Rutas en México
Legal · Privacidad

Aviso de Privacidad Integral

Aviso de Privacidad Integral de Rutas en MX conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento. Incluye derechos ampliados para residentes en la UE y California.

Última actualización
24 de abril de 2026
Vigente desde
24 de abril de 2026
Versión
v3.0
Tiempo de lectura
~14 min

Resumen ejecutivo

[RAZÓN SOCIAL COMPLETA](“Rutas en MX”, “nosotros”) es el responsable del tratamiento de tus datos personales. Este Aviso cumple los artículos 15 y 16 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y los artículos 26 a 28 de su Reglamento.

  • Qué recopilamos: correo, nombre, contraseña cifrada, contenido que creas (viajes, favoritos, mensajes) y metadatos técnicos.
  • Para qué: operar el servicio que contratas, prevenir fraude, cumplir la ley y —con tu consentimiento— enviarte comunicaciones editoriales.
  • Qué NO hacemos: vender datos, publicidad dirigida de terceros, perfilado con datos sensibles.
  • Tus derechos (ARCO): acceso, rectificación, cancelación, oposición, revocación y portabilidad. Escribe a privacidad@rutasenmx.com.
  • Autoridad: INAI — inai.org.mx.

1. Responsable del tratamiento

Conforme al artículo 16 fracción I LFPDPPP y 26 fracción I del Reglamento, el responsable de tus datos personales es:

  • Denominación / razón social: [RAZÓN SOCIAL COMPLETA]
  • Nombre comercial: Rutas en MX
  • RFC: [RFC]
  • Domicilio: [CALLE Y NÚMERO], [COLONIA], [ALCALDÍA/MUNICIPIO], CP [CP], Ciudad de México, México
  • Correo de privacidad: privacidad@rutasenmx.com
  • Teléfono: [TELÉFONO CON LADA]

Hemos designado un responsable interno de atención a derechos ARCO; sus datos de contacto son los indicados arriba.

2. Datos personales que tratamos

2.1. Datos de identificación y contacto

  • Nombre o alias.
  • Correo electrónico.
  • Contraseña (almacenada con hash bcrypt, cost factor 12 — nunca vemos la original).
  • Fotografía de perfil (sólo si tú la subes).

2.2. Datos de uso y contenido generado

  • Viajes, itinerarios, favoritos, notas y preferencias que guardas.
  • Publicaciones, comentarios y mensajes privados cuando participas en la sección social.
  • Ubicación a nivel ciudad derivada de tu dirección IP. Si activas permisos de ubicación precisa (GPS), la usamos solo en memoria del dispositivo y nunca la enviamos a nuestros servidores salvo que uses una función que lo requiera explícitamente.

2.3. Datos financieros

No almacenamos datos completos de tarjetas. Los pagos se procesan a través de Stripe y/o Apple/Google in-app. De esa relación conservamos únicamente:

  • Identificador de la suscripción (token opaco).
  • Últimos 4 dígitos y marca de la tarjeta (para mostrarlos en /suscripcion).
  • Historial de facturación y monto.

2.4. Metadatos técnicos

  • Dirección IP, tipo de dispositivo, sistema operativo, navegador.
  • Logs de acceso con fecha, hora y endpoint consultado (retención 90 días para seguridad — Art. 19 LFPDPPP).
  • Token de push del dispositivo (cuando instalas la app móvil y aceptas notificaciones).

2.5. Datos que NO tratamos

No solicitamos ni tratamos datos personales sensibles en el sentido del artículo 3 fracción VI LFPDPPP: origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas o morales, afiliación sindical, opiniones políticas, ni datos de preferencia sexual. La biometría de Face ID / huella digital nunca sale del dispositivo — iOS/Android la procesan localmente.

3. Finalidades del tratamiento

Conforme al artículo 28 del Reglamento, diferenciamos las finalidades en primarias (las que dan origen a la relación y no requieren consentimiento expreso) y secundarias (a las que puedes negarte sin que afecte el servicio).

3.1. Finalidades primarias

  • Crear tu cuenta y autenticarte en cada sesión.
  • Guardar, editar y sincronizar tus viajes, favoritos y notas.
  • Cobrarte los planes de suscripción que contrates, emitir recibo, procesar reembolsos y cancelar la suscripción cuando lo solicites.
  • Permitir la sección social (perfil público, matches, mensajes, comunidades) cuando decidas activarla.
  • Enviar correos transaccionales indispensables: confirmación de cuenta, recuperación de contraseña, recibos, alertas de seguridad, notificaciones de cambios legales.
  • Generar itinerarios con IA cuando usas la función “Autopilot”.
  • Prevenir y detectar fraude, abuso, scraping automatizado y violaciones a los Términos.
  • Cumplir con obligaciones fiscales y requerimientos de autoridades competentes.

