Aviso de Privacidad Integral
Tratamiento de datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.
01 Identidad y domicilio del responsable
Centro de Investigación, Consultoría y Asistencia Científica y Social, S.A.S. de C.V. (en adelante, «CICACiS»), con Registro Federal de Contribuyentes CIC200721MA8 y domicilio fiscal en Río Grijalva 5517, Jardines de San Manuel, C.P. 72570, Puebla, Puebla, México, es responsable del tratamiento, uso y protección de los datos personales que recaba directa o indirectamente de sus titulares, en estricto apego a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y los Lineamientos del Aviso de Privacidad emitidos por la autoridad mexicana competente.
Para cualquier asunto relacionado con la protección de datos personales, así como para el ejercicio de los derechos ARCO descritos en el numeral 11, el titular podrá dirigirse a:
- Correo electrónico: contacto@cicacis.org
- Sitio web: www.cicacis.org
- Domicilio físico: Río Grijalva 5517, Jardines de San Manuel, C.P. 72570, Puebla, Puebla, México
02 Datos personales que se recaban
CICACiS recaba datos personales únicamente en la medida necesaria para cumplir las finalidades declaradas en el numeral 3. Los datos recabados se agrupan en las siguientes categorías:
Datos de identificación y contacto
Nombre completo, fecha de nacimiento, edad, género, nacionalidad, lugar de residencia (municipio/estado), correo electrónico, teléfono, RFC y, en su caso, identificación oficial.
Datos profesionales y académicos
Cargo, organización a la que pertenece, formación académica, experiencia profesional, áreas de especialización e idiomas.
Datos derivados del uso de servicios digitales
En el sitio web cicacis.org, el boletín y la plataforma SOFiA: dirección IP, tipo y versión de navegador, sistema operativo, fecha y hora de acceso, páginas visitadas, identificadores de sesión y métricas de uso. En SOFiA, además: nombre de usuario, contraseña cifrada, registros de actividad (logs) y contenido generado por la persona usuaria dentro de la plataforma.
Datos derivados de procesos de investigación y evaluación
Respuestas a encuestas, entrevistas, grupos focales, talleres participativos y otros instrumentos aplicados en el marco de proyectos de investigación social, evaluación de programas y consultorías. La naturaleza específica de estos datos se detalla en el formulario de consentimiento informado de cada proyecto.
Datos financieros y fiscales
Únicamente respecto de clientes, proveedores y personal: datos bancarios, CFDI, constancia de situación fiscal y demás información necesaria para el cumplimiento de obligaciones fiscales y contractuales.
03 Finalidades del tratamiento
Conforme al principio de finalidad establecido en el artículo 12 de la LFPDPPP, CICACiS trata los datos personales para los siguientes propósitos:
Finalidades primarias (necesarias para la relación jurídica)
- Prestar los servicios de consultoría, investigación, evaluación y formación contratados por el cliente.
- Recolectar, sistematizar y analizar información primaria en el marco de proyectos de investigación social y evaluación de programas, conforme a los protocolos éticos aprobados.
- Operar, administrar y mantener la plataforma SOFiA (LMS, Analytics, GRC) y sus módulos asociados.
- Gestionar la relación contractual con clientes, donantes, aliados, proveedores y personal.
- Emitir comprobantes fiscales y cumplir obligaciones tributarias, contables y laborales.
- Atender solicitudes, consultas y comunicaciones dirigidas a CICACiS.
- Cumplir requerimientos de autoridades competentes en términos de la legislación aplicable.
Finalidades secundarias (no necesarias, requieren consentimiento adicional)
- Envío del boletín institucional de CICACiS con noticias, publicaciones, eventos y convocatorias.
- Difusión de productos académicos en la Revista de Investigación SOFIA y otros canales institucionales (con consentimiento expreso del autor o participante).
- Realización de evaluaciones de satisfacción y mejora continua de servicios.
- Elaboración de estudios estadísticos agregados y anonimizados con fines de mejora institucional.
El titular podrá manifestar su negativa al tratamiento para finalidades secundarias en el momento del registro o posteriormente, conforme al procedimiento descrito en el numeral 11. Su negativa no será motivo para negar los servicios solicitados.
