Aviso de Privacidad

TRUSTLAYER FOUNDATION, A.C., constituida mediante el Instrumento número 6,999, Volumen 159, Folio 145, de fecha 20 de marzo de 2026, ante la fe del Lic. Javier Vázquez Mellado Mier y Terán, Notario Público Interino número 175 del Estado de México, con domicilio en Sierra Mojada 405, Piso 3, Col. Lomas de Chapultepec, C.P. 11000, Ciudad de México, México (en lo sucesivo, el "Responsable"), es responsable del tratamiento, uso y protección de los datos personales que se recaben a través de los sitios web aria.bar, api.aria.bar, registry.aria.bar y trustlayer.foundation y de los distintos medios digitales relacionados con el Protocolo ARIA, en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

I. Datos personales tratados

El Responsable podrá recabar y tratar las siguientes categorías de datos personales:

Datos de identificación

• Nombre.
• Alias.
• Identificadores digitales: datos electrónicos que permiten identificar o hacer identificable a una persona o a sus dispositivos dentro de entornos digitales, tales como direcciones IP, identificadores de dispositivos, cookies o tecnologías similares.

Datos de contacto

• Correo electrónico.
• Número de teléfono.

Datos técnicos

• Dirección IP.
• Identificadores de dispositivo: datos técnicos únicos asociados a un equipo electrónico, permitiendo distinguir o reconocer un dispositivo dentro de una red.
• Logs de interacción.

Datos de autenticación

• Claves públicas.
• Credenciales verificables.
• Firmas digitales.

El tratamiento se realizará bajo principios de licitud, finalidad, proporcionalidad y responsabilidad, privilegiando en todo momento la minimización y soberanía de los datos.

Por dato personal se entiende cualquier información que permita identificar directa o indirectamente a una persona. Esta definición incluye tanto los datos que usted proporciona de manera directa, como aquellos que pueden generarse al interactuar con nuestros servicios digitales.

II. Recolección de información voluntaria y sensible

Además de los datos antes mencionados, el usuario podrá proporcionar información adicional de manera voluntaria al utilizar campos abiertos o interactuar con el asistente de inteligencia artificial.

III. Finalidades del tratamiento

Los datos personales serán utilizados para las siguientes finalidades:

• Gestión de identidad digital y autenticación dentro del Protocolo ARIA.
• Operación técnica.
• Validación de credenciales verificables.
• Soporte técnico y atención a usuarios.

Implementación de patrones avanzados, incluyendo:

• Agentes multiprincipales (separación de contextos de identidad).
• Certificación de modelos conforme a marcos regulatorios aplicables.
• Interoperabilidad entre sistemas mediante el uso de estándares tecnológicos (incluyendo, de manera enunciativa mas no limitativa, SPIFFE o equivalentes).

IV. Uso de cookies y tecnologías de rastreo

El sitio web utiliza cookies y tecnologías similares para facilitar su funcionamiento, mejorar la experiencia del usuario y generar estadísticas de uso. Estas tecnologías no recaban datos personales sensibles ni permiten la identificación directa del titular. Usted puede deshabilitarlas desde la configuración de su navegador.

V. Medidas de seguridad y verificación offline

Con fundamento en el artículo 19 de la LFPDPPP, el Responsable ha implementado medidas de seguridad administrativas, técnicas y físicas razonables para proteger los datos personales contra daño, pérdida, alteración, destrucción o uso, acceso o tratamiento no autorizado.

Específicamente para el protocolo ARIA, estas medidas incluyen:

• Seguridad Post-Cuántica Nativa: Uso de algoritmos ML-DSA-65 + Ed25519 (FIPS 204/203/205).
• Privacidad por Diseño (Offline-First): Las credenciales ARIA son autónomas y verificables sin conexión a la red.
• Verificación Física: Uso de códigos QR para validación de agentes en entornos físicos sin comprometer la integridad del canal digital.
• Anclaje de Confianza: El DNS es el ancla principal del protocolo, utilizando el método did:aria como identificador canónico y did:web como puente de compatibilidad. Las credenciales se anclan a dominios verificados mediante registros DNS TXT.
• Registro de Confianza (Trust Ledger): El protocolo mantiene un registro de solo adición (append-only) de eventos del ciclo de vida de las credenciales (emisión, renovación, suspensión, revocación, expiración). Este registro contiene únicamente identificadores criptográficos (SAIDs) y marcas de tiempo, no datos personales directos.

VI. Transferencia de datos y encargados

Los datos podrán ser compartidos con terceros cuando resulte necesario para la operación e interoperabilidad del protocolo, conforme al artículo 37 de la LFPDPPP.

Asimismo, el Responsable podrá apoyarse en proveedores tecnológicos que actuarán como encargados del tratamiento, quienes estarán sujetos a obligaciones de confidencialidad y seguridad de la información.

VII. Conservación de la información

El Responsable conservará los datos personales únicamente durante el tiempo necesario para cumplir con las finalidades descritas y conforme a obligaciones legales aplicables.

Se garantiza la estabilidad de los endpoints de API (v1) por un periodo mínimo de 5 años y el soporte de credenciales por versiones principales durante al menos 36 meses.

VIII. Uso de inteligencia artificial

El asistente ARIA opera mediante el uso de modelos de inteligencia artificial que generan respuestas con base en la información proporcionada por el Titular durante su interacción con la plataforma.

Las respuestas generadas tienen un carácter informativo y automatizado, por lo que pueden contener imprecisiones, omisiones o no resultar aplicables a casos concretos. En consecuencia, no constituyen asesoría profesional ni sustituyen el criterio humano.

El Responsable podrá tratar la información proporcionada por el Titular a través de dichas interacciones únicamente para las finalidades señaladas en el presente Aviso de Privacidad, incluyendo la operación, mejora y funcionamiento de los sistemas.

El Responsable no será responsable por el uso, interpretación o decisiones que el Titular adopte con base en la información generada por los sistemas de inteligencia artificial.

El Responsable no garantiza la exactitud, integridad o idoneidad de las respuestas generadas, ni será responsable por decisiones tomadas con base en dichas interacciones.

IX. Derechos ARCO

El titular podrá ejercer sus derechos de Acceso, Rectificación, Cancelación u Oposición, así como revocar su consentimiento, mediante solicitud que deberá contener:

• Nombre del titular y medio de contacto.
• Documentos que acrediten su identidad.
• Descripción clara del derecho que desea ejercer.

Las solicitudes podrán presentarse en el domicilio del Responsable o a través del portal: aria.bar. El Responsable dará respuesta conforme a los plazos establecidos en la LFPDPPP.

X. Limitación del uso o divulgación

El titular podrá solicitar la limitación del uso o divulgación de sus datos personales mediante los mismos medios señalados para el ejercicio de derechos ARCO.

XI. Uso por menores de edad

El Protocolo ARIA no está dirigido a menores de edad. En caso de que se detecte el tratamiento de datos personales de menores sin consentimiento de sus representantes legales, estos serán eliminados.

XII. Ley aplicable y jurisdicción

El presente aviso se rige por las leyes de los Estados Unidos Mexicanos. Cualquier controversia será sometida a los tribunales competentes de la Ciudad de México.

XIII. Cambios al aviso

El presente Aviso de Privacidad podrá ser modificado o actualizado en cualquier momento, en términos del artículo 16, fracción VI de la LFPDPPP, derivado de cambios legales o en las operaciones del sitio web. Las modificaciones se publicarán de manera directa en aria.bar, señalando la última fecha de actualización.