← Volver al inicio
v2.0 · 2026-04-26
¿Eres cliente de Conecta PUI? Para descargar tu DPA con los datos de tu institución prellenados y firmar electrónicamente, ingresa al Centro de Cumplimiento de tu dashboard.

Acuerdo de Tratamiento de Datos Personales

SHA-256: 8ebc2b5294e5e9a0ce29867ef367723a7cbda26a6f99ce0ac8643d91b1eebcfe

Acuerdo de Tratamiento de Datos Personales (DPA)

Anexo al Contrato de Prestación de Servicios de Conecta PUI

Versión: 2.0 Última actualización: 26 de abril de 2026 Documento maestro. Esta es la versión canónica del DPA. La versión PDF descargable desde el dashboard se genera a partir de este archivo, sustituyendo los marcadores {{...}} por los datos del Cliente.

Preámbulo

El presente Acuerdo de Tratamiento de Datos Personales (en adelante, el "DPA" o el "Acuerdo") se celebra entre:

COMUNIDAD JOM, S.A. DE C.V., RFC CJO200417RI8, con domicilio en Antonio de la Luz 157, Fraccionamiento Tangamanga, C.P. 78269, San Luis Potosí, San Luis Potosí, México, operando bajo la marca comercial "Conecta PUI", representada por {{CONECTAPUI_REPRESENTANTE}} en su carácter de {{CONECTAPUI_CARGO}}, en adelante el "Encargado" o "Conecta PUI",

y

{{CLIENTE_RAZON_SOCIAL}}, RFC {{CLIENTE_RFC}}, con domicilio en {{CLIENTE_DOMICILIO}}, representada por {{CLIENTE_REPRESENTANTE}} en su carácter de {{CLIENTE_CARGO}}, en adelante el "Responsable" o el "Cliente",

conjuntamente denominadas las "Partes".

El presente DPA forma parte integral del Contrato de Prestación de Servicios suscrito entre las Partes (el "Contrato Principal") y regula el tratamiento de datos personales que Conecta PUI realiza por cuenta y orden del Cliente en el marco de los servicios contratados, de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la "LFPDPPP"), publicada en el DOF el 20 de marzo de 2025; su Reglamento; los Lineamientos del Aviso de Privacidad; los Lineamientos de la Plataforma Única de Identidad publicados en el DOF el 27 de noviembre de 2025; y el Manual Técnico PUI v1.0 publicado en el DOF el 13 de enero de 2026.

En caso de conflicto entre el presente DPA y el Contrato Principal respecto del tratamiento de datos personales, prevalecerán los términos del presente DPA.

1. Definiciones

Para efectos del presente Acuerdo, los siguientes términos tendrán el significado que se les atribuye, sin perjuicio de las definiciones contenidas en la LFPDPPP y su Reglamento:

  • Datos Personales: cualquier información concerniente a una persona física identificada o identificable que sea tratada en virtud del Contrato Principal (artículo 3 fracc. V LFPDPPP).
  • Datos Personales Sensibles: aquellos datos personales que afecten la esfera más íntima del titular, incluyendo de forma enunciativa más no limitativa, datos biométricos (artículo 3 fracc. VI LFPDPPP).
  • Titular: la persona física a quien corresponden los Datos Personales (artículo 3 fracc. XVII LFPDPPP).
  • Titular Final: persona física cuya identidad es verificada por el Cliente a través de los servicios de Conecta PUI conectados con la Plataforma Única de Identidad.
  • Plataforma Única de Identidad o PUI: la plataforma del gobierno federal mexicano destinada a la verificación de identidad de personas físicas, operada por la autoridad competente, conforme a los Lineamientos publicados en el DOF el 27 de noviembre de 2025.
  • Servicios: los servicios de software como servicio (SaaS) que Conecta PUI presta al Cliente, consistentes principalmente en la integración técnica y operativa con la PUI.
  • Subencargado: cualquier tercero contratado por Conecta PUI para apoyar en la prestación de los Servicios y que tenga acceso a Datos Personales (artículo 53 Reglamento LFPDPPP).
  • Vulneración de Seguridad: cualquier acceso, uso, divulgación, alteración, pérdida, destrucción o tratamiento no autorizado de Datos Personales (artículo 20 LFPDPPP).

2. Roles de las Partes

Las Partes reconocen y aceptan expresamente que, respecto del tratamiento de Datos Personales de Titulares Finales realizado en el marco del Contrato Principal:

  • El Cliente actúa como Responsable, determinando los fines y medios del tratamiento (artículo 3 fracc. XIV LFPDPPP).
  • Conecta PUI actúa como Encargado, tratando los Datos Personales únicamente por cuenta del Cliente y conforme a sus instrucciones documentadas (artículos 49 y 50 del Reglamento LFPDPPP).

Cada Parte será responsable del cumplimiento de las obligaciones que la legislación aplicable le impone en su respectivo carácter.

3. Objeto, naturaleza y finalidad del tratamiento

3.1. Objeto

Conecta PUI tratará los Datos Personales del Cliente con el único fin de prestar los Servicios contratados, consistentes en proveer una plataforma SaaS que permita al Cliente cumplir con sus obligaciones legales de conexión, transmisión y consulta a la Plataforma Única de Identidad, conforme a los Lineamientos PUI (DOF 27-noviembre-2025) y al Manual Técnico PUI v1.0 (DOF 13-enero-2026).

3.2. Naturaleza del tratamiento

El tratamiento incluye, de manera enunciativa: recolección a través de las APIs e interfaces de Conecta PUI; transmisión a la PUI y a otros sistemas autorizados por el Cliente; almacenamiento del padrón de personas conforme las instrucciones del Cliente; generación de bitácoras y registros de operación (Anexo 5 del Manual Técnico PUI); y la supresión segura una vez cumplidos los plazos de conservación o por instrucción del Cliente.

3.3. Duración

El tratamiento se realizará durante toda la vigencia del Contrato Principal y se extinguirá conforme a lo dispuesto en la sección 12 (Devolución y Supresión).

4. Categorías de datos y titulares

Categorías de Titulares

  • Personas físicas cuya identidad es verificada por el Cliente (Titulares Finales).
  • Usuarios autorizados del Cliente que operan el dashboard de Conecta PUI.

Categorías de Datos Personales tratadas

| Categoría | Ejemplos | ¿Se almacena? | |-----------|----------|---------------| | Datos de identificación | Nombre, CURP, fecha y lugar de nacimiento, sexo | , mientras el Cliente lo determine | | Datos demográficos | Domicilio, teléfono, correo, datos del evento | , mientras el Cliente lo determine | | Datos personales sensibles biométricos | Plantillas faciales y/o dactilares utilizadas para verificación con la PUI | No actualmente. El flujo opcional del numeral 9 del Manual Técnico PUI no se encuentra habilitado. En caso de activación futura: en tránsito, cifrados con AES-256-GCM, sin almacenamiento. | | Resultado de verificación y metadatos | Identificador de transacción, marca de tiempo, código de respuesta de la PUI, hashes/tokens criptográficos asociados a la operación | , en bitácoras Anexo 5 por 5 años | | Datos del usuario operador del Cliente | Nombre, correo corporativo, ID de usuario, registros de acceso al dashboard | , mientras la cuenta esté activa + 90 días tras la baja |

Política de minimización

Conecta PUI no almacena en forma cruda datos biométricos de los Titulares Finales. Los logs y bitácoras conservan únicamente metadatos, identificadores de transacción y hashes/tokens criptográficos.

5. Obligaciones del Encargado (Conecta PUI)

Conecta PUI, en su calidad de Encargado, se obliga, conforme al artículo 50 del Reglamento de la LFPDPPP, a:

  1. Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Cliente, incluido lo dispuesto en este DPA y en el Contrato Principal. Si Conecta PUI considera que una instrucción del Cliente infringe la legislación aplicable, lo notificará al Cliente.
  2. Abstenerse de tratar los Datos Personales para finalidades distintas a las instruidas por el Cliente.
  3. Implementar las medidas de seguridad previstas en el Capítulo III del Reglamento de la LFPDPPP, así como las descritas en el Anexo I del presente DPA.
  4. Guardar confidencialidad respecto de los Datos Personales (artículo 21 LFPDPPP), obligación que subsistirá aun después de finalizada la relación con el Cliente.
  5. Asegurarse de que el personal autorizado para tratar los Datos Personales esté sujeto a un deber de confidencialidad equivalente y haya recibido capacitación adecuada.
  6. Suprimir los Datos Personales una vez cumplida la relación jurídica con el Cliente o a solicitud expresa de éste, conforme a la sección 12.
  7. Asistir al Cliente, en la medida de lo razonable, en la atención de solicitudes de ejercicio de derechos ARCO presentadas por los Titulares (artículos 22-32 LFPDPPP).
  8. Notificar al Cliente cualquier Vulneración de Seguridad conforme a lo dispuesto en la sección 9.
  9. Permitir y contribuir con auditorías razonables conforme a la sección 10.

6. Obligaciones del Responsable (Cliente)

El Cliente, en su calidad de Responsable, se obliga a:

  1. Cumplir con todas las obligaciones que la LFPDPPP, su Reglamento, los Lineamientos PUI (DOF 27-nov-2025) y demás normatividad aplicable le imponen en su carácter de Responsable, incluyendo la elaboración y puesta a disposición de los Titulares de un aviso de privacidad adecuado (artículos 15-17 LFPDPPP).
  2. Obtener el consentimiento expreso de los Titulares Finales cuando sea legalmente requerido para el tratamiento de sus Datos Personales y, en particular, para el tratamiento de datos personales sensibles, así como para su transmisión a la PUI y a Conecta PUI (artículos 8 y 9 LFPDPPP).
  3. Asegurarse de tener el fundamento legal y la legitimación necesarios para realizar consultas a la PUI a través de los Servicios.
  4. Proporcionar a Conecta PUI instrucciones claras, lícitas y completas para el tratamiento de los Datos Personales.
  5. Implementar y mantener controles internos para prevenir el uso indebido de los Servicios por parte de sus usuarios autorizados.
  6. Notificar oportunamente a Conecta PUI cualquier modificación en el alcance del tratamiento, en los Titulares o en las categorías de datos.
  7. Responder ante los Titulares por cualquier reclamación derivada del tratamiento de sus datos.
  8. Si el Cliente está sujeto a regulación sectorial específica que requiera autorización previa para el uso de servicios de cómputo en la nube prestados desde el extranjero (en particular, el Capítulo X-Bis de las Disposiciones de carácter general aplicables a las instituciones de crédito emitidas por la CNBV), será responsabilidad exclusiva del Cliente obtener dicha autorización. Conecta PUI ofrece, bajo contratación específica, despliegue en la región AWS Mexico (Central) mx-central-1 para clientes regulados que requieran residencia de datos en territorio nacional.

7. Subcontratación de Encargados (Subencargados)

Conforme al artículo 53 del Reglamento de la LFPDPPP, el Cliente otorga a Conecta PUI autorización general para subcontratar a terceros que actúen como Subencargados, sujeto a las siguientes condiciones:

  1. Conecta PUI mantendrá una lista actualizada de Subencargados, disponible en https://conectapui.com/legal/subencargados y en el Centro de Cumplimiento del dashboard.
  2. Conecta PUI suscribirá con cada Subencargado un acuerdo escrito que imponga obligaciones de protección de datos sustancialmente equivalentes a las contenidas en el presente DPA.
  3. Conecta PUI será responsable frente al Cliente del cumplimiento por parte de los Subencargados, en los mismos términos en que sería responsable de su propio actuar.
  4. Conecta PUI notificará al Cliente, con al menos 30 (treinta) días naturales de anticipación, cualquier intención de incorporar o sustituir Subencargados que tengan acceso a Datos Personales. El Cliente podrá objetar dicha incorporación por motivos razonables y debidamente fundados dentro de los 15 (quince) días naturales siguientes a la notificación; en tal caso, las Partes negociarán de buena fe una solución, incluyendo la posibilidad de terminar el Contrato Principal sin penalidad.

