Política de Privacidad

La presente Política de Privacidad describe cómo Vittio (en adelante "la Plataforma", "nosotros") recopila, utiliza, almacena y protege tus datos personales. Al usar Vittio aceptas los términos aquí descritos. Esta política se elaboró conforme al Art. 16 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), sus lineamientos del aviso de privacidad emitidos por el INAI, y demás normativa aplicable en México.

1. Responsable del Tratamiento

El responsable del tratamiento de tus datos personales es Nived Hareendranath Vengilat, persona física con actividad empresarial, con domicilio en Monte Aconcagua #328, Col. Montenegro, C.P. 66179, Santa Catarina, Nuevo León, México. El Departamento de Datos Personales puede contactarse en:

• Correo electrónico: privacy@vitt.io
• Domicilio postal: Monte Aconcagua #328, Col. Montenegro, C.P. 66179, Santa Catarina, Nuevo León, México.

2. Datos Personales que Recopilamos

Recopilamos únicamente los datos necesarios para prestarte el servicio:

• Datos de identificación: nombre completo, correo electrónico.
• Datos de autenticación: contraseña cifrada (bcrypt), tokens de sesión JWT. No almacenamos tu contraseña en texto plano.
• Datos financieros (sensibles): archivos PDF de estados de cuenta que tú mismo subes; datos de transacciones extraídos de dichos archivos (monto, fecha, descripción, comercio, categoría); cuentas bancarias que registres (alias, banco, tipo de cuenta, saldo); metas financieras (ahorro, deuda, objetivos generales). Ver Sección 3 para clasificación como datos sensibles.
• Datos técnicos: dirección IP al momento del registro/login, marca de tiempo de aceptación de términos, agente de usuario (user-agent) del navegador o dispositivo.

No recopilamos números de tarjeta de crédito/débito completos, NIP, contraseñas bancarias, número de seguridad social ni ningún otro dato de acceso a servicios de terceros.

3. Datos Personales Sensibles

De conformidad con el Art. 3 fracción VI de la LFPDPPP, los datos financieros descritos en la Sección 2 constituyen datos personales sensibles, ya que pueden dar lugar a discriminación o suponen un riesgo relevante para el titular. Su tratamiento requiere tu consentimiento expreso conforme al Art. 9 de la LFPDPPP. Dicho consentimiento se obtiene mediante la pantalla de aceptación al registrarte o iniciar sesión por primera vez. La aceptación electrónica tiene plena validez como consentimiento por escrito en términos del Art. 89 del Código de Comercio.

Tratamos tus datos sensibles con las medidas de seguridad descritas en la Sección 5 y exclusivamente para las finalidades primarias descritas en la Sección 4. No utilizamos datos financieros para ninguna finalidad distinta ni los compartimos salvo en los casos indicados en la Sección 6.

4. Finalidades del Tratamiento

Tus datos se tratan para las siguientes finalidades primarias y necesarias para la prestación del servicio:

• Crear y gestionar tu cuenta de usuario.
• Procesar y categorizar tus transacciones financieras mediante extracción de texto, análisis de imagen (para PDFs escaneados), e inteligencia artificial.
• Generar reportes financieros, estadísticas de gastos e ingresos, y seguimiento de metas.
• Detectar transacciones duplicadas y mejorar la precisión de la categorización.
• Enviarte notificaciones relacionadas con el servicio (si las autorizas).
• Cumplir con obligaciones legales y resolver disputas.

No realizamos tratamientos para finalidades secundarias. Tus datos no se utilizan para publicidad, perfilado comercial, scoring crediticio ni fines distintos a los aquí indicados.

5. Almacenamiento y Seguridad

• Los datos se almacenan en bases de datos PostgreSQL alojadas con un proveedor de infraestructura en la nube, sujeto a estándares de seguridad reconocidos internacionalmente (incluyendo SOC 2).
• Toda comunicación entre tu dispositivo y nuestros servidores usa cifrado TLS 1.2+.
• Las contraseñas se almacenan con bcrypt (factor de trabajo ≥ 12). Las sesiones usan JWT firmado con HS256 con expiración de 15 minutos para el token de acceso y 7 días para el token de refresco.
• Los archivos de estado de cuenta se procesan y almacenan en servidores con acceso restringido; se eliminan cuando cierras tu cuenta.
• El acceso a los datos de producción está limitado al responsable bajo principio de mínimo privilegio.
• Nuestro proveedor de infraestructura realiza copias de seguridad cifradas conforme a sus estándares operativos, protegidas contra acceso no autorizado.

