Aviso de Consentimiento para el Procesamiento de Datos Financieros

Este aviso describe de forma específica cómo Vittio procesa tus datos financieros cuando subes estados de cuenta bancarios a la Plataforma. De conformidad con el Art. 3 fracción VI y el Art. 9 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), los datos financieros aquí descritos constituyen datos personales sensibles, cuyo tratamiento requiere tu consentimiento expreso. Dicho consentimiento se obtiene al aceptar este aviso en la pantalla de registro o primer inicio de sesión. La aceptación electrónica tiene plena validez como consentimiento por escrito en términos del Art. 89 del Código de Comercio.

1. Categorías de Datos Financieros que Procesamos

Cuando subes un estado de cuenta, procesamos:

• Datos de transacciones: fecha, monto, descripción del cargo/abono, nombre del comercio o beneficiario, referencia bancaria.
• Datos de cuenta: número de cuenta (almacenado de forma protegida con acceso restringido y mostrado únicamente con los últimos 4 dígitos en la interfaz de usuario), tipo de cuenta (cheques, ahorro, tarjeta de crédito), nombre del banco emisor, moneda.
• Saldos: saldo inicial y final del período reportado en el estado de cuenta.
• Metadatos del archivo: nombre del archivo, fecha de carga, banco detectado.

No procesamos ni almacenamos: contraseñas bancarias, NIP, números completos de tarjeta, códigos CVV, preguntas de seguridad, ni ningún dato que permita acceder a tus cuentas bancarias.

2. Método de Procesamiento

El procesamiento de tus estados de cuenta varía según el tipo de PDF:

1. PDFs con texto digital (caso más común): extraemos la capa de texto embebida en el archivo directamente en nuestros servidores, usando una biblioteca de lectura de PDFs. Este paso es completamente local — no involucra servicios externos. Antes de enviar el texto al proveedor de IA, aplicamos un proceso de redacción de información identificable (número de cuenta, nombre titular) para minimizar los datos sensibles transmitidos. Dicha información se restaura localmente una vez que la IA devuelve las transacciones estructuradas.
2. PDFs escaneados o protegidos (sin capa de texto): convertimos las páginas del PDF en imágenes usando una herramienta local de conversión instalada en nuestros servidores. Las imágenes resultantes — no el PDF original — se envían al proveedor de inteligencia artificial (ver Sección 4) para que un modelo de visión artificial identifique y estructure las transacciones.
3. Bancos con analizador determinístico: para ciertos bancos compatibles, las transacciones se extraen con un analizador de reglas fijo que opera completamente en nuestros servidores, sin involucrar ningún proveedor de IA externo.

En todos los casos, únicamente se comparten con el proveedor de IA los datos del estado de cuenta (texto o imágenes del documento) — nunca el archivo PDF original completo ni tus credenciales de cuenta en Vittio. Las transacciones estructuradas se almacenan en nuestra base de datos y posteriormente puedes categorizarlas manualmente o mediante sugerencias de la IA.

3. Finalidad del Procesamiento

Tus datos financieros se procesan exclusivamente para finalidades primarias y necesarias para la prestación del servicio:

• Poblar tu historial de transacciones en Vittio.
• Generar reportes de gastos, ingresos y balance financiero personal.
• Detectar y gestionar transacciones duplicadas.
• Calcular el progreso hacia tus metas de ahorro, liquidación de deudas y objetivos generales.
• Ofrecer sugerencias de categorización basadas en patrones históricos.

No realizamos tratamientos para finalidades secundarias. Tus datos financieros no se utilizan para publicidad, perfilado comercial, calificación crediticia, ni para ningún fin ajeno a los anteriores. No existen finalidades sobre las cuales puedas oponerte de forma parcial sin terminar el servicio, ya que todas las finalidades aquí descritas son esenciales para su funcionamiento.

