Declaración Institucional del Tratamiento

El presente Aviso de Privacidad se integra de manera estructural al modelo operativo, de control y de defensa institucional de NIDOUM, por lo que su función no se limita a informar sobre el tratamiento de datos personales, sino que establece el marco mediante el cual la organización documenta, valida, ejecuta y respalda sus operaciones. En este contexto, la información tratada constituye tanto un insumo operativo como un elemento de trazabilidad, auditoría y eventual defensa jurídica.

El tratamiento de datos personales se desarrolla dentro de un entorno de gestión de riesgos, en el que la información puede ser objeto de verificación, contraste, análisis y documentación continua. Esto implica que los datos no son estáticos, sino que forman parte de un sistema dinámico que permite la reconstrucción de hechos, la validación de decisiones y la consistencia institucional frente a procesos de auditoría, debida diligencia o controversia.

Identidad, Contexto y Modelo de Responsabilidad

ARCOMPANY, S.A. de C.V., con domicilio en León, Guanajuato, México, actúa como responsable del tratamiento de datos personales bajo un modelo de gobernanza que integra asignación de responsabilidades, control documental, supervisión operativa y gestión de riesgos. La información es tratada como un activo institucional cuya protección y control se ajustan a su criticidad y contexto de uso.

NIDOUM – Conscious Habitat opera como división especializada en desarrollo inmobiliario sostenible, participando en procesos complejos de estructuración, ejecución y supervisión de proyectos. En consecuencia, el tratamiento de datos personales se encuentra directamente vinculado con la validación de contrapartes, la estructuración financiera y contractual, y la documentación de decisiones estratégicas.

La participación de terceros, incluyendo proveedores tecnológicos y especialistas en ciberseguridad, no implica la transferencia del carácter de responsable, el cual permanece en ARCOMPANY, sin perjuicio de las obligaciones contractuales que dichos terceros asuman.

Alcance Material y Ciclo de Vida de la Información

El tratamiento de datos personales abarca la totalidad del ciclo de vida de la información, incluyendo su recopilación, generación, clasificación, almacenamiento, uso, transmisión, análisis, resguardo, conservación y eventual eliminación o anonimización. Este ciclo se desarrolla dentro de entornos físicos y digitales diseñados para garantizar control, integridad y trazabilidad.

Dicho tratamiento se integra a todas las fases del ciclo inmobiliario y corporativo, incluyendo originación de prospectos, validación de clientes e inversionistas, estructuración de operaciones, ejecución contractual, escrituración, gestión postventa, atención de incidencias, auditoría y defensa jurídica. Asimismo, se extiende a la interacción con socios territoriales, estructuras locales y vehículos de implantación.

El entorno operativo incluye CRM, expedientes físicos y digitales, data rooms, plataformas tecnológicas, comunicaciones corporativas, registros de actividad y evidencia digital, permitiendo la reconstrucción integral de operaciones y decisiones.

Principio de Control, Trazabilidad y No Neutralidad

El tratamiento de datos personales se rige por un principio de control institucional basado en riesgos, en el que la información es considerada un activo sujeto a validación, análisis, contraste y documentación. En consecuencia, los datos no generan presunción automática de veracidad.

La información podrá integrarse a expedientes institucionales, utilizarse como evidencia documental y formar parte de procesos de auditoría, debida diligencia, prevención de fraude, gestión de riesgos y defensa jurídica, pudiendo ser reinterpretada y correlacionada en distintos momentos del ciclo operativo.

Adicionalmente, la organización podrá generar datos derivados, incluyendo evaluaciones internas, historiales de comportamiento, notas operativas y registros de consistencia, los cuales forman parte del sistema institucional.

Categorías de Datos y Datos Derivados

NIDOUM podrá tratar datos personales de identificación, contacto, naturaleza profesional, patrimonial, financiera, fiscal, contractual e inmobiliaria, en la medida necesaria para la ejecución de operaciones y cumplimiento de obligaciones.

Asimismo, podrá generar datos derivados mediante procesos internos de análisis y evaluación, incluyendo perfiles operativos, validaciones de consistencia, evaluaciones de riesgo y documentación institucional. La coexistencia de datos proporcionados y generados implica que el tratamiento no se limita a la recepción de información, sino que incluye su transformación en insumos relevantes para la toma de decisiones.

Finalidades del Tratamiento

Los datos personales son utilizados para la ejecución de operaciones inmobiliarias, formalización contractual, cumplimiento legal, gestión de pagos, escrituración y atención a clientes.

Adicionalmente, el tratamiento se extiende a funciones de control institucional como auditoría, debida diligencia, verificación de información, prevención de fraude, análisis de riesgo, evaluación de contrapartes, estructuración territorial y defensa jurídica.

El tratamiento podrá extenderse a finalidades compatibles necesarias para la protección de intereses institucionales y continuidad operativa.

Verificación de Información, KYC y Validación de Contrapartes

NIDOUM implementa procesos estructurados de verificación de identidad, validación documental y debida diligencia, incluyendo prácticas de conocimiento del cliente (KYC), evaluación de capacidad jurídica y financiera, y análisis de consistencia de información.

Estos procesos pueden desarrollarse en fases precontractuales, contractuales y de seguimiento, e implicar herramientas tecnológicas, interacción con terceros autorizados e integración de información a expedientes institucionales.

La negativa a proporcionar información o someterse a estos procesos podrá limitar o impedir la relación sin responsabilidad para NIDOUM cuando responda a criterios de control y mitigación de riesgos.

Transferencia y Gestión de Información con Terceros

Los datos personales podrán ser compartidos con terceros que intervengan legítimamente en la operación, incluyendo instituciones financieras, fiduciarias, notarios, autoridades, auditores, asesores y proveedores tecnológicos.

Asimismo, podrán compartirse con socios territoriales y estructuras locales cuando resulte necesario para la ejecución, validación o supervisión de proyectos, bajo esquemas de confidencialidad, control documental y limitación de uso.

Cuando los terceros actúen como responsables independientes, asumirán sus propias obligaciones en materia de protección de datos personales.

Seguridad de la Información y Ciberprotección

ARCOMPANY mantiene un Sistema de Gestión de Seguridad de la Información (SGSI) aplicable al ecosistema NIDOUM, orientado a proteger datos personales, expedientes institucionales, plataformas tecnológicas y activos críticos de información, bajo un enfoque estructurado de gestión de riesgos, control interno y resiliencia operativa, consistente con prácticas alineadas a ISO/IEC 27001 y NIST Cybersecurity Framework.

El SGSI contempla controles técnicos y organizacionales que incluyen cifrado avanzado AES-256 para información en reposo cuando resulta aplicable, TLS 1.3 para transmisión segura, autenticación multifactor (MFA), políticas de acceso bajo el principio de menor privilegio, control basado en roles, segmentación de entornos y revisión periódica de accesos conforme a la criticidad de los sistemas.

El entorno de seguridad incorpora monitoreo continuo 24/7 mediante plataformas SIEM, orientado al registro, correlación y análisis de eventos de seguridad, así como procesos de evaluación de vulnerabilidades, pruebas de penetración, análisis de superficie de ataque y revisión de configuraciones críticas. Asimismo, se contemplan procedimientos de destrucción segura conforme a NIST SP 800-88 Rev.1 para la disposición de información.

El modelo de resiliencia incluye un Plan de Respuesta a Incidentes (IRP) y un Plan de Continuidad y Recuperación (DRP), orientados a la contención, análisis, remediación y restablecimiento de operaciones, con un objetivo de recuperación de hasta 48 horas, sujeto a condiciones operativas.

Cuando resulta necesario, ARCOMPANY podrá apoyarse en Labyrinth Cyber Canary Wharf para pruebas de penetración, análisis forense, monitoreo avanzado, evaluación de arquitectura de seguridad y fortalecimiento de controles, bajo esquemas contractuales y confidencialidad, sin transferir la responsabilidad del tratamiento.

Las medidas implementadas se basan en criterios de razonabilidad técnica y no constituyen garantía absoluta de invulnerabilidad.

Gestión de Incidentes y Respuesta Institucional

En caso de incidentes de seguridad, eventos de ciberseguridad o cualquier situación que pueda comprometer la confidencialidad, integridad o disponibilidad de los datos personales o activos de información, ARCOMPANY activará mecanismos estructurados de respuesta que comprenden la identificación, clasificación, contención, análisis técnico, documentación, evaluación de impacto y remediación del evento.

Estos procesos incluyen la preservación de evidencia digital, la trazabilidad de todas las acciones ejecutadas, la documentación cronológica del incidente y la evaluación de implicaciones legales, contractuales y operativas. Asimismo, se contemplan actividades de análisis forense digital, correlación de eventos, identificación de vectores de ataque y determinación de posibles escenarios de exposición, particularmente en entornos donde la criticidad de la información así lo requiera.

Cuando resulte necesario, ARCOMPANY podrá apoyarse en terceros especializados como Labyrinth Cyber para el análisis técnico avanzado, la investigación forense, la evaluación de impacto y la definición de estrategias de contención y remediación. La gestión de incidentes se ejecuta bajo criterios de razonabilidad y proporcionalidad, sin que la ocurrencia de un evento implique por sí misma reconocimiento automático de responsabilidad.

Conservación, Retención y Supresión

Los datos personales serán conservados durante el tiempo necesario para cumplir con las finalidades descritas, así como con obligaciones legales, contractuales, fiscales, notariales, registrales y regulatorias aplicables a las operaciones de NIDOUM y ARCOMPANY.

Adicionalmente, la información podrá ser conservada por periodos extendidos cuando resulte necesario para fines de defensa jurídica, auditoría interna o externa, debida diligencia, trazabilidad histórica de operaciones, cumplimiento de requerimientos de autoridades o protección de intereses institucionales. La conservación no se limita al dato en sí, sino que incluye expedientes, registros digitales, evidencia documental y metadatos asociados.

Una vez concluido el periodo aplicable, los datos podrán ser objeto de bloqueo, supresión, eliminación segura o anonimización conforme a criterios técnicos y normativos, incluyendo prácticas consistentes con NIST SP 800-88 Rev.1, reduciendo riesgos asociados a recuperación no autorizada o exposición indebida.

Derechos del Titular y Mecanismos de Ejercicio

Los titulares podrán ejercer sus derechos de acceso, rectificación, cancelación y oposición, así como otros derechos reconocidos por la normativa aplicable, mediante solicitud dirigida a privacy@arcompany.global, debiendo acreditar su identidad y especificar claramente el derecho que desean ejercer.

Las solicitudes serán atendidas dentro de los plazos legales correspondientes, pudiendo requerir información adicional para validar la identidad del solicitante, prevenir accesos indebidos o garantizar la correcta atención de la solicitud. El proceso de atención se documenta para efectos de trazabilidad y cumplimiento.

El ejercicio de estos derechos podrá estar sujeto a limitaciones cuando exista obligación legal de conservación, necesidad de preservar información para defensa jurídica, cumplimiento regulatorio, auditoría, prevención de fraude o gestión de riesgos. En dichos casos, la respuesta podrá ser limitada, diferida o parcialmente atendida conforme a la normativa aplicable.

Trazabilidad, Registro y Evidencia Digital

Toda información generada, recibida, transmitida o almacenada dentro del ecosistema de NIDOUM podrá ser registrada como parte de los mecanismos de control institucional, incluyendo comunicaciones, accesos, logs, documentos, decisiones operativas y cualquier interacción relevante.

Esta información podrá ser utilizada como evidencia documental para la reconstrucción de operaciones, auditoría, revisión interna, cumplimiento regulatorio, debida diligencia y defensa jurídica. La trazabilidad no se limita al contenido de la información, sino que incluye contexto, origen, modificaciones y relación con otros elementos del sistema.

El principio de trazabilidad se extiende a la interacción con socios territoriales, estructuras locales y terceros, en la medida en que dichas interacciones formen parte de la operación o puedan incidir en la evaluación de riesgos, responsabilidades o consistencia de información.

Gobernanza Operativa, Control de Acceso y Socios Territoriales

El tratamiento de datos se encuentra sujeto a un modelo de gobernanza basado en asignación de responsabilidades, segmentación de funciones y control de acceso conforme a roles definidos, alineado con principios de menor privilegio y necesidad operativa.

El acceso a la información se limita a lo estrictamente necesario para el desempeño de funciones, siendo objeto de validación, monitoreo y, cuándo resulta aplicable, revisión periódica. Las decisiones relevantes relacionadas con acceso, uso o modificación de información podrán ser documentadas como parte del sistema de control institucional.

Los procesos relacionados con socios territoriales, estructuras locales y aliados estratégicos forman parte del modelo de control, por lo que la información asociada a dichos procesos se encuentra sujeta a mecanismos de validación, documentación, supervisión y trazabilidad, particularmente cuando inciden en la ejecución de operaciones o en la gestión de riesgos.

Confidencialidad, NDA y Propiedad Intelectual

La información tratada dentro del ecosistema NIDOUM podrá estar sujeta a acuerdos de confidencialidad, contratos de no divulgación (NDA), restricciones de uso y mecanismos de protección de propiedad intelectual, tanto en su dimensión legal como operativa.

La documentación, metodologías, estructuras operativas, modelos de negocio, información técnica, financiera, comercial o estratégica se consideran activos corporativos protegidos, cuya divulgación no autorizada puede generar consecuencias legales, contractuales y operativas.

La información compartida con socios territoriales, aliados estratégicos o terceros podrá estar sujeta a obligaciones adicionales de confidencialidad, así como a limitaciones específicas sobre su uso, reproducción o transferencia, en función de su naturaleza y relevancia dentro del modelo institucional.

Canales Corporativos, Control de Comunicación y Validez de Interacciones

NIDOUM y ARCOMPANY establecen como canales oficiales de comunicación aquellos que operan bajo dominios corporativos autorizados, plataformas institucionales, sistemas internos o cualquier medio expresamente habilitado para efectos operativos, contractuales o institucionales.

La información generada, transmitida o recibida a través de dichos canales podrá ser registrada, almacenada y utilizada como evidencia documental dentro de los sistemas de control, trazabilidad, auditoría y defensa jurídica de la organización, constituyendo referencia válida para efectos de interpretación de relaciones operativas, comerciales o contractuales.

Las comunicaciones realizadas a través de medios no autorizados, incluyendo correos personales, aplicaciones no controladas o dispositivos ajenos al entorno corporativo, no generan reconocimiento automático como instrucción válida o acuerdo vinculante. Ninguna persona podrá comprometer a la organización mediante dichos medios sin validación institucional.

Sin perjuicio de lo anterior, dichas comunicaciones podrán ser analizadas e incorporadas como evidencia en procesos internos o legales. El uso de canales no oficiales se realiza bajo riesgo del emisor, pudiendo generar limitaciones probatorias, cuestionamientos de autenticidad o falta de reconocimiento institucional.

Actualizaciones, Control Documental y Versionado

El presente Aviso podrá ser modificado en cualquier momento para reflejar cambios regulatorios, operativos o institucionales, manteniendo coherencia con el modelo de gobernanza y control de ARCOMPANY.

Todas las versiones serán documentadas, controladas y resguardadas como parte del sistema de gestión documental, permitiendo trazabilidad histórica, auditoría y referencia institucional. Las modificaciones podrán ser comunicadas a través de canales oficiales cuando resulte necesario.

El control documental incluye registro de versiones, control de cambios, validación interna y disponibilidad de la versión vigente, asegurando consistencia y alineación con la operación real.

Declaración Final y Posición Institucional

La protección de datos personales constituye un componente estructural del modelo de gobernanza, control interno, gestión de riesgos y resiliencia institucional de NIDOUM, integrándose de forma transversal a sus procesos operativos, contractuales y estratégicos.

El tratamiento de la información se concibe como un elemento central en la ejecución de operaciones, la validación de decisiones, la protección de activos y la defensa jurídica del grupo, incluyendo la interacción con clientes, inversionistas, socios territoriales y contrapartes.

NIDOUM adopta un enfoque basado en responsabilidad, trazabilidad, control documentado y mejora continua, orientado a asegurar la integridad de la información, la consistencia operativa y la preparación frente a auditorías, procesos de debida diligencia y escenarios regulatorios o financieros de alta exigencia.

División de Desarrollo Inmobiliario Sostenible
Operada por ARCOMPANY, S.A. de C.V.