DinnerSpot Logo

Legal

Política de Privacidad

Aviso de Privacidad de DinnerSpot

Última actualización: [●]

Responsable del tratamiento de datos personales: [RAZÓN SOCIAL DE DINNERSPOT], con domicilio en [DOMICILIO], correo de contacto en materia de privacidad [CORREO PRIVACIDAD] y sitio web [DOMINIO] (“DinnerSpot”, “la Plataforma”, “nosotros” o “nuestro”).

El presente Aviso de Privacidad se emite en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento, los Lineamientos del Aviso de Privacidad y demás disposiciones aplicables emitidas por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

DinnerSpot es una plataforma tecnológica de intermediación y marketplace de experiencias sociales y gastronómicas que conecta a personas usuarias con restaurantes, bares, lounges, venues, crushes independientes (mujeres u hombres, sin preferencia ni restricción de género), promotores y demás prestadores independientes. Para operar la Plataforma tratamos datos personales de clientes, crushes, restaurantes, venues, personal autorizado y visitantes.

Al crear una cuenta, navegar, reservar, pagar, publicar servicios, recibir comunicaciones, participar como restaurante, participar como crush independiente o utilizar cualquier funcionalidad de DinnerSpot, reconoces haber leído, entendido y aceptado este Aviso de Privacidad.

Si no estás de acuerdo con el tratamiento descrito en este Aviso, no debes utilizar la Plataforma.


1. Definiciones

Para efectos de este Aviso, los términos definidos en los Términos y Condiciones de Uso de DinnerSpot conservan el mismo significado. Adicionalmente:

“Datos Personales” significa cualquier información concerniente a una persona física identificada o identificable.

“Datos Personales Sensibles” significa aquellos datos que afecten la esfera más íntima del titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave, conforme a la LFPDPPP.

“Titular” significa la persona física a quien corresponden los Datos Personales.

“Tratamiento” significa la obtención, uso, divulgación, almacenamiento, acceso, manejo, aprovechamiento, transferencia o disposición de Datos Personales.

“Encargado” significa la persona física o moral que trata Datos Personales por cuenta de DinnerSpot.

“Tercero” significa la persona física o moral, nacional o extranjera, distinta del Titular, del responsable o del encargado.

“Transferencia” significa toda comunicación de Datos Personales realizada a persona distinta del responsable o encargado.

“Derechos ARCO” significa los derechos de Acceso, Rectificación, Cancelación y Oposición que la LFPDPPP reconoce al Titular.

“Stripe” significa Stripe, Inc., Stripe Payments Mexico, S. de R.L. de C.V. y/o sus afiliadas, según corresponda, en su carácter de procesador de pagos y encargado de operaciones de cobro, distribución, KYC y cumplimiento normativo aplicable a los pagos coordinados a través de DinnerSpot.

“WhatsApp Business API” significa la interfaz programática operada por WhatsApp LLC y/o Meta Platforms, Inc. utilizada por DinnerSpot, directamente o a través de un proveedor de soluciones de negocios (BSP), para el envío y recepción de mensajes operacionales con clientes, crushes y restaurantes.

“Check-in afirmativo” significa la acción mediante la cual cada parte (crush y cliente), durante una experiencia reservada, escanea el código QR de la experiencia desde la Plataforma y autoriza, con consentimiento expreso de un toque, la captura puntual de la ubicación de su dispositivo en ese momento, conforme a la sección 25.4 de los Términos.

“Botón de Pánico” significa la función de la Plataforma mediante la cual cualquier participante puede reportar incomodidad, riesgo o incidente durante una experiencia, activando el protocolo descrito en la sección 25.5 de los Términos. Su activación notifica al gerente en turno del venue mediante WhatsApp Business API (o canal equivalente) y desencadena las medidas operativas y de evidencia previstas en los Términos.

“Perfil Efímero del Cliente” significa el conjunto de fotografías, datos básicos e historial resumido del cliente que se hace visible al crush asignado a una reservación, en modalidad de visualización única (single-view) y por un plazo limitado, exclusivamente para que el crush decida aceptar o rechazar la experiencia, conforme a la sección 25.3 de los Términos.


