Aviso de Privacidad Integral

Versión 2.2 — Última actualización: 28 de mayo de 2026
¿Buscas la versión corta? Lee el Aviso de Privacidad Simplificado. Para gestionar cookies, consulta nuestra Política de Cookies. Para ejercer derechos ARCO, usa nuestro formulario en línea.

En cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, "LFPDPPP", vigente desde el 21 de marzo de 2025, que sustituye a la ley de 2010) y su Reglamento, Marco Antonio Mondragón Ruiz, persona física con actividad empresarial, comercialmente conocido como Eytiry — Artesanía Digital (en adelante, el "Responsable"), con domicilio en C. Antonio M. Anza 20-Local 12, 2do. piso, Centro Urbano Pdte. Juárez, Roma Sur, Cuauhtémoc, 06700 Cuauhtémoc, CDMX, es el responsable del uso y protección de sus datos personales y, al respecto, le informa lo siguiente:

1. Datos Personales Recabados

Para las finalidades señaladas en el presente aviso, podemos recabar las siguientes categorías de datos personales según el tipo de interacción del titular con la Plataforma:

1.1. Datos de identificación y contacto:

  • Nombre completo
  • Correo electrónico
  • Número de teléfono celular (opcional)
  • Nombre del negocio o establecimiento
  • Domicilio del negocio (opcional)
  • Foto de perfil (opcional)

1.2. Datos financieros y de facturación:

  • Información de pago (procesada exclusivamente a través de Stripe; el Responsable NO almacena números de tarjeta completos ni códigos de seguridad)
  • Historial de pagos y suscripciones
  • Datos de facturación (RFC, razón social, domicilio fiscal, uso de CFDI — cuando se solicite factura)

1.3. Datos de uso de la Plataforma:

  • Información introducida en cotizaciones, ventas, pedidos, devoluciones y registros de cobranza
  • Configuraciones del negocio (precios de metales, márgenes, preferencias visuales)
  • Catálogo de piezas, modelos 3D, fotografías de producto que el Usuario suba
  • Registros de actividad dentro de la Plataforma (logs de acceso, acciones realizadas, audit logs)

1.4. Datos del lead magnet y formularios públicos:

Cuando un visitante de la landing pública (por ejemplo, la página de precios públicos de oro y plata en joyerokit.com) solicita material gratuito ("lead magnet") o se suscribe a comunicaciones, podemos recabar:

  • Correo electrónico (obligatorio)
  • Número de WhatsApp (opcional, solo si activa el opt-in expreso)
  • Dirección IP, agente de usuario y referrer del navegador (recabados automáticamente)
  • Marca de tiempo de la solicitud

1.5. Datos recabados automáticamente:

  • Dirección IP
  • Tipo de navegador, sistema operativo y dispositivo
  • Identificadores de sesión y cookies de funcionalidad
  • Idioma, región y zona horaria
  • Fecha, hora y duración de las sesiones
  • Páginas visitadas, eventos de interacción y telemetría agregada
  • Señales antifraude y antibot (a través de Vercel BotID y otros mecanismos de detección, cuando se activen)

1.6. Datos personales sensibles:

El Responsable NO recaba datos personales sensibles (datos de salud, origen étnico, creencias religiosas, orientación sexual, datos biométricos, etc.).

En particular, en relación con el asistente de voz YMIR: el audio del Usuario se procesa en tiempo real para extraer texto y datos estructurados de la cotización dictada. El audio NO se almacena en servidores del Responsable después de la transcripción. Únicamente se conservan los campos textuales que el Usuario revisa y acepta.

