Política de Privacidad

Recopilamos únicamente la información necesaria para operar el programa de lealtad. La naturaleza de los datos depende de tu rol en el servicio.

1.1 Consumidores finales (clientes del comercio)

Cuando te enrolas en un programa de lealtad de un comercio que utiliza BZL Rewards, recopilamos:

• Nombre completo: para personalizar tu tarjeta digital y la comunicación del comercio.
• Número de teléfono en formato internacional (E.164, ej. +50212345678): identificador principal de tu cuenta y canal para notificaciones operativas.
• Correo electrónico (opcional): para envíos transaccionales y recuperación de cuenta.
• Fecha de nacimiento (opcional): se utiliza únicamente para activar promociones de cumpleaños cuando el comercio las habilita.
• Ubicación (opcional, solo con tu consentimiento explícito): se usa para promociones basadas en geolocalización. Puedes revocar el permiso en cualquier momento desde tu sistema operativo.
• Historial de transacciones de lealtad: sellos acumulados, puntos, visitas, redenciones de premios, fechas y comercio donde se generaron.
• Datos del dispositivo necesarios para emitir tarjetas digitales (modelo, sistema operativo, idioma, identificadores de pase de Apple Wallet o Google Wallet). No accedemos a contactos, fotos, micrófono ni almacenamiento.

1.2 Comercios, dueños y personal autorizado (usuarios B2B)

Cuando administras un comercio o eres parte del personal autorizado, recopilamos:

• Datos de contacto: nombre, correo electrónico de inicio de sesión, teléfono.
• Información del negocio: razón social, NIT, dirección, logotipo y colores de marca.
• Información de facturación: cobramos a través de Recurrente, nuestro procesador de pagos en Guatemala. No almacenamos datos completos de tarjetas de crédito o débito; únicamente recibimos un token y los últimos cuatro dígitos para identificar el método de pago.
• Datos de uso del panel administrativo: hora de acceso, dirección IP, acciones realizadas (auditoría) y dispositivo utilizado.

1.3 Información que NO recopilamos

• No recopilamos números completos de tarjeta de crédito.
• No accedemos a tu agenda de contactos, fotos ni micrófono.
• No utilizamos identificadores publicitarios de Apple (IDFA) ni rastreamos tu actividad fuera de la aplicación.

Tratamos tus datos para los siguientes fines:

• Operación del programa de lealtad: crear y mantener tu cuenta, acumular sellos/puntos/visitas, validar redenciones y mostrar tu progreso al comercio.
• Comunicaciones operativas y de marketing del comercio: enviar notificaciones push, correo electrónico o WhatsApp (estos últimos solo si autorizas expresamente). Siempre puedes cancelar la suscripción.
• Mejora del producto: análisis agregados y anonimizados de uso para detectar fallos, optimizar tiempos de respuesta y diseñar nuevas funciones.
• Cumplimiento legal y prevención de fraude: detectar abuso, actividades sospechosas, cumplimiento de obligaciones tributarias y responder requerimientos de autoridades competentes.
• Soporte técnico: investigar incidentes que reportes y atenderte por los canales de contacto.

Para operar el servicio, contratamos a los siguientes subprocesadores. Cada uno está obligado contractualmente a procesar tus datos solo bajo nuestras instrucciones y a proteger su confidencialidad y seguridad.

3.1 Subprocesadores actuales

• Google Cloud Platform (Google LLC) — alojamiento de servidores y base de datos en la región us-central1 (Iowa, EE. UU.).
• Firebase Authentication (Google LLC) — gestión de identidades y autenticación.
• Apple Inc. — emisión y entrega de tarjetas digitales en Apple Wallet.
• Google LLC (Wallet API) — emisión y entrega de tarjetas digitales en Google Wallet.
• Recurrente — procesamiento de pagos B2B (suscripciones de los comercios) en Guatemala.

3.2 Subprocesadores planificados

Los siguientes proveedores se incorporarán cuando habilitemos las funciones correspondientes. Te avisaremos antes de transferirles tus datos:

• Resend o SendGrid — envío de correos transaccionales.
• WhatsApp / Meta Platforms, Inc. — mensajería opcional cuando autorices este canal.
• Sentry — monitoreo de errores y fallos para mejorar la estabilidad del servicio.

3.3 El comercio donde te enrolaste

Cuando te enrolas en el programa de lealtad de un comercio, ese comercio actúa como controlador conjunto de tus datos para los fines del programa. Tiene acceso a tu nombre, teléfono, fecha de nacimiento (si la proporcionaste), historial de transacciones y, si lo autorizas, a tu correo electrónico. El comercio puede usarlos para personalizar promociones, enviarte comunicaciones permitidas y operar su programa.

3.4 Autoridades competentes

Podemos divulgar información cuando una autoridad competente la requiera mediante orden válida, así como para proteger los derechos, propiedad o seguridad de VentaMatic, BZL Media, nuestros usuarios o el público.

Como titular de los datos, tienes los siguientes derechos:

• Acceso: solicitar una copia de la información personal que tenemos sobre ti.
• Rectificación: corregir datos inexactos o desactualizados.
• Eliminación: pedir la supresión de tu cuenta y datos asociados (ver proceso abajo).
• Portabilidad: recibir tus datos en formato estructurado y de uso común (JSON o CSV).
• Oposición y limitación: oponerte al tratamiento o pedir que se limite a fines específicos.
• Retiro del consentimiento: revocar en cualquier momento los permisos opcionales (ubicación, marketing, WhatsApp), sin afectar la legalidad del tratamiento previo.

4.1 Cómo ejercer tus derechos

Escríbenos a privacy@bzl.media desde el correo asociado a tu cuenta o, si no tienes correo registrado, indica el número de teléfono con el que te enrolaste para verificar tu identidad. Responderemos en un plazo máximo de 30 días calendario.

