Aviso de Privacidad

1. Identidad del Responsable

Utzil Think (en adelante "el Responsable"), con denominación social Utzil Think, con domicilio en el Estado de México, México, es responsable del tratamiento de sus datos personales. El presente aviso de privacidad tiene como objetivo informarle sobre el tratamiento que se le dará a sus datos personales de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

Utzil Think es una empresa de tecnología y fabricación digital. Operamos en tres verticales: desarrollo web y e-commerce (sitios web, tiendas en línea, sistemas ERP/SaaS, APIs e integraciones), fabricación digital (impresión 3D, corte láser, CNC, prototipado rápido, tarjetas PVC con NFC) y producción visual (branding, fotografía de producto, diseño gráfico y contenido visual). Nuestros servicios digitales incluyen plataformas web, aplicaciones móviles, facturación electrónica, procesamiento de pagos, gestión de créditos, administración escolar y herramientas de productividad.

Datos del Responsable

• Denominación social: Utzil Think
• Domicilio: Estado de México, México
• Correo de privacidad: hola@utzilthink.com
• Sitio web: utzilthink.com
• Teléfono: +52 55 1757 7501

2. Datos Personales que Recabamos

Para las finalidades señaladas en el presente aviso, podemos recabar los siguientes datos personales:

Datos de identificación

• Nombre completo
• Correo electrónico personal e institucional
• Número telefónico fijo y/o móvil
• Dirección fiscal y/o domicilio particular
• CURP (cuando sea requerido por el servicio)
• Fecha de nacimiento
• Fotografía de perfil (opcional)
• Credenciales de acceso (nombre de usuario y contraseña cifrada)

Datos fiscales y de facturación

• Registro Federal de Contribuyentes (RFC)
• Razón social o nombre fiscal
• Régimen fiscal y código postal fiscal
• Certificado de Sello Digital (CSD): archivos .cer y .key
• Contraseña del CSD (cifrada con AES-256, nunca almacenada en texto plano)
• Constancia de Situación Fiscal
• Datos bancarios para recepción de pagos (CLABE, banco, titular)
• Historial de comprobantes fiscales emitidos y recibidos

Datos de la empresa o institución

• Nombre comercial y razón social de la empresa o institución
• Giro o actividad económica
• Logotipo e identidad visual (para personalización de la plataforma)
• Datos de contacto institucional (teléfono, correo, dirección)
• Información de usuarios, roles y personal autorizado
• Estructura organizacional relevante para la configuración del servicio

Datos escolares

• Datos de alumnos: nombre completo, grado, grupo, matrícula, fecha de nacimiento
• Fotografías de alumnos (para identificación, control de acceso y credenciales)
• Datos de padres/tutores: nombre, parentesco, teléfono, correo electrónico, dirección
• Contactos de emergencia autorizados
• Registros de asistencia diaria y puntualidad
• Calificaciones, evaluaciones y reportes académicos
• Registros de conducta y observaciones
• Información de alergias o condiciones médicas relevantes (proporcionada por la institución)
• Historial de consumo en cafetería escolar

Datos financieros y crediticios

• Información de solicitudes de crédito y documentación soporte
• Historial de pagos, saldos y estados de cuenta
• Datos patrimoniales relacionados con la evaluación crediticia
• Ingresos declarados y comprobantes de ingresos
• Referencias personales y comerciales
• Datos de cuentas bancarias para dispersión y cobro
• Identificación oficial (INE/pasaporte) para verificación de identidad

Datos de uso del servicio

• Registros de actividad e historial de acciones en la plataforma
• Dirección IP, geolocalización aproximada y datos de navegación
• Tipo de dispositivo, sistema operativo y versión del navegador
• Preferencias, configuraciones y personalización del usuario
• Fechas y horarios de inicio y cierre de sesión
• Patrones de uso y módulos consultados con mayor frecuencia

Datos sensibles

Solo cuando el servicio contratado lo requiera y con consentimiento expreso:

• Fotografías de menores de edad (gestionadas por la institución educativa)
• Información de salud relevante (alergias, condiciones médicas para servicio de cafetería)
• Datos biométricos de identificación (cuando aplique por el servicio contratado)