2. Finalidades del Tratamiento

2.1. Finalidades primarias (necesarias para el servicio):

  • Creación y gestión de la cuenta del Usuario y sus miembros del equipo
  • Prestación del servicio: cotizaciones, ventas, dashboard, calendario, reportes, catálogo, stock, visor 3D, calculadoras (con y sin IA), tesorería, cobranza, devoluciones y compra-venta de metales (registro interno)
  • Publicación voluntaria del Usuario en el Directorio público de servicios y participación en el Marketplace (solo planes que lo permitan)
  • Procesamiento de pagos de suscripciones y recargas de créditos IA
  • Comunicaciones operativas relacionadas con el servicio (confirmaciones, avisos de mantenimiento, alertas de seguridad, cambios en términos)
  • Soporte técnico y atención al Usuario
  • Generación de documentos solicitados por el Usuario (PDFs de cotizaciones, reportes)
  • Envío del lead magnet o material informativo solicitado expresamente por el titular
  • Cumplimiento de obligaciones legales, fiscales y de seguridad (LFPDPPP, Código Fiscal de la Federación, LFPC, etc.)

2.2. Finalidades secundarias (no necesarias, requieren consentimiento expreso):

  • Newsletter / comunicaciones promocionales por correo electrónico (novedades, tutoriales, ofertas de planes, consejos para joyeros)
  • Alertas y comunicaciones por WhatsApp (precios de metales, promociones, recordatorios) — requiere opt-in expreso mediante checkbox no premarcado
  • Análisis estadísticos y de uso agregados para mejorar la Plataforma (los datos se anonimizan o pseudonimizan previamente)
  • Envío de encuestas de satisfacción
  • Segmentación para personalizar contenido educativo y comercial

El consentimiento para finalidades secundarias se otorga de manera expresa, libre, específica e informada mediante mecanismos diferenciados (checkboxes separados, no premarcados) en el momento de la recolección. El no consentir las finalidades secundarias no afecta el acceso al servicio principal.

Si usted no desea que sus datos personales sean tratados para las finalidades secundarias, puede:

  • No marcar los checkboxes correspondientes en el momento del registro o suscripción
  • Usar el enlace "Cancelar suscripción" en cualquier correo electrónico promocional
  • Responder "BAJA" a cualquier mensaje de WhatsApp
  • Enviar solicitud de exclusión a soporte@joyerokit.com con el asunto "Exclusión de finalidades secundarias"
  • Ejercer su derecho de oposición a través del formulario ARCO

3. Datos de Terceros Introducidos por el Usuario

3.1. La Plataforma permite al Usuario (joyero) capturar datos personales de sus propios clientes (nombre, teléfono, email, RFC, domicilio, historial de compras, datos crediticios internos del módulo de cobranza, etc.) con el fin de gestionar su negocio de joyería.

3.2. Respecto de dichos datos, el Usuario actúa como Responsable del tratamiento frente a sus clientes finales, y JoyeroKit (Eytiry — Artesanía Digital) actúa como Encargado del tratamiento conforme a los artículos 49 a 55 de la LFPDPPP y su Reglamento.

3.3. En su calidad de Encargado, el Responsable se obliga a:

  • Tratar los datos únicamente conforme a las instrucciones del Usuario
  • No utilizar los datos para finalidades distintas a la prestación del servicio contratado
  • Implementar medidas de seguridad administrativas, técnicas y físicas equivalentes a las que aplicaría a sus propios datos
  • No transferir los datos a terceros distintos a los proveedores de infraestructura listados en la cláusula 5
  • Devolver o suprimir los datos al término de la relación contractual conforme a la cláusula de Conservación
  • Asistir al Usuario en el ejercicio de derechos ARCO de sus clientes finales

3.4. El Usuario es el único responsable de:

  • Contar con consentimiento válido de sus clientes para introducir sus datos en la Plataforma
  • Publicar su propio aviso de privacidad frente a sus clientes finales
  • Atender directamente las solicitudes ARCO de sus clientes (la Plataforma provee herramientas de exportación, rectificación y eliminación)
  • Cumplir cualquier otra obligación derivada de la LFPDPPP frente a sus clientes

3.5. Cláusula de prevalencia DPA: En materia de Datos Personales del Cliente Final, el Anexo de Procesamiento de Datos publicado en /legal/dpa-pre-formulario prevalece sobre cualquier disposición contraria del presente Aviso (decisión ratificada 2026-05-04).

