En ALO GestorHub tomamos la privacidad de los datos muy en serio. Este aviso integral explica de forma clara y en cumplimiento con la Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (publicada en el DOF el 20 de marzo de 2025 y vigente desde el 21 de marzo de 2025), qué datos personales recabamos, para qué los usamos, a quién se los transferimos, qué derechos tienes como titular, y cómo los protegemos.
1.Identidad del Responsable
El responsable del tratamiento de tus datos personales es:
- Nombre: Angel Alejandro Ortega Orta
- Régimen fiscal: Persona física con actividad empresarial
- RFC: OEOA9211016R0
- Nombre comercial: ALO GestorHub (operado por ALO Capital)
- Domicilio: Tepic, Nayarit, México
- Correo para asuntos de privacidad: hola@alogestorhub.com
- Sitio web: alogestorhub.com
En este Aviso de Privacidad, las referencias a "nosotros", "el Responsable" o "ALO GestorHub" aluden a la persona física antes identificada.
2.Datos Personales que Recabamos
Recabamos diferentes categorías de datos personales dependiendo de tu rol con nosotros. Distinguimos claramente entre datos personales, datos sensibles, y datos de terceros que nos confías como encargados del tratamiento.
2.1 De usuarios contratantes del sistema
- Nombre completo, correo electrónico, teléfono celular
- RFC y datos fiscales para facturación
- Nombre comercial de la agencia, consultorio o inmobiliaria
- Rol dentro de la organización
- Credenciales de acceso (la contraseña se almacena como hash criptográfico irreversible; nunca la conocemos)
- Datos de uso y actividad en la plataforma (logs, métricas de uso, tiempos de sesión)
- Datos de pago procesados a través de Stripe (nosotros no almacenamos números de tarjeta)
2.2 De clientes finales del usuario contratante
Estos datos los ingresa el usuario contratante en su cuenta, y nosotros los procesamos en calidad de encargados del tratamiento. El responsable original sigue siendo el usuario contratante.
Seguros:
- Nombre, RFC, teléfono, correo electrónico, código postal
- Datos de pólizas (número, aseguradora, tipo, vigencia, prima, comisión)
- Datos del bien asegurado cuando aplique
- Historial de renovaciones y siniestros
Médico (datos sensibles — requieren consentimiento expreso):
- Datos de identificación del paciente
- Datos de salud (síntomas, diagnósticos, tratamientos, historial clínico, recetas)
- Datos de contacto para agendas y recordatorios
- Firma digital y datos del prestador médico
Datos sensibles: Los datos de salud son datos personales sensibles conforme al artículo 3 de la NLFPDPPP. Su tratamiento requiere el consentimiento expreso y por escrito del titular (paciente), el cual obtiene directamente el profesional médico contratante, y cuyo resguardo jurídico corresponde al mismo conforme a la NOM-004-SSA3-2012 del expediente clínico.
Bienes Raíces:
- Nombre, teléfono, correo electrónico
- Preferencias de búsqueda (zona, presupuesto, tipo de propiedad)
- Historial de visitas, ofertas y operaciones
2.3 De prospectos y visitantes del sitio web
- Nombre y teléfono cuando interactúas con GestorBot
- Contenido de tu conversación con GestorBot
- Tipo de servicio de interés
2.4 De navegación (metadatos técnicos)
- Dirección IP, tipo de dispositivo, sistema operativo y navegador
- Páginas visitadas, tiempo de sesión y flujo de navegación
- Referrer (desde qué sitio llegaste)
- Identificadores de cookies y tecnologías similares (ver Sección 10)
3.Finalidades del Tratamiento
Conforme a la NLFPDPPP, distinguimos claramente entre finalidades necesarias (sin las cuales el servicio no puede prestarse) y finalidades voluntarias (a las que puedes oponerte sin afectar tu servicio).
3.1 Finalidades necesarias (primarias)
Son indispensables para prestar el servicio que contrataste. No requieren consentimiento adicional por ser parte de la relación contractual:
- Crear, gestionar y verificar tu cuenta en la plataforma
- Proveer acceso a los módulos y funcionalidades contratadas
- Almacenar y gestionar la información que tú ingresas
- Generar reportes, alertas y recordatorios que tú configuraste
- Operar GestorBot conforme a tus instrucciones
- Procesar pagos y emitir comprobantes fiscales
- Brindar soporte técnico y resolver incidencias
- Cumplir obligaciones legales, fiscales y contables a nuestro cargo
- Proteger la integridad de la plataforma y prevenir fraude o abuso
3.2 Finalidades voluntarias (secundarias)
Puedes oponerte en cualquier momento sin que eso afecte tu contratación:
- Envío de comunicaciones sobre nuevas funcionalidades y mejoras
- Invitación a participar en evaluaciones de satisfacción
- Análisis estadístico de uso agregado para mejorar el producto
- Envío ocasional de contenido educativo relacionado con tu industria
Para oponerte a estas finalidades voluntarias, envíanos un correo a hola@alogestorhub.com con el asunto "Oposición a finalidades secundarias". Procesaremos tu solicitud en un máximo de 5 días hábiles.
4.Consentimiento
La NLFPDPPP reconoce dos modalidades de consentimiento:
4.1 Consentimiento tácito
Cuando nos proporcionas tus datos voluntariamente y has tenido acceso a este Aviso de Privacidad, se entiende que otorgas tu consentimiento tácito para las finalidades necesarias descritas en la Sección 3.1.
4.2 Consentimiento expreso
Requerimos tu consentimiento expreso (activo e inequívoco) en estos casos:
- Para el tratamiento de datos sensibles (datos de salud en el vertical médico)
- Para cualquier transferencia internacional de datos a terceros (salvo excepciones legales)
- Para finalidades que la ley exija expresamente
Puedes revocar tu consentimiento en cualquier momento escribiendo a hola@alogestorhub.com. La revocación no tendrá efectos retroactivos y puede implicar la terminación del servicio cuando el consentimiento sea necesario para operarlo.
5.Uso de Inteligencia Artificial y Decisiones Automatizadas
ALO GestorHub utiliza tecnología de inteligencia artificial (a través de proveedores como Anthropic y OpenAI) para potenciar funcionalidades del servicio, principalmente el asistente virtual GestorBot.
5.1 ¿Para qué usamos IA?
- Comprensión y generación de respuestas en lenguaje natural al interactuar contigo o con tus clientes por WhatsApp u otros canales
- Clasificación automática de conversaciones y prospectos
- Sugerencias de respuestas y automatizaciones operativas
- Análisis agregado y anonimizado para mejorar el producto
5.2 Sobre decisiones automatizadas
GestorBot no toma decisiones automatizadas con efectos legales significativos sobre ti ni sobre tus clientes. No evaluamos solvencia crediticia, no decidimos automáticamente sobre contrataciones laborales, ni emitimos resoluciones que afecten derechos u obligaciones. GestorBot actúa como asistente conversacional, y las decisiones de negocio finales siempre las toma el usuario contratante humano.
5.3 Tu derecho a oponerte al tratamiento automatizado
Conforme a la NLFPDPPP vigente desde 2025, tienes derecho a:
- Conocer que tus datos están siendo procesados por sistemas automatizados de IA
- Solicitar intervención humana en cualquier interacción
- Oponerte al tratamiento automatizado de tus datos
- Solicitar una explicación sobre la lógica del procesamiento automatizado
Para ejercer cualquiera de estos derechos, escríbenos a hola@alogestorhub.com.
5.4 Datos usados para entrenamiento
Las conversaciones procesadas por GestorBot no se utilizan por defecto para entrenar modelos generales de IA de proveedores externos. Nuestros contratos con proveedores de IA incluyen cláusulas de no-retención y no-entrenamiento sobre datos del cliente cuando están disponibles.
6.Transferencia y Remisión de Datos
Tus datos no son vendidos ni cedidos con fines comerciales a terceros bajo ninguna circunstancia. Sin embargo, para operar el servicio, los compartimos con proveedores tecnológicos específicos (conocidos legalmente como "encargados") que actúan bajo nuestras instrucciones y con obligaciones contractuales equivalentes a las nuestras.
| Proveedor | Finalidad | País | Tipo |
|---|---|---|---|
| Supabase Inc. | Base de datos, autenticación y almacenamiento | EE.UU. (AWS) | Remisión* |
| Netlify Inc. | Alojamiento web | EE.UU. | Remisión* |
| Anthropic PBC | Procesamiento de lenguaje natural (GestorBot) | EE.UU. | Remisión* |
| Stripe Inc. | Procesamiento seguro de pagos (PCI-DSS) | EE.UU. | Remisión* |
| Resend | Envío de correos transaccionales | EE.UU. | Remisión* |
| Google LLC (Analytics) | Analítica agregada del sitio web | EE.UU. | Remisión (sujeta a consentimiento) |
| Microsoft Corp. (Clarity) | Análisis de comportamiento del sitio | EE.UU. | Remisión (sujeta a consentimiento) |
| Autoridades mexicanas | Cumplimiento de requerimientos legales | México | Transferencia por mandato legal |
| Auditores, abogados y contadores | Asesoría profesional bajo secreto | México | Transferencia bajo confidencialidad |
* Remisión: conforme al artículo 26 del Reglamento de la NLFPDPPP, estos proveedores son "encargados del tratamiento" y actúan bajo instrucciones de ALO GestorHub. No se considera una transferencia que requiera consentimiento adicional.
6.1 Transferencias internacionales
Varios de nuestros proveedores están ubicados en Estados Unidos. Estas transferencias son necesarias para prestar el servicio y están amparadas por contratos que imponen a los proveedores obligaciones de protección de datos equivalentes a las previstas en la ley mexicana. Seleccionamos proveedores con certificaciones de seguridad reconocidas (SOC 2, ISO 27001, PCI-DSS cuando aplica).
7.Derechos ARCO y otros derechos del titular
Como titular de datos personales tienes derecho a:
Acceso
Conocer qué datos tenemos sobre ti y cómo los usamos
Rectificación
Corregir datos inexactos, incompletos o desactualizados
Cancelación
Solicitar la eliminación de tus datos cuando proceda
Oposición
Oponerte al tratamiento para finalidades específicas
7.1 Derechos adicionales bajo la NLFPDPPP 2025
- Portabilidad: obtener tus datos en formato estructurado y portable para transferirlos a otro prestador
- Limitación del tratamiento: restringir el procesamiento mientras se resuelve una controversia
- Revocación del consentimiento: en cualquier momento, sin efectos retroactivos
- Oposición al tratamiento automatizado: con intervención humana cuando lo solicites (ver Sección 5)
7.2 Cómo ejercer tus derechos
Envía tu solicitud a hola@alogestorhub.com con el asunto "Solicitud ARCO — [tu nombre]", incluyendo:
- Nombre completo y correo electrónico registrado en la plataforma
- Descripción clara del derecho que deseas ejercer y sobre qué datos
- Documentos que acrediten tu identidad (INE o pasaporte vigente)
- Para representantes: carta poder e identificación del representante
Responderemos tu solicitud en un plazo máximo de 20 días hábiles contados desde la recepción completa. Si procede, tendremos 15 días hábiles adicionales para hacerla efectiva. El ejercicio de estos derechos es gratuito.
Importante sobre datos de terceros: Si eres un asegurado, paciente o cliente final cuyos datos fueron ingresados por un agente, médico o asesor que contrata nuestros servicios, el responsable de esos datos es dicho profesional (nosotros somos encargados). Para ejercer derechos ARCO sobre tus datos, dirígete directamente al profesional con quien tienes la relación. Podemos asistir al profesional a cumplir tu solicitud cuando él nos lo instruya.
8.Medidas de Seguridad
Implementamos medidas administrativas, técnicas y físicas razonables para proteger tus datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado.
8.1 Medidas técnicas
- Cifrado en tránsito mediante HTTPS/TLS 1.3
- Cifrado en reposo (AES-256) en la base de datos Supabase/AWS
- Contraseñas almacenadas únicamente en forma de hash criptográfico
- Aislamiento de datos por cliente mediante Row Level Security
- Respaldos automáticos con cifrado y retención limitada
- Monitoreo continuo de actividad y alertas de seguridad (Sentry)
- Dependencias de software actualizadas regularmente
8.2 Medidas administrativas
- Acceso a datos restringido por roles y principio de mínimo privilegio
- Autenticación de dos factores en sistemas críticos
- Acuerdos de confidencialidad con todo personal y colaboradores externos
- Contratos de tratamiento con cada proveedor (encargado)
- Capacitación interna periódica en protección de datos
8.3 Medidas físicas
- Infraestructura alojada en centros de datos certificados (SOC 2 Type II e ISO 27001 a través de nuestros proveedores)
- Control de acceso físico en data centers de nuestros proveedores
Ninguna medida de seguridad es infalible al 100%. Nos comprometemos a implementar las medidas que razonablemente correspondan al estado del arte y al tipo de datos tratados, pero no podemos garantizar la seguridad absoluta frente a ataques sofisticados o de nivel estatal.
