Vertebra Contáctanos

Aviso de Privacidad

1. Identificación del Responsable

VERTEBRA CAPITAL, S.A.P.I. de C.V. (en lo sucesivo, "VERTEBRA"), con Registro Federal de Contribuyentes VCA210625LC0 y domicilio en Avenida Circuito Interior Melchor Ocampo 469, piso 6, interior 620, colonia Anzures, Miguel Hidalgo, Ciudad de México, México, pone a su disposición el presente Aviso de Privacidad de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares ("la Ley") y su Reglamento, así como los demás ordenamientos aplicables.

2. Definiciones

Para los efectos del presente Aviso, y de manera complementaria a las definiciones contenidas en el artículo 3 de la Ley:

  • Aviso: El presente documento, expedido en formato físico, electrónico o cualquier otro generado por el Responsable, puesto a disposición del Titular para delimitar los alcances y condiciones del Tratamiento.
  • Base de Datos: El conjunto ordenado de Datos Personales referentes a una persona identificada o identificable dentro de la Plataforma.
  • Cliente: Persona moral o física con actividad empresarial que contrata la Plataforma de VERTEBRA para gestionar su portafolio inmobiliario o de activos.
  • Datos Personales: Cualquier información concerniente a una persona física identificada o identificable.
  • Datos Personales Sensibles: Información que afecte la esfera más íntima del Titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste (artículo 8 de la Ley).
  • Derechos ARCO: Acceso, Rectificación, Cancelación y Oposición.
  • Encargado: Persona física o moral que, sola o juntamente con otras, trate Datos Personales por cuenta del Responsable.
  • Ley: Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento.
  • Plataforma: Sitio web, aplicación web y aplicación móvil de VERTEBRA, incluyendo todos sus módulos (Activos, Mantenimiento, Contratos, Legal, Finanzas) y la capa de inteligencia artificial denominada "Eva".
  • Responsable: VERTEBRA, persona moral que decide sobre el Tratamiento de los Datos Personales.
  • Servicios: Software como Servicio (SaaS) para la gestión integral de inmuebles, activos físicos, contratos, mantenimiento y operación de portafolios industriales y comerciales ("Property & Facility Management").
  • Sub-encargado: Tercero al que VERTEBRA transfiere Datos Personales para la prestación de los Servicios.
  • Titular: La persona física a quien corresponden los Datos Personales.
  • Tratamiento: La obtención, uso, divulgación o almacenamiento de Datos Personales por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de Datos Personales.
  • Transferencia: Toda comunicación de Datos Personales realizada a personas distintas del Responsable o Encargado del Tratamiento.
  • Usuario: Persona física que accede y opera la Plataforma de VERTEBRA en nombre del Cliente. Destinatario principal del presente Aviso.
  • Web beacons: Imagen visible u oculta insertada dentro del Sitio Web de VERTEBRA, mediante la cual se puede obtener información como dirección IP de origen, navegador utilizado, sistema operativo, momento de acceso y, en el caso del correo electrónico, la asociación de los datos anteriores con el Usuario.

3. Datos Personales que Recabamos

La información se recaba a través de los formatos establecidos en la Plataforma de VERTEBRA, directamente del Titular o, cuando aplica, a través del Cliente que opera la Plataforma. Los Datos Personales que se recaban incluyen, sin limitarse a, los siguientes:

3.1 Datos de identificación y contacto

  • Nombre completo
  • Fecha de nacimiento
  • Identificación oficial (INE, pasaporte, FM-3 — únicamente cuando es necesario para validación o cumplimiento legal)
  • Registro Federal de Contribuyentes (RFC)
  • Correo electrónico (corporativo y personal)
  • Teléfono fijo y celular
  • Domicilios (físico y fiscal)
  • Cargo y empresa para la que labora

3.2 Datos de operación dentro de la Plataforma

  • Datos de propiedad y activos: información sobre los inmuebles, activos físicos, equipos y bienes que el Cliente administra en la Plataforma (ubicación, características técnicas, valor, estado).
  • Tickets de mantenimiento: descripción del problema, prioridad, fechas, comentarios, asignación.
  • Fotografías y evidencias visuales subidas al sistema (pueden incluir personas, vehículos e instalaciones de terceros).
  • Datos de geolocalización generados por la aplicación móvil al registrar tickets, evidencias o visitas.
  • Documentos cargados: contratos, manuales técnicos, pólizas, certificaciones, planos, fichas técnicas.
  • Reportes generados dentro de la Plataforma por el Usuario o el Cliente.
  • Historial de actividad y registros de auditoría (timestamps, dispositivo, dirección IP).