4. Uso de Inteligencia Artificial

4.1. La Plataforma incorpora funcionalidades que utilizan servicios de inteligencia artificial proporcionados por terceros. Cuando el Usuario utilice estas funcionalidades, ciertos datos pueden ser transmitidos a los servidores de estos proveedores para su procesamiento.

4.2. Funcionalidades que utilizan IA:

  • Calculadora IA / Estimador de gramaje (procesa imágenes de piezas)
  • Fotógrafo IA (genera fotografías de producto a partir de imágenes subidas)
  • Gemólogo IA (análisis de gemas a partir de descripciones e imágenes)
  • YMIR — Asistente de voz (transcripción y extracción de campos a partir de audio dictado, sin almacenamiento de audio)
  • Soporte conversacional (respuestas automatizadas a consultas)
  • Mejora de descripciones y otras herramientas auxiliares
  • Importador IA (preparación asistida de catálogo desde Excel/CSV; el Usuario revisa y aprueba antes de guardar)
  • Moderación de modelos 3D

4.3. Datos que pueden ser procesados por servicios de IA:

  • Descripciones de piezas, gemas y materiales
  • Imágenes y modelos 3D que el Usuario suba
  • Datos técnicos de las piezas (tipo de metal, dimensiones, peso estimado)
  • Audio dictado al asistente YMIR (transmitido a OpenAI Whisper API para transcripción en tiempo real, sin almacenamiento)
  • Texto introducido en el chat de soporte

4.4. El Responsable se compromete a:

  • No enviar a servicios de IA datos de identificación personal del Usuario ni de sus clientes (nombres, teléfonos, emails) cuando no sea estrictamente necesario para la funcionalidad
  • Seleccionar proveedores que cumplan con estándares reconocidos de seguridad y privacidad
  • Pactar contractualmente con dichos proveedores que no entrenen sus modelos con los datos del Usuario (zero data retention / no training en los planes empresariales contratados)
  • Informar claramente al Usuario cuándo una funcionalidad utiliza IA antes de activarla

4.5. El uso de funciones de IA es opcional. El Usuario puede utilizar la Plataforma sin activar funcionalidades de IA. Los resultados de IA son estimaciones y sugerencias, no datos vinculantes; el Usuario debe verificarlos antes de utilizarlos en decisiones comerciales.

5. Transferencias a Terceros y Transferencia Internacional de Datos

5.1. Los datos personales del titular pueden ser transferidos a los siguientes proveedores de infraestructura, cuyas operaciones se realizan principalmente en los Estados Unidos de América:

  • Supabase Inc. (Estados Unidos) — Base de datos, autenticación y almacenamiento de archivos (incluyendo modelos 3D y fotografías)
  • Vercel Inc. (Estados Unidos) — Alojamiento, distribución de la Plataforma, telemetría agregada (Vercel Analytics) y detección antibot
  • Stripe Inc. (Estados Unidos) — Procesamiento de pagos, gestión de suscripciones y emisión de recibos
  • Resend Inc. (Estados Unidos) — Envío de correos electrónicos transaccionales y de marketing
  • Anthropic PBC (Estados Unidos) — Servicios de inteligencia artificial (Claude). Anthropic NO usa los inputs ni outputs de la API para entrenar sus modelos, conforme a su DPA comercial vigente.
  • OpenAI, L.L.C. (Estados Unidos) — Servicios complementarios de IA (cuando se utilicen)
  • Cloudflare, Inc. (Estados Unidos) — Protección antibot y CDN (Turnstile)
  • Google LLC (Estados Unidos) — Autenticación OAuth (inicio de sesión con Google)
  • metals.dev (proveedor europeo de datos de mercado) — Datos públicos de cotización de metales — sin envío de datos personales del titular
  • Frankfurter (proveedor europeo de tipo de cambio) — Datos públicos de tipo de cambio MXN/USD — sin envío de datos personales

La lista canónica y actualizada de Sub-Encargados se publica en joyerokit.com/legal/sub-encargados. JoyeroKit notificará al Usuario con al menos 30 días antes de añadir un nuevo Sub-Encargado.