Subencargados actuales

| Subencargado | Función | Ubicación | Aplica | |--------------|---------|-----------|--------| | Amazon Web Services, Inc. | Infraestructura cloud (cómputo, almacenamiento, red, autenticación Cognito, WAF) | EE.UU. (us-west-2, Oregon) | Todos los Clientes | | Cloudbeds, Inc. | Sincronización de huéspedes mediante API | EE.UU. (Phoenix, Arizona) | Sólo si el Cliente activa la integración Cloudbeds | | Servion Labs / GoHighLevel (LeadConnector) | CRM, soporte vía chat, comunicaciones transaccionales | EE.UU. | Todos los Clientes |

8. Transferencias internacionales de datos

El Cliente reconoce y autoriza expresamente que, dada la naturaleza de la infraestructura tecnológica de Conecta PUI, los Datos Personales pueden ser transferidos y tratados en los Estados Unidos de América, donde se encuentran ubicados los servidores de Amazon Web Services, Inc. (región us-west-2, Oregon).

Para garantizar un nivel adecuado de protección, Conecta PUI ha suscrito o se ha adherido al AWS Data Processing Addendum, así como a los acuerdos contractuales correspondientes con los demás subencargados, que imponen obligaciones de protección de datos sustancialmente equivalentes a las exigidas por la legislación mexicana, en cumplimiento del artículo 36 de la LFPDPPP.

Es responsabilidad del Cliente informar a los Titulares Finales sobre estas transferencias internacionales en su propio aviso de privacidad y obtener, cuando sea aplicable, su consentimiento. Conecta PUI pone a disposición del Cliente una cláusula modelo en https://conectapui.com/legal/clausula-modelo para tal efecto.

9. Notificación de vulneraciones de seguridad

En caso de que Conecta PUI tenga conocimiento de una Vulneración de Seguridad que afecte de manera significativa los derechos patrimoniales o morales de los Titulares (artículo 20 LFPDPPP), Conecta PUI:

  1. Notificará al Cliente sin demora indebida y, en cualquier caso, dentro de las 72 (setenta y dos) horas siguientes a tener conocimiento confirmado de la vulneración, conforme al estándar internacional adoptado y a lo previsto por el artículo 65 LFPDPPP.
  2. Proporcionará al Cliente, en la medida en que la información esté disponible: descripción de la naturaleza de la vulneración; categorías y número aproximado de Titulares afectados; categorías y volumen aproximado de Datos Personales involucrados; posibles consecuencias y medidas adoptadas o propuestas para mitigar los efectos.
  3. Cooperará razonablemente con el Cliente en la atención del incidente y, en su caso, en la notificación a los Titulares y/o a la autoridad competente.
  4. Documentará la vulneración y las acciones correctivas implementadas (artículo 66 LFPDPPP).

La obligación de Conecta PUI de notificar al Cliente no constituirá ni se interpretará como una admisión de culpa o responsabilidad.

10. Auditorías y demostración de cumplimiento

Conecta PUI pondrá a disposición del Cliente, con periodicidad anual o cuando exista causa justificada, la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones contenidas en el presente DPA:

  1. Conecta PUI proporcionará reportes de auditorías independientes (por ejemplo, SOC 2, ISO 27001, ISO 27701) cuando estén disponibles.
  2. El Cliente podrá realizar auditorías propias o a través de un tercero independiente, previa notificación con al menos 30 (treinta) días naturales de anticipación, en horario laboral, sin afectar las operaciones de Conecta PUI, y bajo estricta confidencialidad. Las auditorías propias se limitarán a una vez por año, salvo que exista causa razonable adicional.
  3. El alcance, duración y costos de las auditorías serán acordados de buena fe por las Partes. El costo de la auditoría correrá a cargo del Cliente, salvo que la auditoría revele incumplimientos materiales por parte de Conecta PUI.
  4. Conecta PUI podrá redactar o limitar el acceso a información que sea estrictamente confidencial de otros clientes, secretos industriales o información cuyo acceso esté legalmente restringido.

11. Asistencia en solicitudes de derechos ARCO

Conecta PUI brindará al Cliente asistencia razonable, considerando la naturaleza del tratamiento, para que éste pueda atender las solicitudes de ejercicio de derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) presentadas por los Titulares (artículos 22-32 LFPDPPP), así como las solicitudes de revocación de consentimiento.

