Documento legal · LFPDPPP 2025

Aviso de Privacidad Integral

Versión: 2.0Vigente desde: 1 de julio de 2026Última actualización: 24 de junio de 2026
Este Aviso de Privacidad ha sido redactado conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares publicada en el Diario Oficial de la Federación el 20 de marzo de 2025 (en vigor desde el 21 de marzo de 2025), la cual abrogó la ley homónima de 2010. La autoridad reguladora vigente es la Secretaría de Anticorrupción y Buen Gobierno (SABG), que asumió las atribuciones del extinto INAI en materia de datos personales en posesión de particulares.

I. Identidad y domicilio del Responsable

En cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (DOF 20-III-2025) y su normativa aplicable, Tulioex pone a disposición del titular el presente Aviso de Privacidad Integral.

DenominaciónTulioex [Razón social completa — a completar al momento de constitución]
Domicilio fiscal[Domicilio fiscal — Ciudad de México — a completar al momento de constitución]
RFC[RFC — a completar al momento de constitución]
Correo de privacidadprivacidad@tulioex.com
Sitio webtulioex.com
Distinción Responsable / Encargado: Tulioex actúa como Responsable respecto de los datos de sus usuarios (abogados y personal de despachos). Cuando dichos usuarios incorporen a la plataforma información de sus propios clientes o de terceros en el ejercicio de la abogacía, Tulioex actuará exclusivamente como Encargado de esos datos por instrucción del usuario-Responsable, sin determinar las finalidades ni los medios del tratamiento. La relación jurídica con los titulares de esos datos corresponde al despacho o abogado que los incorporó.

II. Datos personales que recabamos

Tulioex recaba datos personales de forma directa —cuando el usuario crea una cuenta, usa la plataforma o se comunica con nosotros— y de forma indirecta, mediante tecnologías de seguimiento descritas en la Sección IX. Las categorías son las siguientes:

A. Identificación y contacto del Usuario

  • Nombre completo o denominación del despacho
  • Correo electrónico profesional
  • Número de teléfono (opcional, para soporte y notificaciones)
  • Imagen de perfil, si el usuario la proporciona voluntariamente
  • Cargo o rol dentro del despacho

B. Datos de la organización (Tenant)

  • Nombre del despacho o firma jurídica
  • RFC del despacho (requerido en planes con facturación CFDI)
  • Domicilio fiscal y régimen fiscal (para emisión de CFDI)
  • Correo de facturación

C. Datos financieros y de facturación

  • Datos de tarjeta de crédito o débito — procesados exclusivamente por nuestro proveedor de pagos. Tulioex no almacena ni tiene acceso a números de tarjeta en ningún momento.
  • Historial de transacciones, suscripciones activas y comprobantes de pago dentro de la plataforma

D. Datos de uso de la plataforma

  • Registros de acceso: hora, dirección IP, tipo de dispositivo y navegador
  • Eventos de uso: búsquedas realizadas, análisis generados, consultas a Tulio (sin contenido jurídico)
  • Métricas de rendimiento y reportes de errores técnicos
  • Preferencias de configuración de cuenta

E. Contenido generado por el Usuario (tratado como Encargado)

Los expedientes, documentos, escritos, contratos, actuaciones y cualquier otro contenido que el usuario cargue o genere dentro de Tulioex son procesados por Tulioex exclusivamente en su calidad de Encargado, bajo las instrucciones y la responsabilidad del usuario-Responsable. Este contenido puede incluir datos personales de terceros (clientes, contrapartes, testigos, peritos, etc.) cuya protección jurídica corresponde al despacho o abogado titular de la cuenta.

Tulioex nunca utiliza el contenido de expedientes o documentos para entrenar modelos de inteligencia artificial, propios ni de terceros. Los proveedores de IA integrados operan bajo acuerdos de retención cero de datos (zero data retention), lo que significa que el contenido de las consultas no es almacenado ni procesado por esos proveedores con fines distintos a la respuesta inmediata.

III. Finalidades del tratamiento

A. Finalidades primarias — necesarias para la prestación del servicio

El tratamiento de sus datos es indispensable para las siguientes finalidades. Sin ellas no es posible prestar el servicio contratado. El consentimiento para estas finalidades se expresa mediante la aceptación de este Aviso de Privacidad y los Términos de Uso al momento del registro.

