1 · Identidad y domicilio del Responsable
Mobile Ads and Rewards Corporation, S.A.P.I. de C.V. (en adelante "Tuki" o "MARC"), con domicilio en Avenida Bacalar Mz10 Lt24C 2C, Supermanzana 46, C.P. 77506, Cancún, Quintana Roo, México, RFC MAR160524N62.
Para cualquier asunto relacionado con el presente Aviso, puede contactarnos en privacidad@tukicard.com.
2 · ¿A quién aplica este Aviso?
Este Aviso aplica a las personas físicas o representantes de personas morales que contratan la plataforma Tuki en cualquiera de sus modalidades (Tuki, Tuki SC o Tuki BMP), así como a las personas físicas que las representan, operan el panel de administración o son contacto operativo durante la relación comercial con MARC (en adelante, los "Comercios").
Este Aviso es distinto al Aviso de Privacidad para Afiliados (clientes finales de los programas de lealtad) y al Aviso de Privacidad para Partners (canal indirecto), que tienen sus propias URLs accesibles.
Cuando MARC trate datos de clientes finales del Comercio únicamente para operar el programa de lealtad que el Comercio le encargó, lo hará como Encargado del Comercio, conforme a las instrucciones documentadas del propio Comercio y a los términos pactados en el contrato. Sin embargo, cuando MARC trate datos de dichos clientes finales para finalidades propias del ecosistema Tuki —por ejemplo, cuenta Tuki cross-comercio, billetera digital, soporte directo al titular, seguridad de la plataforma, prevención de fraude o interoperabilidad entre comercios— MARC actuará como Responsable independiente conforme al Aviso de Privacidad para Afiliados.
3 · Datos personales que recabamos
MARC podrá recabar y tratar las siguientes categorías de datos personales, de manera directa, indirecta o a través de fuentes de acceso público:
3.1 Datos del Comercio (persona moral o física)
- De identificación: denominación o razón social, nombre comercial, identificación oficial cuando es persona física con actividad empresarial.
- Fiscales: RFC, régimen fiscal, constancia de situación fiscal (CSF), uso de CFDI, datos de facturación, domicilio fiscal.
- De contacto operativo: dirección comercial, correo electrónico institucional, teléfono, sitio web, redes sociales profesionales.
- Comerciales: giro, número y ubicación de sucursales, marcas que opera, POS Provider utilizado, volumen de operación, métricas del programa de lealtad.
- De pago: referencia del método de pago registrado en Stripe (no almacenamos el número de tarjeta completo ni el CVV, los cuales son procesados directamente por Stripe).
3.2 Datos del representante legal y operadores
- Del representante legal: nombre completo, RFC, cargo, identificación oficial vigente, datos del poder o documento que acredite la representación.
- De los operadores del panel (personas que día a día usan Tuki en nombre del Comercio): nombre completo, correo electrónico, teléfono, puesto, identificador interno asignado.
- De los firmantes electrónicos del contrato y del Aviso de Privacidad: nombre, correo, fecha y hora de aceptación, dirección IP, user agent y demás datos previstos en el procedimiento de click-wrap.
3.3 Datos técnicos y de uso
- Registros de acceso al panel (logs de inicio de sesión, dirección IP, identificador de dispositivo, navegador).
- Configuraciones del programa, plantillas, contenidos cargados.
- Interacciones dentro de la herramienta Tukimetrics (consultas, reportes generados, plantillas guardadas).
- Registros de tickets de soporte y comunicaciones con el equipo Tuki.
4 · Finalidades del tratamiento
a) Finalidades primarias (necesarias y dan origen a la relación)
- Evaluar su solicitud de contratación, capacidad operativa y elegibilidad para el servicio Tuki.
- Formalizar, ejecutar y dar seguimiento al contrato de prestación de servicios.
- Habilitar accesos al panel de administración, herramientas, módulos y aplicaciones de Tuki conforme al plan contratado.
- Configurar el programa de lealtad: parametrización de niveles, recompensas, sucursales, branding, integraciones con el POS Provider.
- Cobrar la suscripción, setup fees y servicios adicionales mediante Stripe y emitir los CFDIs correspondientes.
- Brindar soporte técnico y comercial, atender solicitudes, tickets, reclamaciones y derechos ARCO.
- Operar las apps móviles (Tuki SC, Tuki BMP) sobre la marca del Comercio cuando aplique.
- Analizar el uso de la plataforma, desempeño, errores, adopción de funcionalidades y métricas operativas, con el fin de mantener, mejorar, asegurar y optimizar los servicios contratados.
