Tratamiento de Datos

RESUMEN DE TRATAMIENTO DE DATOS Última actualización: 2026-06-19 1. RESPONSABLE Y ENCARGADO DEL TRATAMIENTO Responsable del tratamiento: El Cliente, la empresa que se registra y utiliza la plataforma Nómaton para procesar la nómina de sus empleados en México. Encargado del tratamiento: WezOps LLC, operando comercialmente como "Nómaton," con domicilio en 447 Broadway, 2nd Floor Suite #2566, New York, New York 10013, Estados Unidos de América. 2. FINALIDADES DEL TRATAMIENTO DE DATOS WezOps procesa los Datos del Empleado exclusivamente para las finalidades especificadas en el Aviso de Privacidad Integral (disponible en /privacy) y los Términos de Servicio (disponibles en /terms): Finalidades primarias (necesarias para la relación laboral): - Cálculo y procesamiento de nómina (ordinaria y extraordinaria) - Retención de ISR conforme al Art. 96 LISR - Gestión de cuotas IMSS/INFONAVIT - Generación y timbrado de CFDI 4.0 de nómina - Generación de archivos de dispersión bancaria - Cumplimiento de la legislación laboral, fiscal y de seguridad social mexicana - Conservación de registros conforme al Art. 804 LFT y Art. 30 CFF Finalidades secundarias (opcionales, el titular puede oponerse): - Análisis estadístico agregado para mejora de la plataforma - Analíticas anonimizadas de la fuerza laboral y benchmarking de la industria - Comunicaciones sobre actualizaciones del servicio 3. CATEGORÍAS DE DATOS PERSONALES TRATADOS - Datos de identificación (nombre, fecha de nacimiento, CURP, RFC, fotografía) - Datos de contacto (domicilio, teléfono, correo electrónico) - Datos laborales (puesto, departamento, fecha de ingreso, salario, antigüedad) - Datos fiscales (RFC, régimen fiscal, domicilio fiscal) - Datos de seguridad social (NSS, registro IMSS, movimientos afiliatorios) - Datos financieros (CLABE, cuenta bancaria para depósito de nómina) - Datos patrimoniales (SBC, percepciones, deducciones, ISR, cuotas IMSS) - Datos sensibles (únicamente incapacidades médicas expedidas por el IMSS) 4. MEDIDAS DE SEGURIDAD WezOps implementa las siguientes medidas técnicas y organizativas conforme al Art. 19 de la LFPDPPP y Art. 57-58 de su Reglamento: - Cifrado AES-256-GCM a nivel de campo para datos sensibles en reposo - Cifrado TLS 1.3 para todos los datos en tránsito - Control de acceso basado en roles (7 niveles, 55 permisos) - Autenticación multifactor (TOTP) - Registro de auditoría inmutable con integridad mediante cadena hash HMAC-SHA-256 - Monitoreo y registro automatizado de acceso a datos - Protección CSRF y sanitización de entradas - Limitación de tasa en todos los endpoints de API - Versionado de claves para rotación de claves de cifrado - Aislamiento de datos a nivel de inquilino (todas las consultas filtradas por tenant_id) 5. UBICACIÓN DE LOS DATOS Y TRANSFERENCIAS INTERNACIONALES Los Datos del Cliente se almacenan en los Estados Unidos: - Base de datos principal: Neon (PostgreSQL), región East US - Hosting de aplicación: Vercel, red global de borde - Base legal para la transferencia: Art. 37, Fracción VII de la LFPDPPP 6. RETENCIÓN DE DATOS - Registros laborales y de nómina: mínimo 5 años (Art. 804 LFT) - Registros fiscales y CFDI: mínimo 5 años (Art. 30 CFF) - Registros de seguridad social: conforme a regulaciones de la LSS - Registros de auditoría: conservados indefinidamente para cumplimiento - Al terminar: ventana de exportación de datos de 30 días, luego eliminación (excepto retención legalmente requerida) 7. NOTIFICACIÓN DE VULNERACIONES WezOps notificará al Cliente sin demora indebida, y dentro de las 72 horas cuando sea posible, de cualquier vulneración de datos confirmada que afecte los Datos del Empleado. La notificación incluirá: - Naturaleza de la vulneración - Categorías y número aproximado de titulares afectados - Consecuencias probables - Medidas tomadas o propuestas para abordar la vulneración 8. DPA EMPRESARIAL Para clientes empresariales que requieran un Acuerdo de Tratamiento de Datos independiente y firmado con términos personalizados, contactar a: legal@nomaton.mx