Aviso de Privacidad para México (LFPDPPP, INAI, Derechos ARCO)

MX-1. Aplicacion de la legislacion mexicana en materia de proteccion de datos

La presente edicion de la politica de privacidad se aplica a hoteles, posadas, departamentos turisticos, casas de huespedes y haciendas con domicilio en los Estados Unidos Mexicanos, asi como a personas fisicas mexicanas que utilicen el servicio Vezpa o cuyos datos sean tratados por nuestros sistemas. Vezpa observa, ademas del RGPD aplicable como responsable establecido en la Union Europea, las siguientes fuentes del derecho mexicano cuando resulta procedente:

MX-1.1 Ley Federal de Proteccion de Datos Personales en Posesion de los Particulares (LFPDPPP)

Articulos 8 y 9 LFPDPPP - Consentimiento: el consentimiento podra ser tacito (cuando habiendose puesto a disposicion del titular el aviso de privacidad, este no manifieste su oposicion) o expreso, segun sea el caso. Vezpa recaba consentimiento expreso para datos sensibles (datos de salud, origen etnico) cuando estos aparecen incidentalmente en documentos de identidad de huespedes.
Articulo 16 LFPDPPP - Aviso de Privacidad: debe ser puesto a disposicion del titular previo al tratamiento de sus datos. Vezpa publica el aviso integral en este documento y un aviso simplificado en los formularios de captacion (demo, contacto).
Articulos 22 a 28 LFPDPPP - Derechos ARCO (Acceso, Rectificacion, Cancelacion, Oposicion): los titulares mexicanos pueden ejercer estos derechos enviando solicitud por escrito a [email protected], indicando: nombre, domicilio, copia de identificacion, descripcion clara de los datos sobre los que se ejerce el derecho, y, en su caso, otros elementos que faciliten la localizacion (art. 29 LFPDPPP). Vezpa responde en un plazo maximo de 20 dias habiles conforme al art. 32 LFPDPPP, prorrogable por 20 dias mas en casos justificados.
Articulos 36 y 37 LFPDPPP - Transferencias internacionales: Vezpa esta establecida en Italia (Union Europea) y recibe datos personales de Mexico mediante una transferencia internacional. Las disposiciones del art. 36 se aplican: el titular es informado de la transferencia mediante el presente aviso, conoce a quien se transfieren los datos y tiene la facultad de oponerse.
Reglamento de la LFPDPPP (DOF 21-12-2011): Vezpa observa los principios de licitud, consentimiento, informacion, calidad, finalidad, lealtad, proporcionalidad y responsabilidad establecidos en los articulos 9 a 14 del Reglamento, asi como las medidas de seguridad administrativas, fisicas y tecnicas exigidas por los articulos 57 a 60.

MX-1.2 Derechos ARCO - como ejercerlos en Vezpa

Los titulares de los datos en Mexico pueden ejercer sus Derechos ARCO mediante:

📧 Correo electronico a: [email protected] con asunto "Solicitud ARCO - Mexico"
📮 Correo postal a: Vezpa di Paolo Vezzola, Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
📋 La solicitud debe ir acompanada de: copia de identificacion oficial vigente (INE, pasaporte mexicano, FM3), descripcion clara y precisa de los datos personales sobre los que se busca ejercer alguno de los Derechos ARCO, y cualquier otro elemento que facilite la localizacion de los datos personales

Conforme al articulo 32 LFPDPPP, Vezpa comunicara la determinacion adoptada en un plazo maximo de 20 dias habiles contados desde la fecha en que se recibio la solicitud, a efecto de que, si resulta procedente, se haga efectiva dentro de los 15 dias habiles siguientes a la fecha de la comunicacion. Los plazos podran ampliarse por una sola ocasion por un periodo igual, siempre y cuando lo justifiquen las circunstancias del caso.

MX-1.3 Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales (INAI)

Si considera que su derecho a la proteccion de datos personales ha sido lesionado por alguna conducta u omision de Vezpa, o presume alguna violacion a las disposiciones previstas en la LFPDPPP, su Reglamento y demas ordenamientos aplicables, podra interponer su queja o denuncia ante el INAI. Para mayor informacion visite el portal del INAI:

Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales (INAI)
Av. Insurgentes Sur 3211, Col. Insurgentes Cuicuilco, Alcaldia Coyoacan, C.P. 04530, Ciudad de Mexico
Telefono (sin costo desde Mexico): 800 835 4324
Web: home.inai.org.mx
Procedimiento de proteccion de derechos: Inicio del PPD

MX-1.4 Comunicaciones electronicas comerciales y PROFECO

Para el envio de comunicaciones comerciales por correo electronico, telefono o SMS a destinatarios en Mexico, Vezpa observa la Ley Federal de Proteccion al Consumidor (LFPC) y el Codigo de Etica en Materia de Publicidad de la Asociacion Mexicana de Internet (AMIPCI). Los destinatarios pueden inscribirse en el Registro Publico para Evitar Publicidad (REPEP) administrado por la PROFECO en repep.profeco.gob.mx, en cuyo caso Vezpa cesara las comunicaciones comerciales no solicitadas en un plazo maximo de 30 dias.

MX-1.5 Obligaciones de los anfitriones mexicanos en materia de privacidad

El anfitrion mexicano (titular del establecimiento de hospedaje) que utiliza Vezpa para gestionar a sus huespedes asume el rol de Responsable del tratamiento conforme al art. 3 fr. XIV LFPDPPP, mientras que Vezpa actua como Encargado conforme a la fr. IX del mismo articulo. El contrato Vezpa-Anfitrion (formalizado mediante el DPA) cumple con los requisitos del art. 36 del Reglamento de la LFPDPPP.

El anfitrion mexicano debe, ademas:

📋 Publicar su propio aviso de privacidad integral en el establecimiento (recepcion) y/o en su sitio web (art. 16 LFPDPPP).
🔒 Implementar medidas de seguridad administrativas, fisicas y tecnicas adecuadas (art. 19 LFPDPPP) - el uso del PMS Vezpa contribuye a las medidas tecnicas.
📞 Designar a una persona o departamento de datos personales responsable de atender solicitudes ARCO (art. 30 LFPDPPP).
📊 Cumplir con la conservacion legal de datos: hasta 10 anos para registros fiscales (CFDI), conforme al Codigo Fiscal de la Federacion (art. 30 CFF).

MX-1.6 Conservacion y eliminacion de datos en cumplimiento de la legislacion mexicana

Vezpa conserva los datos personales por el tiempo estrictamente necesario para los fines del tratamiento, observando los plazos minimos de conservacion fiscal aplicables en Mexico:

Datos contables y fiscales: 5 anos contados a partir del dia siguiente a aquel en que se haya presentado la declaracion del ejercicio (art. 30 CFF). Si Vezpa emite CFDI a anfitriones mexicanos: 5 anos. La obligacion italiana de Vezpa permanece en 10 anos (art. 2220 Codice Civile).
Datos de huespedes (tratados como Encargado): conforme a las instrucciones del Responsable mexicano y a la legislacion mexicana de hospedaje aplicable a su entidad federativa.
Datos de marketing: hasta la revocacion del consentimiento o, en su defecto, biennal review.

MX-1.7 Cookies y privacidad en el sitio web vezpa.it (perspectiva mexicana)

Aunque el sitio vezpa.it esta sujeto al RGPD y a la legislacion italiana sobre cookies (D.Lgs. 196/2003), los visitantes desde Mexico tambien estan protegidos por las disposiciones aplicables de la LFPDPPP relativas al consentimiento informado. La banera de cookies disponible en el footer permite gestionar las preferencias en cualquier momento. Las cookies estrictamente necesarias para el funcionamiento del servicio no requieren consentimiento, conforme a la doctrina del INAI sobre tratamiento de datos para fines necesarios.

1. Responsable del tratamiento

El Responsable del tratamiento de los datos personales es:

Vezpa di Paolo Vezzola
Domicilio social: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
P.IVA: 04449070988
C.F.: VZZPLA84C10D284C
Email: [email protected]
PEC: [email protected]

2. Ambito de aplicacion

El presente Aviso de Privacidad se aplica a la plataforma Vezpa PMS (web, escritorio y movil) y a las paginas del sitio web donde este aviso esta publicado.

