Aviso de privacidad integral

Sistemas Integrados en la Nube (en adelante, "Skye" o "el responsable"), con domicilio en [DOMICILIO_RESPONSABLE] y RFC [RFC_RESPONSABLE].

Departamento de Datos Personales: [NOMBRE_DPO]. Contacto: comunicacion@skye.group.

• Identidad: nombre, correo electrónico, fotografía de perfil (si la subes), idioma preferido.
• Autenticación: contraseña (almacenada con hash bcrypt, nunca en texto claro), identificador OAuth si usas Google.
• Contenido generado: proyectos, archivos, mensajes del chat, reportes y entregables que tú o tu organización suben.
• Telemetría de seguridad: IP de inicio de sesión, intentos fallidos, dispositivos confiables (User-Agent al activar "confiar en este dispositivo"), bitácora de auditoría.

No tratamos datos sensibles (salud, biometría, religión, ideología, orientación sexual). Si en el futuro incorporáramos alguna de estas categorías, te pediremos consentimiento expreso por separado.

Tratamos tus datos únicamente para las finalidades necesarias para prestarte el servicio. No los usamos para marketing, publicidad ni encuestas comerciales.

• Operar la plataforma SaaS multi-tenant que conecta empresas con solucionadores.
• Gestionar tu cuenta, autenticarte y aplicar control de acceso por rol.
• Permitirte crear, publicar y dar seguimiento a proyectos, milestones y entregables.
• Enviarte notificaciones operativas por correo (estado de proyectos, invitaciones, cambios relevantes).
• Generar reportes y bitácoras de auditoría para tu organización.
• Cumplir obligaciones legales (fiscales, contractuales, regulatorias).
• Proteger la plataforma contra abuso (rate-limit, bloqueo por intentos fallidos, detección de fraude).

• Cuenta activa: mientras uses la plataforma.
• Cuenta desactivada o solicitud de borrado: 30 días de retención, luego eliminación permanente (hard-delete).
• Bitácoras de auditoría: 2 años.
• Mensajes, archivos y entregables: hasta 5 años después del cierre del proyecto (obligaciones contractuales y de auditoría).
• Datos fiscales: los plazos legales aplicables en tu jurisdicción.

Tus datos pueden transferirse a los siguientes terceros, con quienes tenemos acuerdos de tratamiento que les obligan a las mismas medidas de protección que aplica el responsable:

• Amazon Web Services (AWS), región us-east-1 (EE.UU.): infraestructura de cómputo, base de datos y almacenamiento.
• Google LLC: autenticación federada OAuth 2.0 (solo si usas "Iniciar sesión con Google").
• Hostinger International: servidor SMTP saliente (envío de notificaciones por correo).

La lista actualizada de sub-encargados está en /sub-processors. Te avisaremos con al menos 30 días de antelación de cualquier cambio material.

Aplicamos medidas técnicas y organizativas razonables:

• Cifrado de datos en tránsito (TLS 1.2+).
• Contraseñas hasheadas con bcrypt (factor 12+).
• Autenticación opcional de dos factores (TOTP).
• Control de acceso por rol y aislamiento entre tenants.
• Bitácora de auditoría de acciones administrativas y críticas.
• Encabezados de seguridad HTTP (X-Frame-Options, Content-Type-Options, Referrer-Policy).
• Rate-limiting y bloqueo automático ante intentos de fuerza bruta.

En caso de vulneración de seguridad que afecte tus datos, notificaremos al titular y a la autoridad competente sin demora indebida (en los plazos exigidos por la ley aplicable: 72h GDPR; lo antes posible bajo LFPDPPP).

Tienes derecho a acceder, rectificar, cancelar (suprimir) y oponerte al tratamiento de tus datos. Puedes ejercerlos en cualquier momento:

• Desde tu perfil en la plataforma (descarga de datos en JSON, edición de perfil, solicitud de borrado).
• Escribiendo a comunicacion@skye.group.

Las secciones siguientes detallan los derechos específicos según la jurisdicción que te ampara.

La plataforma utiliza únicamente almacenamiento de sesión (sessionStorage) y localStorage para mantener tu sesión activa y recordar dispositivos confiables tras activar 2FA. Esto es estrictamente necesario para el funcionamiento del servicio y no requiere consentimiento adicional. No utilizamos cookies de marketing, analítica ni publicidad.

