Política de Privacidad

Última actualización: 15 de agosto de 2025

1. Información del Responsable del Tratamiento

WineLoyalty, así como sus sociedades subsidiarias y afiliadas, con domicilio ubicado en: Av. Gavilán No 151-9A Col. Guadalupe del Moral 09300, Iztapalapa, CDMX, en cumplimiento con las leyes de protección de datos aplicables, incluyendo la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), el Reglamento General de Protección de Datos (GDPR), y la Ley de Privacidad del Consumidor de California (CCPA/CPRA).

WineLoyalty protege y salvaguarda sus datos personales implementando medidas técnicas y organizacionales apropiadas para evitar el daño, pérdida, destrucción, robo, extravío, alteración, así como el tratamiento no autorizado.

2. Descripción del Servicio y Usuarios

WineLoyalty es una plataforma de fidelización dirigida específicamente al personal de restaurantes. Nuestros usuarios principales son:

• Meseros y staff de restaurantes que utilizan la app móvil para escanear códigos QR de productos de vino recomendados
• Gerentes de restaurantes que validan y aprueban los puntos del personal
• Propietarios de restaurantes que gestionan múltiples ubicaciones y equipos
• Administradores del sistema que supervisan la plataforma

El sistema permite al personal de restaurantes obtener puntos de lealtad por recomendar exitosamente productos de vino a clientes, creando un incentivo para mejorar las ventas y el servicio.

3. Información que Recopilamos

Datos de Registro y Perfil:

• Nombre completo y datos de contacto (email, teléfono)
• Rol en el restaurante (mesero, gerente, propietario)
• Restaurante(s) de afiliación y permisos de acceso
• Información de autenticación y credenciales de acceso

Datos de Uso de la Aplicación Móvil:

• Escaneo QR: Códigos QR escaneados, productos recomendados, timestamp
• Ubicación: Localización del dispositivo durante el escaneo (solo con permiso)
• Cámara: Acceso temporal para escaneo de códigos QR
• Puntos de lealtad: Historial de puntos obtenidos, validaciones, canjes
• Actividad: Sesiones de usuario, funciones utilizadas, rendimiento

Datos Técnicos del Dispositivo:

• Identificadores del dispositivo y sistema operativo
• Información de la aplicación (versión, configuración)
• Direcciones IP y datos de conexión
• Logs de errores y diagnósticos técnicos

Datos de Restaurante y Transacciones:

• Información del restaurante (nombre, ubicación, configuración)
• Historial de transacciones y validaciones
• Estadísticas de rendimiento del personal
• Datos de inventario y catálogo de productos

Base Legal del Tratamiento: El procesamiento se basa en el cumplimiento contractual para la prestación del servicio, consentimiento explícito para funciones opcionales, e intereses legítimos para mejorar el servicio y prevenir fraude.

4. Finalidades del Tratamiento

Finalidades Principales:

• Prestación del servicio: Funcionalidad de escaneo QR y gestión de puntos
• Autenticación y seguridad: Verificación de identidad y protección de cuentas
• Gestión de roles: Control de acceso según permisos del personal
• Validación de transacciones: Verificación de escaneos y aprobación de puntos
• Comunicación del servicio: Notificaciones sobre puntos y actualizaciones

Finalidades Secundarias (requieren consentimiento adicional):

• Marketing personalizado: Ofertas y promociones dirigidas
• Análisis y mejoras: Estadísticas de uso para optimizar el servicio
• Investigación de mercado: Encuestas y estudios de satisfacción

Tratamiento Automatizado: Utilizamos sistemas automatizados para la validación de códigos QR, detección de fraude, y cálculo de puntos. No realizamos toma de decisiones automatizadas que produzcan efectos legales significativos sin intervención humana.

5. Permisos de la Aplicación Móvil

Permisos Esenciales:

• Cámara: Requerido para escanear códigos QR de productos. Se accede solo durante el escaneo
• Almacenamiento: Para funcionalidad offline y cache de datos del usuario
• Internet: Para sincronización con servidores y funcionalidad en tiempo real

Permisos Opcionales:

• Ubicación: Para verificar escaneos en el restaurante correcto (puede desactivarse)
• Notificaciones Push: Para alertas de puntos y actualizaciones (puede desactivarse)
• Micrófono: Solo si se implementan funciones de voz futuras (actualmente no usado)

Gestión de Permisos: Puede revisar y modificar permisos en la configuración de su dispositivo. La denegación de permisos esenciales puede limitar la funcionalidad de la aplicación.

