Aviso de privacidad integral

Este aviso aplica al tratamiento de datos personales en el sitio web público de Comenza (páginas informativas, precios, contacto y política de cookies) y, en conjunto, al servicio Comenza que utilizas al registrarte en el panel de administración, contratar planes y operar tu negocio. Si solo navegas por este sitio, algunas secciones te afectan de forma parcial; si tienes cuenta en el panel, aplica el conjunto del aviso.

En cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y las disposiciones aplicables, el responsable del tratamiento de los datos personales descritos (el «Responsable») es quien presta el servicio comercializado bajo la marca Comenza. Los datos de identificación completos del Responsable (denominación o razón social, domicilio y, en su caso, registro federal de contribuyentes) podrán consultarse en la documentación de facturación que recibas o solicitarse al equipo de soporte por los medios habilitados en el servicio.

1. Definiciones breves

• Datos personales: información que identifica o hace identificable a una persona física.
• Titular: la persona física a quien corresponden los datos personales.
• Cliente o cuenta del negocio: el titular que registra el restaurante o negocio y los usuarios que este autoriza en el panel.
• Tratamiento: obtención, uso, divulgación, almacenamiento, acceso o cualquier forma de manejo de datos personales.

2. Datos personales que podemos recabar

Dependiendo de cómo interactúes con Comenza, podemos tratar, entre otros, las siguientes categorías:

• Sitio web y contacto: si nos escribes desde el formulario de contacto u otros medios de este sitio, trataremos los datos que nos proporciones (por ejemplo nombre, correo electrónico, mensaje y teléfono si lo indicas) para atender tu solicitud y, en su caso, dar seguimiento comercial o de soporte.
• Identificación y contacto de usuarios del panel: correo electrónico, nombre o denominación con la que te registras, datos que proporciones al crear o administrar tu negocio (por ejemplo nombre del restaurante, nombre de sucursal, domicilio o teléfono de sucursal cuando los captures en la configuración o el alta inicial).
• Autenticación y seguridad: credenciales de acceso (la contraseña se almacena de forma resguardada; no conservamos la contraseña en texto plano), identificadores de sesión, registros técnicos asociados al uso del servicio y medidas antiabuso (por ejemplo limitación de intentos de registro o inicio de sesión).
• Datos de facturación de la suscripción: cuando contratas un plan de pago, el procesamiento de pagos recurrentes y la información fiscal o de facturación que proporciones o que genere el proceso de cobro se gestiona a través de nuestro proveedor de pagos (actualmente Stripe), conforme a su propio aviso de privacidad y términos.
• Operación del negocio dentro de la plataforma: datos que cargues o generes al usar el servicio (pedidos, tickets, notas operativas, contactos de marketing del menú si activas esas funciones, datos de inventario, etc.). Parte de esa información puede identificar a terceros (empleados, repartidores o comensales) según lo que tu negocio registre.
• Comunicaciones: contenido y metadatos necesarios para enviarte correos transaccionales o de seguridad (por ejemplo bienvenida, recuperación de acceso, notificaciones operativas o relacionadas con tu cuenta). El envío puede realizarse a través de proveedores de correo electrónico transaccional.
• Programa de ventas o referidos (si aplica): cuando participas como vendedor o referidor del producto, podemos tratar identificadores de cuenta, códigos de referido, datos de desempeño comercial y metadatos de campañas (por ejemplo parámetros UTM) para fines de atribución y comisiones.
• Protección frente a bots o fraude: podemos utilizar servicios de verificación humana (por ejemplo Cloudflare Turnstile u homólogos) que procesan señales técnicas asociadas a tu visita o envío de formularios.
• Validación de contraseñas: de forma opcional u obligatoria según la configuración vigente, podemos contrastar hashes o prefijos de contraseña contra bases públicas de filtraciones conocidas (por ejemplo el servicio Have I Been Pwned) exclusivamente para alertarte o impedir el uso de contraseñas inseguras, sin enviar tu contraseña completa en claro a terceros.

Comensales y terceros en el menú o pedidos: cuando tu negocio usa las funciones para que clientes finales hagan pedidos, dejen datos de contacto o soliciten factura, tu negocio suele actuar como responsable del tratamiento de esos datos en relación con sus clientes. Comenza provee la herramienta y trata esos datos en la medida necesaria para operar el servicio que contratas (encargado o responsable conjunto según corresponda a la operación real). Debes informar a tus clientes conforme a la ley aplicable a tu actividad.

3. Finalidades del tratamiento

Tratamos datos personales para fines necesarios y, en su caso, adicionales que la ley permite:

• Fines primarios (necesarios para la relación contractual y el servicio): crear y administrar tu cuenta; autenticar usuarios; operar el panel, el menú digital, pedidos, cocina (KDS), inventario, reportes y funciones contratadas; procesar suscripciones y cobros; atender mensajes enviados desde este sitio; prestar soporte; cumplir obligaciones legales aplicables al Responsable.
• Seguridad, integridad y prevención de abuso: detectar fraudes, ataques o usos indebidos; respaldar información; auditar eventos relevantes del sistema.
• Mejora del producto y analítica agregada: entender el uso de la plataforma en términos estadísticos o de rendimiento, siempre que no implique un tratamiento incompatible con las finalidades primarias, salvo que se requiera tu consentimiento según la normativa aplicable.
• Comunicaciones: enviarte mensajes relacionados con el servicio, cambios relevantes o requisitos legales.

