MiaVolver al inicio

Legal

Aviso de Privacidad

Última actualización: 6 de mayo de 2026

El presente Aviso de Privacidad regula el tratamiento de los datos personales que el Responsable recaba a través de la plataforma Mia (sitio web https://mia.miaogo.com.mx y aplicación móvil disponible en App Store y Google Play, en adelante, el "Servicio"), con pleno apego a lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares ("LFPDPPP"), su Reglamento y demás disposiciones aplicables.

1. Responsable

El responsable del tratamiento de los datos personales es Carlos Stefano Fragoso Martínez (el "Responsable", opera comercialmente como Miaogo / Mia), con domicilio en:

Calle Sergio Butrón #8, Col. Alfredo V. Bonfil
Cancún, Benito Juárez, Quintana Roo, C.P. 77560, México

Correo de contacto para asuntos de privacidad: contacto@miaogo.com.mx

2. Modelo de tratamiento (importante)

Mia opera bajo dos roles distintos según el titular de los datos:

  • Responsable directo: respecto de los datos personales de los administradores del negocio (titulares de la cuenta del Servicio): correo, nombre, número de WhatsApp del admin, datos de pago, etc.
  • Encargado del tratamiento (art. 3 fr. IX LFPDPPP): respecto de los datos personales de los clientes finales que interactúan vía WhatsApp con el negocio (mensajes, número de teléfono, nombre). En este caso, el negocio contratante del Servicio es el Responsable directo de esos datos; nosotros únicamente los tratamos conforme a sus instrucciones.

Si tú interactuaste con un negocio mediante WhatsApp y deseas ejercer derechos sobre tus datos, contáctanos a contacto@miaogo.com.mx y canalizaremos tu solicitud al negocio responsable, o bien contacta directamente al negocio.

3. Datos personales que tratamos

Para las finalidades señaladas más adelante, podemos tratar las siguientes categorías de datos personales:

  • Datos del administrador (Responsabilidad directa): nombre, correo electrónico, número de WhatsApp del admin, contraseña hasheada o identificadores OAuth (Google/Apple Sign-In), identificadores de dispositivo móvil para notificaciones push. Si usas Apple Sign-In con la opción "Ocultar mi correo", recibimos un correo de relay de Apple con dominio @privaterelay.appleid.com que tratamos exactamente igual que un correo directo y no intentamos correlacionarlo con tu identidad real.
  • Datos de los clientes finales (Encargo): número de teléfono, nombre (si lo proporciona el cliente o el negocio lo registra), contenido de mensajes intercambiados con el negocio (texto, audios, imágenes, documentos) y metadatos (timestamps, status de entrega).
  • Datos de operación: citas agendadas, historial de conversaciones, base de conocimiento del asistente de IA, configuración de módulos.
  • Datos fiscales: RFC, razón social, régimen fiscal y domicilio fiscal del negocio, únicamente cuando se activa el módulo de facturación electrónica (CFDI). El cliente final también puede proporcionar su RFC al solicitar factura.
  • Datos de pago: únicamente metadatos relacionados con la transacción del negocio (monto, método, estatus, referencia). El Responsable no almacena números de tarjeta, CVV ni credenciales bancarias — esos datos son procesados directamente por Stripe bajo sus propios términos y medidas de seguridad PCI-DSS.
  • Datos técnicos: sistema operativo, versión de la app, identificador anónimo de instalación (Expo push token), logs de error y eventos del sistema.

No recabamos intencionalmente datos considerados sensibles en términos del artículo 3, fracción VI de la LFPDPPP. En caso de que un cliente final comparta datos sensibles a través de la conversación de WhatsApp con el negocio (por ejemplo, datos de salud cuando interactúa con un consultorio), dichos datos son tratados como parte del contenido del mensaje, bajo la responsabilidad directa del negocio contratante.

4. Finalidades del tratamiento

Los datos personales serán utilizados para las siguientes finalidades primarias, necesarias para la prestación del Servicio:

  • Crear y mantener la cuenta del negocio en el Servicio.
  • Procesar mensajes recibidos vía WhatsApp Business API y generar respuestas automáticas mediante el asistente de inteligencia artificial conforme a la configuración del negocio.
  • Gestionar citas, recordatorios y notificaciones a los clientes finales del negocio.
  • Emitir facturas electrónicas (CFDI 4.0) cuando se active el módulo correspondiente, conforme a los requisitos del SAT.
  • Enviar notificaciones push a la aplicación móvil del administrador sobre eventos relevantes (escalaciones, citas, avisos del sistema).
  • Facturar el Servicio al negocio y procesar pagos.
  • Atender solicitudes de soporte, dudas, reclamaciones y ejercicio de derechos ARCO.
  • Cumplir con obligaciones legales, fiscales, contables y de seguridad aplicables.