- Cumplir con obligaciones legales, fiscales, contables, regulatorias y de auditoría aplicables a MARC.
- Atender requerimientos de autoridades competentes y proteger los derechos e intereses legítimos de MARC.
b) Finalidades secundarias (no necesarias para la relación; el titular puede manifestar su negativa)
- Enviarle comunicaciones comerciales de Tuki: novedades de producto, casos de éxito, invitaciones a eventos, contenido educativo del programa.
- Realizar encuestas de satisfacción comerciales y estudios estadísticos para campañas o marketing.
- Analizar patrones comerciales para identificar oportunidades de venta cruzada, venta adicional, campañas, eventos, contenido promocional o alianzas estratégicas.
- Identificar oportunidades de cross-sell o up-sell de productos y servicios de MARC o de aliados estratégicos.
- Publicar el nombre, logotipo o referencia del Comercio en la sección de clientes de tukicard.com, redes sociales y materiales promocionales. El uso de marcas, logotipos, nombres comerciales, testimonios o casos de éxito podrá requerir autorización contractual o comercial adicional, independiente del presente Aviso.
Si no desea que sus datos sean tratados para alguna o todas las finalidades secundarias, puede manifestarlo en cualquier momento a través del correo privacidad@tukicard.com o desde el centro de preferencias del panel. La negativa al tratamiento para finalidades secundarias no podrá ser motivo para negar el servicio o concluir la relación con Tuki.
5 · Acceso, comunicación y transferencias de datos
MARC podrá compartir o dar acceso a sus datos personales con terceros únicamente en los supuestos permitidos por la legislación aplicable, cuando sea necesario para cumplir la relación jurídica con el Comercio, para la prestación de los servicios contratados, para el cumplimiento de obligaciones legales o cuando exista consentimiento del titular, según corresponda. Distinguimos a continuación entre proveedores que tratan datos por cuenta de MARC (encargados o subencargados, que actúan bajo nuestras instrucciones) y transferencias propiamente dichas (a terceros que actúan con finalidades propias).
5.A · Encargados, subencargados y proveedores de servicios
Los siguientes proveedores tratan datos por cuenta de MARC, bajo instrucciones documentadas y obligaciones contractuales de confidencialidad y protección de datos equivalentes a las establecidas en este Aviso. No utilizan sus datos para finalidades propias:
- Amazon Web Services, Inc. (AWS) — alojamiento, almacenamiento, KMS y cómputo (Estados Unidos).
- Cloudflare, Inc. — CDN, seguridad, Workers y enrutamiento (Estados Unidos).
- Resend, Inc. — entrega de correo transaccional y comunicaciones por cuenta de MARC (Estados Unidos).
- Sanity, Inc. — gestión de contenidos públicos del sitio Tuki (Estados Unidos / Unión Europea).
- Pipedrive OÜ — CRM interno para gestión comercial de MARC (Unión Europea).
- Google LLC (Workspace) — herramientas internas de productividad y colaboración (Estados Unidos).
El tratamiento mediante herramientas de inteligencia artificial (Anthropic, PBC) se describe específicamente en la sección 5.C.
5.B · Transferencias propiamente dichas
MARC podrá transferir datos personales a los siguientes terceros, que los tratarán con finalidades propias bajo su propio régimen de privacidad o conforme a obligaciones legales:
- Stripe, Inc. y Stripe Payments México — procesamiento de pagos y emisión de comprobantes; Stripe actúa como Responsable independiente bajo certificación PCI-DSS Level 1 (Estados Unidos / México).
- POS Providers con quienes integra el Comercio (Soft Restaurant® / National Soft, entre otros) — únicamente cuando exista intercambio de datos necesario para coordinar la integración técnica del programa o escalar tickets de soporte vinculados.
- Partners del Tuki Partner Program que hayan referido al Comercio — únicamente datos estrictamente necesarios para el cálculo y pago de comisiones del Partner. Se detalla el alcance permitido en la sección 5.D.
- Asesores legales, contables, fiscales y auditores externos, sujetos a deberes de confidencialidad.
- Instituciones bancarias y financieras, para la conciliación y reconciliación de pagos.
- Sociedades controladoras, subsidiarias o afiliadas de MARC, así como entidades resultantes de operaciones corporativas (fusión, escisión, adquisición), siempre que asuman los compromisos del presente Aviso.
- Autoridades competentes, en los casos legalmente previstos (SAT, autoridades judiciales y administrativas, entre otras).
Las transferencias internacionales hacia Estados Unidos de América y otras jurisdicciones se realizan bajo cláusulas contractuales tipo o mecanismos equivalentes que garantizan un nivel adecuado de protección. Cualquier otra comunicación de datos distinta a las anteriores requerirá su consentimiento expreso cuando legalmente corresponda.
5.C · Tratamiento mediante herramientas de inteligencia artificial
Cuando el Comercio utilice funcionalidades de análisis, reportes, predicciones, segmentaciones, recomendaciones, automatización o asistencia basadas en inteligencia artificial dentro de la plataforma Tuki, incluyendo Tukimetrics, MARC podrá procesar consultas, instrucciones, métricas, reportes y datos necesarios para generar la funcionalidad solicitada, principalmente a través del proveedor Anthropic, PBC (Estados Unidos), entendido como proveedor tecnológico de inteligencia artificial que tratará datos únicamente bajo instrucciones de MARC y para las finalidades habilitadas en Tuki, salvo que contractualmente actúe bajo un régimen distinto informado al titular.
MARC se compromete a:
- Procurar el uso de datos agregados, anonimizados, disociados, seudonimizados o minimizados antes que datos personales identificables.
- Cuando sea necesario tratar datos personales identificables, limitar el tratamiento a lo estrictamente necesario para la finalidad informada, bajo controles de seguridad y minimización.
- No autorizar a sus proveedores de inteligencia artificial a utilizar datos personales de Comercios, operadores o afiliados para entrenar modelos generales, salvo consentimiento expreso, instrucción documentada o habilitación legal aplicable.
- Aplicar controles previos de minimización antes del envío de datos a herramientas de IA.
5.D · Alcance permitido de los datos compartidos con Partners
Cuando el Comercio haya sido referido por un Partner del Tuki Partner Program, MARC compartirá con dicho Partner únicamente la información estrictamente necesaria para el cálculo y pago de comisiones: nombre comercial del Comercio, plan contratado, fecha de activación, monto base comisionable, estatus de pago, fecha de cancelación cuando aplique, y métricas agregadas a nivel del Comercio.
En ningún caso se compartirán con el Partner: datos personales de los clientes finales del Comercio (afiliados al programa), datos de consumo individual, información transaccional identificable, credenciales de acceso al panel, información bancaria completa, ni información fiscal no estrictamente necesaria para el pago de la comisión.
6 · Derechos ARCO
Como Comercio (titular o representante de los datos personales), usted tiene derecho a:
- Acceder a sus datos personales en posesión de MARC y conocer los detalles de su tratamiento.
- Rectificar sus datos personales cuando sean inexactos, incompletos o estén desactualizados.
- Cancelar sus datos personales cuando considere que no se requieren para alguna finalidad legal, contractual o legítima.
- Oponerse al tratamiento de sus datos para finalidades específicas.
Adicionalmente, puede revocar el consentimiento que en su caso haya otorgado, así como limitar el uso o divulgación de sus datos.
7 · Procedimiento para ejercer derechos ARCO o revocación
Para ejercer sus derechos ARCO o revocar su consentimiento, envíe una solicitud por escrito al correo privacidad@tukicard.com indicando:
- Nombre completo del titular y, en su caso, del representante legal, así como domicilio o medio para recibir la respuesta.
- Documento que acredite la identidad del titular (copia de identificación oficial vigente) y, en su caso, la representación legal (poder notarial o documento equivalente).
- Descripción clara y precisa de los datos personales sobre los que busca ejercer el derecho y del derecho específico (acceso, rectificación, cancelación, oposición o revocación de consentimiento).
- Cualquier otro elemento o documento que facilite la localización de los datos personales (RFC del Comercio, fecha aproximada de contratación, etc.).
- Tratándose de solicitudes de rectificación, deberá adjuntar la documentación que sustente el cambio solicitado.
MARC dará respuesta a su solicitud dentro de los veinte (20) días hábiles siguientes a la fecha de recepción. Cuando la solicitud sea procedente, se hará efectiva dentro de los quince (15) días hábiles posteriores a la respuesta. Los plazos podrán ampliarse una sola vez por un periodo igual cuando las circunstancias lo justifiquen.
El ejercicio de estos derechos es gratuito; únicamente deberá cubrir, en su caso, los gastos justificados de envío o reproducción.
MARC podrá negar el acceso a sus datos personales, su rectificación, cancelación u oposición, en los supuestos previstos por la LFPDPPP y su Reglamento, incluyendo cuando el solicitante no sea el titular o no acredite su representación, cuando los datos no se encuentren en su base de datos, cuando se lesionen derechos de un tercero, cuando exista impedimento legal o resolución de autoridad, o cuando la rectificación, cancelación u oposición ya se haya realizado.
