Aviso de Privacidad Integral

Responsable: BeautyCita S.A. de C.V.

RFC: BEA260313MI8

Domicilio fiscal: Av. Manuel Corona, Alazán 11A, C.P. 48290, Puerto Vallarta, Jalisco, México.

Correo del departamento de datos personales: legal@beautycita.com

Correo de soporte general: soporte@beautycita.com

Teléfono y WhatsApp: +52 322 320 8884

Recabamos las siguientes categorías de datos personales, en cada caso conforme al principio de minimización (Art. 11 LFPDPPP):

• Identificación: nombre de usuario (generado automáticamente y editable), nombre y apellidos (opcional), correo electrónico, número telefónico, género y fecha de nacimiento.
• Contacto: correo electrónico, número de teléfono móvil (verificado vía OTP).
• Ubicación: coordenadas GPS aproximadas y exactas, exclusivamente con su consentimiento explícito mediante el permiso de ubicación del dispositivo.
• Transacciones: historial de reservas, preferencias de búsqueda, reseñas, montos pagados, método de pago utilizado y últimos cuatro dígitos de tarjeta bancaria (nunca el número completo).
• Datos fiscales del cliente (opcionales): RFC, razón social, uso de CFDI y correo fiscal, capturados voluntariamente desde Mi Cuenta cuando el cliente solicita facturación.
• Datos fiscales de Salones y profesionales: RFC, régimen fiscal y CLABE interbancaria, proporcionados durante la onboarding del Salón.
• Verificación de identidad del Salón (KYB): imágenes de documentos oficiales (INE, pasaporte o licencia) procesadas mediante Google Cloud Vision API exclusivamente para extraer el texto necesario para la verificación. Las imágenes originales no se transmiten nuevamente una vez verificadas.
• Imágenes: fotografías y videos que usted suba (avatar, portafolio del Salón, portafolio del estilista vía código QR + PIN, evidencia en disputas) o genere mediante el estudio virtual de IA.
• Datos técnicos: token de notificaciones push (Firebase Cloud Messaging), identificador de dispositivo, sistema operativo, versión de la aplicación.
• Navegación y uso: pantallas visitadas, acciones realizadas, métricas de rendimiento y registros de errores anonimizados.
• Verificación walk-in (Programa QR): identificador de dispositivo (UUID generado localmente) y hashes de IP/agente, con rotación criptográfica diaria, exclusivamente para prevención de fraude (ver §14).

Autenticación biométrica: la aplicación utiliza la huella digital o reconocimiento facial de su dispositivo exclusivamente para autenticación local. Los datos biométricos son procesados únicamente por el hardware de su dispositivo (Secure Enclave / TEE). BeautyCita nunca recibe, transmite ni almacena datos biométricos en sus servidores. No se requiere consentimiento expreso adicional ya que el tratamiento se realiza íntegramente por su dispositivo.

Fotografías faciales (estudio virtual): las fotos procesadas por el estudio virtual contienen rasgos físicos. Estas imágenes se transmiten a servidores seguros de LightX (procesamiento de IA) exclusivamente para generar la transformación solicitada y no se utilizan para entrenar modelos de inteligencia artificial. Usted puede eliminar estas imágenes en cualquier momento desde la app.

Documentos de identidad para verificación del Salón: los documentos oficiales (INE, pasaporte, licencia) cargados durante la verificación del Salón son procesados por Google Cloud Vision API únicamente para extraer texto. Las imágenes originales no se retienen en BeautyCita más allá del tiempo estrictamente necesario para concluir la verificación.