Cuando actualicemos este aviso te pediremos que lo aceptes de nuevo la próxima vez que entres a la plataforma. Mantenemos un registro de la versión que aceptaste y la fecha en que lo hiciste.

Versión actual: 1.0 · Última actualización: abril de 2026.

Para cualquier duda sobre este aviso o el tratamiento de tus datos, contacta al Departamento de Datos Personales en comunicacion@skye.group.

Si consideras que tus derechos no se atendieron correctamente, puedes recurrir a la autoridad competente en tu jurisdicción (ver secciones por jurisdicción a continuación).

Si resides en México, te aplica la Ley Federal de Protección de Datos Personales en Posesión de los Particulares(LFPDPPP) y su Reglamento.

Derechos ARCO

• Acceso (Art 23): conocer qué datos tuyos tratamos y para qué.
• Rectificación (Art 24): corregir datos inexactos o incompletos.
• Cancelación (Art 25): solicitar que eliminemos tus datos cuando estimes que no se usan conforme a la ley.
• Oposición (Art 27): oponerte al tratamiento para fines específicos cuando exista causa legítima.

Cómo ejercer ARCO

Envía tu solicitud al Departamento de Datos Personales a comunicacion@skye.group incluyendo:

1. Tu nombre y domicilio o medio para comunicarte la respuesta.
2. Documento que acredite tu identidad (o tu representante legal).
3. Descripción clara y precisa de los datos respecto de los que ejerces el derecho.
4. Cualquier elemento o documento que facilite la localización de los datos.

Tenemos 20 días hábiles para responderte y, en su caso, 15 días hábiles adicionales para hacerla efectiva. Sin costo, salvo gastos justificados de envío o reproducción.

Limitación de uso y divulgación

Puedes solicitar que limitemos el uso o divulgación de tus datos (Art 22) escribiendo al mismo correo.

Transferencias internacionales (Art 36-37)

Tus datos se transfieren a Estados Unidos (AWS) y otros países donde operan nuestros sub-encargados. Al aceptar este aviso consientes dichas transferencias. Los receptores asumen las mismas obligaciones que el responsable mediante cláusulas contractuales equivalentes a las Cláusulas Contractuales Tipo internacionales.

Autoridad de protección de datos

Si consideras que tu derecho fue lesionado, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): home.inai.org.mx.

Si resides en la UE, EEE o Reino Unido, te aplica el Reglamento General de Protección de Datos (UE) 2016/679 (GDPR) y la legislación nacional de tu país.

Tus derechos

• Acceso (Art 15): obtener copia de tus datos.
• Rectificación (Art 16).
• Supresión / "derecho al olvido" (Art 17).
• Limitación del tratamiento (Art 18).
• Portabilidad (Art 20): recibir tus datos en formato estructurado, comúnmente leíble por máquina (JSON).
• Oposición (Art 21).
• No ser objeto de decisiones automatizadas (Art 22). No aplicamos perfilado automatizado.

Base legal del tratamiento

• Art 6.1.b: ejecución del contrato de servicio.
• Art 6.1.a: consentimiento explícito al registrarte.
• Art 6.1.f: interés legítimo (seguridad de la plataforma, prevención de fraude) — equilibrado contra tus derechos.
• Art 6.1.c: obligación legal (auditoría, fiscal).

Transferencias fuera del EEE (Art 44+)

Las transferencias a Estados Unidos (AWS us-east-1) se amparan en las Cláusulas Contractuales Tipo de la Comisión Europea y la adhesión de AWS al EU-US Data Privacy Framework.

Plazo de respuesta y autoridad

Responderemos a tus solicitudes en 1 mes, prorrogable hasta 2 meses adicionales si la solicitud es compleja (te avisaríamos).

Puedes presentar una reclamación ante la autoridad de control de tu país de residencia. Para España: Agencia Española de Protección de Datos (AEPD): aepd.es. Para Cataluña: Autoritat Catalana de Protecció de Dades (APDCAT): apdcat.gencat.cat. Para otros países UE, consulta el directorio del Comité Europeo de Protección de Datos.

Si resides fuera de México y de la UE/EEE, te garantizamos como mínimo los derechos de acceso, rectificación, supresión y oposición al tratamiento de tus datos personales, ejercitables por los mismos medios descritos en la sección 7. Aplicaremos también la legislación local de protección de datos que te ampare cuando sea más protectora que las secciones anteriores.