AVISO DE PRIVACIDAD PARA MEXICO

MX-1. Aplicacion de la legislacion mexicana en materia de proteccion de datos

La presente edicion de la politica de privacidad se aplica a hoteles, posadas, departamentos turisticos, casas de huespedes y haciendas con domicilio en los Estados Unidos Mexicanos, asi como a personas fisicas mexicanas que utilicen el servicio Vezpa o cuyos datos sean tratados por nuestros sistemas. Vezpa observa, ademas del RGPD aplicable como responsable establecido en la Union Europea, las siguientes fuentes del derecho mexicano cuando resulta procedente:

MX-1.1 Ley Federal de Proteccion de Datos Personales en Posesion de los Particulares (LFPDPPP)

• Articulos 8 y 9 LFPDPPP - Consentimiento: el consentimiento podra ser tacito (cuando habiendose puesto a disposicion del titular el aviso de privacidad, este no manifieste su oposicion) o expreso, segun sea el caso. Vezpa recaba consentimiento expreso para datos sensibles (datos de salud, origen etnico) cuando estos aparecen incidentalmente en documentos de identidad de huespedes.
• Articulo 16 LFPDPPP - Aviso de Privacidad: debe ser puesto a disposicion del titular previo al tratamiento de sus datos. Vezpa publica el aviso integral en este documento y un aviso simplificado en los formularios de captacion (demo, contacto).
• Articulos 22 a 28 LFPDPPP - Derechos ARCO (Acceso, Rectificacion, Cancelacion, Oposicion): los titulares mexicanos pueden ejercer estos derechos enviando solicitud por escrito a [email protected], indicando: nombre, domicilio, copia de identificacion, descripcion clara de los datos sobre los que se ejerce el derecho, y, en su caso, otros elementos que faciliten la localizacion (art. 29 LFPDPPP). Vezpa responde en un plazo maximo de 20 dias habiles conforme al art. 32 LFPDPPP, prorrogable por 20 dias mas en casos justificados.
• Articulos 36 y 37 LFPDPPP - Transferencias internacionales: Vezpa esta establecida en Italia (Union Europea) y recibe datos personales de Mexico mediante una transferencia internacional. Las disposiciones del art. 36 se aplican: el titular es informado de la transferencia mediante el presente aviso, conoce a quien se transfieren los datos y tiene la facultad de oponerse.
• Reglamento de la LFPDPPP (DOF 21-12-2011): Vezpa observa los principios de licitud, consentimiento, informacion, calidad, finalidad, lealtad, proporcionalidad y responsabilidad establecidos en los articulos 9 a 14 del Reglamento, asi como las medidas de seguridad administrativas, fisicas y tecnicas exigidas por los articulos 57 a 60.

MX-1.2 Derechos ARCO - como ejercerlos en Vezpa

Los titulares de los datos en Mexico pueden ejercer sus Derechos ARCO mediante:

• 📧 Correo electronico a: [email protected] con asunto "Solicitud ARCO - Mexico"
• 📮 Correo postal a: Vezpa di Paolo Vezzola, Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
• 📋 La solicitud debe ir acompanada de: copia de identificacion oficial vigente (INE, pasaporte mexicano, FM3), descripcion clara y precisa de los datos personales sobre los que se busca ejercer alguno de los Derechos ARCO, y cualquier otro elemento que facilite la localizacion de los datos personales

Conforme al articulo 32 LFPDPPP, Vezpa comunicara la determinacion adoptada en un plazo maximo de 20 dias habiles contados desde la fecha en que se recibio la solicitud, a efecto de que, si resulta procedente, se haga efectiva dentro de los 15 dias habiles siguientes a la fecha de la comunicacion. Los plazos podran ampliarse por una sola ocasion por un periodo igual, siempre y cuando lo justifiquen las circunstancias del caso.

