Política de Privacidad

Fecha de entrada en vigor: 5 de mayo de 2026. Esta Política de Privacidad describe cómo Fideliza+ ("Fideliza+", "nosotros" o "nuestro") recopila, usa, almacena y protege la información personal de quienes usan nuestra plataforma. Al acceder o usar los servicios de Fideliza+, aceptas las prácticas descritas en este documento.

Fideliza+ opera como una plataforma SaaS de fidelización multi-tenant. Existen dos tipos de usuarios: los negocios que administran sus programas de lealtad (usuarios administradores) y los clientes finales de esos negocios. Esta política cubre ambos casos.

1. Responsable del tratamiento

Fideliza+ actúa como responsable del tratamiento respecto a los datos de los usuarios administradores (negocios). Respecto a los datos de los clientes finales ingresados por los negocios, Fideliza+ actúa como encargado del tratamiento bajo las instrucciones del negocio correspondiente, que es el responsable.

Para consultas sobre privacidad, puedes contactarnos en: privacy@fideliza.app

2. Datos que recopilamos

2.1 Datos de usuarios administradores (negocios)

Al registrar un negocio en Fideliza+, recopilamos:

• Nombre completo del usuario registrante
• Dirección de correo electrónico
• Contraseña (almacenada de forma cifrada mediante Supabase Auth — nunca en texto plano)
• Nombre del negocio y subdominio elegido (ej. tu-negocio.fideliza.app)
• Información de facturación gestionada por Stripe (no almacenamos datos de tarjetas de crédito)
• Configuración de la cuenta: colores, mensaje de bienvenida, etiquetas personalizadas, URL de términos

2.2 Datos de clientes finales (ingresados por el negocio)

Los negocios registran a sus clientes en la plataforma. Fideliza+ almacena la siguiente información por instrucción del negocio:

• Nombre del cliente final
• Número de teléfono (opcional)
• Notas internas sobre el cliente (opcional, visibles solo para el negocio)
• Código de acceso único generado automáticamente (alfanumérico, sin relación con datos personales)
• Balance de puntos, sellos y visitas por programa
• Historial completo de transacciones (inmutable por diseño)
• Vouchers emitidos y su estado (pendiente, canjeado, expirado)

Los clientes finales no crean una cuenta en Fideliza+ ni proporcionan su correo electrónico a la plataforma. Su acceso es mediante un código alfanumérico gestionado por el negocio.

2.3 Datos técnicos y de uso

• Dirección IP de las solicitudes entrantes (usada para limitación de velocidad y registros de auditoría de seguridad)
• Marca de tiempo de cada operación
• Tipo y versión del navegador (logs estándar del servidor)
• Eventos de auditoría internos (inicio de sesión, cambios de configuración, operaciones sensibles)

3. Cómo usamos tus datos

Usamos la información recopilada para los siguientes fines:

• Prestar el servicio: gestionar cuentas, programas de fidelización, transacciones de puntos y canjes
• Autenticación y seguridad: verificar identidades, prevenir accesos no autorizados y mantener registros de auditoría
• Facturación: procesar pagos y gestionar suscripciones a través de Stripe
• Comunicaciones: enviar confirmaciones de transacciones, notificaciones de cuenta y actualizaciones del servicio al correo del administrador
• Mejora del servicio: análisis agregados y anónimos del uso de la plataforma para mejorar funcionalidades
• Cumplimiento legal: responder a obligaciones legales, órdenes judiciales o requerimientos regulatorios

No vendemos, arrendamos ni compartimos datos personales con terceros con fines publicitarios o comerciales ajenos a la prestación del servicio.

4. Terceros que procesan datos

Para operar el servicio, compartimos datos necesarios con los siguientes subencargados del tratamiento:

• Supabase (supabase.com) — base de datos PostgreSQL, autenticación y almacenamiento. Actúa como subencargado bajo un Acuerdo de Procesamiento de Datos (DPA). Los datos pueden almacenarse en servidores en la UE o EE.UU. según la configuración de la instancia.
• Stripe (stripe.com) — procesamiento de pagos y gestión de suscripciones. Stripe es responsable independiente respecto a los datos de pago bajo su propia política de privacidad. No almacenamos datos de tarjetas de crédito.
• Proveedores de infraestructura de hosting — para alojar la aplicación web. Los datos se transmiten cifrados (TLS 1.2+).

