En cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP o LEY), su Reglamento, los Lineamientos del Aviso de Privacidad, así como con demás disposiciones, estándares y buenas prácticas aplicables en México en materia de protección de datos, TOKA pone a disposición de los Usuarios de la Super App el presente Aviso de Privacidad Integral.

El objetivo de este Aviso es informarle de manera clara, transparente y accesible sobre la forma en que recabamos, utilizamos, almacenamos, compartimos, remitimos y protegemos sus Datos Personales cuando usted se registra, utiliza, navega o interactúa con cualquiera de las funcionalidades disponibles dentro de la Super App.

El presente Aviso busca garantizarle certeza jurídica y confianza, particularmente respecto a:

La confidencialidad de su información,
La integridad y actualización de los datos personales que tratamos,
La disponibilidad y resguardo adecuado de la información,
Y la transparencia sobre el tratamiento que realizamos durante su interacción con la Super App.

Nuestra plataforma está diseñada para ofrecerle una experiencia ágil, innovadora y segura, permitiéndole acceder a diversas funcionalidades, incluyendo herramientas de pago, visualización de productos digitales, gestión de operaciones, acceso a Mini Apps de terceros y demás elementos que conforman el ecosistema digital de TOKA.

Es importante señalar que ciertos productos y servicios disponibles dentro de la Super App pueden ser ofrecidos directamente por terceros, quienes actúan como Responsables independientes del tratamiento cuando así corresponda y previamente le sea informado a Usted.

Con el propósito de facilitar la comprensión del presente Aviso, incorporamos definiciones claras de los conceptos relevantes, incluyendo el término Usuario, entendido como la persona física que accede, navega, crea una cuenta o utiliza cualquiera de las funcionalidades de la Super App. Lo anterior nos permite asegurar una comunicación transparente y fortalecer su tranquilidad respecto a cómo manejamos, protegemos y utilizamos su información personal.

1. IDENTIDAD DEL RESPONSABLE Y CANALES OFICIALES DE CONTACTO

Toka Internacional, S.A.P.I. de C.V. (en lo sucesivo, “TOKA”), en su carácter de Responsable del tratamiento de los Datos Personales de las personas físicas que acceden, se registran y navegan en su Super App (en conjunto, los “Usuarios”), emite el presente Aviso de Privacidad Integral, en cumplimiento de la LFPDPPP, su Reglamento y los Lineamientos del Aviso de Privacidad, así como demás disposiciones y buenas prácticas aplicables en México.

1.1. ¿QUIÉN ES TOKA Y QUÉ ES LA SUPER APP?

TOKA es una empresa mexicana legalmente constituida que desarrolla, opera y pone a disposición una Super App: una plataforma tecnológica que brinda a los Usuarios una experiencia ágil, segura e innovadora, permitiéndoles:

Registrarse y administrar su cuenta,
Navegar de forma intuitiva,
Acceder a funcionalidades avanzadas,
Conectarse con productos y servicios de terceros mediante Mini Apps integradas en el ecosistema.

Según el caso, las Mini Apps pueden operar como terceros independientes o como Encargados de TOKA para habilitar funciones de la Super App y/o facilitar la contratación o adquisición de servicios. El tratamiento de datos se efectuará con transparencia, bajo los permisos y controles del Usuario y conforme a las finalidades detalladas más adelante.

1.2. CANALES OFICIALES PARA LA PROTECCIÓN DE TUS DATOS PERSONALES

Para efectos de la LFPDPPP y para toda comunicación relacionada con este Aviso de Privacidad, incluyendo el ejercicio de Derechos ARCO(Acceso, Rectificación, Cancelación y Oposición), la revocación del consentimiento, la limitación del uso o divulgación, así como dudas o quejas sobre el tratamiento de tus Datos Personales, tales como:

Presentar solicitudes de ejercicio de Derechos ARCO.
Formular dudas o quejas sobre el tratamiento de tus datos.
Revocar tu consentimiento (cuando sea procedente).
Limitar el uso o divulgación de tu información.
Comunicar cualquier incidente o inquietud relacionada con la protección de tus datos personales.

TOKA habilita y establece como canal oficial convencional de comunicación la siguiente dirección de correo electrónico: pdp@toka.mx.

Adicionalmente y de forma complementaria al correo electrónico antes referido y opcional para Usted, se pone a disposición el número telefónico:

33 32 08 03 90 ext. 7441,

destinado a atender dudas, proporcionar asesoría especializada en materia de protección de datos personales y, en general, orientar sobre todo lo relacionado con el ejercicio de los Derechos ARCO y la protección de datos personales. Toda comunicación relacionada con la protección de datos personales será atendida exclusivamente en días hábiles, de lunes a viernes, en un horario de 9:00 a.m. a 6:00 p.m.

Estos canales constituyen, en conjunto, el domicilio convencional y los únicos medios habilitados por TOKA para garantizar el ejercicio de los Derechos ARCO del Titular, conforme a la LFPDPPP y demás normatividad aplicable. Cualquier comunicación o requerimiento que se refiera a materias distintas de la protección de datos personales deberá canalizarse a las áreas competentes mediante los mecanismos correspondientes; los medios señalados no serán aplicables ni surtirán efectos para asuntos de otra naturaleza legal o administrativa, al no contar estos canales con competencia ni facultades para atenderlos.

Durante el tratamiento de los Datos Personales proporcionados por los Usuarios, TOKA implementará todas las medidas necesarias para garantizar, en todo momento, el cumplimiento de los principios de licitud, calidad, consentimiento, información, finalidad, lealtad, proporcionalidad y responsabilidad previstos en la LEY y su Reglamento. Asimismo, TOKA se compromete a proteger la seguridad e integridad de la información tratada dentro de la Super App y a respetar plenamente la independencia y responsabilidad de los terceros operadores de Mini Apps respecto de la información que éstos, en su carácter propio, lleguen a recabar o tratar.

Lo aquí informado se realiza en cumplimiento de lo dispuesto por los artículos 15, fracción I, de la Ley; 27, fracciones I y II, del Reglamento; así como por los numerales Vigésimo, fracción I, y Vigésimo Primero de los Lineamientos del Aviso de Privacidad.

2. GLOSARIO

El presente Glosario compila, de forma general y referencial: (i) los principales términos utilizados en materia de protección de datos personales, (ii) una clasificación enunciativa de categorías de datos personales, y (iii) las partes que intervienen en el tratamiento derivado del registro, navegación y uso de la Super App. Su contenido tiene fines explicativos y no implica que todos los conceptos o categorías listadas apliquen necesariamente a esta versión del Aviso, pues el tratamiento efectivo dependerá de las funcionalidades habilitadas por el Responsable y será oportunamente informado al Titular:

2.1 TÉRMINOS GENERALES

Aviso de Privacidad: Documento dirigido para el conocimiento del Titular de los datos personales para informarle sobre la recolección y tratamiento de su información. Este Aviso se pone a disposición del Titular de manera física, electrónica o en cualquier otro formato, desde el momento en que se recaban sus datos personales. Su objetivo es explicar los propósitos para los cuales se utilizarán dichos datos.

Base de Datos: Conjunto organizado de datos personales de una persona física identificada o identificable, estructurados según criterios específicos, sin importar su forma de creación, tipo de soporte, procesamiento, almacenamiento y organización.

Bloqueo: Proceso de identificar y conservar datos personales una vez cumplida su finalidad, con el único propósito de determinar posibles responsabilidades en su tratamiento, hasta el plazo de prescripción legal o contractual. Durante este periodo, los datos no pueden ser tratados y, una vez finalizado, se procederá a su cancelación en la base de datos correspondiente.

Consentimiento: Manifestación libre, específica e informada de la voluntad del Titular de los datos, mediante la cual se autoriza su tratamiento.

Remisión: Comunicación de datos personales realizada exclusivamente entre el Responsable y la Persona encargada o Encargado, dentro o fuera del territorio mexicano.

Tratamiento: Cualquier operación o conjunto de operaciones (acciones) realizadas sobre datos personales, ya sea mediante procedimientos manuales o automatizados, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.

Transferencia: Es el acto de comunicar o enviar datos personales a otra persona o entidad que no sea el Titular (la persona dueña de los datos), el Responsable (la entidad que decide sobre el tratamiento de los datos) o el Encargado (la persona o entidad que realiza el tratamiento de los datos por cuenta del Responsable).

Derechos ARCO: Son los derechos que el Titular de los datos personales puede ejercer en cualquier momento. Estos derechos incluyen el Acceso, Rectificación, Cancelación y Oposición al tratamiento de sus datos personales.

Días: Se debe de entender para efectos de informado a través del Presente Aviso de privacidad que tratan de Días hábiles.

Fuente de Acceso Público: Bases de datos, sistemas o archivos que, por disposición de ley, pueden ser consultados públicamente sin impedimento normativo, y que pueden requerir el pago de una tarifa o contribución. No se consideran fuentes de acceso público aquellas con información obtenida de manera ilícita.

Datos Personales: Información que corresponde a una persona física identificada o identificable. Una persona es identificable cuando su identidad puede determinarse directa o indirectamente a través de cualquier información.

Datos Personales Sensibles: Datos personales que afectan la esfera más íntima del titular, o cuya utilización indebida puede causar discriminación o un riesgo grave. Incluyen, entre otros, información sobre origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual.

Datos Laborales: Toda información relacionada con la actividad y el desempeño de trabajo de una persona.

Datos Académicos / Profesionales: Información relacionada con la trayectoria educativa y profesional de una persona.

Datos Patrimoniales: Para los efectos del presente Aviso de privacidad, se limita a aquellos datos relacionados que permiten identificar bienes del Titular. Incluye bien mueble e inmueble, historial de ingresos y egresos, número de cuenta bancaria, actividad económica y régimen fiscal.

2.2 CLASIFICACIÓN DE DATOS PERSONALES

Con el fin de brindar al Titular una mayor transparencia respecto del tipo de información que puede ser tratada a través de la Super App, a continuación, se presenta una clasificación general y referencial de las categorías de Datos Personales que TOKA, en su carácter de Responsable, podría requerir tratar durante el registro, la navegación y el uso de la plataforma.

