UnicredaAviso de Privacidad

Aviso de Privacidad Integral

Versión 2.0 — Última actualización: 8 de marzo de 2026

De conformidad con lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su normatividad secundaria vigente, Andrés Robles Gil (en adelante, "Unicreda"), con domicilio en Monterrey, Nuevo León, México, pone a disposición del titular el presente Aviso de Privacidad.

1. Identidad del Responsable

Responsable del tratamiento:
Andrés Robles Gil
Nombre comercial:
Unicreda
Domicilio:
Monterrey, Nuevo León, México
Correo electrónico para privacidad:
[email protected]

2. Datos Personales Recabados

Unicreda recaba y trata las siguientes categorías de datos personales:

2.1 Datos de Identificación y Contacto

  • Dirección de correo electrónico (principal e institucional)
  • Dirección de correo electrónico personal (opcional, proporcionada voluntariamente por el titular)
  • Imagen de perfil (avatar, proporcionado voluntariamente por el titular)

2.2 Datos de Autenticación

  • Contraseña (almacenada exclusivamente en formato hash bcrypt con salt generado automáticamente; Unicreda nunca almacena contraseñas en texto plano)
  • Identificador de proveedor OAuth (Google o Microsoft), cuando el titular elige autenticarse por dichos medios

2.3 Datos de Sesión y Navegación

  • Fecha y hora de inicio de sesión
  • Fecha y hora de último acceso

2.4 Datos Incluidos en Credenciales Digitales

Cuando una Organización emisora emite una credencial digital, puede incluir datos personales del receptor conforme a la configuración del logro (Achievement). Estos datos pueden incluir:

  • Nombre completo del receptor
  • Número telefónico
  • CURP (Clave Única de Registro de Población)
  • Matricula o identificador estudiantil (sourcedId)
  • URL personal o profesional

Importante: La inclusión de estos datos es responsabilidad de la Organización emisora, quien configura que datos personales se requieren para cada tipo de credencial. Unicreda actúa como encargado del tratamiento de estos datos por instrucción de la Organización emisora.

2.5 Datos Sensibles

La CURP (Clave Única de Registro de Población) puede considerarse un dato personal sensible conforme a la legislación mexicana. El consentimiento expreso para el tratamiento de la CURP se obtiene al momento de registrarse en la Plataforma y aceptar el presente Aviso de Privacidad, el cual cubre expresamente el tratamiento de datos sensibles cuando sean requeridos para la emisión de credenciales digitales.

2.6 Datos de Actividad en la Plataforma

  • Registro de acciones realizadas en la Plataforma (emisión de credenciales, modificaciones a configuraciones, cambios de cuenta)
  • Datos de verificación pública de credenciales (dirección IP del verificador)

3. Finalidades del Tratamiento

3.1 Finalidades Primarias (Necesarias para la Prestación del Servicio)

Sus datos personales serán tratados para las siguientes finalidades necesarias:

  1. Crear y gestionar su cuenta de usuario en la Plataforma.
  2. Autenticar su identidad y mantener la seguridad de su sesión.
  3. Emitir, almacenar y verificar credenciales digitales bajo los estándares Open Badges 3.0 y CLR 2.0.
  4. Enviar correos electrónicos de verificación de cuenta, notificación de credenciales recibidas y alertas de seguridad.
  5. Vincular su cuenta con las Organizaciónes (tenants) a las que pertenece.
  6. Permitir la verificación pública de la autenticidad de sus credenciales.
  7. Dar cumplimiento a obligaciones legales aplicables.

3.2 Finalidades Secundarias (No Necesarias)

De manera adicional, y previo consentimiento del titular, sus datos podrán ser utilizados para:

  1. Generar estadísticas agregadas y anonimizadas sobre el uso de la Plataforma.
  2. Mejorar la funcionalidad, seguridad y experiencia de usuario de la Plataforma.

Si el titular no desea que sus datos sean tratados para las finalidades secundarias, puede manifestarlo enviando un correo a [email protected] con el asunto "Oposición a finalidades secundarias".

4. Fundamento Legal

El tratamiento de datos personales se realiza con fundamento en:

  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares (publicada el 20 de marzo de 2025), en particular los artículos 7, 8, 9, 15, 16 y 17.
  • El consentimiento expreso del titular, que se obtiene al momento de registrarse en la Plataforma y aceptar los Términos y Condiciones de Uso y el presente Aviso de Privacidad, el cual cubre el tratamiento de datos personales tanto no sensibles como sensibles (incluyendo la CURP) cuando sean requeridos para la emisión de credenciales digitales.

