Evaluación de Impacto en la Protección de Datos Personales (EIPD)

Escudo Vecinal recolecta y procesa datos personales sensibles de ciudadanos mexicanos (CURP, geolocalización, conversaciones que pueden contener información de salud y de emergencia, documentos de identificación oficial bajo demanda y, durante alertas, audio/video). El marco regulatorio aplicable obliga a documentar el impacto del tratamiento antes de ponerlo en producción a escala.

Esta EIPD es exigida por:

• LGPDPPSO arts. 68-73 — al participar el Gobierno del Estado de Durango (vía C5) como corresponsable y sujeto obligado, el tratamiento se considera intensivo o relevante por cumplir los tres supuestos del art. 69 (riesgos inherentes, datos sensibles y transferencias internacionales).
• LFPDPPP arts. 18-19 y 30 — SinergIA, como responsable privado, debe demostrar análisis de riesgos, medidas de seguridad proporcionales y designación formal del oficial de protección de datos.
• Disposiciones administrativas SNT 2018 art. 9 — Escudo Vecinal actualiza cinco de los nueve supuestos de tratamiento intensivo o relevante.
• ISO/IEC 29134:2017 — estándar internacional de directrices para PIA.
• Criterios EDPB WP248rev.01 — usados como filtro adicional internacional; Escudo Vecinal cumple al menos seis de nueve criterios de alto riesgo.

El documento se actualiza obligatoriamente cuando:

• Cambia el universo de datos recolectados.
• Se incorpora un nuevo corresponsable o encargado.
• Se agrega una finalidad nueva.
• Ocurre un incidente de seguridad que cambie el perfil de riesgo.
• Cambia la legislación aplicable o se emiten criterios vinculantes por la Secretaría Anticorrupción y Buen Gobierno.

Conforme al art. 71 LGPDPPSO, esta evaluación debe presentarse ante la Autoridad garante competente con al menos treinta días naturales de anticipación a la puesta en operación o a cualquier modificación sustancial.

1.1 Responsable principal (privado)

1.2 Corresponsable (público)

Régimen de corresponsabilidad.En tanto el marco mexicano no regula expresamente la figura de "corresponsabilidad" como sí lo hace el art. 26 RGPD, la construcción se sustenta contractualmente en el Convenio 2026-001 y se rige por los arts. 28, 59 y 76 LGPDPPSO. Las cláusulas mínimas que debe contener el convenio se detallan en el Anexo E.

1.3 Encargados (terceros que procesan por cuenta del responsable)

Las relaciones con Meta WABA y Google constituyen remisiones a encargados en términos del art. 53 del Reglamento de la LFPDPPP, vigente supletoriamente. Las transferencias internacionales están declaradas en el aviso de privacidad integral conforme al art. 36 LFPDPPP.

2.1 Qué hace Escudo Vecinal

Plataforma de auxilio vecinal por WhatsApp operada por SinergIA en convenio con el C5 Durango. Cuando un ciudadano previamente registrado escribe "AUXILIO" o expresión equivalente:

1. El sistema valida que sea un ciudadano registrado y vincula el mensaje con su domicilio (home/work según GPS).
2. Notifica simultáneamente al C5 y a los 5 vecinos respondedores geográficamente más cercanos.
3. Si en 60 segundos ningún vecino acepta, escala al siguiente anillo de 5 vecinos, y así sucesivamente.
4. Cuando un operador C5 abre la atención, puede iniciar videollamada (módulo gated por feature flag) y despachar patrulla/ambulancia.

2.2 Justificación de la necesidad (art. 14-II Disposiciones SNT)

La proporcionalidad del tratamiento se sustenta en tres elementos:

1. Interés público apremiante: la atención de emergencias civiles en Durango es función constitucional del Estado y necesidad social documentada. No existe alternativa menos invasiva que permita simultáneamente notificar al C5 y movilizar vecinos cercanos en menos de 60 segundos.
2. Minimización aplicada: no se solicita comprobante de domicilio, correo electrónico, foto de perfil ni datos bancarios; el GPS sólo se transmite durante una alerta activa; las videollamadas son efímeras por defecto sin grabación.
3. Subsidiariedad respecto al canal: WhatsApp es el canal con mayor penetración en Durango y evita exigir descarga de aplicación adicional, reduciendo la exclusión digital.

