Legal

Aviso de Privacidad

Última actualización: 25 de junio de 2026 · Versión 1.0

Contenido

1. Responsable del tratamiento 2. Datos personales que recopilamos 3. Finalidad y base legal 4. Transferencias a terceros 5. Retención de datos 6. Tus derechos (ARCO / GDPR) 7. Seguridad 8. Cookies y almacenamiento local 9. Menores de edad 10. Transferencias internacionales 11. Derechos adicionales — California (CCPA) 12. Cambios a este aviso 13. Contacto

1. Responsable del tratamiento

Rufyx ("nosotros", "la plataforma") es el responsable del tratamiento de los datos personales recopilados a través de este servicio. Para ejercer tus derechos o resolver cualquier duda relacionada con privacidad, puedes contactarnos en:

Correo electrónico: privacidad@rufyx.com

    Rufyx opera como plataforma SaaS (Software como Servicio) para negocios de barbería y estética. Existen
    dos capas de usuarios: los barberos/dueños que contratan el servicio, y los
    clientes finales que reservan citas a través de sus páginas públicas. Este aviso aplica a ambas capas.
  

2. Datos personales que recopilamos

De barberos y dueños de negocio (usuarios directos de Rufyx):

Dato	Obligatorio	Propósito
Nombre completo	Sí	Identificación en el panel y página de reservas
Correo electrónico	Sí	Autenticación, comunicaciones del servicio
Contraseña (hash bcrypt)	Sí	Autenticación segura — nunca se almacena en texto claro
Número de teléfono	No	Recordatorios de citas por WhatsApp
Foto de perfil / avatar	No	Personalización del panel y página pública
Datos del negocio (nombre, logo, dirección, horario)	No	Configurar la página pública de reservas
Datos financieros (ingresos, gastos)	No	Panel de finanzas — solo accesible por el dueño
Fecha de aceptación del aviso de privacidad	—	Registro de consentimiento (requisito legal)

De clientes finales (personas que reservan citas):

Dato	Obligatorio	Propósito
Nombre	Sí	Identificación en la cita
Número de teléfono	Sí	Identificador único del cliente, recordatorios de cita
Historial de citas	—	Gestión de la agenda del negocio
Registro de inasistencias	—	Protección contra clientes que cancelan de manera reiterada

3. Finalidad y base legal

Tratamos tus datos bajo las siguientes bases legales (conforme al GDPR Art. 6):

Finalidad	Base legal
Prestar el servicio de agenda de citas	Ejecución de contrato (Art. 6.1.b)
Autenticación y seguridad de la cuenta	Ejecución de contrato / Interés legítimo (Art. 6.1.f)
Envío de recordatorios de citas por WhatsApp o email	Interés legítimo del negocio (Art. 6.1.f)
Panel de finanzas e inventario	Ejecución de contrato (Art. 6.1.b)
Prevención de fraude y abuso	Interés legítimo (Art. 6.1.f)
Cumplimiento de obligaciones legales (ej. fiscales)	Obligación legal (Art. 6.1.c)
Comunicaciones de marketing o novedades del producto	Consentimiento (Art. 6.1.a) — solo si lo aceptas expresamente

4. Transferencias a terceros

No vendemos ni compartimos tus datos con terceros para fines comerciales. Los únicos terceros que pueden acceder a datos personales son proveedores de infraestructura necesarios para operar el servicio:

Proveedor de hosting / base de datos — almacena todos los datos del sistema
Proveedor de email (cuando esté activo) — recibe tu dirección de correo para entrega de mensajes transaccionales
Proveedor de WhatsApp (cuando esté activo) — recibe el número de teléfono para enviar recordatorios
Pasarela de pago (cuando esté activa) — recibe datos de facturación para procesar suscripciones

Todos los proveedores están obligados contractualmente a proteger los datos y no pueden usarlos para sus propios fines.

