Aviso de Privacidad.

Wave Design S.A. de C.V. (en adelante “Wave Design”, “Nosotros” o “el Responsable”), con domicilio fiscal en la Ciudad de México, México, es la persona moral propietaria y operadora de la plataforma PaperworkLab® (en adelante “la Plataforma”), marca registrada de CEFEM.

Wave Design es la responsable del tratamiento de los datos personales recabados a través de la Plataforma paperworklab.com.

Para los fines descritos en este Aviso, podremos recabar las siguientes categorías de datos:

• Datos de identificación: nombre completo, fecha de nacimiento, fotografía de perfil (opcional).
• Datos de contacto: correo electrónico, teléfono, dirección comercial.
• Datos fiscales empresariales: RFC, razón social, régimen fiscal, código postal del domicilio fiscal.
• Datos de acceso: usuario, contraseña cifrada (bcrypt cost 12), segundo factor TOTP, claves API, tokens OAuth.
• Datos operativos: sedes, trámites regulatorios, documentos cargados, bitácora de eventos, comentarios, asignaciones.
• Datos financieros: facturación electrónica (CFDI), línea de crédito, complementos de pago, gastos reembolsables.
• Datos de navegación: dirección IP (almacenada con hash SHA-256), user-agent, registro de accesos, ubicación de escaneo QR.

No recabamos datos personales sensibles (origen racial, salud, creencias, orientación sexual, etc.) en el curso normal del servicio.

Finalidades primarias (necesarias para el servicio):

• Provisión y operación de la Plataforma PaperworkLab.
• Gestión de cuentas, autenticación, autorización y control de acceso.
• Procesamiento de trámites regulatorios ante autoridades federales, estatales y municipales.
• Generación de facturación electrónica (CFDI) y complementos de pago.
• Operación de la Línea de Crédito CEFEM para reembolso de derechos gubernamentales.
• Auditoría inmutable de accesos y operaciones (12 meses de retención mínima).
• Comunicaciones operativas (alertas de vencimiento, notificaciones in-app, recordatorios).
• Soporte técnico y atención al usuario.

Finalidades secundarias (no necesarias; puedes oponerte):

• Análisis estadístico agregado para mejora del producto.
• Encuestas de satisfacción y comunicaciones comerciales (newsletter).

Para oponerte a finalidades secundarias, envía un correo a privacidad@paperworklab.com.

Wave Design no comercializa datos personales. Únicamente realizamos transferencias necesarias para la operación del servicio a:

• Autoridades federales, estatales y municipales mexicanas para la presentación de trámites regulatorios (COFEPRIS, SAT, IMSS, SEMARNAT, CONAGUA, INFONAVIT, IMPI, SACMEX, SEDEMA, SGIRPC, Bomberos, Protección Civil, alcaldías y municipios competentes).
• Procesadores de pago (Stripe, Zoho Payments, banca electrónica) para procesar facturación.
• Proveedores de infraestructura (Hostinger VPS, Cloudflare, Sentry, Anthropic) bajo acuerdos de confidencialidad e integridad.
• Autoridades judiciales o administrativas cuando exista requerimiento legal expreso.

No realizamos transferencias internacionales sin el consentimiento del titular, salvo las técnicamente necesarias para la prestación del servicio (CDN, monitoreo, IA), las cuales se encuentran bajo cláusulas contractuales estándar conformes a la LFPDPPP.

Como titular de datos personales tienes derecho a:

• Acceder a tus datos personales y conocer su tratamiento.
• Rectificar datos inexactos o incompletos.
• Cancelar tus datos cuando no sean necesarios para el cumplimiento de las finalidades.
• Oponerte al uso para finalidades específicas.

Para ejercer estos derechos, envía una solicitud por escrito a privacidad@paperworklab.com con: copia de identificación oficial, descripción clara y precisa de los datos personales sobre los que se busca ejercer el derecho, y cualquier otra información que facilite la atención.

Responderemos en un plazo máximo de 20 días hábiles. La portabilidad de datos está disponible mediante exportación auto-servicio en /clientes/settings/export.

Implementamos medidas administrativas, técnicas y físicas para proteger tus datos personales:

• Cifrado AES-256-GCM at-rest para documentos sensibles.
• TLS 1.3 + HSTS preload para comunicaciones (HTTPS forzado).
• Autenticación con MFA TOTP opcional y obligatoria para roles administrativos.
• Auditoría inmutable de accesos (12 meses · LFPDPPP).
• Aislamiento multi-tenant con Row-Level Security en PostgreSQL.
• Bcrypt cost 12 para hash de contraseñas (OWASP 2026).
• Headers de seguridad: CSP, X-Frame-Options DENY, Referrer-Policy, Permissions-Policy restrictiva.
• Rate-limiting en login y endpoints sensibles.
• Revisión periódica de vulnerabilidades conforme a ISO 27001.

Más detalles en nuestra Política de Seguridad.

La Plataforma utiliza cookies esenciales para autenticación de sesión, prevención de CSRF y preferencias de usuario. No usamos cookies de tracking publicitario.Detalles en nuestra Política de Cookies.

Conservamos tus datos personales durante:

• Cuenta activa: mientras dure la relación contractual.
• Auditoría de accesos: 13 meses (LFPDPPP mínimo 12).
• Información fiscal: 5 años (Código Fiscal de la Federación).
• Bitácora de trámites: permanente mientras la sede esté activa (requerimiento operativo regulatorio).
• Logs de escaneo QR: 24 meses.

Tras la cancelación de la cuenta, eliminamos o anonimizamos los datos en un plazo máximo de 30 días naturales, salvo aquellos sujetos a obligaciones legales de conservación.

Wave Design se reserva el derecho de modificar este Aviso. Cualquier cambio será notificado a través de la Plataforma con al menos 30 días de anticipación a su entrada en vigor. La versión vigente siempre estará disponible en paperworklab.com/legal/privacy.

Si consideras que tus derechos no han sido atendidos correctamente, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): inai.org.mx