AVISO DE PRIVACIDAD INTEGRAL
Última actualización: mayo 2026
NOTA SOBRE LA NATURALEZA DEL SERVICIO: Prelo es una plataforma de gestión integral aplicable a comercios de cualquier giro o vertical (panaderías, restaurantes, retail, farmacias, servicios profesionales, médicos, talleres y cualquier otra actividad lícita). Las referencias a "establecimiento", "negocio" o "comercio" deben entenderse de manera neutra al giro. Identificadores internos del sistema (como "bakery_id" o terminología similar) son nombres técnicos heredados y NO limitan el alcance del servicio a un sector particular.
En cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento, y los Lineamientos del Aviso de Privacidad publicados en el Diario Oficial de la Federación, se pone a su disposición el siguiente Aviso de Privacidad Integral:
El comercio que utiliza Prelo (en adelante, "el Responsable") es quien recaba, utiliza, almacena y/o transfiere sus datos personales. La plataforma tecnológica Prelo (en adelante, "la Plataforma") actúa exclusivamente como encargado del tratamiento conforme al artículo 50 del Reglamento de la LFPDPPP, proporcionando la infraestructura tecnológica para el procesamiento de datos. Prelo NO es responsable del uso que el Responsable haga de la información de sus titulares.
Para cualquier asunto relacionado con el tratamiento de sus datos personales, puede contactar al administrador de su establecimiento o escribir a: soporte@prelo.app
a) Datos de identificación: nombre completo, correo electrónico, fotografía de perfil (opcional).
b) Datos de acceso: credenciales de autenticación (contraseña hasheada, tokens de sesión, factores de autenticación TOTP).
c) Datos laborales: rol dentro del establecimiento, sucursal(es) asignada(s), horarios de trabajo programados, número de empleado, puesto, departamento, tipo de empleo, fecha de contratación.
d) Datos de asistencia y control de tiempo: registros de entrada y salida (clock-in/clock-out), hora, fecha, fuente del registro (dispositivo biométrico o manual), nombre e identificador asignado en dispositivos de control de acceso, indicadores de puntualidad (retardos, salidas tempranas, faltas), duración de jornada, horarios rotativos (semanal o bisemanal).
e) Datos biométricos de control de acceso: la Plataforma recibe eventos de reconocimiento facial generados por dispositivos de terceros (como Hikvision o ZKTeco) configurados por el Responsable. Prelo NO almacena datos biométricos (imágenes faciales, huellas dactilares, patrones de iris). Solo recibe y almacena el identificador numérico del empleado, el nombre asociado y la marca de tiempo del evento. Los datos biométricos son procesados y almacenados exclusivamente en el dispositivo del Responsable, bajo su total responsabilidad y conforme a la normativa aplicable.
f) Datos fiscales (cuando el titular los proporcione voluntariamente): Registro Federal de Contribuyentes (RFC), razón social, régimen fiscal, domicilio fiscal, código postal fiscal, CURP, número IMSS.
g) Datos de nómina (cuando el Responsable los registre): salario base, frecuencia de pago, datos bancarios para depósito de nómina (nombre del banco, número de cuenta), días y horas trabajadas, horas extra, bonos, deducciones.
h) Datos de contacto comercial: teléfono (opcional), dirección de entrega (opcional).
i) Datos de contacto de emergencia: nombre y teléfono de contacto de emergencia (opcional).
j) Datos de uso: registros de actividad dentro de la Plataforma (logs de auditoría), dirección IP, tipo de dispositivo, sistema operativo, navegador.
k) Datos de pago: los datos de tarjeta de crédito/débito son procesados directamente por Stripe, Inc. (certificado PCI DSS Nivel 1). Prelo NO almacena números de tarjeta, CVV ni datos completos de pago en sus servidores.
l) Datos de encuestas de satisfacción: calificación (1-5 estrellas), comentarios, nombre y teléfono del cliente (cuando los proporcione voluntariamente).