En caso de que Conecta PUI reciba directamente una solicitud de ejercicio de derechos ARCO de un Titular Final, la canalizará al Cliente sin demora indebida y se abstendrá de responderla directamente, salvo instrucción expresa del Cliente.

La asistencia razonable incluirá, según corresponda: implementación de funcionalidades técnicas en el dashboard que permitan al Cliente localizar, exportar, modificar o suprimir Datos Personales (sección de Padrón de Personas y Bitácoras del dashboard); o respuestas puntuales a solicitudes específicas. Conecta PUI podrá facturar al Cliente los costos razonables de asistencia que excedan las funcionalidades estándar de los Servicios.

12. Devolución y supresión de datos

Una vez terminada la relación contractual entre las Partes, por cualquier causa, Conecta PUI:

  1. Cesará el tratamiento activo de los Datos Personales del Cliente.
  2. Pondrá a disposición del Cliente, durante un plazo de 30 (treinta) días naturales contados desde la terminación, las funcionalidades necesarias para que el Cliente exporte sus datos.
  3. Suprimirá de manera segura todos los Datos Personales del Cliente, incluidos los contenidos en respaldos, dentro de los 90 (noventa) días naturales posteriores al vencimiento del plazo de exportación, salvo que la legislación aplicable obligue a conservar determinada información, en cuyo caso se conservará únicamente lo estrictamente necesario y por el tiempo estrictamente requerido, bajo estricta confidencialidad.
  4. Entregará al Cliente, a solicitud, una constancia escrita de la supresión.

Plazos específicos de retención durante la vigencia

| Tipo de dato | Plazo | |---|---| | Padrón de personas (registros con CURP y datos demográficos) | El Cliente lo determina; sin caducidad automática del lado de Conecta PUI | | Versiones históricas del padrón (auditoría de cambios) | El Cliente lo determina | | Bitácoras de operaciones PUI (Anexo 5 del Manual Técnico) | 5 años | | API logs (auditoría de seguridad operacional) | 90 días | | Cuentas de usuario del dashboard | Mientras esté activa + 90 días tras baja |

13. Responsabilidad e indemnización

La responsabilidad de cada una de las Partes derivada del incumplimiento de este DPA se regirá por lo dispuesto en el Contrato Principal, incluyendo los límites de responsabilidad pactados, salvo en aquellos supuestos en que la legislación aplicable disponga lo contrario.

Cada Parte indemnizará y mantendrá libre de daño a la otra respecto de las multas, sanciones o reclamaciones de Titulares o autoridades que sean directamente atribuibles al incumplimiento de sus respectivas obligaciones.

Conecta PUI no será responsable por: (i) instrucciones del Cliente que sean ilegales o que excedan el alcance del Contrato Principal; (ii) datos inexactos proporcionados por el Cliente o por los Titulares Finales; (iii) decisiones tomadas por el Cliente con base en los resultados de verificación de la PUI; (iv) fallas o indisponibilidad de la propia Plataforma Única de Identidad ajenas al control de Conecta PUI; o (v) incumplimiento por parte del Cliente regulado de obtener autorizaciones sectoriales (por ejemplo, autorización CNBV conforme al Capítulo X-Bis de la CUB).

14. Vigencia y terminación

El presente DPA entrará en vigor en la fecha de firma del Contrato Principal y permanecerá vigente mientras Conecta PUI realice tratamiento de Datos Personales por cuenta del Cliente. Las obligaciones de confidencialidad, devolución y supresión sobrevivirán a la terminación del DPA.

15. Disposiciones generales

15.1. Modificaciones

Cualquier modificación al presente DPA deberá constar por escrito y ser firmada por ambas Partes, salvo cuando dicha modificación sea necesaria para cumplir con cambios en la legislación aplicable, en cuyo caso Conecta PUI podrá actualizar el DPA notificando al Cliente con razonable anticipación.

15.2. Legislación y jurisdicción

El presente DPA se regirá e interpretará conforme a las leyes de los Estados Unidos Mexicanos. Para la resolución de cualquier controversia, las Partes se someten expresamente a la jurisdicción y competencia de los tribunales señalados en el Contrato Principal.

