Marco legal ← Volver al inicio

Aviso de Privacidad Integral

Tratamos tus datos con el rigor que exige la Ley Federal de Protección de Datos Personales en Posesión de los Particulares vigente desde el 21 de marzo de 2025 (última reforma 14 de noviembre de 2025) y su Reglamento.

Versión 1.1 Última actualización: junio de 2026 Vigente desde: mayo de 2026
Forma de operación actual. Xtryde opera bajo Rubén Flores Sánchez como persona física bajo el Régimen Simplificado de Confianza (RESICO). Si en el futuro el proyecto se constituye como persona moral, las condiciones contractuales con los usuarios se honrarán íntegramente y se anunciará al menos con 30 días naturales de anticipación conforme a la cláusula de cambios.

Identidad y domicilio del responsable

Para efectos de la LFPDPPP, el responsable del tratamiento de tus datos personales es:

DatoValor
Responsable (persona física)Rubén Flores Sánchez
Nombre comercialXtryde
Régimen fiscalRESICO — Personas Físicas
Domicilio para notificacionesPuebla, Puebla, México. El domicilio físico completo se proporciona a solicitud expresa y justificada mediante correo a administracion@xtryde.tech, y se revela en los procedimientos legales ante la autoridad que corresponda.
Correo único de atenciónadministracion@xtryde.tech
Responsable de protección de datosRubén Flores Sánchez

Xtryde presta servicios de software como servicio (SaaS) de gestión de inventarios, punto de venta, menú digital, reservaciones, nómina, finanzas y módulos relacionados para tiendas y restaurantes en México y Latinoamérica.

Datos personales que recabamos

Dependiendo de tu relación con Xtryde, podemos recabar los siguientes datos:

2.1 Si eres dueño, administrador o empleado de un Negocio suscrito a Xtryde

  • Datos de identificación: nombre completo, fecha de nacimiento, CURP, RFC.
  • Datos de contacto: correo electrónico, teléfono celular, domicilio.
  • Datos laborales: puesto, turno, jornada, percepciones, deducciones.
  • Datos bancarios del empleado (opcional, para dispersión de nómina): CLABE, banco.
  • Datos de identificación oficial (opcional): imagen de INE, licencia u otro documento cargado voluntariamente al expediente.
  • Fotografía del empleado (opcional, para identificación visual en el expediente y comunicaciones internas del Negocio).
  • Fotografía facial (selfie) capturada al registrar asistencia, cuando el Negocio active el módulo de verificación visual de checada. Estas fotografías se conservan durante 30 días desde su captura y se eliminan automáticamente, salvo aquellas que el Negocio marque para revisión interna por sospecha de suplantación, las cuales se conservan hasta que el Negocio cierre la revisión. El uso es exclusivamente la verificación de identidad del empleado al momento de la checada; las fotografías no se utilizan para entrenar modelos, no se comparten con terceros y no se vinculan a finalidades comerciales o de marketing.
  • Contacto de emergencia: nombre, teléfono, parentesco.
  • Datos de uso del sistema: logs de acceso, dirección IP, navegador, sistema operativo, actividad dentro de la aplicación para fines de seguridad y auditoría.
  • Datos del canal de Telegram (únicamente si decides conectarlo): identificador numérico del chat, nombre de la cuenta de Telegram y el contenido de tus conversaciones con el asistente. El historial conversacional se conserva un máximo de 7 días y se elimina automáticamente; puedes borrarlo en cualquier momento con el comando /nueva y desconectar el canal con /desvincular o desde la app.

2.2 Si eres cliente final de un Negocio que usa Xtryde

Cuando haces un pedido por menú digital, reservas una mesa, recibes una factura o participas en una promoción, el Negocio puede recabarte:

  • Nombre o alias.
  • Correo electrónico.
  • Teléfono celular.
  • RFC (si solicitas factura).
  • Dirección (si hay envío a domicilio).
  • Historial de compras, reservas o puntos de lealtad en ese Negocio.

Respecto a estos datos, Xtryde actúa como encargado y el Negocio es el responsable. Consulta la sección 9.

2.3 Si eres solicitante de una demostración desde la landing

  • Nombre completo.
  • Correo electrónico.
  • Teléfono o WhatsApp.
  • Nombre y tipo de negocio.

2.4 Datos personales sensibles

Conforme al artículo 3 de la LFPDPPP, son datos sensibles los que puedan revelar aspectos como origen racial, estado de salud, información genética, creencias religiosas, opiniones políticas, preferencia sexual o afiliación sindical.