5. Retención de datos

• Datos de la cuenta del negocio: mientras la cuenta esté activa. Tras la eliminación de la cuenta, se conservan durante 30 días antes de ser eliminados definitivamente, salvo obligación legal de retención mayor.
• Historial de transacciones: inmutable por diseño del sistema para garantizar integridad. Se elimina al eliminarse la cuenta del negocio.
• Datos de clientes finales: permanecen activos mientras el negocio administrador mantenga su cuenta. El negocio puede desactivar o gestionar a sus clientes en cualquier momento.
• Registros de auditoría y seguridad: hasta 12 meses desde su creación.
• Datos de facturación: de acuerdo con las obligaciones fiscales y contables aplicables (generalmente 5-7 años).

6. Seguridad

Implementamos medidas técnicas y organizativas para proteger los datos:

• Cifrado en tránsito: TLS/HTTPS en todas las comunicaciones
• Contraseñas: cifradas mediante algoritmos de hashing seguros gestionados por Supabase Auth (nunca almacenadas en texto plano)
• Aislamiento de datos: cada negocio opera en un subdominio propio con políticas de seguridad a nivel de fila (Row Level Security) en la base de datos — es imposible acceder a datos de otro negocio
• Políticas de seguridad HTTP: CSP, HSTS, X-Frame-Options, X-Content-Type-Options aplicadas a nivel de servidor
• Códigos de canje: generados mediante bytes aleatorios criptográficamente seguros
• Registro de auditoría: todas las operaciones sensibles quedan registradas con marca de tiempo e IP de origen
• Redacción de PII en logs: los datos personales (emails, teléfonos, códigos) se redactan en los registros del sistema antes de su escritura

A pesar de estas medidas, ningún sistema es completamente invulnerable. En caso de una brecha de seguridad que afecte a tus datos, te notificaremos conforme a los plazos exigidos por la normativa aplicable.

7. Tus derechos

Según la normativa aplicable (incluyendo el RGPD para usuarios en el Espacio Económico Europeo y la CCPA para residentes en California), tienes los siguientes derechos:

• Acceso: solicitar una copia de los datos personales que tenemos sobre ti
• Rectificación: corregir datos incorrectos o incompletos
• Supresión ("derecho al olvido"): solicitar la eliminación de tus datos personales, sujeto a las excepciones legales aplicables
• Portabilidad: recibir tus datos en un formato estructurado y legible por máquina
• Oposición y limitación: oponerte al tratamiento o solicitar su limitación en determinadas circunstancias
• Retirada del consentimiento: cuando el tratamiento se base en el consentimiento, puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento anterior
• Reclamación: presentar una reclamación ante la autoridad de control competente de tu país

Para ejercer cualquiera de estos derechos, escríbenos a privacy@fideliza.app. Responderemos en un plazo máximo de 30 días.

Nota para clientes finales de negocios: si eres el cliente de un negocio que usa Fideliza+ y quieres ejercer tus derechos sobre los datos que ese negocio tiene registrados sobre ti, debes dirigirte directamente al negocio (responsable del tratamiento). Fideliza+ actuará siguiendo sus instrucciones.

8. Cookies y tecnologías de seguimiento

Fideliza+ usa cookies estrictamente necesarias para la autenticación de los usuarios administradores (sesión de Supabase). No usamos cookies de seguimiento, publicidad o análisis de comportamiento de terceros.

Los clientes finales que acceden al portal a través de su código de acceso no requieren cookies para usar la plataforma.

9. Menores de edad

Fideliza+ está dirigida exclusivamente a negocios y profesionales. No recopilamos intencionalmente datos de menores de 16 años. Si tienes conocimiento de que un menor ha proporcionado datos personales sin consentimiento parental, contáctanos para eliminarlos.

10. Transferencias internacionales

Los datos pueden almacenarse y procesarse en servidores ubicados fuera de tu país de residencia. Cuando transferimos datos desde el Espacio Económico Europeo, lo hacemos bajo mecanismos de transferencia adecuados (cláusulas contractuales tipo, decisiones de adecuación u otros mecanismos reconocidos por la normativa vigente).

11. Cambios en esta política

Podemos actualizar esta Política de Privacidad periódicamente. Te notificaremos cualquier cambio material por correo electrónico o mediante un aviso destacado en la plataforma al menos 15 días antes de su entrada en vigor. El uso continuado del servicio tras la fecha de vigencia implica tu aceptación de la versión actualizada.

12. Contacto

Para cualquier consulta, solicitud o reclamación relacionada con la privacidad de tus datos, puedes contactarnos en:

Fideliza+
Correo: privacy@fideliza.app