Adicionalmente, de manera secundaria y opcional, podemos tratar los datos para:

  • Análisis estadístico interno y agregado para mejorar el Servicio (sin re-identificar titulares).
  • Envío ocasional al administrador de información sobre nuevas funciones, casos de éxito o boletines de Mia.

Puedes oponerte al tratamiento para finalidades secundarias en cualquier momento, sin que ello afecte la prestación del Servicio, escribiéndonos a contacto@miaogo.com.mx.

5. Transferencias y subencargados

Para operar el Servicio, ciertos datos personales son transferidos o procesados por los siguientes encargados y terceros, que actúan exclusivamente conforme a nuestras instrucciones (o las del negocio contratante, según corresponda) y bajo obligaciones de confidencialidad equivalentes a las establecidas por la LFPDPPP:

  • Meta Platforms, Inc. (Estados Unidos): envío y recepción de mensajes a través de WhatsApp Business Cloud API. Los datos pasan necesariamente por la infraestructura de Meta para entregarse al destinatario final.
  • Clerk Inc. (Estados Unidos): gestión de autenticación, sesiones y multi-tenant en web y aplicación móvil.
  • Google LLC (Estados Unidos): modelos de inteligencia artificial Gemini para procesamiento de lenguaje natural y transcripción de audios. Los mensajes enviados a Gemini se procesan únicamente para generar la respuesta solicitada y no se utilizan para entrenar modelos de Google.
  • Stripe, Inc. (Estados Unidos): procesamiento de pagos y suscripciones del negocio contratante.
  • Facturapi (México): emisión de comprobantes fiscales digitales (CFDI) ante el SAT cuando el módulo está activo.
  • Vercel Inc., Neon Inc., Cloudflare Inc., Upstash Inc., Resend (Estados Unidos): infraestructura de hosting, base de datos PostgreSQL, almacenamiento de archivos, caché, colas de procesamiento y envío de correos transaccionales.
  • Apple Inc. y Google LLC: entrega de notificaciones push a través de Apple Push Notification service (APNs) y Firebase Cloud Messaging (FCM).
  • Autoridades competentes: en caso de requerimiento legal procedente de SAT, INAI, tribunales o autoridades administrativas.

Salvo por las transferencias anteriores o las que se deriven de una obligación legal, no cedemos, vendemos ni comercializamos datos personales a terceros con fines comerciales o publicitarios.

6. Derechos ARCO

Tienes derecho a conocer qué datos personales tenemos sobre ti, para qué los utilizamos y las condiciones del uso (Acceso); a solicitar la corrección de información inexacta (Rectificación); a solicitar la eliminación de tus datos cuando consideres que no están siendo utilizados conforme a los principios y deberes de la LFPDPPP (Cancelación); y a oponerte al uso de tus datos personales para fines específicos (Oposición).

Procedimiento. Para ejercer cualquiera de los derechos ARCO, escríbenos a contacto@miaogo.com.mx indicando: (i) nombre completo y medio para recibir notificaciones; (ii) documento que acredite tu identidad o representación legal; (iii) descripción clara y precisa de los datos respecto de los que ejerces el derecho y del derecho que pretendes ejercer; y (iv) cualquier otro elemento que facilite la localización de los datos.

Atenderemos tu solicitud dentro de los 20 días hábiles previstos por el artículo 32 de la LFPDPPP. Si la solicitud procede, la haremos efectiva dentro de los 15 días siguientes a la fecha en que se comunique la respuesta. El ejercicio de estos derechos es gratuito; sólo deberás cubrir, en su caso, los gastos justificados de envío o reproducción.

Eliminación inmediata desde la app móvil. Para facilitar el ejercicio del derecho de Cancelación, ofrecemos un mecanismo de auto-servicio dentro de la aplicación móvil de Mia (Más → Eliminar mi cuenta) que borra tu cuenta y datos personales asociados de manera inmediata. Más detalle en https://mia.miaogo.com.mx/data-deletion.

Plazos de retención. Mientras la cuenta esté activa, conservamos los datos de operación. Mensajes de WhatsApp y metadatos asociados se conservan por hasta 12 meses con fines de análisis y mejora del Servicio. Por obligaciones fiscales (CFDI 4.0 — conservación 5 años conforme al Código Fiscal de la Federación) y para protegernos contra fraude y disputas, ciertos registros transaccionales son conservados de manera anonimizada — sin posibilidad de re-identificarte — durante el periodo legal aplicable. Después de ese plazo, los registros se destruyen definitivamente. Logs de seguridad: 90 días. Respaldos automáticos del sistema: rotan en máximo 90 días.

