Aviso de Privacidad Integral — ZUYU

AVISO DE PRIVACIDAD INTEGRAL

ZUYU — Plataforma de Gestión Empresarial para PyMEs

Versión 2.0 — Julio de 2026


1. Identidad y Domicilio del Responsable

De conformidad con lo dispuesto por los artículos 15, fracción I, y 29 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, “LFPDPPP”), publicada en el Diario Oficial de la Federación el 20 de marzo de 2025, se informa lo siguiente:

Concepto Detalle
Responsable Emilio Sebastián Contreras Colmenero (en adelante, “ZUYU”)
RFC COCE021023SH8
Domicilio fiscal Av. Las Torres 202, Int. 62, Col. Arboledas del Sur, C.P. 14376, Tlalpan, Ciudad de México
Correo electrónico de privacidad privacidad@zuyu.app
Correo electrónico de soporte privacidad@zuyu.app
Sitio web https://zuyu.app

1.1. Departamento de Protección de Datos Personales

En cumplimiento del artículo 29 de la LFPDPPP, ZUYU ha designado un Departamento de Protección de Datos Personales como responsable de atender solicitudes de derechos ARCO, consultas sobre el tratamiento de datos personales y cualquier asunto relacionado con la protección de la información personal de los titulares.

Datos de contacto del Departamento:

1.2. Ámbito de aplicación

El presente Aviso de Privacidad Integral aplica a toda persona física que proporcione datos personales a ZUYU a través de:

1.3. Naturaleza de los servicios

ZUYU es una plataforma de tipo Software como Servicio (SaaS) diseñada para la gestión empresarial de pequeñas y medianas empresas (PyMEs) en México. Los servicios incluyen punto de venta, gestión de inventarios, analítica de ventas, facturación electrónica (CFDI), gestión de usuarios, y funcionalidades adicionales descritas en los Términos y Condiciones del servicio.

ZUYU opera bajo una arquitectura multi-inquilino en la que cada negocio cuenta con una base de datos aislada, garantizando la separación lógica de la información de cada cliente.


2. Datos Personales que Recabamos

En cumplimiento del artículo 15, fracción II, de la LFPDPPP, a continuación se detallan los datos personales que ZUYU recaba, organizados por categoría de titular:

2.1. Titulares de Cuenta (Propietarios de Negocio)

Son las personas físicas que contratan los servicios de ZUYU y crean una cuenta para gestionar su negocio. Se recaban los siguientes datos:

Datos de identificación: - Nombre completo - Correo electrónico - Número telefónico - Domicilio (calle, número, colonia, código postal, ciudad, estado) - Fotografía de perfil (opcional)

Datos del negocio: - Nombre comercial del negocio - Giro o tipo de negocio (farmacia, tienda minorista, restaurante, salón de belleza, entre otros) - Tamaño del negocio - Horarios de operación - Rol del titular dentro de la organización

Datos de autenticación: - Contraseña (almacenada exclusivamente en formato cifrado mediante algoritmo bcrypt; ZUYU no tiene acceso a la contraseña en texto claro)

Datos financieros y patrimoniales (requieren consentimiento expreso conforme al artículo 7 de la LFPDPPP): - Información de facturación y método de pago (procesado a través de Stripe; ZUYU no almacena números completos de tarjetas de crédito o débito) - Historial de pagos por el servicio de suscripción

2.2. Usuarios de la Plataforma (Empleados o Colaboradores)

Son las personas físicas que el Titular de Cuenta agrega a la plataforma para operar el negocio (cajeros, vendedores, administradores, etc.). Se recaban los siguientes datos:

Datos de identificación: - Nombre completo - Correo electrónico - Número telefónico - Domicilio (opcional, según lo registrado por el Titular de Cuenta) - Fotografía de perfil (opcional)

Datos laborales y de operación: - Rol y permisos asignados dentro de la organización - Horario de trabajo (entrada y salida) - Historial de inicio de sesión (fecha, hora, dispositivo)

Datos de autenticación: - Contraseña (almacenada exclusivamente en formato cifrado)

2.3. Visitantes del Sitio Web

Son las personas que acceden al Sitio Web sin necesariamente crear una cuenta. Se recaban:

2.4. Datos Recabados de Forma Automática

Al utilizar la Aplicación, se recaban automáticamente los siguientes datos:

Dato Propósito
Dirección IP Seguridad y prevención de fraude
Tipo, modelo y sistema operativo del dispositivo Compatibilidad y soporte técnico
Versión de la Aplicación Actualizaciones y soporte
Marcas de tiempo de inicio de sesión Auditoría y seguridad
Datos de ubicación geográfica Solo si la funcionalidad de geocerca está habilitada por el Titular de Cuenta; requiere autorización explícita del usuario
Identificadores del dispositivo Gestión de sesiones y seguridad
Estado de conectividad Sincronización de datos en modo fuera de línea

2.5. Datos que ZUYU NO recaba

Para mayor claridad y transparencia, se informa que ZUYU:

2.6. Datos vinculados a cuenta de Mercado Pago (cobro presencial)

Cuando el titular vincula voluntariamente su cuenta de Mercado Pago a ZUYU para cobrar mediante terminal Point (Smart 2 u otra), ZUYU recibe y almacena, con el consentimiento del titular otorgado en la pantalla oficial de autorización OAuth 2.0 de Mercado Pago, los siguientes datos estrictamente operativos:

ZUYU NO recibe ni almacena datos de las tarjetas del consumidor final ni datos sensibles de las transacciones más allá de los identificadores anteriores. Toda la información de la tarjeta del consumidor final es procesada directamente por Mercado Pago conforme a sus estándares PCI-DSS y a su propia política de privacidad.

