Aviso de Privacidad

Última actualización: 31 de marzo de 2026

Responsable: Rofa Abogados y Contadores SC, con domicilio en Av. Hidalgo 3301, Altos B, colonia Vallarta San Jorge, Guadalajara, Jalisco, C.P. 44690, México. Plataforma Atalaia accesible en https://atalaia.tax.

El presente Aviso de Privacidad se emite de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento, con el fin de informarle sobre el tratamiento que se dará a sus datos personales.

1. Identidad y domicilio del responsable

Rofa Abogados y Contadores SC (en adelante “Rofa” o “el Responsable”), con domicilio en Av. Hidalgo 3301, Altos B, colonia Vallarta San Jorge, Guadalajara, Jalisco, C.P. 44690, es responsable del tratamiento de sus datos personales a través de la plataforma Atalaia (en adelante “la Plataforma”).

2. Datos personales que se recaban

2.1 Datos de identificación y contacto

  • Nombre completo o razón social
  • Registro Federal de Contribuyentes (RFC)
  • Dirección de correo electrónico
  • Régimen fiscal
  • Código postal

2.2 Datos de e.firma (firma electrónica avanzada)

  • Archivo de certificado (.cer)
  • Archivo de llave privada (.key)
  • Contraseña de la llave privada

Nota importante: Si bien la e.firma no constituye un dato personal sensible conforme a la definición del artículo 3, fracción VI de la LFPDPPP, reconocemos su alta sensibilidad operativa. Por ello, aplicamos medidas de seguridad equivalentes a las de datos sensibles, incluyendo cifrado AES-256-GCM tanto para la contraseña de la llave privada (almacenada cifrada en base de datos) como para el archivo .key (almacenado cifrado en Supabase Storage). El archivo .cer no se cifra adicionalmente ya que es un documento público descargable desde el portal del SAT.

2.3 Datos financieros

  • Datos de pago procesados a través de Stripe (no almacenamos números de tarjeta ni datos bancarios en nuestros servidores)
  • Datos fiscales para la emisión de CFDI (razón social, RFC, régimen fiscal, código postal, uso de CFDI)
  • Historial de pagos y suscripciones

3. Finalidades del tratamiento

Finalidades primarias (necesarias para el servicio)

  • Descarga automática de documentos fiscales desde el portal del SAT
  • Envío de documentos fiscales por correo electrónico a los destinatarios indicados por el usuario
  • Gestión de su cuenta de usuario y autenticación
  • Procesamiento de cobros y emisión de CFDI (facturas electrónicas)
  • Envío de alertas sobre el estado de la e.firma (vencimiento, renovación)
  • Monitoreo del Buzón Tributario del SAT y del portal del IMSS para detectar notificaciones, requerimientos y avisos dirigidos al contribuyente, y envío de alertas al usuario

Finalidades secundarias (no necesarias para el servicio)

  • Envío de comunicaciones sobre nuevos servicios, funcionalidades o promociones de Atalaia
  • Elaboración de estadísticas internas y mejora del servicio

Si usted no desea que sus datos personales sean tratados para las finalidades secundarias, puede enviarnos su solicitud a contacto@rofa.com.mx.

4. Consentimiento expreso para el uso de e.firma

Al registrar su e.firma en la Plataforma, usted otorga su consentimiento expreso para que Rofa:

  • Almacene sus archivos de e.firma de forma cifrada con AES-256-GCM
  • Utilice su e.firma exclusivamente para acceder al portal del SAT y descargar los documentos fiscales contratados
  • Descifre temporalmente su e.firma en memoria durante el proceso de descarga, sin almacenar los datos descifrados de forma persistente

Reconocimientos del usuario:

  • Conforme al artículo 17-D del Código Fiscal de la Federación (CFF), la firma electrónica avanzada tiene el mismo valor jurídico que una firma autógrafa
  • Conforme al artículo 17-J del CFF, el titular es responsable del uso de su certificado y debe solicitar la revocación ante el SAT si sospecha de un uso indebido

5. Medidas de seguridad

Implementamos medidas de seguridad administrativas, técnicas y físicas para proteger sus datos personales:

