INTRODUCCIÓN
Smartech Consulting Group, S.C. ("Smartech", "nosotros" o "nuestro") ha desarrollado la aplicación móvil Expense Tech (la "Aplicación") como una herramienta para facilitar la captura, procesamiento y gestión de facturas electrónicas a partir de tickets de compra en comercios. La Aplicación permite a los usuarios tomar fotos de tickets, extraer datos fiscales mediante reconocimiento óptico de caracteres (OCR), buscar portales de facturación de los emisores, generar facturas electrónicas (CFDI) utilizando datos fiscales del usuario previamente registrados, y almacenar los archivos XML y PDF generados en un portal web para el control y comprobación de gastos.
Esta Política de Privacidad describe cómo recolectamos, usamos, almacenamos y protegemos la información relacionada con el uso de la Aplicación, en cumplimiento con la Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (NLFPDPPP), publicada en el Diario Oficial de la Federación el 20 de marzo de 2025 y vigente desde el 21 de marzo de 2025.
El propósito de esta política es informar a los usuarios de la Aplicación (los "Usuarios" o "tú") sobre nuestras prácticas con respecto a la recolección, uso y protección de los datos personales, conforme al artículo 14 de la NLFPDPPP, que establece la obligación del responsable de informar a los titulares sobre el tratamiento de sus datos, y al artículo 15, que detalla los elementos que debe contener el aviso de privacidad.
Al utilizar la Aplicación, aceptas las prácticas descritas en esta Política de Privacidad. El consentimiento expreso para el tratamiento de datos personales, incluidos datos financieros o patrimoniales, se obtiene al registrar tus datos fiscales en el portal web asociado o al aceptar esta política, conforme al artículo 7, párrafo quinto, de la NLFPDPPP. Puedes revocar tu consentimiento en cualquier momento sin efectos retroactivos, utilizando los mecanismos descritos en esta política (artículo 7, párrafo sexto).
1. Información que recolectamos
La Aplicación recopila y procesa los siguientes datos personales, conforme al artículo 2, fracción V, de la NLFPDPPP, que define los datos personales como "cualquier información concerniente a una persona identificada o identificable":
Datos Fiscales del Usuario
RFC (Registro Federal de Contribuyentes)
Nombre o razón social
Código postal
Régimen fiscal
Uso del CFDI (Comprobante Fiscal Digital por Internet)
Estos datos son proporcionados por el Usuario al registrarse en el portal web asociado a la Aplicación y se consideran datos financieros o patrimoniales, requiriendo consentimiento expreso según el artículo 7, párrafo quinto.
Datos Extraídos de Tickets de Compra
RFC del emisor del ticket
Razón social del emisor
Número de ticket
Fecha de expedición
Folio del ticket
Total del ticket
Estos datos se obtienen mediante OCR a partir de las fotos de los tickets capturadas por el Usuario. Aunque estos datos no identifican directamente al Usuario, pueden considerarse datos personales si se vinculan con el Usuario, conforme al artículo 2, fracción V.
Archivos Generados: Los archivos XML y PDF de las facturas generadas, que contienen los datos fiscales del Usuario y del emisor, se almacenan en el portal web asociado para control de gastos.
Datos Técnicos: Información técnica generada automáticamente, como dirección IP, tipo de dispositivo, sistema operativo y registros de uso de la Aplicación, para fines de diagnóstico y mejora del servicio.
No recopilamos datos personales sensibles (como origen racial, estado de salud, creencias religiosas, etc.), según el artículo 2, fracción VI, salvo los datos financieros mencionados, que se tratan con medidas específicas de protección.
2. Finalidad del Tratamiento de los Datos
Los datos recopilados se utilizan exclusivamente para las siguientes finalidades, conforme al artículo 11 de la NLFPDPPP, que exige que el tratamiento se limite a las finalidades previstas en el aviso de privacidad:
Generación de Facturas Electrónicas: Procesar los datos extraídos de los tickets y los datos fiscales del Usuario para buscar portales de facturación de los emisores y generar facturas electrónicas (CFDI).
Almacenamiento y Gestión de Facturas: Almacenar los archivos XML y PDF de las facturas en el portal web asociado, permitiendo al Usuario llevar un control de gastos y comprobación fiscal.
Mejora del Servicio: Analizar datos técnicos (sin incluir datos personales) para optimizar el funcionamiento de la Aplicación, como mejorar la precisión del OCR o la experiencia del usuario.
Cumplimiento Legal: Tratar datos personales cuando sea necesario para cumplir con obligaciones legales, como requerimientos fiscales o resoluciones de autoridades competentes, conforme al artículo 9, fracción I.
El tratamiento de datos financieros requiere consentimiento expreso, que se obtiene al registrar los datos en el portal web o al aceptar esta política. Si deseamos tratar los datos para una finalidad distinta, se requerirá un nuevo consentimiento, conforme al artículo 11.
3. Almacenamiento y Acceso a los Datos
Los datos recopilados por la Aplicación se transmiten de manera segura a servidores gestionados por Smartech Consulting Group, S.C., hospedados en Amazon Web Services (AWS). Solo personal autorizado de Smartech tiene acceso a estos datos para operar la Aplicación y el portal web asociado. Actuamos como responsables del tratamiento, conforme al artículo 2, fracción XIII, de la NLFPDPPP. Los datos también son accesibles para el Usuario a través del portal web, donde se almacenan los archivos XML y PDF para su consulta.
4. Confidencialidad de los Datos
Conforme al artículo 20 de la NLFPDPPP, nos comprometemos a garantizar la confidencialidad de los datos personales tratados. Hemos implementado controles y mecanismos para asegurar que todas las personas que intervengan en cualquier fase del tratamiento de datos (incluidos empleados y colaboradores) mantengan la confidencialidad, incluso después de finalizada su relación con nosotros. Esta obligación persiste indefinidamente.
5. Seguridad de los Datos
Nos comprometemos a proteger los datos recopilados mediante medidas de seguridad administrativas, técnicas y físicas para prevenir daño, pérdida, alteración, destrucción o uso, acceso o tratamiento no autorizado, conforme al artículo 18 de la NLFPDPPP. Estas medidas incluyen:
Encriptación de datos transmitidos entre la Aplicación, el portal web y los servidores en AWS.
Acceso restringido a los datos, limitado al personal autorizado de Smartech.
Monitoreo continuo de la seguridad de nuestros servidores.
En caso de una vulneración de seguridad que afecte significativamente los derechos patrimoniales o morales de los Usuarios, informaremos de inmediato a los titulares afectados, conforme al artículo 19 de la NLFPDPPP, para que puedan tomar medidas en defensa de sus derechos.
Reconocemos que ningún método de transmisión o almacenamiento electrónico es 100% seguro, por lo que no podemos garantizar seguridad absoluta.
6. No Uso de Publicidad ni Servicios de Terceros
La Aplicación no incluye publicidad ni integración con redes sociales. Sin embargo, utiliza tecnología de OCR y conecta con portales de facturación de terceros (emisores de tickets) para generar facturas. Estos portales no reciben datos personales del Usuario directamente desde la Aplicación, salvo los necesarios para generar el CFDI (como RFC y datos del ticket), y dicho tratamiento se realiza conforme a las políticas de los emisores, quienes actúan como responsables independientes, según el artículo 2, fracción XIII.
7. Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
Conforme a los artículos 21, 22, 23, 24 y 26 de la NLFPDPPP, los Usuarios tienen los siguientes derechos respecto a sus datos personales:
Acceso: Conocer qué datos personales tenemos sobre ti y las condiciones de su tratamiento (artículo 22).
Rectificación: Solicitar la corrección de datos personales inexactos, incompletos o no actualizados (artículo 23).
Cancelación: Pedir la eliminación de tus datos personales cuando ya no sean necesarios para las finalidades descritas, sujeto a un periodo de bloqueo para determinar responsabilidades (artículo 24).
Oposición: Oponerte al tratamiento de tus datos personales por causa legítima o cuando el tratamiento automatizado (como el OCR) produzca efectos jurídicos no deseados, salvo que sea necesario para cumplir una obligación legal (artículo 26).
Para ejercer tus derechos ARCO, contáctanos en cloud@smartech.com.mx (mailto:cloud@smartech.com.mx), proporcionando la información requerida en el artículo 28 de la NLFPDPPP:
Nombre y domicilio o medio para recibir notificaciones.
Documentos que acrediten tu identidad o, en su caso, la de tu representante legal.
Descripción clara y precisa de los datos personales y el derecho ARCO que deseas ejercer.
Cualquier elemento que facilite la localización de los datos.
Responderemos a tu solicitud en un plazo máximo de 20 días hábiles, contados desde la recepción de la solicitud, y, si es procedente, haremos efectiva la solicitud dentro de los 15 días hábiles siguientes, conforme al artículo 31 de la NLFPDPPP. Estos plazos pueden ampliarse una vez por un periodo igual si las circunstancias lo justifican.
El ejercicio de los derechos ARCO es gratuito, salvo costos de reproducción, copias o envío, conforme al artículo 34 de la NLFPDPPP. Si presentas solicitudes reiteradas en menos de 12 meses, los costos no excederán tres veces la Unidad de Medida y Actualización (UMA), a menos que haya modificaciones sustanciales al aviso de privacidad.
Si consideras que el tratamiento de tus datos personales infringe la NLFPDPPP, puedes presentar una solicitud de protección de datos ante la Secretaría Anticorrupción y Buen Gobierno dentro de los 15 días hábiles siguientes a la respuesta del responsable o tras la falta de respuesta, conforme al artículo 40 de la NLFPDPPP. Las resoluciones de la Secretaría pueden impugnarse mediante un juicio de amparo ante juzgados y tribunales especializados, conforme al artículo 51 de la NLFPDPPP.
8. Transferencia de Datos
Los datos personales no se transfieren a terceros, salvo a los portales de facturación de los emisores de tickets para generar los CFDI, conforme al artículo 35 de la NLFPDPPP. Estos emisores actúan como responsables independientes y reciben únicamente los datos necesarios (como RFC del Usuario y datos del ticket). No se requiere consentimiento para estas transferencias cuando son necesarias para cumplir con una relación jurídica entre el Usuario y el emisor, según el artículo 36, fracción VII. Cualquier transferencia incluirá el aviso de privacidad correspondiente, conforme al artículo 35.
9. Cambios a Esta Política de Privacidad
Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas o en la legislación, incluyendo el Reglamento de la NLFPDPPP, que debe publicarse dentro de los 90 días posteriores al 21 de marzo de 2025, según el transitorio Décimo Segundo. Notificaremos los cambios publicando la versión actualizada en esta página y, cuando sea requerido por el artículo 16, informaremos a los Usuarios a través de la Aplicación o por correo electrónico.
Esta Política de Privacidad es efectiva a partir del 27 de mayo de 2025.
10. Contacto
Si tienes preguntas, dudas o deseas ejercer tus derechos ARCO, puedes contactarnos en:
Smartech Consulting Group, S.C. Correo electrónico: cloud@smartech.com.mx
INTRODUCTION
Smartech Consulting Group, S.C. ("Smartech," "we," or "us") has developed the mobile application Expense Tech (the "Application") as a tool to facilitate the capture, processing, and management of electronic invoices from purchase receipts in various businesses. The Application allows users to take photos of receipts, extract tax data using optical character recognition (OCR), locate issuer invoicing portals, generate electronic invoices (CFDI) using pre-registered user tax data, and store the generated XML and PDF files in a web portal for expense tracking and verification.
This Privacy Policy describes how we collect, use, store, and protect the personal data of Application users ("Users" or "you"), in compliance with the New Federal Law on the Protection of Personal Data Held by Private Parties (NLFPDPPP), published in the Official Gazette of the Federation on March 20, 2025, and effective as of March 21, 2025.
The purpose of this policy is to inform Users about our data processing practices, pursuant to Article 14 of the NLFPDPPP, which requires the data controller to inform data subjects about the processing of their data, and Article 15, which outlines the elements the privacy notice must contain.
By using the Application, you agree to the practices described in this Privacy Policy. Express consent for the processing of personal data, including financial or patrimonial data, is obtained when you register your tax data on the associated web portal or accept this policy, pursuant to Article 7, fifth paragraph, of the NLFPDPPP. You may revoke your consent at any time without retroactive effects, using the mechanisms described in this policy (Article 7, sixth paragraph).
1. Information We Collect
The Application collects and processes the following personal data, as defined by Article 2, Section V, of the NLFPDPPP as "any information concerning an identified or identifiable individual":
User Tax Data:
RFC (Federal Taxpayer Registry)
Name or business name
Postal code
Tax regime
CFDI usage (Digital Tax Receipt)
These data are provided by the User when registering on the associated web portal and are considered financial or patrimonial data, requiring express consent under Article 7, fifth paragraph.
Data Extracted from Purchase Receipts:
RFC of the receipt issuer.
Issuer’s business name
Receipt number.
Issuance date.
Receipt folio.
Total amount.
These data are obtained via OCR from photos of receipts taken by the User. While these data do not directly identify the User, they may be considered personal data if linked to the User, per Article 2, Section V.
Generated Files: XML and PDF files of the generated invoices, containing the User’s and issuer’s tax data, stored on the associated web portal for expense tracking.
Technical Data: Automatically generated technical information, such as IP address, device type, operating system, and Application usage logs, for diagnostic and service improvement purposes.
We do not collect sensitive personal data (e.g., racial origin, health status, religious beliefs), as defined by Article 2, Section VI, except for the financial data mentioned, which are processed with specific protection measures.
2. Purpose of Data Processing
The collected data is used exclusively for the following purposes, pursuant to Article 11 of the NLFPDPPP, which requires that data processing be limited to the purposes set out in the privacy notice:
Electronic Invoice Generation: To process data extracted from receipts and the User’s tax data to locate issuer invoicing portals and generate electronic invoices (CFDI).
Invoice Storage and Management: To store XML and PDF invoice files on the associated web portal, enabling Users to track expenses and verify tax compliance.
Service Improvement: To analyze technical data (excluding personal data) to optimize the Application’s functionality, such as improving OCR accuracy or user experience.
Legal Compliance: To process personal data as necessary to comply with legal obligations, such as tax requirements or resolutions from competent authorities, per Article 9, Section I.
Processing financial data requires express consent, obtained when registering data on the web portal or accepting this policy. If we intend to process data for a different purpose, new consent will be required, per Article 11.
3. Data Storage and Access
Data collected by the Application is securely transmitted to servers managed by Smartech Consulting Group, S.C., hosted on Amazon Web Services (AWS). Only authorized Smartech personnel have access to this data to operate the Application and associated web portal. We act as the data controller, per Article 2, Section XIII, of the NLFPDPPP. Users can also access their data through the web portal, where XML and PDF files are stored for consultation.
4. Data Confidentiality
Pursuant to Article 20 of the NLFPDPPP, we are committed to ensuring the confidentiality of processed personal data. We have implemented controls and mechanisms to ensure that all individuals involved in any stage of data processing (including employees and collaborators) maintain confidentiality, even after their relationship with us ends. This obligation persists indefinitely.
5. Data Security
We are committed to protecting collected data through administrative, technical, and physical security measures to prevent damage, loss, alteration, destruction, or unauthorized use, access, or processing, per Article 18 of the NLFPDPPP. These measures include:
Encryption of data transmitted between the Application, the web portal, and AWS servers.
Restricted access to data, limited to authorized Smartech personnel.
Continuous monitoring of server security.
In the event of a security breach significantly affecting Users’ patrimonial or moral rights, we will immediately notify affected data subjects, per Article 19 of the NLFPDPPP, so they can take measures to defend their rights.
We acknowledge that no electronic transmission or storage method is 100% secure, and we cannot guarantee absolute security.
6. No Use of Advertising or Third-Party Services
The Application does not include advertising or social media integration. However, it uses OCR technology and connects to third-party issuer invoicing portals to generate invoices. These portals do not receive User personal data directly from the Application, except for data necessary to generate the CFDI (e.g., User RFC and receipt data), and such processing is governed by the issuers’ policies, who act as independent data controllers, per Article 2, Section XIII.
7. ARCO Rights (Access, Rectification, Cancellation, and Opposition)
Pursuant to Articles 21, 22, 23, 24, and 26 of the NLFPDPPP, Users have the following rights regarding their personal data:
Access: To know what personal data we hold about you and the conditions of its processing (Article 22).
Rectification: To request correction of inaccurate, incomplete, or outdated personal data (Article 23).
Cancellation: To request deletion of your personal data when no longer necessary for the stated purposes, subject to a blocking period to determine responsibilities (Article 24).
Opposition: To object to the processing of your personal data for legitimate reasons or when automated processing (e.g., OCR) produces undesired legal effects, unless required to fulfill a legal obligation (Article 26).
To exercise your ARCO rights, contact us at cloud@smartech.com.mx (mailto:cloud@smartech.com.mx), providing the information required under Article 28 of the NLFPDPPP:
Name and address or means to receive notifications.
Documents proving your identity or, where applicable, that of your legal representative.
Clear and precise description of the personal data and the ARCO right you wish to exercise.
Any element that facilitates locating the data.
We will respond within a maximum of 20 business days from receipt of the request, and, if applicable, action the request within 15 business days thereafter, per Article 31 of the NLFPDPPP. These deadlines may be extended once for an equal period if circumstances justify it.
Exercising ARCO rights is free, except for costs related to reproduction, copies, or shipping, per Article 34. For repeated requests within 12 months, costs will not exceed three times the Unit of Measurement and Update (UMA), unless there are substantial changes to the privacy notice.
If you believe the processing of your personal data violates the NLFPDPPP, you may file a data protection request with the Secretariat of Anti-Corruption and Good Governance within 15 business days following our response or lack thereof, per Article 40. The Secretariat’s resolutions may be challenged through an amparo lawsuit before specialized courts, per Article 51.
8. Data Transfer
Personal data is not transferred to third parties, except to issuer invoicing portals for generating CFDI, per Article 35 of the NLFPDPPP. These issuers act as independent data controllers and receive only the data necessary (e.g., User RFC and receipt data). Consent is not required for these transfers when necessary to fulfill a legal relationship between the User and the issuer, per Article 36, Section VII. Any transfer will include the relevant privacy notice, per Article 35.
9. Changes to This Privacy Policy
We may update this Privacy Policy to reflect changes in our practices or applicable legislation, including the NLFPDPPP Regulation, to be published within 90 days following March 21, 2025, per the Twelfth Transitory Article. We will notify changes by posting the updated version on this page and, when required by Article 16, inform Users via the Application or email.
This Privacy Policy is effective as of May 27, 2025.
10. Contact
For questions, concerns, or to exercise your ARCO rights, contact us at:
Smartech Consulting Group, S.C. Email: cloud@smartech.com.mx
