Documento Legal
Política de Privacidad
Resumen ejecutivo: Agath B&Co S.A. de C.V., con domicilio en Monterrey, Nuevo León, es responsable del tratamiento de sus datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Sus datos se usan exclusivamente para operar el Portal de Socios. Puede ejercer sus derechos ARCO escribiendo a privacidad@agath.com.mx.
1. Identidad y domicilio del responsable
Agath B&Co S.A. de C.V. (en adelante "Agath" o "el Responsable"), con domicilio en Monterrey, Nuevo León, México, es responsable del tratamiento de los datos personales que usted proporcione al utilizar el servicio denominado Portal Privado de Socios, accesible en https://app.agath.com.mx.
Para cualquier asunto relacionado con esta Política puede contactarnos en: privacidad@agath.com.mx
2. Datos personales que se recaban
El Portal recaba las siguientes categorías de datos personales:
| Categoría | Ejemplos | Fuente |
|---|---|---|
| Identificación | Nombre completo, correo electrónico, cargo | Directamente del titular |
| Contacto | Teléfono, redes de contacto | Directamente del titular |
| Acceso y seguridad | Contraseña (hash bcrypt), códigos TOTP, tokens de sesión | Generados por el sistema |
| Actividad en el Portal | Fecha de inicio de sesión, acciones realizadas, descargas de archivos | Generados automáticamente |
| Datos de Google (si conecta su cuenta) | Correo de cuenta Google, nombre, foto de perfil, eventos de calendario, metadatos de correos no leídos | API de Google OAuth 2.0 con su consentimiento explícito |
Datos sensibles: El Portal no recaba datos sensibles en los términos del Artículo 3 fracción VI de la LFPDPPP (origen racial, estado de salud, creencias religiosas, etc.).
3. Finalidades del tratamiento
Finalidades primarias (necesarias para la prestación del servicio):
- Autenticar y gestionar el acceso al Portal de Socios.
- Mostrar el avance de proyectos, métricas de campañas y activos de marca asociados a su cuenta.
- Gestionar solicitudes de sesiones de consultoría, soporte y capacitación.
- Permitir la descarga segura de archivos del Brand Kit con verificación de identidad (TOTP).
- Registrar una auditoría de acciones para seguridad y cumplimiento.
- Sincronizar eventos del calendario y correos no leídos del servicio Google cuando usted lo autoriza expresamente.
Finalidades secundarias (puede oponerse):
- Enviar comunicaciones sobre nuevas funcionalidades del Portal o servicios de Agath.
- Generar estadísticas agregadas y anónimas de uso del Portal.
Si no desea que sus datos sean tratados para finalidades secundarias, envíe un correo a privacidad@agath.com.mx con el asunto "Oposición finalidades secundarias".
4. Uso específico de datos provenientes de Google APIs
Cuando usted conecta voluntariamente su cuenta de Google mediante el flujo OAuth 2.0, el Portal obtiene acceso limitado a los siguientes recursos, únicamente con su consentimiento explícito:
| API de Google | Dato accedido | Uso en el Portal | Almacenamiento |
|---|---|---|---|
| Google Calendar | Eventos de la semana actual (título, fecha, link de Meet) | Mostrar agenda semanal en su dashboard personal | Cache 5 min · No se persisten eventos |
| Gmail | Metadatos de hasta 10 correos no leídos (asunto, remitente, fragmento) | Mostrar bandeja de entrada en su dashboard | Cache 2 min · No se almacenan cuerpos de correos |
| Google OAuth | Correo, nombre y foto de perfil de la cuenta Google | Identificar la cuenta conectada | Persistido mientras la conexión esté activa |
El Portal no lee, almacena ni procesa el contenido completo de sus correos electrónicos. Solo se accede a los metadatos (asunto, remitente, fecha, fragmento de texto). Los tokens de acceso de Google se almacenan encriptados con AES-256-GCM.
Puede revocar el acceso del Portal a su cuenta de Google en cualquier momento desde: myaccount.google.com/permissions o desde la sección Configuración → Conexiones dentro del Portal.
El uso que el Portal hace de la información obtenida de las APIs de Google se sujeta además a la Política de Datos de Usuario de los Servicios API de Google, incluyendo los requisitos de Uso Limitado.
5. Transferencias de datos
Sus datos personales no se venden, ceden ni transfieren a terceros, salvo:
- MongoDB Atlas (MongoDB Inc., EUA): Proveedor de base de datos en la nube. Procesa datos bajo el marco del Reglamento General de Protección de Datos (GDPR) y cláusulas contractuales estándar. Más información en mongodb.com/legal/privacy-policy.