Esta clasificación es enunciativa y no limitativa, y se incorpora únicamente para efectos informativos. Los Datos Personales que TOKAefectivamente recabe y trate serán exclusivamente aquellos descritos expresamente en este Aviso de Privacidad, el cual podrá actualizarse y ponerse a disposición del Titular cuando corresponda:

Datos Personales: Para efectos del presente Aviso, se consideran Datos Personales toda información relacionada con una persona física identificada o identificable que pueda ser recabada durante el registro, navegación y uso de la Super App.

Una persona se considera identificable cuando su identidad puede determinarse directa o indirectamente a través de cualquier elemento asociado a su perfil digital, tales como:

nombre y apellidos,
número de identificación o datos de verificación,
datos de contacto,
identificadores electrónicos o técnicos generados por la Super App (p. ej., ID de usuario, tokens, huellas digitales de dispositivo),
datos geográficos o de localización aproximada,
o cualquier otro dato que permita vincular actividades o interacciones dentro del ecosistema con un usuario específico.

Nota: En la operación de la Super App, estos datos pueden habilitar funcionalidades esenciales, como la administración de la cuenta, la autenticación, el acceso a Mini Apps, la activación del “Bolsillo”, los procesos transaccionales y la personalización de la experiencia digital. No obstante, lo anterior es enunciativo: durante la vigencia del presente Aviso únicamente se recaban y tratan los datos que se informan más adelante.

Datos Personales Sensibles: Se informa al Usuario que TOKA no recaba Datos Personales Sensibles para la habilitación o uso de la Super App.

Se consideran Datos Personales Sensibles aquellos que afectan la esfera más íntima del Titular o cuya utilización indebida pudiera generar discriminación o un riesgo grave, tales como:

origen racial o étnico,
estado de salud presente, pasado o futuro,
información genética,
creencias religiosas, filosóficas o morales,
afiliación sindical,
opiniones políticas,
o preferencia sexual.

Nota: Aunque la Super App no solicita ni requiere datos sensibles, se precisa que ciertos tipos de información técnica, como la geolocalización del dispositivo, cuando sea requerida para fines estrictamente funcionales o de seguridad, no constituyen legalmente datos sensibles, pero sí poseen una naturaleza que demanda un tratamiento reforzado.

Por ello, la geolocalización será tratada con el mismo nivel de cuidado, confidencialidad y control que TOKA aplica a información de mayor riesgo, aplicando medidas estrictas de seguridad, minimización de uso, limitación de tratamiento y transparencia hacia el Usuario.

Datos Patrimoniales y financieros: Para efectos del presente Aviso, se consideran Datos Patrimoniales aquellos que permiten identificar o asociar al Titular con bienes, derechos o información de contenido económico y que resultan necesarios para habilitar funcionalidades como “Bolsillo”, la gestión de medios de disposición y/o la realización de transacciones dentro de la Super App.

Pueden incluir, de forma enunciativa y no limitativa:

Identificadores de cuentas o productos financieros (p. ej., número de cuenta bancaria o CLABE).
Referencia tokenizada del medio de disposición (p. ej., token de tarjeta, últimos 4 dígitos y marca), nunca el PAN completo en texto claro.
Historial y trazas operativas asociadas al uso transaccional en la Super App (p. ej., identificadores de órdenes, montos, moneda, estatus de pago o reembolso, sellos de tiempo, folios de conciliación).
Datos de facturación y, en su caso, régimen fiscal aplicable a la persona física (cuando el Titular solicite factura).

Nota: La recopilación y el tratamiento de estos datos se realizan solo cuando el Titular decide activar y utilizar “Bolsillo” o funcionalidades transaccionales; de otro modo, no se solicitan. Se aplican medidas de minimización (solo lo necesario), tokenización o seudonimización cuando corresponda, y controles de seguridad acordes a estándares del sector.

Datos Biométricos: Para efectos del presente Aviso, son aquellos relacionados con características físicas, fisiológicas o de comportamientodel Titular que permiten su identificación única mediante procesos técnicos y controles de seguridad.

Pueden incluir, enunciativamente:

Reconocimiento facial (p. ej., selfie, vectores faciales, pruebas de liveness/anti‑spoofing).
Huellas dactilares (cuando el flujo regulatorio o de seguridad lo requiera).
Patrones de voz o reconocimiento de iris (si se habilitan como factores de autenticación).

Nota: La captura o verificación biométrica solo se realiza cuando resulte estrictamente necesaria (p. ej., autenticación reforzada, prevención de fraude o KYC/identidad digital), será previamente informada al Titular y sujeta a su consentimiento, con almacenamiento limitado, cifrado y controles de acceso. Cuando la verificación se realice a través de una Mini App, esta podrá actuar como Encargado de TOKA (si verifica por cuenta de TOKA) o como Responsable independiente (si define sus fines y medios), lo cual se informará al Titular en el flujo correspondiente

Datos Multimedia: Comprenden contenidos digitales en los que el Titular sea identificado o identificable, tales como imágenes, audio, video o combinaciones de estos, generados o cargados en el uso de la Super App o sus funcionalidades.

Pueden incluir, enunciativamente:

Fotografías o video‑selfies utilizados para verificación de identidad o soporte de incidencias.
Grabaciones de voz cuando el Titular utilice canales de atención que involucren audio.
Capturas o evidencias de transacciones (p. ej., comprobantes visuales) compartidas por el Titular para soporte.

Nota: Estos datos pueden adquirir la connotación de datos personales sensibles cuando revelen rasgos físicos, estado de salud, condición emocional u otros atributos protegidos. Su obtención se limitará a las finalidades informadas, su conservación será por plazos mínimos necesarios, y su uso quedará sujeto a medidas de seguridad (cifrado, controles de acceso, trazabilidad). Cuando el tratamiento lo realice una Mini App, aplicará el rol y las responsabilidades que correspondan (Encargado vs. Responsable independiente), conforme se informe al Titular en cada flujo.

2.3 PARTES INVOLUCRADAS

En el marco del registro, navegación y uso de la Super App, convergen tres figuras claramente definidas conforme a la LEY, su Reglamento y demás disposiciones aplicables: (i) el Responsable, (ii) el Titular (Usted) y (iii) el Encargado (que, en ciertos casos específicos y previamente informados, puede corresponder a determinadas Mini Apps, siempre sujeto a su selección expresa mediante formularios, cuadros de diálogo o check boxes, lo cual constituye su autorización en su calidad de Titular de sus Datos Personales).

Estas figuras pueden intervenir de manera directa o solo cuando así lo requieran las necesidades operativas y los supuestos previstos en la LEY.

A continuación, se describen sus respectivos roles y responsabilidades dentro del ecosistema digital:

Titular o Persona Titular: Persona dueña de los datos personales. Para efectos de este Aviso de Privacidad, el Titular es el Usuario de la Super App de TOKA, es decir, la persona física que se registra y utiliza a la Plataforma para acceder a sus funcionalidades, navegar y, en su caso, vincularse con productos o servicios ofrecidos por terceros a través de Mini apps integradas.

Responsable o Sujeto regulado: Personas físicas o morales de carácter privado y/o público que llevan a cabo la recolección directa y el tratamiento de datos personales, para el caso del presente Aviso, se debe de entender como Responsable o Sujeto regulado a TOKA frente a los usuarios de su Super App.

Encargado: TOKA no actúa como Encargado, ya que la Super App no trata datos personales por instrucciones de terceros ni recibe información ajena para procesarla por cuenta de otros. TOKA es, en todo momento, el Responsable de los Datos Personales que recaba directamente del Usuario.

En esta relación, TOKA actúa exclusivamente como Responsable, es decir, como la entidad que recaba directamente los Datos Personales y determina las finalidades y medios del tratamiento de la información proporcionada por los propios Usuarios dentro de la Super App.

La figura de Encargado, en términos de los artículos 49 al 50 del Reglamento de la LFPDPPP, únicamente aplica cuando una Mini App necesita acceder a Datos Personales del Usuario por cuenta de TOKA, para habilitar una funcionalidad específica de la Super App.

En esos casos:

El acceso solo ocurre si el Usuario lo autoriza previamente, de forma clara y granular.
TOKA determina las finalidades y los medios del tratamiento.
La Mini App únicamente trata los datos conforme a las instrucciones documentadas de TOKA.
TOKA supervisa, vigila y exige el cumplimiento de las obligaciones del Encargado, conforme al principio de responsabilidad previsto en el artículo 4, fracción II, así como de lo establecido en el artículo 51 del Reglamento.

En consecuencia, cuando una Mini App actúa como Encargada, el tratamiento se realiza exclusivamente bajo las instrucciones de TOKA, sin que la Mini App pueda usar los datos para fines propios. Todos los derechos y obligaciones en materia de protección de datos se ejercen directamente frente a TOKA, en su carácter de Responsable.

Usuario: Persona física que accede, se registra, navega y utiliza la Super App de TOKA, generando una cuenta o sesión que le permite interactuar con sus funcionalidades. El Usuario es quien proporciona directamente sus Datos Personales a TOKA, en su carácter de Responsable, para habilitar el funcionamiento de la plataforma, gestionar su perfil y, en su caso, conectarse o vincularse con productos o servicios ofrecidos por terceros mediante Mini Apps integradas.

El Usuario mantiene en todo momento la calidad de Titular respecto de los Datos Personales que él mismo proporcione a través de la Super App, y conserva el control sobre su tratamiento, incluyendo la selección y autorización expresa de aquellos datos que decida compartir con determinadas Mini Apps cuando así le sea solicitado a través de formularios, cuadros de diálogo o check boxes.

Tercero: Aquella persona física o moral, nacional o extranjera, distinta del Titular o del Responsable de los datos personales.

Super App: Se entiende como la plataforma digital central desarrollada y operada por TOKA, que integra en un solo entorno tecnológicomúltiples servicios, funcionalidades y Mini Apps. Su finalidad es proporcionar al Usuario un ecosistema unificado, seguro y fluido, desde el cual puede:

Crear y administrar su cuenta,
Acceder a funcionalidades propias de la Super App,
Conectar con productos o servicios de terceros mediante Mini Apps integradas,
Realizar pagos, transacciones o gestiones digitales,
Recibir notificaciones, interactuar con contenido y personalizar su experiencia.

La Super App ofrece la infraestructura tecnológica, los estándares de seguridad, los controles de acceso, los mecanismos de autorización granular y la experiencia de usuario necesarios para la operación coordinada de todas las funciones y Mini Apps que alberga, permitiendo que su interacción sea coherente, protegida y centralizada dentro del mismo ecosistema.