MX-1.3 Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales (INAI)

Si considera que su derecho a la proteccion de datos personales ha sido lesionado por alguna conducta u omision de Vezpa, o presume alguna violacion a las disposiciones previstas en la LFPDPPP, su Reglamento y demas ordenamientos aplicables, podra interponer su queja o denuncia ante el INAI. Para mayor informacion visite el portal del INAI:

Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales (INAI)
Av. Insurgentes Sur 3211, Col. Insurgentes Cuicuilco, Alcaldia Coyoacan, C.P. 04530, Ciudad de Mexico
Telefono (sin costo desde Mexico): 800 835 4324
Web: home.inai.org.mx
Procedimiento de proteccion de derechos: Inicio del PPD

MX-1.4 Comunicaciones electronicas comerciales y PROFECO

Para el envio de comunicaciones comerciales por correo electronico, telefono o SMS a destinatarios en Mexico, Vezpa observa la Ley Federal de Proteccion al Consumidor (LFPC) y el Codigo de Etica en Materia de Publicidad de la Asociacion Mexicana de Internet (AMIPCI). Los destinatarios pueden inscribirse en el Registro Publico para Evitar Publicidad (REPEP) administrado por la PROFECO en repep.profeco.gob.mx, en cuyo caso Vezpa cesara las comunicaciones comerciales no solicitadas en un plazo maximo de 30 dias.

MX-1.5 Obligaciones de los anfitriones mexicanos en materia de privacidad

El anfitrion mexicano (titular del establecimiento de hospedaje) que utiliza Vezpa para gestionar a sus huespedes asume el rol de Responsable del tratamiento conforme al art. 3 fr. XIV LFPDPPP, mientras que Vezpa actua como Encargado conforme a la fr. IX del mismo articulo. El contrato Vezpa-Anfitrion (formalizado mediante el DPA) cumple con los requisitos del art. 36 del Reglamento de la LFPDPPP.

El anfitrion mexicano debe, ademas:

• 📋 Publicar su propio aviso de privacidad integral en el establecimiento (recepcion) y/o en su sitio web (art. 16 LFPDPPP).
• 🔒 Implementar medidas de seguridad administrativas, fisicas y tecnicas adecuadas (art. 19 LFPDPPP) - el uso del PMS Vezpa contribuye a las medidas tecnicas.
• 📞 Designar a una persona o departamento de datos personales responsable de atender solicitudes ARCO (art. 30 LFPDPPP).
• 📊 Cumplir con la conservacion legal de datos: hasta 10 anos para registros fiscales (CFDI), conforme al Codigo Fiscal de la Federacion (art. 30 CFF).

MX-1.6 Conservacion y eliminacion de datos en cumplimiento de la legislacion mexicana

Vezpa conserva los datos personales por el tiempo estrictamente necesario para los fines del tratamiento, observando los plazos minimos de conservacion fiscal aplicables en Mexico:

• Datos contables y fiscales: 5 anos contados a partir del dia siguiente a aquel en que se haya presentado la declaracion del ejercicio (art. 30 CFF). Si Vezpa emite CFDI a anfitriones mexicanos: 5 anos. La obligacion italiana de Vezpa permanece en 10 anos (art. 2220 Codice Civile).
• Datos de huespedes (tratados como Encargado): conforme a las instrucciones del Responsable mexicano y a la legislacion mexicana de hospedaje aplicable a su entidad federativa.
• Datos de marketing: hasta la revocacion del consentimiento o, en su defecto, biennal review.

MX-1.7 Cookies y privacidad en el sitio web vezpa.it (perspectiva mexicana)

Aunque el sitio vezpa.it esta sujeto al RGPD y a la legislacion italiana sobre cookies (D.Lgs. 196/2003), los visitantes desde Mexico tambien estan protegidos por las disposiciones aplicables de la LFPDPPP relativas al consentimiento informado. La banera de cookies disponible en el footer permite gestionar las preferencias en cualquier momento. Las cookies estrictamente necesarias para el funcionamiento del servicio no requieren consentimiento, conforme a la doctrina del INAI sobre tratamiento de datos para fines necesarios.