8 · Limitación del uso o divulgación de sus datos
Puede limitar el uso o divulgación de sus datos personales solicitándolo por escrito al correo privacidad@tukicard.com. MARC mantiene una lista interna de exclusión de comunicaciones comerciales en la que lo inscribirá una vez recibida y procesada su solicitud.
9 · Conservación
En cumplimiento del principio de proporcionalidad y minimización, MARC conservará sus datos personales conforme a plazos diferenciados según la naturaleza del dato:
| Tipo de dato | Plazo de conservación |
|---|---|
| Contrato, aceptación electrónica, logs de consentimiento, hashes y evidencia click-wrap | 10 años append-only (NOM-151-SCFI-2016 y prescripción mercantil) |
| Datos fiscales y contables (CFDIs, registros contables, datos de facturación) | 5 años mínimo conforme al Código Fiscal de la Federación, o el plazo legal aplicable mayor |
| Datos del Comercio activo y configuración del programa | Durante toda la vigencia del contrato |
| Soporte, tickets, comunicaciones operativas | Vigencia del contrato + 2 a 5 años, salvo retención por disputa |
| Logs técnicos de acceso y seguridad | 12 a 24 meses, salvo prolongación por incidente activo |
| Datos de operadores del panel que cesaron acceso | Eliminación o anonimización al concluir su rol, salvo obligación legal vigente |
| Datos comerciales agregados, anonimizados o estadísticos (sin identificar persona física) | Indefinido cuando ya no permiten identificar al titular |
| Datos de afiliados bajo el rol de Encargado del Comercio | Conforme a lo pactado en el contrato y a la política del Aviso de Privacidad para Afiliados |
Concluidos los plazos aplicables, los datos serán bloqueados y posteriormente suprimidos conforme a las políticas internas de retención y a los principios de finalidad, proporcionalidad y minimización.
10 · Medidas de seguridad
MARC ha implementado medidas de seguridad administrativas, técnicas y físicas razonables para proteger sus datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado, conforme a los principios y deberes establecidos en la LFPDPPP.
Medidas implementadas (no limitativas)
- Cifrado en tránsito (TLS 1.2 o superior) en todos los servicios.
- Cifrado en reposo AES-256 con KMS gestionado para datos sensibles (CLABE bancarias, RFC, identificadores).
- Llaves de cifrado separadas para PII general y datos financieros, con rotación periódica.
- Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
- Registro de auditoría de accesos a datos sensibles.
- Separación de ambientes (producción, staging, desarrollo) con datos sintéticos en no-producción.
- Respaldos cifrados con retención conforme a los plazos legales aplicables.
- Análisis periódicos de vulnerabilidades y respuesta documentada ante incidentes.
Notificación de incidentes de seguridad
En caso de vulneración de seguridad ocurrida en cualquier fase del tratamiento que afecte de forma significativa los derechos patrimoniales o morales del Comercio, sus representantes u operadores, datos tratados por cuenta del Comercio, o la operación del programa, MARC notificará al Comercio sin demora injustificada y, en la medida de lo posible, dentro de las 72 horas siguientes a que MARC confirme la vulneración o tenga elementos razonables para determinarla. La notificación incluirá, conforme esté disponible, la naturaleza del incidente, los datos potencialmente afectados, las medidas adoptadas o propuestas, y los puntos de contacto para más información.
La notificación inicial podrá complementarse conforme avance la investigación. Cuando corresponda por ley, MARC notificará adicionalmente a la autoridad competente dentro de los plazos legalmente previstos.
11 · Obligaciones del Comercio respecto a sus representantes, operadores y empleados
El Comercio reconoce que, al utilizar la plataforma Tuki, proporciona a MARC datos personales de sus representantes legales, empleados, colaboradores u operadores autorizados del panel.
El Comercio declara que cuenta con las bases legales, autorizaciones y avisos de privacidad necesarios para proporcionar a MARC dichos datos personales y se obliga a informar oportunamente a tales personas sobre el tratamiento de sus datos conforme al presente Aviso, incluyendo la posibilidad de que dichos datos se transfieran a los terceros señalados en la sección 5.
MARC procurará la minimización en la recolección de datos de identificación oficial (por ejemplo, INE de representantes legales) y se reserva el derecho de aceptar versiones testadas o con datos parcialmente ocluidos cuando ello sea suficiente para acreditar identidad o representación.