04 Fundamento legal y consentimiento
El tratamiento de datos personales por parte de CICACiS se sustenta en lo dispuesto por los artículos 6, 8, 9, 16 y 17 de la LFPDPPP, así como en los artículos 11 a 28 de su Reglamento.
Para los datos personales en general, se obtendrá el consentimiento tácito del titular cuando, puesto a su disposición el presente Aviso de Privacidad, no manifieste oposición. Para datos personales financieros o patrimoniales se requerirá consentimiento expreso. Para datos personales sensibles se requerirá consentimiento expreso y por escrito, conforme al artículo 9 de la Ley.
05 Tratamientos por tipo de titular
Atendiendo a la diversidad de relaciones jurídicas y operativas que CICACiS sostiene, se diferencian los siguientes tratamientos:
5.1 Visitantes del sitio web y suscriptores del boletín
Datos recabados: contacto, datos de navegación y, en su caso, preferencias de comunicación. Finalidad: enviar información institucional, gestionar comunicaciones y mejorar la experiencia del sitio. El servicio de boletín se opera a través de Substack (ver numeral 7).
5.2 Clientes, donantes, aliados y contactos comerciales
Datos recabados: identificación, contacto, profesionales, fiscales y financieros. Finalidad: ejecutar y administrar la relación contractual, emitir comprobantes fiscales, dar seguimiento a la entrega de servicios y mantener comunicación institucional.
5.3 Participantes en proyectos de investigación y evaluación
Datos recabados: los específicamente declarados en el protocolo ético y formulario de consentimiento informado de cada proyecto. Finalidad: generar conocimiento social aplicado, evaluar programas y producir informes para el cliente contratante y, en su caso, para difusión académica con autorización expresa.
Compromiso institucional: en proyectos que involucren a niñas, niños y adolescentes (NNA), personas defensoras de derechos humanos, poblaciones en situación de movilidad humana o cualquier grupo en vulnerabilidad, CICACiS aplica protocolos reforzados de consentimiento informado, protección de identidad, almacenamiento cifrado local y supresión segura, conforme a los principios Do No Harm, PSEAH y Keeping Children Safe.
5.4 Personas usuarias de la plataforma SOFiA
Datos recabados: identificación, contacto, credenciales de acceso (con contraseña cifrada), logs de actividad y contenido generado dentro de la plataforma. Finalidad: prestar los servicios de la plataforma SOFiA en sus módulos LMS, Analytics, GRC y, cuando aplique, el agente Gekko IA. La instancia de SOFiA contratada por cada cliente se opera bajo el principio de aislamiento de datos: el cliente es responsable del tratamiento de los datos cargados en su instancia, y CICACiS actúa como encargado en términos del artículo 50 del Reglamento de la LFPDPPP.
5.5 Personal y colaboradores de CICACiS
Datos recabados: identificación, contacto, académicos, profesionales, fiscales, bancarios y, en su caso, datos de salud necesarios para la relación laboral. Finalidad: gestión laboral, nómina, cumplimiento de obligaciones patronales y desarrollo profesional. Estos titulares cuentan con un aviso de privacidad específico.
06 Datos personales sensibles y datos de NNA
De conformidad con el artículo 3 fracción VI de la LFPDPPP, se consideran datos personales sensibles aquellos que afecten la esfera más íntima del titular o cuya utilización indebida pueda dar lugar a discriminación o conlleve un riesgo grave.
Política categórica de CICACiS sobre datos sensibles: los testimonios, datos identificables de personas defensoras de derechos humanos, información de NNA y cualquier dato sensible primario recolectado en el marco de investigaciones se procesan exclusivamente con MAXQDA en almacenamiento local cifrado, bajo control de la persona investigadora responsable del proyecto. Estos datos no se procesan, en ningún caso y bajo ninguna circunstancia, mediante herramientas de inteligencia artificial externas, ni se transfieren a servidores en la nube de proveedores de IA, ni se utilizan para el entrenamiento de modelos.
