Aviso de Privacidad

1

Identidad y Domicilio del Responsable

Arsia3D (en adelante, "el Responsable" o "Arsia3D") es responsable del tratamiento de sus datos personales de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento, vigentes en los Estados Unidos Mexicanos.

Arsia3D es una plataforma de compañía conversacional basada en inteligencia artificial, que ofrece una experiencia interactiva mediante un avatar 3D con memoria persistente, diario emocional y personalidad adaptativa.

Para cualquier consulta relacionada con el tratamiento de sus datos personales, puede contactarnos en: arsia.oficial@gmail.com

2

Datos Personales que Recabamos

Con motivo del registro y uso del Servicio, recabamos y tratamos las siguientes categorías de datos personales:

Categoría	Datos específicos	Fuente
Identificación y cuenta	Correo electrónico, contraseña (almacenada cifrada con bcrypt), identificador único de usuario (UUID), fecha de registro	Directa — proporcionada por el usuario al registrarse
Perfil de personalidad	Nombre elegido para la IA, preferencias de comunicación, valores, rasgos de personalidad, idioma preferido, temas a evitar, fase de relación con la IA	Directa — configurada libremente por el usuario
Contenido de conversaciones	Mensajes enviados a la IA (historial activo de hasta 30 interacciones; memorias consolidadas de largo plazo)	Directa — generada durante el uso del Servicio
Estado emocional inferido	Valencia y energía emocional por sesión, emoción dominante, tono de sesión, resumen narrativo automático (diario y sueños generados por IA)	Derivada — inferida automáticamente por el sistema de IA
Memorias ancla	Momentos significativos detectados durante la conversación: título, descripción, peso emocional, fecha	Derivada — detectada automáticamente por el sistema de IA
Métricas de uso	Número de mensajes por sesión, tokens de IA consumidos, modelo de IA utilizado, estimación de costo, marcas de tiempo de sesión	Automática — registrada por el sistema
Preferencias visuales	Avatar seleccionado, escena visual del entorno, idioma de la interfaz	Directa — seleccionada por el usuario

No recabamos datos financieros directos. Los pagos son procesados exclusivamente por Stripe bajo sus propias políticas de privacidad.

2b

Datos Sensibles Aportados Voluntariamente

Arsia3D no solicita datos sensibles en los términos del artículo 3, fracción VI de la LFPDPPP (origen racial, condición de salud, creencias religiosas o filosóficas, datos genéticos, opiniones políticas, orientación sexual, identidad de género, entre otros).

No obstante, dada la naturaleza conversacional libre del Servicio, el usuario puede introducir voluntariamente dicha información. En atención a los principios del INAI sobre uso ético de inteligencia artificial y datos sensibles, aplicamos la siguiente política:

⚠ Tratamiento de datos sensibles — art. 9 LFPDPPP

Consentimiento expreso: el presente Aviso de Privacidad constituye el mecanismo de información previa exigido por el artículo 9 de la LFPDPPP. Al continuar usando el Servicio tras introducir voluntariamente datos sensibles, el usuario otorga su consentimiento expreso para su tratamiento, limitado exclusivamente a las finalidades primarias descritas en la Sección 3 (prestación del servicio conversacional y personalización). Ningún otro uso está autorizado.
Recomendación explícita: se aconseja no compartir información clínica, médica o de salud mental si el usuario no desea que quede registrada en los sistemas de memoria del Servicio.
Sin cesión para otros fines: los datos sensibles aportados nunca serán cedidos, vendidos ni utilizados para fines distintos a los indispensables para la prestación del Servicio, incluyendo el tratamiento por OpenAI como subencargado para generar la respuesta conversacional.
Sin elaboración de perfiles sensibles: Arsia3D no construye perfiles de salud, políticos, religiosos ni de orientación sexual de forma deliberada. Los datos sensibles mencionados en conversación no se etiquetan, categorizan ni utilizan para analítica de ningún tipo.

Esta política responde a las recomendaciones y principios del órgano garante (INAI) sobre el uso de inteligencia artificial y el tratamiento de datos personales sensibles en servicios de IA generativa.

3

Finalidades del Tratamiento

Finalidades primarias — necesarias para la prestación del Servicio:

Autenticar su identidad y gestionar el acceso seguro a su cuenta.
Personalizar las respuestas de la IA con base en su perfil, preferencias y memoria acumulada.
Mantener el contexto de la conversación entre sesiones mediante memoria de corto y largo plazo.
Generar automáticamente el diario emocional, las memorias ancla y la evolución del perfil de personalidad.
Controlar y cumplir los límites de uso según el plan contratado (Free o Premium).
Procesar pagos y gestionar la suscripción Premium a través de Stripe.
Diagnosticar errores técnicos, prevenir fraudes y mantener la seguridad e integridad del sistema.

Finalidades secundarias — no indispensables para el Servicio, puede oponerse:

Análisis estadístico agregado y anónimo del uso del Servicio para mejorar la experiencia de usuario.
Estimación de costos operativos asociados al consumo de la API de inteligencia artificial.

Si no desea que sus datos sean utilizados para las finalidades secundarias, puede manifestarlo enviando un correo a arsia.oficial@gmail.com. La negativa no afectará la prestación del Servicio principal.