Xtryde NO recaba datos sensibles de manera habitual. Si algún empleado sube voluntariamente un documento al expediente (por ejemplo, comprobante médico), el empleador es quien lo solicita bajo su propia responsabilidad como patrón. Para cualquier tratamiento de datos sensibles se obtendrá consentimiento expreso y por escrito.

Finalidades del tratamiento

Conforme a la LFPDPPP 2025, distinguimos entre finalidades que dan origen y son necesarias para la relación (no requieren consentimiento adicional) y finalidades secundarias (que sí requieren tu consentimiento, y a las que puedes oponerte sin afectar la prestación del servicio).

3.1 Finalidades primarias (necesarias)

  • Crear y administrar tu cuenta de usuario o la de tu negocio.
  • Procesar suscripciones, pagos, facturas y recibos.
  • Prestar los módulos contratados (inventario, punto de venta, menú digital, reservas, nómina, finanzas, eventos, asistente de inteligencia artificial, workflows, etc.).
  • Enviar notificaciones operativas esenciales: confirmaciones de pedido, reservas, cortes de caja, alertas de stock, recibos fiscales, avisos de seguridad.
  • Operar los canales de mensajería que tú decidas conectar (por ejemplo, el asistente por Telegram): responder tus consultas sobre tu negocio, enviarte el resumen diario y alertas operativas, y registrar las operaciones que confirmes expresamente. Puedes pausar el resumen (/resumen) o desconectar el canal (/desvincular) en cualquier momento sin afectar el resto del servicio.
  • Proveer soporte técnico y atender tus solicitudes.
  • Cumplir obligaciones legales, fiscales y contables.
  • Prevenir fraude, proteger la integridad de la plataforma y ejercer derechos en procedimientos administrativos o judiciales.
  • Mantener registros de auditoría y bitácoras de seguridad.

3.2 Finalidades secundarias (opcionales)

  • Enviarte comunicaciones comerciales, promociones, novedades y encuestas de satisfacción.
  • Analizar el uso agregado de la plataforma para mejorar funcionalidades.
  • Invitarte a programas de referidos, demostraciones o eventos.
Puedes oponerte a las finalidades secundarias en cualquier momento sin que ello afecte la prestación de los servicios contratados. Ver sección 5.

Consentimiento

Tu consentimiento para tratar datos personales no sensibles ni financieros ni patrimoniales se entiende otorgado de manera tácita cuando pones tus datos a nuestra disposición y no manifiestas oposición al contenido de este aviso, conforme al artículo 8 de la LFPDPPP.

Para el tratamiento de datos financieros o patrimoniales requerimos tu consentimiento expreso; para datos sensibles requerimos tu consentimiento expreso y por escrito (firma autógrafa, electrónica o mecanismo de autenticación equivalente).

Medios para limitar el uso o divulgación

Puedes limitar el uso o divulgación de tus datos de las siguientes formas:

  • Desactivar notificaciones no esenciales desde tu cuenta, en la sección de preferencias, o respondiendo BAJA a cualquier correo promocional.
  • Solicitar la inscripción al REA (Registro Público para Evitar Publicidad) de la PROFECO cuando esté habilitado en repep.profeco.gob.mx.
  • Enviar una solicitud por escrito al correo de privacidad, especificando qué finalidades quieres limitar.

Derechos ARCO y procedimiento para ejercerlos

Tienes derecho a Acceder a tus datos, Rectificarlo s si son inexactos, Cancelarlos cuando no correspondan a las finalidades, y Oponerte a su tratamiento.

6.1 Cómo solicitarlo

Envía tu solicitud a administracion@xtryde.tech con:

  1. Nombre completo y domicilio o medio para recibir notificaciones.
  2. Copia de identificación oficial vigente (INE, pasaporte, FM2/FM3 o cédula).
  3. En caso de representante, poder notarial e identificación del representante.
  4. Descripción clara y precisa de los datos respecto de los cuales ejerces el derecho.
  5. Derecho ARCO que ejerces y, en su caso, documentos que faciliten la localización de los datos.

6.2 Plazos de respuesta

EtapaPlazo (días hábiles)
Respuesta a tu solicitud20 días hábiles desde la recepción
Ampliación justificadaHasta 20 días hábiles adicionales
Hacer efectivo el derecho (cuando proceda)15 días hábiles desde la comunicación de respuesta

La atención es gratuita; sólo podrán cobrarse costos de envío, reproducción o certificación de documentos cuando apliquen, conforme al artículo 35 de la LFPDPPP.

