Aviso de Privacidad
Aviso de Privacidad
Última actualización: 5 de mayo de 2026 Versión: 3.0 (scaffolding — pendiente revisión legal)
⚠️ Nota de scaffolding (NO publicar sin revisión legal): Este documento tiene la estructura completa requerida por GDPR, CCPA y la LFPDPPP mexicana. El contenido es un borrador técnico que documenta con honestidad qué datos recopila la app y cómo se usan. Antes de publicar producción, un abogado debe revisar y aprobar, especialmente las secciones 6 (transferencias internacionales) y 9 (rights por jurisdicción).
1. Quién es el responsable del tratamiento
CASO (en adelante "la Plataforma"), operada por CASO SAS, con domicilio fiscal en [DOMICILIO FISCAL COMPLETO], RFC [RFC], es responsable del tratamiento de tus datos personales conforme a este Aviso.
Contacto del Oficial de Privacidad / DPO:
- Email: privacidad@appcaso.com
- Dirección postal: [DOMICILIO LEGAL COMPLETO]
2. Datos personales que recopilamos
2.1 Datos que tú nos proporcionas
| Categoría | Ejemplos | Propósito |
|---|---|---|
| Identidad | Nombre, apellido, fecha de nacimiento | Crear tu cuenta + verificación KYC |
| Contacto | Email, teléfono | Comunicaciones del servicio + soporte |
| Pago | Número de tarjeta, CVV, billing address | Procesado vía Stripe (PCI-DSS Level 1) — CASO NO almacena datos de tarjeta |
| Vehículo (clientes) | Placas, modelo, color, año | Asignar el servicio correcto |
| Fiscal (lavadores) | RFC, régimen SAT, datos bancarios | Pagos vía Stripe Connect + retenciones SAT |
| KYC (lavadores) | INE/CURP, comprobante de domicilio, selfie | Verificación de identidad obligatoria |
2.2 Datos que recopilamos automáticamente
- Ubicación geográfica precisa (con tu permiso explícito): para mostrarte lavadores cercanos y para que el lavador llegue a tu auto. Recolectada solo mientras tienes la app abierta o un servicio activo.
- Datos de uso: pantallas visitadas, botones tocados, tiempo en flow de booking. Usado para mejorar UX vía Firebase Analytics.
- Datos del dispositivo: modelo (e.g. iPhone 15 Pro), versión OS, idioma, zona horaria. Para diagnosticar bugs vía Firebase Crashlytics.
- Datos de red: IP address (anonimizada después de 30 días), tipo de conexión (Wi-Fi/celular).
2.3 Datos que NO recopilamos
- ❌ Audio o video del micrófono / cámara del dispositivo (excepto fotos KYC explícitamente subidas).
- ❌ Contactos del teléfono.
- ❌ SMS / iMessages.
- ❌ Datos de salud, biométricos faciales más allá de la selfie KYC, datos de menores de edad.
3. Cómo usamos tus datos
| Finalidad | Base legal (GDPR / LFPDPPP Art. 8) |
|---|---|
| Operar el servicio (asignar lavador, cobrar, calificar) | Ejecución del contrato |
| Procesar pagos | Ejecución del contrato + obligación legal SAT |
| Verificación KYC del lavador | Obligación legal AML/KYC |
| Notificaciones push (servicio en camino, lavador llegó) | Ejecución del contrato (requeridas para el servicio) |
| Notificaciones marketing (promociones, cupones) | Tu consentimiento expreso (puedes optar fuera en cualquier momento) |
| Mejorar UX vía analytics | Interés legítimo |
| Prevenir fraude / abuse | Interés legítimo + obligación legal |
| Soporte al cliente | Ejecución del contrato |
| Cumplir obligaciones SAT (CFDI, retenciones) | Obligación legal |
4. Servicios de terceros (third-party data sharing)
CASO comparte datos con los siguientes proveedores únicamente para los propósitos listados, bajo contratos de procesamiento de datos (DPA) que cumplen GDPR Art. 28 y LFPDPPP Art. 36:
4.1 Pagos
- Stripe, Inc. (USA + Irlanda) — procesador PCI-DSS Level 1 de tarjetas. Datos transferidos: nombre, email, número de tarjeta (no se nos devuelve), monto, billing address. Privacy Policy: https://stripe.com/privacy
- Stripe Connect (mismo proveedor) — payouts a lavadores. Datos transferidos: nombre legal, RFC, datos bancarios CLABE/cuenta, total de servicios.
4.2 Infraestructura backend
- Google LLC / Firebase (USA) — hosting, base de datos (Firestore), autenticación, almacenamiento de archivos KYC. Datos transferidos: TODOS los datos de la app (es nuestro storage primario). Certificación: ISO 27001, SOC 2 Type II, HIPAA-eligible. EU Standard Contractual Clauses para transferencias internacionales. Privacy Policy: https://firebase.google.com/support/privacy
- Google Cloud Functions — ejecución de lógica de servidor.
4.3 Mapas y geolocalización
- Google Maps Platform — visualización del mapa, autocomplete de direcciones, cálculo de rutas. Datos transferidos: ubicación cliente + lavador, dirección destino. Privacy Policy: https://policies.google.com/privacy
4.4 Analytics y observabilidad
- Firebase Analytics — eventos agregados anónimos de uso (no PII).
- Firebase Crashlytics — stack traces de crashes con device info (sin PII).
- Firebase Performance Monitoring — latencias de red, frame rates (sin PII).
4.5 Notificaciones push
- Firebase Cloud Messaging (FCM) — entrega de pushes a iOS/Android. Datos transferidos: token del device + payload (e.g. "Tu lavador está en camino").
4.6 KYC
- Stripe Identity (cuando esté integrado v1.1) — verificación documento INE + selfie liveness.
No vendemos tus datos a terceros. Nunca. Bajo ninguna circunstancia.
5. Cookies y tecnologías similares
La app móvil no usa cookies en sentido tradicional (no hay browser web). Usamos identificadores equivalentes:
- Firebase Installation ID: un ID único anónimo por instalación de la app, usado para Analytics + FCM. Se borra automáticamente al desinstalar.
- Authentication tokens: JWT firmados por Firebase Auth, almacenados en
flutter_secure_storage(iOS Keychain / Android Keystore). Se borran al cerrar sesión o al desinstalar. - SharedPreferences locales: settings (modo claro/oscuro, idioma, primera vez que viste el tour). NO contienen PII.
6. Transferencias internacionales
Tus datos pueden ser transferidos y procesados fuera de México, principalmente en:
- Estados Unidos (servidores Google Cloud
us-central1y Stripe). - Irlanda (servidores Stripe Europe).
Estas transferencias se realizan bajo:
- EU Standard Contractual Clauses (GDPR Art. 46) cuando el sujeto es residente UE.
- Acuerdos de adecuación bilaterales entre proveedor y México conforme LFPDPPP Art. 36.
- Tu consentimiento explícito otorgado al aceptar este Aviso al registrarte.
7. Retención de datos
| Tipo de dato | Tiempo de retención | Razón |
|---|---|---|
| Cuenta activa (cliente / lavador) | Mientras la cuenta exista + 90 días post-eliminación | Disputas / refund window |
| Historial de servicios | 5 años desde la fecha del servicio | Obligación contable SAT (Art. 67 CFF) |
| Datos KYC del lavador | 5 años desde el último servicio | AML / régimen plataformas digitales |
| Datos de pago (Stripe) | Según política de Stripe | No los almacenamos directamente |
| Tokens FCM | Hasta que el user desinstale o nos diga "stop notifications" | Operativo |
| Logs de Crashlytics | 90 días | Diagnóstico bug |
| Analytics anonimizado | Hasta 14 meses (default Firebase Analytics) | Tendencias agregadas |
Eliminación bajo demanda: puedes solicitar la eliminación de tu cuenta desde Configuración → Cuenta → Eliminar mi cuenta. Borraremos todos los datos personales en máximo 30 días, excepto los retenidos por obligación legal.
8. Tus derechos (Derechos ARCO + GDPR + CCPA)
Tienes derecho a:
| Derecho | Cómo ejercerlo |
|---|---|
| Acceder a tus datos | App → Configuración → Cuenta → Exportar mis datos (GDPR data export) |
| Rectificar datos incorrectos | Editar tu perfil en la app o vía email a privacidad@appcaso.com |
| Cancelar / eliminar | App → Configuración → Cuenta → Eliminar mi cuenta |
| Oponerte al tratamiento | privacidad@appcaso.com con asunto "Revocar consentimiento" |
| Portabilidad (GDPR Art. 20) | El export de "Exportar mis datos" cumple esta obligación |
| Limitación del tratamiento (GDPR Art. 18) | privacidad@appcaso.com |
| No vender mis datos (CCPA §1798.120) | privacidad@appcaso.com — aunque CASO no vende datos, este derecho está garantizado |
| Presentar queja ante la autoridad | INAI (México) https://home.inai.org.mx — o autoridad equivalente en tu jurisdicción |
Tiempo de respuesta: 20 días hábiles desde recepción del email (LFPDPPP Art. 32).
9. Menores de edad
CASO está diseñada para personas mayores de 18 años. No recopilamos intencionalmente datos de menores de edad. Si tienes menos de 18, no uses la app y no nos proporciones datos personales. Si descubrimos que un usuario es menor, eliminaremos la cuenta en máximo 7 días.
10. Seguridad
Implementamos medidas técnicas y organizativas razonables (LFPDPPP Art. 19, GDPR Art. 32):
- Encriptación en tránsito: HTTPS/TLS 1.3 obligatorio (
usesCleartextTraffic="false"Android). - Encriptación en reposo: Firestore + Cloud Storage encriptan al rest por default.
- Autenticación: Firebase Auth con bcrypt + protección contra brute force.
- Tokens sensibles: almacenados en
flutter_secure_storage(Keychain/Keystore). - Pagos: nunca tocamos número de tarjeta — Stripe lo maneja end-to-end (PCI-DSS Level 1).
- Auditoría: logs de acceso a datos sensibles vía Firebase Audit Logs.
- Personal: solo personal con need-to-know tiene acceso, bajo NDA.
Si ocurre una violación de seguridad ("data breach"), te notificaremos en ≤ 72 horas vía email + push notification, conforme GDPR Art. 33-34 y LFPDPPP Art. 20.
11. Cambios a este aviso
Podemos actualizar este Aviso periódicamente. La versión vigente siempre está disponible en la app (Configuración → Aviso de Privacidad). Cambios materiales se notifican vía:
- Push notification + dialog al abrir la app la próxima vez.
- Email a tu cuenta registrada.
- Banner en pantalla principal por 30 días.
Tu uso continuado de la app después de un cambio constituye aceptación. Si no estás de acuerdo, puedes eliminar tu cuenta sin penalización.
12. Contacto
Oficial de Privacidad / DPO:
- Email: privacidad@appcaso.com
- Tiempo de respuesta: 20 días hábiles
Autoridad de control:
- México: INAI — https://home.inai.org.mx
- UE: la autoridad de protección de datos de tu país de residencia
- California: California Privacy Protection Agency
Documento v3.0 scaffolding — generado 2026-05-05. Sustituir por versión revisada por abogado antes de publicar a producción.