6. Transferencia de Datos a Terceros

6.1 Transferencias que no requieren consentimiento adicional (Art. 37 LFPDPPP)

Compartimos datos con las siguientes categorías de terceros sin requerir consentimiento adicional al de este aviso, por ser necesarios para la prestación del servicio:

• Proveedor de infraestructura en la nube (con sede en Estados Unidos) — Aloja la base de datos y los servidores de la Plataforma. Sujeto a estándares de seguridad SOC 2 y a un acuerdo de procesamiento de datos.
• Proveedor de envío transaccional de correo electrónico (con sede en Estados Unidos) — Recibe tu correo electrónico y nombre exclusivamente para entregar mensajes operativos del servicio (verificación de cuenta, restablecimiento de contraseña, notificaciones de seguridad). El proveedor no utiliza tus datos para fines distintos a la entrega del correo y opera bajo cláusulas contractuales estándar para transferencias internacionales.

6.2 Transferencias que requieren consentimiento expreso

El texto de tus estados de cuenta (datos sensibles) se envía a proveedores de inteligencia artificial externos para su interpretación. Esta transferencia implica el envío de datos a servidores ubicados fuera de México y requiere tu consentimiento expreso, el cual otorgas al aceptar el Aviso de Consentimiento para el Procesamiento de Datos Financieros en la pantalla de aceptación. Ver Sección 10 para los detalles de las transferencias internacionales.

• Proveedor de inteligencia artificial (con sede en Estados Unidos) — Para el análisis e interpretación del texto o imágenes de estados de cuenta. Los datos enviados se limitan al contenido del estado de cuenta (con información personal redactada antes del envío en el flujo de texto); no se envían archivos PDF originales ni credenciales. Nuestro acuerdo prohíbe el uso de tus datos para entrenar modelos. El proveedor actúa como encargado conforme al Art. 49 del Reglamento de la LFPDPPP, no como responsable. Si cambiamos de proveedor, actualizaremos este aviso y te notificaremos por correo con al menos 15 días naturales de anticipación.

No vendemos, arrendamos ni cedemos tus datos a terceros con fines comerciales o publicitarios. Podemos divulgar datos cuando sea requerido por autoridad competente conforme a la ley.

7. Retención de Datos

• Tus datos se conservan mientras tu cuenta esté activa.
• Eliminación desde la aplicación (archivado): Cuando eliminas tu cuenta desde la app o el sitio web, tu cuenta se desactiva inmediatamente, cierras sesión en todos los dispositivos y tu suscripción Premium se cancela automáticamente. Tus datos personales y financieros se conservan archivados —sin tratamiento activo y sin acceso para ti ni para terceros no autorizados— por un período de hasta 5 años con la finalidad de cumplir obligaciones fiscales, contables y legales (Código Fiscal de la Federación, Art. 30), atender posibles disputas o requerimientos de autoridades competentes, y permitir tu restauración si así lo solicitas a soporte.
• Eliminación permanente (a solicitud expresa): Si deseas que tus datos sean borrados de forma definitiva e irrecuperable antes del plazo de retención —ejerciendo tu derecho de cancelación bajo el Art. 22 de la LFPDPPP— puedes solicitarlo por correo a privacy@vitt.io. Procederemos a la eliminación permanente dentro de un plazo máximo de 30 días naturales, sujeto a las obligaciones legales de retención antes mencionadas. Una vez eliminados permanentemente, tus datos no podrán recuperarse.
• Los registros de auditoría de aceptación de términos (consentimiento legal) se conservan por 5 años para cumplimiento legal, sin vincular información financiera, aun en caso de eliminación permanente.