  • Comunicaciones: todas las conexiones utilizan HTTPS/TLS
  • Cifrado de contraseña de e.firma: la contraseña de la llave privada se cifra con AES-256-GCM antes de almacenarse en base de datos. El IV (vector de inicialización) y el tag de autenticación se almacenan por separado. La clave de cifrado reside en Google Cloud Secret Manager.
  • Cifrado de archivo .key: el archivo de llave privada (.key) se cifra con AES-256-GCM antes de almacenarse en Supabase Storage. El formato incluye un encabezado de identificación, IV, tag de autenticación y los datos cifrados.
  • Archivo .cer: el archivo de certificado (.cer) se almacena sin cifrado adicional, ya que es un documento público disponible en el portal del SAT.
  • Control de acceso a base de datos: Row Level Security (RLS) garantiza que cada usuario solo accede a sus propios datos.
  • Almacenamiento seguro de archivos: los archivos se almacenan en buckets privados de Supabase Storage con políticas de acceso (RLS) que limitan la lectura y escritura al usuario propietario.
  • Autenticación: tokens JWT con expiración controlada.
  • Descifrado temporal: las credenciales de e.firma se descifran únicamente en memoria (en servidores de Google Cloud Run) durante el proceso de descarga y no se almacenan de forma persistente en texto claro.
  • Separación de capas: la clave de cifrado se almacena en Google Cloud Secret Manager, los datos cifrados en Supabase (base de datos y Storage), y el descifrado solo ocurre en Google Cloud Run. Ningún sistema individual tiene acceso a toda la información.
  • Pagos: procesados por Stripe, certificado PCI DSS Level 1 (el estándar más alto de la industria de pagos).

6. Ciclo de vida de los datos de e.firma

6.1 Alta del contribuyente — Al registrar un contribuyente, los archivos de e.firma se transmiten mediante conexión cifrada (HTTPS/TLS). La contraseña de la llave privada y el archivo .key se cifran con AES-256-GCM antes de almacenarse. El archivo .cer no requiere cifrado adicional ya que es un documento público disponible en el portal del SAT. Los datos originales en texto claro se descartan de la memoria del servidor inmediatamente después del cifrado.

6.2 Uso durante la descarga — Para descargar documentos fiscales, los datos de e.firma se descifran únicamente en memoria durante el proceso de autenticación con el SAT. En ningún momento se almacenan datos descifrados de forma persistente en disco.

6.3 Actualización — Al actualizar la e.firma, se reemplaza la información cifrada anterior por la nueva, siguiendo el mismo proceso de cifrado.

6.4 Eliminación — Al eliminar un contribuyente, se eliminan de forma irreversible todos los archivos cifrados, las contraseñas cifradas y todos los registros asociados al contribuyente.

7. Transferencias y remisiones de datos

Para la prestación del servicio, sus datos personales pueden ser transferidos o remitidos a los siguientes terceros, de conformidad con los artículos 36 y 37 de la LFPDPPP y los artículos 49 a 55 de su Reglamento:

TerceroFinalidad
Supabase (EE.UU.)Almacenamiento de base de datos, autenticación y archivos
Google Cloud Platform (EE.UU.)Ejecución de procesos de descarga, almacenamiento seguro de llaves de cifrado
Stripe (EE.UU.)Procesamiento de pagos
Resend (EE.UU.)Envío de correos electrónicos transaccionales
Facturapi (México)Emisión de CFDI (facturación electrónica)
SAT (México)Descarga de documentos fiscales (destino final del uso de e.firma)

8. Derechos ARCO

Usted tiene derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales (derechos ARCO). Para ejercer cualquiera de estos derechos, envíe su solicitud a contacto@rofa.com.mx indicando:

  • Nombre completo y correo electrónico registrado en la Plataforma
  • Descripción clara del derecho que desea ejercer
  • Documentos que acrediten su identidad (identificación oficial)

Daremos respuesta a su solicitud en un plazo máximo de 20 días hábiles contados a partir de la fecha en que se reciba la solicitud completa.

9. Revocación del consentimiento

Usted puede revocar el consentimiento para el tratamiento de sus datos personales enviando su solicitud a contacto@rofa.com.mx. Tenga en cuenta que la revocación del consentimiento para el tratamiento de datos necesarios para la prestación del servicio puede resultar en la cancelación de su cuenta y la imposibilidad de continuar utilizando la Plataforma.

10. Cookies

La Plataforma utiliza únicamente cookies estrictamente necesarias para el funcionamiento del servicio (autenticación y sesión). No utilizamos cookies de publicidad, marketing ni de rastreo de terceros.

11. Cambios al aviso de privacidad

Nos reservamos el derecho de modificar el presente Aviso de Privacidad en cualquier momento. Las modificaciones serán notificadas a través de la Plataforma y/o por correo electrónico. La versión actualizada estará siempre disponible en atalaia.tax/privacidad.

12. Autoridad competente

Si usted considera que su derecho a la protección de datos personales ha sido lesionado, puede interponer una queja o denuncia ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Para mayor información, visite www.inai.org.mx.