2. Identidad del responsable y datos del oficial de privacidad

Responsable: [RAZÓN SOCIAL DE DINNERSPOT], domicilio en [DOMICILIO COMPLETO].

Departamento de Datos Personales / Oficial de Privacidad:

  • Correo: [CORREO PRIVACIDAD, p. ej. [email protected]]
  • Sitio web: [DOMINIO]/privacidad
  • Teléfono: [TELÉFONO]
  • Domicilio para notificaciones: [DOMICILIO]

Cualquier comunicación dirigida al Departamento de Datos Personales relacionada con este Aviso, derechos ARCO, revocación del consentimiento, limitación de uso o divulgación, dudas, quejas o sugerencias, deberá enviarse a los datos de contacto anteriores.


3. Datos personales que recabamos

DinnerSpot recaba Datos Personales de forma directa (cuando el Titular los proporciona) y de forma indirecta (mediante el uso de la Plataforma, cookies, tecnologías similares o terceros autorizados).

Los Datos Personales que tratamos pueden incluir, según el rol del Titular y las funcionalidades utilizadas:

3.1. Datos de identificación

  1. Nombre completo.
  2. Apellido paterno y materno.
  3. Fecha de nacimiento (para acreditar mayoría de edad y cumplimiento de la sección 4 de los Términos).
  4. Género o identidad de género (cuando el Titular elija proporcionarlo).
  5. Fotografía de perfil.
  6. Identificación oficial vigente (INE, pasaporte u otra), únicamente cuando se requiera verificación de identidad.

3.2. Datos de contacto

  1. Correo electrónico.
  2. Teléfono móvil (incluyendo número habilitado para WhatsApp).
  3. Domicilio cuando sea necesario (p. ej. facturación, KYC del proveedor independiente).

3.3. Datos de cuenta y autenticación

  1. Identificador único de usuario.
  2. Credenciales de acceso (contraseña almacenada en formato cifrado/hasheado; nunca en claro).
  3. Tokens de sesión y refresco.
  4. Identificadores de proveedor de identidad federada cuando inicies sesión con servicios de terceros (Google, Apple u otros).
  5. Registros de inicio de sesión, intentos fallidos, cambios de contraseña y eventos de seguridad relevantes.

3.4. Datos de ubicación

  1. Ubicación aproximada (a nivel de ciudad, colonia o radio de varios kilómetros) inferida a partir de la dirección IP, configuración del navegador o permisos del dispositivo, para mostrar restaurantes y experiencias dentro de tu zona de interés.
  2. Ubicación precisa (GPS) únicamente cuando otorgues permiso explícito al sistema operativo y exclusivamente para:
    • Mostrar resultados ordenados por cercanía.
    • Realizar el check-in afirmativo de inicio de la experiencia mediante el escaneo del código QR y la captura puntual de la ubicación del dispositivo en ese momento, conforme a la sección 25.4 de los Términos.
    • Operar el Botón de Pánico durante la experiencia, cuando aplique.
  3. La ubicación precisa se captura de forma puntual al momento del check-in y no se mantiene en seguimiento continuo ni en segundo plano. DinnerSpot no opera un sistema de geofencing pasivo ni de rastreo en tiempo real fuera del evento de check-in y, en su caso, de las activaciones expresas del Botón de Pánico.

3.5. Datos de pago

  1. Tipo de método de pago (tarjeta, wallet, transferencia, etc.).
  2. Marca, últimos cuatro dígitos y fecha de expiración de la tarjeta.
  3. Token o identificador del método de pago entregado por Stripe.
  4. País del emisor.
  5. Histórico de transacciones, autorizaciones, contracargos, reembolsos y disputas.

DinnerSpot no almacena el número de tarjeta completo (PAN), CVV, banda magnética ni datos de pista. Estos datos son recabados, procesados y resguardados directamente por Stripe en su carácter de procesador de pagos certificado bajo el estándar PCI-DSS, conforme a su propia política de privacidad.

