Versión 2026-05-18 · vigente desde el 2026-05-18.
Aviso de Privacidad Integral
Este documento describe quién recopila tus datos en Origen Market, para qué los usamos, con quién los compartimos y cómo puedes ejercer tus derechos sobre ellos.
1. Identidad y domicilio del responsable
XHIBIT METEPEC, S. de R.L. de C.V. (en adelante “el responsable”), operando bajo la marca comercial Origen Market con la operación de Thor Urbana (fundado en 2019), es el responsable del tratamiento de los datos personales que se recaban a través del sitio https://origenmarket.mx.
Domicilio para oír y recibir notificaciones:
Av. Paseo de la Reforma 2620, piso 16
Lomas Altas, Miguel Hidalgo
11950 Ciudad de México, México
Tel. +52 55 6706 7473
Para cualquier asunto relacionado con la protección de tus datos personales puedes escribirnos a erodriguez@thorurbana.com.
2. Datos personales que recabamos
Los datos que recabamos directamente de ti dependen del flujo en el que te encuentres:
- Visitantes del marketplace: dirección IP, datos del navegador (user agent), cookies estrictamente necesarias para el funcionamiento del sitio y, si lo consientes, cookies analíticas.
- Marcas solicitantes: nombre del responsable de la marca, correo electrónico, teléfono (opcional), contraseña (cifrada con bcrypt en nuestra base de datos), nombre comercial de la marca, descripción del proyecto, categoría, ciudad base, fotografías del producto, URL de sitio web e Instagram (opcionales).
- Marcas aprobadas que reservan stand: datos fiscales (RFC, CLABE bancaria), confirmación de pago de Stripe (sin almacenar datos de tarjeta — Stripe los procesa directamente bajo su propio aviso).
- Personal interno (staff): para acceso al panel administrativo a través de Microsoft Entra ID, nombre, correo corporativo y tenant ID que valida que perteneces a Thor Urbana.
Datos sensibles: las fotografías que las marcas suben para la curaduría pueden incluir imágenes de personas identificables (la fundadora detrás de la marca, clientes en el local, etc.). Las tratamos como datos sensibles y nunca las publicamos sin tu consentimiento expreso específico (ver Sección 4).
3. Finalidades del tratamiento
Finalidades primarias y necesarias (sin las cuales no podemos prestar el servicio):
- Recibir y curar tu solicitud para ser marca expositora.
- Crear y mantener tu cuenta en el portal del expositor para que puedas reservar stands y dar seguimiento a tus reservaciones.
- Procesar pagos vía Stripe y emitir la factura fiscal correspondiente.
- Comunicarte cambios operativos (fechas, ubicación, logística del evento) por correo electrónico.
- Aplicar medidas de seguridad: detectar intentos de acceso no autorizado, prevenir fraude, auditar accesos al panel administrativo (registro inmutable interno).
- Cumplir obligaciones fiscales y contables.
Finalidades secundarias (requieren tu consentimiento expreso y son opcionales — puedes desactivarlas en cualquier momento sin perder el acceso al servicio):
- Envío de boletines, novedades de próximas ediciones y oportunidades comerciales relacionadas con Origen Market.
- Análisis estadístico anónimo del uso del sitio (Google Analytics con IP anonimizada).
- Publicación en el directorio público
/marketplace/marcasdel nombre de tu marca, categoría, ciudad y fotografías que hayas marcado explícitamente como “publicables” (solo después de la aprobación de tu marca y de tu confirmación específica).
4. Transferencias de datos a terceros
Para prestar el servicio compartimos algunos datos con los siguientes encargados, todos ubicados fuera de México. La transferencia es necesaria para el cumplimiento de la relación jurídica (art. 37, fracción VI de la LFPDPPP):
| Encargado | País | Datos compartidos | Finalidad |
|---|---|---|---|
| Stripe Payments Inc. | EE. UU. | email, nombre, monto, payment intent | Procesar pagos |
| Amazon Web Services, Inc. | EE. UU. | Almacenamiento de fotos (S3), envío de correos (SES), base de datos (RDS), logs (CloudWatch) | Infraestructura de hospedaje |
| Sentry, Inc. | UE / EE. UU. | Trazas de error técnicas (sanitizadas para excluir email/teléfono/CLABE/contraseña) | Monitoreo de errores |
| Google LLC (Google Analytics 4) | EE. UU. | Dirección IP anonimizada, eventos de navegación | Métricas anónimas de uso (solo si consientes cookies analíticas) |
| Microsoft Corporation | EE. UU. / UE | Email corporativo de personal staff | Inicio de sesión SSO interno (solo aplica a staff de Thor Urbana) |
Todos los encargados están obligados contractualmente a mantener confidencialidad y aplicar medidas de seguridad equivalentes o superiores a las nuestras.
5. Derechos ARCO (Acceso, Rectificación, Cancelación, Oposición)
Como titular de los datos puedes ejercer en cualquier momento los siguientes derechos:
- Acceso: solicitar copia de los datos que tenemos sobre ti.
- Rectificación: corregir datos inexactos o incompletos. Para correos, teléfonos, CLABE y otros campos del perfil de marca, puedes editarlos tú mismo en
/portal/profile. - Cancelación: solicitar la eliminación de tu cuenta y datos. Algunos datos los conservaremos durante el plazo mínimo legal aplicable (5 años para registros contables, según el Código Fiscal de la Federación).
- Oposición: oponerte al uso de tus datos para fines específicos (por ejemplo, oponerte al envío de boletines manteniendo tu cuenta activa).
Para ejercer cualquiera de estos derechos, escribe a erodriguez@thorurbana.com o utiliza el formulario en /legal/derechos-arco. Tenemos hasta 20 días hábiles para responder a tu solicitud y 15 días hábiles adicionales para hacer efectivo el derecho. Si lo solicitas, te entregamos tus datos en formato electrónico estructurado.
6. Plazos de conservación
- Marcas con solicitud pendiente sin actividad por 90 días: auto-rechazo + borrado de fotos a los 30 días del rechazo.
- Marcas rechazadas: conservamos nombre, correo y motivo de rechazo durante 12 meses con fines de auditoría; las fotografías se borran al momento del rechazo.
- Marcas activas con reservaciones: 5 años desde la última reservación (obligación fiscal CFDI).
- Personal staff: mientras tu cuenta esté activa más 90 días post-baja.
- Logs técnicos: 30 días.
- Logs de auditoría (cambios sensibles en el panel admin): 90 días.
7. Medidas de seguridad
Aplicamos medidas técnicas, administrativas y físicas para proteger tus datos:
- Cifrado en tránsito (TLS 1.2+) en todas las comunicaciones.
- Cifrado en reposo (AWS-managed keys) para base de datos y almacenamiento.
- Hashing de contraseñas con bcrypt; nunca almacenamos contraseñas en texto claro.
- Control de acceso por roles (admin, finanzas, curaduría, coordinación) con restricciones por ciudad.
- Backups automáticos con vault de respaldo bloqueado contra eliminación accidental o maliciosa.
- Monitoreo de errores y alertas operativas.
8. Cookies
Utilizamos cookies estrictamente necesarias para el funcionamiento del sitio (sesión, CSRF) sin las cuales no podemos atenderte. Adicionalmente, si lo consientes, usamos cookies analíticas anónimas (Google Analytics). Puedes revisarlas y desactivarlas en el banner de cookies que aparece la primera vez que visitas el sitio, o en cualquier momento desde /legal/cookies.
9. Cambios al aviso
Podemos actualizar este aviso. Cuando lo hagamos, publicaremos la nueva versión en esta misma URL y, para cambios sustanciales, te avisaremos por correo electrónico antes de que entren en vigor. La versión vigente y su fecha aparecen al inicio de este documento.
10. Contacto del DPO (Delegado de Protección de Datos)
Para cualquier asunto relacionado con la protección de tus datos personales, incluyendo solicitudes ARCO, dudas sobre el tratamiento o reclamaciones, puedes contactarnos en:
Si consideras que tu derecho a la protección de datos personales ha sido vulnerado, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en home.inai.org.mx.
Última actualización: 2026-05-18. Este aviso fue redactado siguiendo los lineamientos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y los artículos 15-17 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).