m) Datos capturados por el cliente final en autofactura pública: cuando un cliente del Suscriptor utiliza el portal público de autofactura para solicitar un CFDI a partir de un ticket, captura voluntariamente sus propios datos fiscales (RFC, razón social, régimen fiscal, código postal, uso de CFDI, correo de notificación). Dichos datos se almacenan vinculados a la cuenta del Suscriptor para los fines fiscales del Suscriptor.
n) Datos de pedidos en línea / catálogo público: cuando el establecimiento habilita pedidos públicos, los clientes finales pueden ingresar nombre, teléfono, correo, dirección de entrega y notas. Estos datos pertenecen al Suscriptor y son tratados bajo la responsabilidad de éste.
o) Datos de pantallas de cocina (KDS) públicas: cuando el Suscriptor habilita pantallas de cocina mediante token de acceso público, dichas pantallas exhiben información operativa (nombres de platillos, mesas, comandas) sin requerir credenciales de usuario. El Suscriptor es el único responsable de la ubicación física, supervisión y resguardo de dichos dispositivos para evitar exposición indebida.
DATOS PERSONALES SENSIBLES: La Plataforma NO recaba ni almacena datos personales sensibles conforme a la definición del artículo 3, fracción VI de la LFPDPPP (datos de origen racial o étnico, estado de salud, información genética, creencias religiosas, opiniones políticas, preferencia sexual, etc.). Los datos biométricos (reconocimiento facial, huellas dactilares) son procesados exclusivamente por los dispositivos de control de acceso del Responsable; la Plataforma solo recibe identificadores numéricos derivados, NO los datos biométricos en sí.
Finalidades primarias (necesarias para la relación jurídica):
• Creación, administración y autenticación de su cuenta de usuario.
• Control de acceso y permisos basado en roles.
• Operación del punto de venta, gestión de inventarios, pedidos y producción.
• Emisión de Comprobantes Fiscales Digitales por Internet (CFDI) a través de Proveedores Autorizados de Certificación (PAC), en cumplimiento con el Código Fiscal de la Federación y las disposiciones del Servicio de Administración Tributaria (SAT).
• Control de asistencia y puntualidad: recepción de eventos de dispositivos biométricos de control de acceso, registro de entradas y salidas, cálculo de horas trabajadas, detección de retardos y salidas tempranas, generación de reportes de puntualidad por periodo (semanal, quincenal, mensual), gestión de horarios fijos y rotativos (bisemanales).
• Gestión de recursos humanos: administración de perfiles de empleados, horarios de trabajo, periodos de nómina, solicitudes de tiempo libre, cálculo de horas trabajadas y horas extra.
• Envío de correos electrónicos transaccionales: invitaciones de usuario, recuperación de contraseña y notificaciones operativas. Dichos correos podrán incluir la marca, logotipo y colores del Responsable para identificación del establecimiento.
• Registro de auditoría de operaciones para cumplimiento normativo y trazabilidad.
• Comunicación de avisos operativos, alertas del sistema y notificaciones push relacionadas con el servicio.
• Recopilación de encuestas de satisfacción del cliente vinculadas a ventas específicas.
Finalidades secundarias (no necesarias, con consentimiento):
• Envío de comunicaciones promocionales o informativas sobre la Plataforma.
• Elaboración de estadísticas agregadas y anónimas para mejora del servicio.
Si usted no desea que sus datos personales sean tratados para las finalidades secundarias, puede manifestarlo enviando un correo a: soporte@prelo.app con el asunto "Oposición finalidades secundarias".
La negativa al tratamiento de datos para finalidades secundarias no será motivo para negarle los servicios contratados. Puede ejercer su derecho de oposición en cualquier momento sin necesidad de justificar su decisión.