3. Datos personales recabados

3.1 Datos de los usuarios del servicio (operadores de hospedaje)

Cuando usted se registra en Vezpa como operador de un establecimiento de hospedaje, recabamos:

Datos de identificacion: nombre, apellidos, email, numero telefonico
Datos del establecimiento: nombre, direccion, tipologia, RFC / registro fiscal
Datos de facturacion: direccion fiscal, RFC / codigo fiscal, codigo unico / PEC
Credenciales de acceso: email y contrasena (cifrada)
Datos de pago: gestionados a traves de proveedores externos certificados PCI-DSS (no almacenamos directamente datos de tarjetas de credito)

3.2 Datos de los huespedes de los establecimientos

Por cuenta de los operadores de los establecimientos (en calidad de Encargado del tratamiento conforme al art. 28 RGPD, regulado por el Contrato de encargo del tratamiento (DPA)), el sistema recaba:

Datos identificativos: nombre, apellidos, lugar y fecha de nacimiento, nacionalidad, genero
Documentos de identidad: tipo, numero, lugar y fecha de expedicion, imagen escaneada o fotografiada del documento. Dichas imagenes pueden procesarse con OCR automatico para la extraccion de datos textuales, sin almacenamiento de datos biometricos derivados.
Datos de contacto: email, numero telefonico
Datos de la reservacion: fechas de estancia, numero de huespedes, tarifas, plan
Datos de pago: solo si el pago se realiza a traves del Booking Engine o del enlace Stripe de Vezpa; los datos de tarjeta nunca se almacenan en los servidores de Vezpa

            Documentos de identidad y datos sensibles (art. 9 RGPD): los documentos de identidad pueden contener datos calificables como "sensibles" (por ejemplo, lugar de nacimiento del que puede inferirse el origen etnico). Vezpa trata dichos datos solo en la medida estrictamente necesaria para el cumplimiento de las obligaciones legales del operador frente a las autoridades publicas, no realiza perfilado sobre ellos y no los comunica a sujetos distintos de las autoridades y los subencargados listados en la seccion 7.
        

3.3 Datos de navegacion

Direccion IP
Tipo de navegador y dispositivo
Paginas visitadas y tiempo de permanencia
Sistema operativo
Referrer (procedencia)

3.4 Cookies

Utilizamos cookies tecnicas necesarias para el funcionamiento del servicio. Para mayores detalles, consulte nuestra Politica de Cookies.

4. Finalidades del tratamiento y base juridica

4.1 Para los operadores de hospedaje

Finalidad	Base juridica
Prestacion del servicio PMS	Ejecucion del contrato (art. 6.1.b RGPD)
Facturacion y cumplimiento fiscal	Obligacion legal (art. 6.1.c RGPD)
Atencion al cliente	Ejecucion del contrato (art. 6.1.b RGPD)
Seguridad, prevencion de fraude, fiabilidad del servicio	Interes legitimo (art. 6.1.f RGPD)
Envio de comunicaciones de marketing	Consentimiento (art. 6.1.a RGPD) - solo si esta autorizado

4.2 Para los huespedes de los establecimientos

Importante: Para los datos de los huespedes, el Responsable del tratamiento es el establecimiento de hospedaje. Vezpa actua como Encargado del tratamiento conforme a instrucciones documentadas del operador del establecimiento, en los terminos del Contrato de encargo del tratamiento (DPA).

Check-in y registro de huespedes: obligacion legal (art. 109 TULPS, D.Lgs. 159/2011) para Italia; normativa equivalente para los demas Estados soportados
Comunicaciones gubernamentales obligatorias: AlloggiatiWeb (IT-Questura), ISTAT (IT), PayTourist (IT-Municipios), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) - cada una activada solo si el establecimiento reside en el Estado correspondiente
Gestion de la reservacion y la estancia: ejecucion del contrato (art. 6.1.b)
Comunicaciones a OTA y channel manager: ejecucion del contrato de reservacion (art. 6.1.b), solo canales activados por el establecimiento

5. Modalidades del tratamiento

Los datos personales se tratan con medios electronicos, con logicas estrictamente relacionadas con las finalidades y mediante la adopcion de medidas de seguridad adecuadas (art. 32 RGPD):

