1. Responsable del tratamiento
Fraxuo SL (España, CIF B-XXXXXXXX) actúa como ENCARGADO DEL TRATAMIENTO de los datos personales que el hotel (RESPONSABLE) recopila de sus huéspedes a través de la plataforma Fraxuo MX. Aviso de privacidad simplificado (LFPDPPP art. 16): los datos del huésped se usan solo para entregarle el servicio que compró (foto, ticket arcade, factura). No se cede a terceros sin consentimiento. Para consultas: andres@fraxuo.com
2. Datos que recopilamos
Del HOTEL (cliente directo): - Datos identificativos: razón social, RFC, régimen fiscal SAT, código postal fiscal - Datos de contacto del admin: email, teléfono (opcional) - Datos bancarios procesados directamente por Stripe (Fraxuo no los almacena) - CSD subido a Facturama (no a Fraxuo) Del HUÉSPED (datos que el hotel nos confía): - Email (para envío de fotos/ticket + factura CFDI) - Nombre (para personalizar email y CFDI) - RFC + uso CFDI + régimen + CP (opcionales, solo si el huésped quiere factura) - IP del checkout (para anti-fraude) - Geolocalización aproximada en arcade (anti-fraude)
3. Finalidades del tratamiento
Primarias (no requieren consentimiento adicional): - Procesar el pago y emitir el comprobante / CFDI - Entregar el servicio comprado (acceso a fotos, validación de ticket) - Soporte al huésped si abre una incidencia - Cumplimiento fiscal (SAT) y obligaciones contables del hotel Secundarias (requieren consentimiento explícito y son opcionales): - Email marketing del hotel al huésped (NO se hace por defecto) - Analítica agregada y anónima del hotel
4. Conservación
Datos transaccionales: 5 años por obligación fiscal mexicana (CFF art. 30). Datos de marketing: hasta retirada del consentimiento. Logs de acceso: 90 días. Tokens de descarga: 30 días por defecto, configurable. Datos de huéspedes inactivos > 24 meses: anonimizados.
5. Cifrado y seguridad
- TLS 1.3 en tránsito - AES-256 en reposo (Supabase Postgres + Cloudflare R2) - Tokens hasheados (SHA-256) en BD — nunca en claro - Multi-tenant RLS forzado a nivel base de datos - Auditoría continua del agente Cuervo - Penetration testing externo anual (cuando se cierren ≥10 hoteles)
6. Derechos ARCO (México) / RGPD (UE)
Cualquier huésped o admin puede ejercer: - Acceso a sus datos - Rectificación de datos inexactos - Cancelación / supresión (derecho al olvido) - Oposición al tratamiento secundario Solicitudes a: andres@fraxuo.com con asunto "Derechos ARCO" + copia INE/identificación. Respuesta en máximo 20 días hábiles (LFPDPPP) / 30 días naturales (RGPD).
7. Transferencias internacionales
Los datos pueden almacenarse en servidores fuera de México (Supabase US/EU, Cloudflare global). Esta transferencia se ampara en: - Decisiones de adecuación de la Comisión Europea - Cláusulas Tipo de Protección de Datos - Consentimiento del titular al usar la plataforma Stripe procesa pagos bajo PCI-DSS Level 1 + LFPDPPP.
8. Cookies
Ver
Política de cookies →9. Brechas de seguridad
En caso de brecha que afecte datos personales, Fraxuo notificará al hotel afectado en <72 horas y al INAI (México) cuando la naturaleza del incidente lo requiera. Estado público de incidentes: status.fraxuo.com (próximamente).
10. Modificaciones
Esta política puede actualizarse. Notificaremos cambios sustanciales por email al admin del hotel y mediante banner en la plataforma con 15 días de antelación.