Finalidades que requieren consentimiento: cuando la ley así lo exija (por ejemplo ciertas comunicaciones comerciales no indispensables o cookies no necesarias en este sitio), solicitaremos tu consentimiento de forma separada. Consulta la política de cookies de este sitio web.

4. Base jurídica y consentimiento

El tratamiento se funda en la relación contractual o precontractual contigo, el interés legítimo del Responsable en medidas razonables de seguridad y mejora del servicio (sin perjuicio de tus derechos), el cumplimiento de obligaciones legales y, donde proceda, el consentimiento que nos otorgues de manera expresa.

5. Transferencias y encargados

Para operar Comenza utilizamos proveedores que pueden tratar datos personales en nuestro nombre o con acceso técnico necesario, entre ellos (según la configuración del servicio):

• Infraestructura y alojamiento: servicios de cómputo en la nube y bases de datos (por ejemplo alojamiento de la aplicación y PostgreSQL).
• Pagos: Stripe, Inc. y sus afiliadas, que pueden encontrarse en el extranjero. En términos del artículo 37 de la LFPDPPP, es posible que existan transferencias internacionales cuando el proveedor procesa datos fuera de México. Al contratar el servicio de pago integrado, reconoces que dichas transferencias pueden ser necesarias para la prestación del servicio, sin perjuicio de los derechos que la ley te otorga.
• Correo transaccional: proveedores como Resend u otros SMTP/API de envío de correo.
• Caché o colas: servicios como Redis (por ejemplo Upstash) para tokens temporales, límites de uso u ofertas vinculadas al producto.
• Seguridad perimetral y DNS: por ejemplo Cloudflare u homólogos.

Los encargados reciben únicamente los datos razonablemente necesarios para su función y están obligados a tratarlos conforme a instrucciones del Responsable y la legislación aplicable. No vendemos tus datos personales en el sentido tradicional de «venta de listas».

6. Conservación de los datos

Conservamos los datos personales el tiempo necesario para cumplir las finalidades descritas, las obligaciones legales (contables, fiscales, regulatorias) y la resolución de controversias. Los criterios incluyen la vigencia de tu cuenta, requisitos de facturación y plazos de prescripción aplicables. Tras periodos de bloqueo legales, los datos pueden eliminarse o anonimizarse.

7. Medidas de seguridad

Implementamos medidas técnicas, administrativas y físicas proporcionales al riesgo, tales como controles de acceso, cifrado en tránsito cuando corresponde, separación lógica de datos entre clientes (multi-tenant), gestión de sesiones y buenas prácticas de desarrollo. Ningún sistema es 100 % invulnerable; si detectas un incidente relacionado con Comenza, repórtalo de inmediato a soporte.

8. Derechos ARCO y limitación del uso o divulgación

Como titular puedes ejercer los derechos de acceso, rectificación, cancelación y oposición (ARCO), así como revocar el consentimiento que hubieras otorgado, cuando proceda, y limitar el uso o divulgación de tus datos personales.

Usuarios del panel: envía tu solicitud a los medios de contacto habilitados en el servicio (por ejemplo formulario o correo de soporte dentro del panel). Incluye, cuando sea posible, tu nombre, correo de la cuenta, descripción clara de tu petición y copia de identificación oficial del titular o del representante legal (con documento que acredite la personalidad).

Datos enviados solo desde este sitio web (p. ej. formulario de contacto): puedes ejercer tus derechos a través de la sección Contacto, indicando que se trata de una solicitud ARCO y los datos necesarios para localizar tu mensaje.

El Responsable responderá en los plazos previstos por la ley y podrá solicitar información adicional razonable para confirmar tu identidad. En algunos casos la ley nos impide cancelar datos que debamos conservar.

9. Cookies y tecnologías similares

En este sitio web aplican las preferencias que configures según la política de cookies. El panel de administración utiliza además cookies o mecanismos similares necesarios para mantener tu sesión de forma segura y proteger el servicio cuando inicias sesión en el portal.

10. Cambios al aviso

Podemos actualizar este aviso para reflejar cambios en el tratamiento de datos, en el servicio o en la legislación. Publicaremos la versión vigente en esta dirección (y, para usuarios del panel, en la ruta correspondiente del portal) con la fecha de última actualización. Cuando el cambio sea sustancial y la ley lo requiera, te notificaremos por medios razonables (por ejemplo aviso en el panel o correo electrónico).

11. Autoridad competente

Si consideras que existe un tratamiento indebido de tus datos personales, tienes derecho a acudir ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), conforme a los procedimientos que dicho organismo establezca.

← Inicio · Cookies · Términos del servicio · Crear cuenta