Finalidades primarias (necesarias para la relación jurídica):

• Crear y gestionar su cuenta de usuario.
• Buscar salones y profesionales de belleza cercanos a su ubicación.
• Procesar reservas de servicios de belleza y pedidos de productos (POS).
• Procesar pagos con tarjeta, OXXO, saldo y tarjetas de regalo (vía Stripe, certificado PCI-DSS Nivel 1).
• Calcular y retener ISR e IVA sobre las transacciones que procesamos, conforme a los artículos 113-A LISR y 18-J LIVA.
• Emitir CFDI por las retenciones efectuadas y, cuando el cliente lo solicite, por las reservas realizadas.
• Enviar notificaciones de confirmación, recordatorio y seguimiento de citas (push, WhatsApp, correo).
• Coordinar transporte hacia el salón (integración con Uber, solo con su autorización explícita).
• Procesar imágenes en el estudio virtual de prueba (solo cuando usted lo solicita).
• Mediar y resolver disputas entre clientes y Salones (ver §14 de los Términos).
• Verificar la identidad de los Salones y profesionales mediante KYB (Know Your Business).
• Cumplir obligaciones legales y fiscales ante el SAT (Art. 30 y 30-B del Código Fiscal de la Federación).
• Prevenir fraude, abuso de la plataforma y protegerla de actividades ilícitas.

Finalidades secundarias (no necesarias para el servicio):

• Enviar recomendaciones personalizadas de salones y servicios.
• Mostrar contenido relevante en el feed de inspiración.
• Realizar análisis estadísticos anonimizados para mejorar el servicio.
• Enviar comunicaciones promocionales sobre funciones nuevas.
• Análisis de comportamiento para personalización y prevención de fraude (ver §13).

Tratamos sus datos personales con fundamento en:

• Consentimiento (Art. 8 LFPDPPP): al registrarse y aceptar este aviso.
• Relación contractual (Art. 12 Reglamento): necesario para prestar el servicio de intermediación de reservas y pagos.
• Obligación legal (Art. 10, fracción IV LFPDPPP): retenciones fiscales al SAT, declaraciones informativas, emisión de CFDI, y cumplimiento de requerimientos de autoridades competentes.
• Interés legítimo (Art. 12 Reglamento): prevención de fraude, seguridad de la plataforma, integridad de la red, y mejora del servicio.

Sus datos pueden ser transferidos a los siguientes terceros, en cada caso con clausulado contractual que garantiza un nivel adecuado de protección conforme al artículo 36 LFPDPPP:

• Salones y profesionales contratados: nombre, teléfono y detalles de la reserva, para que puedan atender su cita.
• Stripe, Inc. (EE.UU.): datos de pago para procesamiento de transacciones con tarjeta y OXXO. Stripe es certificado PCI-DSS Nivel 1.
• Google LLC (EE.UU.): Firebase Cloud Messaging para notificaciones push, Google Places para búsqueda de direcciones, Google Cloud Vision para verificación KYB de documentos del Salón.
• Apple Inc. (EE.UU.): autenticación OAuth cuando elija iniciar sesión con Apple.
• Meta Platforms / WhatsApp (EE.UU. e Irlanda): mensajes transaccionales de negocio enviados al número telefónico que usted registre.
• Treble.ai (México): proveedor mexicano que opera como BSP (Business Solution Provider) de WhatsApp Business para el envío de plantillas transaccionales utilitarias. Solo número de teléfono y contenido del mensaje, exclusivamente para mensajes transaccionales (recordatorios, confirmaciones, OTP).
• OpenAI, Inc. (EE.UU.): texto de conversaciones con nuestro asistente de IA para generar respuestas de soporte. No se envían datos de pago ni datos fiscales.
• LightX (India): fotografías del estudio virtual para procesamiento de IA. No se envían datos de identificación personal. LightX no retiene imágenes para entrenamiento de modelos.
• Uber Technologies (EE.UU.): nombre y ubicación cuando usted elige la opción de transporte. Solo con su autorización explícita.
• Cloudflare (global): almacenamiento de medios (fotos de portafolio, recursos estáticos) en su servicio R2.
• GlitchTip (autohospedado en México): reportes de errores técnicos anonimizados. Los datos no salen del territorio nacional; la infraestructura es operada por BeautyCita.
• SAT — Servicio de Administración Tributaria (México): montos de transacciones procesadas por BeautyCita, retenciones de ISR e IVA, y RFC de proveedores. Transferencia obligatoria por ley (Art. 37 LFPDPPP, Art. 30-B Código Fiscal de la Federación).