MX-1.8 Notificacion de incidentes de seguridad de los datos personales

Conforme al articulo 20 LFPDPPP y los articulos 63 a 66 del Reglamento, Vezpa notificara al titular y al INAI los incidentes de seguridad de datos personales que afecten de forma significativa los derechos patrimoniales o morales de los titulares, sin demora indebida y, en cualquier caso, dentro de un plazo de 72 horas desde el conocimiento de la vulneracion. La notificacion al titular incluira: (i) la naturaleza del incidente; (ii) los datos personales comprometidos; (iii) las acciones correctivas implementadas; (iv) las medidas que el titular puede tomar para proteger sus intereses; (v) los medios de contacto para obtener informacion adicional. Vezpa coopera con el INAI durante el procedimiento de verificacion conforme al articulo 59 LFPDPPP.

El anfitrion mexicano (Responsable conforme art. 3 fr. XIV LFPDPPP) sera notificado por Vezpa (Encargado) sin demora indebida y en todo caso dentro de las 24 horas siguientes a la deteccion del incidente, a fin de que pueda cumplir con su propia obligacion de notificacion al INAI y a los titulares afectados.

MX-1.9 Datos personales sensibles - tratamiento especial bajo legislacion mexicana

Conforme al articulo 3 fr. VI LFPDPPP, son datos personales sensibles aquellos que afecten la esfera mas intima de su titular, cuya utilizacion indebida pueda dar origen a discriminacion o conlleve un riesgo grave para este. En particular: origen racial o etnico, estado de salud presente y futuro, informacion genetica, creencias religiosas, filosoficas y morales, afiliacion sindical, opiniones politicas, preferencia sexual. Vezpa, al recibir documentos de identidad de huespedes mexicanos para la inscripcion ante la Secretaria de Gobernacion (en su caso) o para el registro de huesped del establecimiento, puede incidentalmente tratar datos sensibles (tipo sanguineo en cartillas militares, religion en algunos pasaportes). Vezpa aplica medidas reforzadas de seguridad sobre estos datos: cifrado en transito (TLS 1.3) y en reposo (AES-256), control de acceso basado en roles, registro de auditoria de cada acceso, retencion limitada al periodo legalmente requerido.

MX-1.10 Plazos de conservacion bajo Codigo Fiscal de la Federacion (CFF) y Ley General de Turismo

Para anfitriones mexicanos que utilizan Vezpa para emision de Comprobantes Fiscales Digitales por Internet (CFDI) o equivalentes, los plazos de conservacion son:

• Articulo 30 CFF: 5 anos contados a partir del dia siguiente a aquel en que se haya presentado la declaracion del ejercicio. Para anfitriones bajo el Regimen de Incorporacion Fiscal (RIF) o REPECOS historicos, aplican plazos especificos.
• Ley General de Turismo (DOF 17-06-2009): los prestadores de servicios turisticos deben conservar el Registro Nacional de Turismo y los datos de huespedes por al menos 1 ano. La conservacion en Vezpa cumple con este requisito.
• Reglamento Federal de Seguridad y Salud en el Trabajo (DOF 13-11-2014): si el anfitrion es empleador, debe conservar registros de personal (no almacenados en Vezpa salvo configuracion explicita).
• NOM-035-STPS-2018 (Factores de riesgo psicosocial): los anfitriones con mas de 15 trabajadores tienen obligaciones de registro de evaluaciones; Vezpa no es repositorio adecuado para estos registros y los anfitriones no deben utilizar el campo "note" del personal para datos NOM-035.

MX-1.11 Pago Tourist Tax mexicana - Impuesto al Hospedaje (ISH)

El modulo PayTourist de Vezpa, en su configuracion mexicana, se adapta a la legislacion estatal del Impuesto al Hospedaje (ISH) vigente en cada entidad federativa: Quintana Roo (Articulo 21 Ley del ISH), Ciudad de Mexico (Articulo 162 Codigo Fiscal CDMX), Yucatan (Articulo 23 Ley de Hacienda del Estado), Baja California Sur (Articulo 152 Ley de Hacienda), Jalisco (Articulo 41 Ley de Hacienda Municipal), etc. Cada anfitrion mexicano configura la tasa aplicable (generalmente del 2% al 6% sobre el alojamiento) y Vezpa calcula automaticamente el monto, lo separa del alojamiento en la factura del huesped y prepara los datos para la declaracion mensual ante la Secretaria de Finanzas estatal o municipal correspondiente. Vezpa no actua como retenedor del ISH (esta obligacion permanece exclusivamente del anfitrion).