- Google LLC (EUA): Únicamente cuando usted conecta su cuenta de Google, bajo las condiciones descritas en la Sección 4.
- Autoridades competentes: Cuando sea requerido por mandato judicial, autoridad administrativa o normativa aplicable en México.
Todas las transferencias a proveedores extranjeros se realizan bajo contratos que garantizan un nivel de protección equivalente al exigido por la LFPDPPP (Artículo 36).
6. Derechos ARCO y cómo ejercerlos
Conforme a la LFPDPPP (Capítulo IV), usted tiene derecho a Acceder, Rectificar, Cancelar u Oponerse (ARCO) al tratamiento de sus datos personales.
| Derecho | Descripción |
|---|---|
| Acceso | Conocer qué datos tenemos sobre usted y cómo los tratamos. |
| Rectificación | Corregir sus datos cuando sean inexactos o incompletos. |
| Cancelación | Solicitar la supresión de sus datos cuando no sean necesarios. |
| Oposición | Oponerse al tratamiento de sus datos para finalidades específicas. |
Para ejercer sus derechos, envíe una solicitud a privacidad@agath.com.mx indicando:
- Nombre completo y correo registrado en el Portal.
- Copia de identificación oficial.
- Descripción clara del derecho que desea ejercer.
- Cualquier documento que sustente su solicitud.
Responderemos en un plazo máximo de 20 días hábiles (Art. 24 LFPDPPP). Si su solicitud resulta procedente, tendremos 15 días hábiles adicionales para hacerla efectiva.
Si considera que su solicitud no fue atendida correctamente, puede presentar una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en home.inai.org.mx.
7. Medidas de seguridad
Agath implementa medidas técnicas, administrativas y físicas para proteger sus datos personales contra daño, pérdida, alteración, destrucción o uso no autorizado:
- Encriptación en tránsito mediante TLS 1.3 (HTTPS forzado).
- Encriptación en reposo con AES-256-GCM para datos sensibles.
- Autenticación de dos factores (TOTP — RFC 6238) para acceso al Portal.
- Control de acceso basado en roles (RBAC) con 5 niveles de permisos.
- Contraseñas almacenadas exclusivamente como hash bcrypt (12 rounds).
- Registro de auditoría de acciones con retención de 90 días.
- Infraestructura en VPS dedicado con firewall y monitoreo.
8. Uso de cookies y tecnologías similares
El Portal utiliza cookies técnicas necesarias para su funcionamiento:
| Cookie | Propósito | Duración |
|---|---|---|
| agath_access | Token de sesión JWT para autenticación | 24 horas |
| agath_refresh | Token de renovación de sesión | 7 días |
El Portal no utiliza cookies de seguimiento, analítica de terceros ni publicidad. Las cookies técnicas son estrictamente necesarias para la operación del servicio; no pueden desactivarse sin afectar su funcionamiento.
9. Conservación de datos
Sus datos se conservan mientras mantenga una relación contractual activa con Agath. Una vez concluida la relación:
- Datos de cuenta: 3 años conforme al Código de Comercio (Art. 46).
- Registros de auditoría: 90 días con eliminación automática.
- Tokens de Google: eliminados inmediatamente al desconectar la cuenta o al terminar la relación.
- Facturas y documentos financieros: 5 años conforme al SAT y CFF.
10. Cambios a esta Política
Agath se reserva el derecho de modificar esta Política en cualquier momento. Los cambios serán notificados mediante:
- Aviso visible en el Portal en la siguiente sesión del usuario.
- Correo electrónico a la dirección registrada cuando los cambios sean sustanciales.
El uso continuado del Portal tras la notificación implica la aceptación de los cambios.
11. Ley aplicable y jurisdicción
La presente Política se rige por las leyes de los Estados Unidos Mexicanos, en particular:
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, DOF 5-jul-2010).
- Reglamento de la LFPDPPP (DOF 21-dic-2011).
- Lineamientos del Aviso de Privacidad (DOF 17-ene-2013).
- NOM-151-SCFI-2016 (conservación de mensajes de datos).
Para cualquier controversia, las partes se someten a la jurisdicción de los tribunales competentes de la ciudad de Monterrey, Nuevo León, México, renunciando expresamente a cualquier otro fuero que pudiera corresponderles.
Agath B&Co S.A. de C.V. · Monterrey, Nuevo León, México · privacidad@agath.com.mx
Documento actualizado el 1 de junio de 2026. Version 1.0.