El titular puede revocar la vinculación en cualquier momento desde la sección de configuración de la Aplicación (botón “Desconectar Mercado Pago”) o directamente desde el panel de aplicaciones autorizadas en su cuenta de Mercado Pago. La revocación elimina los tokens almacenados en ZUYU de forma inmediata.


3. Finalidades del Tratamiento

En cumplimiento del artículo 15, fracción III, de la LFPDPPP y del artículo 41 de su Reglamento, las finalidades del tratamiento de sus datos personales se clasifican en:

3.1. Finalidades Primarias (Necesarias)

Son aquellas que dan origen y son necesarias para la relación jurídica entre ZUYU y el titular. El titular no puede oponerse a estas finalidades sin que ello implique la imposibilidad de prestar el servicio:

  1. Prestación del servicio: Crear, administrar y mantener su cuenta en la plataforma ZUYU; proveer las funcionalidades de punto de venta, gestión de inventarios, analítica de ventas, y demás servicios contratados.
  2. Gestión de la cuenta: Verificar la identidad del titular, gestionar roles y permisos de usuarios, y administrar la configuración del negocio.
  3. Facturación y cobro: Procesar pagos de suscripción, emitir facturas por el servicio, y gestionar el historial de cobros.
  4. Generación de CFDI: Facilitar la emisión de Comprobantes Fiscales Digitales por Internet a nombre del negocio del titular, a través del proveedor autorizado Facturapi.
  5. Soporte técnico: Atender solicitudes de soporte, resolver incidencias técnicas, y brindar asistencia en el uso de la plataforma.
  6. Seguridad de la plataforma: Proteger la integridad, disponibilidad y confidencialidad de la información; detectar, prevenir y responder a incidentes de seguridad, accesos no autorizados, fraude u otras actividades ilícitas.
  7. Comunicaciones operativas: Enviar notificaciones relacionadas con el servicio, incluyendo alertas de seguridad, actualizaciones del sistema, cambios en los Términos y Condiciones o en el presente Aviso de Privacidad, y confirmaciones de transacciones.
  8. Cumplimiento legal y regulatorio: Cumplir con obligaciones legales, fiscales, contables y regulatorias aplicables conforme a la legislación mexicana, incluyendo la conservación de registros por los plazos establecidos en ley.
  9. Sincronización de datos: Sincronizar información entre el dispositivo del usuario y los servidores de ZUYU, incluyendo la sincronización en segundo plano cuando el dispositivo recupera conectividad (arquitectura offline-first).
  10. Control de asistencia y zonas de trabajo: Cuando la funcionalidad de geocerca esté habilitada por el Titular de Cuenta, verificar que los Usuarios de la Plataforma se encuentren dentro de las zonas de trabajo autorizadas.

3.2. Finalidades Secundarias (No Necesarias)

Son aquellas que no son indispensables para la prestación del servicio, pero que permiten a ZUYU mejorar su oferta y la experiencia del usuario. El titular puede oponerse a estas finalidades sin que ello afecte la prestación del servicio:

  1. Comunicaciones promocionales: Enviar boletines informativos, ofertas, novedades del servicio y contenido de marketing por correo electrónico, notificaciones push y —previo consentimiento (opt-in) expreso del cliente— mensajes por WhatsApp (recordatorios, felicitaciones de cumpleaños y campañas de fidelización). Las comunicaciones de mercadotecnia por WhatsApp solo se envían a clientes que otorgaron su consentimiento y que pueden revocarlo en cualquier momento; el número telefónico se comunica a Meta (WhatsApp) únicamente para la entrega del mensaje.
  2. Analítica de uso: Analizar patrones de uso de la Aplicación para comprender el comportamiento de los usuarios y mejorar la experiencia de usuario, la interfaz y las funcionalidades.
  3. Mejora de productos y servicios: Utilizar datos agregados y anonimizados para el desarrollo de nuevas funcionalidades, mejoras a la plataforma y optimización del rendimiento.
  4. Encuestas y retroalimentación: Invitar al titular a participar en encuestas de satisfacción, estudios de mercado o programas de retroalimentación sobre el servicio.
  5. Mejora de catálogo mediante inteligencia artificial: Utilizar datos de productos (imágenes y descripciones, sin datos personales) para mejorar los algoritmos de reconocimiento de productos a través de inteligencia artificial. Consulte la Sección 13 para mayor detalle.
  6. Personalización del servicio: Adaptar la experiencia del usuario con base en el giro del negocio y los patrones de uso.

Cómo oponerse a las finalidades secundarias: Consulte la Sección 4 del presente Aviso.


4. Mecanismos para Limitar el Uso o Divulgación de los Datos

En cumplimiento del artículo 15, fracción IV, de la LFPDPPP, ZUYU pone a disposición de los titulares los siguientes mecanismos para limitar el uso o divulgación de sus datos personales:

4.1. Oposición a Finalidades Secundarias

El titular puede oponerse en cualquier momento al tratamiento de sus datos para las finalidades secundarias descritas en la Sección 3.2, mediante cualquiera de los siguientes medios:

4.2. Comunicaciones Promocionales

Para dejar de recibir comunicaciones promocionales:

4.3. Funcionalidades de Inteligencia Artificial

El titular puede desactivar las funcionalidades de inteligencia artificial (reconocimiento de productos) desde la configuración de la Aplicación. Consulte la Sección 13 para mayor detalle sobre el uso de IA y el derecho a oponerse al tratamiento automatizado.

4.4. Datos de Ubicación (Geocerca)

La funcionalidad de geocerca es opcional y requiere: - Habilitación por parte del Titular de Cuenta. - Autorización explícita del Usuario de la Plataforma a nivel de sistema operativo del dispositivo.

El usuario puede revocar el permiso de ubicación en cualquier momento desde la configuración de su dispositivo (iOS: Ajustes > Privacidad > Ubicación; Android: Configuración > Ubicación > Permisos de aplicación).

4.5. Registro Público de Consumidores

El titular puede inscribirse en el Registro Público de Consumidores administrado por la Procuraduría Federal del Consumidor (PROFECO) para limitar la recepción de publicidad. Para más información, consulte: https://repep.profeco.gob.mx

4.6. Contacto

Cualquier solicitud relacionada con la limitación del uso o divulgación de datos personales puede dirigirse a:


5. Derechos ARCO

En cumplimiento del artículo 15, fracción V, de la LFPDPPP, y de conformidad con los artículos 21 a 34 de la misma ley, el titular tiene derecho a ejercer en todo momento sus derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO) respecto de sus datos personales.

5.1. Descripción de los Derechos ARCO

Derecho Descripción
Acceso Conocer qué datos personales tenemos sobre usted, para qué los utilizamos y las condiciones de su tratamiento.
Rectificación Solicitar la corrección de sus datos personales cuando sean inexactos, incompletos o no se encuentren actualizados.
Cancelación Solicitar la eliminación de sus datos personales de nuestros registros o bases de datos cuando considere que no están siendo tratados conforme a la ley o a este Aviso de Privacidad. La cancelación dará lugar a un periodo de bloqueo, tras el cual se procederá a la supresión definitiva, salvo que existan obligaciones legales de conservación.
Oposición Oponerse al tratamiento de sus datos personales para una o varias finalidades específicas.

5.2. Derecho a Oponerse al Tratamiento Automatizado

De conformidad con el artículo 26, fracción II, de la LFPDPPP, el titular tiene derecho a oponerse a que sus datos personales sean objeto de tratamiento automatizado, incluyendo la elaboración de perfiles, cuando dicho tratamiento produzca efectos jurídicos en el titular o le afecte de manera significativa.

ZUYU utiliza inteligencia artificial exclusivamente para el reconocimiento y categorización de productos (ver Sección 13). ZUYU no toma decisiones automatizadas que produzcan efectos jurídicos sobre los titulares sin intervención humana. No obstante, el titular puede ejercer este derecho en cualquier momento.

5.3. Procedimiento para Ejercer los Derechos ARCO

El titular o su representante legal podrá ejercer sus derechos ARCO mediante solicitud dirigida al Departamento de Protección de Datos Personales:

Medio de presentación: - Correo electrónico: privacidad@zuyu.app - Domicilio: Av. Las Torres 202, Int. 62, Col. Arboledas del Sur, C.P. 14376, Tlalpan, Ciudad de México

Requisitos de la solicitud (conforme al artículo 28 de la LFPDPPP):

  1. Nombre completo del titular y domicilio o correo electrónico para comunicarle la respuesta.
  2. Copia de identificación oficial vigente del titular (INE/IFE, pasaporte o cédula profesional). En caso de actuar a través de representante legal, se deberá adjuntar además el instrumento público o carta poder firmada ante dos testigos que acredite la representación.
  3. Descripción clara y precisa de los datos personales respecto de los cuales se busca ejercer alguno de los derechos ARCO, así como el derecho que se desea ejercer.
  4. Cualquier documento o información que facilite la localización de los datos personales.
  5. En caso de rectificación, indicar las modificaciones a realizarse y aportar la documentación que sustente la solicitud.

5.4. Plazos de Respuesta

De conformidad con el artículo 31 de la LFPDPPP:

5.5. Costos

El ejercicio de los derechos ARCO es gratuito. Únicamente se podrán generar costos por concepto de reproducción, envío o certificación de documentos, conforme al artículo 34 de la LFPDPPP. En caso de solicitudes que impliquen costos, ZUYU informará previamente al titular el monto estimado.

5.6. Medios para Obtener la Información Solicitada

La información o datos personales solicitados se entregarán preferentemente por medios electrónicos (correo electrónico, acceso a plataforma segura) o, a solicitud del titular, mediante copias simples, documentos electrónicos o cualquier otro medio que el titular indique y que sea viable para ZUYU.

5.7. Derecho de Queja ante la Autoridad

Si el titular considera que su derecho a la protección de datos personales ha sido vulnerado o no está satisfecho con la respuesta de ZUYU, tiene derecho a acudir ante la Secretaría Anticorrupción y Buen Gobierno (antes INAI) para solicitar la protección de sus derechos. Para más información, consulte: https://www.gob.mx/anticorrupcion


6. Procedimiento para Comunicar Cambios al Aviso de Privacidad

En cumplimiento del artículo 15, fracción VI, de la LFPDPPP, ZUYU comunicará al titular cualquier cambio al presente Aviso de Privacidad a través de los siguientes medios:

6.1. Medios de Notificación

  1. Correo electrónico: Se enviará notificación al correo electrónico registrado por el titular en la plataforma.
  2. Notificación en la Aplicación: Se mostrará un aviso dentro de la Aplicación al siguiente inicio de sesión posterior a la modificación.
  3. Publicación en el Sitio Web: La versión actualizada estará disponible permanentemente en https://zuyu.app/privacidad

6.2. Plazos de Notificación

6.3. Aceptación de Cambios

El uso continuado de la plataforma después de la entrada en vigor de las modificaciones no sustanciales constituirá la aceptación tácita de las mismas. Tratándose de una nueva finalidad o de un cambio sustancial —en particular sobre datos financieros o sensibles—, ZUYU recabará nuevamente el consentimiento del titular conforme al artículo 11 de la LFPDPPP antes de tratar los datos para dicha finalidad. Si el titular no está de acuerdo con los cambios, podrá ejercer su derecho de oposición o cancelar su cuenta conforme a los procedimientos descritos en este Aviso y en los Términos y Condiciones del servicio.

6.4. Historial de Versiones

ZUYU mantendrá un registro de las versiones anteriores del presente Aviso de Privacidad, las cuales estarán disponibles previa solicitud al correo privacidad@zuyu.app.


7. Consentimiento

De conformidad con los artículos 7 y 8 de la LFPDPPP, ZUYU obtiene el consentimiento del titular para el tratamiento de sus datos personales de la siguiente manera:

7.1. Consentimiento Tácito (Datos Generales)

Para el tratamiento de datos personales de identificación, contacto, laborales y de operación, el consentimiento se obtiene de manera tácita. Se entiende que el titular consiente el tratamiento de sus datos al:

7.2. Consentimiento Expreso (Datos Financieros y Patrimoniales)

De conformidad con el artículo 7 de la LFPDPPP, el tratamiento de datos financieros y patrimoniales requiere el consentimiento expreso del titular. ZUYU obtiene dicho consentimiento mediante:

7.3. Datos Sensibles

ZUYU no recaba datos sensibles conforme a la definición del artículo 2, fracción VI, de la LFPDPPP. Por lo tanto, no resulta aplicable el requisito de consentimiento expreso y por escrito previsto en el artículo 8 de la LFPDPPP para esta categoría de datos.

7.4. Revocación del Consentimiento

El titular tiene derecho a revocar su consentimiento para el tratamiento de sus datos personales en cualquier momento, conforme al artículo 7 de la LFPDPPP. Para ello, deberá seguir el siguiente procedimiento:

  1. Enviar solicitud de revocación a privacidad@zuyu.app con el asunto “Revocación de consentimiento”.
  2. La solicitud deberá contener los mismos requisitos señalados en la Sección 5.3 (nombre, identificación, descripción de los datos y alcance de la revocación).
  3. ZUYU atenderá la solicitud dentro de los plazos establecidos en la Sección 5.4.

Efectos de la revocación: La revocación del consentimiento para el tratamiento de datos necesarios para la prestación del servicio podrá implicar la imposibilidad de continuar prestando el servicio y la terminación de la relación contractual.

7.5. Consentimiento de Usuarios de la Plataforma

El Titular de Cuenta que registre Usuarios de la Plataforma (empleados o colaboradores) es responsable de informar a dichos usuarios sobre el tratamiento de sus datos personales y de obtener su consentimiento conforme a la legislación aplicable. ZUYU pone a disposición de los Usuarios de la Plataforma el presente Aviso de Privacidad desde su primer acceso a la Aplicación.


