CitaAlert SAT (en adelante, "el Servicio", "nosotros" o "nuestro") es una herramienta que monitorea tu bandeja de entrada de Gmail o Outlook para detectar correos de la Fila Virtual del Servicio de Administración Tributaria (SAT) de México y enviarte una notificación por WhatsApp cuando se te asigne una cita. Este Aviso describe qué datos recopilamos, cómo los usamos, con quién los compartimos y los derechos que tienes sobre ellos.
1. Datos que recopilamos
Para que el Servicio funcione recopilamos únicamente la información estrictamente necesaria:
- Datos de cuenta: tu nombre, correo electrónico e identificador único asignado por el proveedor de identidad (Google o Microsoft) al momento del inicio de sesión.
- Tokens de acceso OAuth: los tokens emitidos por Google o Microsoft que nos permiten consultar tu bandeja de entrada. Estos tokens se almacenan cifrados con AES-256-GCM y no son legibles por nuestro equipo.
- Número de WhatsApp: que tú nos proporcionas para recibir las alertas.
- Metadatos mínimos de correos del SAT: cuando detectamos un correo proveniente de un dominio oficial del SAT (por ejemplo,
citas.sat.gob.mx), extraemos el enlace de confirmación de cita y el estatus. No almacenamos el cuerpo del correo, ni asuntos, ni archivos adjuntos.
2. Datos que NO recopilamos
- No leemos, copiamos ni almacenamos correos que no provengan de un dominio oficial del SAT. Esos correos se descartan inmediatamente en memoria volátil tras una validación automática del remitente (patrón "Zero Data Retention").
- No accedemos a tus contactos, calendario, archivos en Drive ni a ningún otro recurso fuera del alcance del permiso de lectura de correo (
gmail.readonlyoMail.Read). - No vendemos tus datos. No los usamos para publicidad. No los usamos para entrenar modelos de lenguaje.
3. Cómo usamos tu información
Usamos los datos exclusivamente para:
- Detectar correos oficiales del SAT en tu bandeja de entrada.
- Enviarte una notificación por WhatsApp con el enlace para confirmar tu cita.
- Mantener tu sesión activa y permitirte administrar tu cuenta.
- Garantizar la seguridad del Servicio (prevención de fraude, abuso o accesos no autorizados).
4. Cumplimiento con políticas de Google
Google API Services User Data Policy — Limited Use
El uso y la transferencia por parte de CitaAlert SAT de la información recibida desde APIs de Google a cualquier otra aplicación se ajustará a la Google API Services User Data Policy, incluyendo los requisitos de Uso Limitado (Limited Use).
In English, as required by Google: CitaAlert SAT's use and transfer to any other app of information received from Google APIs will adhere to Google API Services User Data Policy, including the Limited Use requirements.
Específicamente, los datos obtenidos a través de scopes restringidos de Google (como gmail.readonly):
- Solo se usan para proveer la funcionalidad visible al usuario: detectar correos del SAT y enviar la alerta correspondiente.
- No se transfieren a terceros excepto cuando es necesario para proveer el Servicio, cumplir leyes aplicables o como parte de una operación de fusión, adquisición o venta de activos (con aviso previo).
- No se usan para publicidad personalizada de ningún tipo.
- No se permite que humanos los lean, salvo:
- cuando obtengamos consentimiento explícito del usuario,
- cuando sea necesario por razones de seguridad (investigación de abuso),
- cuando lo exija la ley, o
- cuando los datos hayan sido agregados y anonimizados para operaciones internas.
5. Cumplimiento con políticas de Microsoft
Para usuarios que conecten una cuenta de Outlook/Microsoft 365, el acceso se realiza mediante Microsoft Graph API usando el scope Mail.Read. CitaAlert SAT cumple con los Microsoft Services Agreement y aplica a los datos de Microsoft los mismos principios de Uso Limitado descritos arriba para Google.
6. Terceros que procesan datos (subprocesadores)
Para operar el Servicio compartimos información estrictamente necesaria con los siguientes proveedores:
| Proveedor | Propósito | Ubicación |
|---|---|---|
| Google LLC | Autenticación OAuth y Gmail API. | EE. UU. |
| Microsoft Corporation | Autenticación OAuth y Microsoft Graph API. | EE. UU. |
| Vercel Inc. | Hosting de la aplicación y edge runtime. | EE. UU. |
| Turso (ChiselStrike Inc.) | Base de datos donde se guardan datos de cuenta y tokens cifrados. | EE. UU. |
| Kapso | Envío de mensajes de WhatsApp Business API. | Internacional |
7. Retención de datos
- Los datos de cuenta y tokens cifrados se conservan mientras tu cuenta esté activa.
- Los registros de citas detectadas se conservan hasta 12 meses con fines operativos y de soporte.
- Al solicitar la eliminación de tu cuenta, borramos todos tus datos personales en un plazo máximo de 30 días naturales, salvo aquellos que debamos conservar por obligación legal.
8. Seguridad
- Los tokens OAuth se cifran en reposo con AES-256-GCM antes de ser persistidos en la base de datos.
- Todas las conexiones se realizan sobre TLS 1.2 o superior.
- Aplicamos el principio de mínimo privilegio: solo solicitamos el scope de lectura de correo, nada más.
- Cualquier vulnerabilidad detectada puede reportarse a informacion@compusam.com.
9. Tus derechos
En cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), tienes derecho a:
- Acceder a los datos personales que tenemos sobre ti.
- Rectificar datos inexactos.
- Cancelar (eliminar) tus datos.
- Oponerte al tratamiento.
- Revocar el consentimiento en cualquier momento.
Puedes ejercer estos derechos escribiendo a informacion@compusam.com. Adicionalmente, puedes revocar el acceso de CitaAlert SAT a tu correo en cualquier momento desde:
- Google: myaccount.google.com/permissions
- Microsoft: account.live.com/consent/Manage
10. Menores de edad
El Servicio no está dirigido a menores de 18 años. No recopilamos intencionalmente datos personales de menores. Si detectamos que se ha registrado un menor, eliminaremos la cuenta y los datos asociados.
11. Cambios a este Aviso
Podemos actualizar este Aviso para reflejar cambios en el Servicio o en la regulación aplicable. La versión vigente siempre estará publicada en esta misma URL con la fecha de actualización al inicio. Si los cambios son materiales, te notificaremos por correo electrónico o dentro de la aplicación antes de que entren en vigor.
12. Contacto
Para cualquier duda relacionada con este Aviso de Privacidad, solicitudes de acceso, rectificación, cancelación u oposición (ARCO), o reportes de seguridad, escribe a: