Aviso de Privacidad

1. Identidad y domicilio del Responsable

VYLTA, producto desarrollado por Antonio López Labra (en adelante "VYLTA" o "el Responsable"), con domicilio en Querétaro, Querétaro, México, es responsable del tratamiento de sus datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.

2. Datos personales que recabamos

Para la prestación de nuestros servicios, recabamos los siguientes datos personales:

• Datos de identificación del titular de la cuenta: nombre completo, correo electrónico y contraseña (almacenada de forma cifrada).
• Datos del negocio: nombre del establecimiento, giro comercial, dirección, teléfono de contacto, logotipo, horarios de atención, bloqueos de tiempo (horarios de comida y descansos) y catálogo de servicios con precios.
• Datos de colaboradores (Plan Luxury): nombre, rol, color de identificación y horarios laborales individuales por colaborador.
• Datos de clientes finales del negocio: nombre, teléfono, correo electrónico (opcional), fecha de nacimiento (opcional), historial de visitas y notas internas que el dueño del negocio registre.
• Datos de citas: fecha, hora de inicio y fin, servicio agendado, costo, estado, colaborador asignado y notas.
• Datos de uso de la plataforma: fecha y hora de inicio de sesión, dispositivo utilizado, dirección IP y registros de actividad.
• Datos de pago: procesados directamente por Stripe Inc. y/o sus subprocesadores autorizados. VYLTA NO almacena ni accede a datos de tarjetas de crédito, débito, números CLABE o credenciales bancarias. Solamente conservamos un identificador anónimo de cliente y suscripción de Stripe.

3. Origen de los datos

Los datos son obtenidos directamente del titular cuando:

• Crea su cuenta y completa el wizard de configuración inicial.
• Registra clientes manualmente desde la app.
• Sus clientes agendan citas a través del link público (book.vylta.lat/su-negocio).
• Realiza pagos de suscripción.
• Interactúa con el soporte técnico (incluido el asistente de IA disponible en planes Premium y Luxury).

4. Finalidades del tratamiento

Sus datos personales serán utilizados para las siguientes finalidades primarias necesarias para la prestación del servicio:

• Crear, autenticar y administrar su cuenta en la plataforma.
• Gestionar la agenda de citas, incluyendo validación de horarios disponibles, bloqueos de tiempo y prevención de doble agendamiento.
• Permitir la creación y configuración de un link público de citas.
• Enviar recordatorios y confirmaciones automatizadas a clientes finales vía WhatsApp Business.
• Procesar pagos de suscripción mensual a través de Stripe.
• Generar reportes operativos del negocio.
• Habilitar la exportación de datos en formato CSV.
• Brindar soporte técnico humano y, para usuarios Premium y Luxury, soporte mediante asistente de inteligencia artificial.
• Cumplir con obligaciones legales, contables y fiscales aplicables.
• Detectar, prevenir y mitigar fraudes, abusos o usos no autorizados.

Finalidades secundarias (puede oponerse en cualquier momento):

• Envío de comunicaciones sobre nuevas funciones, actualizaciones o mejoras del producto.
• Encuestas de satisfacción y mejora del servicio.
• Análisis estadístico anonimizado para optimización de la plataforma.

5. Responsabilidad sobre datos de clientes finales

El usuario titular de la cuenta (dueño del negocio) actúa como Responsable de los datos personales de sus propios clientes finales que registre en la plataforma. VYLTA actúa como Encargado del tratamiento conforme al artículo 50 del Reglamento de la LFPDPPP, limitándose a almacenar y procesar dichos datos según las instrucciones del titular de la cuenta. El usuario se compromete a:

• Contar con el consentimiento informado de sus clientes finales para registrar sus datos.
• Tener su propio Aviso de Privacidad disponible para sus clientes.
• Atender directamente cualquier solicitud ARCO que reciba de sus clientes finales.