Para datos de NNA, el consentimiento informado se obtiene de la persona que ejerce la patria potestad o tutela legal, complementado con el asentimiento del propio NNA mediante materiales adaptados a su edad y contexto. Los reportes finales se anonimizan; las bases en crudo se conservan únicamente durante el período declarado en el protocolo ético y se suprimen mediante procedimientos seguros al concluir el proyecto.
07 Transferencias y encargados del tratamiento
CICACiS no comercializa ni cede datos personales a terceros con fines de lucro. No obstante, para la operación de sus servicios se apoya en proveedores tecnológicos que actúan como encargados del tratamiento en términos del artículo 50 del Reglamento de la LFPDPPP, o como destinatarios de transferencias necesarias. La siguiente tabla detalla los principales:
| Encargado / Destinatario | Finalidad | Jurisdicción | Datos involucrados |
|---|---|---|---|
| TMD Hosting | Alojamiento del sitio web cicacis.org y de la plataforma SOFiA (servidores compartidos cPanel) | Estados Unidos | Todos los datos de las personas usuarias del sitio y la plataforma |
| Substack | Operación del boletín institucional y portal cicacis.substack.com | Estados Unidos | Correo electrónico, nombre y métricas de interacción |
| Google LLC (Google Workspace) | Correo institucional, almacenamiento documental (Drive) y herramientas colaborativas | Estados Unidos / global | Datos contenidos en correos y archivos institucionales |
| Anthropic, PBC (Claude / Gekko IA) | Procesamiento de consultas dirigidas al agente Gekko IA dentro de SOFiA | Estados Unidos | Únicamente las consultas y contenido que la persona usuaria envíe explícitamente al asistente (ver numeral 8) |
| Autoridades fiscales y regulatorias | Cumplimiento de obligaciones legales en México | México | Datos fiscales y financieros conforme a la ley aplicable |
Las transferencias internacionales a Estados Unidos se realizan al amparo de los supuestos previstos en el artículo 37 de la LFPDPPP y bajo cláusulas contractuales que obligan a los encargados a observar el mismo nivel de protección que CICACiS. El titular podrá solicitar mayor detalle sobre estas cláusulas escribiendo a contacto@cicacis.org.
08 Uso de inteligencia artificial (Gekko IA)
CICACiS ofrece el agente Gekko IA, desarrollado en alianza con Gekkonect, como funcionalidad opcional dentro de la plataforma SOFiA. Gekko IA opera sobre la API de Anthropic (modelo Claude). El tratamiento de datos a través de este componente observa los siguientes principios:
- Opt-in explícito: ninguna interacción con Gekko IA ocurre de manera automática. El contenido procesado por el agente es únicamente aquel que la persona usuaria envía deliberadamente al asistente.
- No-entrenamiento: conforme a los términos contractuales vigentes con Anthropic, los datos enviados a la API no se utilizan para entrenar modelos.
- Retención mínima: CICACiS configura las solicitudes a la API bajo políticas de retención mínima conforme a las opciones disponibles del proveedor.
- Exclusión categórica de datos sensibles primarios: conforme al numeral 6, los datos sensibles recolectados en investigaciones no se procesan mediante Gekko IA ni mediante ninguna otra herramienta de inteligencia artificial externa.
- Supervisión humana: las salidas generadas por Gekko IA tienen carácter informativo y de apoyo. Las decisiones institucionales o evaluativas son tomadas por personas, no por el sistema automatizado.
La persona usuaria es responsable del contenido que envía a Gekko IA y se compromete a no introducir en el asistente datos personales sensibles de terceros sin el consentimiento correspondiente.
09 Cookies y tecnologías de rastreo
El sitio cicacis.org utiliza cookies y tecnologías similares con los siguientes propósitos:
- Cookies estrictamente necesarias: requeridas para el funcionamiento del sitio (sesión, autenticación, preferencias básicas). No requieren consentimiento.
- Cookies analíticas: permiten conocer de forma agregada y anonimizada el uso del sitio para mejorarlo. Requieren consentimiento previo del titular.
- Cookies funcionales: recuerdan preferencias de idioma o presentación.
