Aviso de Privacidad Asesores

Responsable de la protección de sus datos personales

I. Identidad y Domicilio del Responsable

Cool Things S.A. de C.V. (en adelante "EN CACHITOS" o "el Responsable"), con Registro Federal de Contribuyentes CTH050509JBA, persona moral constituida conforme a las leyes de los Estados Unidos Mexicanos, con domicilio fiscal en Calle Juan Vázquez de Mella 481, Piso 2, Local 200, Interior A, Polanco I Sección, Miguel Hidalgo, Ciudad de México, México, C.P. 11510, es el responsable del tratamiento de sus datos personales.

EN CACHITOS opera el sitio web www.encachitos.com y la plataforma digital accesible en app.encachitos.com, a través de la cual asesores independientes venden productos electrónicos mediante catálogos digitales personalizados.

Para cualquier asunto relacionado con este Aviso de Privacidad o el ejercicio de sus derechos, puede contactarnos mediante el número de WhatsApp +52 55 4360 0321 o a través del correo electrónico que se indica en la Sección VII.

II. Datos Personales que Recabamos

2.1 Datos de identificación y contacto

  • Nombre(s) y apellidos
  • Correo electrónico
  • Número de teléfono y WhatsApp
  • Usuario dentro de la plataforma
  • Contraseña de acceso — almacenada únicamente como hash criptográfico irreversible; nunca en texto legible

2.2 Datos de identidad oficial (datos sensibles)

  • Clave Única de Registro de Población (CURP) — verificada a través de un software de terceros en tiempo real contra el Registro Nacional de Población (RENAPO)
  • Clave del Registro Federal de Contribuyentes (RFC) y razón social asociada — verificada a través de un software de terceros en tiempo real contra el Servicio de Administración Tributaria (SAT)
  • Código Postal y domicilio fiscal

2.3 Documentos de identificación (datos sensibles)

  • Fotografía de la credencial para votar (INE/IFE) — anverso y reverso, verificada a través de un software de terceros en tiempo real contra el Instituto Nacional Electoral.
  • Foto de perfil del asesor (opcional, procesada en el dispositivo del titular antes de su envío)
  • Selfie del asesor sosteniendo su credencial para votar — únicamente para verificación de identidad
  • Comprobante de domicilio, verificada a través de un software de terceros en tiempo real.

2.4 Datos financieros y fiscales

  • Clave Bancaria Estandarizada (CLABE) para recibir transferencias electrónicas, verificada a través de un software de terceros en tiempo real.
  • Historial de comisiones generadas, retenidas y liquidadas
  • Historial de retiros y saldo disponible
  • Datos necesarios para la emisión de Comprobantes Fiscales Digitales por Internet (CFDI) de Retenciones 2.0

2.5 Datos de actividad en la plataforma

  • Catálogos digitales creados y compartidos
  • Pedidos generados a través de la plataforma
  • Progreso en programas de gamificación y bonos acumulados
  • Mensajes intercambiados con el asistente de inteligencia artificial de la plataforma
  • Plan de suscripción contratado y estado de pago

2.6 Datos técnicos generados automáticamente

  • Dirección IP desde la que se accede a la plataforma
  • Navegador y dispositivo utilizados (agente de usuario)
  • Fecha y hora de cada sesión e interacción
  • Sello de tiempo, versión y huella digital (hash SHA-256) del Contrato de Comisión Mercantil firmado electrónicamente, verificada a través de un software de terceros en tiempo real.
  • Datos de sesión gestionados mediante cookies técnicas
  • Ubicación geográfica del asesor (con su consentimiento previo), obtenida a través del dispositivo desde el que accede a la plataforma, con la finalidad de publicar su ubicación aproximada en el mapa público de asesores para ser localizado por clientes potenciales. El dato de ubicación no se utiliza para ninguna otra finalidad y puede retirarse en cualquier momento desde la configuración del perfil.

Todos los datos sensibles (CURP, RFC, documentos de identidad y fotografías) se almacenan con encriptación AES-256-GCM en reposo. El CURP y el RFC cuentan adicionalmente con un hash SHA-256 indexado para búsqueda interna sin exponer el dato original. Ningún dato sensible se almacena en texto legible.