6. Transferencia de datos a terceros

VYLTA comparte sus datos exclusivamente con los siguientes proveedores tecnológicos, sujetos a contratos de confidencialidad y procesamiento de datos:

• Supabase Inc. (Estados Unidos / Brasil — región São Paulo): almacenamiento seguro en la nube, autenticación y base de datos.
• Stripe Inc. (Estados Unidos): procesamiento de pagos de suscripción y gestión del portal de cliente.
• 360dialog GmbH (Alemania): proveedor oficial (BSP) de WhatsApp Business API certificado por Meta.
• Meta Platforms Inc. (Estados Unidos): infraestructura subyacente de WhatsApp Business.
• Resend Inc. (Estados Unidos): envío de correos electrónicos transaccionales y campañas de email marketing.
• n8n GmbH (Alemania): orquestación de flujos automáticos de notificaciones.
• Anthropic PBC (Estados Unidos): proveedor del modelo de lenguaje (Claude) que opera el asistente de IA de soporte. Las conversaciones se procesan exclusivamente para responder consultas y no se utilizan para entrenar modelos.

No se realizarán transferencias adicionales sin su consentimiento expreso, salvo cuando sean requeridas por autoridad competente.

7. Plazo de conservación

Sus datos serán conservados mientras mantenga su cuenta activa. Una vez solicitada la eliminación de su cuenta, los datos serán borrados de forma permanente en un plazo máximo de 30 días, salvo aquellos que debamos conservar por obligación legal, fiscal o contable (típicamente 5 años para registros de facturación según el Código Fiscal de la Federación).

8. Derechos ARCO y revocación del consentimiento

Usted tiene derecho a Acceder, Rectificar, Cancelar u Oponerse (derechos ARCO) al tratamiento de sus datos personales, así como a revocar el consentimiento otorgado.

Puede ejercerlos directamente desde la aplicación:

• Acceso y exportación: Ajustes → Cuenta → "Exportar mis datos" (descarga en CSV).
• Rectificación: edite directamente su perfil de negocio, servicios, clientes y citas en la app.
• Cancelación: Ajustes → Cuenta → "Eliminar mi cuenta" (acción permanente).
• Oposición a finalidades secundarias: envíe una solicitud al correo abajo indicado.

También puede dirigir solicitudes ARCO formales al correo: privacidad@vylta.lat

La solicitud deberá incluir su nombre, copia de identificación oficial, descripción clara del derecho que desea ejercer y, en su caso, los datos sobre los cuales recae la solicitud. Atenderemos su petición en un plazo máximo de 20 días hábiles conforme al artículo 32 de la LFPDPPP.

9. Seguridad de los datos

VYLTA implementa medidas de seguridad administrativas, técnicas y físicas razonables para proteger sus datos personales, incluyendo:

• Cifrado en tránsito mediante TLS 1.3.
• Cifrado en reposo de la base de datos.
• Políticas de Row-Level Security (RLS) que aíslan los datos de cada usuario.
• Validaciones server-side para prevenir manipulación de citas y privilegios entre planes.
• Autenticación segura mediante tokens JWT con expiración.
• Auditorías periódicas de seguridad y revisiones de acceso.
• Aislamiento de credenciales sensibles (claves API) mediante variables de entorno.

A pesar de lo anterior, ningún sistema es completamente invulnerable. Le recomendamos utilizar contraseñas fuertes, no compartir sus credenciales y reportar de inmediato cualquier actividad sospechosa.

10. Uso de cookies y tecnologías similares

La aplicación móvil utiliza almacenamiento local (AsyncStorage) para conservar su sesión, preferencias de tema (claro/oscuro) y el estado del wizard de configuración inicial. El link público de citas (book.vylta.lat) puede utilizar cookies estrictamente necesarias para el funcionamiento del servicio.

11. Menores de edad

VYLTA está dirigido a personas mayores de 18 años. No recabamos intencionalmente datos de menores. Si detectamos el registro de un menor sin autorización de sus tutores, procederemos a eliminar la cuenta.

12. Cambios al Aviso de Privacidad

VYLTA podrá modificar este Aviso de Privacidad para mantenerlo actualizado conforme a cambios legales, nuevas funcionalidades del servicio o políticas internas. Las modificaciones serán notificadas a través de la aplicación o por correo electrónico al menos con 7 días de anticipación. El uso continuado del servicio después de dicha notificación constituirá su aceptación de los cambios.

13. Autoridad de protección de datos

Si considera que su derecho a la protección de datos personales ha sido vulnerado, puede acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en www.inai.org.mx