Sus datos personales podrán ser transferidos a los siguientes terceros, sin necesidad de su consentimiento adicional, conforme al artículo 37 de la LFPDPPP:
a) Servicio de Administración Tributaria (SAT) — a través de Proveedores Autorizados de Certificación (PAC), para el timbrado de CFDI. Fundamento: obligación fiscal.
b) Facturapi, S.A. de C.V. — como PAC autorizado para la emisión de comprobantes fiscales. Privacidad: https://facturapi.io/privacidad
c) Stripe, Inc. — para el procesamiento de pagos y suscripciones. Privacidad: https://stripe.com/privacy. Stripe está certificado bajo PCI DSS Nivel 1.
d) Supabase, Inc. — como proveedor de infraestructura de base de datos y almacenamiento. Los datos se almacenan en centros de datos con certificación SOC 2 Tipo II. Privacidad: https://supabase.com/privacy
e) Cloudflare, Inc. — como proveedor de CDN, protección contra ataques y almacenamiento de objetos (R2) usado para respaldos del servicio. Privacidad: https://www.cloudflare.com/privacypolicy/
f) Resend, Inc. y/o Postmark (Wildbit Software LLC) — proveedores de envío de correos electrónicos transaccionales (invitaciones, recuperación de contraseña, entrega de CFDI). Solo se comparte la dirección de correo del destinatario, el asunto, el cuerpo del mensaje y, cuando aplique, los adjuntos del CFDI (PDF/XML). Privacidad Resend: https://resend.com/legal/privacy-policy · Privacidad Postmark: https://postmarkapp.com/eu-privacy
g) Functional Software, Inc. (Sentry) — recibe reportes de errores no atrapados y métricas técnicas para diagnóstico y mejora del servicio. Sentry NO recibe datos fiscales, contraseñas ni números de tarjeta. Privacidad: https://sentry.io/privacy/
h) Valimail, Inc. — recibe reportes agregados de DMARC (autenticación de correo del dominio prelo.mx) para monitoreo de seguridad de envíos. NO recibe datos personales de titulares. Privacidad: https://www.valimail.com/privacy-policy/
i) Autoridades competentes — cuando medie requerimiento judicial, administrativo o de cualquier autoridad competente debidamente fundado y motivado.
Sus datos NO serán vendidos, alquilados ni compartidos con terceros para fines comerciales, publicitarios o de mercadotecnia.
Conforme a los artículos 28 a 35 de la LFPDPPP, usted tiene derecho a:
• ACCEDER a sus datos personales en nuestro poder y conocer los detalles del tratamiento.
• RECTIFICAR sus datos cuando sean inexactos o incompletos.
• CANCELAR sus datos cuando considere que no están siendo tratados conforme a los principios y deberes de la Ley.
• OPONERSE al tratamiento de sus datos para fines específicos.
Para ejercer sus derechos ARCO, envíe una solicitud a: soporte@prelo.app con el asunto "Derechos ARCO", incluyendo:
i) Nombre completo del titular;
ii) Descripción clara del derecho que desea ejercer;
iii) Copia de identificación oficial vigente;
iv) Correo electrónico para recibir respuesta.
Plazo de respuesta: 20 días hábiles conforme a la LFPDPPP. De resultar procedente, se hará efectivo dentro de los 15 días hábiles siguientes.
También puede presentar una solicitud de protección de datos ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): www.inai.org.mx
En cumplimiento con el artículo 19 de la LFPDPPP, implementamos las siguientes medidas de seguridad administrativas, técnicas y físicas:
Técnicas:
• Encriptación AES-256-GCM para datos sensibles del negocio (recetas, información confidencial).
• Contraseñas almacenadas con hashing bcrypt (nunca en texto plano).
• Autenticación de dos factores (TOTP) disponible para todos los usuarios.
• Control de acceso basado en roles con principio de mínimo privilegio (Role-Based Access Control — RBAC).
• Comunicaciones encriptadas mediante protocolo TLS 1.2 o superior (HTTPS).
• Row Level Security (RLS) a nivel de base de datos para aislamiento multi-tenant.
• Tokens JWT con expiración para autenticación de sesiones.
• Almacenamiento seguro de claves API mediante Vault (encriptación en reposo).
• Verificación de webhooks de dispositivos biométricos mediante secretos compartidos (webhook_secret).
• Separación de datos biométricos: los datos de reconocimiento facial/huellas permanecen en el dispositivo del Responsable; la Plataforma solo procesa identificadores numéricos y marcas de tiempo.
Administrativas:
• Políticas de contraseña segura (mínimo 6 caracteres).
