Política de
Privacidad
Tu privacidad y la de tus clientes es nuestra prioridad. Descubre de forma transparente cómo cuidamos cada dato en Bonuxo.
Resumen en pocas palabras
Datos de cuenta del negocio y datos mínimos de clientes finales que el negocio decide solicitar.
Para proveer, mantener y mejorar el servicio de fidelización. Nunca para publicidad de terceros.
Solo con proveedores esenciales bajo acuerdos de confidencialidad. Nunca lo vendemos.
Cifrado en tránsito y en reposo, control de acceso por roles y auditorías de seguridad regulares.
Nuestro Rol (B2B SaaS)
Es fundamental distinguir entre los dos tipos de usuarios en el ecosistema Bonuxo y el rol que desempeñamos con cada uno:
Esta distinción es clave: cuando se trata de datos de clientes finales, Bonuxo solo actúa bajo instrucciones del Negocio y no decide por su cuenta el tratamiento de esos datos.
Qué Datos Recopilamos
De los Negocios (nuestros clientes directos):
- Datos de cuenta: Nombre completo, correo electrónico, nombre de la empresa, número de teléfono.
- Datos de facturación: Historial de suscripciones y pagos (los datos de tarjeta son procesados por MercadoPago, no los almacenamos).
- Datos de uso: Actividad en el dashboard, configuraciones de programas, cantidad de escaneos y métricas de desempeño.
- Datos técnicos: Dirección IP, tipo de navegador, sistema operativo y logs de acceso (para seguridad y soporte).
De los Clientes Finales (procesados en nombre del Negocio):
- Datos básicos de identificación: Nombre y correo electrónico (según lo que el Negocio configure).
- Historial de transacciones: Puntos o sellos acumulados, canjes realizados, fechas de interacción.
- Identificadores de dispositivo: Tokens para el envío de notificaciones push a través de Apple y Google.
- Datos de mensajería WhatsApp: Número de teléfono (WhatsApp ID), nombre de perfil público y contenido de mensajes intercambiados vía WhatsApp Business API. Se procesan exclusivamente para operar el programa de fidelización (notificaciones de puntos, cumpleaños, canjes, opt-out) y nunca para fines publicitarios de terceros.
De los Clientes registrados automáticamente vía POS (pos-auto):
- Datos capturados: Número de teléfono del cliente, obtenido del ticket de venta del sistema POS del Negocio.
- Origen: Estos registros se crean automáticamente cuando el sistema POS reporta una venta asociada a un número de teléfono no registrado previamente. Se marcan con origen
pos-auto. - Limitación de puntos: Los clientes auto-registrados tienen un límite máximo de 50 puntos pendientes hasta que completen su registro formal.
- Retención específica: Los datos de clientes con origen
pos-autoque no completen su registro se eliminan automáticamente a los 90 días.
No recopilamos datos sensibles como contraseñas en texto plano (se almacenan con hash BCrypt), número de documento, datos biométricos ni información de salud. El principio de minimización de datos guía toda nuestra arquitectura.
Cómo Usamos la Información
Utilizamos la información recopilada únicamente para los siguientes fines:
- Proveer, mantener y mejorar la plataforma Bonuxo y sus funcionalidades.
- Emitir las tarjetas digitales (.pkpass y .jwt) y actualizarlas en los dispositivos de los clientes finales.
- Enviar correos transaccionales esenciales (confirmaciones de cuenta, alertas de seguridad, notificaciones de puntos).
- Enviar notificaciones transaccionales y campañas de marketing con consentimiento explícito del cliente final, a través de WhatsApp Business API, correo electrónico y notificaciones push.
- Permitir al cliente final revocar el consentimiento en cualquier momento y por cualquiera de los canales donde lo otorgó.
- Procesar pagos y gestionar suscripciones del Negocio.
- Brindar soporte técnico y responder consultas.
- Detectar y prevenir fraudes, abusos y actividades no autorizadas.
- Cumplir con obligaciones legales y regulatorias aplicables.