8. Transferencias de Datos

En cumplimiento del artículo 35 de la LFPDPPP, ZUYU informa lo siguiente respecto de la comunicación de datos personales a terceros:

8.1. Distinción entre Transferencias y Remisiones

Conforme a la LFPDPPP y su Reglamento:

8.2. Transferencias a Terceros Responsables

Para prestar el servicio, ZUYU comunica ciertos datos personales a terceros que, conforme a sus propios términos y políticas, actúan como responsables independientes del tratamiento (controladores) para finalidades propias tales como el procesamiento de pagos, la prevención de fraude, el cumplimiento de obligaciones legales o financieras, la entrega de mensajería y la operación de sus plataformas. Estas comunicaciones constituyen transferencias en términos del artículo 35 de la LFPDPPP. La mayoría se realizan por ser necesarias para el mantenimiento o cumplimiento de la relación jurídica entre ZUYU y el titular (artículo 37, fracción VI), por lo que no requieren consentimiento adicional; no obstante, se declaran a continuación en cumplimiento del deber de información:

Tercero (Responsable) País Datos Transferidos Finalidad Propia del Tercero
Stripe, Inc. EE. UU. / Global Correo, datos de facturación e identificadores de pago Procesamiento de pagos, prevención de fraude, AML/KYC y mejora de sus productos
MercadoPago México, S. de R.L. de C.V. México / Global Identificadores de cuenta y de transacción, montos Procesamiento de cobros, análisis de riesgo y prevención de lavado (entidad financiera regulada, con aviso propio)
CyberSource / Visa Acceptance Solutions EE. UU. / Global Datos de la transacción con tarjeta (Tap to Pay) Procesamiento y prevención de fraude en la red Visa
PAYCLIP, S. de R.L. de C.V. (Clip) México Montos y estado de la transacción Procesamiento de cobros con terminal (con aviso propio)
Meta Platforms (WhatsApp Business Cloud API) Irlanda / EE. UU. / Global Número telefónico y metadatos de mensajería del cliente Mensajería; además, seguridad, prevención de abuso y mejora de los servicios de Meta
Apple Inc. (Wallet/PassKit, APNs, App Store) EE. UU. / Global Token de dispositivo, datos de la tarjeta de lealtad, compras dentro de la app Notificaciones, tarjetas Wallet y procesamiento de la suscripción
Google LLC (Google Wallet, Búsqueda personalizada) EE. UU. / Global Nombre e identificador de lealtad; consultas de producto Tarjetas Wallet, enriquecimiento de catálogo y operación de sus servicios

Adicionalmente, ZUYU puede comunicar el correo del titular y el nombre del negocio a Telegram FZ-LLC con el fin exclusivo de generar alertas operativas internas.

El titular puede oponerse a estas transferencias en los términos de la Sección 4; sin embargo, la oposición a aquellas que son necesarias para procesar pagos, emitir notificaciones o prestar el servicio contratado puede implicar la imposibilidad de utilizar dichas funcionalidades.

8.3. Remisiones a Encargados del Tratamiento

De conformidad con el artículo 53 del Reglamento de la LFPDPPP, las remisiones a encargados del tratamiento —que tratan los datos personales únicamente por cuenta e instrucción de ZUYU— no se consideran transferencias y no requieren del consentimiento del titular. En aras de la transparencia, ZUYU informa que remite datos personales a los siguientes encargados:

Encargado Empresa País Datos Remitidos Finalidad
MongoDB Atlas MongoDB, Inc. EE. UU. Todos los datos almacenados Base de datos primaria
Render Render, Inc. EE. UU. Todos los datos procesados por la API Alojamiento de la aplicación y del servidor
Cloudinary Cloudinary Ltd. EE. UU. / Global Fotografías de perfil e imágenes de productos Almacenamiento y distribución de imágenes (CDN)
Cloudflare (R2) Cloudflare, Inc. EE. UU. / Global Respaldos cifrados de las bases de datos Copias de seguridad y recuperación ante desastres
Google Cloud Storage Google LLC EE. UU. / Global Respaldos y activos secundarios Almacenamiento de objetos
OpenAI OpenAI, LLC EE. UU. Imágenes y descripciones de productos y el nombre del negocio (sin datos personales de clientes) Reconocimiento de productos y generación de textos mediante IA
Resend / Google Workspace (SMTP) Resend, Inc. / Google LLC EE. UU. Correo del destinatario y contenido del mensaje Envío de correos transaccionales
Google Firebase Google LLC EE. UU. Token de dispositivo (push); identificadores y eventos de uso (analítica, únicamente con consentimiento) Notificaciones push y analítica de producto
Sentry Functional Software, Inc. EE. UU. Informes de errores y diagnóstico (sin datos personales por defecto) Monitoreo de estabilidad de la aplicación
RevenueCat RevenueCat, Inc. EE. UU. Identificador del negocio e historial de compras de la suscripción Gestión de suscripciones
Grafana Cloud (Loki) Grafana Labs EE. UU. / UE Registros de operación (con datos personales redactados) Observabilidad y diagnóstico
Facturapi Facturapi S.A.P.I. de C.V. México RFC, datos fiscales y conceptos de la factura Emisión de Comprobantes Fiscales Digitales (CFDI)

Cada uno de estos encargados está obligado contractualmente (mediante Acuerdo de Tratamiento de Datos o cláusulas equivalentes) a:

8.4. Cláusula de Consentimiento

Si usted no manifiesta su oposición para que sus datos personales sean transferidos en los términos descritos en esta sección, se entenderá que ha otorgado su consentimiento para ello.