Datos para fabricación de credenciales PVC

• Fotografía del titular de la credencial (empleado, alumno o persona autorizada)
• Nombre completo, cargo o grado escolar
• Número de empleado, matrícula o identificador único
• Logotipo e identidad visual de la empresa o institución
• Fecha de vigencia de la credencial
• Datos codificados en chip NFC o código QR (identificador del titular, permisos de acceso)
• Datos de contacto del solicitante (para cotización, facturación y entrega del pedido)

Datos para servicios de fotografía profesional

• Fotografías capturadas durante las sesiones (producto, credenciales, generación escolar)
• Imagen del rostro de personas fotografiadas (empleados, alumnos y personal escolar)
• Nombre y datos de identificación de las personas fotografiadas (para asociar la imagen al titular)
• Datos de la institución o empresa contratante (nombre, logo, datos de contacto)
• Grado, grupo y datos académicos (para fotos de generación y composiciones escolares)
• Datos de contacto del solicitante (para cotización, entrega y facturación)

Datos para fabricación digital y corte CNC

• Archivos de diseño proporcionados por el cliente (DXF, DWG, AI, SVG, STL, modelos 3D)
• Especificaciones técnicas del proyecto (materiales, dimensiones, acabados)
• Nombre, teléfono y correo del solicitante
• Dirección de entrega (cuando aplique envío físico)
• Datos de facturación (RFC, razón social, régimen fiscal)

Datos para producción visual y branding

• Materiales de marca existentes (logotipos, paleta de colores, tipografía, manual de identidad)
• Información del negocio o proyecto (nombre, giro, público objetivo, competencia)
• Contenido visual proporcionado por el cliente (fotografías, textos, recursos gráficos)
• Credenciales de acceso a redes sociales (cuando el servicio incluya gestión de contenido)
• Datos de contacto y facturación del solicitante

3. Finalidades del Tratamiento

Si no desea que sus datos sean tratados para finalidades secundarias, puede indicarlo enviando un correo a hola@utzilthink.com.

4. Facturación Electrónica (CFDI)

Si usted utiliza nuestros servicios de facturación electrónica, requerimos el tratamiento de datos fiscales adicionales necesarios para cumplir con las disposiciones del Servicio de Administración Tributaria (SAT):

Sobre su Certificado de Sello Digital (CSD)

Sus archivos CSD (.cer y .key) y la contraseña asociada se almacenan con cifrado AES-256 en reposo. La contraseña jamás se almacena en texto plano. Estos datos se utilizan exclusivamente para firmar y timbrar sus comprobantes fiscales ante el PAC autorizado por el SAT. Usted puede revocar el acceso y eliminar sus archivos CSD en cualquier momento desde la configuración de su cuenta.

Datos fiscales tratados

• RFC del emisor y receptor de facturas
• Razón social, régimen fiscal y domicilio fiscal
• Conceptos, montos e impuestos de cada CFDI emitido
• UUID (folio fiscal) asignado por el SAT
• Archivos XML y PDF de cada comprobante generado

Los CFDI generados se transmiten al PAC (Proveedor Autorizado de Certificación) registrado ante el SAT para su timbrado. Esta transferencia es obligatoria por regulación fiscal mexicana y no requiere consentimiento adicional. Los comprobantes se conservan durante el periodo legal de 5 años establecido por el Código Fiscal de la Federación.

5. Procesamiento de Pagos (Stripe)

Utilizamos Stripe, Inc. como procesador de pagos para gestionar suscripciones y transacciones de forma segura. Stripe es una empresa certificada como PCI DSS Nivel 1, el estándar de seguridad más alto de la industria de pagos.

Datos procesados por Stripe

• Número de tarjeta de crédito/débito (manejado exclusivamente por Stripe)
• Fecha de vencimiento y código de seguridad (CVV)
• Nombre del titular de la tarjeta
• Dirección de facturación asociada a la tarjeta

Importante

Nunca almacenamos datos completos de tarjetas de crédito o débito en nuestros servidores. Los datos sensibles de pago son gestionados directamente por Stripe a través de sus elementos seguros (Stripe Elements). Solo almacenamos un identificador de referencia (token) y los últimos 4 dígitos de la tarjeta para su identificación. Para más información, consulte la política de privacidad de Stripe.

