede interponer queja o denuncia ante:

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)

  • Dirección: Insurgentes Sur 3211, Insurgentes Cuicuilco, Coyoacán, 04530, Ciudad de México
  • Teléfono: 800 835 4324 (TELEINAI)
  • Sitio web: https://home.inai.org.mx

Conforme al artículo 45 de la LFPDPPP, el procedimiento de protección de derechos se substanciará ante el INAI.

XIV. CONSENTIMIENTO

Al utilizar la Plataforma de Voltrior, el titular manifiesta que:

  • Ha leído y comprendido íntegramente el presente Aviso de Privacidad Integral.
  • Conoce la naturaleza de los datos personales que se recopilan y las finalidades de su tratamiento.
  • Conoce los mecanismos para ejercer sus derechos ARCO y revocar su consentimiento.
  • Conoce las transferencias de datos que se realizan y sus destinatarios.
  • Otorga su consentimiento libre, específico, informado e inequívoco para el tratamiento de sus datos personales conforme a las finalidades primarias descritas.