5.2. Transferencia internacional: Los Estados Unidos de América no han sido declarados por la autoridad mexicana como país con nivel adecuado de protección. Conforme a los artículos 36 y 37 de la LFPDPPP, el Responsable garantiza que dichas transferencias se realizan únicamente para el cumplimiento de la relación contractual con el Usuario y con proveedores que han asumido contractualmente obligaciones de protección equivalentes a las exigidas por la legislación mexicana, mediante términos comerciales y, cuando aplica, cláusulas modelo de protección de datos.

5.3. El Responsable ha verificado que dichos proveedores cuentan con certificaciones de seguridad reconocidas (SOC 2 Tipo II, ISO 27001) y políticas de privacidad que ofrecen un nivel de protección comparable o superior al exigido por la legislación mexicana.

5.4. Al utilizar la Plataforma, el Usuario consiente expresamente la transferencia internacional de sus datos a los proveedores señalados, en los términos y para las finalidades descritas en el presente Aviso.

5.5. La incorporación de nuevos proveedores que procesen datos personales será notificada a los Usuarios mediante actualización de este Aviso, conforme a la cláusula 14.

6. Derechos ARCO, Oposición y Portabilidad

Usted, como titular de los datos personales, tiene derecho a:

  • Acceder a sus datos personales en nuestro poder y conocer las condiciones de su tratamiento
  • Rectificar sus datos cuando sean inexactos, incompletos o no se encuentren actualizados
  • Cancelar sus datos cuando considere que no están siendo tratados conforme a la ley o estos Términos
  • Oponerse al tratamiento de sus datos para finalidades específicas
  • Revocar el consentimiento otorgado para finalidades secundarias en cualquier momento
  • Portabilidad: solicitar la entrega de sus datos personales en un formato estructurado, de uso común y lectura mecánica (CSV, JSON), para que pueda transferirlos a otro responsable del tratamiento

6.1. Procedimiento para ejercer derechos ARCO:

El titular o su representante legal puede ejercer sus derechos a través de cualquiera de los siguientes medios:

  1. Formulario web (recomendado): joyerokit.com/legal/arco — flujo guiado en 1 minuto
  2. Correo electrónico: soporte@joyerokit.com con el asunto "Solicitud ARCO"
  3. Auto-servicio dentro de la app: los Usuarios registrados pueden exportar sus datos desde Configuración → Datos y Privacidad, y eliminar su cuenta desde Perfil → Eliminar cuenta

La solicitud debe contener:

  1. Nombre completo del titular
  2. Correo electrónico asociado a la cuenta o medio para recibir respuesta
  3. Descripción clara y precisa de los datos personales respecto de los que se busca ejercer algún derecho
  4. Cualquier documento o información que facilite la localización de los datos
  5. Identificación del titular (copia de identificación oficial; en el formulario web puede subirla cifrada en tránsito)

6.2. Plazos de respuesta por jurisdicción:

El Responsable comunicará al titular la determinación adoptada dentro del plazo aplicable a su jurisdicción de residencia o tratamiento (el más corto que resulte exigible):