7. Limitación de uso o divulgación

Puedes configurar directamente en la aplicación móvil los permisos de notificaciones push (Configuración del sistema). Para limitar el uso o divulgación de tus datos personales para finalidades secundarias (boletines, encuestas), envíanos un correo a contacto@miaogo.com.mx.

8. Revocación del consentimiento

Puedes revocar el consentimiento que nos hayas otorgado para el tratamiento de tus datos en cualquier momento. La revocación no tendrá efectos retroactivos ni impedirá el tratamiento estrictamente necesario para cumplir obligaciones legales aún pendientes.

  • Para finalidades primarias (lo que hace funcionar el Servicio): la revocación implica la baja de tu cuenta. Elimínala desde la app (Más → Eliminar mi cuenta) o desde el dashboard web.
  • Para finalidades secundarias: envíanos un correo a contacto@miaogo.com.mx.

9. Medidas de seguridad

El Responsable ha implementado medidas administrativas, técnicas y físicas razonables para proteger los datos personales frente a pérdida, uso indebido, acceso no autorizado, alteración o destrucción. Entre otras:

  • Cifrado en tránsito (TLS 1.2+) en todas las comunicaciones.
  • Cifrado AES-256-GCM en reposo para credenciales sensibles (tokens de WhatsApp Business, API keys).
  • Autenticación con factor único o múltiple (Google, Apple, email) gestionada por Clerk.
  • Aislamiento por tenant (cada negocio sólo puede acceder a sus propios datos).
  • Verificación de firmas HMAC en webhooks de Meta y Stripe.
  • Logs de auditoría de eventos sensibles.
  • Rotación periódica de credenciales y revisiones de seguridad.

Ningún sistema es absolutamente invulnerable; ante cualquier incidente relevante de seguridad daremos aviso conforme lo requiera la normativa aplicable.

10. Uso de cookies y tecnologías similares

El sitio web utiliza cookies estrictamente necesarias para autenticar sesiones y operar el Servicio. La aplicación móvil utiliza almacenamiento seguro del sistema operativo (Keychain en iOS, Keystore en Android) para persistir la sesión cifrada. No utilizamos cookies de terceros para publicidad comportamental, tracking cross-site, ni perfilamiento publicitario.

11. Menores de edad

El Servicio está dirigido a mayores de edad (18 años o más). Si detectamos que un menor se ha registrado sin autorización de sus padres o tutores, suspenderemos la cuenta y eliminaremos los datos conforme a la legislación aplicable.

12. Transferencias internacionales y figura de encargado

Es importante distinguir dos situaciones legalmente distintas:

  • Subencargados de infraestructura (Vercel, Neon, Cloudflare, Upstash, Resend, Clerk): operan como encargados y subencargados conforme a los artículos 36 y 51 del Reglamento de la LFPDPPP. Sus servicios constituyen herramientas tecnológicas para que el Responsable cumpla las finalidades del tratamiento; no se consideran transferencias en los términos del artículo 36 de la Ley.
  • Transferencias necesarias (Stripe para procesar pagos, Meta para entregar el mensaje al destinatario final, Google para procesar la consulta de IA, Apple/Google para entregar notificaciones push): se realizan conforme al artículo 37, fracción V de la LFPDPPP — transferencias necesarias para mantener o cumplir la relación jurídica entre el Responsable y el titular, y por tanto no requieren consentimiento expreso del titular.

Los proveedores listados procesan datos en Estados Unidos y otros países, bajo cláusulas contractuales de protección equivalente y certificaciones de seguridad estándar de la industria.

13. Cambios al Aviso de Privacidad

Este Aviso de Privacidad podrá actualizarse de tiempo en tiempo. La versión vigente será siempre la publicada en https://mia.miaogo.com.mx/aviso-de-privacidad. Cuando el cambio sea sustancial, lo notificaremos al correo registrado del administrador del negocio o dentro de la aplicación con al menos 30 días de anticipación. El uso continuado del Servicio después de tal notificación implica la aceptación del Aviso actualizado.

14. Autoridad competente

Si consideras que tu derecho a la protección de datos personales ha sido lesionado por alguna conducta u omisión de nuestra parte, o presumes alguna violación a la LFPDPPP, puedes presentar tu denuncia ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en home.inai.org.mx.

Política de privacidad (resumen)Condiciones del servicioEliminación de datos