Aviso de privacidad integral

1. Identidad y domicilio del responsable

Responsable: [POR DEFINIR — NOMBRE COMPLETO / RAZÓN SOCIAL DEL RESPONSABLE]

RFC: [POR DEFINIR — RFC]

Domicilio: [POR DEFINIR — DOMICILIO FISCAL EN MÉXICO]

Correo de contacto: notificaciones@covaconsult.com

Sitio web: https://covaconsult.com

2. Datos personales que recabamos

Para operar la plataforma COVA, recabamos los siguientes datos:

• Identificación y contacto del usuario gestor o cliente: nombre completo, correo electrónico, contraseña cifrada, número de teléfono (cuando se proporciona).
• Datos fiscales y de operación de gasolineras: razón social, RFC, número de permiso CRE/CNH, número de estación, dirección, ciudad, estado, código postal.
• Contactos de las gasolineras: nombre, correo electrónico y teléfono del contacto que el gestor registre.
• Documentación regulatoria: permisos, dictámenes, bitácoras, anuencias y demás documentos que el usuario suba para cumplir con sus obligaciones ante autoridades federales, estatales y municipales.
• Datos técnicos: dirección IP, user-agent del navegador, fechas y horas de acceso, eventos de auditoría (subida y descarga de documentos, aprobaciones, rechazos, inicios de sesión).
• Factores de autenticación: secreto TOTP cifrado y códigos de recuperación (en formato hash). Nunca almacenamos códigos legibles.

No recabamos datos personales sensibles (origen racial, estado de salud, creencias religiosas, opiniones políticas, preferencias sexuales, datos genéticos o biométricos).

3. Finalidades del tratamiento

Finalidades primarias (necesarias para prestar el servicio; no requieren consentimiento expreso adicional al de este aviso):

• Crear y administrar la cuenta del usuario en COVA, autenticar sus accesos y proteger su sesión con verificación en dos pasos.
• Almacenar los documentos regulatorios de gasolineras y mantener calendario de vencimientos.
• Notificar al gestor o al cliente sobre vencimientos próximos, aprobaciones, rechazos y otros eventos relacionados con la documentación.
• Generar reportes de cumplimiento y trazabilidad para el gestor y, cuando aplique, para auditorías o entes regulatorios.
• Cumplir con obligaciones legales del responsable y atender requerimientos válidos de autoridades.
• Operar el sistema de seguridad: registro de auditoría, detección de accesos anómalos y respuesta a incidentes.

Finalidades secundarias (no son necesarias para prestar el servicio; el usuario puede oponerse en cualquier momento escribiendo a notificaciones@covaconsult.com):

• Envío de comunicaciones sobre nuevas funcionalidades de COVA.
• Estudios estadísticos agregados y anónimos para mejorar el producto.

4. Transferencias de datos

Para prestar el servicio, transferimos datos a los siguientes terceros, quienes están obligados contractualmente a mantener la confidencialidad y cumplir el presente aviso:

• Supabase, Inc. (Estados Unidos) — proveedor de base de datos PostgreSQL, autenticación y almacenamiento de archivos. Los datos pueden almacenarse en infraestructura ubicada fuera de México.
• Hostinger International, Ltd. — proveedor del servidor donde corre la aplicación y del servicio de correo transaccional.

No vendemos ni rentamos datos personales a terceros con fines comerciales.

5. Derechos ARCO y revocación del consentimiento

Tienes derecho a Acceder a tus datos personales, solicitar su Rectificación cuando sean inexactos, pedir su Cancelación cuando ya no sean necesarios u Oponerte a tratamientos específicos. También puedes revocar tu consentimiento en cualquier momento.

Para ejercer estos derechos, envía un correo a notificaciones@covaconsult.com con la siguiente información:

• Nombre completo y correo registrado en COVA.
• Copia de identificación oficial vigente.
• Descripción clara y precisa de tu solicitud.
• Cualquier documento que facilite la atención (por ejemplo, evidencia de que un dato es inexacto).

Responderemos tu solicitud en un plazo máximo de 20 días hábiles. Cancelar tu cuenta puede afectar el cumplimiento regulatorio de las gasolineras vinculadas; te recomendamos descargar los documentos antes.

6. Medios para limitar el uso o divulgación

Puedes solicitar que limitemos el uso o divulgación de tus datos escribiendo a notificaciones@covaconsult.com. Esto incluye la posibilidad de dejar de recibir comunicaciones de mercadotecnia sin que ello afecte tu acceso al servicio.

7. Uso de cookies y tecnologías similares

COVA usa cookies estrictamente necesarias para mantener la sesión del usuario autenticado. No usamos cookies de publicidad, rastreo entre sitios ni perfiles de marketing. El bloqueo de cookies impedirá el inicio de sesión.

8. Medidas de seguridad

Aplicamos medidas administrativas, técnicas y físicas razonables para proteger los datos: cifrado de transporte (HTTPS), cifrado en reposo del almacenamiento, control de acceso basado en roles (RLS en base de datos), verificación en dos pasos obligatoria para cuentas de gestor, bitácora de auditoría inmutable, y respaldos automáticos.

9. Conservación de datos

Conservamos tus datos mientras tu cuenta esté activa y el tiempo adicional razonable para cumplir obligaciones legales, fiscales y de auditoría. Los registros de auditoría se conservan por el tiempo que sea útil para responder a requerimientos de cumplimiento. Cuando un dato deja de ser necesario, lo bloqueamos y posteriormente lo suprimimos conforme a la LFPDPPP.

10. Cambios al aviso de privacidad

Podemos actualizar este aviso para reflejar cambios en la regulación, en nuestras prácticas o en el servicio. Cuando hagamos cambios significativos te lo notificaremos por correo electrónico y te pediremos volver a aceptar antes de seguir usando la plataforma. La versión vigente siempre estará publicada en https://covaconsult.com/legal/privacidad.

11. Autoridad competente

Si consideras que tus derechos en materia de protección de datos personales han sido vulnerados, puedes presentar una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): www.inai.org.mx.