3.6. Datos fiscales y de facturación

Cuando solicites factura, registres una Cuenta Conectada como crush o restaurante, o cuando se requiera para cumplir obligaciones de cumplimiento fiscal:

  1. RFC.
  2. Razón social o nombre fiscal.
  3. Régimen fiscal.
  4. Código postal fiscal.
  5. Uso de CFDI.
  6. Constancia de Situación Fiscal.
  7. Información que Stripe requiera para habilitar Cuentas Conectadas, cobros, liquidaciones y cumplimiento de obligaciones de información, incluyendo, según aplique, datos bancarios CLABE, comprobante de domicilio, identificación oficial, datos del beneficiario controlador y cualquier otra información solicitada por Stripe en cumplimiento de sus obligaciones legales y regulatorias.

3.7. Datos de verificación KYC y prevención de fraude

Para crushes, restaurantes y, cuando aplique, clientes con riesgo elevado:

  1. Documento de identificación oficial.
  2. Selfie o fotografía de verificación de identidad cuando se utilice un proveedor de verificación.
  3. Comprobante de domicilio.
  4. Acta constitutiva, poderes y documentación corporativa (personas morales).
  5. Información de cuentas bancarias para depósitos.
  6. Listas de control (PEP, sanciones internacionales) verificadas por encargados especializados.

3.8. Datos del dispositivo y conexión

  1. Dirección IP.
  2. Identificadores de dispositivo, hardware y sistema operativo.
  3. User-agent, idioma, zona horaria, resolución de pantalla.
  4. Operador móvil (cuando aplique).
  5. Modelo del dispositivo.
  6. Versión de la aplicación o navegador.
  7. Datos de diagnóstico, errores, fallos (crash logs).

3.9. Datos de uso y comportamiento dentro de la Plataforma

  1. Páginas y pantallas vistas, restaurantes y experiencias consultadas.
  2. Búsquedas, filtros y preferencias.
  3. Reservaciones realizadas, modificadas o canceladas.
  4. Históricos de check-in afirmativo, check-out, consumo y participación.
  5. Tiempos de sesión, frecuencia, recurrencia.
  6. Interacción con notificaciones, correos, mensajes y campañas.
  7. Métricas de atribución y conversión asociadas a campañas, links, códigos promocionales y embajadores.

3.10. Datos de comunicaciones

  1. Mensajes intercambiados dentro de la mensajería interna de la Plataforma.
  2. Mensajes intercambiados por WhatsApp Business API, correo electrónico, SMS, notificaciones push o cualquier canal habilitado, incluyendo notificaciones del Botón de Pánico al gerente en turno del venue.
  3. Tickets, reportes, quejas y conversaciones con soporte.
  4. Audios, fotografías o archivos adjuntos cuando el Titular elija enviarlos.
  5. Activaciones del Botón de Pánico, reportes de incidentes, y la evidencia de egreso (fotografía o video) que el venue capture y entregue a DinnerSpot conforme a la sección 25.5 de los Términos.
  6. Fotografías y datos del Perfil Efímero del Cliente subidos por el cliente para la confirmación de una experiencia con crush, conforme a la sección 25.3 de los Términos.

3.11. Datos publicados voluntariamente

  1. Biografía, descripción, intereses, preferencias.
  2. Fotografías personales o del establecimiento.
  3. Menús, paquetes, promociones, descripciones, precios.
  4. Reseñas, calificaciones y comentarios.
  5. Cualquier contenido que el Titular decida publicar dentro de la Plataforma.

3.12. Datos derivados de cookies y tecnologías similares

Conforme a lo previsto en la sección 8 de este Aviso.


4. Datos personales sensibles

DinnerSpot no recaba intencionalmente Datos Personales Sensibles (origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas o morales, afiliación sindical, opiniones políticas, preferencia sexual).