1. Responsable del tratamiento

El Responsable del tratamiento de los datos personales es:

Vezpa di Paolo Vezzola
Domicilio social: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italia
P.IVA: 04449070988
C.F.: VZZPLA84C10D284C
Email: [email protected]
PEC: [email protected]

2. Ambito de aplicacion

El presente Aviso de Privacidad se aplica a la plataforma Vezpa PMS (web, escritorio y movil) y a las paginas del sitio web donde este aviso esta publicado.

3. Datos personales recabados

3.1 Datos de los usuarios del servicio (operadores de hospedaje)

Cuando usted se registra en Vezpa como operador de un establecimiento de hospedaje, recabamos:

• Datos de identificacion: nombre, apellidos, email, numero telefonico
• Datos del establecimiento: nombre, direccion, tipologia, RFC / registro fiscal
• Datos de facturacion: direccion fiscal, RFC / codigo fiscal, codigo unico / PEC
• Credenciales de acceso: email y contrasena (cifrada)
• Datos de pago: gestionados a traves de proveedores externos certificados PCI-DSS (no almacenamos directamente datos de tarjetas de credito)

3.2 Datos de los huespedes de los establecimientos

Por cuenta de los operadores de los establecimientos (en calidad de Encargado del tratamiento conforme al art. 28 RGPD, regulado por el Contrato de encargo del tratamiento (DPA)), el sistema recaba:

• Datos identificativos: nombre, apellidos, lugar y fecha de nacimiento, nacionalidad, genero
• Documentos de identidad: tipo, numero, lugar y fecha de expedicion, imagen escaneada o fotografiada del documento. Dichas imagenes pueden procesarse con OCR automatico para la extraccion de datos textuales, sin almacenamiento de datos biometricos derivados.
• Datos de contacto: email, numero telefonico
• Datos de la reservacion: fechas de estancia, numero de huespedes, tarifas, plan
• Datos de pago: solo si el pago se realiza a traves del Booking Engine o del enlace Stripe de Vezpa; los datos de tarjeta nunca se almacenan en los servidores de Vezpa

3.3 Datos de navegacion

• Direccion IP
• Tipo de navegador y dispositivo
• Paginas visitadas y tiempo de permanencia
• Sistema operativo
• Referrer (procedencia)

3.4 Cookies

Utilizamos cookies tecnicas necesarias para el funcionamiento del servicio. Para mayores detalles, consulte nuestra Politica de Cookies.

4. Finalidades del tratamiento y base juridica

4.1 Para los operadores de hospedaje

4.2 Para los huespedes de los establecimientos

Importante: Para los datos de los huespedes, el Responsable del tratamiento es el establecimiento de hospedaje. Vezpa actua como Encargado del tratamiento conforme a instrucciones documentadas del operador del establecimiento, en los terminos del Contrato de encargo del tratamiento (DPA).

• Check-in y registro de huespedes: obligacion legal (art. 109 TULPS, D.Lgs. 159/2011) para Italia; normativa equivalente para los demas Estados soportados
• Comunicaciones gubernamentales obligatorias: AlloggiatiWeb (IT-Questura), ISTAT (IT), PayTourist (IT-Municipios), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) - cada una activada solo si el establecimiento reside en el Estado correspondiente
• Gestion de la reservacion y la estancia: ejecucion del contrato (art. 6.1.b)
• Comunicaciones a OTA y channel manager: ejecucion del contrato de reservacion (art. 6.1.b), solo canales activados por el establecimiento

5. Modalidades del tratamiento

Los datos personales se tratan con medios electronicos, con logicas estrictamente relacionadas con las finalidades y mediante la adopcion de medidas de seguridad adecuadas (art. 32 RGPD):

• Cifrado en transito: todos los datos se transmiten mediante protocolo HTTPS/TLS 1.2+
• Contrasenas: almacenadas con algoritmos de hashing seguros (PBKDF2 Django default)
• Tokens: JWT access 15 minutos, refresh con rotacion y blacklist, 2FA TOTP disponible
• Control de acceso: autorizaciones basadas en el rol (director/asistente/gobernanta/observador), principio del minimo privilegio
• Backup: ejecutados regularmente por el proveedor de infraestructura (DigitalOcean), ubicacion UE (Frankfurt)
• Hosting: servidores DigitalOcean ubicados en la Union Europea (region FRA1), storage DigitalOcean Spaces Frankfurt
• Monitoreo: logs de acceso y aplicativos, deteccion de anomalias automatizada, bloqueo de bots y scanners

