Política de Privacidad

Última actualización: 15 de abril de 2026 Fecha de entrada en vigor: 15 de abril de 2026

Esta Política de Privacidad describe cómo Rodrigo de la Torre González (persona física con actividad empresarial) (en adelante, "nosotros", "la Empresa" o "Xtarly"), con domicilio en Av. Vallarta 4327, Col. Camino Real, C.P. 45040, Zapopan, Jalisco, México, recopila, usa, almacena y protege la información personal de los usuarios ("tú", "usuario") de las aplicaciones móviles Xtarly Rewards y las aplicaciones de marca blanca operadas sobre la plataforma Xtarly (incluyendo Caffenio Rewards), así como del sitio web https://www.xtarly.com (en conjunto, los "Servicios").

Al descargar, instalar o usar los Servicios aceptas las prácticas descritas en esta Política.

1. Responsable del tratamiento

  • Responsable: Rodrigo de la Torre González (persona física con actividad empresarial)
  • Domicilio: Av. Vallarta 4327, Col. Camino Real, C.P. 45040, Zapopan, Jalisco, México
  • Correo de contacto / Oficial de Privacidad: atencion@xtarly.com
  • Soporte: atencion@xtarly.com

Si tu cuenta pertenece a un programa de lealtad operado por un tercero (por ejemplo, Caffenio Rewards), dicho tercero actúa como corresponsable del tratamiento respecto de los datos que tú compartes con su programa. La identidad del operador del programa se muestra dentro de la aplicación.

2. Datos personales que recopilamos

Recopilamos únicamente la información necesaria para operar el programa de lealtad:

2.1 Datos que tú nos proporcionas

  • Datos de registro y cuenta: nombre completo, correo electrónico, contraseña (almacenada cifrada mediante hash), número de teléfono (opcional), idioma y país preferidos.
  • Foto de perfil / avatar: imagen opcional que puedes subir desde tu galería o cámara.
  • Código de referido: código que puedes introducir o compartir.

2.2 Datos generados por el uso del Servicio

  • Datos del programa de lealtad: saldo de puntos, sellos, nivel/tier, historial de transacciones, canjes de recompensas, cupones redimidos.
  • Notificaciones push: token de dispositivo de Expo/FCM/APNs, plataforma (iOS/Android) y estado de lectura de notificaciones.
  • Datos técnicos: identificador anónimo de sesión, versión de la app, sistema operativo, tipo de dispositivo, dirección IP y marcas de tiempo de acceso.

2.3 Datos que no recopilamos

  • No accedemos a tu ubicación GPS.
  • No accedemos a tus contactos.
  • No accedemos al micrófono.
  • No recopilamos datos de pago (la app no procesa pagos de clientes finales).
  • No usamos SDKs de publicidad de terceros.
  • No integramos analítica de comportamiento de terceros (Google Analytics, Facebook SDK, etc.) en la app móvil.

3. Permisos del dispositivo

| Permiso | Uso | Obligatorio | |---|---|---| | Notificaciones | Enviar avisos de puntos ganados, recompensas, cupones y cambios de nivel | No | | Cámara | Tomar una foto para tu avatar | No | | Galería / Fotos | Seleccionar una imagen para tu avatar | No | | Internet | Conexión con nuestros servidores | Sí |

Puedes revocar cualquier permiso en cualquier momento desde los ajustes de tu dispositivo.

4. Finalidades del tratamiento

Finalidades primarias (necesarias para prestar el Servicio)

  1. Crear y administrar tu cuenta.
  2. Autenticarte mediante correo y contraseña (JWT/refresh token almacenados de forma segura en expo-secure-store).
  3. Acreditar puntos, sellos y nivel; registrar transacciones y canjes.
  4. Mostrar menú, sucursales, banners y contenido del programa al que perteneces.
  5. Enviarte notificaciones transaccionales (puntos ganados, recompensas disponibles, cupones nuevos, cambio de nivel, mensajes del programa).
  6. Prevenir fraude, abuso y usos indebidos.
  7. Cumplir con obligaciones legales.

Finalidades secundarias (puedes oponerte sin afectar el Servicio)

  • Comunicaciones promocionales del programa de lealtad al que estás inscrito.
  • Encuestas de satisfacción.

Puedes oponerte a las finalidades secundarias escribiendo a atencion@xtarly.com o desde los ajustes de notificaciones de la app.

5. Base legal del tratamiento (GDPR / usuarios en la UE)

  • Ejecución del contrato: para operar tu cuenta y el programa de lealtad.
  • Consentimiento: para notificaciones push y comunicaciones promocionales (revocable en cualquier momento).
  • Interés legítimo: para seguridad, prevención de fraude y mejora del Servicio.
  • Obligación legal: para cumplir requerimientos fiscales y de autoridades competentes.