6.3 Causales de improcedencia

Podremos negar el ejercicio del derecho cuando el solicitante no sea titular de los datos, no pueda acreditarse su identidad, exista un impedimento legal, o afecte derechos de terceros, entre otras causales previstas por la ley.

Cookies, web beacons y tecnologías similares

Utilizamos cookies y tecnologías de rastreo para operar la plataforma, recordar tu sesión, proteger la cuenta y entender el uso agregado del sistema. Consulta el detalle completo en nuestra Política de Cookies.

Las cookies estrictamente necesarias para la autenticación y seguridad no pueden desactivarse sin afectar el funcionamiento; las analíticas y de marketing, cuando apliquen, se activan únicamente con tu consentimiento.

Transferencias de datos personales

Bajo la LFPDPPP 2025, las remisiones (entre responsable y encargado) no son transferencias. Sí realizamos transferencias a los siguientes terceros, en los supuestos previstos por el artículo 22 de la ley y sin requerir nuevo consentimiento para:

  • Autoridades competentes cuando lo requieran por mandato legal (SAT, PROFECO, Ministerio Público, jueces, SABG).
  • Proveedores de servicios financieros para procesar pagos de la suscripción a Xtryde (Stripe Payments Inc., con domicilio en Estados Unidos, y los bancos emisores/adquirentes que tu tarjeta utilice). El tratamiento por Stripe se rige por su Política de Privacidad y se realiza bajo Cláusulas Contractuales Tipo para transferencias internacionales.
  • Sociedades del mismo grupo corporativo bajo políticas equivalentes.
  • Adquirentes o sucesores en caso de fusión, escisión o transmisión del negocio.

Para transferencias fuera de los supuestos del artículo 22 solicitaremos tu consentimiento expreso.

8.1 Encargados (no son transferencia)

  • Google Cloud Platform — hospedaje de backend, Firestore y Storage (infraestructura en Estados Unidos, región us-central1), sujeto al Data Processing Addendum de Google Cloud y a Cláusulas Contractuales Tipo (SCC) para transferencias internacionales.
  • Firebase — autenticación y hosting estático (producto de Google LLC, cubierto por el mismo DPA de Google Cloud).
  • Anthropic PBC — servicios de inteligencia artificial (Claude API) sujetos a la política comercial de Anthropic, que contempla la no utilización de inputs y outputs para reentrenar modelos y una retención limitada (por defecto hasta 30 días, con plazos mayores solo para revisiones de confianza y seguridad).
  • Gmail SMTP (Google Workspace) — envío de correos transaccionales, cubierto por el DPA de Google Workspace.
  • Stripe Payments Inc. — procesamiento de pagos de tu suscripción a Xtryde. Stripe está certificado PCI DSS Level 1 (el nivel más alto del estándar de seguridad para datos de tarjetas) y opera bajo su Política de Privacidad. Como Stripe está domiciliada en Estados Unidos, esta transferencia internacional se realiza bajo Cláusulas Contractuales Tipo (Standard Contractual Clauses) celebradas en su Data Processing Agreement.
  • Telegram (Telegram Messenger Inc. / Telegram FZ-LLC, con domicilio en Dubái, Emiratos Árabes Unidos) — plataforma de mensajería por la que viajan tus conversaciones con el asistente únicamente si tú decides conectar el canal desde la app (vinculación opt-in con código de un solo uso). Los mensajes que intercambias con el asistente transitan por la infraestructura de Telegram conforme a su propia Política de Privacidad; debes saber que los chats con bots no usan cifrado de extremo a extremo (usan cifrado cliente-servidor). Las consultas se procesan con el encargado Anthropic PBC ya descrito. Puedes desconectar el canal en cualquier momento (/desvincular o el botón Desconectar en la app), lo que invalida de inmediato el acceso desde ese chat.

Estos proveedores actúan como encargados y tratan los datos bajo nuestras instrucciones, mediante contratos o términos de servicio que los obligan a mantener medidas de seguridad equivalentes a las descritas en la sección 12. No realizamos transferencias distintas a las aquí mencionadas sin tu consentimiento expreso.

Tratamiento de Xtryde como encargado

Cuando un Negocio se suscribe a Xtryde y captura datos de sus clientes finales (nombres, correos, teléfonos, historial de pedidos/reservas), el Negocio es el responsable del tratamiento y Xtryde es el encargado.

En esa calidad, Xtryde se obliga a:

  • Tratar los datos únicamente conforme a las instrucciones del Negocio responsable.
  • No usar los datos para finalidades distintas a las que marque el Negocio.
  • Implementar las medidas de seguridad técnicas y administrativas descritas en la sección 12.
  • Guardar confidencialidad aun concluida la relación contractual.
  • Suprimir o devolver los datos al cese del servicio, salvo obligación legal de conservarlos.
  • No subcontratar terceros que traten datos sin autorización del Negocio responsable.

Si eres cliente final de un Negocio y quieres ejercer tus derechos ARCO sobre los datos que el Negocio tiene de ti, debes dirigirte primero al Negocio como responsable. Xtryde prestará asistencia al Negocio pero no puede sustituir al responsable para estos efectos.

Menores de edad

Xtryde no está diseñado para ser utilizado por menores de 18 años. Si tienes menos de 18, debes obtener el consentimiento de quien ejerza la patria potestad o tutela antes de proporcionarnos datos. Si detectamos que hemos recibido datos de un menor sin tal consentimiento, los eliminaremos.

Conservación y bloqueo de datos

Conservamos tus datos mientras exista una relación contractual o legal que lo justifique. Al cese, se bloquean durante los plazos legales de prescripción (enunciativamente: 5 años para efectos fiscales conforme al Código Fiscal de la Federación; plazos menores o mayores aplican para otras materias) y posteriormente se suprimen.

Los registros de auditoría de seguridad (bitácoras de acceso, intentos fallidos, reportes de errores) se conservan hasta 24 meses para detección de incidentes y cumplimiento del artículo 20 de la LFPDPPP.

Medidas de seguridad

Xtryde implementa medidas administrativas, físicas y técnicas razonables conforme al artículo 19 de la LFPDPPP:

  • Cifrado TLS 1.2+ en tránsito y cifrado en reposo en la base de datos.
  • Autenticación con contraseñas robustas y, para super administradores, segundo factor TOTP obligatorio.
  • Política de mínimo privilegio y aislamiento multi-inquilino: cada Negocio ve solo sus propios datos.
  • Validación antivirus/antimalware de imágenes cargadas (magic bytes + Pillow + remoción de EXIF).
  • Anonimización de correos y teléfonos en bitácoras de error.
  • Encabezados de seguridad CSP, HSTS, X-Frame-Options, Referrer-Policy.
  • Auditorías de dependencias vulnerables (pip-audit) en cada despliegue.
  • Respaldos periódicos y pruebas de restauración.
  • Procedimiento de notificación de incidentes a los titulares afectados cuando la vulneración afecte de forma significativa sus derechos patrimoniales o morales, conforme al artículo 20 de la LFPDPPP.

Cambios a este aviso

Podemos modificar este aviso para reflejar cambios legales, nuevos servicios o prácticas. Las modificaciones se publicarán en esta misma URL con la fecha de actualización. Cuando el cambio sea sustantivo te notificaremos por correo electrónico a la dirección registrada, con al menos 10 días hábiles de anticipación a su entrada en vigor.

Autoridad competente

En caso de considerar vulnerados tus derechos de protección de datos, puedes presentar una denuncia ante la Secretaría de Anticorrupción y Buen Gobierno, autoridad competente a partir de la reforma constitucional del 20 de diciembre de 2024, sucesora del extinto INAI para estos efectos.

Información disponible en el portal oficial del Gobierno de México: gob.mx/anticorrupcion.

Contacto

Para cualquier duda sobre este aviso o para ejercer tus derechos:

  • Correo: administracion@xtryde.tech
  • Responsable de datos personales: Rubén Flores Sánchez
  • Domicilio para notificaciones: Puebla, Puebla, México. El domicilio físico completo se proporciona a solicitud expresa y justificada mediante correo a administracion@xtryde.tech, y se revela en los procedimientos legales ante la autoridad que corresponda.

Fundamento jurídico

  • Ley Federal de Protección de Datos Personales en Posesión de los Particulares (DOF 20-mar-2025, reforma 14-nov-2025).
  • Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
  • Lineamientos del Aviso de Privacidad (DOF 17-ene-2013, en lo no derogado).
  • Constitución Política de los Estados Unidos Mexicanos, artículos 6 y 16.