6. Conservacion de los datos

Los datos personales se conservan por el tiempo estrictamente necesario:

• Datos de los operadores (clientes): duracion del contrato + 10 anos por cumplimiento fiscal y contable
• Datos de facturacion: 10 anos (art. 2220 c.c., obligacion fiscal)
• Datos de los huespedes (tratados por Vezpa como Encargado):
  • Comunicaciones AlloggiatiWeb: el periodo de conservacion es establecido por el Responsable (establecimiento) conforme a la normativa aplicable
  • Comunicaciones ISTAT: segun normativa ISTAT
  • Otros datos de la reservacion: segun las instrucciones del Responsable en el DPA (tipicamente 10 anos con fines fiscales)
  • A la terminacion del contrato con el Responsable, Vezpa elimina o restituye los datos de los huespedes en un plazo de 30 dias, salvo obligaciones de conservacion autonomas (p. ej., facturacion)
• Logs de acceso y aplicativos: hasta 24 meses con fines de seguridad y defensa judicial (interes legitimo)
• Tokens de autenticacion y dispositivos fiduciarios: 90 dias desde el ultimo uso
• Datos para marketing (newsletter, campanas): hasta revocacion del consentimiento, con revision bienal
• Tickets de soporte: duracion del contrato + 2 anos

7. Comunicacion y difusion de los datos

7.1 Destinatarios de los datos

Sus datos pueden ser comunicados a las siguientes categorias de destinatarios. El listado nominativo siempre actualizado de los subencargados del tratamiento esta publicado en vezpa.it/subprocessors.

Autoridades publicas (Responsables autonomos, obligacion legal)

• Italia: Questura / AlloggiatiWeb, ISTAT, Municipios (a traves de PayTourist para el impuesto de estancia), Agenzia delle Entrate
• Austria: Feratel/Meldeamt
• Espana: SES.HOSPEDAJES (Ministerio del Interior)
• Hungria: NTAK
• Croacia: eVisitor
• Portugal: SEF
• Republica Checa: UbyPort
• Eslovenia: eTurizem / AJPES

Cada conector gubernamental se activa solo si el establecimiento reside en el Estado correspondiente. Las credenciales son configuradas por el establecimiento mismo.

Subencargados del tratamiento (art. 28.4 RGPD)

• Infraestructura: DigitalOcean LLC (servidores Frankfurt, base de datos, Spaces/CDN, Redis) - EE.UU./UE con DPF y SCC
• Pagos: Stripe Payments Europe Ltd (UE) / Stripe Inc. (EE.UU.) - PCI-DSS, DPF certificado
• Email transaccional y PEC: IONOS SE (DE)
• Push notifications movil: Google LLC - Firebase Cloud Messaging (EE.UU., DPF certificado)
• Channel Manager OTA: STAAH Limited (Nueva Zelanda) - pais con decision de adecuacion UE (2012)
• Compras in-app y suscripciones:
  • Apple Distribution International Ltd (IE) - entidad UE; las eventuales transferencias hacia Apple Inc. (EE.UU.) se rigen por SCC 2021/914 (Apple no se adhiere al DPF)
  • Google Ireland Ltd / Google LLC (EE.UU., certificacion DPF activa)
  • Microsoft Ireland / Microsoft Corp. (EE.UU., certificacion DPF activa)
• Cerraduras smart (opcional, si se activan): Tuya Smart (CN) - SCC UE y medidas integrativas
• Consultores profesionales: contador, abogado, consultores IT, designados como Encargados o Responsables autonomos segun necesidad

OTA (Responsables autonomos para la relacion con el viajero)

• Booking.com, Airbnb, Expedia, VRBO, Agoda y aproximadamente 55 otros canales conectados mediante STAAH: los datos de reservacion transitan segun el contrato entre el establecimiento y la OTA