[ ] No consiento que mis datos personales sean transferidos en los términos descritos en el presente Aviso de Privacidad.

(Esta casilla se presenta al titular durante el proceso de registro y puede ser modificada posteriormente enviando solicitud a privacidad@zuyu.app.)

8.5. Transferencias sin Consentimiento

De conformidad con el artículo 36 de la LFPDPPP, ZUYU podrá transferir datos personales sin el consentimiento del titular en los siguientes supuestos:


9. Transferencias Internacionales

9.1. Divulgación

ZUYU informa de manera expresa que los datos personales de los titulares son procesados y almacenados en servidores ubicados principalmente en Estados Unidos de América (y, según el proveedor, en la Unión Europea o en infraestructura global), a través de los encargados y terceros responsables detallados en las Secciones 8.2 y 8.3 (entre otros: MongoDB Atlas, Render, Cloudinary, Cloudflare, Google, OpenAI, Stripe, Apple, Meta, Sentry, RevenueCat y Resend).

Facturapi, que procesa datos fiscales para la generación de CFDI, tiene sus servidores en México.

Las remisiones internacionales de datos personales a los encargados del tratamiento se realizan con fundamento en:

9.3. Salvaguardas

ZUYU implementa las siguientes salvaguardas para proteger los datos personales que se procesan fuera del territorio mexicano:


10. Conservación de Datos

10.1. Principio General

De conformidad con el principio de calidad establecido en la LFPDPPP, ZUYU conservará los datos personales del titular únicamente durante el tiempo que sea necesario para cumplir con las finalidades descritas en la Sección 3, salvo que un plazo mayor sea requerido o permitido por ley.

10.2. Plazos de Conservación

Categoría de Datos Plazo de Conservación Fundamento
Datos de cuenta activa Durante la vigencia de la relación contractual Necesario para la prestación del servicio
Cuenta personal del titular (identificación, contacto, credenciales) Se elimina de forma definitiva poco después de aprobarse la solicitud de eliminación Ejercicio del derecho de cancelación
Datos del negocio (tenant) tras la baja Periodo de gracia de 90 días naturales (30 en prueba); después se archivan cifrados y se suprimen Posible reactivación y continuidad operativa
Datos fiscales y de facturación (CFDI) 5 años a partir de la emisión del comprobante Artículo 30 del Código Fiscal de la Federación
Datos de transacciones y ventas 5 años Obligaciones fiscales y contables
Datos relacionados con incumplimiento contractual 72 meses (6 años) Artículo 10 de la LFPDPPP
Registros de operaciones de pago Hasta 10 años Prevención de fraude y obligaciones financieras/legales
Registros de auditoría y seguridad Mientras subsista la necesidad de seguridad y cumplimiento aplicable Prevención y detección de incidentes de seguridad
Datos de facturación del servicio ZUYU 5 años Obligaciones fiscales de ZUYU

10.3. Procedimiento de Eliminación

Al vencimiento de los plazos de conservación aplicables:

  1. Los datos personales serán bloqueados (periodo de bloqueo) durante el cual no serán objeto de tratamiento alguno.
  2. Transcurrido el periodo de bloqueo, los datos serán suprimidos de manera definitiva e irreversible de los sistemas de ZUYU y, cuando sea técnicamente posible, de los sistemas de los encargados del tratamiento.
  3. Los datos que hayan sido anonimizados de manera irreversible podrán conservarse de forma indefinida para fines estadísticos, ya que dejan de ser datos personales.

10.4. Solicitud de Cancelación Anticipada

El titular puede solicitar la cancelación de sus datos antes del vencimiento de los plazos señalados mediante el ejercicio de su derecho de cancelación (ver Sección 5). La solicitud será procedente salvo que exista una obligación legal de conservación o se actualice alguna de las excepciones previstas en la LFPDPPP.


11. Medidas de Seguridad

De conformidad con los artículos 18, 19 y 20 de la LFPDPPP, ZUYU ha implementado y mantiene medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado.

11.1. Medidas Administrativas

11.2. Medidas Técnicas

11.3. Medidas Físicas

11.4. Obligaciones de Confidencialidad

De conformidad con el artículo 20 de la LFPDPPP, toda persona que intervenga en el tratamiento de datos personales en ZUYU está obligada a guardar confidencialidad respecto de los mismos, obligación que subsiste aun después de finalizar la relación laboral o contractual con ZUYU.

11.5. Notificación de Vulneraciones de Seguridad

En caso de que ocurra una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares, ZUYU notificará a los titulares afectados de manera inmediata, a fin de que estos puedan tomar las medidas correspondientes para la defensa de sus intereses, conforme a lo dispuesto en la LFPDPPP.


