El presente Aviso de Privacidad se emite en cumplimiento de lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y los Lineamientos del Aviso de Privacidad publicados por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
1. Identidad del responsable
{{TODO_RAZON_SOCIAL}}
({{TODO_TIPO_DE_ENTIDAD}}, RFC {{TODO_RFC}}),
con domicilio en {{TODO_DOMICILIO_FISCAL}}
(en adelante, “Udigital”), es
responsable del tratamiento de los datos personales descritos en el
apartado 3 de este Aviso, en los términos y para las finalidades
establecidos en el apartado 4.
2. Roles del tratamiento de datos
Udigital actúa bajo dos roles distintos según el tipo de dato y el titular de los mismos:
2.1 Como responsable
Respecto a los datos personales del personal del Cliente (los usuarios del panel administrativo del Servicio: nombre, correo electrónico, contraseña, rol asignado, registros de acceso y actividad).
2.2 Como encargado
Respecto a los datos personales que el Cliente recaba de sus propios clientes finales (compradores, asistentes a citas, leads) y carga o procesa a través del Servicio. En estos casos, el Cliente (la pastelería) es el responsable frente a sus clientes finales y Udigital actúa por cuenta del Cliente, conforme al artículo 50 del Reglamento de la LFPDPPP.
3. Datos personales recabados
3.1 Datos del usuario administrador del Cliente
- Nombre completo.
- Correo electrónico de acceso.
- Contraseña (almacenada en formato hash, nunca en texto plano).
- Rol asignado dentro del Cliente (owner, admin, editor, viewer, location_admin).
- Datos técnicos de acceso: dirección IP, fecha y hora del último inicio de sesión, navegador y sistema operativo.
- Datos de facturación necesarios para emitir el comprobante fiscal de la suscripción al Servicio.
3.2 Datos del cliente final que el Cliente procesa a través del Servicio
El Cliente puede cargar o el Servicio puede capturar — siempre por instrucción del Cliente y bajo su responsabilidad — los siguientes datos relativos a sus propios clientes finales:
- Nombre del comprador o lead.
- Correo electrónico.
- Teléfono.
- Información del pedido o cita (productos, fechas, sucursal, código de recogida).
- Atributos personalizados configurados por el Cliente (por ejemplo, fecha del evento, alergias declaradas, notas de personalización).
Udigital no recaba ni almacena datos de tarjetas de crédito o débito. Los pagos en línea se procesan íntegramente a través de Stripe mediante Stripe Elements, una integración del lado del cliente que envía la información de la tarjeta directamente a Stripe sin pasar por nuestros servidores. El Servicio opera en el nivel PCI-DSS SAQ-A.
3.3 Datos sensibles
Udigital no solicita datos personales sensibles en los términos del artículo 3, fracción VI de la LFPDPPP. El Cliente se obliga a no cargar dichos datos al Servicio a través de campos de texto libre o atributos personalizados.
4. Finalidades del tratamiento
4.1 Finalidades primarias
- Proveer el Servicio al Cliente y permitirle administrar su negocio (catálogo, pedidos, citas, leads).
- Autenticar a los usuarios del Cliente en el panel administrativo y aplicar el control de acceso por roles.
- Procesar la suscripción mensual y emitir facturación.
- Garantizar la seguridad del Servicio: detectar y prevenir accesos no autorizados, fraude, abuso de recursos y actividades que comprometan la integridad de la plataforma o de los demás Clientes.
- Notificar al Cliente sobre incidentes de seguridad, mantenimientos, cambios contractuales y avisos operativos del Servicio.
- Atender solicitudes de soporte técnico.
- Cumplir obligaciones fiscales, contables y regulatorias aplicables.
4.2 Finalidades secundarias
Udigital no realiza tratamientos con finalidades secundarias tales como mercadotecnia, prospección comercial dirigida a los clientes finales del Cliente, ni elaboración de perfiles. En consecuencia, no es necesario manifestar negativa al respecto en este momento.
5. Transferencias y proveedores
Para prestar el Servicio, Udigital se apoya en los siguientes encargados/proveedores subcontratados, algunos de los cuales procesan datos en territorios fuera de México:
- Proveedor de hosting: alojamiento de la aplicación y la base de datos relacional MySQL.
- Cloudflare R2: almacenamiento de archivos multimedia cargados al Servicio (imágenes de productos, logos, galerías). Infraestructura distribuida globalmente.
- Stripe Payments Inc.: procesamiento de pagos en línea de los clientes finales del Cliente. Stripe trata los datos de tarjeta directamente bajo su propia responsabilidad. Infraestructura en Estados Unidos.