3.3 Datos fiscales y de facturación electrónica (CFDI)

Para la emisión de Comprobantes Fiscales Digitales por Internet (CFDI) y para cumplir con obligaciones fiscales y de prevención de lavado de dinero (LFPIORPI / "PLD"), VERTEBRA puede tratar:

  • Razón social, RFC, régimen fiscal, uso del CFDI, domicilio fiscal, correo de facturación.
  • Acta constitutiva y cédula de identificación fiscal cuando el Cliente las carga voluntariamente.
  • Certificados de Sello Digital (CSD): archivos .cer (público) y .key (privado).
  • Contraseña del CSD privado (cifrada a nivel aplicación).
  • Datos de cuentas bancarias asociadas a la razón social (cifrados a nivel aplicación).
  • Registros y archivos de cumplimiento PLD definidos por el Cliente.
  • Facturas emitidas y recibidas, conceptos facturados, montos, métodos de pago y proveedores.

3.4 Datos de medios de pago

Datos de medios de pago utilizados para contratar los Servicios. VERTEBRA no almacena directamente datos de tarjeta; estos son procesados por el sub-encargado de la categoría "procesamiento de pagos" identificada en la Sección 6.

3.5 Datos de terceros cargados por el Cliente (proveedores, inquilinos, contratistas, empleados)

Cuando el Cliente carga información de sus proveedores, inquilinos, contratistas, empleados o contrapartes a la Plataforma, VERTEBRA actúa como Encargado del Tratamiento, bajo instrucciones del Cliente, quien conserva la calidad de Responsable frente a esos Titulares. Las obligaciones recíprocas se regulan en el Acuerdo de Procesamiento de Datos (DPA) que VERTEBRA suscribe con el Cliente.

3.6 Datos técnicos

  • Dirección IP de acceso a la Plataforma
  • Tipo de navegador y sistema operativo
  • Identificadores únicos de dispositivo móvil
  • Cookies y tecnologías similares (ver Sección 12)

3.7 Datos Personales Sensibles

VERTEBRA no requiere, no solicita y no está diseñada para tratar Datos Personales Sensibles. El Cliente acepta, mediante el DPA, no cargar Datos Personales Sensibles a la Plataforma sin acuerdo previo por escrito con VERTEBRA.

En el caso de que el Usuario o el Cliente incorporen Datos Personales Sensibles a la Plataforma (por ejemplo, datos de salud contenidos en documentos cargados), VERTEBRA los tratará con el mayor estándar de seguridad y únicamente para los fines establecidos por el Cliente. Conforme al segundo párrafo del artículo 8 de la Ley, la carga voluntaria de Datos Personales Sensibles a la Plataforma constituye consentimiento expreso del Titular para su Tratamiento en los términos de este Aviso.

4. Finalidades del Tratamiento

4.1 Finalidades primarias (necesarias para la relación contractual y obligaciones legales)

  • Crear, autenticar y administrar la cuenta del Usuario en la Plataforma.
  • Prestar los Servicios contratados (gestión de inmuebles, activos, contratos, mantenimiento, operación).
  • Procesar transacciones operativas dentro de la Plataforma.
  • Emitir Comprobantes Fiscales Digitales por Internet (CFDI) por cuenta del Cliente cuando éste habilite la funcionalidad.
  • Cumplir con obligaciones fiscales (Código Fiscal de la Federación, reglas de CFDI) y de prevención de lavado de dinero (LFPIORPI / "PLD") cuando apliquen.
  • Comunicaciones operativas y de soporte técnico.
  • Auditoría, monitoreo de seguridad y registros de cumplimiento.