4

Transferencias de Datos Personales

Sus datos son compartidos con los siguientes terceros únicamente en la medida estrictamente necesaria para operar el Servicio:

Tercero	País	Datos transmitidos	Finalidad
OpenAI, LLC	Estados Unidos	Mensajes del usuario, historial de sesión, perfil de personalidad, estado emocional, memorias ancla	Generación de respuestas conversacionales mediante los modelos gpt-4o-mini / gpt-4o
Stripe, Inc.	Estados Unidos	Identificador de usuario, metadata de suscripción. Nunca se transmiten datos de tarjeta de crédito a nuestros servidores.	Procesamiento de pago de la suscripción Premium ($150 MXN/mes)

Dichas transferencias se realizan conforme al artículo 36 de la LFPDPPP, en tanto son necesarias para la ejecución del contrato de servicio. No vendemos, arrendamos ni comercializamos sus datos con terceros para fines publicitarios o de mercadotecnia.

5

Cookies y Almacenamiento Local

Arsia3D utiliza almacenamiento local del navegador (localStorage) para conservar los tokens de autenticación durante su sesión activa. No empleamos cookies de rastreo, publicidad ni analítica de terceros.

Los datos guardados en su dispositivo son:

arsia_access_token — Token de acceso JWT (válido 15 minutos, se renueva automáticamente).
arsia_refresh_token — Token de renovación JWT (válido 30 días).
arsia_user_email — Correo electrónico del usuario activo en sesión.
arsia_token_stored_at — Marca de tiempo para gestionar la renovación automática del token.

Estos datos residen únicamente en su dispositivo y no son transmitidos a servidores de analítica. Puede eliminarlos desde la configuración de su navegador en cualquier momento; al hacerlo, únicamente deberá iniciar sesión de nuevo.

6

Medidas de Seguridad

Implementamos medidas técnicas y administrativas para proteger sus datos personales contra acceso no autorizado, pérdida, alteración o divulgación indebida:

Cifrado de contraseñas: almacenadas con bcrypt; su contraseña nunca se guarda en texto plano.
Autenticación con tokens JWT: tokens de corta vigencia (15 min) con rotación automática de refresh tokens (30 días).
Control de tasa de acceso: límites en intentos de autenticación (registro: 5 solicitudes / 15 min; login: 10 solicitudes / 5 min).
Encabezados de seguridad HTTP: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy activos en producción.
Supresión de datos en registros: los logs del sistema reemplazan correos y tokens con hashes anónimos antes de almacenarse.
CORS restringido: las peticiones de origen cruzado solo se permiten desde dominios explícitamente autorizados.
Aislamiento por usuario: todas las consultas a la base de datos están delimitadas por user_id; los datos de un usuario no son accesibles para otro.

7

Retención y Eliminación de Datos

Sus datos personales se conservan mientras mantenga una cuenta activa en Arsia3D. Al solicitar la cancelación de su cuenta, todos los datos vinculados son eliminados en cascada de nuestras bases de datos, incluyendo: mensajes, diario emocional, memorias ancla, perfil de personalidad y estado emocional registrado.

Nota: los registros de uso (tokens consumidos, modelo utilizado) pueden conservarse de forma anonimizada por hasta 90 días adicionales con fines de auditoría operativa, conforme al artículo 37 de la LFPDPPP.

Actualmente la eliminación de cuenta no está disponible desde la interfaz de usuario. Para solicitar la cancelación y borrado completo de sus datos, ejercite su derecho de Cancelación conforme a la Sección 8 de este Aviso.

8

Derechos ARCO

De conformidad con los artículos 22 al 27 de la LFPDPPP, usted puede ejercer en todo momento los siguientes derechos sobre sus datos personales:

Sus derechos sobre sus datos personales

Acceso Conocer qué datos personales tenemos de usted, para qué los utilizamos y las condiciones del uso que les damos.

Rectificación Solicitar la corrección de sus datos cuando estén desactualizados, sean inexactos o incompletos.

Cancelación Solicitar la supresión de sus datos cuando considere que no están siendo tratados conforme a los principios de la LFPDPPP.

Oposición Oponerse al uso de sus datos para fines específicos, incluyendo las finalidades secundarias descritas en la Sección 3.

Para ejercer cualquiera de sus derechos ARCO, envíe su solicitud a: arsia.oficial@gmail.com

Su solicitud debe incluir: nombre completo, correo electrónico de la cuenta, descripción clara del derecho que desea ejercer y, en su caso, documentación que acredite su identidad. Responderemos en un plazo máximo de 20 días hábiles conforme al artículo 24 de la LFPDPPP.

9

Cambios al Aviso de Privacidad

Nos reservamos el derecho de actualizar o modificar el presente Aviso en cualquier momento para reflejar cambios en nuestras prácticas o en la legislación aplicable. Cuando realicemos modificaciones sustanciales, lo notificaremos mediante un aviso visible en la plataforma o a través del correo electrónico registrado en su cuenta.

La fecha de "última actualización" al inicio de este documento indica la versión vigente. Le recomendamos revisarlo periódicamente.

10

Contacto

Para cualquier duda, consulta o solicitud relacionada con el tratamiento de sus datos personales, puede comunicarse con el Responsable por los siguientes medios:

📧 Correo electrónico: arsia.oficial@gmail.com
Este canal está disponible para el ejercicio de derechos ARCO, consultas sobre privacidad y reporte de incidentes de seguridad.