  • Crear, gestionar y autenticar su cuenta de usuario con las funciones del plan contratado
  • Habilitar el acceso a las funciones según el plan (Gratuito, Básico, Pro o Despacho)
  • Procesar pagos, gestionar suscripciones y emitir CFDI cuando el plan lo incluya
  • Prestar soporte técnico y atender reportes de fallas o incidencias
  • Enviar notificaciones transaccionales del servicio: alertas del boletín judicial, vencimientos de plazos, confirmaciones de pago y avisos de cambios en el servicio
  • Cumplir las obligaciones legales aplicables a Tulioex (fiscales, contables, de seguridad informática y de reporte a autoridades competentes)
  • Detectar y prevenir fraude, accesos no autorizados y conductas que infrinjan los Términos de Uso
  • Mantener registros de auditoría inmutables para garantizar la trazabilidad e integridad del servicio

B. Finalidades secundarias — requieren consentimiento expreso

Conforme a la LFPDPPP vigente, las finalidades secundarias requieren consentimiento libre, específico e informado. Estas finalidades no son necesarias para prestar el servicio; negarse a ellas no afecta el acceso a Tulioex. Si no desea que sus datos sean tratados para estas finalidades, envíe un correo a privacidad@tulioex.com dentro de los 5 días hábiles siguientes al registro, o ejerza su derecho de oposición en cualquier momento posterior.

  • Enviarle comunicaciones de marketing, actualizaciones del producto, boletines jurídicos y promociones de Tulioex
  • Realizar encuestas de satisfacción y estudios de uso del producto
  • Elaborar estadísticas agregadas y anonimizadas de uso de la plataforma —sin posibilidad de identificarle individualmente— para mejorar las funciones de Tulio
La LFPDPPP vigente (2025) elimina la posibilidad de utilizar datos para finalidades "compatibles o análogas" sin nuevo consentimiento expreso. Cualquier cambio de finalidad en el tratamiento de sus datos requerirá que le informemos y obtengamos su consentimiento antes de proceder.

IV. Datos sensibles

La LFPDPPP (2025) define como datos sensibles aquellos que afectan la esfera más íntima del titular o cuya utilización indebida puede dar origen a discriminación o conllevar un riesgo grave. La ley amplió su definición respecto a la versión de 2010. Se consideran datos sensibles, entre otros: origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas o morales, afiliación sindical, opiniones políticas y preferencia u orientación sexual.

Tulioex no recaba datos sensibles de sus usuarios de forma directa. Sin embargo, en su rol de Encargado, la plataforma puede procesar contenido de expedientes que —dependiendo de la materia jurídica del caso— contenga datos sensibles de terceros. El tratamiento de estos datos requiere consentimiento expreso y por escrito del titular, obligación que recae en el usuario-Responsable (el despacho o abogado), no en Tulioex.

En su calidad de Encargado, Tulioex se obliga a:

  • Tratar esos datos únicamente para prestar el servicio contratado
  • Implementar las medidas de seguridad descritas en la Sección X, incluyendo cifrado en reposo y en tránsito
  • Garantizar la confidencialidad de los datos incluso después de terminada la relación contractual, conforme a la nueva obligación de confidencialidad extendida prevista en la LFPDPPP 2025
  • No transferir ni divulgar esos datos para ninguna finalidad distinta a la prestación del servicio
  • Eliminar o devolver los datos al término de la relación, conforme a lo pactado en los Términos de Uso

V. Menores de edad

Tulioex es una plataforma dirigida exclusivamente a profesionales del derecho. No recabamos datos personales de personas menores de 18 años. De tener conocimiento de que un menor ha proporcionado datos sin autorización de quien ejerce la patria potestad o tutela, procederemos a eliminar esa información de forma inmediata.

Si usted tiene conocimiento de un acceso de menores, le pedimos notificárnoslo a privacidad@tulioex.com para tomar las medidas pertinentes.

VI. Transferencias nacionales e internacionales y Subencargados

A. Regla general

La LFPDPPP vigente (2025) permite las transferencias de datos sin consentimiento del titular únicamente en los siguientes supuestos: (i) cuando estén previstas en la ley; (ii) entre empresas del mismo grupo corporativo que operen bajo políticas comunes de privacidad; o (iii) cuando sean necesarias para la procuración o administración de justicia. Fuera de estos supuestos, toda transferencia requiere consentimiento expreso e informado.

Para prestar el servicio, Tulioex recurre a proveedores tecnológicos especializados con sede fuera de México (Subencargados). Estas transferencias internacionales se realizan sobre la base de la necesidad contractual y bajo contratos que imponen a los Subencargados obligaciones equivalentes a las de la LFPDPPP vigente.

B. Subencargados tecnológicos

A continuación se listan los proveedores tecnológicos que pueden tener acceso a datos personales para prestar las funciones que componen Tulioex. El acceso se limita estrictamente a lo necesario para la función que cada uno desempeña.

Anthropic, PBC

EE.UU.

Función: Modelo de lenguaje de inteligencia artificial — motor de Tulio (análisis jurídico, búsqueda semántica, simulador de contraparte)

Datos: Texto de las consultas enviadas a Tulio. Retención cero: Anthropic no almacena las consultas ni las usa para entrenar modelos.

OpenAI, LLC

EE.UU.

Función: Modelo de lenguaje secundario (respaldo ante fallas de Anthropic y tareas de procesamiento ligero)

Datos: Texto de las consultas. API con retención cero de datos para clientes.

Supabase, Inc.

EE.UU. / UE (según región)

Función: Base de datos PostgreSQL — almacena todos los datos estructurados (expedientes, usuarios, actuaciones, índice de jurisprudencia)

Datos: Todos los datos estructurados del servicio, incluyendo metadatos de expedientes y documentos.

Cloudflare, Inc. (R2 Storage)

EE.UU. / Global

Función: Almacenamiento de archivos cifrados (documentos, escritos y adjuntos subidos por el usuario)

Datos: Archivos cifrados. Cloudflare no procesa el contenido — solo lo almacena. El cifrado es responsabilidad de Tulioex.

Clerk, Inc.

EE.UU.

Función: Autenticación, gestión de sesiones, MFA y administración de identidad

Datos: Correo electrónico, hash de contraseña, tokens de sesión y datos de segundo factor de autenticación.

Amazon Web Services — Textract

EE.UU.

Función: OCR para extracción de texto en documentos escaneados o imágenes PDF

Datos: Contenido del documento enviado para OCR. AWS no almacena el contenido más allá del tiempo necesario para devolver el resultado.

Vercel, Inc.

EE.UU.

Función: Infraestructura de hosting y CDN — ejecución de la aplicación

Datos: Direcciones IP, cabeceras HTTP y logs de acceso para enrutamiento de tráfico.

Upstash, Inc.

EE.UU.

Función: Caché Redis en la nube para gestión de sesiones, rate limiting y datos temporales de alta velocidad

Datos: Datos de caché de corta duración (tokens, contadores). No almacena datos jurídicos de forma persistente.

Inngest, Inc.

EE.UU.

Función: Orquestación de trabajos asíncronos (sincronización del boletín judicial, procesamiento de documentos en lote, alertas de vencimiento)

Datos: Metadatos de trabajos y payloads de eventos. Actúa como mensajero, no como almacén de datos de usuario.

Resend, Inc.

EE.UU.

Función: Envío de correos electrónicos transaccionales (confirmaciones, alertas, notificaciones de pago)

Datos: Correo electrónico del destinatario y contenido del correo transaccional.

Sentry, Inc.

EE.UU.

Función: Monitoreo de errores y rendimiento en tiempo real

Datos: Stack traces y metadatos de sesión anonimizados. Tulioex configura Sentry para excluir datos personales de los reportes.

Axiom, Inc.

EE.UU.

Función: Logging centralizado de eventos técnicos para auditoría y depuración

Datos: Logs de eventos técnicos anonimizados. Los logs de usuario no incluyen contenido jurídico.

VII. Derechos ARCO

Como titular de datos personales, usted tiene derecho a Acceder, Rectificar, Cancelar y Oponerse al tratamiento de sus datos (Derechos ARCO), conforme a la LFPDPPP vigente (2025).

Acceso

Conocer qué datos personales tenemos, para qué los usamos, el origen de los datos y las condiciones generales del tratamiento.

Rectificación

Solicitar que corrijamos sus datos cuando sean inexactos, incompletos o estén desactualizados.

Cancelación

Pedir que eliminemos sus datos de todos los archivos, registros y sistemas donde estén almacenados cuando ya no sean necesarios para las finalidades que justificaron su tratamiento, o cuando concluya el contrato de servicio.

Oposición

Oponerse al tratamiento de sus datos para finalidades secundarias, o al tratamiento automatizado que afecte significativamente sus intereses sin intervención humana.

Procedimiento para ejercer sus derechos ARCO

  • Envíe su solicitud a privacidad@tulioex.com con el asunto "Solicitud ARCO"
  • Incluya: nombre completo, correo electrónico registrado en Tulioex, descripción del derecho que desea ejercer y fundamento de su solicitud
  • Adjunte copia de identificación oficial vigente (INE, pasaporte o cédula profesional)
  • Si actúa en representación de un tercero, adjunte el instrumento que acredite la representación

Tulioex responderá dentro de los 20 días hábiles siguientes a la recepción de la solicitud completa. La respuesta se enviará al correo desde el cual se presentó.

Conforme a la LFPDPPP (2025), el derecho de cancelación ahora comprende expresamente todos los archivos, registros y sistemas donde sus datos estén almacenados, incluyendo respaldos y archivos históricos, salvo que la conservación sea requerida por obligación legal o para la defensa de reclamaciones.

VIII. Revocación del consentimiento

Usted puede revocar en cualquier momento el consentimiento otorgado para el tratamiento de sus datos. La revocación no tiene efectos retroactivos.

La revocación del consentimiento para las finalidades primarias implica la imposibilidad de continuar prestando el servicio, equivaliendo a la terminación del contrato conforme a lo previsto en los Términos de Uso.

Para revocar el consentimiento de finalidades secundarias (marketing, encuestas):

  • Haciendo clic en "Cancelar suscripción" en la parte inferior de cualquier correo de marketing que le enviemos
  • Modificando sus preferencias en Configuración → Notificaciones dentro de la plataforma
  • Enviando un correo a privacidad@tulioex.com con el asunto "Revocación de consentimiento"

La revocación se hará efectiva dentro de los 5 días hábiles siguientes a la recepción de la solicitud.

IX. Cookies y tecnologías de rastreo

Tulioex utiliza cookies y tecnologías similares para garantizar el correcto funcionamiento de la plataforma, autenticar sesiones y analizar el uso del servicio. La LFPDPPP vigente exige informar sobre estas tecnologías de forma transparente.

Cookies estrictamente necesarias

Indispensables para el funcionamiento de la plataforma. Gestionan la sesión autenticada (a través de Clerk), el token de seguridad CSRF y preferencias básicas de interfaz. No pueden desactivarse sin impedir el uso del servicio.

Retención: Duración de la sesión o hasta 30 días en sesiones persistentes

Cookies de analítica (anonimizadas)

Nos permiten entender cómo se usa la plataforma para mejorarla. Utilizamos Vercel Analytics en modo anonimizado. No se crea ningún perfil individual identificable.

Retención: Hasta 12 meses

Cookies de autenticación de terceros (Clerk)

El sistema Clerk establece cookies propias para gestionar la identidad y sesiones de usuario de forma segura. Están sujetas a la política de cookies de Clerk.

Retención: Según política de Clerk (clerk.com/legal/cookie-policy)

Aviso simplificado (art. aplicable LFPDPPP 2025): Cuando usted visita tulioex.com por medios electrónicos por primera vez, le presentamos un aviso de privacidad simplificado que describe las cookies esenciales utilizadas y le permite acceder a este aviso integral. El uso continuado del sitio sin rechazar las cookies no esenciales se considera aceptación de las mismas.

X. Medidas de seguridad

Tulioex implementa medidas técnicas, administrativas y organizacionales para proteger sus datos personales contra daño, pérdida, alteración, destrucción, acceso no autorizado o tratamiento ilícito, conforme a la LFPDPPP vigente:

  • Cifrado en tránsito: Toda comunicación entre su dispositivo y nuestros servidores utiliza TLS 1.3 (HTTPS). Las API internas también operan sobre TLS.
  • Cifrado en reposo: Los documentos en Cloudflare R2 se cifran con AES-256 antes de su almacenamiento. Los datos en Supabase se cifran en reposo por defecto.
  • Aislamiento multi-tenant: Cada despacho opera en un entorno lógicamente aislado. Las consultas a la base de datos incluyen verificación explícita de tenant_id además de las políticas de Row Level Security (RLS) habilitadas a nivel de base de datos — dos capas de aislamiento independientes.
  • Autenticación robusta: MFA disponible a través de Clerk. Las contraseñas nunca se almacenan en texto plano.
  • Control de acceso por rol (RBAC): Cada usuario accede únicamente a la información necesaria para su función dentro del despacho.
  • URLs firmadas con TTL: Los archivos nunca se exponen con URLs permanentes. Cada acceso genera una URL firmada con tiempo de vida máximo de 15 minutos.
  • Registros de auditoría inmutables: Todas las acciones críticas quedan registradas en una tabla de auditoría de solo escritura, inalterable retroactivamente.
  • Confidencialidad extendida: Conforme a la LFPDPPP 2025, los controles de confidencialidad se mantienen vigentes incluso después de concluida la relación contractual con cada Subencargado tecnológico.

Ningún sistema de transmisión o almacenamiento puede garantizar seguridad absoluta. En caso de una vulneración de seguridad que afecte significativamente sus derechos, Tulioex le notificará de forma expedita, conforme a la LFPDPPP vigente.

XI. Modificaciones al aviso de privacidad

Tulioex puede modificar este Aviso en cualquier momento para reflejar cambios en el servicio, en la legislación aplicable o en nuestras prácticas de tratamiento de datos. La LFPDPPP vigente (2025) exige que cualquier cambio en las finalidades del tratamiento requiera nuevo consentimiento expreso, específico e informado —ya no es válido invocar finalidades "compatibles o análogas".

Cuando los cambios sean sustanciales (nuevas finalidades, nuevos tipos de datos, nuevas transferencias o cambios en los derechos del titular), le notificaremos:

  • Por correo electrónico al registrado en su cuenta, con al menos 15 días naturales de anticipación a la entrada en vigor
  • Mediante aviso destacado dentro de la plataforma al iniciar sesión
  • Solicitando su nuevo consentimiento de forma expresa antes de proceder

Para cambios menores (correcciones de redacción, actualización de datos de contacto), la publicación de la nueva versión en esta página con la fecha de actualización será mecanismo de notificación suficiente.

XII. Contacto y autoridad reguladora

Para consultas, solicitudes ARCO o cualquier cuestión relacionada con el tratamiento de sus datos personales:

Correo de privacidadprivacidad@tulioex.com
Contacto generalhola@tulioex.com
Horario de atenciónLunes a viernes, 9:00–18:00 hrs (Centro de México)
Plazo ARCO20 días hábiles para solicitudes ARCO
Plazo revocación5 días hábiles para revocación de consentimiento secundario

Autoridad reguladora

La autoridad competente en materia de protección de datos personales en posesión de particulares es la Secretaría de Anticorrupción y Buen Gobierno (SABG), que asumió estas funciones tras la extinción del INAI mediante reforma constitucional publicada el 20 de diciembre de 2024.

Si considera que Tulioex no ha atendido satisfactoriamente su solicitud ARCO o que ha infringido la LFPDPPP, puede presentar su reclamación ante la SABG a través de:

  • Portal de transparencia y datos personales de la SABG: portal-transparencia.buengobierno.gob.mx
  • Sitio oficial de la Secretaría: gob.mx/buengobierno
Nota sobre el marco regulatorio internacional: La desaparición del INAI como órgano autónomo ha generado cuestionamientos internacionales sobre la independencia de la autoridad reguladora mexicana. Esto puede afectar la validez de transferencias internacionales de datos hacia México para empresas sujetas al RGPD europeo u otros marcos de protección equivalente que exigen supervisión independiente. Tulioex mantiene sus compromisos de protección de datos independientemente de las decisiones de la autoridad reguladora.

Ley aplicable y jurisdicción

Este Aviso de Privacidad se rige por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (DOF 20-III-2025) y demás normativa aplicable en los Estados Unidos Mexicanos. Contra las resoluciones de la autoridad reguladora procede el juicio de amparo ante los juzgados especializados en la materia. Para cualquier controversia contractual derivada de este aviso, las partes se someten a los tribunales competentes de la Ciudad de México, renunciando a cualquier otro fuero que pudiera corresponderles por razón de su domicilio.