4.2 Finalidades secundarias (no necesarias para la relación contractual)

Las siguientes finalidades requieren consentimiento expreso e independiente del Titular, otorgado mediante mecanismo opt-in al momento del registro o desde la configuración de la cuenta:

  • Envío de comunicaciones de marketing, productos y eventos.
  • Análisis estadístico de uso para mejorar el producto.
  • Investigación de mercado y prospección comercial.

El Titular puede rechazar las finalidades secundarias sin que esto afecte la prestación de los Servicios contratados, mediante el mecanismo de revocación descrito en la Sección 10.

4.3 Consentimiento del Titular

De conformidad con el artículo 17 de la Ley, al registrarse en la Plataforma y aceptar los Términos y Condiciones, el Titular declara que el presente Aviso le ha sido dado a conocer por VERTEBRA, lo ha leído, comprendido y aceptado, otorgando su consentimiento expreso para el Tratamiento de sus Datos Personales conforme a las finalidades primarias señaladas en la Sección 4.1.

El consentimiento para las finalidades secundarias (Sección 4.2) se otorga de manera expresa y separada mediante un mecanismo de opt-in explícito (casilla de verificación) al momento del registro o desde la configuración de la cuenta. El Titular puede otorgar o revocar este consentimiento en cualquier momento sin afectar la prestación de los Servicios.

VERTEBRA no aplica mecanismos de consentimiento tácito por silencio del Titular para finalidades secundarias.

En el caso de Datos Personales Sensibles, conforme al artículo 9 de la Ley, su Tratamiento requiere el consentimiento expreso por escrito del Titular, el cual se entiende otorgado al momento de cargar voluntariamente dicha información a la Plataforma.

4.4 Compromiso de no comercialización

VERTEBRA no vende, alquila ni comercializa Datos Personales, ni los comparte con socios publicitarios o con terceros distintos a los Sub-encargados descritos en la Sección 6.

5. Uso de Inteligencia Artificial y Decisiones Automatizadas

VERTEBRA opera una capa de inteligencia artificial denominada "Eva" que asiste al Usuario en la operación de la Plataforma. Eva puede:

  • Responder preguntas en lenguaje natural sobre la operación del portafolio del Cliente.
  • Sugerir clasificaciones, categorías y prioridades en flujos de trabajo.
  • Generar reportes y análisis comparativos a partir de los datos del Cliente.
  • Detectar patrones operativos en el historial del Cliente.
  • Extraer información estructurada de documentos cargados por el Cliente (contratos, fichas técnicas, registros fiscales).

5.1 Proveedores de modelos de lenguaje

Eva opera sobre modelos de lenguaje provistos por Anthropic, PBC y Google LLC (Gemini API y Document AI), contratados en sus respectivos planes de API comercial.

VERTEBRA confirma que, conforme a los términos públicos vigentes de dichos proveedores a la fecha de este Aviso, los datos enviados por VERTEBRA a través de sus APIs no son utilizados para entrenar, ajustar (fine-tune) o mejorar los modelos del proveedor. La retención de datos por el proveedor se rige por sus políticas estándar de logging operativo y monitoreo de abuso.

5.2 Decisiones automatizadas

Eva no toma decisiones automatizadas que produzcan efectos jurídicos sobre el Titular ni afecten significativamente sus derechos. Toda recomendación o sugerencia de Eva debe ser revisada y aprobada por un Usuario humano antes de ejecutarse.

5.3 Derecho del Titular

El Titular tiene derecho a:

  • Solicitar información sobre la lógica aplicada por Eva en cualquier sugerencia.
  • Oponerse al Tratamiento de sus Datos Personales por sistemas de IA.
  • Solicitar la revisión humana de cualquier decisión asistida por IA que le afecte.

El Cliente puede solicitar por escrito que las funcionalidades de IA se deshabiliten para su tenant; VERTEBRA evaluará y confirmará la solicitud.

6. Transferencias de Datos Personales

VERTEBRA transfiere Datos Personales a Sub-encargados que prestan servicios necesarios para la operación de la Plataforma. Cada Sub-encargado recibe únicamente los Datos Personales estrictamente necesarios para su función y opera bajo contratos que incorporan estándares de protección equivalentes a los exigidos por la Ley.

6.1 Categorías de Sub-encargados

Categoría Finalidad Datos transferidos Región
Infraestructura en la nube y almacenamiento de archivos Hospedaje de la Plataforma, base de datos, almacenamiento de archivos del Cliente Todos los datos operativos y de cuenta del Cliente Estados Unidos
Procesamiento de inteligencia artificial Operación del asistente Eva y extracción de documentos Mensajes del Usuario y documentos cargados voluntariamente para análisis Estados Unidos
Envío de correo transaccional Notificaciones operativas, recordatorios, códigos de autenticación, invitaciones Nombre y correo del destinatario, contenido del mensaje Estados Unidos
Facturación electrónica (CFDI) Emisión de CFDI ante el SAT a través de Proveedor Autorizado de Certificación (PAC) RFC, razón social, domicilio fiscal, certificados de sello digital, conceptos facturados México
Monitoreo de errores y observabilidad Detección y diagnóstico de incidentes técnicos Metadatos de petición y trazas de excepción que pueden incluir identificadores de usuario Países Bajos (Unión Europea)
Protección contra abuso (CAPTCHA) Prevención de bots en formularios públicos Dirección IP y señales del navegador del Usuario Infraestructura global del proveedor
Comunicación y colaboración corporativa Soporte al Cliente y operación interna de VERTEBRA Datos del Cliente que transitan por correspondencia de soporte Estados Unidos

6.2 Lista nominal pública

La lista nominal completa y vigente de Sub-encargados —incluyendo razón social, país de procesamiento, certificaciones, datos específicos procesados y fecha de alta— se mantiene públicamente actualizada en /subprocessors. Dicha página incluye un historial de versiones del listado.

6.3 Notificación de cambios en Sub-encargados

VERTEBRA notificará a los Clientes con al menos 30 días naturales de anticipación cualquier alta, baja o cambio material en su lista de Sub-encargados, mediante correo electrónico al contacto registrado en la cuenta. El Cliente podrá objetar el cambio por escrito durante dicho período; si la objeción no puede atenderse, podrá terminar los Servicios afectados conforme a su contrato.

Cambios no materiales (por ejemplo, sustitución de un proveedor por otro de la misma categoría con datos y región equivalentes) podrán comunicarse mediante actualización de la lista pública sin notificación individual.

6.4 Mecanismos de protección de las transferencias

  • Cifrado en tránsito con TLS 1.2 o superior para todo el tráfico cliente-Plataforma y Plataforma-Sub-encargado.
  • Cifrado en reposo con AES-256 a nivel infraestructura y, para los datos más sensibles (contraseñas de CSD, datos bancarios, tokens de API, códigos de MFA, notas legales), cifrado adicional a nivel aplicación mediante Active Record Encryption.
  • Acuerdos de procesamiento (DPA) de cada Sub-encargado, que incorporan Cláusulas Contractuales Estándar (SCCs) en los términos publicados por cada proveedor. Cuando un Cliente lo requiera contractualmente, VERTEBRA suscribe un DPA bilateral.
  • Certificaciones heredadas de los Sub-encargados: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018, PCI DSS, entre otras según el proveedor. Las certificaciones específicas por proveedor se publican en la página referida en la Sección 6.2.

6.5 Transferencias sin consentimiento

De conformidad con el artículo 37 de la Ley, VERTEBRA puede transferir Datos Personales sin requerir consentimiento adicional del Titular en los siguientes supuestos:

  • Cuando esté previsto en una ley o tratado del que México sea parte.
  • A sociedades controladoras, subsidiarias o afiliadas bajo el control común de VERTEBRA.
  • Cuando sea necesario por virtud de un contrato celebrado o por celebrar en interés del Titular.
  • Por mandato de autoridad competente.

7. Período de Retención de Datos Personales

Los Datos Personales se conservarán durante el tiempo necesario para cumplir con las finalidades para las cuales fueron recabados, conforme a los siguientes criterios:

Tipo de dato Período de retención
Datos de cuenta de Usuario activo Mientras la relación contractual con el Cliente esté vigente
Datos operativos del Cliente (tickets, evidencias, contratos, fotografías, reportes) Mientras la cuenta esté activa; eliminación a solicitud escrita del Cliente al terminar la relación
Datos fiscales y contables (CFDI, RFC, registros PLD) El plazo que establezca la legislación fiscal y AML mexicana vigente (mínimo 5 años)
Sesiones del asistente Eva Mientras la cuenta esté activa; eliminables a solicitud del Titular o Cliente
Registros de auditoría (PaperTrail) Vida útil de la base de datos de producción
Registros de aplicación (AppSignal) Ventana de retención estándar del proveedor de observabilidad
Datos de marketing (con consentimiento opt-in) Hasta que el Titular revoque su consentimiento
Backups de la base de datos Hasta 14 días naturales posteriores a la eliminación, conforme a la rotación de respaldos del proveedor de infraestructura

Cumplido el período aplicable, los Datos Personales serán cancelados conforme al procedimiento descrito en el artículo 11 de la Ley, salvo obligación legal de conservación mayor.

VERTEBRA no está sujeta a una obligación fiscal o sectorial que la obligue a conservar Datos Personales del Cliente más allá de la instrucción de éste, salvo lo previsto en la legislación fiscal aplicable. La eliminación se realiza a solicitud escrita del Cliente.

8. Notificación de Incidentes de Seguridad

VERTEBRA mantiene medidas técnicas, administrativas y físicas de seguridad razonablemente apropiadas para proteger los Datos Personales contra acceso, uso, divulgación, alteración o destrucción no autorizados. Estas medidas están documentadas en el Manual de Seguridad y Privacidad interno de VERTEBRA.

En caso de identificar una vulneración a la seguridad de los Datos Personales que afecte de forma significativa los derechos patrimoniales o morales del Titular, VERTEBRA se compromete a:

  1. Notificar al Cliente afectado dentro de las 72 horas posteriores a la confirmación del incidente, mediante el correo electrónico registrado en la Plataforma. Cuando el Titular sea Usuario directo de VERTEBRA con cuenta en la Plataforma, la notificación se realizará directamente al Titular.
  2. Informar sobre la naturaleza del incidente, las categorías de datos comprometidos, el número aproximado de registros afectados, las consecuencias probables, las acciones correctivas tomadas y las recomendaciones aplicables.
  3. Apoyar al Cliente con la información y documentación necesarias para que éste, en su calidad de Responsable frente a sus propios Titulares, cumpla con la obligación de notificación prevista en el artículo 20 de la Ley.
  4. Notificar a la autoridad competente conforme a los plazos establecidos por la legislación aplicable.
  5. Documentar el incidente y las medidas adoptadas para prevenir su recurrencia.

9. Derechos ARCO

Como Titular de los Datos Personales, usted tiene derecho a:

  • Acceder a sus Datos Personales en posesión de VERTEBRA.
  • Rectificar sus Datos Personales cuando sean inexactos o incompletos.
  • Cancelar sus Datos Personales cuando considere que no se requieren para alguna de las finalidades señaladas.
  • Oponerse al Tratamiento de sus Datos Personales para fines específicos.

9.1 Procedimiento

Para ejercer los Derechos ARCO, envíe una solicitud al canal designado de privacidad de VERTEBRA al correo:

security@vertebra.co

La solicitud debe contener:

  1. Nombre completo del Titular y medio para comunicar la respuesta.
  2. Documentos que acrediten su identidad (copia de identificación oficial vigente) o, en su caso, la representación legal.
  3. Descripción clara y precisa de los Datos Personales sobre los que se solicita ejercer alguno de los derechos.
  4. Cualquier elemento adicional que facilite la localización de los Datos.

VERTEBRA responderá su solicitud en un plazo máximo de 20 días hábiles, ampliables por un período igual cuando las circunstancias del caso así lo justifiquen.

10. Revocación del Consentimiento

Usted puede revocar en cualquier momento el consentimiento que haya otorgado para el Tratamiento de sus Datos Personales, sin que esto tenga efectos retroactivos.

Para revocar su consentimiento, siga el mismo procedimiento descrito en la Sección 9, enviando su solicitud a security@vertebra.co.

La revocación del consentimiento para finalidades primarias puede implicar que VERTEBRA no esté en condiciones de continuar prestando los Servicios. La revocación del consentimiento para finalidades secundarias no afectará la prestación de los Servicios.

11. Limitación al Uso o Divulgación

El Titular puede limitar el uso o divulgación de sus Datos Personales para finalidades secundarias mediante:

  • Configuración de preferencias dentro de la Plataforma.
  • Solicitud expresa enviada a security@vertebra.co.

VERTEBRA mantendrá un listado de exclusión de Titulares que hayan limitado el uso de sus datos para finalidades de marketing y comunicación promocional.

12. Uso de Cookies y Tecnologías Similares

La Plataforma utiliza cookies y tecnologías similares (web beacons, local storage) clasificadas en:

  • Cookies esenciales (técnicas): necesarias para el funcionamiento básico de la Plataforma (sesión, seguridad, balanceo). No requieren consentimiento.
  • Cookies de personalización: recuerdan preferencias del Usuario (idioma, configuración de interfaz).
  • Cookies de análisis: permiten medir el uso y comportamiento dentro de la Plataforma con fines de mejora del producto.
  • Cookies de marketing: utilizadas para campañas publicitarias propias o de terceros, en caso de aplicar.

El Usuario puede gestionar sus preferencias de cookies desde la configuración de su navegador y, cuando esté disponible, desde el panel de preferencias de la Plataforma.

13. Modificaciones al Aviso de Privacidad

VERTEBRA se reserva el derecho de actualizar este Aviso de Privacidad para reflejar cambios en sus prácticas, novedades legislativas o nuevos requerimientos operativos.

Cualquier modificación será comunicada mediante:

  1. Publicación de la versión actualizada en /privacy_policy, con identificación de la versión y la fecha de vigencia.
  2. Notificación por correo electrónico a los Usuarios activos cuando los cambios sean materiales.
  3. Mantenimiento de un historial público de versiones del Aviso, accesible desde la misma página, para que el Titular pueda consultar qué versión estuvo vigente en cada momento.

Las altas, bajas y cambios materiales en la lista de Sub-encargados se rigen por el procedimiento específico de la Sección 6.3 y no requieren republicación de este Aviso.

Es responsabilidad del Titular revisar periódicamente el Aviso de Privacidad vigente.

14. Autoridad Competente

En caso de considerar que VERTEBRA ha incurrido en una violación a la protección de sus Datos Personales, el Titular podrá acudir a la autoridad competente en materia de protección de datos personales conforme a la legislación vigente.

15. Sobre Menores de Edad

Los Servicios están dirigidos exclusivamente a personas mayores de 18 años con capacidad jurídica. VERTEBRA no recaba intencionalmente Datos Personales de menores de edad. Si VERTEBRA llegara a conocer que ha recabado Datos Personales de un menor sin el consentimiento de quien ejerza la patria potestad o tutela, procederá a cancelarlos a la brevedad.

16. Programa de Seguridad y Privacidad

VERTEBRA mantiene un programa interno documentado de seguridad y privacidad de la información, alineado con la Ley y con principios del Reglamento General de Protección de Datos europeo (GDPR). El programa incluye, entre otros, los siguientes documentos:

  • Manual de Seguridad y Privacidad.
  • Política de Uso de Inteligencia Artificial.
  • Plan de Respuesta a Incidentes y Plan de Continuidad y Recuperación (BCDR).
  • Inventario y flujo de datos.
  • Política de gestión de riesgos de proveedores.
  • Plantilla de Acuerdo de Procesamiento de Datos (DPA) para Clientes.

Estos documentos están disponibles bajo acuerdo de confidencialidad para Clientes y prospectos en proceso de evaluación de seguridad (security questionnaires / due diligence).

17. Contacto y Responsable de Privacidad

Para cualquier consulta, ejercicio de derechos, revocación de consentimiento o asuntos relacionados con la privacidad, contacte a:

security@vertebra.co

Domicilio: Avenida Circuito Interior Melchor Ocampo 469, piso 6, interior 620, colonia Anzures, Miguel Hidalgo, Ciudad de México, México.

Responsable de privacidad: Chief Technology Officer de VERTEBRA. La designación formal de un Oficial / Departamento de Datos Personales conforme al artículo 30 de la Ley se encuentra en proceso, y será comunicada en una versión posterior de este Aviso.

Para soporte general y consultas no relacionadas con privacidad: ayuda@vertebra.co.

Última actualización: Mayo 2026