12. Cookies y Tecnologías de Rastreo

12.1. Aplicación Móvil

La Aplicación ZUYU utiliza las siguientes tecnologías de almacenamiento local en el dispositivo del usuario:

Tecnología Propósito Tipo
Hive (base de datos local) Almacenamiento de datos para funcionalidad offline-first: cola de ventas pendientes, cola de eliminaciones de carrito, configuración de impresora, cola de impresión Esencial para el funcionamiento del servicio
SharedPreferences Almacenamiento de preferencias del usuario, datos de sesión (token JWT) Esencial para la autenticación y personalización
Caché de imágenes Almacenamiento temporal de imágenes de productos y perfiles para mejorar el rendimiento y reducir el consumo de datos Funcional

Estas tecnologías almacenan información exclusivamente en el dispositivo del usuario y son necesarias para el correcto funcionamiento de la Aplicación, particularmente para la funcionalidad de uso sin conexión a internet (offline-first).

Adicionalmente, la Aplicación utiliza servicios de terceros que pueden tratar identificadores del dispositivo: Firebase Cloud Messaging (token de notificaciones push), Firebase Analytics (métricas de uso, desactivada por defecto y activada únicamente con el consentimiento del usuario) y Sentry (reportes de errores y estabilidad, sin datos personales por defecto). Ninguno de estos servicios se utiliza para rastreo publicitario ni para elaborar perfiles con fines de mercadotecnia de terceros.

12.2. Sitio Web

En caso de que el titular acceda al Sitio Web, ZUYU podrá utilizar:

Al momento de la publicación del presente Aviso, ZUYU no utiliza cookies de terceros con fines de rastreo, publicidad ni análisis de comportamiento en su Sitio Web.

12.3. Gestión del Almacenamiento Local

El usuario puede gestionar el almacenamiento local de la Aplicación mediante:

Nota: El borrado de datos locales no elimina los datos almacenados en los servidores de ZUYU. Para solicitar la eliminación de datos del servidor, consulte la Sección 5 (Derechos ARCO).


13. Uso de Inteligencia Artificial

13.1. Descripción General

ZUYU integra funcionalidades de inteligencia artificial (IA) proporcionadas por OpenAI, LLC, con dos finalidades: (i) asistir en el reconocimiento y categorización de productos para la gestión de inventarios, y (ii) generar sugerencias de texto para mensajes de fidelización y comunicaciones del negocio. Para el enriquecimiento del catálogo, ZUYU puede consultar además servicios de búsqueda de Google (Custom Search) y de Open Food Facts utilizando el código de barras o el nombre del producto.

13.2. Datos Procesados por la IA

La funcionalidad de IA procesa exclusivamente:

13.3. Datos que NO se Envían a la IA

ZUYU no envía a los servicios de inteligencia artificial:

13.4. Términos de Uso de OpenAI

Conforme a los términos de servicio de la API de OpenAI vigentes, los datos enviados a través de la API de OpenAI:

13.5. Derecho a Oponerse al Tratamiento Automatizado

De conformidad con el artículo 26, fracción II, de la LFPDPPP, el titular tiene derecho a oponerse al tratamiento automatizado de sus datos. Aunque ZUYU no toma decisiones automatizadas con efectos jurídicos sobre los titulares, el usuario puede:

13.6. Ausencia de Decisiones Automatizadas con Efectos Jurídicos

ZUYU declara que no utiliza inteligencia artificial ni tratamiento automatizado para tomar decisiones que produzcan efectos jurídicos en los titulares o que les afecten de manera significativa de forma exclusivamente automatizada. Toda sugerencia generada por la IA (como la categorización de un producto) es revisada y confirmada por el usuario antes de su aplicación.


14. Tratamiento de Datos por Cuenta de Terceros (ZUYU como Encargado)

14.1. Doble Rol de ZUYU

ZUYU actúa en dos capacidades distintas respecto del tratamiento de datos personales:

  1. Como Responsable del Tratamiento: Respecto de los datos personales de los Titulares de Cuenta, Usuarios de la Plataforma y Visitantes del Sitio Web, conforme a lo descrito en las Secciones 2 a 13 del presente Aviso.

  2. Como Encargado del Tratamiento: Respecto de los datos que los Titulares de Cuenta (negocios) ingresan, almacenan y procesan a través de la plataforma en relación con sus propias operaciones comerciales, incluyendo:

Categoría de Datos Descripción
Datos de productos e inventario Nombres, descripciones, precios, imágenes, códigos de barras, niveles de stock
Datos de transacciones de venta Registros de ventas, historial de compras, montos, métodos de pago
Datos de promociones y devoluciones Configuración de promociones, registros de devoluciones y cancelaciones
Datos fiscales del negocio RFC del negocio, certificados de sello digital (CSD), facturas CFDI emitidas
Datos de clientes del negocio Datos de contacto e identificación de los clientes finales que el Titular de Cuenta registre: nombre, teléfono, correo, RFC, domicilio, fecha de nacimiento (día y mes), notas, historial de compras y de citas, saldo de lealtad y, en cotizaciones, firma autógrafa e IP de aceptación
Configuración operativa Configuración de impresora, reportes de analítica, registros de auditoría

14.2. Obligaciones de ZUYU como Encargado

Cuando ZUYU actúa como encargado del tratamiento:

14.3. Obligaciones del Titular de Cuenta como Responsable

El Titular de Cuenta que ingrese datos personales de terceros (clientes del negocio, proveedores, etc.) en la plataforma ZUYU es responsable de:

ZUYU no asume responsabilidad alguna por el incumplimiento de estas obligaciones por parte del Titular de Cuenta.