12 · Datos anonimizados, agregados o disociados
MARC podrá generar y utilizar información estadística, agregada, anonimizada o disociada derivada del uso de la plataforma Tuki, siempre que dicha información no permita identificar razonablemente a una persona física. Esta información podrá utilizarse para análisis internos, mejora del producto, benchmarking entre programas o clientes, reportes comerciales, inteligencia de mercado, modelos estadísticos y desarrollo de nuevas funcionalidades.
Cuando dicha información se comparta externamente, MARC procurará que no revele información confidencial individualizada de un Comercio ni permita identificar directa o razonablemente a titulares.
MARC no intentará reidentificar información anonimizada o disociada, ni permitirá que terceros lo hagan, salvo por razones de seguridad, auditoría, cumplimiento legal o atención de incidentes conforme a la legislación aplicable.
La información así generada deja de considerarse dato personal en los términos del artículo 3, fracción XVII de la LFPDPPP y, por tanto, no está sujeta a los derechos ARCO ni a los plazos de conservación de la sección 9.
13 · Uso de cookies y tecnologías similares
El panel de administración Tuki (mytukicard.com) y los sitios web relacionados utilizan cookies y tecnologías similares con las siguientes finalidades:
| Categoría | Finalidad | Vida útil | Base |
|---|---|---|---|
| Necesarias | Autenticación, sesión, seguridad, CSRF | Sesión | Sin consentimiento (estrictamente necesarias) |
| Funcionales | Recordar idioma, preferencias del panel | Hasta 12 meses | Opt-out desde preferencias |
| Analíticas (panel) | Uso, rendimiento y errores del panel — primarias internas, no de terceros | Hasta 24 meses | Opt-out desde preferencias |
| Marketing (solo sitio público) | Medir efectividad de campañas, retargeting | Hasta 12 meses | Consentimiento explícito (banner) |
El panel operativo (mytukicard.com) no utiliza cookies de marketing de terceros. Las cookies de marketing aplican únicamente al sitio público tukicard.com y se gestionan mediante el banner de consentimiento del sitio.
Cuando técnicamente sea posible, podrá configurar sus preferencias de cookies analíticas y funcionales desde un centro de preferencias dentro del propio panel o sitio. Adicionalmente, podrá deshabilitar el uso de cookies no necesarias desde la configuración de su navegador. La desactivación de cookies necesarias puede limitar funcionalidades esenciales.
14 · Cambios al presente Aviso
MARC se reserva el derecho de modificar, actualizar, ampliar o adicionar el contenido del presente Aviso de Privacidad. Cualquier cambio será publicado en tukicard.com/privacidadcomercios indicando la fecha de su última actualización. Cuando los cambios sean sustanciales, le notificaremos adicionalmente por correo electrónico al contacto registrado, mediante un aviso destacado en el panel de administración, o por ambos medios, con al menos treinta (30) días naturales de anticipación.
15 · Autoridad de protección de datos
Si considera que su derecho a la protección de datos personales ha sido vulnerado por alguna conducta u omisión de MARC, o presume alguna violación a las disposiciones aplicables, podrá acudir ante la Secretaría Anticorrupción y Buen Gobierno, a través de la autoridad competente en materia de protección de datos personales, o ante la autoridad que legalmente la sustituya o resulte competente. La información de contacto de la autoridad podrá consultarse en su sitio oficial.
16 · Consentimiento
Al contratar la plataforma Tuki —ya sea a través del checkout en línea, formulario, contrato firmado físicamente o cualquier otro medio— usted manifiesta haber leído, entendido y aceptado los términos del presente Aviso de Privacidad, otorgando su consentimiento para el tratamiento de sus datos personales conforme a las finalidades primarias aquí descritas.
La aceptación electrónica del Aviso (click-wrap), cuando corresponda, queda registrada con fecha, hora, dirección IP, user agent y hash del documento aceptado, conforme a los artículos 89 a 95 del Código de Comercio y a la NOM-151-SCFI-2016. Esta evidencia se conserva de forma inmutable.
Respecto a las finalidades secundarias, el titular podrá manifestar su negativa para el tratamiento de sus datos personales para tales finalidades desde el momento en que se pone a su disposición el presente Aviso, o en cualquier momento posterior, a través del correo privacidad@tukicard.com o del centro de preferencias disponible en el panel de administración. La negativa al tratamiento para finalidades secundarias no afectará el servicio contratado.
Para cualquier duda o aclaración sobre el presente Aviso, escríbanos a privacidad@tukicard.com.
Documento publicado en cumplimiento de la LFPDPPP. Hash SHA-256 disponible para auditoría a petición.