No obstante, ciertas funcionalidades pueden involucrar tratamiento de datos que, conforme a la LFPDPPP, podrían considerarse sensibles o de especial protección:

  1. Datos biométricos faciales durante procesos de verificación de identidad operados por encargados especializados, exclusivamente para acreditar que la persona que se registra coincide con la identificación presentada y para prevenir fraude y suplantación. Actualmente la verificación de identidad de los crushes se realiza de forma manual y presencial conforme a 25.2 de los Términos; el tratamiento biométrico aplicará únicamente cuando DinnerSpot implemente proveedores automatizados de verificación, previo consentimiento expreso del Titular.
  2. Datos de geolocalización precisa capturados de forma puntual al realizar el check-in afirmativo de inicio (sección 25.4 de los Términos) y, en su caso, al activar el Botón de Pánico. Su tratamiento se rige por la sección 9 de este Aviso.
  3. Fotografía e imagen personal que el cliente sube al Perfil Efímero del Cliente para experiencias con crush, así como las fotografías o videos de egreso que el venue capture al activarse el Botón de Pánico, conforme a las secciones 25.3 y 25.5 de los Términos.
  4. Información que el Titular elija incluir voluntariamente en su perfil, biografía, preferencias o reseñas (p. ej. preferencias alimentarias que pudieran revelar condiciones de salud o creencias).

Para el tratamiento de los datos descritos en los numerales 1, 2 y 3 anteriores, así como para cualquier otro dato sensible cuyo tratamiento resulte necesario, DinnerSpot solicitará el consentimiento expreso del Titular conforme a la LFPDPPP, mediante casillas específicas, autorizaciones del sistema operativo o consentimientos escritos según corresponda.


5. Origen de los Datos Personales

Recabamos Datos Personales:

  1. Directamente del Titular, cuando los proporciona al crear su cuenta, completar su perfil, reservar, pagar, publicar contenido, contactar soporte o utilizar cualquier funcionalidad de la Plataforma.
  2. Indirectamente, mediante cookies, pixeles y tecnologías similares descritas en la sección 8.
  3. A través de terceros autorizados, incluyendo Stripe (datos de pago, KYC, antifraude), proveedores de verificación de identidad, proveedores de mensajería (WhatsApp BSP), redes sociales (cuando inicies sesión con un proveedor de identidad federada y autorices el envío de datos), proveedores de mapas, proveedores de analítica y publicidad, listas de control y demás encargados o terceros descritos en este Aviso.
  4. De fuentes de acceso público únicamente cuando la legislación aplicable lo permita y exclusivamente para validación, prevención de fraude o cumplimiento legal.

6. Finalidades primarias del tratamiento

DinnerSpot trata Datos Personales para las siguientes finalidades primarias, necesarias para la existencia, mantenimiento y cumplimiento de la relación con el Titular y para la prestación del Servicio de Plataforma:

  1. Crear, mantener y administrar tu cuenta (clientes, crushes, restaurantes y personal autorizado).
  2. Verificar tu identidad y mayoría de edad, así como prevenir suplantación, fraude, abuso y conductas riesgosas.
  3. Operar el marketplace: publicación de experiencias, búsqueda, descubrimiento, reservación, coordinación, ejecución y seguimiento de experiencias.
  4. Mostrar restaurantes, crushes y experiencias dentro de tu zona geográfica de interés, conforme a tu ubicación aproximada o precisa cuando hayas otorgado permiso.
  5. Coordinar la experiencia con el restaurante y el crush asignados, lo que implica compartir con éstos los datos estrictamente necesarios para la prestación del servicio (nombre, hora, paquete, requerimientos especiales), bajo el principio de datos minimizados entre partes descrito en 25.8 de los Términos.
  6. Operar el Perfil Efímero del Cliente, en modalidad de visualización única (single-view), exclusivamente para que el crush asignado a una reservación decida aceptarla o rechazarla, conforme a la sección 25.3 de los Términos.
  7. Validar el inicio de la experiencia mediante check-in afirmativo (QR + ubicación puntual), conforme a la sección 25.4 de los Términos, así como conservar la evidencia operativa correspondiente para soporte, disputas y contracargos.
  8. Operar el Botón de Pánico y los protocolos de respuesta a incidentes previstos en las secciones 25.4 a 25.7 de los Términos, incluyendo la notificación al gerente en turno del venue mediante WhatsApp Business API y el manejo de la evidencia de egreso entregada por el venue.
  9. Disparar y administrar el cronómetro de liquidación y el hito de liquidación inicial previstos en la sección 13 de los Términos, así como las liquidaciones posteriores, ajustes y reversos aplicables.
  10. Procesar pagos, autorizaciones, contracargos y reembolsos a través de Stripe, incluyendo la división de fondos entre Cuentas Conectadas de proveedores independientes.
  11. Operar Cuentas Conectadas y obligaciones de cumplimiento normativo asociadas, incluyendo KYC, AML, prevención de fraude y obligaciones de información que apliquen a DinnerSpot o a Stripe.
  12. Cumplir obligaciones fiscales propias y, cuando aplique, facilitar la facturación entre proveedores independientes y clientes.
  13. Coordinar comunicaciones operativas mediante correo, SMS, WhatsApp Business API, notificaciones push y mensajería interna (confirmaciones, recordatorios, cambios de reservación, códigos QR, alertas de seguridad, soporte, facturación).
  14. Atender quejas, controversias, reclamos, disputas, contracargos, reembolsos y procedimientos legales conforme a la sección 41 de los Términos.
  15. Cumplir requerimientos de autoridades competentes, mandatos judiciales, obligaciones legales, fiscales, regulatorias o de cumplimiento.
  16. Mantener la seguridad, integridad y disponibilidad de la Plataforma, incluyendo monitoreo de fraude, abuso, conductas ilícitas y riesgos operativos.
  17. Operar evidencia y registros conforme a las secciones 25.4 y 25.5 de los Términos, incluyendo la conservación reforzada de logs, mensajes internos, registros de check-in afirmativo, activaciones del Botón de Pánico, registros de pago y comunicaciones de soporte (por el plazo mínimo de 5 años previsto en 25.4.5 de los Términos o el plazo legal superior aplicable), sin perjuicio de que la evidencia generada dentro del venue (CCTV, fotografías/videos de egreso, libros internos) sea conservada por el propio venue conforme a sus obligaciones.

Las finalidades anteriores son necesarias para la operación de la Plataforma y la relación con el Titular. No requieren consentimiento expreso adicional, salvo en los casos específicos en que la LFPDPPP lo exija (datos sensibles, ubicación precisa, biometría).


7. Finalidades secundarias del tratamiento

Adicionalmente, DinnerSpot puede tratar los Datos Personales para las siguientes finalidades secundarias, las cuales no son necesarias para la relación con el Titular y se realizan únicamente cuando el Titular no se haya opuesto o haya otorgado el consentimiento que corresponda:

  1. Envío de comunicaciones promocionales y de marketing (correo, WhatsApp, SMS, notificaciones push, mensajes dentro de la Plataforma) con ofertas, recomendaciones, beneficios, eventos, contenido editorial, lanzamientos y campañas.
  2. Personalización de recomendaciones, contenido y publicidad dentro y fuera de la Plataforma, incluyendo la segmentación de audiencias y la creación de audiencias semejantes (lookalike) en redes y plataformas publicitarias.
  3. Realización de encuestas, estudios de mercado, investigación, analítica avanzada y mejora del producto.
  4. Programas de referidos, embajadores, insiders, reconocimiento de clientes frecuentes y atribución de campañas.
  5. Generación de estadísticas agregadas y anonimizadas para fines comerciales o estratégicos.
  6. Compartición con socios comerciales para experiencias conjuntas, beneficios cruzados o campañas, únicamente cuando hayas autorizado dicho compartimiento.