5. Retención de datos

Tipo de dato	Período de retención
Cuenta de barbero/dueño activa	Mientras dure la relación contractual
Datos de citas y finanzas	3 años desde la cancelación de la cuenta (obligación fiscal común)
Logs de seguridad y accesos	90 días
Datos de clientes finales sin actividad	2 años desde la última cita
Tokens de recuperación de contraseña	1 hora (expiran automáticamente)

Al eliminar tu cuenta, tus datos se borran de forma inmediata e irreversible, salvo los que debamos conservar por obligación legal.

6. Tus derechos

Bajo el GDPR (UE), LFPDPPP (México), LGPD (Brasil) y leyes equivalentes, tienes derecho a:

Acceso — conocer qué datos tenemos sobre ti
Rectificación — corregir datos incorrectos desde tu panel en Configuración
Supresión ("derecho al olvido") — eliminar tu cuenta y todos tus datos desde Configuración → Mis datos
Portabilidad — descargar todos tus datos en formato JSON desde Configuración → Mis datos → Exportar
Oposición — oponerte a ciertos tratamientos (ej. marketing)
Limitación del tratamiento — solicitar que pausemos el uso de tus datos en ciertos contextos

Para ejercer cualquiera de estos derechos escríbenos a privacidad@rufyx.com. Responderemos en un plazo máximo de 30 días hábiles.

7. Seguridad

Implementamos medidas técnicas y organizativas para proteger tus datos:

Contraseñas almacenadas con hash bcrypt (nunca en texto claro)
Comunicaciones cifradas mediante HTTPS / TLS
Autenticación mediante tokens JWT con expiración
Rate limiting para prevenir ataques de fuerza bruta
Acceso a datos restringido por rol (dueño vs. barbero)
Bloqueos anti-traslape de citas mediante locks transaccionales en base de datos

Ningún sistema es 100% seguro. En caso de una brecha de datos que afecte tus derechos, te notificaremos dentro de las 72 horas siguientes a que tengamos conocimiento, conforme al GDPR Art. 33/34.

8. Cookies y almacenamiento local

Rufyx no utiliza cookies de rastreo ni analytics de terceros. Usamos localStorage del navegador exclusivamente para:

Guardar tu token de sesión (JWT) — se elimina al cerrar sesión
Recordar tu preferencia de tema claro/oscuro

Estos datos nunca salen de tu navegador hacia terceros.

9. Menores de edad

Rufyx está dirigido a profesionales mayores de 18 años. No recopilamos intencionalmente datos de menores. Si tienes conocimiento de que un menor ha creado una cuenta, contáctanos para eliminarla.

10. Transferencias internacionales de datos

Si tus datos se almacenan en servidores fuera de tu país de residencia (por ejemplo, en Estados Unidos), dichas transferencias se realizan bajo mecanismos de protección adecuados, como las Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea, o marcos de adecuación equivalentes. Nuestros proveedores de infraestructura cumplen con estos requisitos.

11. Derechos adicionales — Residentes de California (CCPA/CPRA)

Si resides en California, además de los derechos generales tienes derecho a:

Saber si vendemos o compartimos tu información personal (no lo hacemos)
Optar por no participar en la "venta" o "compartición" de datos (no aplica — no vendemos datos)
No ser discriminado por ejercer tus derechos de privacidad

Para solicitudes CCPA escríbenos a privacidad@rufyx.com.

12. Cambios a este aviso

Podemos actualizar este aviso periódicamente. Cuando los cambios sean significativos, te notificaremos por correo electrónico y mostraremos un aviso en el panel con al menos 30 días de anticipación. La fecha de "última actualización" al inicio de este documento siempre refleja la versión vigente.

13. Contacto

Para cualquier consulta, solicitud de derechos o reporte de incidentes de privacidad:

Email: privacidad@rufyx.com

Si no quedas satisfecho con nuestra respuesta, puedes presentar una reclamación ante la autoridad de protección de datos de tu país (INAI en México, AEPD en España, ICO en Reino Unido, etc.).