Lo que nunca haremos: vender, alquilar o usar los datos para publicidad de terceros o para finalidades distintas a las declaradas aquí.
Compartir Información
No vendemos, alquilamos ni comercializamos datos personales con terceros. Solo compartimos información con proveedores de servicios esenciales que operan bajo acuerdos de confidencialidad:
Base de datos PostgreSQL y autenticación JWT alojados en servidor VPS propio con Docker. Cifrado en reposo y en tránsito.
Infraestructura de correos transaccionales (bienvenida, confirmaciones de puntos, alertas de seguridad, avisos de suscripción). Recibe solo las direcciones de correo necesarias para la entrega, los datos viajan vía TLS y Resend no los utiliza para fines propios. Consulta la Política de Privacidad de Resend.
Cuando el Negocio habilita notificaciones por WhatsApp, compartimos con Meta el número de teléfono del cliente final y el contenido del mensaje a entregar. Meta procesa estos datos bajo su propia política (WhatsApp Business Privacy Policy). Bonuxo no utiliza estos datos para fines distintos a la operación del programa de fidelización ni los comparte con otros anunciantes.
Procesamiento de pagos y suscripciones. Los datos de tarjeta son gestionados directamente por ellos bajo PCI DSS.
Distribución de tarjetas digitales en sus respectivos Wallets. Solo reciben los datos técnicos mínimos necesarios para la emisión.
Monitoreo de errores en tiempo real. Recibe exclusivamente datos técnicos (stack traces, IDs de correlación) para diagnóstico. No recibe datos personales de usuarios finales.
Si el negocio activa una integración con su sistema de punto de venta (Fudo, TiendaNube u otros), Bonuxo accede exclusivamente en modo lectura a las ventas cerradas/completadas para identificar al cliente por su número de teléfono y sumar puntos automáticamente. No accedemos a datos de clientes, productos, inventario, mesas, cocinas, pagos ni ningún otro recurso del sistema POS. Las credenciales de acceso se almacenan encriptadas y el negocio puede revocar la conexión en cualquier momento.
Comunicaciones por WhatsApp
Bonuxo utiliza la WhatsApp Business API de Meta Platforms, Inc. para que los Negocios puedan enviar notificaciones transaccionales y campañas a sus clientes finales que hayan otorgado consentimiento.
- Opt-in obligatorio: el Negocio solo envía mensajes a clientes finales que hayan aceptado recibirlos al registrarse en el programa de fidelización.
- Opt-out en tiempo real: el cliente final puede dejar de recibir mensajes en cualquier momento respondiendo
PARAR(oSTOP) al chat de WhatsApp. Bonuxo procesa el opt-out de forma automática y lo aplica a todos los canales del mismo Negocio. - Alternativas de opt-out: el cliente también puede solicitar la baja enviando un correo a contacto@bonuxo.com o solicitándolo directamente al Negocio desde su panel.
- Datos almacenados: Bonuxo conserva únicamente los metadatos necesarios para operar el programa (identificador de mensaje, timestamp, estado de entrega y estado de opt-out). El contenido del mensaje se almacena solo el tiempo necesario para completar su entrega y registrar la conversación operativa.
- Procesamiento por Meta: las conversaciones vía WhatsApp Business API son procesadas por Meta bajo su propia política (WhatsApp Business Privacy Policy).
Nunca enviamos mensajes por WhatsApp a clientes finales que no hayan dado su consentimiento, y nunca vendemos ni cedemos números de teléfono a terceros con fines comerciales.
Seguridad de los Datos
Implementamos medidas técnicas y organizativas líderes en la industria para proteger los datos:
- Cifrado en tránsito: Todas las comunicaciones utilizan HTTPS/TLS 1.3.
- Cifrado en reposo: Las bases de datos están cifradas mediante AES-256.
- Control de acceso: Acceso basado en roles (RBAC) con principio de mínimo privilegio.