Mecanismo de oposición a finalidades secundarias. Si no deseas que tus Datos Personales sean tratados para alguna o todas las finalidades secundarias, podrás manifestar tu oposición:

  1. Al momento de crear tu cuenta o al actualizar tus preferencias, mediante las casillas específicas habilitadas en la Plataforma.
  2. En cualquier momento, ajustando tus preferencias en Configuración > Privacidad y comunicaciones dentro de la Plataforma.
  3. Mediante el enlace de baja (“unsubscribe”) presente en cada correo electrónico promocional.
  4. Respondiendo “BAJA”, “STOP” o “CANCELAR” a los mensajes de WhatsApp o SMS promocionales.
  5. Enviando solicitud al Departamento de Datos Personales conforme a la sección 17.

La negativa al tratamiento para finalidades secundarias no afectará la prestación del Servicio de Plataforma ni la relación con DinnerSpot.


8. Cookies, web beacons, pixeles y tecnologías similares

DinnerSpot utiliza cookies, web beacons, pixeles, SDKs, identificadores de dispositivo, almacenamiento local y tecnologías similares (en conjunto, “Cookies y Tecnologías Similares”) para operar la Plataforma, asegurar su funcionamiento, recordar preferencias, medir desempeño, prevenir fraude y, cuando corresponda, personalizar publicidad.

8.1. Categorías

  1. Estrictamente necesarias. Indispensables para que la Plataforma funcione (sesión, autenticación, balanceo de carga, prevención de CSRF, mantenimiento del carrito o reservación en curso, configuración del idioma y región).
  2. De preferencias. Recuerdan tus elecciones (idioma, ciudad, formato, accesibilidad).
  3. De desempeño y analítica. Miden el uso de la Plataforma y nos permiten mejorarla (Google Analytics 4, Vercel Analytics u otras herramientas equivalentes).
  4. De publicidad y marketing. Permiten medir la efectividad de campañas, atribuir conversiones, mostrar anuncios relevantes dentro y fuera de la Plataforma y construir audiencias publicitarias en plataformas de terceros (Meta Pixel — Facebook/Instagram, Google Ads, TikTok Pixel, LinkedIn Insight, entre otras).
  5. De integración con terceros. Habilitan funciones de mapas, mensajería, redes sociales, vídeo, soporte conversacional y servicios externos integrados a la Plataforma.

8.2. Pixeles de seguimiento de terceros

DinnerSpot utiliza pixeles de seguimiento operados por terceros, incluyendo, sin limitación:

  1. Meta Pixel (Facebook, Instagram, WhatsApp Ads).
  2. Google Tag Manager, Google Analytics 4, Google Ads y Floodlight.
  3. TikTok Pixel y otras redes sociales o plataformas publicitarias que se incorporen en el futuro.
  4. Herramientas de atribución, analítica de producto y experimentación (p. ej. Vercel Analytics, PostHog, Amplitude, Mixpanel, Segment, Hotjar, Clarity u otras equivalentes que se integren a la Plataforma).

Estos terceros podrán recabar tu dirección IP, identificadores de dispositivo o navegador, eventos de uso, eventos de conversión y demás datos descritos en su propia política de privacidad. La información puede ser transferida y tratada fuera de México por dichos terceros conforme a sus propias condiciones, las cuales recomendamos consultar.

8.3. Gestión y retiro del consentimiento

DinnerSpot pondrá a disposición del Titular un panel de gestión de cookies accesible desde la Plataforma para activar o desactivar cada categoría de Cookies y Tecnologías Similares (excepto las estrictamente necesarias, sin las cuales la Plataforma no puede funcionar).

Adicionalmente, podrás:

  1. Ajustar la configuración de tu navegador para bloquear o eliminar cookies.
  2. Activar el modo de navegación privada.
  3. Utilizar las herramientas de cancelación o exclusión publicitaria de cada plataforma:
    • Google: https://adssettings.google.com
    • Meta: ajustes de privacidad y anuncios de tu cuenta de Facebook o Instagram.
    • Iniciativas sectoriales como https://optout.aboutads.info y https://youronlinechoices.eu.
  4. Restablecer o limitar el identificador publicitario (IDFA / AAID) desde tu sistema operativo.