Conforme a los artículos 28 al 35 de la LFPDPPP, usted tiene derecho a:

• Acceso: conocer qué datos personales tenemos y cómo los tratamos.
• Rectificación: corregir datos inexactos o incompletos.
• Cancelación: solicitar la eliminación de sus datos.
• Oposición: oponerse al tratamiento para finalidades específicas.

Procedimiento:

• Envíe solicitud a legal@beautycita.com con asunto "Derechos ARCO".
• Incluya: nombre completo, nombre de usuario en BeautyCita, descripción clara del derecho que desea ejercer, y correo electrónico para notificaciones.
• Si solicita rectificación, adjunte documentación de soporte.
• Recibiremos su solicitud y responderemos sobre su procedencia en un plazo máximo de veinte (20) días hábiles contados desde la recepción.
• Si la solicitud es procedente, la haremos efectiva dentro de los quince (15) días hábiles siguientes a la respuesta.
• Los plazos pueden ampliarse una sola vez por un periodo igual, previa notificación justificada.

Usted puede revocar su consentimiento para el tratamiento de sus datos en cualquier momento, sin efectos retroactivos, enviando solicitud a legal@beautycita.com con asunto "Revocación de consentimiento".

La revocación del consentimiento para finalidades primarias implicará la imposibilidad de seguir prestando el servicio, por lo que su cuenta será cancelada conforme al procedimiento ARCO.

La revocación para finalidades secundarias (recomendaciones, análisis, promociones, análisis de comportamiento) no afecta su acceso al servicio.

Responderemos en un plazo máximo de veinte (20) días hábiles.

Además de los derechos ARCO, usted puede:

• Desactivar notificaciones push desde la configuración de su dispositivo o desde Mi Cuenta dentro de la app.
• Revocar el permiso de ubicación en cualquier momento desde la configuración de su dispositivo.
• Desactivar el análisis de comportamiento (traits) desde Mi Cuenta > Privacidad > Análisis de actividad (ver §13).
• Solicitar la exclusión de comunicaciones promocionales respondiendo "BAJA" a cualquier mensaje de WhatsApp transaccional, o enviando correo a legal@beautycita.com con asunto "No promociones".
• Eliminar fotografías del estudio virtual desde la sección correspondiente dentro de la app.
• Eliminar su RFC fiscal capturado voluntariamente desde Mi Cuenta en cualquier momento.

Implementamos medidas de seguridad administrativas, técnicas y físicas para proteger sus datos:

Técnicas:

• Cifrado en tránsito (TLS 1.3) para todas las comunicaciones, con HSTS preload.
• Cabeceras de seguridad: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
• Control de acceso por roles a nivel de base de datos (Row Level Security).
• Autenticación con tokens JWT de corta duración.
• Certificate pinning para conexiones críticas desde la aplicación móvil.
• Operaciones financieras atómicas con bloqueo de fila (prevención de condiciones de carrera).
• Pagos delegados a procesadores certificados PCI-DSS Nivel 1.
• Respaldos diarios cifrados con almacenamiento redundante.
• Firewall (UFW), Fail2ban, monitoreo continuo, honeypots para detección de actividad sospechosa.
• Ofuscación de código en la aplicación móvil (R8).
• Reportes de errores anonimizados procesados en infraestructura hospedada en México (GlitchTip).

Administrativas:

• Acceso a datos personales restringido a personal autorizado.
• Registro de auditoría de accesos a datos fiscales (conservado cinco años).
• Revisión periódica de seguridad del código fuente.

Físicas:

• Infraestructura alojada en centros de datos con certificación de seguridad.
• Acceso físico restringido a servidores de producción.