6. Servicios de Fotografía Profesional

Utzil Think presta servicios de fotografía profesional que incluyen fotografía de producto, fotografía para credenciales corporativas y escolares, y fotografía de generación escolar (preescolar, primaria y secundaria). El tratamiento de datos personales en estos servicios merece atención especial.

Fotografía de producto

Para sesiones de fotografía de producto recabamos imágenes de los productos del cliente, especificaciones de estilo y ambientación, marca y logotipo del cliente, y datos de contacto y facturación. Este tipo de sesión no involucra datos personales de terceros.

Fotos para credenciales

Para la captura de fotografías destinadas a credenciales corporativas o escolares recabamos la fotografía del rostro del titular, nombre completo, cargo o matrícula, datos de la empresa o escuela, y el listado de personas a fotografiar. Este servicio puede involucrar menores de edad cuando se trate de credenciales escolares.

Fotos de generación escolar

Para fotografías de generación recabamos la foto individual de cada alumno, foto grupal por salón, nombre, grado y grupo de cada alumno, así como el logo y datos de la institución educativa. Este servicio involucra menores de edad — consulte la sección 14 para información detallada sobre el tratamiento de sus datos.

Tratamiento de las fotografías

• Captura: las fotografías se toman en sesión presencial (en sitio o estudio) utilizando equipo profesional. El fotógrafo es personal de Utzil Think o colaborador con acuerdo de confidencialidad firmado
• Almacenamiento temporal: las imágenes se almacenan en equipos cifrados durante la sesión y se transfieren a servidores seguros para su edición
• Edición y retoque: las fotografías son editadas por personal autorizado; no se subcontratan servicios de edición a terceros sin autorización del cliente
• Entrega: las imágenes finales se entregan al cliente mediante enlace seguro con acceso temporal, o en medio físico según lo acordado
• Eliminación: las fotografías se eliminan de nuestros servidores y equipos dentro de los 90 días posteriores a la entrega final, salvo acuerdo distinto con el cliente
• Uso comercial: Utzil Think no utilizará las fotografías capturadas para fines publicitarios, portafolio o redes sociales sin el consentimiento expreso y por escrito del cliente o titular de la imagen

Propiedad de las imágenes

Las fotografías entregadas son propiedad del cliente contratante. Utzil Think no retiene derechos de uso sobre las imágenes una vez entregadas y eliminadas de sus sistemas. En el caso de fotos de personas identificables (empleados, alumnos), la responsabilidad del uso posterior recae en el cliente o la institución que contrató el servicio.

Cuando el servicio de fotografía involucre a menores de edad (fotos de generación, credenciales escolares), la institución educativa contratante es responsable de contar con el consentimiento de los padres o tutores antes de la sesión fotográfica. Consulte la sección 14 para información detallada sobre el tratamiento de datos de menores.

7. Fabricación Digital y Productos Físicos

Utzil Think ofrece servicios de fabricación digital que incluyen corte CNC router, impresión 3D (FDM y resina), corte y grabado láser, prototipado rápido, producción en serie corta y fabricación de credenciales PVC con tecnología NFC/QR. Estos servicios implican el tratamiento de datos personales y archivos del cliente.

Archivos de diseño del cliente

• Los archivos de diseño (DXF, DWG, AI, SVG, STL, modelos 3D, PDF vectorizados) que el cliente proporcione son tratados como información confidencial
• Los archivos se utilizan exclusivamente para la fabricación del proyecto solicitado y no se comparten con terceros
• Los diseños son propiedad intelectual del cliente; Utzil Think no adquiere derechos sobre los mismos
• Una vez completado y entregado el proyecto, los archivos se eliminan de nuestros sistemas dentro de los 30 días siguientes
• No publicamos fotografías de trabajos terminados sin autorización escrita del cliente

Credenciales PVC con NFC/QR

La fabricación de credenciales PVC implica el tratamiento de datos personales que se imprimen en la tarjeta y/o se codifican en el chip NFC o código QR:

• Datos impresos: fotografía, nombre, cargo o grado, matrícula o número de empleado, logo institucional y fecha de vigencia
• Datos en chip NFC/QR: identificador único del titular, URL de perfil digital, permisos de acceso y datos de autenticación cifrados
• Seguridad en fabricación: los datos de impresión se procesan en equipos aislados y las tarjetas defectuosas se destruyen físicamente
• Eliminación post-entrega: los archivos de impresión y datos personales se eliminan 30 días después de la entrega del pedido

Datos de cotización, envío y facturación

Para servicios de fabricación digital, recabamos datos de contacto (nombre, teléfono, correo electrónico, dirección de entrega) y datos fiscales (RFC, razón social) necesarios para la cotización, producción, envío y facturación del pedido. Estos datos se conservan durante el período requerido por la legislación fiscal (5 años para comprobantes de facturación) y se utilizan exclusivamente para la relación comercial.

8. Uso de Inteligencia Artificial

Utzil Think utiliza herramientas de inteligencia artificial (IA) como apoyo en algunos de sus procesos internos y servicios. Es importante que usted conozca cómo y cuándo se emplea esta tecnología en relación con sus datos:

Áreas donde se puede utilizar IA

• Desarrollo de software: herramientas de asistencia para generación y revisión de código, optimización de algoritmos y automatización de pruebas durante el desarrollo de plataformas y aplicaciones para clientes
• Diseño y producción visual: herramientas de IA generativa para generación de propuestas de diseño, retoque fotográfico asistido, creación de contenido visual y apoyo en procesos creativos de branding
• Atención al cliente: chatbots o asistentes virtuales para responder consultas frecuentes, dirigir solicitudes al área correspondiente y agilizar la comunicación inicial
• Análisis de datos y reportes: procesamiento de datos agregados y anonimizados para generación de insights, detección de patrones de uso y mejora de los servicios de la plataforma
• Seguridad y detección de fraude: algoritmos para identificar patrones de acceso sospechosos, intentos de fraude en transacciones y comportamiento anómalo en la plataforma

Compromisos sobre el uso de IA

• No entrenamos modelos con sus datos: los datos personales de nuestros usuarios y clientes no se utilizan para entrenar, ajustar o mejorar modelos de inteligencia artificial propios ni de terceros
• Minimización de datos: cuando se utilizan herramientas de IA de terceros, se envía la mínima cantidad de información necesaria y, siempre que sea posible, se anonimiza o se elimina la identificación personal antes del procesamiento
• Proveedores confiables: solo utilizamos herramientas de IA de proveedores que cumplen con estándares de privacidad reconocidos y que no retienen datos de las consultas realizadas
• Supervisión humana: todas las decisiones que afecten directamente a personas (evaluación de créditos, acceso a servicios, procesamiento de solicitudes ARCO) son revisadas y validadas por personal humano capacitado
• Sin perfilamiento automatizado: no se toman decisiones exclusivamente automatizadas que produzcan efectos jurídicos sobre los titulares de los datos o les afecten significativamente
• Transparencia: cuando un producto o servicio que le prestemos incorpore funcionalidades de IA que procesen sus datos personales, se lo informaremos de manera clara y oportuna

Fotografías y contenido visual con IA

Cuando utilicemos herramientas de IA para retoque fotográfico, generación o edición de contenido visual relacionado con un proyecto de cliente, lo haremos exclusivamente con el contenido proporcionado o autorizado por el cliente. Las fotografías de personas (especialmente menores de edad) no se procesan mediante herramientas de IA generativa sin consentimiento expreso del titular o su representante legal.

9. Transferencia de Datos

Sus datos personales pueden ser transferidos a los siguientes terceros, en cumplimiento de las obligaciones derivadas de la relación jurídica entre usted y el Responsable, o por disposición legal:

• PAC autorizado (SAT): timbrado de CFDI y validación fiscal (obligación legal)
• Stripe, Inc.: procesamiento seguro de pagos con tarjeta (relación contractual)
• Proveedores de infraestructura cloud: alojamiento, cómputo y respaldo de datos en servidores seguros (relación contractual)
• Servicios de mensajería (email/SMS/WhatsApp): envío de facturas, notificaciones, alertas y soporte (relación contractual)
• Proveedores de análisis y monitoreo: monitoreo de rendimiento, detección de errores y mejora del servicio (interés legítimo)
• Instituciones financieras: dispersión de créditos y verificación bancaria (relación contractual)
• Autoridades competentes: cuando sea requerido por ley, orden judicial o procedimiento legal (obligación legal)