5. Transferencias de Datos Personales

Unicreda podrá transferir datos personales a los siguientes terceros, sin requerir consentimiento adicional del titular conforme al artículo 36 de la LFPDPPP:

TerceroDatos TransferidosFinalidad
Resend, Inc.Correo electrónico del destinatario, nombre (cuando aplica)Envio de correos de verificación y notificación de credenciales
Google LLCDatos básicos de perfil retornados por Google al autenticarseAutenticación del usuario cuando elige iniciar sesión con Google
Microsoft CorporationDatos básicos de perfil retornados por Microsoft al autenticarseAutenticación del usuario cuando elige iniciar sesión con Microsoft
Amazon Web ServicesTodos los datos de la PlataformaHosting e infraestructura (us-east-1, Virginia, EE.UU.)
Cloudflare, Inc.Dirección IP, metadatos de conexiónServicio de DNS, CDN y protección contra ataques DDoS para toda la Plataforma
Cloudflare, Inc. (Turnstile)Datos de interacción del navegador (sin cookies de rastreo)Protección anti-bot en formulario de contacto de la página principal
Organizaciónes emisoras (Tenants)Datos incluidos en la credencial según la configuración del AchievementEmisión de credenciales digitales

Unicreda no vende, alquila ni comercializa datos personales de sus usuarios a terceros.

Las transferencias internacionales de datos personales a los proveedores mencionados se realizan conforme a las políticas de privacidad de cada proveedor y las disposiciones aplicables de la LFPDPPP.

6. Medidas de Seguridad

Unicreda implementa medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra daño, pérdida, alteración, destrucción o uso, acceso o tratamiento no autorizado, incluyendo:

Medidas Técnicas

  • Cifrado de comunicaciónes mediante SSL/TLS (HTTPS) en toda la Plataforma.
  • Almacenamiento de contraseñas únicamente en formato hash bcrypt con salt generado automáticamente; nunca se almacenan en texto plano.
  • Firma criptografica de credenciales mediante algoritmo Ed25519.
  • Base de datos alojada en una subred privada con acceso restringido y conexión SSL forzada.
  • Almacenamiento encriptado en reposo (cifrado AES-256).
  • Tokens de sesión almacenados como hash SHA-256.
  • Rotación automática de llaves criptográficas.

Medidas Administrativas

  • Acceso restringido a datos personales bajo el principio de mínimo privilegio.
  • Registro de actividades (logs) de todas las acciones realizadas en la Plataforma.
  • Políticas de contraseñas seguras.

Para mayor detalle sobre nuestras prácticas de seguridad, visite https://confianza.unicreda.com.

7. Derechos ARCO

Como titular de datos personales, usted tiene derecho a ejercer en cualquier momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO) respecto a sus datos personales.

7.1 Descripción de los Derechos

  • Acceso: Conocer que datos personales tenemos sobre usted y para que los utilizamos.
  • Rectificación: Solicitar la corrección de sus datos personales cuando sean inexactos o incompletos.
  • Cancelación: Solicitar la eliminación de sus datos personales de nuestros registros.
  • Oposición: Oponerse al tratamiento de sus datos personales para finalidades específicas.

7.2 Procedimiento para Ejercer los Derechos ARCO

Para ejercer cualquiera de sus derechos ARCO, deberá enviar una solicitud a [email protected] con el asunto "Ejercicio de Derechos ARCO", incluyendo:

  1. Nombre completo del titular.
  2. Correo electrónico registrado en la Plataforma.
  3. Descripción clara y precisa de los datos personales respecto de los cuales desea ejercer alguno de los derechos ARCO.
  4. Cualquier documento o información que facilite la localización de los datos personales.
  5. Indicación del derecho que desea ejercer (Acceso, Rectificación, Cancelación u Oposición).

7.3 Plazos de Respuesta

  • Unicreda comunicará al titular la determinación adoptada dentro de un plazo máximo de 20 días hábiles contados a partir de la recepción de la solicitud.
  • De ser procedente, la solicitud se hará efectiva dentro de los 15 días hábiles siguientes a la comunicación de la respuesta.
  • Los plazos podrán ampliarse por una sola vez por un período igual, siempre que las circunstancias del caso lo justifiquen.

7.4 Limitaciones

Debido a la naturaleza inmutable de las credenciales digitales firmadas criptográficamente:

  • La cancelación de datos personales contenidos en credenciales ya emitidas no implica la eliminación del registro criptográfico de la credencial.
  • La Organización emisora puede revocar una credencial, lo que la marca como inválida, pero el registro criptográfico permanece como evidencia.
  • Los datos personales asociados a la cuenta del usuario (correo electrónico, avatar, datos de sesión) si pueden ser eliminados conforme al derecho de cancelación.

8. Datos Personales de Menores de Edad

8.1 Consentimiento Parental

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), el Código Civil Federal y la Ley General de los Derechos de Niñas, Niños y Adolescentes (LGDNNA), el tratamiento de datos personales de personas menores de 18 años requiere el consentimiento libre, específico e informado de su padre, madre o tutor legal. Si usted es menor de 18 años, el uso de esta Plataforma y el tratamiento de sus datos personales requiere dicha autorización.