4.2 Proceso de eliminación de cuenta

Al solicitar la eliminación, tu cuenta entra en un período de gracia de 30 días durante el cual queda inaccesible pero recuperable. Vencido este plazo, ejecutamos un borrado definitivo de tus datos personales, salvo aquella información que estemos legalmente obligados a conservar (ver sección 7).

Las solicitudes de eliminación pueden iniciarse desde la app móvil (Configuración → Eliminar mi cuenta), desde el panel administrativo o por correo a privacy@bzl.media.

BZL Rewards utiliza un conjunto mínimo de tecnologías de almacenamiento del navegador, todas estrictamente necesarias para operar el servicio:

• Cookies esenciales: mantienen tu sesión de inicio activa, validan tokens de autenticación de Firebase y previenen ataques CSRF. Sin ellas no puedes iniciar sesión.
• localStorage y sessionStorage: almacenan preferencias locales (idioma, vista preferida) y datos de sesión temporales.

No utilizamos cookies de seguimiento publicitario, píxeles de Facebook, Google Analytics ni redes de retargeting en este momento. Si esto cambiara, actualizaríamos esta política y te pediríamos consentimiento explícito.

Aplicamos prácticas estándares de la industria para proteger tu información:

• Cifrado en tránsito: TLS 1.3 en todas las conexiones a la API y a las aplicaciones web/móvil.
• Cifrado en reposo: AES-256 en la base de datos PostgreSQL y en los respaldos administrados por Google Cloud.
• Aislamiento por tenant: cada comercio tiene un identificador único y todas las consultas a la base de datos filtran por tenantId; verificamos esta restricción tanto en nuestra capa de aplicación como en pruebas automatizadas.
• Control de acceso basado en roles: super_admin,owner, manager y staff, con permisos granulares y auditables.
• Rotación de credenciales: secretos almacenados en Google Secret Manager con rotación periódica.
• Respaldos automáticos: snapshots diarios de la base de datos con retención de 7 días en nuestra infraestructura, además de respaldos administrados por Google Cloud.

Hasta la fecha de publicación de esta política, no hemos sufrido ningún incidente de seguridad reportable. En caso de una violación de datos que pueda afectarte, te notificaremos por correo electrónico dentro de las 72 horas siguientes a la confirmación, junto con las medidas correctivas adoptadas.

Conservamos tu información solo el tiempo necesario para los fines descritos:

• Cuenta activa: mientras tu cuenta esté activa o sea necesaria para prestarte el servicio.
• Cuenta eliminada: 30 días de período de gracia y luego borrado definitivo (hard delete).
• Logs operativos y respaldos: 90 días para auditoría y recuperación ante incidentes.
• Datos contables y fiscales: 5 años, conforme al Artículo 49 del Código Tributario de Guatemala (Decreto 6-91) y normas conexas que obligan a conservar registros de operaciones para efectos tributarios.
• Datos requeridos para defensa legal: durante el plazo de prescripción aplicable a la reclamación correspondiente.

BZL Rewards no está dirigido a menores de 13 años. No recopilamos intencionalmente datos personales de menores de esa edad.

Si descubrimos que hemos recibido información de un menor de 13 años sin verificación del consentimiento parental, eliminaremos esos datos de inmediato. Si crees que un menor a tu cargo nos proporcionó información, escríbenos a privacy@bzl.media.

Para usuarios entre 13 y 17 años, requerimos consentimiento verificable de un padre, madre o tutor legal. Los comercios B2B (dueños y personal del comercio) deben tener al menos 18 años.

Tus datos se procesan principalmente en la región us-central1 (Iowa, Estados Unidos) de Google Cloud Platform. Esto implica una transferencia internacional desde tu país de residencia.

Para garantizar un nivel adecuado de protección, contamos con:

• Acuerdo de Tratamiento de Datos (DPA) firmado con Google Cloud, que incorpora compromisos de confidencialidad, seguridad y notificación de incidentes.
• Cláusulas Contractuales Estándares (Standard Contractual Clauses) de la Comisión Europea para transferencias hacia EE. UU., aplicables cuando un usuario reside en la Unión Europea.

Esta política se adhiere a los siguientes marcos jurídicos:

• Constitución Política de la República de Guatemala: Artículo 24 (inviolabilidad de correspondencia y comunicaciones) y Artículo 26 (libertad de locomoción y datos personales asociados).
• Código de Comercio (Decreto 2-70): en lo relativo a registros comerciales y contables.
• Código Tributario (Decreto 6-91): conservación de registros fiscales por cinco años.
• Ley de Derecho de Autor y Derechos Conexos (Decreto 33-98): protección de la plataforma y contenidos del comercio.
• Ley de Protección al Consumidor y Usuario (Decreto 6-2003): en relación con la publicidad y promociones del comercio.
• Reglamento General de Protección de Datos (GDPR) de la Unión Europea, para usuarios residentes en la UE.
• California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA), para residentes en California, EE. UU.

Podemos actualizar esta política para reflejar cambios en el servicio, en nuestras prácticas o en la regulación aplicable. Cuando los cambios sean materiales:

• Publicaremos la nueva versión en esta misma URL al menos 30 días antes de su entrada en vigor.
• Enviaremos un aviso al correo electrónico registrado o, en su defecto, a través de la aplicación móvil y del panel administrativo.
• Conservaremos un historial público de versiones, indicando la fecha de cada actualización.

Versión actual: 1.0 — Vigente desde el 28 de abril de 2026.

Para cualquier consulta, ejercicio de derechos o reclamación relativa a esta política, contáctanos:

Si consideras que tu solicitud no fue atendida adecuadamente, puedes presentar una denuncia ante la autoridad de protección de datos competente en tu jurisdicción.