3.2. Finalidades secundarias

  • Analítica agregada y anónima para mejorar el producto.
  • Envío del boletín editorial (máximo 2 correos al mes) si te suscribes voluntariamente.
  • Encuestas opcionales de satisfacción.

Puedes manifestar tu negativa a las finalidades secundarias en cualquier momento enviando un correo a privacidad@rutasenmx.com con el asunto “Negativa de finalidades secundarias”. Tu manifestación no afectará el servicio contratado.

4. Fundamento legal

  • México: Artículo 6º apartado A fracción II y 16º párrafo segundo de la Constitución; Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), arts. 1º, 3º, 8º, 15º, 16º, 22º, 25º, 28º y 36º; Reglamento de la LFPDPPP, arts. 9, 26-28, 40-59, 89-104; Lineamientos del Aviso de Privacidad publicados en el DOF el 17 de enero de 2013.
  • Unión Europea (cuando aplica): Reglamento (UE) 2016/679 — RGPD, arts. 6, 13, 15-22.
  • California, EUA (cuando aplica): California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA).

5. Transferencias y encargados

Conforme al artículo 36 LFPDPPP y 68 del Reglamento, no requerimos tu consentimiento expreso para las transferencias siguientes porque todas corresponden a encargados (processors) que tratan los datos únicamente por nuestra cuenta, bajo contrato con cláusulas de confidencialidad y sub-encargados limitados.

5.1. Encargados autorizados

EncargadoFinalidadDatosPaís
Stripe Payments Mexico, S. de R.L. de C.V.Procesamiento de pagos con tarjeta y suscripciones.Nombre, Correo electrónico, País, Últimos 4 dígitos y red de la tarjeta, Dirección IPMéxico (entidad local) / Estados Unidos (infraestructura)
RevenueCat Inc.Conciliación de compras In-App en iOS / Android y sincronización de permisos (entitlements) con nuestro backend.ID de usuario de la aplicación (interno, no el correo), Identificadores del dispositivo (IDFA de Apple / ADID de Google) cuando el usuario no los deshabilita, Historial de compras in-appEstados Unidos
Apple Inc.Distribución de la app móvil en App Store y procesamiento de compras In-App en dispositivos iOS.Identificador de la cuenta Apple ID (al comprar IAP), Historial de transacciones IAPEstados Unidos / Irlanda
Google LLCDistribución de la app móvil en Google Play y procesamiento de compras In-App en dispositivos Android.Identificador de la cuenta Google Play, Historial de transacciones IAPEstados Unidos
Anthropic PBCGeneración de itinerarios por inteligencia artificial (función "Autopilot"). Los prompts se envían a la API de Claude.Texto del prompt (origen, destino, preferencias de viaje — NO tu correo ni identificador), Respuesta generadaEstados Unidos
Neon Inc.Base de datos Postgres administrada (persistencia de toda la información de cuenta y contenido).Todo lo que la plataforma guarda (nombre, correo, contraseña cifrada, viajes, mensajes, fotos, favoritos, etc.)Estados Unidos
Vercel Inc.Hosting del sitio web, ejecución del backend (serverless functions), CDN y logs operativos.Dirección IP, User-Agent, Cabeceras HTTP, Respuestas y errores del servidorEstados Unidos / global (CDN)
Cloudflare, Inc.Almacenamiento de objetos S3-compatible (R2) para imágenes de perfil social y adjuntos de publicaciones.Archivos que subes explícitamente (fotos, PDFs)Estados Unidos / global
Resend, Inc.Envío de correos transaccionales (bienvenida, restablecer contraseña, recibos, notificaciones).Correo electrónico, Nombre, Contenido del correo enviadoEstados Unidos
Mapbox, Inc.Servicio de mapas interactivos (tiles), geocoding de ciudades y rutas.Dirección IP, Tokens de sesión del mapa, Consultas de geocoding (texto que escribes al buscar un lugar)Estados Unidos
Expo (650 Industries, Inc.)Envío de notificaciones push al dispositivo móvil a través de la Expo Push API.Token de push del dispositivo, Contenido del mensaje de notificación (título y preview)Estados Unidos

Todas las transferencias internacionales se realizan con salvaguardas contractuales estándar (Standard Contractual Clauses de la UE y/o cláusulas equivalentes conforme al Criterio 1/2015 del INAI), cifrado TLS 1.3 en tránsito y cifrado en reposo.

5.2. Transferencias que SÍ requieren tu consentimiento

No realizamos ninguna transferencia fuera de los encargados listados. Si en el futuro necesitamos transferir tus datos a un tercero con finalidad propia (por ejemplo, un socio comercial), te solicitaremos consentimiento expreso por canal electrónico antes de hacerlo.