RégimenPlazo legalFundamento
México (LFPDPPP 2025)20 días hábiles + 15 hábiles cumplimientoArt. 32 LFPDPPP
Unión Europea / EEE (RGPD)30 días naturales (prorrogable a 90 con justificación)Art. 12.3 RGPD
Brasil (LGPD)15 días naturalesArt. 19 LGPD
Argentina (Ley 25.326)10 días corridos (acceso) / 5 días corridos (rect./sup.)Arts. 14 y 16 Ley 25.326
Chile (Ley 21.719)30 días hábiles (prorrogable 30 más)Ley 21.719
Colombia (Ley 1581)10 días hábiles (consultas) / 15 hábiles (reclamos)Decreto 1377, arts. 14-15
California (CCPA/CPRA)45 días naturales (extensible 45 más con notificación)Cal. Code Regs. Tit. 11

7. Mecanismos para Limitar el Uso o Divulgación de Datos

Si usted desea limitar el uso o divulgación de sus datos personales, puede:

  • Configurar sus preferencias de comunicación dentro de la sección de Configuración de la Plataforma
  • Desactivar las cookies opcionales desde la Política de Cookies
  • Optar por no utilizar funcionalidades de IA
  • Hacer su perfil privado en el Directorio público (si lo había publicado)
  • Enviar solicitud al correo soporte@joyerokit.com con el asunto "Limitación de uso de datos", indicando qué datos y qué usos desea limitar

8. Uso de Cookies y Tecnologías de Rastreo

La Plataforma utiliza cookies y tecnologías similares descritas en detalle en nuestra Política de Cookies. En resumen:

  • Cookies estrictamente necesarias: Indispensables para el funcionamiento (sesión, autenticación, preferencias de moneda y unidad). No se pueden desactivar.
  • Cookies de funcionalidad: Recuerdan preferencias del Usuario (configuraciones, última página visitada).
  • Cookies analíticas y de medición: Vercel Analytics y, cuando se activen, herramientas equivalentes. Permiten entender cómo se utiliza la Plataforma. Los datos se recopilan de forma agregada y, cuando es posible, anónima.
  • Cookies antifraude: Vercel BotID y mecanismos similares para detectar bots y abuso, cuando estén activos.

El Usuario puede gestionar sus preferencias de cookies desde el banner de cookies, desde la Política de Cookies o desde la configuración de su navegador.

9. Medidas de Seguridad

El Responsable implementa medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado, incluyendo:

  • Cifrado de datos en tránsito (conexiones seguras HTTPS)
  • Cifrado de contraseñas (almacenadas como hash, nunca en texto claro)
  • Control de acceso por perfiles de usuario (administrador, vendedor, cajero) con restricciones por módulo, y aislamiento estricto de los datos entre cuentas
  • Validación de todos los datos que entran al sistema antes de procesarlos
  • Respaldos periódicos de la base de datos
  • Monitoreo de accesos y registro de auditoría
  • Límites de solicitudes para prevenir abuso o ataques automatizados
  • Uso de proveedores de infraestructura con certificaciones de seguridad reconocidas (SOC 2 Tipo II, ISO 27001)

10. Vulneraciones de Seguridad

En caso de que ocurra una vulneración de seguridad que afecte de forma significativa los derechos de los titulares, el Responsable, conforme a lo establecido en la LFPDPPP vigente:

  1. Notificará a los titulares afectados, a través del correo electrónico registrado, dentro de las 72 horas siguientes a que tenga conocimiento de la vulneración
  2. Informará la naturaleza del incidente, los datos comprometidos y el alcance estimado
  3. Describirá las acciones correctivas tomadas y las recomendaciones para que el titular proteja sus intereses
  4. Notificará a la autoridad competente (Secretaría Anticorrupción y Buen Gobierno) en los términos que la ley establezca
  5. Documentará el incidente y las medidas correctivas en su bitácora interna

11. Conservación de Datos

Los datos personales serán conservados durante el tiempo que sea necesario para cumplir con las finalidades descritas, la relación contractual con el Usuario, y las obligaciones legales aplicables.

