artu
Volver al inicio
Volver al inicio
Legal

Aviso de Privacidad Integral

ARTU AI, S.A.P.I. de C.V. ("Artu") — Fecha de última actualización: 28 de octubre de 2025

Responsable del tratamiento

Artu AI, S.A.P.I. de C.V., con domicilio en Monte Elbruz 132, Piso 7, Oficina 701, Col. Lomas de Chapultepec III Sección, Miguel Hidalgo, C.P. 11000, Ciudad de México, es responsable del tratamiento legítimo, controlado e informado de sus datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento. El presente aviso se pone a su disposición previo a recabar sus datos, para que tome decisiones informadas.

Puntos de contacto del Oficial de Privacidad: admin@artu.ai | +52 55 5947 4943

1) Datos personales que tratamos

De forma enunciativa, podemos recabar las siguientes categorías:

  • Identificación: nombre, nacionalidad, fecha y lugar de nacimiento, CURP, RFC, firma, identificaciones oficiales (INE, pasaporte, cédula), fotografía y biometría de verificación (prueba de vida/1:1) cuando sea necesaria.
  • Contacto: domicilios, correos electrónicos, teléfonos y mensajería profesional.
  • Laborales/representación: puesto, empresa, poderes, beneficiario controlador (UBO), estatus PEP, vínculos societarios.
  • Fiscales/financieros: razón/denominación social, datos para facturación/pagos/CLABE.
  • Autenticación/seguridad: credenciales (hash), tokens, MFA, bitácoras y registros de auditoría.
  • Uso del servicio/técnicos: IP, identificadores de dispositivo, navegador/OS, zona horaria, eventos de app, cookies y tecnologías similares.
  • Soporte/comunicaciones: tickets, correos, evidencias, encuestas y, cuando se informe previamente, grabaciones de llamadas/videollamadas.
  • Datos cargados por clientes: información de usuarios/clientes finales/proveedores/beneficiarios para fines de compliance; en estos casos actuamos como encargados conforme a instrucciones del cliente.
  • Reclutamiento: CV, historial académico-laboral y referencias.
  • Menores de edad: no recabamos deliberadamente datos de menores; si se identifican sin consentimiento del tutor, se eliminarán de forma segura.
  • Datos sensibles: solo cuando sean indispensables (p. ej., biometría), con consentimiento expreso por escrito y salvaguardas reforzadas.

2) Finalidades del tratamiento

A) Finalidades necesarias para la relación jurídica:

  • KYC/KYB/AML (PLD/FT): verificación de identidad (incluida prueba de vida/biometría), listas de control/sanciones, matrices de riesgo, monitoreo transaccional, generación/envío de avisos/reportes, cumplimiento de requerimientos de autoridad y auditorías.
  • Prestación de servicios de Artu: alta y administración de cuentas, autenticación y control de accesos, gestión de casos y evidencias, integraciones por API y soporte técnico.
  • Facturación, cobranza y pagos; administración contable y fiscal.
  • Gestión de proveedores y terceros con acceso operativo estrictamente necesario.
  • Conservación y archivo por plazos legales; defensa de derechos y 'legal hold'.

B) Finalidades adicionales (opcionales):

  • Comunicaciones comerciales (nuevos productos, actualizaciones, eventos/demos).
  • Calidad y mejora (encuestas, métricas de uso, analítica con datos disociados/anonimizados); entrenamiento/validación de modelos con datos disociados.
  • Testimonios/marketing identificable solo con consentimiento expreso.

Puede oponerse a finalidades adicionales escribiendo a admin@artu.ai (asunto: "Oposición finalidades adicionales").

3) Fundamentos de licitud y consentimiento

Tratamos datos con base en: (i) consentimiento (expreso o tácito), (ii) cumplimiento de disposiciones jurídicas (p. ej., LFPIORPI y normativa financiera), y (iii) atención de obligaciones derivadas de la relación jurídica. Para datos sensibles (p. ej., biométricos) se requiere consentimiento expreso por escrito (firma autógrafa o electrónica).

Supuestos sin consentimiento: tratamientos/transferencias previstos en ley, datos de fuentes públicas, disociación, cumplimiento de obligaciones derivadas de relación jurídica o mandato de autoridad.

4) Transferencias y remisiones

Remisiones a encargados: nube, verificación de identidad/biometría, listas de control, mensajería/correo, pagos, soporte/analítica (con datos disociados), auditoría y ciberseguridad, bajo contratos de encargo.

Transferencias a terceros responsables: filiales/controladoras, autoridades y organismos reguladores, contrapartes necesarias, asesores legales/contables/de cumplimiento y otros terceros indispensables. El receptor asumirá obligaciones equivalentes.