CICACiS no utiliza cookies con fines publicitarios ni para perfilamiento comercial. El titular puede gestionar las cookies desde la configuración de su navegador o mediante el panel de preferencias disponible en el sitio. La desactivación de cookies estrictamente necesarias puede afectar la funcionalidad del sitio.
10 Medidas de seguridad y conservación
CICACiS ha implementado medidas administrativas, técnicas y físicas razonables para proteger los datos personales contra pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado, conforme a los artículos 19 y 20 de la LFPDPPP y al estándar institucional definido en su Política de Seguridad de la Información v1.0. Entre ellas:
- Cifrado en tránsito (TLS) y en reposo para bases de datos sensibles.
- Control de acceso basado en roles (RBAC) y autenticación robusta.
- Registro y monitoreo de accesos (logs) en la plataforma SOFiA.
- Respaldos periódicos y procedimientos de recuperación documentados en el Plan de Continuidad del Negocio v1.0.
- Capacitación periódica del personal en protección de datos y seguridad de la información.
- Acuerdos de confidencialidad con todo el personal, consultores y proveedores que tengan acceso a datos personales.
Los datos personales se conservan únicamente durante el tiempo necesario para el cumplimiento de las finalidades declaradas y los plazos legales aplicables (en particular, los previstos por la legislación fiscal y laboral). Concluido dicho plazo, los datos se suprimen o se someten a procesos de disociación irreversible.
11 Derechos ARCO y revocación del consentimiento
El titular o su representante legal podrá ejercer en cualquier momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) respecto al tratamiento de sus datos personales, así como revocar el consentimiento otorgado, conforme a lo dispuesto por los artículos 22 a 35 de la LFPDPPP.
Procedimiento
La solicitud deberá presentarse por escrito al correo contacto@cicacis.org e incluir:
- Nombre del titular y medio para recibir comunicaciones.
- Documentos que acrediten su identidad o, en su caso, la representación legal.
- Descripción clara y precisa de los datos sobre los que se ejerce el derecho.
- Cualquier otro elemento que facilite la localización de los datos.
Plazos de respuesta
CICACiS dará respuesta a la solicitud en un plazo máximo de 20 días hábiles a partir de su recepción. De resultar procedente, la solicitud se hará efectiva dentro de los 15 días hábiles siguientes a la respuesta. Ambos plazos podrán ampliarse por una sola vez por un período igual cuando las circunstancias del caso lo justifiquen.
El ejercicio de los derechos ARCO es gratuito; únicamente podrán cobrarse los gastos justificados de envío o de reproducción en copias u otros formatos.
12 Limitación de uso y divulgación
El titular podrá limitar el uso o divulgación de sus datos personales mediante solicitud al correo señalado en el numeral 11. CICACiS mantiene un registro interno de las personas que han manifestado tal limitación, con el fin de respetarla en todos los tratamientos subsecuentes.
Asimismo, el titular podrá inscribirse en el Registro Público de Consumidores (REPEP) y en el Registro Público de Usuarios (REUS), según corresponda, conforme a las disposiciones aplicables.
13 Modificaciones al aviso
CICACiS se reserva el derecho de modificar el presente Aviso de Privacidad en cualquier momento, atendiendo a novedades legislativas, jurisprudenciales, criterios de la autoridad, cambios en su modelo de negocio o nuevos requerimientos para la prestación de sus servicios.
Las modificaciones se harán del conocimiento de los titulares mediante publicación en el sitio web www.cicacis.org y, cuando se trate de cambios sustanciales, mediante comunicación directa por los medios de contacto registrados. La fecha de la última actualización se consignará en el encabezado del documento.
14 Autoridad competente
El titular que considere que su derecho a la protección de datos personales ha sido vulnerado por una conducta u omisión de CICACiS, o que presuma alguna violación a las disposiciones de la LFPDPPP, podrá interponer la denuncia o queja correspondiente ante la autoridad mexicana competente en materia de protección de datos personales.
Para mayor información, consulte el sitio oficial de la autoridad competente o comuníquese previamente con CICACiS al correo contacto@cicacis.org para buscar una solución conciliatoria.