1. Identidad y domicilio del Responsable
En cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), el Reglamento General de Protección de Datos de la UE (GDPR), la California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA), la Lei Geral de Proteção de Dados de Brasil (LGPD) y demás normativa aplicable, se hace de tu conocimiento que:
- Responsable: Opendex Web Services
- Domicilio: Ciudad de México, México
- Correo de contacto en privacidad: policy@opendex.dev
- Oficial / Departamento de Protección de Datos: legal@opendex.dev
2. Datos personales que recabamos
2.1 Datos de identificación y contacto
- Nombre completo, fotografía de perfil, fecha de nacimiento (cuando aplique).
- Correo electrónico, número telefónico, domicilio.
- Identificación oficial y comprobante de domicilio (en procesos KYC).
- RFC, razón social, régimen fiscal (para facturación CFDI).
2.2 Datos de la cuenta y autenticación
- Nombre de usuario, contraseña cifrada (hash), PIN, factores de doble autenticación.
- Tokens de sesión y cookies estrictamente necesarias.
2.3 Datos transaccionales y comerciales
- Productos vendidos, montos, métodos de pago, tickets, devoluciones, fiado.
- Inventario, proveedores, pedidos, gastos, cortes de caja.
- Datos de clientes finales del comercio (cuando los registres en el sistema).
2.4 Datos de pago
Los datos completos de tarjeta (PAN, CVV, fecha) no son almacenados por Kiosko. Son procesados directamente por procesadores certificados PCI-DSS. Únicamente conservamos referencias seguras (tokens) y metadatos no sensibles.
2.5 Datos de uso, técnicos y de dispositivo
- Dirección IP, tipo de navegador, sistema operativo, idioma, zona horaria.
- Identificadores de dispositivo, registros (logs), eventos de error.
- Cookies y tecnologías similares (ver nuestra Política de Cookies).
2.6 Datos de geolocalización
Cuando lo autorices expresamente, podremos registrar la ubicación aproximada del comercio para reportes y prevención de fraude.
2.7 Datos sensibles
No solicitamos datos personales sensibles (salud, origen racial, preferencias sexuales, religión, opinión política, datos biométricos identificativos) salvo cuando una funcionalidad opcional lo requiera y medie tu consentimiento expreso por escrito o medio electrónico equivalente.
2.8 Datos de menores de edad
El Servicio no está dirigido a menores de 18 años. No recabamos conscientemente datos de menores. Si detectamos su tratamiento, los eliminaremos.
3. Finalidades del tratamiento
3.1 Finalidades primarias (necesarias)
- Crear y administrar tu cuenta y perfil.
- Prestar las funcionalidades del Servicio (POS, inventario, reportes, cobros).
- Procesar pagos y facturación CFDI 4.0.
- Brindar soporte técnico y atención a clientes.
- Enviar comunicaciones operativas y de seguridad.
- Cumplir con obligaciones legales, fiscales y contables.
- Prevenir fraude, abuso y actividades ilícitas.
- Garantizar la seguridad e integridad del Servicio.
3.2 Finalidades secundarias (requieren consentimiento)
- Enviar comunicaciones comerciales y promocionales.
- Análisis estadístico y mejora de productos.
- Encuestas de satisfacción.
- Personalización de contenidos y recomendaciones.
Puedes oponerte en cualquier momento a las finalidades secundarias enviando un correo a policy@opendex.dev, sin que ello afecte la prestación del Servicio.
4. Bases de legitimación (GDPR · LGPD)
El tratamiento se sustenta en alguna de las siguientes bases legales:
- Ejecución de contrato — para prestar el Servicio que contrataste.
- Obligación legal — para cumplir con leyes fiscales, contables, AML.
- Interés legítimo — para seguridad, prevención de fraude y mejora del Servicio, ponderado frente a tus derechos.
- Consentimiento — para finalidades secundarias o datos sensibles.
- Protección de intereses vitales — en situaciones excepcionales.
5. Transferencias y comunicaciones de datos
Compartimos datos personales únicamente con las siguientes categorías de terceros, bajo contratos que exigen confidencialidad y medidas de seguridad equivalentes:
| Categoría | Ubicación | Finalidad |
|---|---|---|
| Hospedaje y red de entrega (CDN) | EE. UU. / Global | Hospedaje, distribución y protección del Servicio |
| Base de datos relacional | EE. UU. | Almacenamiento persistente de datos del comercio |
| Caché y colas de procesamiento | Global | Rendimiento y procesamiento asíncrono de tareas |
| Almacenamiento de objetos | EE. UU. | Archivos, imágenes y respaldos |
| Autenticación e identidad | EE. UU. | Inicio de sesión, verificación y gestión de credenciales |
| Procesadores de pago | México / EE. UU. | Cobros con tarjeta, SPEI, QR y otros métodos |
| Monitoreo y diagnóstico | EE. UU. | Detección, reporte y resolución de errores |
| Comunicaciones y notificaciones | EE. UU. | Correo transaccional, SMS y mensajería |
| Autoridades competentes | México / Según jurisdicción | Cumplimiento de obligaciones legales, fiscales y judiciales |
La lista específica de sub-encargados se mantiene en un registro interno y puede ser solicitada por escrito a policy@opendex.dev.
Algunas transferencias internacionales se realizan a países que no necesariamente cuentan con un nivel de protección equivalente al del país de origen del titular. En esos casos aplicamos garantías apropiadas (Cláusulas Contractuales Tipo de la Comisión Europea, BCRs, evaluaciones de impacto) conforme al GDPR/LGPD.
6. Derechos ARCO + portabilidad y oposición (LFPDPPP)
Como titular de datos en México tienes derecho a:
- Acceso a tus datos personales.
- Rectificación cuando sean inexactos o incompletos.
- Cancelación cuando consideres que no se requieren.
- Oposición al tratamiento para fines específicos.
- Revocación del consentimiento.
- Limitación del uso o divulgación de tus datos.
Para ejercer estos derechos envía tu solicitud a policy@opendex.dev indicando: nombre completo, medio para recibir respuesta, copia de identificación oficial, descripción clara de los datos respecto de los cuales ejerces el derecho y, en su caso, documentos que sustenten la solicitud. Responderemos en un plazo máximo de 20 días hábiles conforme al artículo 32 de la LFPDPPP.
7. Derechos bajo GDPR (UE/EEE)
- Acceso, rectificación, supresión (“derecho al olvido”), limitación.
- Portabilidad de datos en formato estructurado y de uso común.
- Oposición al tratamiento basado en interés legítimo.
- No ser objeto de decisiones automatizadas con efectos jurídicos relevantes.
- Presentar reclamación ante tu autoridad nacional de protección de datos.
8. Derechos bajo CCPA / CPRA (California)
- Conocer las categorías y elementos específicos de información personal recolectada.
- Eliminar la información personal sujeta a excepciones legales.
- Corrección de información inexacta.
- Optar por no participar en la “venta” o “compartir” (sharing) de información personal — Kiosko no vende información personal.
- No recibir trato discriminatorio por ejercer estos derechos.
9. Derechos bajo LGPD (Brasil)
Como titular en Brasil tienes derecho a confirmación y acceso, corrección, anonimización, bloqueo o eliminación, portabilidad, información sobre uso compartido, revocación del consentimiento y revisión de decisiones automatizadas.
10. Plazos de conservación
- Datos de cuenta: mientras la cuenta esté activa más 24 meses.
- Datos contables y fiscales: 5 años (artículo 30 del Código Fiscal de la Federación) o el plazo mayor que exija la ley.
- Logs de seguridad y auditoría: hasta 24 meses.
- Datos de soporte: hasta 36 meses tras el último contacto.
- Tras vencidos los plazos, los datos se eliminan o anonimizan irreversiblemente.
11. Medidas de seguridad
Implementamos medidas administrativas, técnicas y físicas razonables para proteger los datos personales contra daño, pérdida, alteración, destrucción o uso no autorizado, incluyendo:
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
- Doble autenticación, control de acceso por roles (RBAC), aprobación por PIN.
- Hash seguro de contraseñas (bcrypt/argon2).
- Edge security: CSP, HSTS, bloqueo de bots, WAF.
- Monitoreo continuo, detección de anomalías y registro de accesos.
- Respaldos cifrados con geo-redundancia.
- Capacitación periódica al personal en privacidad y seguridad.
- Acuerdos de confidencialidad con personal y proveedores.
12. Notificación de vulneraciones
En caso de incidente de seguridad que afecte significativamente tus derechos, te notificaremos sin dilación indebida (en general, dentro de 72 horas desde que tengamos conocimiento) e informaremos a las autoridades competentes cuando proceda (INAI en México, autoridades de control en la UE, ANPD en Brasil).
13. Decisiones automatizadas
El Servicio puede aplicar reglas automatizadas para detección de fraude, prevención de riesgos y recomendaciones internas. Tienes derecho a solicitar revisión humana de cualquier decisión que produzca efectos relevantes.
14. Cookies
Utilizamos cookies y tecnologías similares según se describe en nuestra Política de Cookies.
15. Cambios al Aviso
Cualquier modificación a este Aviso será publicada en esta página, indicando la fecha de última actualización. Los cambios sustanciales serán notificados por correo o aviso in-app con al menos 15 días naturales de anticipación.
16. Autoridades de protección de datos
- México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — home.inai.org.mx
- UE: Autoridad de control de tu país de residencia.
- Brasil: Autoridade Nacional de Proteção de Dados (ANPD).
- Argentina: Agencia de Acceso a la Información Pública (AAIP).
- Colombia: Superintendencia de Industria y Comercio (SIC).
17. Contacto
Para cualquier consulta sobre este Aviso de Privacidad o el ejercicio de tus derechos, escríbenos a policy@opendex.dev o a legal@opendex.dev.