III. Finalidades del Tratamiento

3.1 Finalidades primarias:

Las siguientes finalidades son necesarias para la existencia, el mantenimiento y el cumplimiento de la relación jurídica entre usted y EN CACHITOS. Su negativa imposibilita la prestación del servicio:

  • Registro, verificación de identidad y alta como asesor independiente en la plataforma, incluyendo la validación de CURP ante RENAPO y de RFC ante el SAT para acreditar elegibilidad fiscal
  • Celebración y conservación del Contrato de Comisión Mercantil con firma electrónica, incluyendo las evidencias de IP, fecha, hora, agente de usuario y hash del documento
  • Administración de su cuenta: saldo de comisiones, historial de ventas, retiros y estado de suscripción
  • Cálculo y pago de comisiones mediante transferencia electrónica SPEI a la CLABE registrada
  • Emisión de Comprobantes Fiscales Digitales por Internet (CFDI) de Retenciones 2.0 como plataforma tecnológica, conforme a las legislaciones vigentes.
  • Gestión de pedidos realizados a través de catálogos digitales y procesamiento de pagos del cliente final
  • Procesamiento de pagos de suscripción al plan de servicio
  • Almacenamiento seguro de documentos de identidad en infraestructura de nube con acceso restringido
  • Cumplimiento de obligaciones legales en materia fiscal, mercantil y de protección de datos personales
  • Prevención de fraude y verificación de autenticidad de la identidad del asesor
  • Atención a solicitudes de soporte, quejas y aclaraciones relacionadas con su cuenta
  • Envío de notificaciones transaccionales indispensables: confirmación de pedidos, pago de comisiones, emisión de facturas y alertas de seguridad de la cuenta
  • Gestión de sesiones seguras mediante cookies técnicas
  • Publicación de la ubicación geográfica aproximada del asesor en el mapa público de EN CACHITOS, con la finalidad exclusiva de que clientes potenciales puedan localizarlo. Esta finalidad opera únicamente con su consentimiento previo, el cual puede revocar en cualquier momento desde la configuración de su perfil sin que ello afecte el resto del servicio.

3.2 Finalidades secundarias

Las siguientes finalidades son adicionales y no son necesarias para prestar el servicio. Puede negarse a su tratamiento sin que ello afecte su acceso a la plataforma o el pago de sus comisiones:

  • Envío de comunicaciones comerciales, novedades del catálogo, promoción de productos y campañas mediante WhatsApp Business y correo electrónico
  • Elaboración de perfiles de desempeño y estadísticas de ventas para mejorar los servicios de la plataforma
  • Invitación a participar en retos o concursos adicionales a las comisiones ordinarias

IV. Transferencias a Terceros

Para cumplir las finalidades primarias, EN CACHITOS transfiere datos personales a terceros encargados del tratamiento (subencargados) bajo acuerdos de confidencialidad y seguridad. Dichas transferencias son necesarias para la relación jurídica o para el cumplimiento de una obligación legal.

Categoría de destinatario Datos transferidos y finalidad Protección aplicada
Proveedor de infraestructura de comercio electrónico Nombre y datos de pedidos. Gestión de inventario, catálogo y procesamiento de órdenes de venta. Acuerdo contractual de confidencialidad. Acceso restringido a datos estrictamente necesarios.
Proveedor de pagos electrónicos SPEI Nombre, CLABE e importe de retiro. Ejecución de transferencias para pago de comisiones. Transmisión cifrada TLS. Acuerdo contractual. Cumplimiento regulatorio Banxico.
Proveedor de facturación electrónica (CFDI) Nombre, RFC, domicilio fiscal, importe de comisión e impuestos retenidos. Emisión de CFDI de Retenciones 2.0. Transmisión cifrada TLS. Obligación legal fiscal; datos enviados únicamente a proveedor certificado por el SAT.
Proveedor de validación de identidad CURP y RFC para consulta en tiempo real ante RENAPO y SAT. El proveedor no retiene los datos; únicamente transmite la respuesta oficial. Transmisión cifrada TLS. Autenticación mutua. El dato no se almacena en sistemas del proveedor.
Proveedor de almacenamiento en nube Documentos de identidad (INE, comprobante, selfie de verificación, contrato PDF). Resguardo seguro con acceso restringido. Acceso mediante cuenta de servicio exclusiva. Permisos mínimos necesarios. Carpeta por asesor con control de acceso.
Proveedor de inteligencia artificial para chat bot Texto de los mensajes ingresados por el asesor en el chat del asistente. Generación de respuestas del coach de ventas. Transmisión cifrada TLS. El proveedor no utiliza los datos para entrenar modelos sin consentimiento expreso. Requiere su consentimiento (finalidad secundaria).
Proveedor de procesamiento de pagos de suscripción Datos de pago para cobro de cuotas del plan de servicio. Transmisión cifrada TLS. Cumplimiento PCI-DSS. EN CACHITOS no almacena datos de tarjeta.
Proveedor de seguridad de red (edge) Dirección IP y encabezados HTTP. Protección contra ataques, firewall de aplicación web y mitigación de DDoS. Política de privacidad propia del proveedor. No se transfieren datos adicionales. Datos de red sólo para fines de seguridad.
Proveedor de mensajería WhatsApp Business Número de teléfono y nombre. Envío de notificaciones transaccionales y, con su consentimiento, comunicaciones comerciales. Transmisión cifrada. Acuerdo contractual de confidencialidad. Opt-out disponible en cualquier momento.
Proveedor de correo electrónico transaccional Correo electrónico y nombre. Envío de correos de confirmación, recuperación de cuenta y, con su consentimiento, campañas de marketing. Transmisión cifrada TLS. Acuerdo contractual. Posibilidad de darse de baja en cada comunicación.
Proveedor de infraestructura de alojamiento Todos los datos de la plataforma residen en los servidores del proveedor (base de datos, caché, aplicación). Encriptación en reposo y en tránsito. Acuerdo de procesamiento de datos (DPA). Acceso administrativo restringido a personal autorizado de EN CACHITOS.

 

Algunos de los terceros descritos pueden encontrarse fuera del territorio nacional. EN CACHITOS verifica que dichos terceros ofrezcan niveles de protección equivalentes a los exigidos por la LFDPPP, mediante acuerdos contractuales que incluyen cláusulas de protección de datos, compromisos de confidencialidad y obligaciones de seguridad. Puede solicitar información sobre estos mecanismos a través del canal ARCO señalado en la Sección VII.

V. Medidas de Seguridad

EN CACHITOS implementa medidas administrativas, técnicas y físicas para proteger sus datos personales contra daño, pérdida, alteración, destrucción o acceso no autorizado, entre las que destacan:

5.1 Encriptación y protección de datos en reposo

  • CURP, RFC, CLABE y domicilio fiscal almacenados con encriptación simétrica AES-256-GCM
  • Hashes SHA-256 para CURP y RFC, lo que permite la búsqueda interna sin que el dato original sea legible en la base de datos
  • Contraseñas almacenadas únicamente como hash bcrypt irreversible; nunca en texto plano

5.2 Seguridad en la transmisión

  • Todas las comunicaciones entre el usuario y la plataforma utilizan cifrado SSL/TLS extremo a extremo
  • Los webhooks financieros (pagos, cancelaciones) se verifican mediante firma HMAC-SHA256 para prevenir manipulación de eventos
  • Subdominio exclusivo para webhooks que opera fuera del proxy de seguridad de borde, garantizando la integridad de la firma criptográfica

5.3 Control de acceso y autenticación

  • Sesiones cifradas mediante cookies HttpOnly y Secure con regeneración tras autenticación exitosa
  • CAPTCHA en registro, inicio de sesión y operaciones sensibles para distinguir usuarios humanos de bots
  • Limitación de tasa (rate limiting) por dirección IP en los endpoints de login, registro, retiros y asistente de IA
  • Acceso a documentos en nube restringido a cuenta de servicio exclusiva con permisos mínimos

5.4 Defensa perimetral y monitoreo

  • Firewall de Aplicaciones Web (WAF) con reglas gestionadas, protección OWASP Core y mitigación de DDoS en la capa de borde
  • Sanitización de todas las entradas de usuario y consultas de base de datos parametrizadas para prevenir inyección SQL y XSS
  • Registro de auditoría (audit trail) de acciones sensibles: inicio de sesión, retiros, cambios de datos y eventos financieros
  • Monitoreo de disponibilidad continuo con alertas automáticas ante anomalías
  • La llave maestra de encriptación se gestiona exclusivamente como variable de entorno; nunca se incluye en el código fuente ni en repositorios

VI. Tiempo de Conservación

Sus datos personales se conservarán durante los plazos mínimos exigidos por la legislación aplicable y, en lo que exceda, por el tiempo necesario para cumplir las finalidades del tratamiento:

Tipo de dato Plazo de conservación
Datos de cuenta activa (nombre, correo, teléfono, alias) Vigencia de la relación más 3 años posteriores a su cancelación
CURP y RFC Vigencia de la relación más 5 años
Documentos de identidad (INE, comprobante, selfie de verificación) Vigencia de la relación más 5 años
Contrato de Comisión Mercantil con firma electrónica y evidencias 10 años desde su celebración
Registros de comisiones, pagos SPEI y CFDI 5 años
CLABE bancaria Cancelación de cuenta más 5 años
Registros de auditoría y seguridad 3 años
Datos de sesión (cookies, IP, agente de usuario) 90 días o hasta cierre de sesión
Mensajes con el asistente de IA Solo durante la sesión activa; no se almacenan de forma persistente
Datos de geolocalización Hasta que el asesor retire su consentimiento y/o cancele su cuenta

 

Transcurridos los plazos anteriores, los datos serán suprimidos o disociados de manera que no permitan la identificación del titular, salvo que exista una obligación legal de conservación mayor.

VII. Derechos ARCO y Cómo Ejercerlos

Conforme a los artículos vigentes, usted tiene derecho a: Acceder a sus datos personales en posesión del Responsable; Rectificar datos que sean inexactos o incompletos; Cancelar el tratamiento cuando ya no sea necesario para las finalidades para las que fueron recabados o cuando desee dar por terminada la relación; y Oponerse al tratamiento de sus datos para finalidades secundarias.

7.1 Procedimiento

Envíe una solicitud escrita que contenga:

  • Nombre completo y correo electrónico registrado en la plataforma
  • El derecho que desea ejercer (Acceso, Rectificación, Cancelación u Oposición) y descripción del dato sobre el que versa
  • Copia de identificación oficial vigente (INE/IFE, pasaporte o cédula profesional)
  • En caso de actuar como representante legal: poder notarial o carta poder firmada ante dos testigos e identificación del representante

La solicitud debe enviarse al correo electrónico oficial del área de Privacidad de EN CACHITOS legal@encachitos.com. El Responsable responderá en un plazo no mayor a 20 días hábiles desde la recepción de la solicitud completa. Si la solicitud procede, los cambios se realizarán en los 15 días hábiles siguientes. Estos plazos pueden ampliarse por una sola vez cuando las circunstancias del caso así lo justifiquen.

7.2 Limitaciones legales

El derecho de Cancelación está sujeto a las siguientes limitaciones derivadas de obligaciones legales:

  • Los datos necesarios para el cumplimiento de obligaciones fiscales (RFC, CFDI, registros de pago) no podrán cancelarse durante los plazos de conservación aplicables
  • El Contrato de Comisión Mercantil y sus evidencias de firma electrónica deben conservarse por 10 años conforme al Código de Comercio
  • Los registros de auditoría de transacciones financieras deberán conservarse por el plazo legal aplicable

VIII. Revocación del Consentimiento

Puede revocar el consentimiento otorgado para el tratamiento de sus datos en cualquier momento, siempre que dicho tratamiento no sea necesario para el cumplimiento de una obligación legal o contractual. El procedimiento de revocación sigue los mismos pasos descritos en la Sección VII.

Si revoca el consentimiento para finalidades primarias, esto puede implicar la imposibilidad de continuar prestando el servicio y la terminación de la relación, sin perjuicio de las obligaciones legales que el Responsable deba cumplir con anterioridad. La revocación del consentimiento para finalidades secundarias (mercadotecnia, estadísticas, incentivos adicionales) no afecta el servicio ordinario ni el pago de sus comisiones.

IX. Cookies y Tecnologías de Seguimiento

La plataforma EN CACHITOS utiliza los siguientes tipos de cookies:

Tipo Origen Finalidad y protección
Técnica / esencial Propia (EN CACHITOS) Mantener la sesión autenticada del asesor. Indispensable para el funcionamiento del portal. Cookie HttpOnly y Secure; caduca al cerrar sesión o por inactividad.
Seguridad / CAPTCHA Proveedor de seguridad de terceros Verificación de que el usuario es humano (CAPTCHA) en registro, login y portal. No rastrea al usuario con fines publicitarios. Gestionada bajo la política de privacidad del proveedor de seguridad.
Seguridad de red Proveedor de seguridad de borde (WAF/CDN) Mitigación de bots y ataques DDoS. Gestionadas por el proveedor de seguridad de borde bajo su propia política de privacidad. No se utilizan para fines publicitarios.

 

Las cookies técnicas y de seguridad son indispensables para el funcionamiento de la plataforma. No utilizamos cookies publicitarias, de rastreo entre sitios ni de análisis de comportamiento de terceros con fines comerciales.

Puede gestionar o eliminar las cookies desde la configuración de su navegador, aunque esto puede afectar el funcionamiento correcto de la plataforma.

X. Datos de Menores de Edad

EN CACHITOS es una plataforma exclusiva para personas mayores de 18 años. No recabamos datos personales de menores de edad de manera intencional. Si el Responsable detecta que ha recabado datos de un menor de edad, procederá a su eliminación inmediata. Si usted tiene conocimiento de que un menor ha proporcionado sus datos, le pedimos notificarlo de inmediato a través del canal ARCO.

XI. Cambios al Aviso de Privacidad

Este Aviso puede modificarse en cualquier momento para reflejar cambios en la legislación, en nuestras prácticas de tratamiento o en los servicios de la plataforma, sin necesidad de previo aviso. La versión actualizada entrará en vigor desde el momento de su publicación en app.encachitos.com, encachitos.com o a través de cualquiera de sus canales oficiales.

Es responsabilidad del titular consultar periódicamente este Aviso para estar informado de su contenido vigente. El uso continuo de la plataforma después de la publicación de cualquier modificación se entenderá como aceptación plena del Aviso en su versión actualizada.



Última modificación: Abril 2026. 

¡Quiero afiliarme! → ¿Dudas? Escríbenos