2.3 Universo de titulares

• Ciudadanos del Estado de Durango (39 municipios), con expansión continua de cobertura.
• Meta declarada: 1,000,000 de ciudadanos registrados en la entidad.
• Edad mínima: 18 años. Menores de edad NO son titulares directos; pueden ser beneficiarios de la cascada vía el adulto responsable. Cuando un menor aparezca incidentalmente, aplica el protocolo de minimización del § 3.4.

2.4 Canal único de interacción

El ciudadano interactúa 100% por WhatsApp. No existe app móvil ni dashboard web ciudadano. La única página web que el ciudadano puede ver es escudovecinal.mx/c5/visit/{token} cuando hay una emergencia activa con videollamada (link efímero, TTL 15 minutos).

3.1 Categorías y propósito

3.2 Datos NO recolectados (principio de minimización, art. 11 LFPDPPP)

• NO se solicita comprobante de domicilio.
• NO se recolecta correo electrónico de ciudadanos.
• NO se recolecta foto de perfil ni se realiza extracción ni almacenamiento de vectores biométricos faciales.
• NO se recolectan datos bancarios, ingresos ni datos fiscales.
• NO se recolectan datos médicos de rutina — sólo durante una alerta médica con consentimiento expreso informado.
• NO se recolecta foto de INE ni ningún documento de identificación oficial.

3.3 Categorías especiales y sensibles

Los siguientes datos son categoría sensible y reciben tratamiento reforzado conforme al art. 8 LFPDPPP y al art. 7 LGPDPPSO:

1. GPS de domicilio — cifrado at-rest + cifrado de campo + máscara en logs.
2. Contenido de conversaciones — cifrado at-app AES-256-GCM con llave en Secret Manager.
3. Datos médicos durante alerta — cifrado at-app, retención 5 años, sólo accesibles por c5_operator durante la alerta activa y por 30 días post-incidente.
4. Alertas activas — acceso restringido a c5_operator + responsable de atención asignado.

3.4 Protocolo para menores aparecidos incidentalmente

Si en el contenido de una conversación se identifica a un menor de edad, el sistema aplica:

• Disociación inmediata al cierre del incidente.
• No aparición en analítica: los registros disociados quedan excluidos de reportes agregados.
• Retención mínima: el dato disociado no se conserva más allá del cierre del incidente, salvo requerimiento de autoridad competente.

4.1 Finalidades primarias (necesarias, sin consentimiento separado)

1. Atención de emergencias civiles: notificar vecinos cercanos y al C5 cuando el titular pide auxilio.
2. Verificación de identidad del ciudadano para evitar fraude de alertas.
3. Localización geográfica para definir el anillo vecinal correcto.
4. Auditoría operativa del sistema.

4.2 Finalidades secundarias (requieren consentimiento explícito)

Cada consentimiento se almacena en consent_records con: tipo, versión, estado, marcas de granted/revoked y metadatos de la fuente de captura.

4.3 NO finalidades (regla dura)

• NO se venden datos a terceros.
• NO se hace publicidad dirigida (no hay tracking publicitario).
• NO se realiza decisión automatizada con efectos jurídicos sobre el titular (art. 16 LFPDPPP): toda movilización física la decide el operador humano del C5.
• NO se transfiere a corporativos de seguridad privada ajenos al Convenio 2026-001.

5.1 Recolección

Ciudadano por WhatsApp
   │
   ▼
Meta WABA (WhatsApp Business API)   ← canal oficial
   │
   ▼
Webhook POST a /api/whatsapp/meta-webhook  ← firma X-Hub-Signature-256 fail-closed
   │
   ▼
incoming-handler.ts (debounce 3 s)
   │
   ▼
Pre-procesamiento: tokenización/redacción de PII fuera de perímetro
   │
   ▼
Gemini (LLM) decide función + shortcut interno
   │
   ▼
register_user / save_fields / create_alert ...
   │
   ▼
PostgreSQL Cloud SQL (escudo-pg)

5.2 Almacenamiento

• BD primaria: Cloud SQL Postgres 16 + PostGIS, en Querétaro. Cifrado at-rest. Backups diarios retención 30 días, PITR 7 días.
• Documentos: Cloud Storage escudo-vecinal-private, CMEK con llave dedicada. Acceso vía signed URLs efímeras (≤5 min descarga, ≤1 min upload).
• Secrets: Secret Manager con rotación documentada.
• Logs operativos: Cloud Logging con retención 30 días. PII enmascarada.

5.3 Comunicación

NUNCA se expone: CURP completo a vecinos, datos de otros ciudadanos a vecinos, ni conversaciones a vecinos.

5.4 Conservación

5.5 Supresión

• Soft delete por defecto: status='unsubscribed'. El usuario deja de recibir alertas y no aparece en cascada vecinal.
• Hard delete (ARCO cancelación): vía /admin/ciudadanos?status=unsubscribed con captcha CURP, rate limit, audit log y rol super_admin. Borrado en cascada con archivado de evento en audit_log (CURP enmascarado).

Metodología base: ISO/IEC 29134:2017 — identificación, análisis (probabilidad × impacto), evaluación, tratamiento, riesgo residual. Filtro adicional internacional: criterios EDPB WP248rev.01 (Escudo Vecinal cumple al menos seis de nueve criterios). Filtro mexicano: art. 8 y 9 de las Disposiciones administrativas del SNT.

La matriz extendida con quince riesgos identificados se encuentra en el Anexo B. A continuación se sintetizan los riesgos críticos.

6.1 Riesgos críticos (RR ≥ 8 tras controles)

6.2 Riesgos altos (RR entre 5 y 7 tras controles)

Riesgos R-01 (acceso no autorizado a BD), R-02 (acceso indebido a conversaciones), R-09 (divulgación de datos médicos al vecino) y R-07 (suplantación de ciudadano) quedan con riesgo residual igual o menor a 6 tras los controles, y son tolerables con monitoreo.

6.3 Riesgos asumidos (no eliminables)

7.1 Técnicas

• Cifrado en tránsito: TLS 1.3 + HSTS preload.
• Cifrado at-rest: Cloud SQL + Cloud Storage cifrados por Google.
• Cifrado at-app: conversation_messages.content con AES-256-GCM (llave en Secret Manager).
• CMEK con rotación al menos anual para documentos y snapshots C5.
• Hashing de credenciales: bcrypt 12 rounds.
• Validación de entrada: zod en cada server action.
• Rate limiting: Redis + Postgres fallback, fail-closed en endpoints críticos.
• CSRF: nativo de Next.js Server Actions.
• Anti-prompt-injection: validación regex en bot_config.rules.*.
• Tokenización pre-LLM: redacción de CURP, teléfonos, GPS y nombres antes de salir del perímetro mexicano.
• Headers de seguridad: HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy, Permissions-Policy.
• Audit log: cambios en bot_config, site_config, MFA, hard deletes, rotación de tokens.

7.2 Organizativas

• Principio de privilegio mínimo: roles super_admin, admin_general, agency_operator, c5_operator.
• Política MFA:
  • MFA TOTP obligatorio para super_admin.
  • MFA TOTP opcional pero formalmente recomendado para los demás roles, documentado en inducción.
• Allowlist de dominios para Google OAuth.
• Rotación de secrets cada 90 días.
• Capacitación anual obligatoria para todo el personal con acceso admin, con firma de compromiso de confidencialidad.

7.3 Físicas

• Data centers Google Cloud (Querétaro) con SOC 2, ISO 27001, FedRAMP.
• Acceso únicamente desde dispositivos personales con contraseña/biometría obligatoria.

8.1 Canales

• Correo electrónico: datospersonales@escudovecinal.mx
• WhatsApp: comando ARCO en el chat con el bot (M5+).
• Domicilio físico: Sara Pérez de Madero 212, Fracc. Francisco I. Madero, C.P. 34159, Victoria de Durango, Durango.

8.2 Plazos (LGPDPPSO arts. 49-50 / LFPDPPP arts. 32-33)

• Prevención: 5 días hábiles (responsable) / 10 días hábiles (titular).
• Respuesta: 20 días hábiles desde recepción.
• Prórroga: hasta 10 días hábiles adicionales por causa justificada.
• Ejecución: 15 días hábiles adicionales tras notificación.
• Recurso de revisión: 15 días hábiles ante la Autoridad garante competente.

8.3 Procedimientos

8.4 Negativas

Sólo procedentes en los supuestos del art. 55 LGPDPPSO y arts. 26 y 33 LFPDPPP. Cada negativa se motiva por escrito y se registra en audit_log.

Declaradas en el aviso de privacidad:

México no cuenta con un mecanismo de adecuación equivalente al EU-US Data Privacy Framework; la validez de transferencias se demuestra contractualmente bajo art. 36 LFPDPPP.

URL: escudovecinal.mx/aviso-de-privacidad

Versionado: cada modificación incrementa consent_version en BD y solicita re-consentimiento a usuarios activos.

Contiene como mínimo (art. 21 LGPDPPSO / art. 16 LFPDPPP):

1. Identidad y domicilio del responsable.
2. Datos personales recolectados.
3. Datos sensibles tratados (de manera expresa).
4. Finalidades primarias y secundarias.
5. Transferencias y destinatarios, con indicación expresa de las internacionales.
6. Mecanismos para revocar consentimientos / ejercer ARCO.
7. Mecanismo para conocer cambios al aviso.
8. Datos de contacto del DPO.

La versión simplificada se entrega al ciudadano por WhatsApp al inicio del registro; la aceptación se registra en consent_records. La versión integral está disponible en el sitio web y en formato descargable PDF.

11.1 Definición (art. 32 LGPDPPSO)

Pérdida, destrucción, robo, extravío, copia, uso, acceso, tratamiento, daño, alteración o modificación no autorizada de datos personales.

11.2 Plazo de notificación

• A la persona titular: "sin dilación alguna" cuando la vulneración afecte de forma significativa los derechos patrimoniales o morales (art. 19 LFPDPPP / arts. 34-35 LGPDPPSO). La ley mexicana no fija un plazo numérico tipo "72 horas".
• Compromiso interno autorregulatorio de SinergIA: notificar al titular dentro de las 72 horas posteriores a la confirmación. Buena práctica que excede el mínimo legal.
• A las autoridades garantes: cuando proceda conforme al art. 34 LGPDPPSO. El Convenio 2026-001 establece notificación cruzada entre SinergIA y C5 dentro de 24 horas.

11.3 Contenido obligatorio de la notificación (art. 35 LGPDPPSO)

1. Naturaleza del incidente.
2. Datos personales comprometidos.
3. Recomendaciones para proteger los intereses del titular.
4. Acciones correctivas realizadas de forma inmediata.
5. Medios donde se puede obtener más información.

Plantilla operativa: Anexo A.

11.4 Bitácora de vulneraciones (art. 33 LGPDPPSO)

SinergIA mantiene una bitácora de vulneraciones desde el día uno de operación.

11.5 Cadena interna de respuesta

1. Detección (alerta de Cloud Monitoring, reporte de usuario, hallazgo en audit log).
2. Triage interno (≤ 2 horas).
3. Contención (revocar credenciales, banear IPs/JIDs, suspender funcionalidad afectada).
4. Notificación a C5 (≤ 24 horas).
5. Notificación al titular (≤ 72 horas — compromiso interno).
6. Notificación a Autoridad garante competente (cuando proceda).
7. Postmortem y mitigación (≤ 30 días).

Como Oficial de Protección de Datos Personales de SinergIA, el suscrito emite la siguiente opinión técnica con base en el análisis documentado en las secciones precedentes:

1. El tratamiento es necesario y proporcional a la finalidad de interés público (atención de emergencias civiles), conforme al principio de proporcionalidad del art. 5 LFPDPPP.
2. Las medidas de seguridad descritas en la § 7 son adecuadas al nivel de riesgo identificado y a la sensibilidad de los datos tratados, conforme al art. 31 LGPDPPSO y al art. 18 LFPDPPP.
3. Los consentimientos previstos en la § 4.2 cumplen el estándar del art. 8 LFPDPPP (expreso y por escrito para datos sensibles) y el del art. 21 LGPDPPSO (informado).
4. Las transferencias internacionales descritas en la § 9 cuentan con la base contractual y los DPAs requeridos por el art. 36 LFPDPPP, sin perjuicio de su revisión anual.
5. Los riesgos residuales con calificación >12 (R-15) requieren monitoreo trimestral y revaluación tras los primeros 90 días de operación.

Sobre esta base, recomiendo proceder con la presentación de la presente EIPD ante las Autoridades garantes competentes con la antelación de treinta días naturales prevista por el art. 71 LGPDPPSO.

• Revisión completa obligatoria: anual (próxima en mayo de 2027).
• Auditoría técnica interna semestral: conforme al checklist del Anexo C, próxima en noviembre de 2026.
• Re-presentación ante autoridades garantes: al menos treinta días naturales antes de cualquier cambio sustancial (art. 71 LGPDPPSO).
• Revisión inmediata si: incidente de seguridad confirmado con afectación significativa; modificación a LGPDPPSO/LFPDPPP; publicación de criterios vinculantes por la Secretaría Anticorrupción y Buen Gobierno; resolución judicial relevante.

El calendario completo se encuentra en el Anexo F.

AVISO IMPORTANTE — INCIDENTE DE SEGURIDAD EN ESCUDO VECINAL

Estimada/o {NOMBRE}:

Le informamos, conforme al artículo 35 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y al artículo 19 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que el día {FECHA} confirmamos un incidente de seguridad relacionado con datos personales que le conciernen.

1. Naturaleza del incidente: {descripción precisa}.

2. Datos personales comprometidos: {enumeración específica; aclarar si se confirmó exfiltración o sólo acceso}.

3. Recomendaciones para proteger sus intereses:

• Cambie su contraseña de WhatsApp.
• Active la verificación en dos pasos de WhatsApp.
• Manténgase atenta/o a mensajes sospechosos que pretendan suplantar a Escudo Vecinal; nunca le pediremos contraseñas ni códigos de verificación por chat.
• Si observa actividad anómala en su domicilio, repórtela al 911.

4. Acciones correctivas inmediatas: hemos {revocado credenciales / rotado claves CMEK / aislado el sistema afectado / iniciado análisis forense / notificado al C5 Durango / notificado a la Secretaría Anticorrupción y Buen Gobierno y a la Secretaría de Contraloría y Transparencia Gubernamental del Estado de Durango}.

5. Más información:

• Sitio: https://escudovecinal.mx/incidentes/{ID}
• Correo: datospersonales@escudovecinal.mx
• DPO: Arturo Valdelamar

Arturo Valdelamar — Oficial de Protección de Datos Personales — SinergIA / Escudo Vecinal — {Fecha}

Escalas: P (Probabilidad) 1-5; I (Impacto) 1-5; RI = P × I; RR tras controles. Apetito: 1-6 Aceptable; 7-12 Tolerable con monitoreo; 13-20 Inaceptable mitigar; 21-25 Detener.

Bloque Jurídico

• Verificar vigencia de avisos de privacidad integral y simplificado.
• Confirmar registro actualizado de consentimientos versionados.
• Revisar 100 % de solicitudes ARCO atendidas en plazo y con fundamentación motivada.
• Validar vigencia de DPAs con Meta, Google, LiveKit, Resend.
• Verificar que el Convenio 2026-001 SinergIA–C5 no haya vencido.
• Comprobar cumplimiento del calendario de presentación de EIPD ante autoridades garantes (art. 71 LGPDPPSO).

Bloque Técnico

• Auditar accesos super_admin (Arturo Valdelamar, Jesús Cabrales) y rotación de MFA seeds.
• Validar rotación CMEK ejecutada en los últimos 12 meses.
• Revisar registros de cifrado AES-256-GCM at-app (muestra aleatoria de 50 registros).
• Probar restauración de respaldos (RTO/RPO documentados).
• Ejecutar pentest interno o externo (mínimo cada 12 meses).
• Verificar alertas DLP y monitoreo de anomalías.
• Confirmar tokenización previa a llamadas Gemini en 20 trazas aleatorias.

Bloque Organizativo

• Validar capacitación anual al personal admin (registro firmado).
• Revisar firmas vigentes de acuerdos de confidencialidad.
• Verificar bitácora de vulneraciones y plan de mejora.
• Confirmar simulacros de respuesta a incidente (semestrales).
• Auditar inventario de personal con acceso por rol y revocación de bajas.
• Revisar reporte del DPO al Comité de Transparencia del C5 y a la dirección de SinergIA.

Política MFA confirmada: obligatorio para super_admin; opcional con recomendación formal documentada para los demás roles.

1. Objeto y delimitación de la corresponsabilidad. Fines y medios determinados conjuntamente (recepción, validación, escalamiento, atención de alertas) vs. determinados unilateralmente por cada parte (gestión técnica SinergIA; despacho operativo C5).
2. Sujetos y normatividad aplicable. SinergIA sujeta a LFPDPPP 2025; C5 a LGPDPPSO 2025 y a la Ley estatal de Durango.
3. Distribución de obligaciones frente a ARCO. DPO Arturo Valdelamar como punto único de contacto inicial; reglas de cooperación para acceso a registros del C5.
4. Notificación de vulneraciones entre las partes. Plazo máximo de 24 horas entre las partes; corresponsabilidad en la notificación al titular y a las autoridades garantes.
5. Subencargos y transferencias internacionales. Aprobación previa por escrito del C5 para nuevo subencargado; cláusulas espejo en DPAs.
6. Medidas de seguridad de nivel alto (art. 76 LGPDPPSO). SinergIA replica documento de seguridad alineado al estándar del C5.
7. Auditoría. Derecho del C5 a auditar con preaviso de 15 días; auditoría interna obligatoria semestral por SinergIA.
8. Responsabilidad solidaria y régimen de regreso. Cada parte responde frente al titular; régimen de regreso conforme grado de culpa.
9. Conservación y supresión. Plazos máximos por categoría (alineados a la § 5.4); devolución/destrucción al término.
10. Capacitación. Anual obligatoria; certificación periódica del personal con acceso a datos sensibles.
11. Punto único de contacto. DPO SinergIA y titular de la Unidad de Transparencia del C5.
12. Vigencia y supervivencia. Coextensiva con la operación; supervivencia de confidencialidad y respuesta ARCO por al menos 5 años posteriores al término.
13. Jurisdicción. Tribunales en Victoria de Durango, Durango, sin perjuicio de la competencia administrativa de la Secretaría Anticorrupción y Buen Gobierno y de la Secretaría de Contraloría y Transparencia Gubernamental del Estado de Durango.

AES-256-GCM:

cifrado simétrico autenticado de 256 bits en modo Galois/Counter.

ARCO:

derechos de Acceso, Rectificación, Cancelación y Oposición.

Aviso de privacidad integral / simplificado:

documento informativo conforme art. 21 LGPDPPSO / art. 16 LFPDPPP.

C5:

Centro de Control, Comando, Comunicaciones, Cómputo y Coordinación del Estado de Durango.

CMEK:

Customer-Managed Encryption Keys (Cloud KMS).

Corresponsable:

figura por la cual dos o más responsables determinan conjuntamente fines y medios del tratamiento.

CURP:

Clave Única de Registro de Población.

Datos personales sensibles:

art. 3 fracción X LGPDPPSO 2025; art. 3 fracción VI LFPDPPP.

DPA:

Data Processing Addendum, contrato de encargo con proveedor.

DPO / Oficial de Protección de Datos Personales:

art. 79 LGPDPPSO 2025 y art. 30 LFPDPPP 2025.

EDPB:

Comité Europeo de Protección de Datos.

EIPD:

Evaluación de Impacto en la Protección de Datos Personales (art. 3 fracción XV LGPDPPSO 2025).

Encargado:

persona que trata datos por cuenta del responsable.

Gemini / Vertex AI:

modelo de lenguaje de Google invocado vía API.

IDAIP:

Instituto Duranguense de Acceso a la Información Pública y de Protección de Datos Personales (extinguido por decreto del Congreso del Estado en abril de 2025).

INAI:

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (extinguido el 21 de marzo de 2025).

ISO/IEC 29134:2017:

norma internacional de directrices para evaluación de impacto en la privacidad.

LFPDPPP:

Ley Federal de Protección de Datos Personales en Posesión de los Particulares (vigente desde el 21 de marzo de 2025).

LGPDPPSO:

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (vigente desde el 21 de marzo de 2025).

LiveKit:

plataforma de comunicaciones en tiempo real (EE.UU.).

MFA TOTP:

autenticación multifactor con contraseña de un solo uso temporal.

Meta WABA:

WhatsApp Business API.

Remisión:

comunicación de datos entre responsable y encargado (art. 53 RLFPDPPP, vigente supletoriamente).

Resend:

servicio transaccional de correo (EE.UU.).

Responsable:

persona física o moral, pública o privada, que decide sobre el tratamiento de datos personales.

RGPD:

Reglamento General de Protección de Datos de la Unión Europea (2016/679).

SinergIA:

nombre comercial de Grupo Casa de Nobles Valdelamar S.A. de C.V.

SNT:

Sistema Nacional de Transparencia.

Titular:

persona física a quien corresponden los datos personales.

Transferencia:

comunicación de datos a un tercero distinto del responsable, encargado o titular.

UMA:

Unidad de Medida y Actualización (INEGI); $117.31 diarios vigentes del 1 de febrero de 2026 al 31 de enero de 2027.

Vulneración de seguridad:

pérdida, destrucción, robo, extravío, copia, uso, acceso, tratamiento, daño, alteración o modificación no autorizada (art. 32 LGPDPPSO 2025).