15.3. Independencia de cláusulas

Si alguna disposición del presente DPA fuere declarada inválida o inejecutable, las demás disposiciones continuarán en pleno vigor y efecto.

Firmas

Por el Encargado: COMUNIDAD JOM, S.A. DE C.V. (Conecta PUI)

Nombre: ___________________________ Cargo: _____________________________ Fecha: _____________________________

Por el Responsable: {{CLIENTE_RAZON_SOCIAL}}

Nombre: ___________________________ Cargo: _____________________________ Fecha: _____________________________

ANEXO I — Medidas de Seguridad Técnicas y Organizativas

Conforme al Capítulo III del Reglamento de la LFPDPPP y al artículo 19 de la Ley.

A. Medidas administrativas

  • Política de protección de datos personales aprobada por la dirección y revisada al menos anualmente.
  • Designación de una Persona Encargada de Protección de Datos Personales (privacidad@origenlabs.ai).
  • Programa de capacitación obligatoria al personal con acceso a Datos Personales.
  • Acuerdos de confidencialidad firmados por todo el personal.
  • Procedimientos formales de gestión de incidentes y respuesta a vulneraciones (artículos 20, 65 y 66 LFPDPPP).
  • Procedimientos de altas, bajas y cambios de privilegios de acceso.

B. Medidas técnicas

  • Cifrado en tránsito mediante TLS 1.2 o superior (AWS API Gateway, S3 con enforceSSL, política CloudFront mínima TLS 1.2).
  • Cifrado en reposo mediante AES-256 (AWS-managed) en DynamoDB, S3 y respaldos.
  • Cifrado adicional AES-256-GCM a nivel aplicación para credenciales sensibles (claves PUI, tokens de integraciones, webhooks secrets).
  • Web Application Firewall (AWS WAF) con reglas administradas: AWSManagedRulesCommonRuleSet, AWSManagedRulesKnownBadInputsRuleSet, y rate limiting de 2,000 req/5 min por IP.
  • Autenticación multifactor (MFA) disponible para todos los accesos al dashboard.
  • Controles de acceso basados en roles (RBAC) y principio de mínimo privilegio.
  • Aislamiento lógico (multi-tenant) de los datos de cada Cliente mediante particionamiento por pk y gsi en DynamoDB.
  • Bitácoras de auditoría para acciones sobre datos personales: API logs (90 días), bitácoras Anexo 5 PUI (5 años).
  • Sanitización automática de PII en logs de auditoría.
  • Time-To-Live (TTL) automático en DynamoDB para purga programada de bitácoras conforme a la sección 12.
  • Monitoreo continuo de seguridad con AWS X-Ray, CloudWatch y métricas WAF.
  • Pruebas de penetración periódicas, escaneo de vulnerabilidades y proceso DAST documentado.
  • Respaldos cifrados con Point-in-Time Recovery (PITR) habilitado en todas las tablas DynamoDB de producción.
  • Saneamiento de nombres de archivo en uploads para prevenir path traversal.
  • Límite de tamaño de cuerpo de petición en 1 MB.
  • Rate limiting por endpoint (registro 5/min, login 10/min por IP).

C. Medidas físicas

  • Uso de centros de datos de proveedores certificados (AWS) con controles físicos de acceso, vigilancia 24/7, redundancia eléctrica y protección ambiental, conforme a las certificaciones ISO 27001, SOC 1/2/3 y PCI-DSS de AWS.
  • Política de escritorio limpio y bloqueo automático de equipos.
  • Disposición segura de medios de almacenamiento al final de su vida útil.

D. Resiliencia y continuidad

  • Arquitectura de alta disponibilidad en múltiples zonas de disponibilidad (3 AZs en us-west-2).
  • Plan de continuidad del negocio y recuperación ante desastres.
  • Objetivos de recuperación documentados: RTO 4 horas, RPO 1 hora.
  • Protección contra eliminación accidental: termination protection en CloudFormation, deletion protection en DynamoDB, versioning en S3.
  • NAT con IP fija registrada ante la PUI gubernamental, con redundancia operativa.

Fin del Acuerdo de Tratamiento de Datos Personales — Conecta PUI v2.0

¿Dudas legales? Escribe a privacidad@origenlabs.ai