Política de Retención de Datos
Última actualización: 22 de marzo de 2026 · Versión 1.0
1. Propósito
Esta política establece los periodos de retención y los procedimientos de eliminación para todos los datos personales y operativos procesados por IT Advisor, en cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares ("LFPDPPP") y su Reglamento.
El principio rector es la minimización de datos: solo conservamos información durante el tiempo estrictamente necesario para cumplir la finalidad para la que fue recabada, o según lo exijan obligaciones legales o contractuales.
2. Tabla de retención por categoría de datos
| Categoría de datos | Periodo de retención | Base legal | Procedimiento de eliminación |
|---|---|---|---|
| Datos de cuenta Nombre, email, rol, hash de contraseña | Vigencia del contrato + 30 días | Art. 11 LFPDPPP — relación contractual | Eliminación lógica al cancelar cuenta; eliminación física a los 30 días |
| Conversaciones de IA Mensajes de sesión, prompts, respuestas | 90 días desde el cierre de la sesión | Finalidad de soporte técnico y mejora del servicio | Eliminación automática por cron job; datos anonimizados para métricas |
| Datos de usuarios finales (ChatUser) Nombre, teléfono WhatsApp, email corporativo | Vigencia del contrato del tenant + 30 días | Art. 11 LFPDPPP — relación contractual del responsable | Eliminación en cascada al eliminar tenant; bajo solicitud ARCO individual |
| Tickets de soporte Asunto, descripción, resolución, asignación | 12 meses desde el cierre | Necesidad operativa y reporte | Archivado a los 12 meses; eliminación física a los 24 meses |
| Base de Conocimiento (KB) Artículos, procedimientos, FAQs | Vigencia del contrato del tenant + 30 días | Propiedad intelectual del cliente | Exportación ofrecida al cliente; eliminación completa al cancelar |
| Logs de auditoría ActionLog: acciones, IPs, timestamps | 24 meses | Seguridad y cumplimiento normativo | Eliminación automática por cron job mensual |
| Verificaciones WhatsApp Tokens, intentos, estado de verificación | 90 días (ciclo de re-verificación) | Seguridad del canal | Tokens eliminados automáticamente al expirar |
| Datos de facturación Stripe customer ID, historial de pagos | 5 años desde la última transacción | Código Fiscal de la Federación (Art. 30) | Retención obligatoria; eliminación al cumplir plazo fiscal |
| Leads y prospectos Nombre, email, empresa, actividades CRM | 18 meses sin actividad | Interés legítimo comercial | Eliminación automática de leads inactivos; respeto a unsubscribe |
| Solicitudes ARCO Folio, solicitud, resolución | 5 años | Art. 40 Reglamento LFPDPPP — evidencia de cumplimiento | Retención obligatoria como evidencia ante INAI |
3. Procedimientos de eliminación
3.1 Eliminación lógica (soft delete)
Los registros se marcan como inactivos (active: false) y dejan de ser accesibles desde la aplicación. Los datos permanecen en la base de datos durante el periodo de gracia para permitir recuperación ante errores.
3.2 Eliminación física (hard delete)
Al vencer el periodo de retención, un proceso automatizado (cron job) elimina permanentemente los registros de la base de datos y de cualquier respaldo. Esta acción es irreversible.
3.3 Anonimización
Cuando los datos tienen valor estadístico pero ya no requieren identificación personal, se aplica un proceso de anonimización irreversible que elimina o reemplaza todos los identificadores personales (nombre, email, teléfono) conservando solo métricas agregadas.
4. Cancelación de cuenta (offboarding)
Cuando un cliente cancela su suscripción, se ejecuta el siguiente proceso:
Día 0 — Cancelación
Se desactiva el acceso al portal. Se ofrece exportación de KB y tickets.
Día 1-30 — Periodo de gracia
Datos retenidos en estado inactivo. El cliente puede reactivar su cuenta.
Día 31 — Eliminación
Eliminación permanente de: usuarios del tenant, ChatUsers, sesiones IA, tickets, KB, configuraciones de canal, integraciones, y logs de auditoría.
Excepciones
Datos de facturación (5 años por obligación fiscal), solicitudes ARCO (5 años por evidencia de cumplimiento), y datos requeridos por resolución judicial.
5. Datos procesados por terceros
Los datos transferidos a proveedores internacionales están sujetos a las políticas de retención de cada proveedor, además de las nuestras:
| Proveedor | Datos procesados | Retención del proveedor |
|---|---|---|
| Anthropic (Claude API) | Contenido de conversaciones de IA | No retiene datos de API por defecto (zero retention) |
| Supabase (PostgreSQL) | Todos los datos de la aplicación | Según nuestra configuración; backups automáticos 7 días |
| SendGrid | Emails transaccionales, direcciones de correo | Logs de email por 30 días; direcciones según configuración |
| Stripe | Datos de pago y facturación | Según obligaciones regulatorias (PCI-DSS, fiscal) |
| Meta (WhatsApp Cloud API) | Números de teléfono, mensajes en tránsito | Mensajes en tránsito no almacenados; metadatos por 30 días |
6. Solicitudes de eliminación anticipada
Los titulares pueden solicitar la eliminación de sus datos antes de que se cumpla el periodo de retención a través del mecanismo de derechos ARCO (derecho de Cancelación). IT Advisor atenderá la solicitud dentro de los 20 días hábiles establecidos por la LFPDPPP, salvo que exista una obligación legal que requiera la conservación de los datos.
7. Revisión y actualización
Esta política se revisa trimestralmente por el equipo de cumplimiento de IT Advisor. Cualquier modificación será publicada en esta página con la fecha de actualización correspondiente. Los cambios materiales serán notificados a los clientes activos por correo electrónico con al menos 15 días de anticipación.
8. Contacto
Para consultas sobre retención de datos o solicitudes de eliminación:
Correo: privacidad@it-advisor.mx
Derechos ARCO: it-advisor.mx/arco