Una vez cancelada la Suscripción o eliminada la cuenta:

  • Los datos del Usuario estarán disponibles para descarga durante 30 días naturales
  • Transcurrido dicho plazo, los datos serán eliminados de forma permanente e irreversible
  • Ciertos datos podrán conservarse de forma anonimizada con fines estadísticos
  • Datos de facturación (CFDI, RFC, historial de pagos) se conservarán durante un mínimo de 5 (cinco) años conforme al Código Fiscal de la Federación
  • Audit logs y registros de seguridad podrán conservarse por períodos adicionales (hasta 24 meses) para cumplir obligaciones de seguridad y prevención de fraude

Los datos del lead magnet de la landing pública se conservan mientras no sea revocado el consentimiento del titular o por un máximo de 36 meses sin actividad, lo que ocurra primero.

12. Edad Mínima

La Plataforma está destinada exclusivamente a personas mayores de edad (18 años cumplidos). El Responsable no recaba intencionalmente datos personales de menores de edad. Si tomamos conocimiento de que hemos recabado datos de un menor de edad sin consentimiento de quien ejerce la patria potestad o tutela, procederemos a su eliminación inmediata.

Si usted considera que un menor de edad nos ha proporcionado datos personales, contacte al Responsable a soporte@joyerokit.com.

13. ¿La Plataforma toma decisiones solas sobre mí?

La Plataforma utiliza procesamiento automatizado únicamente para:

  • Cálculos determinísticos de costos, márgenes y precios introducidos por el Usuario
  • Sugerencias de la IA (estimaciones, no decisiones) que el Usuario revisa y puede modificar antes de aplicar
  • Detección de bots y abuso (Vercel BotID), sin afectar el acceso de Usuarios legítimos
  • Aplicación de límites de plan (créditos IA, número de piezas, número de cotizaciones)

Ninguna decisión que produzca efectos jurídicos sobre el titular se toma de forma automatizada sin intervención humana. Las clasificaciones crediticias internas que ofrece el módulo de cobranza son herramientas de organización para uso del Usuario, no calificaciones oficiales (véase la cláusula equivalente en los Términos y Condiciones).

14. Cambios al Aviso de Privacidad

El Responsable se reserva el derecho de modificar este Aviso de Privacidad. Cualquier cambio sustancial será notificado al titular mediante correo electrónico y/o publicación destacada en la Plataforma con al menos 15 (quince) días naturales de anticipación.

Los cambios menores (correcciones tipográficas, ajustes de redacción, actualización de la lista de proveedores cuando se sumen nuevos) se publicarán directamente en esta página con actualización de la fecha de "Última actualización".

15. Autoridad Competente

Si usted considera que su derecho a la protección de datos personales ha sido lesionado, podrá interponer la queja o denuncia correspondiente ante la Secretaría Anticorrupción y Buen Gobierno, que es la autoridad competente en materia de protección de datos personales conforme a la LFPDPPP publicada en el DOF el 20 de marzo de 2025. Para mayor información, visite www.gob.mx/buengobierno.

16. Consentimiento

Al registrarse en la Plataforma, suscribirse al lead magnet, o contactar al Responsable, el titular acepta haber leído y comprendido este Aviso de Privacidad y otorga su consentimiento para el tratamiento de sus datos personales conforme a los términos aquí descritos para las finalidades primarias.

Para las finalidades secundarias (newsletter, WhatsApp marketing, encuestas), el consentimiento debe otorgarse de manera expresa mediante checkboxes diferenciados y no premarcados al momento de la recolección. El titular puede revocar dicho consentimiento en cualquier momento conforme a la cláusula 6.

17. Contacto

Para cualquier asunto relacionado con este Aviso de Privacidad o el tratamiento de sus datos personales:

18. Si estás fuera de México

Si te encuentras en España, Argentina, Colombia, Perú, Chile, Guatemala, República Dominicana o EE.UU., además de este aviso aplica la legislación local de tu país. Hemos preparado una página separada con las addendas: Addenda internacionales del Aviso de Privacidad.

Accesos directos a las secciones más consultadas: