Aviso de Privacidad Integral

1. Responsable del tratamiento

Bernardo Elizondo Cantú (en lo sucesivo, «Marca Clara» o «nosotros»), con domicilio en Calle María de los Ángeles 211, Col. Jerónimo Siller, San Pedro Garza García, Nuevo León, CP 66250, es responsable del tratamiento de tus datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

2. Datos que recabamos

Nuestro servicio se basa en información pública del Registro de Marcas del IMPI (Art. 22 LFPPI y Art. 14 LGTAIP). Los datos que recabamos varían según la modalidad del servicio.

2.1 Búsqueda gratuita y Dictamen

Para la búsqueda gratuita en /buscar y el Dictamen Técnico de Viabilidad Fonética ($499 MXN), recabamos:

• Término de búsqueda: el nombre de marca que ingresas en el buscador y la clase Niza seleccionada.
• Datos técnicos: hash SHA-256 de tu dirección IP (no la IP en texto plano), hash de tu user-agent, referrer HTTP.
• Correo electrónico (opcional): solo si decides suscribirte a notificaciones, junto con la fecha y versión del aviso de privacidad que aceptaste.

En estas modalidades NO recabamos CURP, RFC, INE, NSS, datos biométricos, datos de salud, ni datos de menores de edad.

2.2 Registro de marca como apoderado ($3,499 MXN)

Cuando contratas el trámite de registro, por exigencia del marco regulatorio del IMPI y de la representación como apoderado bajo el Art. 27-I LFPPI y Art. 181 del Reglamento, además recabamos las siguientes categorías de datos personales (LFPDPPP Art. 8, Art. 16 fr. II y fr. V):

• RFC, CURP y régimen fiscal del solicitante, extraídos automáticamente de tu Constancia de Situación Fiscal mediante OCR (AWS Textract).
• Domicilio fiscal completo (calle, colonia, municipio, estado y código postal).
• Imagen de tu INE: se conserva cifrada en Supabase con la retención descrita en §10.
• Constancia de Situación Fiscal: el PDF fuente se elimina 24 horas después de la extracción OCR; los campos estructurados extraídos se conservan con tu expediente.
• Logotipo de la marca, descripción de productos o servicios y fecha de primer uso.
• Nombre, RFC y correo electrónico de los dos testigos que firman la carta poder.

Estos datos se tratan exclusivamente con base en la ejecución del contrato (Art. 37-II LFPDPPP) y, en su caso, en obligaciones legales (CFF, Código de Comercio y LFPPI).

3. Datos personales sensibles

No recabamos datos personales sensibles conforme al Art. 3 fracción VI LFPDPPP.

4. Finalidades del tratamiento

Finalidades primarias (necesarias para el servicio):

• Ejecutar la búsqueda contra los registros del IMPI.
• Prevenir abuso del servicio (rate limiting por IP hasheada).
• Medir uso agregado y anónimo (clase más buscada, volumen, etc.).

Finalidades secundarias (requieren tu consentimiento):

• Avisarte sobre el lanzamiento futuro de servicios de monitoreo continuo de marcas (Watch · próximamente). Este servicio aún no está activo; tu correo se conserva con base en consentimiento expreso para recibir el aviso de lanzamiento.
• Informarte del lanzamiento del dictamen detallado en PDF y del servicio de registro ante IMPI.

5. Transferencias

Transferimos datos estrictamente necesarios a los siguientes encargados para operar el servicio:

• IMPI (gob.mx) · destinatario del término de búsqueda, para consultar registros públicos. Base jurídica: Art. 22 LFPPI y Art. 14 LGTAIP (información pública).
• Supabase / Upstash (EUA) · almacenamiento y cache. Base: ejecución del contrato (Art. 37-II LFPDPPP).
• Resend (EUA) · entrega de correos transaccionales cuando te suscribes. Base: consentimiento expreso (Art. 37-I).
• Sentry (EUA) · monitoreo de errores. Aplicamos filtros automáticos para no transmitir datos personales.
• Vercel (EUA) · hosting del sitio web.
• Stripe (EUA / Irlanda): procesamiento de pagos del Dictamen ($499) y Registro ($3,499). Recibe correo, RFC opcional y datos de tarjeta o referencia OXXO. Base: ejecución del contrato (Art. 37-II).
• Mifiel (México): firma electrónica avanzada de la carta poder (Art. 97 del Código de Comercio y NOM-151). Recibe nombre, RFC, correo y PDF de la carta poder de los tres firmantes (poderdante y dos testigos). Conservación legal del firmado por 5 años. Base: ejecución del contrato.
• Facturapi (México): emisión de CFDI ante el SAT cuando solicitas factura. Recibe RFC, razón social, régimen fiscal y domicilio fiscal. Base: obligación legal (Art. 29 y 29-A CFF).
• Amazon Web Services / Textract (región sa-east-1, São Paulo, Brasil): extracción OCR de tu Constancia de Situación Fiscal en el flujo de Registro. La imagen se elimina 24 horas después de la extracción. Base: ejecución del contrato.
• Google (Gemini API) (EUA): análisis de distintividad bajo Art. 173 fr. I/I Bis/IV/VI LFPPI. Recibe únicamente nombre de marca, clase Niza y descripción de productos o servicios. No se envía correo, IP, identificadores ni datos del titular. Base: consentimiento expreso al pulsar el botón «Analizar distintividad» en la búsqueda gratuita; ejecución del contrato cuando el análisis forma parte del Dictamen, Inventar o Registro pagado.
• Hetzner (Alemania) · hosting del worker de firma y envío a IMPI (VPS2). Recibe INE escaneada, RFC, CURP, domicilio del solicitante y la carta poder firmada (PDF) durante el flujo de Registro. Base: ejecución del contrato (Art. 37-II LFPDPPP).
• Cloudflare (EUA) · DNS y CDN edge. Recibe metadatos de tráfico e IP en tránsito. Base: ejecución del contrato (Art. 37-II LFPDPPP).

6. Derechos ARCO

En cualquier momento puedes solicitar el acceso, rectificación, cancelación u oposición al tratamiento de tus datos (derechos ARCO), así como revocar el consentimiento, escribiendo a:

• Correo: arco@smartley.org

Responderemos tu solicitud en un plazo máximo de 20 días hábiles conforme al Art. 32 LFPDPPP. Deberás acompañar copia de tu identificación para acreditar titularidad.

7. Medios para limitar el uso

Puedes darte de baja del envío de correos haciendo clic en el enlace de «cancelar suscripción» al pie de cada mensaje, o escribiendo a privacidad@smartley.org.

8. Uso de cookies y tecnologías similares

Este sitio utiliza un número mínimo de cookies estrictamente operativas:

• Cookies del proveedor CDN (cuando aplique): actualmente operamos Cloudflare en modo solo-DNS, por lo que su cookie de gestión anti-bot (__cf_bm) no se establece en este sitio. Si en el futuro activamos la capa de protección anti-bot de Cloudflare, dicha cookie se establecería con fines exclusivos de mitigación de tráfico automatizado y caducaría al cierre del navegador.
• Cookies de sesión de Sentry: agrupación de errores por sesión técnica del cliente, sin identificar al usuario.
• Almacenamiento local del navegador: guarda preferencias de sesión (p.ej. tu token de búsqueda) en tu propio dispositivo, sin transmitirse a terceros.

No utilizamos cookies de publicidad, rastreo cross-site ni píxeles de terceros. Próximamente publicaremos un banner de consentimiento para que puedas administrar tu preferencia de cookies operativas.

9. Seguridad

Aplicamos medidas técnicas y administrativas razonables para proteger tus datos: conexiones HTTPS en todo el sitio, hash de IP en lugar de almacenar IPs en claro, acceso restringido a la base de datos, cifrado en tránsito y en reposo proporcionado por nuestros proveedores.

10. Conservación de datos

Los plazos de retención por tipo de dato son:

• Términos de búsqueda y hashes técnicos · máximo 12 meses, luego anonimizados o eliminados.
• Correos suscritos · hasta que te des de baja.
• Datos del dictamen pagado (marca analizada, clase, verdict) · indefinido, por ser un artefacto técnico generado sobre información pública del IMPI.
• Correo electrónico del comprador de Dictamen: anonimizado a solicitud ARCO en un máximo de 20 días hábiles conforme al Art. 32 LFPDPPP.
• Registros de pago (Stripe) · 5 años, por obligación fiscal (Art. 30 del Código Fiscal de la Federación).
• URL pública /v/:token · indefinida, salvo solicitud expresa de rotación vía soporte@smartley.org.
• URL pública /inventar/r/:token · indefinida, salvo solicitud expresa de rotación vía soporte@smartley.org. Los campos privados (brief, ipHash, costos internos, telemetría) se redactan en la vista pública. Conforme al Art. 32 LFPDPPP puedes solicitar la rotación o eliminación del token mediante derechos ARCO.
• URL pública /buscar/r/:token · indefinida, salvo solicitud expresa de rotación vía soporte@smartley.org. Los campos privados (hash de IP, hash de user-agent, referrer, latencia, fuente del tráfico) se redactan en la vista pública. Conforme al Art. 32 LFPDPPP puedes solicitar la rotación o eliminación del token mediante derechos ARCO.
• CFDI emitidos (Facturapi) · 5 años, por obligación fiscal (Art. 30 CFF).
• Carta poder firmada (Mifiel): 5 años por obligación fiscal (Art. 30 del Código Fiscal de la Federación).
• Documento fuente OCR (CSF): eliminado 24 horas después de la extracción; los campos estructurados extraídos se conservan con el expediente del Registro.
• Inputs al Análisis de Distintividad (Google): hasta 30 días en infraestructura de Google conforme a sus términos del API.

11. Datos de menores

El servicio está dirigido a personas mayores de edad. No recabamos datos de menores conscientemente. Si detectas que un menor nos envió datos, escríbenos a privacidad@smartley.org para eliminarlos.

12. Inteligencia artificial

El motor fonético del buscador (las 14 reglas Mexican-Spanish, la codificación metáfono-MX y el scoring Jaro-Winkler) es determinístico y local: las comparaciones contra el padrón IMPI se ejecutan en nuestros servidores sin intervención de modelos de lenguaje externos.

Sí utilizamos Google Gemini (gemini-3-flash-preview) para el Análisis de Distintividad bajo Art. 173 fr. I/I Bis/IV/VI LFPPI. Este análisis es una capa adicional, separada del motor fonético, y se ejecuta únicamente en cuatro superficies: Inventar, Dictamen, Registro y el botón opcional «Analizar distintividad» dentro de cada búsqueda gratuita. Mientras no actives ese botón, tu término de búsqueda nunca llega a Gemini.

Cuando el análisis sí se ejecuta, a Google solo se envían: nombre de marca, clase Niza y descripción de productos o servicios. No se envía tu correo, IP, identificadores ni datos del titular. Google retiene los inputs hasta 30 días para detección de abuso y caching conforme a sus términos del API; no los usa para entrenamiento. Base jurídica: consentimiento expreso al pulsar el botón en /buscar; ejecución del contrato cuando el análisis forma parte de un servicio pagado (Inventar, Dictamen, Registro).

13. Limitación de responsabilidad del servicio

Nuestros resultados son informativos, basados en registros públicos y reglas fonéticas documentadas. No constituyen asesoría legal individualizada. La decisión final sobre el registro de tu marca corresponde al IMPI.

14. Cambios al aviso

Podemos modificar este aviso. Publicaremos la versión vigente en/privacy con la fecha de última actualización. Si eres suscriptor, te notificaremos por correo los cambios sustanciales.

15. Brechas de seguridad

Si detectamos una vulneración a las medidas de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares, cumplimos con el Artículo 20 de la LFPDPPP y los Lineamientos del INAI:

• Notificamos a los titulares afectados de forma inmediata por correo electrónico, indicando la naturaleza del incidente, los datos comprometidos, las acciones correctivas en curso y las medidas que el titular puede tomar para protegerse.
• Reportamos el incidente al INAI dentro de las 72 horas siguientes a su confirmación, conforme a los Lineamientos sobre Notificación de Vulneraciones.
• Documentamos cada incidente y conservamos el registro durante 5 años para fines de auditoría.

Si tienes razones para creer que tus datos han sido vulnerados, repórtalo a privacidad@smartley.org. Investigaremos y te responderemos dentro de las 72 horas siguientes a la recepción del reporte.

16. Contacto y autoridad

Para dudas sobre este aviso, escríbenos a privacidad@smartley.org. Si consideras que tus derechos fueron vulnerados, puedes presentar queja ante el INAI en home.inai.org.mx.