• Registros de auditoría de operaciones críticas.
• Principio de mínimo privilegio en asignación de roles.
• Procedimientos de respuesta a incidentes de seguridad.
Físicas:
• Infraestructura alojada en centros de datos con certificación SOC 2 Tipo II (Supabase/AWS).
• Acceso físico restringido a servidores (gestionado por proveedores de infraestructura).
Ningún sistema de seguridad es infalible. La Plataforma realiza sus mejores esfuerzos para proteger la información, pero no puede garantizar que no existan vulnerabilidades o que terceros no autorizados no puedan acceder a la información de manera ilícita.
7.1 NOTIFICACIÓN DE VULNERACIONES DE SEGURIDAD
En cumplimiento con los artículos 20 de la LFPDPPP y 63 de su Reglamento, si la Plataforma detecta una vulneración significativa de seguridad que afecte de manera material los derechos patrimoniales o morales de los titulares, se compromete a:
a) Investigar la causa de la vulneración y adoptar las medidas correctivas pertinentes;
b) Notificar al Responsable (Suscriptor) sin dilación injustificada, y en cualquier caso dentro de las setenta y dos (72) horas siguientes a que se confirme la vulneración, mediante el correo electrónico registrado en la cuenta;
c) Proporcionar la siguiente información en la notificación: (i) naturaleza del incidente; (ii) datos personales afectados; (iii) recomendaciones al titular para proteger sus intereses; (iv) acciones correctivas implementadas; (v) medios para obtener más información.
d) El Responsable (Suscriptor) será el obligado a notificar a sus titulares cuando así corresponda; la Plataforma facilitará la información razonablemente disponible para ello.
• Los datos de su cuenta se conservan mientras la relación contractual (suscripción) esté activa.
• Tras la cancelación de la suscripción, los datos se mantienen disponibles para descarga durante 30 días naturales, después de lo cual se eliminan permanentemente de los servidores principales.
• Los datos fiscales y de facturación (CFDI, XMLs, PDFs) se conservan por el plazo mínimo establecido por la legislación fiscal vigente (5 años conforme al artículo 30 del Código Fiscal de la Federación).
• Los registros de auditoría se conservan por 90 días para fines de seguridad y cumplimiento.
• Los registros de asistencia (entradas, salidas, horas trabajadas) se conservan durante la vigencia de la suscripción y están disponibles para exportación por el Responsable.
• Las encuestas de satisfacción se conservan durante la vigencia de la suscripción.
• Los respaldos de base de datos pueden contener datos por un período adicional conforme a las políticas de retención del proveedor de infraestructura.
Puede solicitar la eliminación de su cuenta y datos personales en cualquier momento, sujeto a las obligaciones de retención legal mencionadas.
La Plataforma utiliza almacenamiento local del navegador (localStorage) exclusivamente para:
• Mantener su sesión de usuario activa.
• Guardar preferencias de configuración (tema, idioma, sucursal seleccionada).
• Almacenar tokens de autenticación de forma segura.
NO utilizamos cookies de terceros con fines publicitarios, de rastreo, ni de perfilamiento. NO realizamos seguimiento de comportamiento del usuario fuera de la Plataforma. NO compartimos datos de navegación con redes publicitarias.
La Plataforma no está dirigida a menores de 18 años. No recabamos de manera intencional datos personales de menores de edad. Si detectamos que un menor ha proporcionado datos personales, procederemos a eliminarlos de inmediato.
Nos reservamos el derecho de modificar este Aviso de Privacidad en cualquier momento, conforme al artículo 17, fracción II de la LFPDPPP. Cualquier cambio será notificado a través de la Plataforma con al menos 15 días de anticipación. El uso continuado del servicio después de la notificación constituye aceptación de las modificaciones.
Al utilizar la Plataforma, usted manifiesta haber leído, entendido y aceptado los términos de este Aviso de Privacidad Integral, otorgando su consentimiento expreso para el tratamiento de sus datos personales conforme a lo aquí descrito.
Para dudas, quejas o solicitudes sobre el tratamiento de sus datos personales, contacte a: soporte@prelo.app