- Proveedor SMTP del Cliente: envío de correos transaccionales (confirmaciones de pedido, recuperación de contraseña). Las credenciales SMTP las aporta el propio Cliente y los correos se envían desde su dominio.
Estas transferencias se realizan exclusivamente para la prestación del Servicio y se encuentran amparadas en los supuestos del artículo 37, fracciones V y VI de la LFPDPPP (relación jurídica entre el responsable y el titular, y prestación del Servicio por cuenta del responsable), por lo que no requieren consentimiento expreso adicional.
Udigital no comercializa, vende, renta ni cede los datos personales a terceros con fines distintos a los aquí descritos.
6. Medidas de seguridad
Udigital implementa medidas administrativas, técnicas y físicas razonables para proteger los datos personales contra daño, pérdida, alteración, destrucción o uso, acceso o tratamiento no autorizado, en los términos del artículo 19 de la LFPDPPP.
Entre las medidas técnicas destacan:
- Cifrado en tránsito mediante HTTPS / TLS obligatorio en todas las conexiones.
- Cifrado en reposo de credenciales sensibles (claves de Stripe y SMTP) a nivel de columna mediante AES-256-GCM.
- Almacenamiento de contraseñas mediante funciones hash resistentes (
bcrypt). - Aislamiento lógico de datos por
tenant_id, control de acceso basado en roles (RBAC) y validación de pertenencia a tenant en cada solicitud. - Validación de webhooks de Stripe mediante firma criptográfica del payload (
webhook_secretpor tenant). - Registro de actividad sensible (auditoría) y monitoreo del Servicio.
- Respaldos periódicos de la base de datos.
7. Derechos ARCO y revocación del consentimiento
El titular de los datos personales tiene derecho a Acceder a sus datos, Rectificarlos cuando sean inexactos, Cancelarlos cuando considere que no se requieren para alguna de las finalidades señaladas, Oponerse a usos específicos, así como a revocar el consentimiento otorgado para su tratamiento.
Para ejercer estos derechos:
- Si eres usuario del panel del Cliente, envía tu solicitud por escrito al correo {{TODO_EMAIL_PRIVACIDAD}} indicando: (i) nombre y medio para recibir respuesta; (ii) documento que acredite tu identidad; (iii) descripción clara de los datos respecto de los que se ejerce el derecho; (iv) cualquier elemento que facilite la localización de tus datos.
- Si eres cliente final de una pastelería que usa Udigital, debes dirigir tu solicitud directamente a la pastelería (responsable de tus datos), conforme a su propio Aviso de Privacidad. Si nos contactas a nosotros, canalizaremos la solicitud a la pastelería correspondiente, sin perjuicio de tu derecho a acudir al INAI.
Udigital dará respuesta en los plazos previstos por la LFPDPPP (20 días hábiles, prorrogables conforme a ley).
8. Conservación y supresión
Los datos del Cliente se conservan mientras la suscripción al Servicio esté vigente. Tras la cancelación, los datos se mantienen disponibles para exportación durante 30 días naturales y posteriormente se eliminan de los sistemas activos. Las copias de respaldo cifradas pueden conservar los datos hasta por 90 días adicionales antes de su borrado definitivo.
Los registros que deban conservarse por imperativo fiscal, contable o regulatorio se mantendrán por el plazo legal aplicable, debidamente aislados y con acceso restringido.
9. Uso de cookies
El Servicio utiliza cookies estrictamente necesarias para el funcionamiento del panel administrativo (sesión y protección contra CSRF). Para más detalle, consulta nuestra Política de Cookies.
10. Cambios al Aviso de Privacidad
Udigital podrá modificar este Aviso de Privacidad para adaptarlo a novedades legislativas, jurisprudenciales, políticas internas, nuevos requerimientos para la prestación del Servicio o cambios en su modelo de negocio.
Cualquier modificación se publicará en https://www.admin.udigitalbusiness.com/legal/privacidad e implicará la actualización del número de versión y de la fecha de vigencia mostrados al inicio de este documento. Las modificaciones materiales se notificarán adicionalmente por correo electrónico al usuario propietario de cada Cliente.
11. Autoridad reguladora
El titular de los datos personales puede acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en caso de considerar que su derecho a la protección de datos personales ha sido vulnerado: home.inai.org.mx.
12. Contacto en materia de privacidad
Para cualquier duda, comentario o solicitud relacionada con este Aviso de Privacidad o el ejercicio de derechos ARCO, escríbenos a {{TODO_EMAIL_PRIVACIDAD}}.