4. Proveedor Externo de Inteligencia Artificial

Vittio utiliza un proveedor externo de inteligencia artificial con sede en Estados Unidos para interpretar el texto o las imágenes de tus estados de cuenta. El proveedor actúa como encargado del tratamiento conforme al Art. 49 del Reglamento de la LFPDPPP — no como responsable de los datos — y está sujeto a las siguientes obligaciones contractuales:

• El proveedor procesa los datos únicamente para responder a nuestra solicitud de procesamiento; no los utiliza para entrenar sus modelos ni para ningún otro fin.
• Los datos no se retienen por el proveedor más allá del tiempo técnicamente necesario para generar la respuesta.
• El proveedor no puede revender, ceder ni compartir tus datos con terceros.
• La transmisión de datos al proveedor ocurre bajo cifrado TLS.
• Los proveedores operan bajo marcos de privacidad que incluyen cláusulas contractuales estándar para transferencias internacionales de datos.
• Si cambiamos de proveedor de IA, actualizaremos este aviso y te notificaremos por correo electrónico con al menos 15 días naturales de anticipación al cambio.

5. Medidas de Seguridad

• Los archivos PDF subidos se almacenan temporalmente en disco cifrado durante el procesamiento y se eliminan del almacenamiento temporal al completarse.
• Los datos de transacciones en la base de datos están bajo acceso autenticado (JWT) y aislados por usuario mediante control de acceso a nivel de fila.
• Ninguna persona accede a tus datos financieros sin tu solicitud expresa (por ejemplo, para soporte técnico que tú hayas iniciado).
• Realizamos copias de seguridad cifradas periódicas, protegidas contra acceso no autorizado.

6. Retención de Datos Financieros

• Tus datos de transacciones se conservan durante toda la vida activa de tu cuenta para permitirte acceder a tu historial financiero.
• Al solicitar la eliminación de tu cuenta, todos tus datos financieros (transacciones, cuentas, metas, archivos procesados) se eliminan permanentemente en un plazo máximo de 30 días naturales.
• No conservamos copias de los datos financieros eliminados, salvo los registros de auditoría de consentimiento requeridos por ley (los cuales no contienen información financiera).

7. Revocación del Consentimiento

Puedes revocar tu consentimiento para el procesamiento de datos financieros en cualquier momento. La revocación implica la eliminación de tu cuenta y todos los datos asociados, ya que el procesamiento de datos financieros es esencial para el funcionamiento del servicio. La revocación no afectará la licitud del tratamiento realizado con anterioridad a la misma, conforme al Art. 8 de la LFPDPPP. Para revocar, elimina tu cuenta desde la configuración de perfil, contáctanos a privacy@vitt.io, o envía solicitud por escrito al domicilio indicado al inicio de este aviso.

8. Derechos sobre tus Datos Financieros

Además de los derechos ARCO descritos en la Política de Privacidad, en relación con tus datos financieros específicamente tienes derecho a:

• Exportar tus transacciones en formato estructurado (CSV) directamente desde la Plataforma, o mediante solicitud a privacy@vitt.io o support@vitt.io.
• Portabilidad: solicitar la transferencia de tus datos exportados a otro servicio de gestión financiera personal.
• Eliminar transacciones individuales o estados de cuenta directamente desde la interfaz.
• Corregir categorías, montos o descripciones incorrectas de cualquier transacción.

9. Transferencias Internacionales de Datos

Al procesar el texto de tus estados de cuenta con proveedores de inteligencia artificial externos, tus datos pueden transferirse a servidores ubicados en los Estados Unidos de América u otras jurisdicciones donde operen dichos proveedores. Estas jurisdicciones pueden tener estándares de protección de datos distintos a los previstos en la legislación mexicana. Al aceptar expresamente este aviso, otorgas tu consentimiento informado para dichas transferencias internacionales, bajo las salvaguardas descritas en la Sección 4: cifrado TLS, prohibición contractual de uso para entrenamiento de modelos, prohibición de retención innecesaria, prohibición de cesión a terceros, y cláusulas contractuales estándar para transferencias internacionales.

10. Identidad del Responsable y Contacto

El responsable del tratamiento de tus datos financieros es Nived Hareendranath Vengilat, persona física, con domicilio en Monte Aconcagua #328, Col. Montenegro, C.P. 66179, Santa Catarina, Nuevo León, México. Para preguntas sobre el procesamiento de tus datos financieros o para ejercer tus derechos: privacy@vitt.io o por escrito al domicilio anterior.

---