10. Derechos ARCO

Conforme a la LFPDPPP, usted tiene derecho a ejercer en cualquier momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO) respecto a sus datos personales:

• Acceso: conocer qué datos personales tenemos de usted, para qué los utilizamos y las condiciones del uso que les damos
• Rectificación: solicitar la corrección de su información personal en caso de que esté desactualizada, sea inexacta o incompleta
• Cancelación: solicitar la eliminación de sus datos de nuestros registros cuando considere que no están siendo utilizados adecuadamente
• Oposición: oponerse al uso de sus datos personales para fines específicos, particularmente para finalidades secundarias

Para ejercer cualquiera de estos derechos, envíe su solicitud indicando:

• Nombre completo del titular y medio de contacto para comunicarle la respuesta
• Copia de identificación oficial vigente (INE, pasaporte) para acreditar su identidad
• Descripción clara y precisa de los datos personales y el derecho que desea ejercer
• Cualquier documento o información que facilite la localización de los datos
• En caso de actuar mediante representante, poder simple otorgado ante testigos o carta poder firmada

Email: hola@utzilthink.com

WhatsApp: +52 55 1757 7501

Responderemos en un plazo máximo de 20 días hábiles conforme a la LFPDPPP. La resolución adoptada se comunicará al titular dentro de los 15 días hábiles siguientes a la fecha en que se comunique la respuesta. En caso de que la solicitud resulte procedente, se hará efectiva dentro de los 15 días hábiles siguientes.

Asimismo, le informamos que usted tiene derecho a acudir ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) cuando considere que su derecho a la protección de datos personales ha sido vulnerado.

11. Medidas de Seguridad

Implementamos medidas de seguridad técnicas, administrativas y físicas para proteger sus datos personales contra daño, pérdida, alteración, destrucción o uso no autorizado, conforme a las mejores prácticas de la industria:

Medidas técnicas

• Cifrado SSL/TLS + AES-256: datos protegidos en tránsito y en reposo
• Autenticación robusta: con opción de 2FA y Google SSO
• PCI DSS vía Stripe: datos de pago nunca en nuestros servidores
• Respaldos diarios: copias automáticas con retención segura
• Control de acceso por roles: permisos granulares por usuario
• Monitoreo continuo: alertas y auditorías de seguridad

Medidas administrativas

• Políticas internas de protección de datos y confidencialidad para todo el personal
• Capacitación periódica al equipo en materia de seguridad de la información
• Acuerdos de confidencialidad con empleados, contratistas y proveedores
• Procedimientos documentados para la gestión de incidentes de seguridad
• Evaluaciones periódicas de riesgo y vulnerabilidades
• Principio de mínimo privilegio: cada usuario accede solo a los datos necesarios para su función

Medidas físicas

• Nuestros servidores se alojan en centros de datos con certificaciones de seguridad reconocidas internacionalmente
• Redundancia geográfica para garatizar la disponibilidad y recuperación ante desastres
• Acceso físico restringido a infraestructura crítica

Notificación de brechas

En caso de una vulneración de seguridad que afecte significativamente sus datos personales, le notificaremos de manera inmediata por correo electrónico y a través de la plataforma, describiendo la naturaleza del incidente, los datos afectados y las medidas adoptadas.

12. Uso de Cookies y Tecnologías de Rastreo

Utilizamos cookies y tecnologías similares para garantizar el correcto funcionamiento de la plataforma, mejorar su experiencia y analizar el uso del servicio. A continuación detallamos los tipos de cookies que empleamos:

• Cookies esenciales (estrictamente necesarias): Indispensables para el funcionamiento básico de la plataforma, incluyendo autenticación de usuarios, gestión de sesiones, protección CSRF (Cross-Site Request Forgery), preferencias de idioma y configuración de seguridad. No se pueden desactivar.
• Cookies de sesión: Mantienen su sesión activa mientras navega por la plataforma, guardan preferencias temporales (como filtros de búsqueda o última página visitada) y se eliminan automáticamente al cerrar el navegador.
• Cookies de persistencia: Recuerdan sus preferencias y configuraciones para futuras visitas (modo oscuro/claro, idioma, columnas visibles en tablas). Tienen una duración máxima de 1 año.
• Cookies analíticas: Nos ayudan a entender cómo utiliza la plataforma, qué secciones visita con mayor frecuencia y dónde se presentan errores, lo que nos permite mejorar continuamente la experiencia. Estos datos se agregan de forma anónima.
• Cookies de terceros: Servicios como Google Analytics, Stripe y proveedores de autenticación (Google SSO) pueden establecer sus propias cookies. Estas se rigen por las políticas de privacidad de cada proveedor.

Control de cookies

Puede configurar su navegador para rechazar todas o algunas cookies, o para que le notifique cuando se envíe una cookie. Tenga en cuenta que si desactiva las cookies esenciales, es posible que algunas funciones de la plataforma no estén disponibles o no funcionen correctamente. Para más información sobre cómo gestionar cookies, consulte la documentación de su navegador.

13. Conservación de Datos

Conservaremos sus datos personales durante el tiempo que mantenga una cuenta activa y durante el período necesario para cumplir con nuestras obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos. Los períodos específicos de retención son:

• Datos de cuenta: mientras la cuenta esté activa + 30 días tras la baja (relación contractual)
• Comprobantes fiscales (CFDI): 5 años a partir de la fecha de emisión (Código Fiscal de la Federación, Art. 30)
• Archivos CSD (.cer, .key): hasta que usted los elimine o cancele su cuenta (consentimiento del titular)
• Registros de transacciones de pago: 5 años posteriores a la transacción (regulaciones financieras)
• Datos escolares de alumnos: mientras el alumno esté activo + ciclo escolar completo tras la baja (instrucciones de la institución)
• Fotografías de alumnos: hasta el final del ciclo escolar vigente o eliminación por la institución (consentimiento del tutor)
• Datos crediticios: duración del crédito + 5 años tras la liquidación (regulaciones financieras)
• Datos para credenciales PVC: hasta la entrega del pedido + 30 días para reprints (relación contractual)
• Fotografías de sesiones profesionales: hasta la entrega final al cliente + 90 días (relación contractual)
• Archivos de diseño (CNC, 3D, láser): hasta la entrega del proyecto + 30 días (relación contractual)
• Materiales de branding y diseño: duración del proyecto + 90 días tras entrega (relación contractual)
• Registros de actividad (logs): 12 meses (seguridad y auditoría)
• Cookies analíticas: hasta 12 meses o hasta que las elimine (consentimiento)

Una vez cumplido el período de retención, los datos serán eliminados de forma segura mediante procesos de borrado irreversible o anonimización, de manera que no puedan ser recuperados ni asociados a persona alguna. En caso de litigio pendiente, los datos relevantes podrán conservarse hasta la resolución definitiva del mismo.

14. Datos de Menores de Edad

14.1 Marco legal aplicable

Utzil Think reconoce que los datos personales de menores de edad requieren una protección reforzada conforme a la legislación mexicana. El tratamiento de estos datos se rige por:

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) — Arts. 1, 3, 8 y 9
• Reglamento de la LFPDPPP — Art. 89: tratamiento de datos de menores de edad o personas en estado de interdicción
• Ley General de los Derechos de Niñas, Niños y Adolescentes — Capítulo Décimo Séptimo: Derecho a la Intimidad
• Lineamientos del Aviso de Privacidad del INAI — Sección relativa a menores de edad
• Convención sobre los Derechos del Niño (ONU) — Art. 16: protección contra injerencias en la vida privada

14.2 Roles y responsabilidades

Los datos personales de menores de edad gestionados a través de nuestros módulos institucionales y escolares involucran dos figuras claramente diferenciadas:

Responsable del Tratamiento — La institución educativa contratante. Define las finalidades del tratamiento, obtiene el consentimiento de padres/tutores, determina qué datos se recaban, gestiona los derechos ARCO de los titulares, define las políticas de retención y eliminación, y es responsable ante el INAI.

Encargado del Tratamiento — Utzil Think. Procesa datos conforme a instrucciones de la institución, implementa medidas de seguridad técnicas y administrativas, no decide sobre las finalidades del tratamiento, garantiza la confidencialidad del personal con acceso, notifica incidentes de seguridad a la institución y elimina datos al término de la relación contractual.