Transferencias internacionales: exigiremos obligaciones equivalentes (cláusulas contractuales/controles). Puede oponerse a transferencias no necesarias escribiendo a admin@artu.ai.

5) Seguridad e incidentes

Implementamos medidas administrativas, técnicas y físicas proporcionales al riesgo (cifrado, control de accesos, auditoría, gestión de vulnerabilidades, continuidad). Avisaremos oportunamente vulneraciones significativas que puedan afectar sus derechos.

6) Derechos ARCO y otros medios de control

Envíe un correo a admin@artu.ai con asunto "Solicitud ARCO" incluyendo: nombre y medio de contacto; identificación; descripción de los datos y del derecho; elementos para localizar datos. Para rectificación, adjunte documentación soporte.

Plazos: respuesta en 20 días hábiles; de proceder, ejecución en 15 días hábiles adicionales (con posible ampliación por otro periodo igual). Entrega en copia electrónica común y legible.

Improcedencia/limitación: falta de acreditación; datos inexistentes; derechos de terceros; impedimento legal o resolución; ejercicio previo del derecho.

Puede limitar uso/divulgación o revocar consentimiento por los medios previstos. La revocación no es retroactiva.

7) Conservación (retención) y supresión

Regla general: conservación mientras dure la relación y, después, por plazos legales o para defensa de derechos/requerimientos. Cumplidos los plazos, supresión o disociación.

AML/PLD (LFPIORPI): conservación mínima de 10 años de expedientes e informes vinculados a identificación y operaciones.

Facturación/contabilidad: plazos fiscales aplicables. Logs: hasta 24 meses (ampliables por investigación o requerimiento). Respaldos: borrado seguro al vencer plazos.

8) Cookies y tecnologías similares

Usamos cookies y tecnologías de seguimiento para medir uso, recordar preferencias y mejorar la experiencia. Puede deshabilitarlas en su navegador o usar mecanismos de opt-out. El bloqueo puede afectar funcionalidades.

9) Decisiones automatizadas y perfilamiento

Si usamos modelos/algoritmos que produzcan efectos jurídicos o afecten significativamente, podrá solicitar revisión humana, expresar su punto de vista u oponerse, conforme a la ley.

10) Rol de Artu como ENCARGADO vs. RESPONSABLE

10.1 Definiciones y alcance

Para efectos de la LFPDPPP y su Reglamento: "Responsable" es la persona física o moral que decide sobre el tratamiento de datos personales (fines y medios). "Encargado" es quien trata datos por cuenta del Responsable, conforme a sus instrucciones y únicamente para las finalidades instruidas.

10.2 Doble rol de Artu

(a) Cuando Artu administra cuentas, facturación, soporte, seguridad de la plataforma y analítica disociada, actúa como RESPONSABLE respecto de los datos de contacto y uso de la plataforma de sus usuarios/clientes. (b) Cuando los clientes cargan o transmiten datos de sus usuarios, empleados, proveedores, beneficiarios o contrapartes para procesos de KYC/KYB/AML/avisos, Artu actúa estrictamente como ENCARGADO y trata dichos datos conforme a instrucciones documentadas del cliente.

10.3 Deberes del Responsable (cliente)

El cliente, en su carácter de RESPONSABLE: (i) determina las finalidades y medios del tratamiento; (ii) proporciona y mantiene vigente su propio aviso de privacidad frente a los titulares cuyos datos recauda; (iii) recaba, cuando aplique, los consentimientos (incluidos los relativos a datos sensibles/biométricos y transferencias no indispensables); (iv) asegura la licitud, calidad, pertinencia y exactitud de los datos que ingresa a la Plataforma; (v) define políticas de conservación y supresión; (vi) atiende las solicitudes ARCO de sus titulares cuando Artu funge como ENCARGADO; y (vii) decide y asume las consecuencias de aprobación, rechazo, escalamiento o bloqueo derivados de sus procesos de cumplimiento.

10.4 Deberes del Encargado (Artu)

Cuando actúa como ENCARGADO, Artu: (i) tratará los datos únicamente conforme a instrucciones lícitas, documentadas y compatibles con las finalidades informadas por el Responsable; (ii) implementará medidas de seguridad administrativas, técnicas y físicas adecuadas al riesgo; (iii) auxiliará al Responsable para atender solicitudes ARCO cuando sea técnicamente posible y bajo instrucciones; (iv) informará sin demora indebida al Responsable sobre eventos de seguridad que puedan afectar datos tratados por cuenta de éste; (v) permitirá, en términos del contrato de encargo (DPA), verificaciones razonables de cumplimiento; y (vi) al término de la prestación, eliminará o devolverá los datos según instrucción, salvo obligaciones legales de conservación.

10.5 ARCO y contacto con titulares

(i) Cuando Artu sea ENCARGADO, canalizará al titular con el Responsable y/o lo asistirá conforme al DPA, sin responder de fondo en nombre del Responsable, salvo instrucción escrita y suficiente. (ii) Cuando Artu sea RESPONSABLE (p.ej., datos de cuentas, facturación, seguridad de acceso), atenderá directamente las solicitudes conforme a este Aviso.

10.6 Subencargados y transferencias

Artu podrá involucrar subencargados para funciones operativas (nube, verificación de identidad/biometría, listas, mensajería, seguridad, auditoría), bajo contratos que impongan obligaciones equivalentes de confidencialidad, seguridad, subcontratación y devolución/supresión.

10.7 Instrucciones ilícitas o desproporcionadas

Artu podrá rechazar o solicitar modificación de instrucciones que, a su juicio razonable, sean contrarias a la ley, desproporcionadas o técnicamente inviables; lo anterior no constituye incumplimiento de Artu.

10.8 Limitación de responsabilidad y consecuencias

a) Decisiones y consecuencias del Responsable. El cliente reconoce y acepta que toda decisión de aprobar, rechazar, escalar, reportar, bloquear o dar por terminada una relación con un titular, así como cualquier otra determinación de cumplimiento (KYC/KYB/AML), es adoptada por el RESPONSABLE y bajo su propio criterio y riesgo. Artu no asume responsabilidad por las consecuencias de dichas decisiones.

b) Contenido y veracidad de los datos. El cliente es el único responsable por la licitud, veracidad, calidad, pertinencia y actualización de los datos que proporcione o cargue; Artu no garantiza ni responde por errores, omisiones o falsedad en documentos o información de terceros, ni por desactualización de fuentes externas o listas de control mantenidas por terceros.

c) Uso de resultados y umbrales de riesgo. Los puntajes, alertas, coincidencias, métricas o banderas generadas por la Plataforma tienen carácter de apoyo operativo para el Responsable y no constituyen una determinación automática vinculante. Los umbrales y reglas de decisión son definidos por el Responsable.

d) Alcance técnico del servicio. Salvo pacto escrito, la Plataforma se opera bajo el principio de "mejores esfuerzos" técnicos y comerciales, sin garantía de disponibilidad ininterrumpida ni de detección exhaustiva de riesgos, fraudes o identidades falsas. Artu no responde por interrupciones o fallas atribuibles a servicios de terceros, canales de verificación, autoridades, proveedores de nube, o eventos de fuerza mayor/caso fortuito.

e) Responsabilidad por incidentes. Artu responderá únicamente por incumplimientos que le sean directa y exclusivamente imputables, hasta el límite de responsabilidad pactado en el contrato comercial/DPA correspondiente. En ningún caso será responsable por daños indirectos, consecuenciales, lucro cesante, pérdida de oportunidad o reputacionales.

f) Indemnidad del Responsable. El cliente mantendrá indemne a Artu frente a reclamaciones de titulares o autoridades que se originen en (i) instrucciones del cliente; (ii) uso contrario a la ley o al contrato; (iii) falta de aviso/consentimiento frente a titulares; (iv) contenido o licitud de los datos proporcionados por el cliente o recabados por éste.

g) Conservación legal. Cuando una norma exija conservar información (p. ej., LFPIORPI/AML por 10 años), Artu podrá mantener los datos estrictamente necesarios durante dichos plazos, aun si recibe instrucciones de supresión, informándolo al Responsable.

h) Canal de contacto y escalamiento. Cualquier notificación, instrucción o autorización vinculada a esta sección deberá realizarse a través del punto de contacto designado en el DPA/contrato. En ausencia de instrucciones claras, Artu podrá suspender temporalmente el tratamiento cuestionado y solicitar aclaración.

11) Modificaciones al aviso

Publicaremos modificaciones en www.artu.ai e indicaremos fecha de actualización. Para cambios sustanciales que requieran consentimiento, lo solicitaremos nuevamente.

12) Quejas y denuncias ante la autoridad

Puede contactarnos primero en admin@artu.ai (asunto: "Queja de privacidad"). También puede acudir a la autoridad competente en materia de protección de datos conforme a la LFPDPPP.

Consentimiento informado

Al proporcionar sus datos personales a Artu —salvo manifestación en contrario— usted reconoce haber leído este Aviso de Privacidad y otorga su consentimiento para que recabemos, tratemos y, en su caso, transfiramos sus datos conforme a las finalidades y condiciones aquí previstas, incluidas sus modificaciones que se publiquen oportunamente.