5.3. Autoridades

Entregamos datos a autoridades mexicanas competentes únicamente cuando medie requerimiento fundado y motivado conforme al artículo 16 constitucional. Registramos cada solicitud en un log interno (Art. 19 LFPDPPP).

6. Cookies y tecnologías similares

6.1. Categorías

  • Estrictamente necesarias: rutasmx_session (JWT firmado, autenticación); rutasmx_locale (idioma). Sin ellas no podrías iniciar sesión; se tratan con base al artículo 10 fracción IV LFPDPPP (necesarias para el cumplimiento del contrato).
  • Analíticas: sólo cuando las aceptas en el banner inicial. Agregadas y anónimas.
  • Publicitarias de terceros: no usamos.

6.2. Tu elección

Puedes administrar tu preferencia desde el banner inicial o desde /perfil → Preferencias → Cookies. Tu elección se respeta por 12 meses o hasta que la revoques.

6.3. Identificadores de dispositivo móvil

En la app móvil, Apple y Google nos exponen identificadores (IDFA / ADID) únicamente cuando tú los autorizas desde los ajustes del sistema operativo. No los usamos para publicidad; sirven para conciliar compras IAP a través de RevenueCat.

7. Plazos de conservación

Conforme al artículo 11 LFPDPPP, sólo conservamos los datos por el tiempo necesario para las finalidades que los justifican.

  • Cuenta activa: mientras la mantengas abierta.
  • Cuenta eliminada (soft-delete): tu información personal se anonimiza inmediatamente. Los datos físicos (viajes, mensajes, fotos) se borran completamente a los 30 días mediante un proceso automatizado diario.
  • Facturación: 5 años por obligación fiscal (Art. 67 Código Fiscal de la Federación).
  • Logs de seguridad: 90 días.
  • Logs de acceso a datos personales: 5 años (Art. 62 LFPDPPP).
  • Datos analíticos agregados: hasta 26 meses, sin identificadores personales.
  • Copias de respaldo cifradas: rotación de 30 días.

8. Medidas de seguridad

Conforme al artículo 19 LFPDPPP y 57-61 del Reglamento, mantenemos medidas administrativas, físicas y técnicas para proteger tus datos. Entre ellas:

  • Cifrado TLS 1.3 en todas las comunicaciones hacia el servidor.
  • Cifrado AES-256 en reposo para la base de datos y backups.
  • Contraseñas almacenadas únicamente como hash bcrypt (cost factor 12, sal aleatoria por usuario).
  • Control de acceso con principio de mínimo privilegio para el equipo interno.
  • Segregación de entornos (producción / staging / desarrollo).
  • Auditorías internas trimestrales y pruebas de penetración anuales.
  • Registro (log) firmado de accesos administrativos a datos personales (Art. 62 LFPDPPP).
  • Programa de respuesta a incidentes conforme al Art. 20 LFPDPPP.

Protocolo de notificación de vulneraciones. En caso de una vulneración de seguridad que afecte de forma significativa derechos patrimoniales o morales de los titulares, notificaremos al titular y al INAI dentro de las 72 horas siguientes a su detección, conforme al artículo 20 LFPDPPP y 64 del Reglamento. La notificación incluirá naturaleza del incidente, datos comprometidos, recomendaciones y medidas correctivas.

9. Derechos ARCO, revocación y portabilidad

Conforme a los artículos 22 a 26 LFPDPPP y 89 a 104 de su Reglamento, tienes derecho a:

  • Acceso: obtener copia de tus datos personales y conocer cómo los tratamos.
  • Rectificación: corregir información inexacta o incompleta.
  • Cancelación: solicitar que tu información sea eliminada cuando ya no sea necesaria para las finalidades que la justificaron.
  • Oposición: oponerte por causa legítima al tratamiento para una finalidad específica.
  • Revocación del consentimiento: cuando éste sea la base del tratamiento.
  • Portabilidad: recibir tus datos en formato estructurado legible por máquina (JSON).

9.1. Procedimiento

Envía correo a privacidad@rutasenmx.com con el asunto “Solicitud ARCO — [tu derecho]” e incluye:

  • Nombre completo y correo registrado.
  • Copia simple de identificación oficial (INE, pasaporte) o, en su caso, poder notarial del representante.
  • Descripción clara y precisa de los datos y del derecho que ejerces.
  • Cualquier elemento que facilite la localización de tus datos.

9.2. Plazos

  • Acuse de recibo: 20 días hábiles.
  • Respuesta efectiva: 15 días hábiles adicionales a partir del acuse.
  • Total: máximo 35 días hábiles conforme al artículo 32 LFPDPPP.
  • Cuando la solicitud proceda, ejecutamos el derecho en 15 días hábiles adicionales.

9.3. Gratuidad

El ejercicio de los derechos ARCO es gratuito. Sólo podríamos cobrar los costos justificados de envío, reproducción o certificación de documentos, conforme al artículo 35 LFPDPPP.

9.4. Autoridad

Si consideras que tu derecho no ha sido atendido correctamente puedes iniciar Procedimiento de Protección de Derechos ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) dentro de los 15 días hábiles siguientes a la respuesta o a la expiración del plazo legal. Portal: inai.org.mx.

9.5. Eliminación directa desde la app

Puedes también eliminar tu cuenta sin cruzar correo:

  • Web: /perfil → Zona peligrosa → Eliminar mi cuenta.
  • Mobile: Perfil → Eliminar cuenta (abre la web).

La eliminación desde la app tiene el mismo efecto legal que una solicitud ARCO de cancelación: anonimización inmediata + hard-delete físico a 30 días.

10. Limitación del uso o divulgación

Conforme al artículo 16 fracción VI LFPDPPP, puedes limitar el uso o divulgación de tus datos por cualquiera de estas vías:

  • Solicitar tu inscripción en el Registro Público para Evitar Publicidad (REPEP) de la Procuraduría Federal del Consumidor en repep.profeco.gob.mx.
  • Solicitar tu inscripción en nuestro listado interno de exclusión de comunicaciones enviando correo a privacidad@rutasenmx.com.
  • Darte de baja desde el enlace que aparece al pie de cada boletín.

11. Menores de edad

Rutas en MX no está dirigido a menores de 13 años. Para la sección social (“Conectar”) requerimos edad mínima de 18 años. Para el resto del servicio, entre 13 y 17 años es necesario el consentimiento de quien ejerza la patria potestad o tutela (Art. 4 LFPDPPP).

Si eres padre, madre o tutor y descubres que un menor bajo tu cuidado creó una cuenta sin tu consentimiento, escríbenos a privacidad@rutasenmx.com y procederemos a su eliminación de manera inmediata.

12. Decisiones automatizadas e inteligencia artificial

La función “Autopilot” utiliza un modelo de IA (Claude de Anthropic PBC) para generar sugerencias de itinerario a partir del prompt que tú escribes. El modelo no toma decisiones legales ni económicas automatizadas sobre ti (no calificamos crédito, no determinamos precios personalizados, no decidimos elegibilidad para servicios). Las sugerencias son orientativas — tú conservas el control total sobre tu viaje.

Los prompts enviados a Anthropic contienen el texto que tú escribes (origen, destino, preferencias) pero no tu correo, nombre ni cualquier dato que te identifique directamente. Anthropic aplica sus propias políticas de privacidad y su DPA; ver anthropic.com/privacy.

13. Derechos adicionales para residentes de la UE (GDPR)

Si te encuentras en la Unión Europea, el Espacio Económico Europeo o el Reino Unido, el Reglamento (UE) 2016/679 te otorga, además de los derechos ARCO, los siguientes:

  • Limitación del tratamiento (Art. 18 RGPD).
  • Portabilidad en un formato estructurado (Art. 20 RGPD).
  • Oposición a decisiones automatizadas con efecto jurídico (Art. 22 RGPD).
  • Presentar reclamación ante una autoridad de control — en España la AEPD (aepd.es), en tu país equivalente el DPA local.

Base jurídica aplicable por categoría de tratamiento:

  • Finalidades primarias: Art. 6.1(b) RGPD — ejecución de contrato.
  • Prevención de fraude y seguridad: Art. 6.1(f) — interés legítimo.
  • Cookies analíticas y boletines: Art. 6.1(a) — consentimiento.
  • Cumplimiento de requerimientos legales: Art. 6.1(c).

14. Residentes de California (CCPA / CPRA)

Si eres residente de California, tienes además:

  • Right to know — qué categorías de información personal hemos recolectado en los últimos 12 meses.
  • Right to delete — solicitar la eliminación.
  • Right to correct — corregir información inexacta.
  • Right to opt-out of sale/sharingno aplica porque no vendemos ni compartimos información personal.
  • Right to non-discrimination — no te trataremos distinto por ejercer tus derechos.

Para ejercerlos escríbenos a privacidad@rutasenmx.com con el asunto “CCPA request”.

15. Cambios al aviso

Conforme al artículo 16 fracción VII LFPDPPP, te notificaremos cualquier cambio material a este Aviso por correo electrónico a tu dirección registrada con al menos 15 días de anticipación a su entrada en vigor. Los cambios se reflejarán en el número de versión al inicio de este documento. El historial completo de versiones se publica en /correcciones. Versión vigente: v3.0, vigente desde 2026-04-24.

16. Contacto