6. Compartición de Datos y Terceros

Proveedores de Servicios:

• Servicios de backend: Para base de datos y autenticación
• Proveedores de hosting: Para almacenamiento seguro de datos
• Servicios de notificaciones: Para mensajes push (Firebase/APNs)
• Servicios de análisis: Para métricas de rendimiento y uso
• Proveedores de mapas: Para servicios de geolocalización

Compartición Interna:

• Entre restaurantes del mismo grupo empresarial
• Con gerentes y propietarios según jerarquía organizacional
• Para soporte técnico y administración del sistema

Transferencias Legales:

• Por requerimiento de autoridades competentes
• Para cumplimiento de obligaciones legales o fiscales
• En caso de fusión, adquisición o reestructuración empresarial

No Vendemos Datos: No vendemos, alquilamos o compartimos comercialmente sus datos personales con terceros para fines de marketing directo sin su consentimiento explícito.

7. Transferencias Internacionales

Sus datos pueden ser transferidos y procesados en países fuera de su jurisdicción de residencia, incluyendo México, Estados Unidos, y países de la Unión Europea, siempre implementando las siguientes salvaguardas:

• Cláusulas Contractuales Tipo: Contratos que garantizan protección equivalente
• Decisiones de Adecuación: Países con nivel adecuado de protección reconocido
• Certificaciones de Privacidad: Marcos como Privacy Shield (donde aplicable)
• Consentimiento Explícito: Para transferencias no cubiertas por otros mecanismos

Detección Regional: Nuestro sistema detecta automáticamente su ubicación para aplicar las protecciones legales más apropiadas según las leyes locales de protección de datos.

8. Retención de Datos

Períodos de Retención por Categoría:

• Datos de cuenta activa: Durante la relación contractual más 1 año
• Puntos de lealtad validados: Se mantienen mientras haya actividad, expiran después de 12 meses sin nuevos puntos
• Datos de transacciones: 7 años para cumplimiento fiscal y auditoría
• Logs técnicos: 2 años para soporte y seguridad
• Datos de marketing: Hasta revocación del consentimiento
• Datos legales: Según períodos de prescripción legal aplicables

Criterios de Retención:

• Necesidad para prestación del servicio contratado
• Cumplimiento de obligaciones legales y fiscales
• Protección de derechos legítimos de WineLoyalty
• Consentimiento específico del titular de datos

Eliminación Segura: Al finalizar los períodos de retención, los datos se eliminan de forma segura e irrecuperable usando técnicas de borrado certificadas.

9. Sus Derechos de Privacidad

Derechos GDPR (Usuarios UE):

• Acceso: Obtener copia de sus datos personales
• Rectificación: Corregir datos inexactos o incompletos
• Supresión: "Derecho al olvido" bajo ciertas condiciones
• Limitación: Restringir el procesamiento en casos específicos
• Portabilidad: Recibir datos en formato estructurado y transferirlos
• Oposición: Oponerse al procesamiento basado en intereses legítimos

Derechos CCPA/CPRA (Usuarios de California):

• Conocer: Qué datos se recopilan y cómo se usan
• Eliminar: Solicitar eliminación de datos personales
• Opt-out: Rechazar venta/compartición de datos
• No discriminación: Mismo servicio independiente del ejercicio de derechos
• Corrección: Rectificar datos personales inexactos

Derechos ARCO (Usuarios de México):

• Acceso: Conocer datos personales en tratamiento
• Rectificación: Solicitar corrección de datos
• Cancelación: Solicitar eliminación de datos
• Oposición: Oponerse a ciertos tratamientos

Ejercicio de Derechos: Para ejercer cualquier derecho, contáctenos a privacidad@wineloyalty.com. Responderemos dentro de 30 días (GDPR), 45 días (CCPA), o 20 días hábiles (México).