15. Datos de Menores de Edad

15.1. Restricción de Uso

La plataforma ZUYU está diseñada para su uso por personas mayores de 18 años. ZUYU no recaba deliberadamente datos personales de menores de edad.

15.2. Recopilación Inadvertida

Si ZUYU tiene conocimiento de que ha recopilado datos personales de un menor de edad sin el consentimiento de quien ejerce la patria potestad o tutela, tomará las medidas razonables para eliminar dichos datos de sus sistemas a la brevedad posible.

15.3. Notificación

Si usted tiene conocimiento de que un menor de edad ha proporcionado datos personales a ZUYU, le solicitamos que nos notifique de inmediato a privacidad@zuyu.app para que podamos tomar las acciones correspondientes.

15.4. Responsabilidad de los Titulares de Cuenta

Los Titulares de Cuenta que, en el ejercicio de sus actividades comerciales, recaben datos personales de menores de edad a través de la plataforma ZUYU (por ejemplo, como clientes de su negocio), son los responsables del tratamiento de dichos datos y deberán cumplir con las disposiciones legales aplicables en materia de protección de datos de menores, incluyendo la obtención del consentimiento de quien ejerce la patria potestad o tutela.


16. Datos Biométricos

16.1. Funcionalidad de Autenticación Biométrica

La Aplicación ZUYU ofrece la opción de utilizar autenticación biométrica (Touch ID / Face ID) como método de inicio de sesión, en los dispositivos que cuenten con esta funcionalidad.

16.2. Procesamiento Exclusivo en el Dispositivo

Es importante que el titular conozca que:

16.3. Naturaleza Voluntaria

El uso de la autenticación biométrica es completamente voluntario. El usuario puede optar por:

16.4. Responsabilidad del Dispositivo

La seguridad y gestión de los datos biométricos almacenados en el dispositivo son responsabilidad del fabricante del dispositivo y del sistema operativo correspondiente (Apple Inc. para iOS, Google LLC para Android). ZUYU recomienda a los usuarios consultar las políticas de privacidad de dichos fabricantes para información detallada sobre el manejo de datos biométricos a nivel de dispositivo.


17. Datos de Contacto del Responsable

En cumplimiento del artículo 29 de la LFPDPPP, se proporcionan los datos de contacto del responsable y del departamento designado para la atención de solicitudes de derechos ARCO y consultas sobre protección de datos personales:

Concepto Detalle
Responsable Emilio Sebastián Contreras Colmenero
Departamento designado Departamento de Protección de Datos Personales
Correo electrónico privacidad@zuyu.app
Domicilio Av. Las Torres 202, Int. 62, Col. Arboledas del Sur, C.P. 14376, Tlalpan, Ciudad de México
Horario de atención Lunes a viernes de 9:00 a 18:00 horas (tiempo del centro de México)
Sitio web https://zuyu.app
Correo de soporte técnico privacidad@zuyu.app

Autoridad competente: Secretaría Anticorrupción y Buen Gobierno (anteriormente INAI). El titular puede acudir ante esta autoridad para presentar quejas o denuncias relacionadas con el tratamiento de sus datos personales. Sitio web: https://www.gob.mx/anticorrupcion


18. Fecha de Vigencia y Última Actualización

Concepto Detalle
Fecha de entrada en vigor Julio de 2026
Versión 2.0
Fecha de última actualización Julio de 2026

18.1. Historial de Revisiones

Versión Fecha Descripción
1.0 Marzo de 2026 Versión inicial del Aviso de Privacidad Integral, elaborado conforme a la LFPDPPP publicada el 20 de marzo de 2025 en el Diario Oficial de la Federación.
2.0 Julio de 2026 Actualización integral: incorporación de los módulos de CRM de clientes, lealtad, mensajería por WhatsApp, citas y suscripciones B2C; actualización de la lista de encargados y de las transferencias a responsables; cifrado de datos personales en reposo; y precisiones conforme a la LFPDPPP de 2025.

El presente Aviso de Privacidad ha sido elaborado con fundamento en:


Última actualización: Marzo de 2026

Emilio Sebastián Contreras Colmenero RFC: COCE021023SH8 Domicilio: Av. Las Torres 202, Int. 62, Col. Arboledas del Sur, C.P. 14376, Tlalpan, Ciudad de México Contacto: privacidad@zuyu.app