- Aislamiento multi-tenant: Cada negocio tiene sus datos completamente aislados mediante filtrado por Tenant ID a nivel de aplicación, aplicado en todas las consultas a la base de datos.
- Autenticación segura: Gestión de sesiones mediante JWT propio (HS256) y contraseñas almacenadas con hash BCrypt. Los tokens se almacenan en localStorage del navegador.
- Credenciales de terceros: Las API keys de integraciones POS se almacenan con cifrado simétrico (AES) y nunca se exponen en la interfaz ni en logs.
- Acceso mínimo a APIs externas: Las integraciones POS operan en modo solo lectura, accediendo únicamente al endpoint de ventas cerradas.
- Monitoreo de errores: Utilizamos Sentry para la detección y diagnóstico de errores en tiempo real. Sentry puede recibir datos técnicos contextuales (stack traces, IDs de correlación) pero no datos personales de usuarios finales.
- Auditorías: Registros de actividad con IDs de correlación (Serilog) y revisiones de seguridad periódicas.
Si detectas una vulnerabilidad de seguridad en nuestra plataforma, por favor repórtala responsablemente a contacto@bonuxo.com. Respondemos todas las notificaciones en menos de 48 horas.
Retención de Datos
Conservamos los datos solo durante el tiempo necesario para los fines declarados:
- Datos de cuenta activa del Negocio: Mientras la cuenta esté activa.
- Datos de clientes finales: Mientras el programa de fidelización esté activo. El Negocio puede eliminarlos desde el dashboard en cualquier momento.
- Datos tras cancelación: Se conservan por 90 días para posibles reactivaciones, y luego son eliminados permanentemente o anonimizados.
- Registros de auditoría y seguridad: Se conservan por hasta 1 año para cumplimiento legal.
- Clientes auto-registrados vía POS: Los perfiles con origen
pos-autoque no completen el registro formal se eliminan automáticamente a los 90 días de su creación.
Tus Derechos
De acuerdo con la Ley N° 25.326 de Protección de Datos Personales de Argentina y otras normativas aplicables, tienes los siguientes derechos:
Acceso
Conocer qué datos tenemos sobre ti y cómo los usamos.
Rectificación
Corregir datos incorrectos o desactualizados en cualquier momento.
Eliminación
Solicitar la eliminación de tus datos personales de la plataforma.
Portabilidad
Exportar tus datos en un formato estructurado y legible.
Revocación del consentimiento: puedes retirar en cualquier momento el consentimiento otorgado para el tratamiento de tus datos o para recibir comunicaciones por WhatsApp, email o push. La revocación no afecta la licitud del tratamiento previo a la revocación.
Si eres un Negocio: puedes ejercer estos derechos desde tu panel de control o contactándonos directamente.
Si eres un Cliente Final: debes contactar al Negocio que emitió tu tarjeta. Nosotros asistiremos al Negocio para cumplir tu solicitud en el plazo legal de 5 días hábiles.
Para ejercer tu derecho de supresión de forma completa, visita Eliminación de datos personales.
Menores de Edad
Bonuxo no está dirigido a personas menores de 18 años y no recopilamos intencionalmente datos personales de menores. Si un Negocio desea incluir a menores en su programa de fidelización, es responsabilidad exclusiva del Negocio obtener el consentimiento de sus tutores legales y cumplir con la normativa de protección de menores aplicable.
Si detectamos que hemos recopilado datos de un menor sin el consentimiento apropiado, los eliminaremos de forma inmediata.
Cambios a esta Política
Podemos actualizar esta Política de Privacidad periódicamente. Ante cambios materiales, notificaremos a los Negocios registrados por correo electrónico y mediante un aviso en el panel de control con al menos 15 días de anticipación. La fecha indicada en el encabezado de esta página siempre reflejará la versión vigente.
Contacto
Para cualquier consulta sobre esta Política de Privacidad o para ejercer tus derechos sobre los datos:
Responsable de Privacidad
contacto@bonuxo.comRespondemos dentro de los 5 días hábiles según lo exige la ley argentina.