10. Cookies y Tecnologías de Seguimiento

Tipos de Cookies Utilizadas:

• Cookies Esenciales: Necesarias para funcionamiento básico (no requieren consentimiento)
• Cookies de Rendimiento: Para análisis y optimización del servicio
• Cookies de Funcionalidad: Para recordar preferencias del usuario
• Cookies de Marketing: Para publicidad personalizada (requieren consentimiento)

Gestión de Cookies:

• Panel de preferencias disponible en configuración
• Control granular por categoría de cookie
• Configuración del navegador para bloquear cookies
• Revocación de consentimiento en cualquier momento

Otras Tecnologías: También utilizamos beacons web, SDKs analíticos, e identificadores de dispositivo para funcionalidad y análisis, siempre respetando sus preferencias de privacidad.

11. Seguridad de Datos

Medidas Técnicas:

• Encriptación: TLS 1.3 para transmisión, AES-256 para almacenamiento
• Autenticación: Autenticación multifactor para cuentas sensibles
• Controles de acceso: Principio de menor privilegio y segregación de funciones
• Monitoreo: Detección de intrusiones y análisis de comportamiento anómalo
• Backups seguros: Copias de seguridad encriptadas con retención controlada

Medidas Organizacionales:

• Capacitación regular del personal en protección de datos
• Políticas y procedimientos de seguridad documentados
• Auditorías de seguridad periódicas por terceros
• Plan de respuesta a incidentes de seguridad
• Evaluaciones de impacto de privacidad para nuevas funciones

Certificaciones: Cumplimos con estándares reconocidos como ISO 27001 y SOC 2 Type II para gestión de seguridad de la información.

12. Notificación de Brechas de Seguridad

Procedimiento de Respuesta:

• Detección: Monitoreo continuo y sistemas de alerta temprana
• Evaluación: Análisis del alcance e impacto dentro de 24 horas
• Contención: Medidas inmediatas para limitar el daño
• Notificación: A autoridades competentes dentro de 72 horas (GDPR)
• Comunicación: A usuarios afectados sin demora indebida

Información de Notificación: Las notificaciones incluirán naturaleza de la brecha, datos afectados, medidas tomadas, recomendaciones para usuarios, y contacto para más información.

Registro de Incidentes: Mantenemos registro detallado de todas las brechas de seguridad para análisis y mejora continua de medidas preventivas.

13. Privacidad de Menores

Política de Edad: WineLoyalty está dirigido a empleados de restaurantes mayores de 18 años. No recopilamos intencionalmente datos de menores de 16 años (GDPR) o 13 años (COPPA).

Verificación de Edad: Implementamos controles razonables para verificar que los usuarios cumplan con los requisitos de edad mínima.

Eliminación de Datos de Menores: Si detectamos datos de menores recopilados sin consentimiento parental apropiado, los eliminaremos inmediatamente.

14. Actualizaciones de la Política

Notificación de Cambios: Para modificaciones materiales, proporcionaremos notificación con al menos 30 días de anticipación através de:

• Notificación prominente en la aplicación móvil
• Correo electrónico a usuarios registrados
• Aviso en el sitio web principal
• Banner de notificación en el panel administrativo

Versioning: Mantenemos versiones históricas de la política para referencia y transparencia.

Consentimiento Continuado: El uso continuado del servicio después de cambios constituye aceptación, salvo que las leyes requieran consentimiento explícito adicional.

15. Contacto y Ejercicio de Derechos

Oficial de Protección de Datos:
Email: privacidad@wineloyalty.com
Teléfono: +52 (55) [número de contacto]

Soporte General:
Email: soporte@wineloyalty.com
Horarios: Lunes a Viernes, 9:00 AM - 6:00 PM (Hora del Centro de México)

Oficina Principal:
[Dirección física en México]
Ciudad de México, México

Representante en la UE:
[Datos del representante GDPR si aplicable]

Autoridades de Supervisión: Tiene derecho a presentar quejas ante las autoridades de protección de datos competentes en su jurisdicción.

16. Información Adicional por Jurisdicción

Para Usuarios de California: Esta política también sirve como "Aviso en el Momento de Recopilación" según CCPA. No vendemos datos personales en el sentido tradicional, pero podemos compartir identificadores para publicidad dirigida, lo cual puede considerarse "venta" bajo CCPA.

Para Usuarios de la UE: Nuestro fundamento legal principal es el cumplimiento contractual. Para marketing, nos basamos en consentimiento. Para mejoras del servicio, en intereses legítimos balanceados.

Para Usuarios de México: Esta política cumple con LFPDPPP y constituye nuestro Aviso de Privacidad integral. Los términos ARCO se ejercen según procedimientos establecidos por el INAI.