Cifrado en transito: todos los datos se transmiten mediante protocolo HTTPS/TLS 1.2+
Contrasenas: almacenadas con algoritmos de hashing seguros (PBKDF2 Django default)
Tokens: JWT access 15 minutos, refresh con rotacion y blacklist, 2FA TOTP disponible
Control de acceso: autorizaciones basadas en el rol (director/asistente/gobernanta/observador), principio del minimo privilegio
Backup: ejecutados regularmente por el proveedor de infraestructura (DigitalOcean), ubicacion UE (Frankfurt)
Hosting: servidores DigitalOcean ubicados en la Union Europea (region FRA1), storage DigitalOcean Spaces Frankfurt
Monitoreo: logs de acceso y aplicativos, deteccion de anomalias automatizada, bloqueo de bots y scanners

6. Conservacion de los datos

Los datos personales se conservan por el tiempo estrictamente necesario:

Datos de los operadores (clientes): duracion del contrato + 10 anos por cumplimiento fiscal y contable
Datos de facturacion: 10 anos (art. 2220 c.c., obligacion fiscal)
Datos de los huespedes (tratados por Vezpa como Encargado):
- Comunicaciones AlloggiatiWeb: el periodo de conservacion es establecido por el Responsable (establecimiento) conforme a la normativa aplicable
- Comunicaciones ISTAT: segun normativa ISTAT
- Otros datos de la reservacion: segun las instrucciones del Responsable en el DPA (tipicamente 10 anos con fines fiscales)
- A la terminacion del contrato con el Responsable, Vezpa elimina o restituye los datos de los huespedes en un plazo de 30 dias, salvo obligaciones de conservacion autonomas (p. ej., facturacion)
Logs de acceso y aplicativos: hasta 24 meses con fines de seguridad y defensa judicial (interes legitimo)
Tokens de autenticacion y dispositivos fiduciarios: 90 dias desde el ultimo uso
Datos para marketing (newsletter, campanas): hasta revocacion del consentimiento, con revision bienal
Tickets de soporte: duracion del contrato + 2 anos

7. Comunicacion y difusion de los datos

7.1 Destinatarios de los datos

Sus datos pueden ser comunicados a las siguientes categorias de destinatarios. El listado nominativo siempre actualizado de los subencargados del tratamiento esta publicado en vezpa.it/subprocessors.

Autoridades publicas (Responsables autonomos, obligacion legal)

Italia: Questura / AlloggiatiWeb, ISTAT, Municipios (a traves de PayTourist para el impuesto de estancia), Agenzia delle Entrate
Austria: Feratel/Meldeamt
Espana: SES.HOSPEDAJES (Ministerio del Interior)
Hungria: NTAK
Croacia: eVisitor
Portugal: SEF
Republica Checa: UbyPort
Eslovenia: eTurizem / AJPES

Cada conector gubernamental se activa solo si el establecimiento reside en el Estado correspondiente. Las credenciales son configuradas por el establecimiento mismo.

Subencargados del tratamiento (art. 28.4 RGPD)

Infraestructura: DigitalOcean LLC (servidores Frankfurt, base de datos, Spaces/CDN, Redis) - EE.UU./UE con DPF y SCC
Pagos: Stripe Payments Europe Ltd (UE) / Stripe Inc. (EE.UU.) - PCI-DSS, DPF certificado
Email transaccional y PEC: IONOS SE (DE)
Push notifications movil: Google LLC - Firebase Cloud Messaging (EE.UU., DPF certificado)
Channel Manager OTA: STAAH Limited (Nueva Zelanda) - pais con decision de adecuacion UE (2012)
Compras in-app y suscripciones:
- Apple Distribution International Ltd (IE) - entidad UE; las eventuales transferencias hacia Apple Inc. (EE.UU.) se rigen por SCC 2021/914 (Apple no se adhiere al DPF)
- Google Ireland Ltd / Google LLC (EE.UU., certificacion DPF activa)
- Microsoft Ireland / Microsoft Corp. (EE.UU., certificacion DPF activa)
Cerraduras smart (opcional, si se activan): Tuya Smart (CN) - SCC UE y medidas integrativas
Consultores profesionales: contador, abogado, consultores IT, designados como Encargados o Responsables autonomos segun necesidad

OTA (Responsables autonomos para la relacion con el viajero)

Booking.com, Airbnb, Expedia, VRBO, Agoda y aproximadamente 55 otros canales conectados mediante STAAH: los datos de reservacion transitan segun el contrato entre el establecimiento y la OTA

7.2 Transferencia de datos fuera de la UE

Algunos tratamientos implican transferencias de datos personales fuera de la Union Europea. En todos los casos se adoptan garantias conforme al Capitulo V RGPD:

EE.UU. - EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, certificaciones activas en el Framework (verificacion en dataprivacyframework.gov/list)
EE.UU. - Clausulas Contractuales Tipo (SCC) 2021/914: Apple Inc. - Apple no se adhiere al DPF; la relacion contractual para los usuarios UE es con Apple Distribution International Ltd (Irlanda), y las eventuales transferencias hacia Apple Inc. (EE.UU.) se realizan mediante SCC y mecanismos internos de Apple
Nueva Zelanda - Decision de adecuacion (Decision UE 2013/65): STAAH Limited
China (opcional) - Clausulas Contractuales Tipo (SCC) 2021/914 + medidas complementarias: Tuya Smart, solo para los establecimientos que activan cerraduras smart
Para cualquier transferencia en ausencia de DPF activo o adecuacion, Vezpa adopta SCC UE 2021/914 y, cuando corresponda, Transfer Impact Assessment (TIA) documentado

7.3 Difusion

Los datos personales no son objeto de difusion (comunicacion a sujetos indeterminados) y no se venden.

8. Derechos del titular de los datos

Conforme a los articulos 15-22 del RGPD, usted tiene derecho a:

Acceso (art. 15): obtener confirmacion de la existencia de sus datos y recibir copia
Rectificacion (art. 16): corregir datos inexactos o incompletos
Supresion (art. 17): obtener la supresion de los datos (derecho al olvido) cuando concurran los supuestos
Limitacion (art. 18): limitar el tratamiento en determinadas condiciones
Portabilidad (art. 20): recibir los datos en formato estructurado y transmitirlos a otro responsable
Oposicion (art. 21): oponerse al tratamiento por motivos legitimos
Revocacion del consentimiento: revocar en cualquier momento el consentimiento al marketing

Los usuarios en Mexico pueden ejercer los derechos ARCO (Acceso, Rectificacion, Cancelacion, Oposicion) y la revocacion del consentimiento conforme a la LFPDPPP. Vease el Aviso de Privacidad especifico para Mexico.

            Nota importante: Para los datos de los huespedes, estos derechos deben ejercerse ante el establecimiento de hospedaje (que es el Responsable del tratamiento), no directamente frente a Vezpa. Vezpa, como Encargado, asiste al Responsable en la atencion de las solicitudes conforme al art. 28.3.e RGPD.
        

Marketing y newsletter

La suscripcion a comunicaciones comerciales requiere consentimiento expreso con doble opt-in (confirmacion por enlace email). Cada comunicacion contiene un enlace de baja inmediato. Para clientes existentes, Vezpa puede enviar comunicaciones sobre productos y servicios analogos conforme al art. 130.4 D.Lgs. 196/2003 ("soft opt-in"), con posibilidad siempre activa de oponerse.

Como ejercer los derechos

Puede ejercer sus derechos escribiendo a:

Email: [email protected]
PEC: [email protected]
Correo certificado a la direccion indicada arriba

Le responderemos en un plazo de 30 dias desde la solicitud.

Derecho de reclamacion

Si considera que el tratamiento de sus datos vulnera el RGPD, tiene derecho a presentar reclamacion ante la autoridad italiana de proteccion de datos (Garante):

Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 - 00187 Roma
Email: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it

Los usuarios en Mexico pueden tambien dirigirse al Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales - INAI (www.inai.org.mx).

9. Menores

El servicio Vezpa PMS esta destinado exclusivamente a personas mayores de 18 anos. No recabamos conscientemente datos de menores. Si un padre, madre o tutor considera que un menor ha proporcionado datos personales, puede contactarnos para su inmediata supresion.

10. Modificaciones al Aviso de Privacidad

Este Aviso de Privacidad puede ser modificado con el tiempo. Cada modificacion sustancial sera comunicada con adecuado preaviso mediante:

Publicacion de la nueva version en el sitio web
Notificacion por email a los usuarios registrados
Banner informativo en el area reservada

La fecha de ultima actualizacion siempre esta indicada en la parte superior del documento.

AVISO DE PRIVACIDAD PARA MEXICO