Conservamos sus datos personales durante los siguientes periodos:

• Datos de cuenta: mientras su cuenta esté activa. Tras solicitar eliminación, los datos se borran en un plazo máximo de treinta (30) días, salvo las excepciones de retención fiscal abajo.
• Historial de reservas y CFDI emitidos: cinco (5) años desde la última transacción (obligación fiscal, Art. 30 del Código Fiscal de la Federación).
• Datos fiscales de proveedores (RFC, régimen): cinco (5) años (obligación fiscal).
• Registros de retenciones y reportes al SAT: cinco (5) años (obligación fiscal).
• Fotografías del estudio virtual: hasta que usted las elimine o cierre su cuenta.
• Imágenes de verificación KYB (Salones): las imágenes originales son procesadas por Google Cloud Vision y los resultados (texto extraído, verificación booleana) se conservan junto con el expediente del Salón. Las imágenes originales no se almacenan en BeautyCita más allá del tiempo necesario para la verificación.
• Puntuaciones de comportamiento (traits) — finalidad secundaria: hasta treinta (30) días después de que usted desactive el análisis de actividad.
• Datos técnicos y de uso: doce (12) meses para análisis y mejora, después se anonimizan irreversiblemente.
• Registros de soporte (chats con Eros, soporte humano): dos (2) años.
• Registros del Programa QR de registro: mientras la cuenta esté activa, más el plazo legal aplicable por Art. 30 CFF cuando aplique a alguna transacción asociada.
• Bitácora de accesos del SAT (Art. 30-B CFF): cinco (5) años.

Al cumplirse los periodos de retención, los datos se eliminan de forma segura o se anonimizan irreversiblemente.

BeautyCita utiliza algoritmos de inteligencia artificial y reglas configurables para:

• Seleccionar y ordenar los tres mejores Salones para su servicio solicitado (motor de recomendación).
• Inferir el horario preferido de su cita basándose en el día, hora actual, tipo de servicio e historial.
• Generar transformaciones de imagen en el estudio virtual.
• Proveer soporte automatizado mediante nuestro asistente de IA (Eros).
• Detectar señales de riesgo para prevención de fraude (ver §13).

Ninguna de estas decisiones produce efectos jurídicos adversos ni le afecta significativamente sin revisión humana. Usted siempre confirma manualmente la reserva antes de que se procese. Las acciones que pudieran afectar su derecho a usar la plataforma (suspensión, restricción de visibilidad de un Salón, etc.) requieren revisión por parte de un administrador autorizado.

Puede solicitar información sobre la lógica de estas decisiones enviando correo a legal@beautycita.com.

BeautyCita analiza patrones de uso de la plataforma para mejorar el servicio, prevenir fraude y personalizar la experiencia. Este análisis incluye:

Datos que analizamos:

• Frecuencia y patrones de reservas.
• Categorías de servicios utilizados.
• Patrones geográficos de uso (a nivel ciudad, no coordenadas exactas).
• Interacciones con la plataforma (búsquedas, invitaciones, reseñas).
• Patrones de gasto y métodos de pago preferidos.

Lo que generamos:

• Puntuaciones de comportamiento (traits) que describen sus hábitos de uso.
• Segmentos de usuario para personalizar recomendaciones.
• Señales de riesgo para prevención de fraude.

Lo que NO hacemos:

• No inferimos datos sensibles (salud, preferencias sexuales, religión, origen étnico, opiniones políticas).
• No tomamos decisiones automatizadas que afecten sus derechos sin revisión humana.
• No compartimos perfiles individuales con terceros.
• No utilizamos estos datos para publicidad de terceros.

Su control:

• Puede desactivar el análisis de comportamiento en cualquier momento desde Mi Cuenta > Privacidad > "Análisis de actividad".
• Al desactivar, detenemos la recopilación y eliminamos sus puntuaciones dentro de treinta (30) días.
• Los registros transaccionales (reservas, pagos) se mantienen por obligación legal independiente.
• Puede solicitar acceso a su perfil de comportamiento vía legal@beautycita.com (Art. 27 LFPDPPP).

Base legal: consentimiento implícito para datos no sensibles (Art. 8 LFPDPPP). Interés legítimo para prevención de fraude (Art. 12 Reglamento LFPDPPP).

Si usted escanea un código QR físico en un Salón participante y completa el formulario de registro, BeautyCita almacena los siguientes datos proporcionados por usted:

• Nombre completo.
• Número telefónico (verificado por código OTP vía WhatsApp).
• Servicio solicitado y notas opcionales.
• Identificador de dispositivo (UUID generado localmente en su navegador).
• Hashes anónimos de dirección IP y agente de navegación, capturados únicamente para prevención de fraude; no reversibles después de treinta (30) días por rotación criptográfica diaria.

Propósito: completar su cita en el Salón donde realizó el registro. BeautyCita actúa como encargado del tratamiento respecto a estos datos en nombre del Salón hasta que el cliente activa una cuenta dentro de la plataforma.

Base legal:

• Consentimiento expreso (Art. 8 LFPDPPP) — usted marca las casillas de aviso de privacidad, términos y cookies antes de enviar el formulario.
• Principio de finalidad y minimización (Art. 11 LFPDPPP) — solo capturamos datos necesarios para completar su cita y prevenir fraude; no hay uso secundario.

Sus derechos ARCO permanecen vigentes. Para ejercerlos o eliminar sus datos, escríbanos a legal@beautycita.com. Eliminación en plazo máximo de treinta (30) días.

Retención: los registros se mantienen mientras la cuenta esté activa, más el plazo legal aplicable por Art. 30 CFF cuando aplique a alguna transacción asociada.

BeautyCita utiliza cookies estrictamente necesarias para la operación del sitio (mantener su sesión iniciada, recordar preferencias, prevención de fraude por parte del procesador de pagos), así como almacenamiento similar (localStorage, IndexedDB) para mejorar la experiencia.

No utilizamos cookies publicitarias, cookies de rastreo entre sitios, ni redes de publicidad de terceros.

BeautyCita no está dirigida a menores de dieciséis (16) años y no recopilamos intencionalmente datos de menores. Si detectamos que un menor de 16 años ha proporcionado datos personales, los eliminaremos de inmediato y cancelaremos la cuenta correspondiente.

Las personas mayores de 16 y menores de 18 deben contar con el consentimiento de su padre, madre o tutor para utilizar la Plataforma.

Si usted considera que su derecho a la protección de datos personales ha sido vulnerado, tiene derecho a acudir ante la autoridad garante en materia de protección de datos personales. Tras la reforma de 2025 a la LFPDPPP, las atribuciones que correspondían al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) fueron transferidas a la Secretaría Anticorrupción y Buen Gobierno (SABG) del Gobierno Federal.

Puede consultar el procedimiento vigente para presentar su queja en los canales oficiales del Gobierno de México.

Nos reservamos el derecho de modificar este aviso de privacidad en cualquier momento. Cualquier cambio sustancial será notificado mediante:

• Notificación push dentro de la aplicación.
• Correo electrónico al correo registrado.
• Publicación de la versión actualizada en beautycita.com/privacidad con la nueva fecha de actualización al inicio del documento.

El uso continuado de BeautyCita después de la notificación de cambios constituye aceptación del aviso actualizado.

Al registrarse en BeautyCita y aceptar el presente Aviso de Privacidad, usted otorga su consentimiento para el tratamiento de sus datos personales conforme a los términos aquí descritos.

Para datos sensibles (fotografías con rasgos físicos en el estudio virtual, documentos de identidad en la verificación KYB del Salón), su consentimiento expreso se obtiene al momento de utilizar la función correspondiente, mediante confirmación explícita en pantalla antes del procesamiento.

Fecha de última actualización: 18 de mayo de 2026.