Acuerdo de Tratamiento de Datos

El presente ATD tiene por objeto establecer los términos y condiciones bajo los cuales IANM, en su calidad de Encargado del tratamiento, procesará los datos personales de los Usuarios Finales del Responsable con el único propósito de prestar el servicio de asistencia jurídica con inteligencia artificial contratado.

Responsable: El despacho o empresa que suscribe los Términos de Uso de IANM y cuyos administradores aceptan el presente ATD al momento del registro.

Encargado: IANM — Inteligencia Artificial de Normativas Mexicanas, prestador del servicio SaaS.

Usuarios Finales: Los abogados, pasantes y demás colaboradores del Responsable que acceden a la plataforma como usuarios invitados o administradores.

Datos Personales: Toda información que identifique o haga identificable a los Usuarios Finales del Responsable.

Tratamiento: Cualquier operación sobre los Datos Personales, incluyendo recolección, uso, almacenamiento, transferencia y supresión.

El Encargado tratará los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable, las cuales quedan constituidas por (i) los Términos de Uso, (ii) el presente ATD y (iii) las configuraciones que el Responsable establezca dentro de la plataforma.

El Encargado no utilizará los Datos Personales para ningún fin distinto a la prestación del servicio contratado y, en particular, no empleará los datos del Responsable ni de sus Usuarios Finales para entrenar modelos de inteligencia artificial propios o de terceros.

El Encargado tratará exclusivamente las siguientes categorías de datos:

• Identificación: nombre completo de los Usuarios Finales.
• Contacto: dirección de correo electrónico.
• Organización: nombre del despacho o empresa.
• Credenciales: contraseñas almacenadas con hash bcrypt (nunca en texto plano).
• Actividad en la plataforma: consultas al asistente de IA, documentos cargados y su contenido, historial de conversaciones.
• Registros de acceso (audit logs): fecha/hora de inicio y cierre de sesión, dirección IP y navegador.

No se tratan datos de categorías especiales (salud, ideología, religión, biométricos) en los términos del Art. 3-VI LFPDPPP.

El Encargado implementa las siguientes medidas de seguridad administrativas, técnicas y físicas:

• Cifrado de contraseñas con bcrypt (factor de coste ≥ 10).
• Transmisión de datos cifrada mediante TLS 1.2+ (HTTPS).
• Control de acceso basado en roles (SUPERADMIN / TENANT_ADMIN / USUARIO).
• Registro de auditoría de eventos de acceso (login, logout) con IP y agente de usuario.
• Backups automáticos de base de datos con retención de 7 días.
• Acceso físico y lógico restringido a los servidores.
• Actualizaciones de seguridad periódicas del sistema operativo y dependencias.

El Responsable autoriza, mediante la aceptación del presente ATD, la contratación de los siguientes subencargados del tratamiento:

• OpenAI, Inc. / Anthropic PBC — Proveedores de modelos de lenguaje. Las consultas se envían sin datos de identificación directa del usuario final. Política: openai.com/policies · anthropic.com/legal/privacy.
• Hostinger International Ltd. — Infraestructura de servidores (VPS en Europa). Política: hostinger.com/privacy-policy.
• Hotmart Company — Procesamiento de pagos. Hotmart no accede a los Datos Personales del servicio; solo gestiona información de facturación. Política: hotmart.com/legal.

El Encargado notificará al Responsable con al menos 15 días de antelación cualquier modificación al listado de subencargados.

El Encargado garantiza que el personal con acceso a los Datos Personales del Responsable se encuentra sujeto a obligaciones de confidencialidad, ya sea mediante contrato, acuerdo de no divulgación o disposición legal aplicable.

El Encargado asistirá al Responsable en el cumplimiento de las solicitudes de ejercicio de derechos ARCO (Acceso, Rectificación, Cancelación u Oposición) de sus Usuarios Finales. El Encargado responderá las solicitudes que le traslade el Responsable en un plazo máximo de 5 días hábiles.

En caso de que el Encargado tenga conocimiento de una vulneración de seguridad que afecte los Datos Personales del Responsable, lo notificará a soporte@ianm.com.mx en un plazo no mayor a 72 horas desde que tuvo conocimiento del incidente, conforme al Art. 20 LFPDPPP. La notificación incluirá: naturaleza del incidente, datos afectados, medidas adoptadas y punto de contacto.

A la terminación del contrato de servicio, por cualquier causa, el Encargado procederá a la supresión segura de todos los Datos Personales del Responsable en un plazo máximo de 30 días naturales, salvo que una disposición legal obligue su conservación por un período determinado.

A solicitud del Responsable, formulada antes de la terminación, el Encargado entregará una exportación de los datos en formato legible (JSON o CSV) dentro del mismo plazo.

El Responsable podrá solicitar, con razonabilidad y previo aviso de 10 días hábiles, la puesta a disposición de los registros de auditoría de acceso relacionados con sus datos. El Encargado atenderá dichas solicitudes por escrito al correo soporte@ianm.com.mx.

El presente ATD tendrá la misma vigencia que el contrato de servicio entre las partes y quedará extinguido a su terminación, sin perjuicio de las obligaciones de confidencialidad y supresión de datos que sobreviven a dicha terminación.

El presente ATD se rige por la legislación mexicana, en particular la LFPDPPP, su Reglamento y los Lineamientos del INAI. Para cualquier controversia, las partes se someten a la jurisdicción de los tribunales competentes de la Ciudad de México, renunciando expresamente a cualquier otro fuero que pudiera corresponderles.