Aviso de Privacidad

Este Aviso de Privacidad se publica en cumplimiento con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México y su Reglamento. Te explica qué datos recogemos, para qué los usamos y cómo puedes ejercer tus derechos.

1. Quién es responsable de tus datos

El responsable del tratamiento de tus datos personales es Esteban Mendiola, titular de Tinta, con domicilio para efectos del presente aviso en San Miguel de Allende, Guanajuato, México. Para cualquier asunto relacionado con tus datos personales puedes contactarnos a:

• Correo: privacidad@entinta.mx
• WhatsApp: el número publicado en entinta.mx

2. Qué datos recopilamos

Tinta es un software de gestión para gimnasios. Procesamos dos categorías de personas: operadores del gimnasio (dueños y recepcionistas que usan Tinta para trabajar) y socios del gimnasio (las personas inscritas que el operador da de alta para cobros y control de acceso). El tipo de datos que recogemos depende de cuál de las dos eres.

De operadores

• Nombre completo y correo electrónico (para crear tu cuenta)
• Contraseña en formato cifrado (nunca en texto plano)
• Datos de tu gimnasio: nombre comercial, dirección, teléfono, RFC opcional
• Información de pago de tu suscripción a Tinta (procesada y almacenada por Stripe o Mercado Pago — Tinta no almacena tu número de tarjeta)
• Bitácora de actividad: timestamps de tus acciones dentro de la app, dirección IP de conexión, identificadores de dispositivo

De socios del gimnasio (registrados por el operador)

• Nombre, teléfono, correo (si lo proporcionan), fecha de nacimiento
• Foto de perfil, cuando el operador la captura para identificación visual
• Plantilla biométrica de huella digital, cuando el operador habilita acceso por huella. Esta plantilla se cifra con una llave maestra exclusiva de Tinta antes de almacenarse y nunca abandona los servidores cifrada
• Historial de pagos al gimnasio, asistencias y compras de productos
• Notas y observaciones registradas por el operador

Los datos de socios son recogidos por el operador del gimnasio en el momento de la inscripción. El operador es responsable de haber obtenido el consentimiento del socio antes de capturar estos datos y de mostrar su propio aviso de privacidad complementario.

3. Para qué usamos tus datos

Datos de operadores se usan para:

• Permitir el acceso a la plataforma y proteger tu cuenta
• Cobrar la suscripción a Tinta (Standard $799 MXN o Plus $1,199 MXN al mes)
• Mandar notificaciones operacionales (vencimientos, alertas, recordatorios)
• Soporte técnico cuando lo solicitas por WhatsApp o correo
• Mejorar el producto a partir de métricas de uso agregadas

Datos de socios se usan únicamente para:

• Registrar pagos, asistencias y vigencia de la membresía
• Identificar al socio al hacer check-in (foto, huella, PIN)
• Mandar recordatorios de pago vía WhatsApp si el operador lo configura

No usamos los datos de socios para fines de marketing, publicidad ni los compartimos con terceros distintos a los proveedores técnicos listados en la sección 5.

4. Datos sensibles

La plantilla biométrica de huella digital califica como dato sensible bajo el artículo 3.VI de la LFPDPPP. La capturamos solo cuando el operador del gimnasio la habilita, con consentimiento expreso del socio. Se cifra con una clave maestra (TINTA_SMK) que vive exclusivamente en nuestro servidor de aplicación, nunca se transmite completa a tu computadora local. Si el socio retira su consentimiento o baja del gimnasio, la plantilla se borra de manera lógica de inmediato y de manera física en el siguiente ciclo de mantenimiento.

5. Con quién compartimos tus datos

Tinta no vende datos. Compartimos información estrictamente con los proveedores técnicos necesarios para que el servicio funcione:

• Hetzner Cloud GmbH (hosting del servidor cloud, ubicado en Helsinki, Finlandia, dentro del Espacio Económico Europeo)
• Cloudflare, Inc. (DNS, CDN, certificados TLS)
• Stripe Payments México y/o Mercado Pago (procesamiento de pagos de la suscripción a Tinta)
• Resend (envío de correos transaccionales)
• Twilio (envío de WhatsApp, cuando el operador habilita la integración)

Cada proveedor mantiene sus propias políticas de privacidad. Tinta los evalúa antes de integrarlos y mantiene contratos de tratamiento de datos donde aplica.

6. Transferencias internacionales

Como nuestro servidor de aplicación está en Finlandia (Unión Europea), tus datos cruzan fronteras al ser procesados. La UE tiene un nivel de protección de datos equivalente o superior al mexicano, según el reconocimiento del INAI. No transferimos datos a terceros países sin garantías adecuadas.

7. Tus derechos ARCO

Tienes derecho a Acceder a tus datos, solicitar su Rectificación, su Cancelación o Oponerte a su tratamiento. También puedes revocar el consentimiento que nos diste al registrarte.

Para ejercer cualquiera de estos derechos, manda un correo a privacidad@entinta.mx con tu nombre completo, una identificación oficial (INE, pasaporte) que confirme que eres tú, y una descripción clara de tu solicitud. Te respondemos en un máximo de 20 días hábiles.

Si la respuesta no te satisface, puedes acudir al INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales).

8. Tiempo de retención

• Datos de cuentas activas: mientras la suscripción esté vigente
• Datos de cuentas canceladas: hasta 12 meses después de la cancelación, para fines fiscales y de respaldo. Después, eliminación lógica
• Bitácoras de seguridad y acceso: hasta 6 meses
• Plantillas biométricas: se borran al instante cuando el socio causa baja

9. Cookies y tecnologías similares

Tinta usa cookies estrictamente necesarias para mantener tu sesión iniciada (un token JWT que se refresca cada 7 días). No usamos cookies de publicidad ni de tracking de terceros. El landing y el dashboard tampoco cargan scripts de analítica externa por default.

10. Seguridad

Tomamos medidas técnicas y administrativas razonables para proteger tus datos, incluyendo:

• Cifrado en tránsito vía TLS 1.3 (con HSTS preload)
• Cifrado en reposo de plantillas biométricas con AES-256-GCM
• Backups cifrados nocturnos en almacenamiento independiente
• Autenticación de dos factores próximamente para operadores
• Aislamiento por gimnasio (multi-tenant a nivel de base de datos)

Ningún sistema es 100% inviolable. Si descubrimos un incidente que pueda afectar tus datos, te avisaremos en un máximo de 72 horas vía el correo que registraste.

11. Cambios a este Aviso

Si modificamos este Aviso de Privacidad de manera significativa, lo publicaremos en esta página con la nueva fecha de vigencia y te notificaremos por correo a la dirección que registraste. Cambios menores (correcciones tipográficas, aclaraciones) se publican sin notificación.

12. Jurisdicción

Cualquier controversia se interpreta y resuelve conforme a las leyes federales mexicanas, ante los tribunales competentes de la Ciudad de México, renunciando a cualquier otra jurisdicción que pudiera corresponder por razón de domicilio.

¿Dudas sobre este aviso? privacidad@entinta.mx