8.2 Responsabilidad Institucional

La Organización educativa que emite credenciales digitales es la responsable del tratamiento de los datos personales de sus estudiantes. Cuando la Organización utilice la Plataforma para emitir credenciales a menores de edad, es responsabilidad exclusiva de la Organización obtener y documentar el consentimiento parental requerido por la legislación aplicable, así como emitir un aviso de privacidad propio dirigido a los padres o tutores de los estudiantes menores de edad. Unicreda actúa como encargado del tratamiento y procesa los datos exclusivamente conforme a las instrucciones de la Organización.

8.3 Derechos ARCO de Menores

Los derechos de Acceso, Rectificación, Cancelación y Oposición respecto a datos personales de menores de edad serán ejercidos por su padre, madre o tutor legal, conforme a las reglas de representación del Código Civil Federal. Las solicitudes deberán canalizarse a través de la Organización emisora o directamente a [email protected].

8.4 Interés Superior del Menor

En todo tratamiento de datos personales de menores de edad, Unicreda privilegia el interés superior de la niñez conforme al artículo 76 de la LGDNNA. Los datos de menores se tratan con las mismas medidas de seguridad descritas en la Sección 6 del presente Aviso y no se utilizan para finalidades distintas a las estrictamente necesarias para la emisión y gestión de credenciales digitales.

9. Cookies y Tecnologías de Rastreo

La Plataforma utiliza las siguientes tecnologías para su funcionamiento:

  • Tokens JWT (JSON Web Tokens): Almacenados en el navegador del usuario para mantener la sesión activa de forma segura. No son cookies, sino tokens de autenticación.
  • Almacenamiento local del navegador: Utilizado para preferencias de interfaz.

Analitica web propia:

La Plataforma utiliza Umami, una herramienta de analítica web de código abierto, alojada en nuestra propia infraestructura (self-hosted). Umami recopila exclusivamente datos agregados y anónimos para entender como se usa la Plataforma:

  • Páginas visitadas y URL de referencia.
  • País de origen (derivado de la dirección IP, sin almacenar la IP).
  • Tipo de dispositivo, navegador y sistema operativo.

Umami no utiliza cookies, no genera perfiles individuales de usuario, y los datos recopilados nunca salen de la infraestructura propia de Unicreda.

La Plataforma NO utiliza:

  • Cookies de rastreo de terceros.
  • Herramientas de analítica de terceros (como Google Analytics).
  • Píxeles de seguimiento o tecnologías similares con fines publicitarios.

10. Conservación de Datos

Los datos personales serán conservados durante los siguientes períodos:

Tipo de DatoPeríodo de Conservación
Datos de cuenta (correo, avatar)Mientras la cuenta esté activa, o hasta que el titular solicite su eliminación
Credenciales digitales emitidasIndefinidamente (son registros inmutables por diseño de los estándares Open Badges 3.0 y CLR 2.0)
Datos de sesión (tokens de refresco)Según su período de validez (generalmente días)
Registros de actividadMientras la cuenta esté activa
Códigos de verificación de correo15 minutos (se invalidan automáticamente)
Datos de cuenta eliminada30 días desde la solicitud de eliminación (período de gracia para reactivación)

11. Revocación del Consentimiento

El titular puede revocar su consentimiento para el tratamiento de sus datos personales en cualquier momento, enviando una solicitud a [email protected] con el asunto "Revocación de consentimiento".

La revocación puede ser parcial (solo finalidades secundarias, enviando solicitud a [email protected] con asunto "Oposición a finalidades secundarias") o total (todas las finalidades, lo que implica la eliminación de la cuenta conforme a la Sección 9).

Consecuencias de la revocación: La revocación del consentimiento puede implicar la imposibilidad de continuar utilizando la Plataforma, incluyendo la pérdida de acceso a su cartera de credenciales digitales. Las credenciales previamente emitidas no se verán afectadas, ya que son registros independientes y verificables.

12. Modificaciones al Aviso de Privacidad

Unicreda se reserva el derecho de modificar el presente Aviso de Privacidad en cualquier momento para reflejar cambios en la legislación, en nuestras prácticas de tratamiento de datos, o en las funcionalidades de la Plataforma.

Las modificaciones serán notificadas a través de:

Los cambios sustanciales serán notificados con al menos 5 días hábiles de anticipación mediante notificación en la Plataforma.

Se recomienda al titular revisar periódicamente este Aviso de Privacidad.

13. Autoridad Competente

En caso de considerar que su derecho a la protección de datos personales ha sido vulnerado, usted tiene derecho de acudir ante la Secretaría de Anticorrupción y Buen Gobierno (autoridad competente en materia de protección de datos personales en posesión de los particulares, que sustituyó al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales), para hacer valer sus derechos.

Sitio web: https://www.gob.mx/anticorrupcion

14. Contacto

Para cualquier duda, comentario o solicitud relacionada con el tratamiento de sus datos personales o el ejercicio de sus derechos ARCO:

Nota: Unicreda se encuentra en proceso de constitución legal como persona moral. Una vez completado dicho proceso, la razón social y domicilio fiscal serán actualizados en este documento.