LEGAL

Versión 2.0-2026-05-06 · Actualizado el 6 de mayo de 2026 · Nolvira Tecnología Fiscal, S.A.S.

Aviso de Privacidad

Nolvira IA

Versión: 2.0-2026-05-06 Fecha de redacción: 6 de mayo de 2026 Vigencia: A partir de la fecha de publicación en https://nolvira.app Responsable: Nolvira Tecnología Fiscal, S.A.S.

Este documento agrupa los avisos de privacidad de Nolvira IA: aviso integral, política de privacidad bilingüe (parte en español), aviso simplificado y consentimiento de transferencia internacional.

Índice

  1. Aviso de Privacidad Integral
  2. Política de Privacidad
  3. Aviso de Privacidad Simplificado
  4. Consentimiento de Transferencia Internacional

DOCUMENTO 1: AVISO DE PRIVACIDAD INTEGRAL (VERSIÓN FINAL — 6 de mayo de 2026 — Reforma LFPDPPP 2025 aplicada)

1. Identidad y Domicilio del Responsable del Tratamiento

Responsable: Nolvira Tecnología Fiscal, S.A.S., Sociedad por Acciones Simplificada constituida conforme a la legislación mexicana, comercialmente identificada como Nolvira IA (en México) y Nolvira AI (en mercados internacionales), representada por su Administrador Único Luis Felipe Franzoni Mathieu.

  • RFC: [PENDIENTE - RFC PERSONA MORAL]
  • Régimen fiscal: RESICO (Régimen Simplificado de Confianza) para personas morales, o Régimen General de Personas Morales según corresponda
  • Domicilio fiscal: Tecoyotitla 320-2, Colonia Florida, Alcaldía Álvaro Obregón, Ciudad de México, C.P. 01030, México.
  • Sitio web: https://nolvira.app
  • Correo electrónico de privacidad: privacidad@nolvira.app
  • Correo electrónico para ejercicio de derechos ARCO: arco@nolvira.app
  • Términos y Condiciones de Uso: https://nolvira.app/terminos

El presente Aviso de Privacidad Integral se emite por Nolvira Tecnología Fiscal, S.A.S. en cumplimiento de lo dispuesto por los artículos 8, 15, 16, 17, 18, 19, 21 a 34, 35, 36 y 58 a 64 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el Diario Oficial de la Federación el 20 de marzo de 2025 y vigente a partir del 21 de marzo de 2025, su Reglamento (en trámite de armonización) y los lineamientos históricos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), en la medida en que no contradigan la nueva legislación.

2. Definiciones

Para efectos del presente Aviso, se entenderá por:

  • "Responsable": Nolvira Tecnología Fiscal, S.A.S., representada por su Administrador Único Luis Felipe Franzoni Mathieu, quien decide sobre el tratamiento de los datos personales.
  • "Usuario" o "Titular": La persona física que utiliza los servicios de Nolvira IA, ya sea bajo el régimen fiscal RESICO o PFAE en México, o como propietario de LLC en Estados Unidos.
  • "Tratamiento": Cualquier operación realizada con datos personales, incluyendo la obtención, uso, divulgación, almacenamiento, acceso, manejo, aprovechamiento, transferencia o disposición.
  • "Datos Personales": Cualquier información concerniente a una persona identificada o identificable, conforme al artículo 2, fracción V de la LFPDPPP 2025.
  • "Datos Fiscales, Financieros y Patrimoniales": Datos relativos a la situación fiscal, comprobantes de ingresos y gastos, movimientos bancarios importados, cálculos de impuestos y cualquier información vinculada al patrimonio del titular. No son datos sensibles conforme a la LFPDPPP, pero requieren consentimiento expreso para su tratamiento (art. 7, último párrafo, LFPDPPP 2025).
  • "Datos Sensibles": Aquellos datos personales que afectan a la esfera más íntima de la persona titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave. De manera enunciativa, se consideran sensibles los datos que puedan revelar: origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas, afiliación sindical y preferencia sexual (art. 2, fracción VI, LFPDPPP 2025).
  • "Datos Sensibles Incidentales": Aquellos datos sensibles que pudieran aparecer en documentos cargados por el usuario (por ejemplo, recibos médicos, donativos a organizaciones religiosas, etc.) de forma no intencional e incidental dentro de CFDIs o comprobantes de gasto.
  • "Encargado" o "Procesador": Tercero que trata datos personales por cuenta del Responsable, conforme al artículo 35 de la LFPDPPP 2025.
  • "Subencargado": Encargado del encargado, que requiere que el encargado informe al responsable conforme a la LFPDPPP 2025.
  • "Transferencia": Comunicación de datos a terceros independientes para fines distintos a los del responsable, que requiere consentimiento expreso del titular (art. 36, LFPDPPP 2025).
  • "Comunicación al Encargado": Remisión de datos a encargados/procesadores que tratan datos por cuenta del responsable, la cual se legitima por contrato de adhesión o Data Processing Agreement (DPA), sin que requiera consentimiento adicional del titular.
  • "CFDI": Comprobante Fiscal Digital por Internet emitido conforme a la legislación mexicana.
  • "ARCO": Derechos de Acceso, Rectificación, Cancelación y Oposición.
  • "Secretaría" o "SABG": Secretaría Anticorrupción y Buen Gobierno, autoridad competente para vigilar, verificar y sancionar a los particulares en materia de protección de datos personales, conforme al artículo 37, fracción XV de la Ley Orgánica de la Administración Pública Federal y la LFPDPPP 2025.

3. Datos Personales que se Tratan

Nolvira IA trata los siguientes datos personales, los cuales el usuario proporciona directamente al registrarse, al cargar comprobantes fiscales, al conectar servicios de terceros o al utilizar la plataforma:

3.1 Datos de Identificación y Contacto

  • Nombre completo.
  • Correo electrónico.
  • Contraseña (almacenada de forma hasheada mediante Firebase Auth utilizando bcrypt/Argon2; Nolvira IA no tiene acceso a la contraseña en texto plano).
  • Fotografía de perfil opcional (cuando el usuario utiliza Apple Sign In o Google Sign In).
  • Identificadores únicos de autenticación (Firebase UID, Apple User Identifier, Google User ID).
  • Registro Federal de Contribuyentes (RFC) del usuario.
  • Dirección IP y user agent (también clasificables como datos técnicos; se mencionan aquí por su vinculación identificatoria).

3.2 Datos Fiscales, Financieros y Patrimoniales (Consentimiento Expreso Requerido)

Conforme al artículo 7, último párrafo de la LFPDPPP 2025, los datos financieros o patrimoniales requieren el consentimiento expreso del titular. No son datos sensibles técnicamente, pero su tratamiento está sujeto a esta exigencia legal.

  • Régimen fiscal del usuario (RESICO, PFAE u otro).
  • Taxpayer Identification Number (TIN) o Employer Identification Number (EIN), cuando aplique para usuarios con LLC en Estados Unidos.
  • Datos contenidos en CFDIs XML cargados por el usuario: nombre del emisor, nombre del receptor, conceptos de facturación, montos, impuestos desglosados (IVA, ISR, IEPS), UUID, fecha de emisión, forma de pago, método de pago y uso del CFDI.
  • Datos de movimientos bancarios importados mediante archivos CSV: descripción del movimiento, monto, fecha de la operación, referencia bancaria. Nolvira IA nunca solicita ni almacena credenciales bancarias (usuarios, contraseñas, tokens de acceso bancario). Nolvira no tiene acceso a cuentas bancarias del usuario, solo a datos de movimientos importados voluntariamente por el usuario.
  • Cuentas contables, categorías fiscales y clasificaciones creadas por el usuario dentro de la plataforma.
  • Imágenes y archivos PDF de recibos, facturas y comprobantes de gasto cargados por el usuario para su procesamiento mediante inteligencia artificial.
  • Cálculos de pagos provisionales, impuestos estimados, deducciones autorizadas y proyecciones fiscales generados por la plataforma.

