Aviso de Privacidad

El presente documento constituye el Aviso de Privacidad integral de Arca (el "Servicio"), en cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares ("LFPDPPP") de los Estados Unidos Mexicanos, el Reglamento General de Protección de Datos ("RGPD") de la Unión Europea, y la California Consumer Privacy Act ("CCPA") del estado de California, Estados Unidos. Léelo con atención.

1. Responsable del tratamiento

Deployalo S.A. de C.V. (en adelante "Deployalo" o "nosotros"), con domicilio en Río Rhin 23, Ciudad de México, México, es el responsable del tratamiento de tus datos personales recabados a través de Arca.

Para cualquier asunto relacionado con este aviso, tus datos personales o el ejercicio de tus derechos, escríbenos a privacidad@arca.email.

2. Datos personales que recabamos

Al usar Arca podemos recabar y tratar las siguientes categorías:

• Datos de identificación y contacto: nombre, correo electrónico, organización/tenant, teléfono (opcional).
• Credenciales de autenticación: hash de contraseñas, passkeys (WebAuthn), tokens de sesión, challenges criptográficos.
• Contenido del correo: mensajes enviados y recibidos, asuntos, adjuntos, encabezados, etiquetas, carpetas. Los cuerpos de correo se almacenan cifrados con llaves por tenant.
• Datos técnicos de uso: dirección IP, agente de usuario, identificadores de dispositivo, marcas de tiempo, logs de acceso, bitácora de auditoría.
• Datos de facturación: cuando apliquen, razón social, RFC, dirección fiscal, método de pago (tokenizado a través del proveedor de pagos).

No recabamos datos personales sensibles (origen racial o étnico, salud, ideología, orientación sexual, etc.) a través del Servicio de manera deliberada. Si el contenido de los correos los contiene, se tratan con el mismo nivel de cifrado que el resto del contenido.

3. Finalidades del tratamiento

Finalidades primarias (necesarias para prestar el Servicio)

• Operar y mantener las funciones de correo electrónico.
• Autenticarte y proteger tu cuenta.
• Entregar correo entrante y saliente.
• Aplicar filtros antispam, antiphishing y de clasificación.
• Facturar, atender consultas y brindar soporte.
• Cumplir obligaciones legales, fiscales y regulatorias.
• Detectar y prevenir fraude, abuso y violaciones de seguridad.

Finalidades secundarias (opcionales, puedes oponerte)

• Mejorar el Servicio con métricas agregadas y anónimas.
• Comunicaciones de producto y actualizaciones relevantes.

Puedes negar o revocar tu consentimiento a las finalidades secundarias en cualquier momento escribiendo a privacidad@arca.email.

4. Fundamento legal (RGPD)

• Ejecución de contrato (Art. 6(1)(b) RGPD): prestar el Servicio conforme a los Términos y Condiciones.
• Interés legítimo (Art. 6(1)(f) RGPD): seguridad, prevención de fraude, mantenimiento técnico.
• Obligación legal (Art. 6(1)(c) RGPD): requerimientos fiscales, judiciales o regulatorios.
• Consentimiento (Art. 6(1)(a) RGPD): finalidades secundarias que expresamente autorices.

5. Encargados y transferencias internacionales

Para operar Arca transferimos datos a los siguientes encargados (todos bajo acuerdos de tratamiento que exigen confidencialidad y medidas de seguridad equivalentes):

• Cloudflare, Inc. (EE. UU.) — infraestructura de red, cómputo serverless, almacenamiento (Workers, D1, R2, Queues, Pages).
• Amazon Web Services, Inc. (EE. UU.) — envío de correo transaccional (SES).
• Vultr Holdings LLC y Hetzner Online GmbH (EE. UU. / Alemania) — servidores de correo Stalwart (primario y standby).
• Stripe, Inc. (EE. UU.) — procesamiento de pagos cuando apliquen.

Las transferencias a países fuera del Espacio Económico Europeo se realizan con Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea cuando sean requeridas.

6. Conservación

Conservamos tus datos mientras tu cuenta esté activa. Al terminar la relación contractual, conservaremos los datos estrictamente necesarios durante los plazos legales aplicables (facturación, prevención de fraude, defensa legal), y los eliminaremos o anonimizaremos al vencerse. Los correos borrados de la papelera se eliminan de forma permanente a los 30 días.

7. Tus derechos

Derechos ARCO (México)

Tienes derecho a:

• Acceder a los datos personales que tengamos sobre ti.
• Rectificar datos inexactos o incompletos.
• Cancelar (eliminar) datos cuando ya no sean necesarios o hayas revocado tu consentimiento.
• Oponerte al tratamiento de tus datos para finalidades específicas.

Derechos bajo RGPD

Adicionalmente, bajo el RGPD tienes derecho a:

• Portabilidad de tus datos en formato estructurado.
• Limitación del tratamiento.
• No ser objeto de decisiones automatizadas con efectos jurídicos.
• Retirar tu consentimiento en cualquier momento.
• Presentar una reclamación ante la autoridad de control competente (en España, la AEPD).

Derechos bajo CCPA (California)

Si eres residente de California, tienes derecho a:

• Saber qué categorías de información personal hemos recolectado, usado o divulgado en los últimos 12 meses.
• Solicitar la eliminación de tu información personal.
• Opción de exclusión ("opt-out") de la venta o compartición de tu información personal. Deployalo no vende información personal de sus usuarios.
• No ser discriminado por ejercer tus derechos.

Cómo ejercerlos

Envía tu solicitud a privacidad@arca.email indicando (a) nombre y correo de la cuenta, (b) derecho que deseas ejercer, (c) descripción breve del pedido, (d) identificación oficial escaneada (para verificación). Te responderemos en un plazo máximo de 20 días hábiles (LFPDPPP), 30 días (RGPD) o 45 días (CCPA), según el marco aplicable.

8. Autoridades de control

• México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — home.inai.org.mx.
• UE: la autoridad de tu país de residencia habitual.
• California: California Privacy Protection Agency — cppa.ca.gov.

9. Cookies y tecnologías similares

Arca utiliza almacenamiento local (localStorage) e IndexedDB para mantener tu sesión y preferencias. No usamos cookies de publicidad ni de seguimiento de terceros. Puedes borrar el almacenamiento desde la configuración de tu navegador en cualquier momento, aunque esto cerrará tu sesión.

10. Medidas de seguridad

Implementamos medidas técnicas y organizativas razonables: cifrado en tránsito (TLS 1.2+), cifrado en reposo por tenant, rotación de claves, aislamiento multi-tenant a nivel de fila, bitácora de auditoría con cadena hash, backups 3-2-1-1, controles de acceso basados en rol y autenticación con passkeys. Ningún sistema es invulnerable; te notificaremos cualquier incidente conforme a los plazos legales aplicables.

11. Cambios a este Aviso

Podemos actualizar este Aviso de Privacidad. Te notificaremos los cambios relevantes por correo electrónico o dentro del Servicio con al menos 15 días naturales de anticipación a su entrada en vigor.

---

English Summary

This is a plain-language summary. The Spanish version above is the binding legal document.

Controller: Deployalo S.A. de C.V., Río Rhin 23, Mexico City, Mexico. Contact: privacidad@arca.email.

Data we collect: account info (name, email, org), authentication credentials, email content and metadata (bodies are encrypted with per-tenant keys), usage logs (IP, user-agent, timestamps), and billing data when applicable.

Why we process it: to deliver the email service, secure your account, comply with law, and prevent abuse. We do not sell your personal information.

Sub-processors: Cloudflare (compute, storage), AWS (transactional mail), Vultr & Hetzner (mail servers), Stripe (payments).

Your rights: access, rectification, erasure, portability, objection, restriction, consent withdrawal. For California residents: right to know, delete, opt-out, and non-discrimination. Email privacidad@arca.email to exercise any right.

Supervisory authorities: INAI (Mexico), your local DPA (EU), CPPA (California).

Retention: account data while the account is active, plus the minimum legally required afterward. Trash is permanently deleted after 30 days.