Mini App: Todo módulo, aplicación o funcionalidad desarrollada y operada por un tercero que se integra dentro del ecosistema digital de la Super App de TOKA, con el propósito de ofrecer productos, servicios o herramientas adicionales de forma unificada y accesible desde una sola plataforma.

Cada Mini App cuenta con sus propios Términos y Condiciones, Aviso de Privacidad y políticas de uso, emitidos y administrados directamente por su proveedor. En su operación habitual, estas Mini Apps actúan como Responsables independientes, siendo cada tercero el único responsable de obtener, tratar, conservar y proteger los Datos Personales que recabe directamente del Usuario para la prestación de sus servicios.

No obstante, algunas Mini Apps pueden intervenir en el tratamiento de Datos Personales en calidad de Encargadas de TOKA, exclusivamente en casos específicos, previamente informados al Usuario y siempre sujetos a su autorización expresa, otorgada mediante formularios, cuadros de diálogo o check boxes. Cuando una Mini App actúe como Encargada:

El acceso a los datos será estrictamente limitado a lo necesario para la función correspondiente.
La Mini App no podrá utilizar la información para fines propios.
El tratamiento se realizará únicamente conforme a las instrucciones de TOKA, observando medidas reforzadas de seguridad, confidencialidad y minimización.

El Usuario reconoce y acepta que el uso de cualquier Mini App está sujeto a las condiciones independientes del proveedor correspondiente, así como a los permisos y configuraciones que él mismo determine respecto de la información que decida compartir a través de la Super App.

3. ¿QUÉ DATOS PERSONALES TRATAMOS?

TOKA trata únicamente los datos personales indispensables para que la Super App funcione de manera segura, para habilitar sus diversas funciones (incluido el módulo “Bolsillo”) y para permitir la interacción con Mini Apps integradas dentro del ecosistema digital.

La Super App es de uso exclusivo para personas físicas.

TOKA trata únicamente los datos personales indispensables para que la Super App funcione de manera segura, para habilitar sus diversas funciones (incluido el módulo “Bolsillo”) y para permitir el uso de Mini Apps dentro del ecosistema. Este tratamiento puede incluir: (i) los datos que usted proporciona directamente al registrarse o configurar su cuenta; (ii) los datos que se generan automáticamente a partir de su uso y de la operación segura de la plataforma; (iii) los datos necesarios para realizar pagos a través de “Bolsillo” cuando usted decida activarlo; y (iv) los datos requeridos para habilitar funcionalidades adicionales de las Mini Apps que usted elija utilizar, cuya obtención y compartición siempre estarán sujetas a su autorización previa, así como (v) la información necesaria para operar medios de disposición digitales asociados al pago mediante QR vinculados con los medios registrados en “Bolsillo”. Todo tratamiento se realiza conforme a los principios de licitud, información, consentimiento, finalidad, lealtad, proporcionalidad, calidad y responsabilidad, aplicando criterios de minimización de datos, confidencialidad y medidas reforzadas de seguridad. El alcance del tratamiento dependerá de las funciones que usted active y de los permisos que otorgue en la Super App, conservando usted en todo momento el control para aceptar, negar o revocar autorizaciones, sin afectar las funciones estrictamente necesarias para utilizar la plataforma.

A continuación, le informamos qué datos se tratan, para qué, cuándo aplican y qué control conserva usted en cada caso:

3.1 DATOS NECESARIOS PARA EL ALTA DE LA CUENTA Y LA NAVEGACIÓN

Para permitir la creación de su cuenta, proteger su identidad, garantizar la operación segura de la plataforma y habilitar su navegación dentro de la Super App, TOKA recaba y trata únicamente los Datos Personales indispensables, los cuales permiten validar su identidad, mantener la seguridad del ecosistema y asegurar una experiencia digital confiable y personalizada. Estos datos incluyen:

CURP: Utilizada para identificar al Usuario de manera única y segura, prevenir suplantaciones y validar la autenticidad del registro dentro de la Super App.
Nombre completo: Dato esencial para individualizar al Usuario en el ecosistema digital, asociar correctamente sus actividades y mantener coherencia y trazabilidad en su cuenta.
Número de teléfono móvil: Medio de contacto y verificación que permite enviar códigos de seguridad, notificaciones operativas y alertas sobre eventos importantes relacionados con su cuenta.
Correo electrónico: Canal electrónico para la activación de la cuenta, recuperación de acceso, confirmación de actividades y envío de avisos relevantes sobre seguridad o funcionamiento de la Super App.
Contraseña (credenciales de acceso): Clave de acceso personal creada por el Usuario para ingresar a la Super App. Es resguardada mediante medidas avanzadas de seguridad y nunca se almacena en texto claro.
NIP o PIN de pago: Código adicional de seguridad utilizado para autorizar transacciones, operaciones o consumos dentro de la Super App. Está sujeto a resguardo mediante controles de protección reforzados y tampoco se almacena en texto claro.

3.2 DATOS COMPARTIDOS CON MINI APPS (SOLO CON SU PERMISO)

Dentro del ecosistema digital de la Super App, algunas Mini Apps pueden requerir acceder a determinados Datos Personales para ofrecerle sus productos o servicios. Este acceso nunca ocurre de manera automática: siempre dependerá de su autorización previa, expresa e informada.

Cuando el Usuario ingresa a una Mini App que requiere datos adicionales, la Super App mostrará, por medio de formularios, cuadros de diálogo o check boxes, una solicitud clara para que usted indique qué información específica autoriza compartir. Sin su consentimiento, la Mini App no podrá recibir ni consultar dato alguno.

Los datos que, en su caso y de forma estrictamente necesaria, una Mini App podría solicitar mediante autorización expresa son:

Identificador único del Usuario.
Nombre o alias visible.
Correo electrónico.
Número de teléfono.
Nombre completo.

Estos datos se solicitan únicamente cuando son necesarios para habilitar el producto o servicio ofrecido, y solo la Mini App que usted elija podrá acceder a ellos, conforme a la autorización que usted otorgue.

Controles aplicables: Para su protección y para asegurar el cumplimiento normativo, se aplican los siguientes controles:

Consentimiento previo, específico y granular: usted decide exactamente qué datos compartir y con qué Mini App.
Minimización: solo se comparten los datos estrictamente necesarios para la función solicitada.
Revocación en cualquier momento: usted puede retirar su autorización desde la Super App o por los canales oficiales.
Protección de la información: los datos se transmiten con medidas de seguridad reforzadas y mecanismos que aseguran integridad y vigencia limitada

3.3 APERTURA DE SERVICIOS DE TERCEROS

Cuando el Titular elige abrir una aplicación o servicio externo desde la Super App, se podrá transmitir solo la información mínima indispensable para completar correctamente la redirección (por ejemplo, un identificador o referencia de sesión).

El tratamiento posterior de los datos que usted proporcione dentro del servicio externo será responsabilidad exclusiva del tercero, en su carácter de Responsable independiente, aplicando su propio Aviso de Privacidad y demás notificaciones que dicho proveedor ponga a su disposición.

En estos casos, la Super App:

Minimiza los datos transmitidos al tercero.
Protege y verifica la integridad del proceso de redirección cuando corresponda.
Solicita su consentimiento si se requiere compartir datos adicionales más allá de lo estrictamente necesario para el acceso.

3.4 DATOS PARA PAGOS, REEMBOLSOS Y CONCILIACIONES

Cuando el Usuario realiza compras o pagos dentro de la Super App, TOKA trata únicamente los datos necesarios para generar y dar seguimiento a cada operación. Esto permite crear órdenes, procesar pagos, confirmar resultados, cerrar transacciones, aplicar reembolsos y llevar a cabo los procesos contables y de conciliación que garantizan la integridad del ecosistema.

Los datos involucrados en estas operaciones incluyen:

Datos de la orden de pago, tales como el folio o identificador único generado para cada transacción.
Montos, moneda y cualquier detalle indispensable para procesar la operación.
Método de pago protegido, es decir, información del medio de disposición registrado en “Bolsillo” tratada de forma segura (por ejemplo, referencia tokenizada y últimos 4 dígitos).
Fecha y hora de la solicitud, ejecución y resultado de la transacción.
Estado de la operación, incluyendo pagos aprobados, rechazados, pendientes, reembolsados o conciliados.
Medidas y controles aplicables: La información asociada a pagos, reembolsos y conciliaciones se conserva únicamente por el tiempo estrictamente necesario, con accesos limitados, controles de confidencialidad y medidas reforzadas de seguridad que protegen cada operación del inicio al cierre.

3.5 DATOS QUE SOLO SE CONSULTAN DE FORMA MOMENTÁNEA

En ciertos flujos operativos, la Super App solo consulta algunos datos personales para verificar información y proteger su cuenta, sin conservar esos datos más allá del tiempo estrictamente necesario para completar la validación. En estos casos, únicamente puede registrarse el resultado (por ejemplo, “validado”, “no validado” o “requiere revisión”) cuando sea indispensable para fines de seguridad, prevención de fraude, cumplimiento, continuidad operativa o soporte.

Ejemplos de consultas momentáneas:

Verificación de identidad o de elegibilidad (p. ej., validación de CURP o cotejo de datos básicos para prevenir suplantaciones).
Comprobación de estado KYC (por ejemplo, bandera de “aprobado/pendiente/observado” sin conservar documentación).
Autenticaciones reforzadas (p. ej., uso puntual de códigos de un solo uso o factores adicionales de verificación).
Validaciones operativas (p. ej., confirmación de vigencia de un medio de pago sin almacenar datos sensibles del instrumento).
Confirmaciones técnicas de integridad de sesión o de riesgos inusuales (p. ej., detección de patrones anómalos para evitar accesos indebidos).
Derivaciones a partir de la CURP (uso limitado y legítimo): Cuando el Titular proporciona su CURP, y solo para fines de verificación y seguridad, TOKA puede derivar automáticamente los siguientes elementos contenidos en la clave:

Fecha de nacimiento,
Sexo (M/F),
Entidad federativa de nacimiento.

Estas derivaciones se utilizan exclusivamente para validar supuestos como mayoría de edad, coincidencia de identidad, prevención de fraudeo cumplimiento regulatorio, y no implican la construcción de perfiles adicionales ni usos distintos a los informados.