9.Retención y Eliminación de Datos
Conservamos tus datos personales solo durante el tiempo necesario para cumplir las finalidades para las que fueron recabados, o el plazo que nos imponga la ley.
| Tipo de dato | Plazo de retención | Fundamento |
|---|---|---|
| Cuenta activa y datos operativos | Durante la vigencia del servicio | Prestación del contrato |
| Datos fiscales y contables | 5 años mínimo posterior a la última operación | Código Fiscal de la Federación |
| Datos tras cancelación de cuenta | 15 días para exportación + 90 días en respaldos | Política interna |
| Conversaciones con GestorBot (prospectos) | Hasta 12 meses desde el último contacto | Finalidad comercial |
| Logs de seguridad y auditoría | 12 meses | Seguridad e investigación |
| Datos anonimizados y agregados | Indefinido (sin identificación) | Mejora del producto |
Transcurridos los plazos, procedemos a la eliminación segura (borrado lógico, sobrescritura de respaldos y, cuando sea técnicamente posible, destrucción definitiva) o a la anonimización irreversible.
11.Menores de Edad
ALO GestorHub es un servicio dirigido exclusivamente a profesionales y empresas mayores de 18 años que contratan el uso de nuestra plataforma. No recabamos intencionalmente datos personales de menores de edad a través de los canales públicos del sitio.
En el vertical médico, el profesional contratante puede ingresar datos de pacientes menores de edad. En ese caso:
- La responsabilidad del consentimiento de los padres o tutores recae en el profesional médico contratante
- Nosotros actuamos como encargados del tratamiento, aplicando las mismas medidas de seguridad reforzadas
- El profesional debe cumplir con la NOM-004-SSA3-2012 y la Ley General de los Derechos de Niñas, Niños y Adolescentes
Si detectamos que por error se han ingresado datos de menores en canales públicos, procederemos a eliminarlos de inmediato al ser notificados.
12.Vulneraciones de Seguridad
En el evento poco probable de una vulneración de seguridad que afecte significativamente los derechos patrimoniales o morales de los titulares, nos comprometemos a:
- Notificar a los titulares afectados sin demora injustificada por correo electrónico
- Informar la naturaleza de la vulneración, los datos comprometidos y las medidas correctivas
- Reportar el incidente a la Secretaría Anticorrupción y Buen Gobierno cuando la ley lo exija
- Conservar evidencia del incidente y de las acciones tomadas
- Realizar un análisis de causa raíz y actualizar nuestras medidas de seguridad
13.Cambios al Aviso de Privacidad
Podemos actualizar este Aviso de Privacidad para reflejar cambios en nuestras prácticas, tecnología, requisitos legales, o factores relevantes. Los cambios sustanciales serán notificados a los usuarios registrados por correo electrónico con al menos 15 días naturales de anticipación.
La versión vigente siempre estará disponible en alogestorhub.com/privacidad.
14.Autoridad Reguladora y Contacto
14.1 Contacto con ALO GestorHub
- Correo: hola@alogestorhub.com
- Asunto sugerido: "Privacidad — [tu nombre]"
- Plazo de respuesta: 20 días hábiles
14.2 Autoridad reguladora
Si consideras que tus derechos han sido vulnerados, puedes presentar denuncia ante la autoridad competente:
Secretaría Anticorrupción y Buen Gobierno (dependencia del Poder Ejecutivo Federal)
Autoridad reguladora en materia de protección de datos personales en posesión de los particulares, conforme a la NLFPDPPP vigente desde el 21 de marzo de 2025, que abroga la LFPDPPP de 2010 y transfiere las competencias del extinto INAI.
Medio de impugnación: Contra las resoluciones de la Secretaría procede el juicio de amparo ante Juzgados de Distrito y Tribunales Colegiados de Circuito especializados en materia de acceso a la información pública y protección de datos personales.
Nota histórica: con la reforma constitucional de diciembre de 2024 y la expedición de la NLFPDPPP en marzo de 2025, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) fue extinto. Sus funciones en materia de protección de datos personales en posesión de los particulares se transfirieron a la Secretaría Anticorrupción y Buen Gobierno.
Este Aviso de Privacidad se rige por las leyes de los Estados Unidos Mexicanos, principalmente la Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento. Cualquier controversia derivada del mismo se someterá a la jurisdicción de los tribunales competentes de Tepic, Nayarit, México.