7.2 Transferencia de datos fuera de la UE

Algunos tratamientos implican transferencias de datos personales fuera de la Union Europea. En todos los casos se adoptan garantias conforme al Capitulo V RGPD:

• EE.UU. - EU-U.S. Data Privacy Framework (Decision (UE) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, certificaciones activas en el Framework (verificacion en dataprivacyframework.gov/list)
• EE.UU. - Clausulas Contractuales Tipo (SCC) 2021/914: Apple Inc. - Apple no se adhiere al DPF; la relacion contractual para los usuarios UE es con Apple Distribution International Ltd (Irlanda), y las eventuales transferencias hacia Apple Inc. (EE.UU.) se realizan mediante SCC y mecanismos internos de Apple
• Nueva Zelanda - Decision de adecuacion (Decision UE 2013/65): STAAH Limited
• China (opcional) - Clausulas Contractuales Tipo (SCC) 2021/914 + medidas complementarias: Tuya Smart, solo para los establecimientos que activan cerraduras smart
• Para cualquier transferencia en ausencia de DPF activo o adecuacion, Vezpa adopta SCC UE 2021/914 y, cuando corresponda, Transfer Impact Assessment (TIA) documentado

7.3 Difusion

Los datos personales no son objeto de difusion (comunicacion a sujetos indeterminados) y no se venden.

8. Derechos del titular de los datos

Conforme a los articulos 15-22 del RGPD, usted tiene derecho a:

• Acceso (art. 15): obtener confirmacion de la existencia de sus datos y recibir copia
• Rectificacion (art. 16): corregir datos inexactos o incompletos
• Supresion (art. 17): obtener la supresion de los datos (derecho al olvido) cuando concurran los supuestos
• Limitacion (art. 18): limitar el tratamiento en determinadas condiciones
• Portabilidad (art. 20): recibir los datos en formato estructurado y transmitirlos a otro responsable
• Oposicion (art. 21): oponerse al tratamiento por motivos legitimos
• Revocacion del consentimiento: revocar en cualquier momento el consentimiento al marketing

Los usuarios en Mexico pueden ejercer los derechos ARCO (Acceso, Rectificacion, Cancelacion, Oposicion) y la revocacion del consentimiento conforme a la LFPDPPP. Vease el Aviso de Privacidad especifico para Mexico.

Marketing y newsletter

La suscripcion a comunicaciones comerciales requiere consentimiento expreso con doble opt-in (confirmacion por enlace email). Cada comunicacion contiene un enlace de baja inmediato. Para clientes existentes, Vezpa puede enviar comunicaciones sobre productos y servicios analogos conforme al art. 130.4 D.Lgs. 196/2003 ("soft opt-in"), con posibilidad siempre activa de oponerse.

Como ejercer los derechos

Puede ejercer sus derechos escribiendo a:

• Email: [email protected]
• PEC: [email protected]
• Correo certificado a la direccion indicada arriba

Le responderemos en un plazo de 30 dias desde la solicitud.

Derecho de reclamacion

Si considera que el tratamiento de sus datos vulnera el RGPD, tiene derecho a presentar reclamacion ante la autoridad italiana de proteccion de datos (Garante):

Garante per la Protezione dei Dati Personali
Piazza Venezia, 11 - 00187 Roma
Email: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it

Los usuarios en Mexico pueden tambien dirigirse al Instituto Nacional de Transparencia, Acceso a la Informacion y Proteccion de Datos Personales - INAI (www.inai.org.mx).

9. Menores

El servicio Vezpa PMS esta destinado exclusivamente a personas mayores de 18 anos. No recabamos conscientemente datos de menores. Si un padre, madre o tutor considera que un menor ha proporcionado datos personales, puede contactarnos para su inmediata supresion.

10. Modificaciones al Aviso de Privacidad

Este Aviso de Privacidad puede ser modificado con el tiempo. Cada modificacion sustancial sera comunicada con adecuado preaviso mediante:

• Publicacion de la nueva version en el sitio web
• Notificacion por email a los usuarios registrados
• Banner informativo en el area reservada

La fecha de ultima actualizacion siempre esta indicada en la parte superior del documento.