8. Derechos ARCO

Conforme a la LFPDPPP, tienes derecho a:

• Acceso: conocer qué datos personales tenemos sobre ti y cómo los usamos.
• Rectificación: solicitar la corrección de datos inexactos o incompletos.
• Cancelación: solicitar la supresión de tus datos cuando no sean necesarios para la finalidad que motivó su recopilación.
• Oposición: oponerte al tratamiento de tus datos para finalidades específicas.

Para ejercer estos derechos, tu solicitud debe incluir (Art. 29 LFPDPPP):

1. Tu nombre completo y correo electrónico de registro.
2. Documentos que acrediten tu identidad (identificación oficial vigente).
3. Descripción clara del derecho que deseas ejercer y los datos a los que se refiere.
4. Cualquier elemento o documento que facilite la localización de los datos.

Puedes enviar tu solicitud a privacy@vitt.io con el asunto "Ejercicio de Derechos ARCO", o por escrito al domicilio del responsable indicado al inicio de esta política. Responderemos en un plazo máximo de 20 días hábiles y la medida será efectiva en los siguientes 15 días hábiles. Si consideras que nuestra respuesta es insuficiente, puedes iniciar un Procedimiento de Protección de Derechos ante el INAI dentro de los 15 días hábiles siguientes a recibir nuestra respuesta.

9. Limitación de Uso y Divulgación

Si deseas que dejemos de tratar tus datos personales para alguna finalidad, puedes solicitarlo a privacy@vitt.io. Dado que todas las finalidades descritas son necesarias para la operación del servicio, la limitación efectiva implica la eliminación de tu cuenta. Asimismo, puedes eliminar tu cuenta directamente desde la configuración del perfil.

Como usuario tienes derecho a inscribirte en el Registro Público para Evitar Publicidad (REPEP) administrado por la PROFECO si recibes publicidad no solicitada de terceros. Vittio no realiza publicidad ni comparte tus datos con fines publicitarios.

10. Transferencias Internacionales de Datos

Al procesar el texto de tus estados de cuenta con proveedores de inteligencia artificial, tus datos pueden transferirse a servidores ubicados en los Estados Unidos de América u otras jurisdicciones donde operen dichos proveedores. Estas jurisdicciones pueden tener estándares de protección de datos distintos a los previstos en la legislación mexicana. Las transferencias se realizan bajo las siguientes salvaguardas: (a) cifrado TLS en tránsito; (b) acuerdos de procesamiento de datos que prohíben el uso de tus datos para entrenar modelos; (c) cláusulas contractuales estándar para transferencias internacionales; (d) prohibición de retención de datos más allá del tiempo técnicamente necesario. Al aceptar el Aviso de Consentimiento de Datos Financieros autorizas expresamente estas transferencias.

11. Cookies y Tecnologías de Seguimiento

Vittio usa exclusivamente cookies de sesión estrictamente necesarias para mantener tu sesión activa. No usamos cookies de seguimiento, publicidad ni analítica de terceros. La aplicación móvil no emplea rastreadores de terceros.

12. Menores de Edad

Vittio no está dirigido a personas menores de 18 años. Si detectamos que hemos recopilado datos de un menor sin verificación parental procederemos a su eliminación inmediata.

13. Cambios a Esta Política

Podemos actualizar esta política periódicamente. En caso de cambios materiales te notificaremos por correo electrónico y/o mediante aviso en la Plataforma con al menos 15 días naturales de anticipación a su entrada en vigor. El uso continuado del servicio tras la notificación implica tu aceptación. Las versiones históricas están disponibles bajo solicitud a privacy@vitt.io. La versión vigente siempre estará disponible en vitt.io/legal/privacy.

14. Contacto

Para preguntas, solicitudes o quejas relacionadas con esta política:

• Correo electrónico: privacy@vitt.io
• Domicilio: Monte Aconcagua #328, Col. Montenegro, C.P. 66179, Santa Catarina, Nuevo León, México.
• También puedes presentar una queja ante el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales): Av. Insurgentes Sur 3211, Col. Insurgentes Cuicuilco, Alcaldía Coyoacán, C.P. 04530, Ciudad de México. Sitio web: inai.org.mx

---