Principio de minimización: Cuando el fin sea únicamente verificar, no se conserva la CURP ni sus elementos derivados; en su caso, solo se guarda la bandera de resultado (p. ej., “mayor de edad validado”) y la marca temporal de la validación.

Controles y salvaguardas aplicables:

No conservación innecesaria: eliminamos el dato consultado una vez concluida la verificación; solo se conserva el resultado cuando sea imprescindible.
Finalidad limitada: la consulta se realiza únicamente para el propósito específico informado (seguridad, cumplimiento o habilitación operativa).
Minimización y enmascaramiento: evitamos almacenar el dato completo; cuando aplica, se usan representaciones parciales (p. ej., guardar “aaaa‑mm” sin día) o banderas en lugar del valor íntegro.
Accesos restringidos y trazabilidad: las consultas quedan registradas en bitácoras de seguridad para auditoría, con acceso limitado y por plazo mínimo necesario.
Sin decisiones automatizadas con efectos legales sin intervención humana: las validaciones automáticas que puedan impactar el acceso o la operación se sujetan a revisión cuando el Titular lo solicite por canales oficiales.

El presente apartado “3” de este Aviso, se hace de su conocimiento en cumplimiento con los artículos 15 fracción II de la “LFPDPPP”, Vigésimo fracción II y III, Vigésimo Segundo y Vigésimo Tercero de los Lineamientos.

4. ¿TOKA TRATA DATOS SENSIBLES?

TOKA no recaba datos personales sensibles de los señalados en el artículo 9 de la LFPDPPP (por ejemplo, estado de salud, origen étnico, creencias religiosas, afiliación sindical, opiniones políticas o preferencia sexual).

No obstante, sí trata ciertas categorías de datos que, por su naturaleza e impacto en la experiencia digital (como los datos patrimoniales y financieros vinculados con pagos en la Super App y la geolocalización), reciben un trato reforzado de confidencialidad y seguridad, en estricto apego a los principios de licitud, información, consentimiento, finalidad, lealtad, proporcionalidad, calidad y responsabilidad.

4.1 DATOS PATRIMONIALES Y FINANCIEROS

Estos datos no son sensibles por ley; sin embargo, por su relevancia, se tratan con medidas reforzadas y criterios de minimización.

4.1.1 Datos personales para “Bolsillo” — (Funcionalidad opcional en la Super App)

Si el Titular elige dar de alta y utilizar medios de disposición (por ejemplo, tarjetas) en Bolsillo para consumir productos o servicios dentro de la Super App, se tratará información adicional y específica, estrictamente necesaria para operar pagos y gestiones relacionadas:

Identificador protegido del medio de pago (por ejemplo, token, últimos 4 dígitos y marca)

No se almacenan PAN completos ni códigos de seguridad (CVV) en texto claro; es decir, no guardamos el número completo de tarjeta ni su CVV en forma legible.

Datos transaccionales de cada operación (folio, monto, moneda, fecha y hora, estado del pago, del reembolso y de la conciliación).
Preferencias de cobro y alias del medio de pago.
Datos de facturación (en caso de solicitar CFDI): nombre de la persona física, RFC, régimen fiscal y domicilio fiscal.

Importante: Bolsillo es opcional; sin embargo, es necesario si el Titular desea comprar o pagar dentro de la Super App mediante dichos medios de disposición.

4.1.2 Pagos mediante QR

Cuando se utilicen códigos QR para promociones o accesos, estos podrían incluir parámetros que permiten atribuir campañas o redirigir la navegación.

Si el QR integra identificadores asociados a su cuenta, ello será informado previamente y su uso se limitará a finalidades operativas y de analítica comunicadas al Titular, respetando su derecho de oposición cuando proceda.

4.2 GEOLOCALIZACIÓN

La Super App podría solicitar su ubicación aproximada para habilitar funciones específicas, tales como seguridad de acceso, prevención de fraude y/o mostrar contenidos o servicios disponibles en su zona. Solo accederemos a su ubicación si usted lo autoriza en la Super App o en la configuración de su dispositivo, y, en su caso, en la Mini App a la que ingrese

4.3 SALVAGUARDAS QUE TOKA APLICABLES A ESTE APARTADO

Aclaración legal: los datos patrimoniales y financieros y la geolocalización no se consideran datos personales sensibles por la LFPDPPP; sin embargo, por su naturaleza, se tratan con el mismo nivel reforzado de confidencialidad, cuidado y medidas de seguridad, garantizando en todo momento la protección de la información del Usuario.

Salvaguardas aplicables a este apartado:

Consentimiento informado y granular, cuando corresponda.
Minimización de datos (solo lo estrictamente necesario para la finalidad).
Resguardo reforzado (cifrado, controles de acceso, trazabilidad y conservación por plazos mínimos necesarios).
No conservación innecesaria de valores completos cuando baste un resultado o bandera (por ejemplo, “pago conciliado”, “ubicación habilitada”).
Transparencia: información previa clara sobre qué se trata, para qué, y cómo puede el Titular revocar permisos o limitar su uso.

5. ¿CÓMO OBTENEMOS SUS DATOS PERSONALES?

TOKA obtiene sus Datos Personales únicamente a partir de la información que usted mismo proporciona de manera directa, consciente y voluntaria durante el registro, la configuración de su cuenta, el uso de las funcionalidades de la Super App y la interacción con Mini Appsque formen parte del ecosistema digital.

La Super App no obtiene ni recaba datos personales de fuentes externas, terceros o medios indirectos, salvo aquellos casos en los que usted autorice expresamente la comunicación de datos hacia una Mini App o servicio dentro del propio ecosistema.

El Usuario reconoce y acepta que la información que proporcione deberá ser exacta, verídica, completa y actual, ya que de ello depende la correcta operación de la Super App, la seguridad de su cuenta, la efectividad de los servicios contratados y la protección de su propia identidad digital.

El suministro de datos falsos, incompletos o inexactos puede afectar el funcionamiento de las funciones disponibles, comprometer la seguridad del ecosistema e impedir el acceso a ciertos productos o servicios.

TOKA implementa mecanismos de validación y controles de seguridad que, junto con los datos proporcionados por el propio Usuario, permiten mantener la integridad, confidencialidad y fiabilidad de toda la plataforma, protegiendo en todo momento al Usuario y al ecosistema tecnológico que conforma la Super App.

6. MINI APPS COMO ENCARGADOS DEL TRATAMIENTO DE DATOS PERSONALES

En el ecosistema de la Super App, una Mini App podrá actuar como Encargada únicamente cuando requiera tratar ciertos Datos Personales por cuenta de TOKA, siguiendo instrucciones documentadas y con la finalidad exclusiva de habilitar una funcionalidad específica de la plataforma. En estos casos, el acceso a los datos nunca es automático, sino que depende de la autorización previa, expresa y granular del Usuario y dicho acceso se limita estrictamente a la información necesaria para la función correspondiente. Conforme al principio de responsabilidad previsto en el artículo 4, fracción II de la LFPDPPP y a lo dispuesto en los artículos 29 y 49 a 50 del Reglamento, TOKA determina las finalidades y mediosdel tratamiento, instruye, supervisa y exige que la Mini App Encargada trate los datos únicamente conforme a dichas instrucciones, mantenga estricta confidencialidad, aplique medidas reforzadas de seguridad y elimine o devuelva la información una vez cumplida la función instruida.

En este contexto, se le informa que algunas Mini Apps pueden actuar como Encargadas, mientras que otras operan como Responsables independientes. Esta distinción se explica y aplica de la siguiente forma:

6.1 MINI APPS QUE ACTÚAN COMO ENCARGADAS DE TOKA

Una Mini App podrá actuar como Encargada, conforme al artículo 29, fracción I, del Reglamento únicamente cuando:

Necesite procesar datos personales por cuenta de TOKA,
para habilitar una función propia de la Super App,
siguiendo instrucciones específicas de TOKA,
y siempre con autorización previa, expresa y granular del Usuario.

En estos casos, la Mini App no decide finalidades ni medios del tratamiento.
Su acceso se limita exclusivamente a los datos que el Usuario autorice compartir mediante mecanismos claros como formularios, cuadros de diálogo o check boxes.

La información a la que una Mini App puede acceder como Encargada se limita a datos estrictamente necesarios para la función correspondiente, tales como:

Identificador único del Usuario,
Nombre o alias visible,
Correo electrónico,
Número de teléfono,
Nombre completo,
o cualquier otro dato que la Super App haya informado previamente al Usuario en el flujo de autorización.

Controles aplicables: Estas Mini Apps reciben los datos únicamente para el fin instruido, aplican medidas de seguridad reforzadas, deben eliminar o devolver los datos al concluir la instrucción y están obligadas a mantener confidencialidad, trazabilidad y minimización en todo momento.

El Usuario conserva siempre el control para revocar su autorización desde la Super App o a través de los canales oficiales.

La Mini App, en su carácter de Encargada, únicamente tratará los Datos Personales que el Responsable (TOKA) haya informado previamente al Titular a través del presente Aviso y respecto de los cuales el Usuario haya otorgado su autorización expresa al ingresar a la Mini App, conforme al artículo 11 de la LFPDPPP. Dicho tratamiento se limita estrictamente a las funcionalidades habilitadas y vigentes de la Mini App, y siempre bajo las instrucciones documentadas de TOKA.

6.2 MINI APPS QUE ACTÚAN COMO RESPONSABLES INDEPENDIENTES

De manera separada, existen Mini Apps que ofrecen sus propios productos o servicios dentro de la Super App y que, por ello, definen de forma independiente:

Sus finalidades,
sus medios de tratamiento,
los datos que recaban directamente del Usuario, y
sus propias reglas de operación.

En estos casos, dichas Mini Apps no actúan por cuenta de TOKA, sino como Responsables independientes y aplican:

Su propio Aviso de Privacidad,
sus Términos y Condiciones, y
sus Políticas de uso.

La Super App únicamente funciona como plataforma de acceso, sin intervenir en el tratamiento que estos terceros realicen dentro de su propio entorno.

Toda recopilación, consulta o tratamiento que estas Mini Apps realicen será responsabilidad del proveedor correspondiente, y el Usuario podrá tomar decisiones informadas conforme a los avisos y consentimientos presentados por dicha Mini App antes de continuar.

6.3 REDIRECCIÓN A SERVICIOS EXTERNOS

Cuando el Usuario elige abrir una aplicación o servicio externo desde una Mini App o desde la propia Super App, únicamente se transmite la información mínima indispensable para completar la redirección.

El tratamiento posterior de datos será responsabilidad exclusiva del tercero externo, como Responsable independiente.

TOKA garantiza que:

la información transmitida sea la mínima necesaria,
el flujo sea seguro,
y, cuando corresponda, se solicite consentimiento previo al Usuario para compartir cualquier dato adicional.

6.4 TRANSPARENCIA Y CONTROL DEL USUARIO

En todos los casos, la Super App:

Informa previamente qué Mini App solicita acceso,
explica qué datos requiere y para qué,
permite aceptar o rechazar cada solicitud,
y ofrece al Usuario la posibilidad de revocar su consentimiento en cualquier momento.

De esta forma, las Mini Apps solo acceden a datos personales cuando:

es estrictamente necesario,
el Usuario lo autoriza, y
el tratamiento se realiza conforme al rol que corresponda (Encargado o Responsable independiente).

7. ¿PARA QUÉ UTILIZAMOS SUS DATOS PERSONALES?

En TOKA utilizamos sus Datos Personales para que la Super App funcione de manera segura, confiable e innovadora, y para que usted pueda acceder a sus funciones (incluyendo “Bolsillo”) y conectarse con Mini Apps cuando así lo decida.

A continuación, presentamos las finalidades primarias (indispensables) y las finalidades secundarias (opcionales) del tratamiento.

7.1 FINALIDADES PRIMARIAS (INDISPENSABLES)

Los Datos Personales que usted nos proporciona se emplean principalmente para:

Crear, habilitar y administrar su cuenta de Usuario, permitiendo su acceso seguro a la Super App y manteniendo la integridad de su perfil.
Autenticar su identidad y proteger su sesión, utilizando mecanismos de verificación que previenen suplantaciones, accesos no autorizados y riesgos de fraude.
Permitir su navegación y uso de las funcionalidades básicas y nativas de la Super App, garantizando estabilidad, continuidad, desempeño, personalización operativa y seguridad.
Habilitar la interacción con Mini Apps, transmitiendo únicamente los datos estrictamente necesarios y solo cuando usted otorgue autorización previa, expresa y granular para que dichas Mini Apps actúen, en su caso, como Encargadas.
Procesar pagos dentro de la Super App, incluyendo:

Generación de órdenes,
ejecución de pagos,
confirmación de resultados,
cierre de transacciones,
aplicación de reembolsos,
conciliaciones internas,
emisión de comprobantes.

Aplicable únicamente cuando usted haya activado previamente “Bolsillo”.

Procesar pagos mediante QR, siempre que usted elija este método y haya registrado un medio de pago en “Bolsillo”. El tratamiento incluye únicamente los datos necesarios para ejecutar la transacción y garantizar su seguridad.
Gestionar comunicaciones operativas y de seguridad, como alertas de inicio de sesión, confirmaciones de actividad, avisos de riesgo, notificaciones sobre operaciones o información indispensable para la continuidad de los servicios.
Brindarle soporte técnico y atención, atendiendo solicitudes, incidencias y consultas vinculadas con el uso y funcionamiento de la Super App.
Cumplir obligaciones legales, regulatorias y contractuales aplicables a la operación de la plataforma, incluyendo auditorías internas, mecanismos antifraude, trazabilidad mínima de seguridad (“huellas de auditoría”), y atención a requerimientos de autoridades competentes.

Sin estas finalidades, la Super App no puede funcionar adecuadamente ni ofrecerle un acceso seguro a sus servicios esenciales

7.2 FINALIDADES SECUNDARIAS (OPCIONALES)

Estas finalidades no son indispensables para la creación de su cuenta ni para el funcionamiento esencial de la Super App. Su propósito es mejorar, optimizar y personalizar su experiencia.
Usted puede negarse a estas finalidades ahora o en cualquier momento sin afectar su acceso a las funciones principales.

TOKA podría utilizar sus Datos Personales para:

Activar y configurar el módulo “Bolsillo”, en caso de que usted decida usarlo, lo que incluye la asociación de sus medios de disposición (tarjetas) y la administración inicial de estos.
Habilitar el uso del pago mediante QR como método opcional, cuando el Titular elija este mecanismo.
Personalizar su experiencia, sugiriendo productos, servicios, contenidos o Mini Apps que pudieran ser de su interés, con base en patrones de uso y preferencias no sensibles.
Mejorar la experiencia de navegación, realizando análisis agregados o anonimizados que permitan optimizar la estructura, rutas y funcionamiento general de la Super App.
Desarrollar y evaluar nuevas funcionalidades, mejoras, versiones y herramientas que permitan mantener un ecosistema innovador, ágil y seguro.
Realizar encuestas, estudios internos o análisis estadísticos que ayuden a medir la satisfacción del Usuario, entender comportamientos generales y priorizar desarrollos o mejoras.
Optimizar la atención al Usuario, mejorando tiempos de respuesta, seguimiento y calidad en la gestión de solicitudes e incidencias.
Informarle sobre novedades no esenciales, tales como actualizaciones, recomendaciones de uso, contenidos destacados o promociones disponibles dentro del ecosistema, siempre permitiendo que usted pueda cancelar estos avisos en cualquier momento.
Llevar a cabo evaluaciones internas de cumplimiento y auditoría, utilizando datos agregados, disociados o anonimizados para fortalecer la seguridad, calidad y operación del ecosistema digital.

Si el Usuario no desea que estas finalidades secundarias se lleven a cabo, puede manifestarlo en cualquier momento, sin que ello afecte su acceso a los servicios esenciales de la Super App.

El presente apartado “5” de este Aviso, se hace de su conocimiento en cumplimiento con los artículos 15 fracción III de la “LFPDPPP” y en apego al Principio de Consentimiento referido en los artículos 11 y 12, Fracción II, del Reglamento, así como el Vigésimo, Fracción IV y Vigésimo cuarto de los Lineamientos.

7.3 ¿Desea limitar el uso de sus datos para finalidades secundarias?

Conforme el artículo 15 fracción IV de la LEY, artículo 41 del Reglamento y Vigésimo fracción V y Vigésimo quinto de los Lineamientos, Usted tiene el derecho de oponerse al uso de sus Datos Personales para aquellas finalidades secundarias que no son necesarias para la creación de su cuenta, la navegación dentro de la Super App, la utilización de sus funcionalidades innovadoras o la contratación de productos y servicios a través de Mini Apps.

Para ejercer esta limitación, puede enviar en cualquier momento una solicitud expresa al Departamento de Datos Personales mediante el correo electrónico:

Correo electrónico: pdp@toka.mx,

y recibir orientación, acompañamiento y asesoría a través del:

Teléfono: (33) 3208 0390 ext. 7441

En su mensaje deberá indicar:

Su nombre completo;
En caso de que, además de ser usuario de la Super App, mantenga alguna otra relación con TOKA por la prestación de servicios o productos distintos a la Super App, especifique el producto o servicio correspondiente;
Las finalidades secundarias a las que desea oponerse.

TOKA registrará su decisión en un listado interno de exclusión con la finalidad de asegurar que no reciba comunicaciones o tratamientos relacionados con finalidades secundarias, sin afectar el correcto funcionamiento de la Super App ni los servicios contratados mediante Mini Apps.

Le recordamos que ejercer esta negativa no afectará de ninguna manera los productos o servicios que utilice dentro de la Super App ni se considerará causa para suspender o dar por terminada su relación con TOKA.

8. ¿CON QUIÉN COMPARTIMOS SU INFORMACIÓN?

La Super App de TOKA, en su carácter de Responsable, no comparte Datos Personales de manera automática, indiscriminada o sin justificación. Toda comunicación se realiza únicamente cuando:

es indispensable para operar la Super App o prestar un servicio solicitado por el Usuario;
es ordenada o permitida por la Ley sin requerir consentimiento;
el Usuario lo autoriza expresamente; o
la comunicación se realiza hacia Encargados que operan procesos por cuenta de TOKA bajo instrucciones documentadas.

Cualquier transferencia o remisión de datos personales se realiza bajo estrictas medidas de confidencialidad, seguridad, minimización, y conforme a lo establecido por la LFPDPPP, su Reglamento y el Artículo Vigésimo Sexto, fracciones I y II de los Lineamientos.

8.1 TRANSFERENCIAS QUE NO REQUIEREN SU CONSENTIMIENTO

Con fundamento en los artículos 9 y 36 de la LFPDPPP, TOKA podrá realizar transferencias sin requerir consentimiento del Usuario cuando:

Supuestos conforme al artículo 9 de la LEY:

Cuando una disposición jurídica así lo establezca.
Cuando los datos personales figuren en fuentes de acceso público.
Cuando los datos personales se sometan a un procedimiento previo de disociación.
Cuando los datos personales sean requeridos para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el Titular y el Responsable.
Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes.
Cuando los datos personales sean indispensables para efectuar un tratamiento relacionado con atención médica, prevención, diagnóstico, prestación de asistencia sanitaria o gestión de servicios sanitarios, mientras el Titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones aplicables, y siempre que dicho tratamiento sea realizado por una persona sujeta al secreto profesional u obligación equivalente.
Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente.

Supuestos conforme al artículo 36 de la LEY:

Cuando la transferencia esté prevista en una Ley o Tratado internacional en el que México sea parte.
Cuando la transferencia sea necesaria para la prevención, diagnóstico médico, prestación de asistencia sanitaria, tratamiento médico o gestión de servicios sanitarios.
Cuando la transferencia se realice a sociedades controladoras, subsidiarias o afiliadas bajo el control común del Responsable, o a una sociedad matriz o cualquier sociedad del mismo grupo empresarial que opere bajo los mismos procesos y políticas internas.
Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrarse en interés del Titular, entre el Responsable y un tercero.
Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia.
Cuando la transferencia sea indispensable para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Cuando la transferencia sea necesaria para el mantenimiento o cumplimiento de una relación jurídica entre el Responsable y el Titular.

No será necesario su consentimiento para las transferencias previstas en los artículos 9 y 36 de la LFPDPPP, incluyendo aquellas que se realicen para el cumplimiento de obligaciones contractuales, para atender requerimientos de autoridad competente, o para cumplir finalidades compatibles y necesarias para la operación de la Super App.

Todos los terceros receptores están obligados a asumir las mismas responsabilidades de protección y confidencialidad que TOKA.

8.2 REMISIONES A ENCARGADOS (CUMPLIMIENTO OPERATIVO)

Conforme al Artículo Vigésimo Sexto, fracciones I y II de los Lineamientos, se le informa que TOKA podrá comunicar sus Datos Personales a proveedores, aliados tecnológicos o Mini Apps que actúan como Encargados, exclusivamente para realizar tareas necesarias para la operación de la Super App, como:

habilitar funcionalidades específicas dentro de la plataforma;
procesar pagos, reembolsos, conciliaciones o gestiones relacionadas;
validar identidad o prevenir actividades fraudulentas;
proporcionar infraestructura tecnológica, almacenamiento en la nube, soporte técnico o mensajería operativa;
apoyar actividades internas de seguridad, auditoría y continuidad.

8.3 CONSENTIMIENTO PARA FUTURAS TRANSFERENCIAS

Cuando la transferencia:

no sea necesaria para la relación jurídica con la Super App,
beneficie directamente a un tercero, o
tenga fines adicionales a los informados en este Aviso,

TOKA solicitará su consentimiento previo, específico, individualizado y verificable, mediante:

formularios,
cuadros de diálogo, o
check boxes dentro de la App.

Usted podrá negarse sin afectar las funciones necesarias de la Super App y podrá revocar dicho consentimiento en cualquier momento a través de los canales oficiales.

8.4 MINI APPS COMO RESPONSABLES INDEPENDIENTES

Cuando una Mini App ofrezca sus propios productos o servicios, actuará como Responsable independiente. En estos casos:

Los datos que usted proporcione directamente a esa Mini App
no son comunicados por TOKA ni forman parte de una transferencia;
TOKA solo funciona como plataforma de acceso;
la Mini App define sus finalidades, medios y tratamientos;
su operación se rige por su propio Aviso de Privacidad y Términos, no por los de TOKA.

El Usuario deberá revisar y aceptar las condiciones que la Mini App le presente antes de continuar.

8.5 CLÁUSULA DE ACEPTACIÓN

Al continuar usando la Super App, el Usuario consciente y reconoce que:

Ha sido informado sobre qué transferencias se realizan y en qué casos;
entiende qué transferencias no requieren su consentimiento;
otorga su consentimiento expreso cuando así se le solicite;
sabe que puede revocar su autorización en cualquier momento; y
puede ejercer sus Derechos ARCO y demás facultades a través de los canales oficiales descritos en este Aviso

Asimismo, conforme al artículo 35 de la LEY, se le informa que Usted tiene derecho a decidir si acepta o no que sus datos personales sean transferidos a terceros distintos al Responsable o Encargado , cuando dichas transferencias no se encuentren dentro de los supuestos establecidos en los artículos 9 y 36 de la LEY.

Para ello, le solicitamos indicar su decisión marcando la opción que corresponda:

☐ Sí, consiento que mis datos personales sean transferidos conforme a las finalidades y condiciones establecidas en el presente Aviso de Privacidad.

☐ No consiento que mis datos personales sean transferidos a terceros distintos del Responsable, salvo en los casos legalmente permitidos.

Importante: Si usted no manifiesta su decisión de forma expresa, TOKA podrá interpretar que existe consentimiento tácito únicamente cuando se acredite que tuvo acceso al presente Aviso de Privacidad y que se le informó adecuadamente de sus derechos, de conformidad con el artículo 7, tercer párrafo, de la LEY.

9. ¿QUÉ TECNOLOGÍAS DE RASTREO UTILIZAMOS?

TOKA informa que en su Super App, podrán utilizarse tecnologías de rastreo como cookies, píxeles, web beacons y otros mecanismos similares, con el fin de ofrecerle una experiencia de navegación más eficiente, personalizada y segura.

Estas tecnologías permiten recolectar de forma automática y pasiva ciertos datos técnicos y de comportamiento, tales como:

Tipo de navegador y sistema operativo utilizado
Dirección IP
Localización geográfica aproximada
Fecha, hora y duración de la visita
Secciones o funcionalidades utilizadas
Actividad durante la sesión
Identificadores únicos del dispositivo, cuando aplique

La información obtenida se utiliza para las siguientes finalidades:

Facilitar y optimizar la navegación en nuestros entornos digitales
Personalizar los contenidos y funciones con base en sus intereses
Realizar análisis estadísticos sobre el uso y desempeño de nuestras plataformas
Identificar patrones de uso y preferencias de navegación
Medir la efectividad de nuestras comunicaciones electrónicas

Dichos datos no permiten la identificación directa del titular, salvo que usted proporcione expresamente información personal o que exista una obligación legal que lo justifique.

Usted puede administrar, limitar o desactivar el uso de estas tecnologías desde la configuración de su navegador o dispositivo. No obstante, tenga en cuenta que algunas funcionalidades del sitio o la plataforma pueden verse limitadas como resultado.

Para más información sobre cómo gestionar estas tecnologías, puede consultar los siguientes recursos:

10. ¿CUÁLES SON SUS DERECHOS SOBRE SUS DATOS?

Como Usuario de la Super App, usted tiene en todo momento el derecho a decidir sobre el tratamiento de sus Datos Personales (Derechos ARCO), así como a revocar su consentimiento, limitar su uso o divulgación y recibir información clara sobre cómo se utilizan sus datos dentro del ecosistema digital. Estos derechos se ejercen directamente ante TOKA, en su carácter de Responsable de los datos que usted proporciona o que se generan a través de la propia Super App.

No obstante, es importante distinguir que no todos los datos personales dentro del ecosistema de la Super App son tratados por TOKA. Cuando una Mini App actúa como Responsable independiente al recabar datos personales directamente, o cuando el Usuario decide abrir un servicio o aplicación de un tercero, cualquier dato personal que usted proporcione en ese entorno no es tratado por TOKA, sino por el proveedor correspondiente. En esos casos, el ejercicio de derechos deberá realizarse directamente ante dicho tercero, utilizando los canales oficiales, medios de contacto y procedimientos establecidos en su propio Aviso de Privacidad.

Cuando una Mini App actúe como Encargada de TOKA, el tratamiento se realizará exclusivamente conforme a las instrucciones de TOKA, y los derechos ARCO, así como la revocación del consentimiento, deberán ejercerse ante TOKA, quien gestionará la atención y canalización correspondiente, conforme al principio de responsabilidad establecido en la LFPDPPP.

De esta manera, usted conserva control sobre sus datos personales en todo momento y puede ejercer sus derechos tanto en la Super App como en los servicios externos que usted decida utilizar, siguiendo el mecanismo que corresponda según el rol que desempeñe cada entidad dentro del ecosistema digital.

10.1 ¿CUÁLES SON LOS DERECHOS ARCO?

Como Usuario de la Super App, usted conserva en todo momento sus Derechos ARCO, que le permiten conocer, controlar y decidir sobre el tratamiento de sus Datos Personales dentro del ecosistema digital operado por TOKA.

A continuación, se describen de manera clara y aplicable al funcionamiento de la Super App:

Derecho de Acceso: Conocer qué Datos Personales posee, para qué se utilizan y las condiciones de su uso, así como conocer el Aviso de Privacidad que regula el tratamiento de sus Datos Personales.
Derecho de Rectificación: Usted tiene derecho a solicitar la corrección de su información personal si está desactualizada, es inexacta o incompleta.
Derecho de Cancelación: También tiene derecho a cancelar (eliminar) sus Datos Personales. Sus datos serán eliminados de nuestros archivos, registros, expedientes, sistemas o bases de datos cuando considere que no se están utilizando adecuadamente o ya no desea que sean tratados.

TOKA eliminará los datos de manera segura, sin perjuicio de aquellos que, por obligación legal o motivos de seguridad, deban conservarse por un periodo adicional.

Derechos de Oposición: Usted puede oponerse al tratamiento de sus Datos Personales para fines específicos o por causa legítima.

Asimismo, usted cuenta con otros derechos los cuales podrá solicitar:

Revocar su consentimiento: Para el tratamiento de sus datos personales, salvo en los casos en que dicho tratamiento sea necesario para cumplir con obligaciones legales.

Usted puede revocar el consentimiento otorgado para el tratamiento de sus datos en cualquier momento, salvo cuando dicho tratamiento sea indispensable para:

cumplir una obligación legal,
ejecutar una transacción ya iniciada por usted, o
operar funciones esenciales de seguridad.

La revocación puede gestionarse desde la propia Super App o mediante los canales oficiales indicados en este Aviso.

Limitar el uso o divulgación: Usted puede solicitar a TOKA que limite el uso o divulgación de sus datos personales, especialmente respecto de:

finalidades secundarias,
notificaciones no esenciales,
comunicaciones promocionales, o
configuración granular de permisos otorgados a Mini Apps.

Estos derechos se reconocen en la LEY como Derechos ARCO, los cuales están diseñados para que los Titulares puedan proteger y decidir sobre sus datos personales.

10.2 ¿CÓMO PUEDE EJERCERLOS?

Usted, por disposición legal, puede ejercer en todo momento sus Derechos ARCO. Para proteger su información y garantizar una atención válida y oportuna, su solicitud debe apegarse a los requisitos legales y acreditar su identidad (o, en su caso, la representación legal). En el entorno digital esto implica, como mínimo lo siguiente:

10.2.1 ¿Qué debe contener su solicitud?

Conforme al artículo 27 de la LEY, Usted podrá ejercer sus Derechos ARCO (Acceso, Rectificación, Cancelación u Oposición) así como revocar su consentimiento, mediante:

Un escrito libre, o
A través del Formato de “Solicitud para ejercer los derechos ARCO”, disponible en nuestro portal web www.toka.com.mx.

En cumplimiento del artículo 28 de la LFPDPPP, y con el fin de garantizar una atención adecuada a su solicitud y salvaguardar la seguridadde los Datos Personales tratados por TOKA, la solicitud deberá incluir, al menos, los siguientes elementos:

Nombre completo del titular, o bien del tutor, representante legal o apoderado, anexando documento oficial que acredite su personalidad.
Domicilio o medio electrónico donde desea recibir la respuesta.
Derecho ARCO que desea ejercer (Acceso, Rectificación, Cancelación u Oposición).
Descripción clara y precisa de los datos personales sobre los que solicita ejercer el derecho.

En caso de solicitar la rectificación, deberá indicar qué datos son incorrectos, las modificaciones solicitadas y anexar la documentación que sustente su petición.

Para solicitudes de cancelación u oposición, indicar los datos correspondientes y los motivos por los cuales considera que deben proceder.

Cualquier otro elemento o documento que facilite la localización de los datos.
El medio en el que desea recibir la información: copia simple, documento electrónico u otro formato.

Adicionalmente, y en cumplimiento de la fracción II del artículo 28 de la LFPDPPP, para acreditar correctamente la identidad del Titularde los datos respecto de los cuales se solicita el ejercicio de un derecho, TOKA requiere:

10.2.2 Acreditación de identidad

El Solicitante, al tratarse de un derecho personalísimo, deberá acreditar su identidad mediante cualquiera de los siguientes documentos oficiales vigentes:

Credencial para votar (INE)
Pasaporte
Cédula profesional
Cartilla del Servicio Militar Nacional

10.2.3 ¿Dónde debe enviar su solicitud?

Usted podrá remitir su solicitud de ejercicio de derechos ARCO o de revocación de consentimiento al siguiente correo electrónico habilitado por TOKA:

pdp@toka.mx

Este canal electrónico ha sido habilitado para garantizar un medio Oficial, accesible, eficaz y seguro para la atención de solicitudes relacionadas con el tratamiento de sus datos personales. Una vez recibida su solicitud, TOKA dará respuesta conforme a los plazos y condiciones establecidos en el Procedimiento que se detalla a continuación:

10.2.4 Plazos de respuesta y ejecución

TOKA conforme al artículo 95 del Reglamento de la LEY, le comunicará de acusada su solicitud en un plazo de 1 (un) día hábil (dentro de las 24 horas siguientes a la recepción de la Solicitud) y dará trámite.

Conforme al artículo 96 del Reglamento de la LEY, si la solicitud resulta insuficiente, contiene errores o no incluye la documentación necesaria para acreditar la identidad del Titular, TOKA podrá requerir información adicional una sola vez, dentro de los 5 (cinco) días hábiles siguientes a la recepción. El Titular contará con 10 (diez) días hábiles para atender dicho requerimiento; de no hacerlo, la solicitud se tendrá por no presentada.

En caso de que el Titular atienda el requerimiento, el plazo para dar respuesta comenzará a correr al día siguiente de su cumplimiento. Si no se requiere documentación adicional, la identidad se considerará acreditada con los documentos presentados desde la solicitud inicial.

En términos del artículo 31 de la LEY, TOKA comunicará la resolución procedente o negativa en un plazo máximo de 20 (veinte) días hábiles, contados a partir de la fecha de recepción de su solicitud.

Conforme al artículo 31, segundo párrafo de la LEY, y al artículo 97, Fracción I, del Reglamento, en caso de que TOKA determine necesario ampliar el plazo para responder a la solicitud de ejercicio de derechos ARCO, dicho plazo podrá ampliarse una sola vez por un periodo igual (20 días hábiles), siempre que las circunstancias lo justifiquen. Esta ampliación deberá notificarse dentro del plazo original, contado a partir del día en que se recibió la solicitud.

De igual forma, Usted y conforme a lo establecido en el primer párrafo del artículo 40 de la LEY, podrá presentar una queja ante la Secretaría Anticorrupción y Buen Gobierno o Transparencia para el Pueblo en caso de que considere insatisfactoria la respuesta recibida respecto al ejercicio de sus derechos ARCO o situación distinta relacionada con su solicitud. Para ello, contará con un plazo de 15 (quince) días hábilescontados a partir de la fecha en TOKA le comunique dicha respuesta.

Si TOKA resuelve que su solicitud es procedente, se hará efectiva dentro de los 15 (quince) días siguientes a la fecha en que se le comunicó la resolución.

Tratándose de solicitudes de acceso a sus Datos Personales, TOKA procederá a su entrega, previa acreditación de su identidad o la de su representante legal; procediendo a la expedición de copias simples o documentos electrónicos. Usted deberá cubrir únicamente los gastos justificados de envío y el costo de reproducción en copias y otros formatos.

Conforme al artículo 31, segundo párrafo de la LEY, y al artículo 97, Fracción II, del Reglamento, en caso de que TOKA determine necesario ampliar el plazo para hacer efectiva la respuesta, dicho plazo podrá ampliarse una sola vez por un periodo igual (15 días hábiles), siempre que las circunstancias lo justifiquen. Esta ampliación deberá notificarse dentro del plazo original, contado a partir del día en que se recibió la solicitud.

Cuando TOKA resuelva negar a Usted el acceso a sus Datos Personales o el ejercicio de los demás Derechos ARCO, deberá informarle el motivo de la negativa dentro en un plazo máximo de 20 (veinte) días hábiles contados desde la fecha en que recibió su solicitud, acompañando las pruebas que crea pertinentes.

10.2.5 Respuesta por parte de TOKA

En todos los casos, TOKA deberá dar respuesta a las solicitudes de derechos ARCO que reciba, con independencia de que figuren o no datos personales del titular en sus bases de datos, de conformidad con los plazos anteriormente establecidos.

10.2.6 Entrega de información

En caso de solicitudes de acceso, TOKA entregará los datos previa acreditación de su identidad, mediante copias simples, archivos electrónicos u otro medio señalado en su solicitud. Usted únicamente cubrirá los gastos de envío y, en su caso, los costos de reproducción.

10.2.7 Negativa y causas justificadas

Si su solicitud resulta improcedente o negada, TOKA le informará el motivo de la negativa dentro del mismo plazo de 20 días hábiles, anexando las pruebas que sustenten la decisión, conforme al artículo 33 de la LEY.

10.2.8 Costos

El trámite para ejercer sus derechos ARCO es gratuito. No obstante, si su solicitud implica la reproducción de documentos físicos o el envío de información, usted deberá cubrir únicamente los gastos justificados de reproducción y mensajería.

10.3 ¿CÓMO PUEDE CONTACTAR AL DEPARTAMENTO DE PROTECCIÓN DE DATOS PERSONALES?

Para todo lo relacionado con la protección de sus datos personales, usted puede contactar al Departamento de Datos Personales de TOKA, adscrito a la Dirección de Normatividad, a través de los siguientes medios:

Correo electrónico: pdp@toka.mx
Teléfono: (33) 3208 0390 ext. 7441
Formato Oficial de TOKA disponible: Puede utilizar el formulario “Solicitud para ejercer los derechos ARCO”, disponible en nuestro portal web www.toka.com.mx

10.4 INDEPENDENCIA Y EJERCICIO AUTÓNOMO

Estos derechos son independientes entre sí, pueden ejercerse de manera individual o conjunta, y su ejercicio no está condicionado, limitado ni supeditado a ningún otro trámite dentro de la Super App.

10.5 PERIODO DE BLOQUEO

Conforme a lo dispuesto en el artículo 24 de la LEY y los artículos 105 a 108 del Reglamento, en caso de que usted solicite la cancelación de sus datos personales, éstos permanecerán en nuestros sistemas únicamente el tiempo necesario para cumplir con obligaciones legales,contractuales o de responsabilidad derivadas de su relación con la Super App, o por servicios y productos contratados por separado con TOKAque guarden relación con la utilización de la Super App. Este periodo se conoce como “periodo de bloqueo”.

Para la Super App: Los datos se conservarán únicamente para garantizar la correcta administración de su usuario, el acceso seguro a sus funcionalidades y el cumplimiento de obligaciones esenciales de la plataforma. Una vez cumplidas estas obligaciones, su información será eliminada y se le notificará oportunamente.

Para las Mini Apps y aplicación o servicio externo direccionados desde la Super App: Cada proveedor es responsable del tratamiento de los datos que usted proporcione directamente al contratar un servicio o producto. Si mantiene alguna relación activa con una Mini App, la eliminación de su usuario de la Super App no afecta el tratamiento de sus datos por parte del proveedor, quienes aplicarán sus propios términos, condiciones y Aviso de Privacidad para la conservación o eliminación de la información.

Durante dicho periodo, los datos se conservarán exclusivamente para atender responsabilidades legales derivadas de su tratamiento y no podrán ser utilizados para finalidades distintas. Una vez concluido el periodo de bloqueo y eliminados los datos de nuestros sistemas, TOKA le notificará oportunamente la cancelación definitiva.

10.5.1 TOKA no estará obligado a cancelar tus datos personales cuando:

Conforme al artículo 25 de la LEY, le informamos los casos en los que TOKA no estará obligado a cancelar sus datos personales:

Cuando se refieran a partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento.

Cuando deban ser tratados por disposición legal.
Cuando su cancelación obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, investigaciones o persecución de delitos, o la actualización de sanciones administrativas.
Cuando sean necesarios para proteger los intereses jurídicamente tutelados del Titular.
Cuando sean indispensables para realizar una acción en función del interés público.
Cuando sean necesarios para cumplir con una obligación legalmente adquirida por el Titular.
Cuando sean objeto de tratamiento para la prevención, diagnóstico médico o gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a deber de secreto.

10.6 CAUSAS DE IMPROCEDENCIA

TOKA le informa que, conforme al artículo 33 de la LEY, el ejercicio de los Derechos ARCO puede restringirse por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas, o para proteger los derechos de terceros.

El ejercicio de sus derechos ARCO puede ser considerado improcedente y, por lo tanto, negado, conforme a las siguientes causas:

Cuando la persona titular o el representante legal no estén debidamente acreditados para ello;
Cuando los Datos Personales no se encuentren en posesión del responsable;
Cuando se lesionen derechos de un tercero;
Cuando exista un impedimento legal o resolución de autoridad competente, que restrinja el acceso a los Datos Personales, o no permita la Rectificación, Cancelación u Oposición de los mismos y;
Cuando la Rectificación, cancelación u oposición haya sido previamente realizada.

10.7 ¿CÓMO PUEDE REVOCAR SU CONSENTIMIENTO?

Conforme al artículo 7, último párrafo de la LEY y artículo 21 del Reglamento, Usted podrá revocar en cualquier momento el consentimiento que haya otorgado previamente a TOKA para el tratamiento de sus datos personales, siempre que no exista una disposición legal o contractualque lo impida. Es importante destacar que esta revocación aplica directamente al tratamiento de sus datos dentro de la Super App. Si usted mantiene relaciones o ha contratado productos o servicios a través de Mini Apps, cualquier tratamiento de datos asociado a estas aplicaciones de terceros estará sujeto a los términos, condiciones y políticas de privacidad específicas de cada proveedor, por lo que deberá consultar directamente con ellos sobre la revocación de su consentimiento en esos casos.

Para ello, deberá seguir el procedimiento descrito en la sección “¿Cómo puede ejercer sus derechos ARCO?”, enviando su solicitud al Departamento de Datos Personales al correo electrónico:

Correo electrónico: pdp@toka.mx

y tiene la oportunidad y a su alcance la siguiente línea telefónica para efectos de recibir acompañamiento, asesoría y apoyo para el caso de que lo requiera:

Teléfono: (33) 3208 0390 ext. 7441

Al recibir su solicitud, TOKA evaluará si es procedente, y de ser así, adoptará las medidas necesarias para cesar el tratamiento de sus datos, sin afectar el cumplimiento de obligaciones legales o contractuales previamente adquiridas.

Nota: La revocación del consentimiento puede implicar la imposibilidad de continuar utilizando ciertos servicios o funcionalidades. En tal caso, TOKA le informará oportunamente sobre las consecuencias de su decisión.

11. ¿PUEDE OPONERSE A TRATAMIENTOS DE DATOS AUTOMATIZADOS?

Usted también tiene derecho a oponerse al tratamiento automatizado de sus datos que afecte significativamente sus derechos o intereses, conforme a la legislación aplicable.

12. ¿DÓNDE PUEDE PRESENTAR UNA QUEJA?

Si usted considera que sus derechos han sido vulnerados por alguna conducta de TOKA o presume una violación a las disposiciones legales en materia de protección de datos personales, podrá presentar una queja o reclamación directamente ante nuestro Departamento de Datos Personales, a través de:

Correo electrónico: pdp@toka.mx
Teléfono: (33) 3208 0390 ext. 7441

De igual forma, Usted, conforme a lo establecido en el primer párrafo del artículo 40 de LEY, podrá presentar una queja ante la Secretaría Anticorrupción y Buen Gobierno o Transparencia para el Pueblo en caso de que considere insatisfactoria la respuesta recibida respecto al ejercicio de sus derechos ARCO, vulneración de sus datos o situación distinta relacionada en materia de Protección de datos Personales.

13. ¿CÓMO PROTEGEMOS SU INFORMACIÓN PERSONAL?

Medidas de seguridad administrativas, técnicas y físicas

TOKA le informa que ha implementado medidas de seguridad administrativas, técnicas y físicas adecuadas para proteger sus datos personales contra daño, pérdida, alteración, destrucción o uso, acceso y tratamiento no autorizados.

Estas medidas están diseñadas conforme a los principios establecidos por la LEY y su Reglamento, y en ningún caso son inferiores a las que TOKA utiliza para proteger su propia información.

Notificación de vulneraciones de seguridad

En caso de presentarse una vulneración que ponga en riesgo la seguridad de sus datos personales que pueda afectar de manera significativa sus derechos patrimoniales y de seguridad jurídica, TOKA le notificará de manera inmediata a través de medios físicos, electrónicos, sonoros o verbales, a fin de que usted pueda ejercer sus derechos ARCO y adoptar las medidas necesarias para proteger sus datos y su integridad.

13.1 ¿CÓMO PUEDE LIMITAR EL USO O DIVULGACIÓN DE SUS DATOS?

Además del ejercicio de sus derechos ARCO, usted puede registrar sus datos en los siguientes padrones públicos, diseñados para limitar el uso y divulgación de su información con fines publicitarios o mercadotécnicos:

Registro Público para Evitar Publicidad (REPEP) de la PROFECO: https://repep.profeco.gob.mx

14. ¿CUÁNTO TIEMPO CONSERVAMOS SU INFORMACIÓN?

TOKA, su privacidad es prioridad. Le informamos que, en cumplimiento de los artículos 25, fracción II, y 26 de la LEY, así como el artículo 37 del Reglamento, su información personal se conservará únicamente por el tiempo necesario para cumplir con las obligaciones derivadas de la relación con la Super App.

Este periodo podrá ampliarse únicamente si existe una disposición legal o contractual que lo requiera.
- En caso de que su información esté vinculada a algún procedimiento judicial, administrativo o de otra índole, la conservación se suspenderáhasta la resolución definitiva.

Durante este periodo, TOKA aplicará medidas estrictas de seguridad técnicas, administrativas y físicas que garanticen la confidencialidad, integridad y disponibilidad de sus datos, en apego a nuestras políticas internas de conservación y reserva.

Toda la información que proporcione para la creación de su usuario o para la utilización de las funcionalidades de la Super App será protegida bajo estos estándares.

Si mantiene relaciones o contrata productos o servicios a través de Mini Apps de terceros, es importante consultar sus políticas de privacidad y términos de uso, ya que la conservación de sus datos en esas plataformas dependerá de los proveedores respectivos.

Adicionalmente, TOKA podrá solicitar y conservar copias de documentación relacionada con sus datos personales únicamente cuando sea necesaria para el uso de ciertas funcionalidades o servicios específicos de la Super App. Esta medida no aplica para la creación o navegación básica de su cuenta.

15. CAMBIOS AL AVISO DE PRIVACIDAD (GESTIÓN Y COMUNICACIÓN EN LA SUPER APP)

TOKA se reserva el derecho de modificar, actualizar o complementar en cualquier momento el presente Aviso de Privacidad, ya sea como resultado de:

Cambios legislativos o regulatorios.
Nuevas disposiciones emitidas por autoridades competentes.
Modificaciones internas en políticas, procesos o estructura organizacional.
Cambios en las finalidades del tratamiento o en el tipo de datos personales recabados.
Evolución del ecosistema digital, incluyendo la incorporación de nuevas funcionalidades, Mini Apps, medios de disposición (p. ej., Bolsillo y pagos por QR), ajustes de seguridad o cambios en la arquitectura tecnológica.

15.1 ¿CÓMO GESTIONAMOS LOS CAMBIOS (CONTROL DE VERSIONES Y TRAZABILIDAD)?

Control de versiones: cada actualización del Aviso contará con número de versión y fecha de entrada en vigor.
Historial y acceso a versiones previas: mantendremos un repositorio accesible de versiones anteriores (“Historial de Aviso”) para consulta.
Bitácoras y huellas de auditoría: la plataforma registra fecha/hora, versión mostrada, usuario y resultado (aceptado, pospuesto), con fines de trazabilidad, auditoría y cumplimiento.
Pruebas y despliegue controlado: antes de publicar, se aplican controles de cambio (QA, revisión legal, validación de seguridad) y despliegue escalonado, evitando afectaciones a la operación

15.2 ¿CÓMO LE INFORMAMOS (MECANISMOS DE NOTIFICACIÓN)

En caso de modificaciones sustanciales, se le informará mediante cualquiera de los siguientes medios:

Avisos en la Super App: se comunicará dentro de la aplicación mediante banners, mensajes emergentes (pop‑ups) o centro de notificaciones.
Sitio web oficial: https://www.toka.com.mx/ publicación de la versión vigente.
Correo electrónico (cuando corresponda): envío dirigido a Usuarios registrados para cambios relevantes.
Canales alternos: cuando aplique, notificación en Mini Apps de TOKA que actúen como Encargadas.
Correo electrónico, llamadas telefónicas o mensajes por medios electrónicos o escritos.
Medios impresos u ópticos que la tecnología permita, actualmente o en el futuro.

TOKA no será responsable si no recibe la notificación por fallas en su correo electrónico, proveedor de servicios de internet, o cualquier otra causa fuera de nuestro control.

Por ello, le recomendamos revisar periódicamente este Aviso o contactarnos directamente en:

pdp@toka.mx

15.3 ¿DÓNDE PUEDE PRESENTAR UNA INCONFORMIDAD?

Si usted considera que su derecho a la protección de datos personales ha sido vulnerado, podrá presentar su queja ante la Secretaría de Anticorrupción y Buen Gobierno o Transparencia para el Pueblo.

TOKA le sugiere visitar los sitios oficiales:

Más información en:

https://transparencia.gob.mx
https://www.gob.mx/buengobierno

15.4 AVISO SIMPLIFICADO

Conforme a lo dispuesto en el artículo 16, fracción II de la “Ley”, el artículo 25 del Reglamento, y en cumplimiento del Principio de Información previsto en los Lineamientos del Aviso de Privacidad, TOKA podrá poner a disposición del Titular un Aviso de Privacidad Simplificado en los puntos donde, por primera vez, se recaben Datos Personales dentro de la Super App (por ejemplo, pantallas de registro, inicio de sesión, activación de “Bolsillo”, pago mediante QR, o cuando una Mini App solicite datos con autorización expresa). Este Aviso Simplificado presentará, de manera breve, clara y accesible, la identidad de TOKA como Responsable, las finalidades principales del tratamiento en el flujo específico, y los mecanismos o enlaces directos para consultar el Aviso de Privacidad Integral, donde se detalla el tratamiento completo y los derechos del Titular (incluidos los Derechos ARCO, revocación del consentimiento y limitación del uso o divulgación).

El Aviso Simplificado podrá mostrarse mediante enlaces, banners, mensajes emergentes (pop‑ups) o accesos dentro de la Super App, así como en el sitio web oficial, correos electrónicos transaccionales, versiones impresas en puntos de atención o cualquier otro medio idóneo, garantizando transparencia, accesibilidad y cumplimiento normativo. Cuando el flujo lo requiera (por ejemplo, nuevas finalidades o nuevas categorías de datos), se solicitará la aceptación expresa del Titular con controles claros (formularios, cuadros de diálogo o check boxes), y se conservarán huellas de auditoría (fecha/hora, versión del Aviso mostrado, identificador de cuenta y resultado de la acción) para fines de trazabilidad y cumplimiento.

Fecha de última actualización: 02/03/2026

4.1.1 Datos personales para “Bolsillo” — (Funcionalidad opcional en la Super App)

¿Ya tienes la Super App Toka?

Un mundo de posibilidades

DA CLIC EN TU TIENDA DE APP