3.3 Datos Sensibles Incidentales (Consentimiento Expreso y por Escrito / Electrónico)

En ocasiones, los documentos que el usuario carga voluntariamente (recibos, facturas, comprobantes de gasto) pueden contener datos que la LFPDPPP 2025 clasifica como sensibles, tales como:

  • Estado de salud (por ejemplo, recibos médicos, farmacias, hospitales).
  • Creencias religiosas, filosóficas o morales (por ejemplo, donativos a organizaciones religiosas).
  • Opiniones políticas o afiliación sindical (por ejemplo, cuotas sindicales, donativos a partidos políticos).
  • Preferencia sexual (cuando aparezca en recibos de servicios relacionados).

El usuario declara que, al cargar dichos documentos, otorga su consentimiento expreso y por escrito (incluyendo firma electrónica o mecanismo de autenticación equivalente conforme al artículo 8 de la LFPDPPP 2025) para el tratamiento incidental de dichos datos sensibles, únicamente en la medida necesaria para la prestación del servicio de organización fiscal y contable automatizada. Nolvira IA no solicita deliberadamente datos sensibles ni crea bases de datos con dichos datos como finalidad principal.

3.4 Datos de Pago y Suscripción

  • Identificador de cliente de Stripe (Stripe Customer ID).
  • Plan de suscripción contratado (Free, Solo, Professional, Accounting Firm).
  • Historial de transacciones, invoices y estados de suscripción.
  • Nota importante: Los datos de tarjeta de crédito o débito (número de tarjeta, CVV, fecha de vencimiento) son procesados directamente por Stripe, Inc. Nolvira IA no almacena, no procesa y no tiene acceso a dichos datos. Stripe es responsable exclusivo del cumplimiento del estándar PCI DSS.

3.5 Datos Técnicos y de Navegación

  • Dirección IP.
  • User agent del navegador o dispositivo.
  • Timestamps de actividad (inicio de sesión, última actividad).
  • Logs de errores y diagnóstico técnico.
  • Tokens de sesión (gestionados por Firebase Authentication).
  • Identificadores de dispositivo móvil (cuando se utiliza la aplicación iOS).

3.6 Datos de Cookies

  • Cookies de sesión y autenticación (necesarias para el funcionamiento seguro de la plataforma).
  • Cookies de preferencias de usuario (idioma seleccionado, configuraciones de la interfaz de usuario).
  • Nolvira IA no utiliza cookies de terceros para fines de analítica web ni cookies de marketing o publicidad dirigida.

3.7 Datos que Nolvira IA NO Recolecta

  • Credenciales bancarias (usuarios, contraseñas, tokens de acceso).
  • Datos de geolocalización GPS.
  • Contactos del teléfono, calendario o galería del dispositivo, salvo permiso explícito e individual para una función específica.
  • Datos biométricos.
  • Datos relativos a la salud como finalidad principal.
  • Datos personales de menores de edad. El servicio está estrictamente restringido a personas mayores de 18 años.
  • E-firma (FIEL) del usuario ni contraseñas de sistemas gubernamentales.

4. Finalidades del Tratamiento

Los datos personales se tratan para las siguientes finalidades:

4.1 Finalidades Primarias (Necesarias para la Prestación del Servicio)

El tratamiento de los datos personales para las siguientes finalidades es indispensable para la existencia, mantenimiento y cumplimiento de la relación jurídica entre el usuario y Nolvira IA. El usuario no puede oponerse a dichas finalidades sin que ello implique la terminación del servicio.

  1. Creación y gestión de la cuenta de usuario: Registrar, autenticar y mantener la cuenta del usuario en la plataforma web y aplicación móvil.
  2. Procesamiento y almacenamiento de comprobantes fiscales: Recibir, almacenar, clasificar y organizar CFDIs XML, recibos, facturas y movimientos bancarios importados por el usuario.
  3. Cálculo de impuestos y obligaciones fiscales: Realizar cálculos automáticos de pagos provisionales, ISR, IVA, deducciones autorizadas y estimaciones de obligaciones fiscales conforme al régimen del usuario.
  4. Procesamiento de pagos de suscripción: Gestionar el cobro recurrente de suscripciones a través de Stripe, Inc., incluyendo la generación de invoices y el acceso al Stripe Customer Portal.
  5. Notificaciones operativas: Enviar comunicaciones necesarias para la operación del servicio, tales como recordatorios fiscales (fechas de pago, declaraciones), alertas de seguridad (inicios de sesión sospechosos), confirmaciones de cambios en la suscripción y notificaciones técnicas.
  6. Soporte técnico: Atender solicitudes de ayuda, resolver incidencias y brindar asistencia relacionada con el uso de la plataforma.
  7. Cumplimiento de obligaciones legales: Dar respuesta a requerimientos de autoridades competentes, incluyendo el Servicio de Administración Tributaria (SAT) cuando el usuario autorice expresamente la validación de CFDIs, y cumplir con obligaciones contables, fiscales y de retención de información conforme a la legislación mexicana y, en su caso, estadounidense.
  8. Prevención de fraude y abuso: Detectar, investigar y prevenir actividades fraudulentas, accesos no autorizados, usos indebidos del servicio y violaciones de los Términos y Condiciones.

4.2 Finalidades Secundarias (Que Requieren Consentimiento Adicional)

El usuario podrá, en cualquier momento, oponerse al tratamiento de sus datos personales para las siguientes finalidades, sin que ello afecte la prestación del servicio principal. Dicha oposición podrá manifestarse a través del correo arco@nolvira.app o desde la configuración de la aplicación.

  1. Análisis interno agregado y anonimizado para mejora del producto: Utilizar datos estadísticos agregados y desidentificados para entender patrones de uso, mejorar funcionalidades, priorizar desarrollo y optimizar la experiencia del usuario. En ningún caso se utilizarán datos identificables del usuario para este fin sin consentimiento adicional.
  2. Comunicaciones comerciales sobre nuevas funcionalidades: Enviar información sobre nuevas características del producto, mejoras, actualizaciones o cambios relevantes en la plataforma. El usuario podrá optar por no recibir dichas comunicaciones (opt-out) en cualquier momento.
  3. Investigación de mercado anonimizada: Realizar estudios de mercado y análisis de segmentación utilizando datos anonimizados para comprender tendencias del sector fiscal y de freelancers.

4.3 Finalidades NO Contempladas

Nolvira IA declara expresamente que NO realiza las siguientes actividades:

  • Venta, arrendamiento o comercialización de datos personales a terceros.
  • Compartir datos personales con anunciantes o redes publicitarias para fines de publicidad dirigida.
  • Crear perfiles (profiling) con fines de tomar decisiones automatizadas que produzcan efectos jurídicos significativos para el usuario, salvo que medie consentimiento expreso conforme a la LFPDPPP 2025.
  • Rastreo (tracking) del usuario a través de aplicaciones o sitios web de terceros.

5. Encargados, Terceros Independientes y Transferencias de Datos Personales

La LFPDPPP 2025 distingue entre (i) comunicación a encargados del tratamiento, que no requiere consentimiento adicional del titular cuando media contrato de adhesión o DPA; (ii) transferencias a terceros independientes, que requieren consentimiento expreso; y (iii) transferencias internacionales, que requieren consentimiento expreso cuando el país receptor no ofrece nivel de protección equivalente.

5.1 Encargados del Tratamiento (Sub-procesadores / Comunicación Legítima)

Los siguientes proveedores actúan como encargados del tratamiento (o sub-procesadores) de Nolvira IA, tratando datos personales por cuenta del Responsable y conforme a instrucciones estrictas. La comunicación de datos a estos encargados se legitima mediante contratos de adhesión, Data Processing Agreements (DPA) o cláusulas contractales equivalentes, conforme al artículo 35 de la LFPDPPP 2025. Esta comunicación NO constituye una "transferencia" en sentido estricto y NO requiere consentimiento adicional del titular, más allá del consentimiento general otorgado al aceptar el Aviso de Privacidad y los Términos de Uso.

EncargadoFinalidadJurisdicciónMedio de legitimación
Stripe, Inc.Procesamiento de pagos de suscripción, gestión de Customer ID, generación de invoices.EE.UU.Stripe Services Agreement y DPA
OpenAI, L.L.C.Procesamiento temporal de imágenes y archivos PDF de recibos/facturas mediante Vision API para extracción inteligente de datos (montos, conceptos, fechas, RFCs).EE.UU.API Data Processing Agreement
Vercel Inc.Hosting y despliegue de la aplicación web (frontend y API), incluyendo almacenamiento temporal de logs y contenido estático.EE.UU.Vercel Data Processing Addendum
Supabase Inc.Alojamiento de la base de datos PostgreSQL que contiene la información fiscal y de usuario cifrada en reposo.EE.UU.Supabase Data Processing Addendum
Google LLC (Firebase)Autenticación de usuarios, gestión de tokens de sesión, notificaciones push (Firebase Cloud Messaging).EE.UU.Google Cloud Data Processing Terms

Obligaciones contractuales de los encargados:

  • Tratar los datos personales únicamente para las finalidades instruidas por Nolvira IA.
  • Mantener la confidencialidad y seguridad de la información.
  • No utilizar los datos personales para entrenar modelos de inteligencia artificial (específicamente con OpenAI, salvo que el usuario opte explícitamente por compartir datos para mejorar modelos).
  • Implementar medidas de seguridad técnicas y administrativas conforme a estándares internacionales.
  • Eliminar o devolver los datos personales al término de la relación contractual.
  • Informar a Nolvira IA sobre cualquier subencargado utilizado.

5.2 Co-responsables y Terceros con Fines Independientes

Los siguientes terceros reciben datos personales para fines que pueden ser distintos o adicionales a los de Nolvira IA, o actúan como co-responsables/co-controladores en el contexto de su relación con el usuario:

TerceroFinalidadJurisdicciónRequiere consentimiento específico
Servicio de Administración Tributaria (SAT)Validación de CFDIs cuando el usuario autoriza expresamente dicha funcionalidad.MéxicoSí. Solo se transmiten datos cuando el usuario activa explícitamente la validación en la plataforma.
Apple Inc. (App Store)Distribución de la aplicación iOS, autenticación mediante Sign in with Apple, procesamiento de reembolsos y suscripciones gestionadas a través de App Store.EE.UU.El usuario otorga consentimiento al utilizar Sign in with Apple o al suscribirse vía App Store, conforme a los términos de Apple. Nolvira comparte únicamente identificadores necesarios para la autenticación y gestión de suscripción.
Google LLC (Google Play Store)Distribución futura de la aplicación Android, cuando aplique.EE.UU.El usuario otorga consentimiento al descargar la aplicación a través de Google Play Store.

5.3 Transferencias Internacionales

La comunicación de datos a encargados ubicados en Estados Unidos de América implica una transferencia internacional conforme al artículo 36 de la LFPDPPP 2025, toda vez que dicho país no ha sido declarado por la autoridad mexicana competente como jurisdicción con nivel de protección de datos equivalente al de México.

Nolvira IA ha suscrito Data Processing Agreements con sus encargados internacionales (Stripe, OpenAI, Vercel, Supabase, Firebase/Google), mediante los cuales se implementan medidas compensatorias de protección.

El usuario declara expresamente que:

  • Entiende y acepta que la transferencia internacional de datos a Estados Unidos implica riesgos inherentes a la protección de datos, incluyendo posibles accesos por autoridades estadounidenses bajo legislación local.
  • Acepta que Nolvira ha implementado medidas de seguridad razonables pero no puede garantizar protección absoluta contra accesos no autorizados.

Al registrarse en la plataforma y aceptar el presente Aviso de Privacidad, el usuario otorga su consentimiento expreso para las transferencias internacionales descritas en esta sección, en términos del artículo 36 de la LFPDPPP 2025.

6. Derechos ARCO y Mecanismos de Ejercicio

Conforme a los artículos 21 a 34 de la LFPDPPP 2025, el usuario (titular de los datos personales) tiene derecho a:

6.1 Acceso

El usuario tiene derecho a obtener información sobre qué datos personales son objeto de tratamiento por parte de Nolvira IA, el origen de dichos datos, las finalidades del tratamiento, las transferencias realizadas y los terceros receptores, así como la información disponible sobre los mecanismos para ejercer sus derechos ARCO.

Procedimiento: El usuario podrá solicitar acceso a sus datos personales enviando un correo electrónico a arco@nolvira.app con el asunto "SOLICITUD DE ACCESO ARCO", adjuntando copia de su identificación oficial vigente. También podrá descargar una copia de sus datos directamente desde la sección "Exportar mis datos" dentro de la aplicación.

6.2 Rectificación

El usuario tiene derecho a solicitar la corrección de sus datos personales cuando estos sean inexactos, incompletos, erróneos o estén desactualizados. La mayoría de los datos personales (nombre, foto de perfil, RFC, régimen fiscal, cuentas contables) pueden ser editados directamente por el usuario desde la configuración de su cuenta en la aplicación. Para solicitudes de rectificación que no puedan realizarse de manera autónoma, el usuario deberá enviar un correo a arco@nolvira.app con el asunto "SOLICITUD DE RECTIFICACION ARCO", indicando los datos a modificar, la corrección propuesta y adjuntando documentación que sustente la rectificación.

6.3 Cancelación (Derecho al Olvido)

El usuario tiene derecho a solicitar la eliminación de sus datos personales de los archivos, registros, bases de datos y sistemas de Nolvira IA, cuando considere que dichos datos no están siendo tratados conforme a los principios establecidos en la LFPDPPP 2025 o cuando haya revocado su consentimiento. La cancelación de la cuenta de usuario puede solicitarse:

  • Desde la aplicación iOS, a través del botón "Eliminar mi cuenta" ubicado en Configuración > Privacidad y Seguridad (cumplimiento de Apple Guideline 5.1.1(v)).
  • Enviando un correo electrónico a arco@nolvira.app con el asunto "SOLICITUD DE CANCELACION ARCO".

6.4 Oposición

El usuario tiene derecho a oponerse al tratamiento de sus datos personales para finalidades secundarias (análisis interno, comunicaciones comerciales, investigación de mercado) sin que ello afecte la prestación del servicio principal. La oposición podrá manifestarse:

  • Desde la sección "Privacidad" en la configuración de la cuenta.
  • Mediante correo electrónico a arco@nolvira.app con el asunto "SOLICITUD DE OPOSICION ARCO".

6.5 Plazos de Respuesta

Nolvira IA se compromete a:

  • Responder la solicitud dentro de un plazo máximo de 20 (veinte) días hábiles contados a partir de la recepción de la solicitud completa.
  • Prorrogar el plazo hasta por 20 (veinte) días hábiles adicionales en casos justificados, notificando al usuario los motivos de la prórroga antes del vencimiento del plazo inicial.
  • Ejecutar la resolución favorable al usuario dentro de un plazo máximo de 15 (quince) días hábiles contados a partir de la notificación de la resolución.

6.6 Negativa y Medios de Impugnación

En caso de que Nolvira IA resuelva no procedente la solicitud ARCO, notificará al usuario los motivos de la negativa, citando las disposiciones legales aplicables. El usuario tendrá derecho a impugnar dicha resolución ante la Secretaría Anticorrupción y Buen Gobierno (SABG) conforme a los procedimientos de protección de derechos establecidos en los artículos 21 a 34 de la LFPDPPP 2025, dentro del plazo de 15 días hábiles siguientes a la notificación de la negativa.

6.7 Medidas Defensivas y Verificación en Solicitudes ARCO

Con el fin de prevenir suplantaciones de identidad, fraude y solicitudes maliciosas, Nolvira IA implementa las siguientes medidas defensivas en el procedimiento ARCO:

  • Verificación estricta de identidad: Toda solicitud ARCO presentada por medios electrónicos deberá incluir copia de identificación oficial vigente del titular. En casos de duda razonable, Nolvira IA se reserva el derecho de solicitar información adicional o medios de autenticación complementarios (por ejemplo, validación de correo electrónico registrado, preguntas de seguridad internas o videollamada de verificación).
  • Registro documental: Nolvira IA mantendrá registro fotográfico y/o documental de todas las solicitudes ARCO atendidas, así como de la documentación de identidad proporcionada, durante un plazo de 3 (tres) años con fines de defensa legal y auditoría.
  • Derecho de negativa: Nolvira se reserva el derecho de negar solicitudes ARCO que no cumplan con los requisitos formales establecidos en este Aviso, que presenten indicios de suplantación de identidad, o que contengan inconsistencias manifiestas. En dichos casos, se notificará al solicitante los motivos de la negativa y se le invitará a corregir la solicitud.
  • Causales de retraso eximentes: El responsable del tratamiento no será sancionado por retrasos en respuesta a solicitudes ARCO cuando: (a) la solicitud sea ambigua, incompleta o requiera aclaración; (b) se requiera verificación adicional de identidad para prevenir suplantación; (c) haya restricciones legales, fiscales o contractuales para la ejecución inmediata de la solicitud; o (d) la solicitud involucre volúmenes de datos que razonablemente requieran mayor tiempo de procesamiento, debidamente notificado.

7. Revocación del Consentimiento

El usuario podrá revocar el consentimiento que haya otorgado para el tratamiento de sus datos personales en cualquier momento, siempre y cuando no exista una obligación legal o contractual que impida dicha revocación. La revocación total del consentimiento implicará la cancelación de la cuenta de usuario y la terminación de la relación jurídica con Nolvira IA, toda vez que el tratamiento de los datos es necesario para la prestación del servicio.

Para revocar su consentimiento para finalidades secundarias (comunicaciones comerciales, análisis interno), el usuario podrá hacerlo sin afectar la prestación del servicio principal, mediante los siguientes mecanismos:

  • Desde la configuración de privacidad dentro de la aplicación.
  • Mediante correo electrónico a arco@nolvira.app con el asunto "REVOCACION DE CONSENTIMIENTO".

La revocación del consentimiento para transferencias internacionales implicará la imposibilidad técnica de continuar utilizando el servicio, dado que los encargados ubicados en Estados Unidos son indispensables para el funcionamiento de la plataforma (hosting, autenticación, procesamiento de imágenes, pagos). En dicho caso, se informará al usuario y se procederá a la cancelación de la cuenta conforme al procedimiento establecido en la sección 6.3.

8. Medidas de Seguridad Implementadas

Nolvira IA implementa medidas de seguridad técnicas, administrativas y físicas diseñadas para proteger los datos personales contra daño, pérdida, alteración, destrucción o uso, acceso o tratamiento no autorizados, conforme al artículo 18 de la LFPDPPP 2025. Estas medidas incluyen, de manera enunciativa pero no limitativa:

8.1 Cifrado y Protección de Datos

  • Encriptación en tránsito: Todas las comunicaciones entre la aplicación y los servidores se realizan mediante protocolo TLS 1.2 o superior, garantizando la confidencialidad e integridad de los datos durante la transmisión.
  • Encriptación en reposo: La base de datos PostgreSQL alojada en Supabase utiliza cifrado AES-256 para el almacenamiento de datos. Los backups de la base de datos son igualmente cifrados.

8.2 Gestión de Contraseñas y Autenticación

  • Contraseñas: Las contraseñas de usuario son hasheadas mediante algoritmos robustos (bcrypt/Argon2), de tal manera que Nolvira IA nunca almacena ni tiene acceso a las contraseñas en texto plano.
  • Autenticación: Se utiliza Firebase Authentication (Google) para la gestión de identidades, incluyendo autenticación de doble factor (MFA) disponible para los usuarios que deseen activarla. Los tokens son revocables desde la consola de administración.
  • Tokens de sesión: Gestión segura de tokens de sesión mediante Firebase, con expiración automática y revocación inmediata ante detección de actividad anómala.

8.3 Control de Acceso y Segmentación

  • Base de datos: Implementación de Row Level Security (RLS) en Supabase PostgreSQL, garantizando que cada usuario únicamente pueda acceder a sus propios registros, incluso a nivel de consulta directa a base de datos.
  • Principio de mínimo privilegio: Ningún empleado, colaborador o administrador de Nolvira IA tiene acceso directo a datos fiscales en producción sin autorización expresa, documentada y justificada. Los accesos administrativos están restringidos a funciones críticas y se auditan de forma permanente.
  • Segmentación de datos: Los datos fiscales y patrimoniales se almacenan en tablas con políticas de acceso restringido.

8.4 Prevención de Ataques y Monitoreo

  • Rate limiting: Implementación de límites de tasa (rate limiting) en todas las APIs públicas para prevenir ataques de fuerza bruta, denegación de servicio (DoS) y scraping automatizado.
  • Monitoreo de seguridad: Registro continuo de logs de auditoría, monitoreo de actividad anómala, alertas de seguridad automáticas ante patrones de acceso inusuales, y revisión periódica de logs de autenticación.
  • Protección de APIs: Validación estricta de tokens de sesión, restricción de orígenes (CORS), validación de entradas y sanitización de datos en todas las interfaces de programación.

8.5 Respaldo y Recuperación

  • Backups: Realización de backups automáticos, cifrados y georredundantes, garantizando la recuperabilidad de la información ante incidentes. Los backups se almacenan en jurisdicciones controladas por los encargados contratados (Supabase) y están sujetos a los mismos estándares de cifrado que la base de datos principal.

8.6 Plan de Respuesta a Incidentes

  • Documentación y prueba: Nolvira IA mantiene un Plan de Respuesta a Incidentes de Seguridad documentado y probado trimestralmente, que incluye procedimientos de contención, erradicación, recuperación, notificación a usuarios afectados y cumplimiento de obligaciones legales de reporte ante autoridades cuando sea procedente, conforme al artículo 19 de la LFPDPPP 2025.

9. Uso de Tecnologías de Inteligencia Artificial y Procesamiento con OpenAI

Nolvira IA utiliza la API de OpenAI, L.L.C. (específicamente el modelo GPT-4o con capacidades de visión) para procesar imágenes y archivos PDF de recibos y facturas cargados por el usuario. Este procesamiento tiene como finalidad extraer de manera automatizada datos relevantes (montos, conceptos, fechas, RFCs) que posteriormente son organizados y presentados al usuario dentro de la plataforma.

Nolvira IA declara expresamente que:

  • Los datos personales contenidos en las imágenes o PDFs son enviados a OpenAI únicamente para su procesamiento temporal a través de la API de OpenAI.
  • OpenAI no utiliza los datos procesados a través de nuestra API para entrenar, ajustar o mejorar sus modelos de inteligencia artificial, conforme al API Data Processing Agreement suscrito entre Nolvira IA y OpenAI, L.L.C., y a la política de uso de datos de API de OpenAI, salvo que el usuario opte explícitamente por compartir datos para mejorar modelos (opt-in).
  • Configuración técnica aplicada: Nolvira IA configura las solicitudes a la API de OpenAI con store=false (no almacenamiento) y utiliza endpoints de Vision API. OpenAI ofrece Zero Data Retention (ZDR) para clientes enterprise, así como Modified Abuse Monitoring bajo aprobación previa. Bajo la configuración estándar, OpenAI puede retener logs de monitoreo de abuso por hasta 30 días para fines de seguridad y cumplimiento, pero no retiene el contenido de las imágenes o documentos procesados con fines comerciales o de investigación.
  • El usuario puede optar por no utilizar la función de captura inteligente y registrar sus datos de forma manual.

10. Responsabilidad de Encargados, Terceros y Procesadores

Nolvira IA selecciona a sus encargados de datos con base en estándares reconocidos internacionalmente de seguridad y privacidad. Sin embargo, la responsabilidad de cada proveedor está acotada conforme a lo siguiente:

  • Stripe, Inc.: Es responsable exclusivo del tratamiento y seguridad de los datos de pago conforme al estándar PCI DSS. Nolvira IA no tiene acceso a números de tarjeta, CVV ni fechas de vencimiento, ni interviene en el procesamiento de dichos datos.
  • OpenAI, L.L.C.: Es responsable de la seguridad de sus propios servidores y del cumplimiento del API Data Processing Agreement suscrito con Nolvira IA. OpenAI se obliga a no utilizar los datos para entrenamiento de modelos (salvo opt-in explícito del cliente) y a mantener la confidencialidad durante el procesamiento temporal.
  • Vercel Inc., Supabase Inc., Google LLC (Firebase): La responsabilidad de cada proveedor está acotada a lo establecido en sus respectivos contratos de servicio, términos de uso y acuerdos de procesamiento de datos. Nolvira IA no tiene control directo sobre la infraestructura física ni sobre las políticas internas de seguridad de dichos proveedores, salvo por las obligaciones contractuales suscritas.
  • Apple Inc. y Google LLC (Play Store): Actúan como plataformas de distribución y/o autenticación. Su responsabilidad está acotada a sus términos de servicio públicos. Nolvira IA no controla los procesos internos de revisión de App Store o Google Play.
  • Servicio de Administración Tributaria (SAT): Nolvira IA únicamente transmite datos al SAT cuando el usuario autoriza expresamente dicha transferencia a través de los mecanismos habilitados en la plataforma. Nolvira IA no es responsable por el tratamiento que el SAT dé a dichos datos una vez transferidos.

Nolvira no garantiza la seguridad absoluta de los sistemas de terceros, pero selecciona proveedores con estándares reconocidos internacionalmente y suscribe acuerdos de procesamiento de datos que, en la medida de lo contractualmente posible, obligan a dichos terceros a implementar medidas de seguridad y confidencialidad.

11. Limitación de Responsabilidad en Materia de Datos

En la medida máxima permitida por la legislación aplicable, Nolvira IA declara y el usuario acepta lo siguiente:

  • Nolvira no será responsable por daños derivados de: (a) accesos no autorizados no imputables a negligencia grave de Nolvira, incluyendo aquellos originados en vulnerabilidades de día cero o técnicas de intrusión que superen el estado del arte de protección disponible para empresas de su tamaño y naturaleza; (b) vulnerabilidades de proveedores de terceros que, a pesar de haber sido seleccionados con diligencia, experimenten incidentes de seguridad independientes de la conducta de Nolvira; (c) actos u omisiones del usuario en materia de seguridad, incluyendo el uso de contraseñas débiles, la compartición de credenciales de acceso, el acceso desde dispositivos comprometidos o la desactivación de medidas de seguridad (como MFA cuando esté disponible); (d) fuerza mayor o ataques cibernéticos sofisticados que superen el estado del arte de protección razonablemente exigible a una persona física con actividad empresarial del tamaño y recursos de Nolvira IA.
  • El responsable del tratamiento no será sancionado por infracciones que demuestre no le son imputables, conforme al principio de culpabilidad y a los estándares de diligencia establecidos en la LFPDPPP 2025 y su reglamento.
  • El usuario reconoce que Nolvira ha implementado las medidas de seguridad descritas en la sección 8 de este Aviso, las cuales constituyen diligencia razonable y proporcionada al riesgo del tratamiento. La aceptación de este Aviso implica el reconocimiento de que ningún sistema de seguridad es infalible.

12. Diligencia Razonable Declarada

Nolvira IA documenta que, como parte de su programa de cumplimiento en protección de datos personales, realiza de manera habitual:

  • Evaluaciones de riesgo trimestrales sobre el tratamiento de datos personales, identificando amenazas, vulnerabilidades y medidas de mitigación aplicables, conforme al artículo 18 de la LFPDPPP 2025.
  • Capacitación del personal (directo e indirecto) en materia de protección de datos, confidencialidad y buenas prácticas de seguridad de la información.
  • Revisión periódica de contratos con encargados de datos, verificando la vigencia y el cumplimiento de los Data Processing Agreements suscritos.
  • Mantenimiento de políticas de seguridad documentadas, incluyendo políticas de control de acceso, gestión de contraseñas, clasificación de información y respuesta a incidentes.
  • Respuesta a vulnerabilidades conocidas en tiempo razonable, aplicando parches de seguridad, actualizaciones de dependencias y reconfiguraciones necesarias tan pronto como sea técnicamente viable tras la divulgación responsable de una vulnerabilidad.

La existencia de este programa de diligencia razonable se invoca como prueba de la implementación de medidas preventivas y de la inexistencia de negligencia grave en el tratamiento de datos personales.

13. Cláusula de Fuerza Mayor y Eventos Fuera de Control

Nolvira no será responsable por incumplimientos derivados de eventos fuera de su control razonable, incluyendo de manera enunciativa pero no limitativa: desastres naturales, fallas de infraestructura de terceros (proveedores de hosting, nube, telecomunicaciones), ataques cibernéticos de sofisticación no razonablemente prevenible por el estado del arte de la industria SaaS, pandemias, disturbios sociales, actos de autoridad que impidan el cumplimiento, cambios regulatorios de emergencia, y cualquier otra causa externa imprevisible o irresistible que impida a Nolvira cumplir con sus obligaciones en materia de protección de datos personales.

En caso de materialización de un evento de fuerza mayor que afecte la seguridad o disponibilidad de los datos personales, Nolvira IA:

  • Notificará a los usuarios afectados tan pronto como sea razonablemente posible.
  • Documentará el incidente y las medidas de mitigación adoptadas.
  • Reanudará el cumplimiento de sus obligaciones tan pronto como cese la causa de la eximente.

14. Conservación de los Datos Personales

Nolvira IA conserva los datos personales durante los siguientes plazos:

Categoría de datosPlazo de conservaciónFundamento
Datos de cuenta activaMientras la cuenta se mantenga activa y no se solicite su cancelación.Relación contractual.
CFDIs, recibos y movimientos bancariosMínimo 5 (cinco) años contados a partir de la fecha de carga o generación.Obligación fiscal mexicana (Código Fiscal de la Federación).
Logs de auditoría y seguridad3 (tres) años.Prevención de fraude y cumplimiento legal.
Datos de pago e invoices5 (cinco) años.Obligaciones contables y fiscales.
Cuenta cancelada / eliminadaAnonimización o eliminación definitiva entre 30 y 90 días naturales posteriores a la solicitud de cancelación, salvo aquellos datos cuya conservación sea requerida por disposición legal.Principio de cancelación y art. 24 LFPDPPP 2025.

Transcurridos los plazos anteriores, los datos personales serán bloqueados (dejados de usar) y posteriormente eliminados o anonimizados, salvo que exista una obligación legal, contractual o fiscal que exija su conservación por un periodo mayor.

15. Sanciones e Infracciones a la LFPDPPP 2025

Con fines informativos del usuario, se señala que la LFPDPPP 2025 establece las siguientes sanciones por incumplimiento:

  • Infracciones: Artículo 58 de la LFPDPPP 2025.
  • Sanciones administrativas: Artículo 59 (apercibimiento; multas de 100 a 160,000 UMA; multas de 200 a 320,000 UMA; multas adicionales por reincidencia; duplicación de sanciones si se trata de datos sensibles).
  • Criterios de calificación: Artículo 60 (naturaleza del dato, improcedencia de la negativa, intencionalidad, capacidad económica, reincidencia).
  • Sin perjuicio de otras responsabilidades: Artículo 61 (civil o penal).
  • Delitos penales: Artículos 62 (3 meses a 3 años de prisión por vulneración de seguridad con ánimo de lucro), 63 (6 meses a 5 años por engaño para lucro indebido) y 64 (duplicación de penas cuando se trate de datos sensibles).

16. Cambios al Aviso de Privacidad

Nolvira IA se reserva el derecho de realizar en cualquier momento modificaciones, actualizaciones o ajustes al presente Aviso de Privacidad Integral, con el fin de reflejar cambios en las prácticas de tratamiento de datos personales, en la legislación aplicable, en la estructura de proveedores o en las funcionalidades del servicio.

Los cambios al Aviso de Privacidad serán notificados al usuario mediante los siguientes mecanismos:

  • Publicación del Aviso de Privacidad actualizado en los sitios web https://nolvira.app/privacidad (español) y https://nolvira.app/privacy (inglés).
  • Envío de una notificación por correo electrónico a la dirección registrada en la cuenta del usuario, con al menos 7 (siete) días naturales de anticipación a la entrada en vigor de los cambios sustanciales.
  • Visualización de un aviso destacado en la aplicación web y móvil al iniciar sesión, cuando los cambios sean significativos.

Se entenderán como cambios sustanciales aquellos que afecten las finalidades del tratamiento, los datos personales objeto de tratamiento, las transferencias de datos a terceros, los mecanismos para ejercer los derechos ARCO o la forma de contacto del Responsable.

El usuario será responsable de revisar periódicamente el Aviso de Privacidad. La continuación en el uso del servicio después de la publicación de los cambios constituirá la aceptación de los mismos. Si el usuario no está de acuerdo con los cambios, podrá ejercer su derecho de cancelación conforme a la sección 6.3.

17. Contacto

Para cualquier duda, solicitud, comentario o ejercicio de derechos relacionados con el presente Aviso de Privacidad, el usuario podrá contactar al Responsable a través de:

18. Fecha de Última Actualización

El presente Aviso de Privacidad Integral fue actualizado el día 6 de mayo de 2026 y entrará en vigor a partir de su publicación en https://nolvira.app/privacidad.

Política de Privacidad — Nolvira IA

1. Introducción

La presente Política de Privacidad describe cómo Nolvira IA (en adelante, "Nolvira", "nosotros" o "el Responsable"), operada por Nolvira Tecnología Fiscal, S.A.S., RFC [PENDIENTE - RFC PERSONA MORAL], con domicilio fiscal en Tecoyotitla 320-2, Colonia Florida, Alcaldía Álvaro Obregón, Ciudad de México, 01030, México, recopila, utiliza, almacena, protege y comparte la información personal de los usuarios de su plataforma SaaS (aplicación web y aplicación móvil para iOS) destinada al acompañamiento fiscal de freelancers mexicanos (regímenes RESICO y PFAE) y propietarios de LLC en Estados Unidos.

Esta Política de Privacidad se aplica a todos los usuarios de Nolvira IA y cumple con los requisitos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México, vigente desde el 21 de marzo de 2025, las Directrices de Revisión de la App Store de Apple, el Stripe Services Agreement y, en su caso, la California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA) para usuarios residentes de California.

2. Información que Recopilamos

2.1 Información que Usted nos Proporciona Directamente

  • Información de registro: nombre completo, dirección de correo electrónico, contraseña (hasheada mediante Firebase Auth con bcrypt/Argon2; nosotros nunca almacenamos su contraseña en texto plano), fotografía de perfil opcional.
  • Información fiscal: RFC, régimen fiscal, TIN/EIN (cuando aplique para usuarios de LLC en EE.UU.).
  • Comprobantes fiscales: CFDIs XML, imágenes de recibos y facturas (JPG, PNG, PDF), movimientos bancarios importados mediante archivos CSV. No recopilamos credenciales bancarias. Nolvira no tiene acceso a cuentas bancarias del usuario, solo a datos de movimientos importados voluntariamente por el usuario.
  • Datos contables: cuentas contables, categorías fiscales, clasificaciones y notas creadas por usted.

Aclaraciones importantes:

  • Nolvira no tiene acceso a la e-firma (FIEL) del usuario ni puede realizar trámites ante el SAT en su nombre.
  • Nolvira no almacena credenciales bancarias ni de ningún sistema gubernamental.

2.2 Información que Recopilamos Automáticamente

  • Datos técnicos: dirección IP, user agent, timestamps de actividad, tokens de sesión (Firebase), logs de errores.
  • Datos del dispositivo: identificador de dispositivo móvil (cuando utiliza la aplicación iOS), sistema operativo, versión de la aplicación.
  • Cookies: cookies de sesión y autenticación (necesarias), cookies de preferencias (idioma, UI). No utilizamos cookies de terceros para analítica ni publicidad.

2.3 Información de Terceros

  • Cuando utiliza Sign in with Apple o Google Sign In, recibimos de dichos servicios su nombre, correo electrónico y un identificador único de usuario. Si opta por ocultar su correo electrónico con Sign in with Apple, recibiremos un correo de reenvío privado de Apple y no tendremos acceso a su dirección de correo electrónico real, salvo que usted nos la proporcione posteriormente.
  • Stripe nos proporciona su Stripe Customer ID, plan de suscripción e historial de invoices. Nolvira IA nunca tiene acceso a los números de tarjeta, CVV ni fechas de vencimiento.

3. Cómo Utilizamos su Información

Utilizamos la información personal para:

  1. Crear, autenticar y gestionar su cuenta de usuario.
  2. Procesar, almacenar y organizar sus comprobantes fiscales y movimientos bancarios.
  3. Calcular sus obligaciones fiscales (ISR, IVA, pagos provisionales, deducciones).
  4. Procesar pagos de suscripción y gestionar su plan a través de Stripe.
  5. Enviar notificaciones operativas esenciales (recordatorios fiscales, alertas de seguridad, cambios en su suscripción).
  6. Brindar soporte técnico y resolver incidencias.
  7. Cumplir con obligaciones legales y requerimientos de autoridad.
  8. Prevenir fraude, abuso y usos no autorizados de la plataforma.

Para finalidades secundarias (análisis interno agregado y anonimizado, comunicaciones sobre nuevas funcionalidades), solicitamos su consentimiento adicional, el cual puede revocar en cualquier momento.

4. Cómo Compartimos su Información

Nolvira IA no vende, ni alquila, ni comercializa su información personal.

4.1 Encargados del Tratamiento (Comunicación Legítima por Contrato)

Compartimos información únicamente con los siguientes encargados del tratamiento (procesadores), quienes actúan estrictamente por nuestra cuenta y de conformidad con acuerdos de procesamiento de datos (DPA). Esta comunicación NO requiere consentimiento adicional del titular:

EncargadoFinalidadJurisdicción
Stripe, Inc.Pagos de suscripciónEE.UU.
OpenAI, L.L.C.Extracción de datos de recibos/facturas mediante Vision APIEE.UU.
Vercel Inc.Hosting webEE.UU.
Supabase Inc.Base de datosEE.UU.
Google LLC (Firebase)Autenticación, sesiones, notificaciones pushEE.UU.

4.2 Co-responsables y Terceros con Fines Independientes

Estos terceros reciben datos para fines propios o adicionales:

TerceroFinalidadJurisdicción
Servicio de Administración Tributaria (SAT)Validación de CFDIs (solo con su autorización expresa)México
Apple Inc.Distribución iOS, Apple Sign In, suscripciones App StoreEE.UU.
Google LLC (Play Store)Distribución futura de la aplicación Android, cuando apliqueEE.UU.

Responsabilidad de terceros: La responsabilidad de cada procesador está acotada a sus obligaciones contractuales y legales. Stripe es responsable exclusivo del cumplimiento PCI DSS; OpenAI es responsable de la seguridad de sus servidores conforme al DPA suscrito; Vercel, Supabase, Firebase y Apple mantienen responsabilidad acotada a sus contratos de servicio. Nolvira no garantiza la seguridad absoluta de los sistemas de terceros, pero selecciona proveedores con estándares reconocidos internacionalmente.

5. Uso de OpenAI Vision API

Nolvira IA utiliza la Vision API de OpenAI, L.L.C. para analizar imágenes y archivos PDF de recibos y facturas que usted carga, con el fin de extraer automáticamente datos relevantes (montos, conceptos, fechas, RFCs).

  • OpenAI no utiliza los datos que procesa a través de nuestra API para entrenar, ajustar o mejorar sus modelos de inteligencia artificial, conforme al API Data Processing Agreement suscrito entre Nolvira IA y OpenAI, salvo que usted opte explícitamente por compartir datos para mejorar modelos (opt-in).
  • Configuración técnica: store=false, no retention, endpoints de Vision API. OpenAI ofrece Zero Data Retention (ZDR) o Modified Abuse Monitoring bajo aprobación. Bajo configuración estándar, OpenAI conserva logs de monitoreo de abuso por hasta 30 días para fines de seguridad, pero no retiene contenido de imágenes o documentos con fines comerciales.
  • Usted puede optar por no utilizar la función de captura inteligente y registrar sus datos manualmente.

6. Procesamiento de Pagos con Stripe

Los pagos de suscripción son procesados directamente por Stripe, Inc. mediante su infraestructura segura. Nolvira IA:

  • No almacena números de tarjeta de crédito o débito.
  • No tiene acceso a CVV, fechas de vencimiento ni datos PCI.
  • Recibe únicamente su Stripe Customer ID, estado de suscripción e invoices.

Stripe es responsable exclusivo del cumplimiento del estándar PCI DSS (Payment Card Industry Data Security Standard). Para más información sobre cómo Stripe protege sus datos, consulte: https://stripe.com/privacy.

7. Sign in with Apple

Si utiliza Sign in with Apple para registrarse o iniciar sesión:

  • Apple puede compartir con Nolvira IA su nombre, correo electrónico (o un correo de reenvío privado si usted elige ocultar su dirección real) y un identificador único de usuario de Apple.
  • Nolvira IA no tiene acceso a la contraseña de su ID de Apple.
  • Usted puede, en cualquier momento, dejar de utilizar Sign in with Apple para acceder a Nolvira IA desde la configuración de su ID de Apple.

8. Transferencia Internacional de Datos

Nolvira IA es un servicio SaaS con infraestructura tecnológica y proveedores de pago ubicados principalmente en Estados Unidos. Al utilizar nuestros servicios, usted reconoce y acepta que sus datos personales podrán ser transferidos, almacenados y procesados en Estados Unidos, un país que no ha sido declarado por la autoridad mexicana competente como jurisdicción con un nivel de protección de datos equivalente al de México.

Dicha transferencia se realiza con su consentimiento expreso, otorgado al aceptar esta Política de Privacidad y el Aviso de Privacidad Integral, y con base en los acuerdos de procesamiento de datos suscritos con nuestros proveedores, quienes implementan medidas de seguridad conforme a estándares internacionales.

Usted declara expresamente que:

  • Entiende y acepta que la transferencia internacional de datos a Estados Unidos implica riesgos inherentes a la protección de datos, incluyendo posibles accesos por autoridades estadounidenses bajo legislación local.
  • Acepta que Nolvira ha implementado medidas de seguridad razonables pero no puede garantizar protección absoluta contra accesos no autorizados.

9. Sus Derechos

Como usuario de Nolvira IA, usted tiene derecho a:

  • Acceder a sus datos personales y obtener una copia de los mismos.
  • Rectificar sus datos personales inexactos o desactualizados (la mayoría editable directamente desde la aplicación).
  • Cancelar su cuenta y solicitar la eliminación de sus datos personales.
  • Oponerse al tratamiento de sus datos para finalidades secundarias.
  • Revocar su consentimiento para finalidades que no sean indispensables para el servicio.

Para ejercer cualquiera de estos derechos, contáctenos en arco@nolvira.app. Los plazos de respuesta son de 20 días hábiles (prorrogables por 20 días adicionales en casos justificados).

10. Eliminación de Cuenta

De conformidad con la Guía de Revisión de la App Store de Apple (Guideline 5.1.1(v)), Nolvira IA proporciona un mecanismo sencillo para la eliminación de cuentas:

  • Desde la aplicación iOS: Configuración > Privacidad y Seguridad > Eliminar mi cuenta.
  • Mediante correo electrónico a arco@nolvira.app con el asunto "ELIMINAR MI CUENTA".

Tras la solicitud de eliminación, su cuenta será desactivada dentro de los 15 días hábiles siguientes. Sus datos personales serán eliminados o anonimizados entre 30 y 90 días naturales, salvo aquellos que deban conservarse por obligación legal (CFDIs e invoices por 5 años, logs de auditoría por 3 años).

11. Seguridad de la Información

Implementamos medidas técnicas, administrativas y físicas diseñadas para proteger sus datos:

  • Encriptación en tránsito: TLS 1.2+ en todas las comunicaciones.
  • Encriptación en reposo: AES-256 en la base de datos PostgreSQL de Supabase; backups cifrados y georredundantes.
  • Contraseñas: Hashing robusto mediante bcrypt/Argon2 vía Firebase Auth.
  • Autenticación: Firebase Authentication (Google) con MFA disponible y tokens revocables.
  • Control de acceso: Principio de mínimo privilegio; ningún empleado tiene acceso directo a datos fiscales en producción sin autorización expresa, documentada y justificada.
  • Row Level Security (RLS): Base de datos PostgreSQL con políticas de seguridad a nivel de fila.
  • Rate limiting: Prevención de ataques de fuerza bruta en APIs.
  • Monitoreo continuo: Logs de auditoría, detección de anomalías y alertas de seguridad automáticas.
  • Plan de respuesta a incidentes: Documentado y probado trimestralmente.

Ningún sistema de seguridad es infalible. Si detectamos una violación de seguridad que afecte sus datos personales, le notificaremos de manera oportuna conforme a la legislación aplicable.

12. Limitación de Responsabilidad en Materia de Datos

En la medida máxima permitida por la ley aplicable:

  • Nolvira no será responsable por daños derivados de: (a) accesos no autorizados no imputables a negligencia grave de Nolvira; (b) vulnerabilidades de proveedores de terceros; (c) actos u omisiones del usuario en materia de seguridad (contraseñas débiles, compartir credenciales, acceso desde dispositivos comprometidos); (d) fuerza mayor o ataques cibernéticos sofisticados que superen el estado del arte de protección razonablemente exigible.
  • El responsable del tratamiento no será sancionado por infracciones que demuestre no le son imputables, conforme al principio de culpabilidad y la LFPDPPP 2025.
  • El usuario reconoce que ha sido informado de las medidas de seguridad implementadas y acepta que estas constituyen diligencia razonable, sin que ello implique garantía absoluta de protección.

13. Diligencia Razonable y Fuerza Mayor

Nolvira IA declara que realiza:

  • Evaluaciones de riesgo trimestrales sobre el tratamiento de datos personales.
  • Capacitación del personal en protección de datos y seguridad de la información.
  • Revisión periódica de contratos con encargados.
  • Mantenimiento de políticas de seguridad documentadas.
  • Respuesta a vulnerabilidades conocidas en tiempo razonable tras su divulgación.

Nolvira no será responsable por incumplimientos derivados de eventos fuera de su control razonable: desastres naturales, fallas de infraestructura de terceros, ataques cibernéticos de sofisticación no razonablemente prevenible, pandemias, cambios regulatorios de emergencia u otras causas de fuerza mayor.

14. Medidas Defensivas ARCO

Para prevenir suplantaciones y fraude, Nolvira IA:

  • Exige verificación estricta de identidad para solicitudes ARCO.
  • Se reserva el derecho de negar solicitudes que no cumplan requisitos formales o presenten indicios de suplantación.
  • Mantiene registro fotográfico/documental de solicitudes atendidas durante 3 años.
  • No será sancionado por retrasos cuando la solicitud sea ambigua, requiera verificación adicional o existan restricciones legales para la ejecución.

15. Menores de Edad

Nolvira IA no está dirigida a menores de 18 años. No recopilamos intencionalmente datos personales de menores de edad. Si usted es padre o tutor y considera que su hijo menor de 18 años nos ha proporcionado datos personales, contáctenos inmediatamente en privacidad@nolvira.app para proceder a su eliminación.

16. Tracking y Publicidad

Nolvira IA no realiza tracking de usuarios a través de aplicaciones o sitios web de terceros. No compartimos datos con redes publicitarias para fines de publicidad dirigida. No vendemos datos personales. Nuestra aplicación iOS no utiliza App Tracking Transparency porque no rastreamos actividad fuera de nuestra propia aplicación.

17. Cambios a esta Política

Podemos actualizar esta Política de Privacidad periódicamente. Publicaremos cualquier cambio en https://nolvira.app/privacy (inglés) y https://nolvira.app/privacidad (español). Si los cambios son sustanciales, le notificaremos por correo electrónico con al menos 7 (siete) días naturales de anticipación. La fecha de la última actualización se indica al final de este documento.

18. Contacto

Para preguntas sobre esta Política de Privacidad, ejercicio de derechos o solicitudes de privacidad, contáctenos en:

Última actualización: 6 de mayo de 2026.

Aviso de Privacidad Simplificado

Responsable: Nolvira Tecnología Fiscal, S.A.S., actuando bajo el nombre comercial Nolvira IA. RFC: [PENDIENTE - RFC PERSONA MORAL]. Domicilio fiscal: Tecoyotitla 320-2, Florida, Álvaro Obregón, CDMX, 01030. Contacto de privacidad: privacidad@nolvira.app.

¿Qué datos recopilamos? Nombre, correo electrónico, contraseña (hasheada con bcrypt/Argon2), RFC, régimen fiscal, TIN/EIN (si aplica), CFDIs XML, imágenes de recibos/facturas, movimientos bancarios vía CSV (sin credenciales bancarias), cuentas contables que crees, datos de suscripción (Stripe Customer ID) y datos técnicos (IP, user agent, tokens de sesión). Datos sensibles incidentales: en documentos que cargues podrían aparecer datos de salud, religión, ideología, afiliación sindical o preferencias sexuales; al cargarlos, autorizas su tratamiento incidental. No recopilamos datos de menores de 18 años, biométricos, de salud como finalidad principal, credenciales bancarias ni e-firma (FIEL).

¿Para qué los usamos? Para crear tu cuenta, procesar y organizar tus comprobantes fiscales, calcular impuestos y obligaciones fiscales, cobrar tu suscripción, enviarte recordatorios fiscales y alertas de seguridad, brindarte soporte, cumplir obligaciones legales y prevenir fraudes.

¿Transferimos tus datos a otros países? Sí. Tus datos personales se comunican a encargados del tratamiento ubicados en Estados Unidos (Stripe, OpenAI, Vercel, Supabase, Firebase) para el funcionamiento técnico del servicio. Esta comunicación a encargados se legitima por contrato (DPA) y NO requiere consentimiento adicional bajo el artículo 35 de la LFPDPPP 2025. Sin embargo, dicha comunicación implica una transferencia internacional conforme al artículo 36 de la LFPDPPP 2025, ya que Estados Unidos no ha sido declarado como país con nivel de protección equivalente. Requerimos tu consentimiento expreso para estas transferencias internacionales.

Terceros con fines independientes: Apple App Store, Google Play Store (distribución) y SAT (validación de CFDIs cuando tú autorices) pueden recibir datos para fines propios o adicionales.

Entiendo y acepto que la transferencia internacional de datos a Estados Unidos implica riesgos inherentes a la protección de datos, incluyendo posibles accesos por autoridades estadounidenses bajo legislación local.

Acepto que Nolvira ha implementado medidas de seguridad razonables pero no puede garantizar protección absoluta contra accesos no autorizados.

¿Cuáles son tus derechos? Acceso, rectificación, cancelación, oposición y revocación de consentimiento. Para ejercerlos, escribe a arco@nolvira.app. Plazo de respuesta: 20 días hábiles. Nolvira se reserva el derecho de negar solicitudes ARCO que no cumplan requisitos formales o presenten indicios de suplantación.

¿Cómo eliminar tu cuenta? Desde la app iOS (Configuración > Privacidad y Seguridad > Eliminar mi cuenta) o por correo a arco@nolvira.app.

Limitación de responsabilidad: Nolvira no será responsable por daños derivados de accesos no autorizados no imputables a negligencia grave, vulnerabilidades de terceros, actos u omisiones del usuario en materia de seguridad (contraseñas débiles, compartir credenciales), o fuerza mayor.

Para conocer los detalles completos, consulta nuestro Aviso de Privacidad Integral en: https://nolvira.app/privacidad

[ ] He leído y acepto el Aviso de Privacidad Simplificado. Entiendo que mis datos personales serán tratados conforme a lo descrito y autorizo expresamente la transferencia internacional de mis datos a encargados en Estados Unidos para la prestación del servicio. Entiendo y acepto que dicha transferencia implica riesgos inherentes a la protección de datos, incluyendo posibles accesos por autoridades estadounidenses bajo legislación local. Acepto que Nolvira ha implementado medidas de seguridad razonables pero no puede garantizar protección absoluta contra accesos no autorizados. Reconozco que puedo consultar el Aviso de Privacidad Integral en https://nolvira.app/privacidad.

Consentimiento para Transferencia Internacional de Datos

Texto del consentimiento (registro)

[ ] Consiento expresamente la transferencia internacional de mis datos personales

Entiendo y acepto que Nolvira IA (Responsable: Nolvira Tecnología Fiscal, S.A.S., RFC [PENDIENTE - RFC PERSONA MORAL]) transferirá mis datos personales a los siguientes encargados y terceros ubicados en Estados Unidos de América, para las finalidades que a continuación se indican:

A) Encargados del Tratamiento (comunicación legitima por contrato/DPA; no requiere consentimiento adicional, pero requiere consentimiento expreso para la transferencia internacional al amparo del art. 36 LFPDPPP 2025)

ReceptorFinalidad de la transferencia
Stripe, Inc.Procesamiento de pagos de suscripción, gestión de mi identificador de cliente (Stripe Customer ID), generación de invoices y administración de mi plan de suscripción. Stripe es responsable exclusivo del cumplimiento PCI DSS.
OpenAI, L.L.C.Procesamiento temporal de imágenes y archivos PDF de recibos y facturas que yo cargue, mediante la Vision API, para extraer datos relevantes (montos, conceptos, fechas, RFCs). OpenAI no utilizará mis datos para entrenar modelos de IA (salvo que yo opte explícitamente). Configuración: store=false, no retention, Vision API. OpenAI es responsable de la seguridad de sus propios servidores conforme al DPA suscrito.
Vercel Inc.Hosting y despliegue de la plataforma web (frontend y API), incluyendo almacenamiento temporal de logs y contenido estático necesario para la operación del servicio. Responsabilidad acotada a su contrato de servicio.
Supabase Inc.Alojamiento de la base de datos PostgreSQL que contiene mis datos fiscales y de cuenta, con cifrado en reposo (AES-256). RLS habilitado. Responsabilidad acotada a su contrato de servicio.
Google LLC (Firebase)Autenticación de mi cuenta, gestión de tokens de sesión, notificaciones push y operaciones de identidad. MFA disponible. Responsabilidad acotada a su contrato de servicio.

B) Co-responsables / Terceros con fines independientes

ReceptorFinalidad de la transferencia
Apple Inc.Distribución de la aplicación iOS, autenticación mediante Sign in with Apple, y gestión de suscripciones a través del App Store.
Google LLC (Play Store)Distribución futura de la aplicación Android, cuando aplique.

C) Transferencia nacional a tercero con fines independientes (requiere autorización expresa del usuario)

ReceptorFinalidad de la transferencia
Servicio de Administración Tributaria (SAT)Validación de mis CFDIs únicamente cuando yo autorice expresamente dicha funcionalidad en la plataforma.

Declaro que entiendo lo siguiente:

  1. Estados Unidos no ha sido declarado por la autoridad mexicana competente (Secretaría Anticorrupción y Buen Gobierno) como país con un nivel de protección de datos personales equivalente al de México, conforme al artículo 36 de la LFPDPPP 2025.
  2. Esta transferencia internacional es necesaria para la prestación del servicio SaaS de Nolvira IA, toda vez que los encargados identificados son indispensables para el funcionamiento técnico, de pagos y de autenticación de la plataforma.
  3. Nolvira IA ha suscrito acuerdos de procesamiento de datos (Data Processing Agreements) con dichos encargados, mediante los cuales se obligan a mantener la confidencialidad, implementar medidas de seguridad y tratar mis datos únicamente para las finalidades autorizadas.
  4. Tengo derecho a revocar este consentimiento en cualquier momento, enviando un correo electrónico a arco@nolvira.app con el asunto "REVOCACION DE CONSENTIMIENTO DE TRANSFERENCIA". Entiendo que la revocación de este consentimiento implicará la imposibilidad técnica de continuar utilizando el servicio, por lo que se procederá a la cancelación de mi cuenta conforme al procedimiento establecido en el Aviso de Privacidad Integral.
  5. El ejercicio de mis derechos ARCO (acceso, rectificación, cancelación, oposición) no se ve afectado por este consentimiento y puede realizarse en cualquier momento contactando a arco@nolvira.app. Nolvira se reserva el derecho de negar solicitudes ARCO que no cumplan requisitos formales o presenten indicios de suplantación.
  6. Entiendo y acepto que la transferencia internacional de datos a Estados Unidos implica riesgos inherentes a la protección de datos, incluyendo posibles accesos por autoridades estadounidenses bajo legislación local.
  7. Acepto que Nolvira ha implementado medidas de seguridad razonables pero no puede garantizar protección absoluta contra accesos no autorizados.
  8. Nolvira no será responsable por daños derivados de: (a) accesos no autorizados no imputables a negligencia grave de Nolvira, (b) vulnerabilidades de proveedores de terceros, (c) actos u omisiones del usuario en materia de seguridad (contraseñas débiles, compartir credenciales), (d) fuerza mayor o ataques cibernéticos sofisticados que superen el estado del arte de protección.