14.3 Tipos de datos de menores que se tratan

Los datos de menores recabados a través de las instituciones educativas pueden incluir, según la configuración del servicio contratado:

• Identificación: nombre completo, CURP, fecha de nacimiento y género — para registro escolar, emisión de credenciales e identificación
• Imagen: fotografía del alumno — para credencial escolar, foto de generación e identificación visual
• Académicos: grado, grupo, turno, matrícula, calificaciones y asistencia — para gestión escolar, reportes académicos y comunicación con padres
• Contacto familiar: nombre del padre/madre/tutor, teléfono y correo electrónico — para comunicación escolar, notificaciones y emergencias
• Salud (si aplica): alergias, tipo de sangre y condiciones médicas relevantes — para atención de emergencias y servicio de cafetería (alergias alimentarias)
• Cafetería: saldo, historial de consumo y restricciones alimentarias — para servicio de alimentación escolar y control de consumo

14.4 Consentimiento parental

El tratamiento de datos de menores de edad requiere el consentimiento expreso e informado de quien ejerce la patria potestad o tutela legal, conforme al Art. 89 del Reglamento de la LFPDPPP. La institución educativa es responsable de:

• Obtener el consentimiento por escrito del padre, madre o tutor legal antes de ingresar datos del menor al sistema
• Informar claramente las finalidades del tratamiento y los datos que se recabarán
• Verificar la identidad y legitimidad de quien otorga el consentimiento
• Conservar evidencia documental del consentimiento otorgado
• Permitir la revocación del consentimiento en cualquier momento sin necesidad de justificación

En caso de que se recaben datos sensibles de menores (como información de salud, alergias o condiciones médicas), la institución deberá obtener el consentimiento expreso y por escrito del padre/tutor, informando de manera específica cada dato sensible que será tratado y la finalidad concreta de su uso.

14.5 Tratamiento de fotografías de menores

Las fotografías de alumnos menores de edad reciben un nivel de protección especial dado que constituyen datos biométricos y de imagen. Aplicamos las siguientes medidas:

• Cifrado en reposo: las fotografías se almacenan cifradas con AES-256 en servidores seguros con acceso restringido
• Control de acceso: solo personal autorizado de la institución puede visualizar las fotografías, mediante tokens de acceso temporales
• Prohibición de uso comercial: las imágenes jamás se utilizan para publicidad, marketing, perfilamiento ni se comparten con terceros
• Eliminación segura: al finalizar el ciclo escolar o la relación contractual, las fotografías se eliminan de forma definitiva e irrecuperable
• Auditoría de acceso: se mantiene un registro de cada acceso a las fotografías: quién, cuándo y desde qué dispositivo
• Uso limitado: las fotografías se usan exclusivamente para credenciales, fotos de generación y la identificación del alumno dentro del sistema

14.6 Compromisos de protección reforzada

En cumplimiento con el interés superior del menor y las obligaciones legales aplicables, Utzil Think se compromete a:

• Minimización de datos: solo se recaban los datos estrictamente necesarios para la prestación del servicio educativo contratado por la institución
• Limitación de finalidad: los datos de menores se utilizan exclusivamente para las finalidades acordadas con la institución educativa, sin excepción
• Prohibición de transferencia: los datos de menores nunca se comparten, venden, ceden o transfieren a terceros ajenos a la institución educativa
• Prohibición de perfilamiento: no se utiliza la información de menores para crear perfiles de comportamiento, publicidad dirigida, analítica comercial ni toma de decisiones automatizadas
• Aislamiento de datos: los datos de cada institución educativa están lógicamente separados; ninguna institución puede acceder a los datos de otra
• Personal capacitado: todo el personal de Utzil Think con acceso potencial a datos de menores firma acuerdos de confidencialidad y recibe capacitación en protección de datos de menores
• Notificación de incidentes: en caso de una vulneración de seguridad que afecte datos de menores, se notificará a la institución educativa en un plazo máximo de 72 horas para que esta informe a los padres/tutores y al INAI según corresponda
• Eliminación al término: al finalizar la relación contractual con la institución, todos los datos de menores serán eliminados de forma segura, incluyendo respaldos, en un plazo no mayor a 30 días naturales

14.7 Derechos de padres, madres y tutores

Los padres, madres o tutores legales de los menores cuyos datos son tratados a través de nuestros sistemas tienen derecho a:

• Acceder a los datos personales de su hijo/a que obran en el sistema
• Rectificar cualquier dato inexacto o incompleto
• Cancelar el tratamiento y solicitar la eliminación de los datos, incluyendo fotografías
• Oponerse al tratamiento de datos específicos (por ejemplo, la toma de fotografías)
• Revocar el consentimiento previamente otorgado, sin efectos retroactivos
• Conocer qué datos se han recabado, con qué finalidad y quién ha tenido acceso a ellos
• Solicitar la portabilidad de los datos en un formato estructurado y de uso común

Para ejercer estos derechos, el padre/madre/tutor deberá dirigir su solicitud a la institución educativa correspondiente, quien canalizará la solicitud a través de los mecanismos establecidos. En caso de dificultad, también puede contactar directamente a hola@utzilthink.com indicando la institución y los datos del menor.

Nuestros servicios no están dirigidos a menores de 18 años de forma directa. No recabamos intencionalmente datos personales de menores sin la intermediación de una institución educativa contratante. Los menores no pueden crear cuentas de usuario por sí mismos.

Si tenemos conocimiento de que hemos recabado datos personales de un menor de edad sin el consentimiento verificable de su padre/madre/tutor, procederemos a eliminar dicha información de nuestros sistemas de manera inmediata. Si usted tiene conocimiento de que un menor nos ha proporcionado datos sin la autorización correspondiente, le rogamos contactarnos a hola@utzilthink.com.

14.8 Retención y eliminación de datos de menores

• Datos de identificación: mientras el menor esté inscrito en la institución — eliminación 30 días tras baja o fin de contrato
• Fotografías: ciclo escolar vigente — eliminación al cierre del ciclo escolar o a solicitud del padre/tutor
• Calificaciones y asistencia: según política de la institución (normalmente el ciclo escolar) — eliminación 30 días tras fin de contrato
• Datos de salud/alergias: mientras el menor esté inscrito — eliminación inmediata tras baja o solicitud del padre/tutor
• Historial de cafetería: ciclo escolar vigente — eliminación 30 días tras cierre del ciclo

15. Cambios al Aviso de Privacidad

Nos reservamos el derecho de efectuar modificaciones o actualizaciones al presente aviso de privacidad en cualquier momento, para atender novedades legislativas, políticas internas, nuevos requerimientos para la prestación de nuestros servicios o prácticas del mercado.

Cualquier cambio sustancial será notificado a través de los siguientes medios:

• Publicación del aviso actualizado en nuestro sitio web con la nueva fecha de última actualización
• Notificación por correo electrónico a la dirección registrada en su cuenta
• Aviso destacado dentro de la plataforma al iniciar sesión

Le recomendamos revisar periódicamente este aviso para estar informado sobre cómo protegemos sus datos personales. El uso continuado de nuestros servicios después de la publicación de cambios constituye su aceptación de los mismos.

16. Contacto

Si tiene preguntas, comentarios o inquietudes sobre este aviso de privacidad, sobre el tratamiento de sus datos personales, o desea ejercer cualquiera de sus derechos, puede contactarnos a través de los siguientes medios:

Departamento de Privacidad

• Email de privacidad: hola@utzilthink.com
• Email general: hola@utzilthink.com
• WhatsApp: +52 55 1757 7501
• Sitio web: utzilthink.com
• Ubicación: Estado de México, México
• Horario de atención: Lunes a viernes de 9:00 a 18:00 hrs (hora centro de México)

Para solicitudes relacionadas con derechos ARCO o protección de datos personales, utilice preferentemente el correo hola@utzilthink.com para garantizar el seguimiento adecuado de su solicitud.

Consentimiento

Al utilizar nuestros servicios y proporcionar sus datos personales, usted otorga su consentimiento expreso para el tratamiento de los mismos conforme a lo establecido en el presente aviso de privacidad.

En el caso de datos personales sensibles (fotografías de menores, información de salud, datos biométricos), el consentimiento se solicitará de forma expresa y por escrito a través de la institución contratante.

Si no está de acuerdo con los términos aquí descritos, le solicitamos abstenerse de proporcionar sus datos personales o de utilizar nuestros servicios. Puede revocar su consentimiento en cualquier momento enviando una solicitud a hola@utzilthink.com.