6. Con quién compartimos tus datos

No vendemos tus datos personales. Los compartimos únicamente con:

  • El operador del programa de lealtad al que te inscribiste (por ejemplo, Caffenio), exclusivamente para operar su programa.
  • Proveedores de infraestructura (encargados del tratamiento):
    • Vercel Inc. — alojamiento del backend y sitio web.
    • Expo / Google Firebase Cloud Messaging / Apple Push Notification service — entrega de notificaciones push.
    • Supabase (PostgreSQL gestionado) — almacenamiento de la base de datos.
    • Supabase Storage — almacenamiento del avatar.
    • Resend — envío de correos de verificación y recuperación de contraseña.
  • Autoridades competentes cuando exista una obligación legal.

Todos los proveedores están sujetos a contratos de tratamiento de datos conforme a la legislación aplicable.

7. Transferencias internacionales

Algunos proveedores procesan datos fuera de tu país de residencia (principalmente Estados Unidos y la Unión Europea). En esos casos aplicamos las salvaguardas adecuadas (Cláusulas Contractuales Tipo, certificaciones equivalentes o consentimiento informado) para garantizar un nivel de protección adecuado.

8. Conservación de los datos

Conservamos tus datos mientras tu cuenta esté activa y durante el plazo adicional necesario para cumplir obligaciones legales y fiscales (hasta 10 años en México por normativa fiscal; 5 años en la UE salvo obligación mayor). Los tokens de sesión se eliminan al cerrar sesión o al expirar. Los tokens de notificación se eliminan al desinstalar la app o al dar de baja el dispositivo.

9. Seguridad

Aplicamos medidas técnicas y organizativas razonables:

  • TLS/HTTPS para todas las comunicaciones.
  • Hash de contraseñas con algoritmos modernos (bcrypt/argon2).
  • Almacenamiento cifrado de tokens en expo-secure-store (Keychain en iOS, Keystore en Android).
  • Principio de mínimo privilegio en el acceso del personal.
  • Auditorías y respaldo periódicos.

Ningún sistema es 100 % invulnerable; te pedimos usar una contraseña robusta y no compartirla.

10. Tus derechos

Tienes derecho a:

  • Acceder a los datos personales que tenemos sobre ti.
  • Rectificar datos inexactos.
  • Cancelar / Suprimir tu cuenta y datos ("derecho al olvido").
  • Oponerte o limitar ciertos tratamientos.
  • Portabilidad de tus datos en formato estructurado.
  • Revocar el consentimiento en cualquier momento.
  • Presentar una queja ante la autoridad competente (INAI en México, tu autoridad de control en la UE).

Para ejercer cualquiera de estos derechos, o solicitar la eliminación de tu cuenta, escribe a atencion@xtarly.com desde el correo asociado a tu cuenta. Responderemos en un plazo máximo de 20 días hábiles. También puedes eliminar tu cuenta desde Ajustes → Cuenta → Eliminar cuenta dentro de la app.

Página pública para solicitar la eliminación de cuenta: https://www.xtarly.com/legal/delete-account

11. Menores de edad

Los Servicios están dirigidos a personas mayores de 13 años (o la edad mínima equivalente en tu jurisdicción, p. ej. 16 en la UE). No recopilamos conscientemente datos de menores sin consentimiento verificable de los padres o tutores. Si consideras que un menor nos ha proporcionado datos, escríbenos a atencion@xtarly.com y los eliminaremos.

12. Cookies y tecnologías similares (sitio web)

El sitio web xtarly.com utiliza las siguientes cookies:

| Tipo | Nombre / Proveedor | Finalidad | Duración | |---|---|---|---| | Técnica necesaria | session_token (Better Auth) | Autenticación de sesión | Hasta cierre de sesión | | Preferencia necesaria | consent | Guardar tu elección sobre cookies | 30 días | | Preferencia necesaria | NEXT_LOCALE | Idioma preferido | 1 año | | Analítica (opcional) | Google Analytics 4 (_ga, _ga_*) — ID: G-RDFRE8DCWG | Medir el uso del sitio de forma agregada | Hasta 2 años | | Publicidad (opcional) | Google Ads — ID: AW-18156222591 | Medir conversiones de anuncios | Hasta 90 días | | Gestión de etiquetas (opcional) | Google Tag Manager — ID: GTM-KSX6VMVF | Cargar scripts de analítica y publicidad | Sesión |

Las cookies marcadas como opcionales solo se cargan si das tu consentimiento mediante el banner que aparece en tu primera visita. Puedes revocar el consentimiento en cualquier momento borrando la cookie consent desde la configuración de tu navegador, o vaciando el caché de cookies — el banner volverá a aparecer en tu próxima visita.

Más información sobre el uso de datos de Google: policies.google.com/privacy.

La app móvil no utiliza cookies de terceros.

13. Cambios a esta Política

Podemos actualizar esta Política. Publicaremos la nueva versión en esta misma URL y, si los cambios son sustanciales, te lo notificaremos por correo o dentro de la app con al menos 15 días de anticipación.

14. Contacto

Rodrigo de la Torre González (persona física con actividad empresarial) Av. Vallarta 4327, Col. Camino Real, C.P. 45040, Zapopan, Jalisco, México 📧 atencion@xtarly.com 🌐 https://www.xtarly.com