El detalle actualizado de las Cookies y Tecnologías Similares utilizadas se encuentra en el Anexo A de este Aviso.


9. Geolocalización y check-in afirmativo

DinnerSpot utiliza datos de ubicación con tres modalidades, todas regidas por el principio de minimización de datos: solo se solicita la ubicación cuando es necesaria para una funcionalidad específica, y nunca para rastreo continuo.

9.1. Ubicación aproximada (sin permiso explícito del dispositivo)

Inferida a partir de la dirección IP, configuración del navegador o ciudad declarada. Se utiliza para mostrar restaurantes, crushes y experiencias dentro de tu área geográfica de interés y para fines estadísticos.

9.2. Ubicación precisa (GPS u otra señal del dispositivo, con permiso explícito)

Solo se solicita cuando el sistema operativo te pida autorización expresa. Se utiliza, de forma puntual, para:

  1. Ordenar resultados por cercanía y mostrar venues sobre un mapa.
  2. Operar la función de "restaurantes cerca de mí".
  3. Operar el Botón de Pánico durante la experiencia, cuando aplique.

9.3. Check-in afirmativo (QR + ubicación puntual)

Para iniciar operativamente una experiencia reservada, cada parte (crush y cliente) escanea el código QR de la experiencia desde la Plataforma y la app captura, con consentimiento expreso de un toque, la ubicación del dispositivo en ese momento.

  1. La captura de la ubicación se realiza únicamente en el momento del check-in, como acción afirmativa del Titular. No es un proceso pasivo ni continuo.
  2. DinnerSpot no opera geofencing pasivo, monitoreo en tiempo real ni rastreo en segundo plano. Fuera del evento de check-in y, en su caso, de las activaciones expresas del Botón de Pánico, DinnerSpot no consulta la ubicación precisa del dispositivo.
  3. La ubicación capturada al check-in cumple tres propósitos: (i) confirmar operativamente el inicio de la experiencia; (ii) servir como evidencia objetiva ante soporte, disputas y contracargos; y (iii) disparar el hito de liquidación inicial previsto en la sección 13 de los Términos.
  4. Requiere el otorgamiento del permiso de ubicación al sistema operativo. Sin dicho permiso, el check-in podrá realizarse exclusivamente mediante código QR u otro mecanismo equivalente, sujeto a revisión manual conforme a las políticas operativas.

El Titular puede revocar el permiso de ubicación en cualquier momento desde los ajustes del sistema operativo. La revocación puede limitar funcionalidades como la búsqueda por cercanía o la validación automática del check-in y del hito de liquidación.


10. WhatsApp Business API y comunicaciones operativas

DinnerSpot utiliza WhatsApp Business API, directamente o a través de un proveedor de soluciones de negocios (BSP), para enviar y recibir mensajes operacionales con clientes, crushes y restaurantes.

A través de WhatsApp podemos enviar y recibir, entre otros:

  1. Confirmaciones, recordatorios y cambios de reservación.
  2. Códigos QR, instrucciones de check-in afirmativo y check-out.
  3. Notificación al gerente en turno del venue cuando se active el Botón de Pánico, conforme a 25.4 y 25.5 de los Términos, así como las comunicaciones subsecuentes del protocolo de incidentes.
  4. Alertas de seguridad, mensajes operativos del Botón de Pánico y, en su caso, comunicaciones del check-in intermedio de seguridad.
  5. Mensajes de soporte, atención al cliente y resolución de disputas.
  6. Comunicaciones fiscales, de facturación, pagos, y notificaciones del hito de liquidación inicial o ajustes posteriores.
  7. Cuando hayas autorizado finalidades secundarias, comunicaciones promocionales.

El uso de WhatsApp Business API implica que WhatsApp LLC y Meta Platforms, Inc. procesarán metadatos de los mensajes (números, marcas de tiempo, estado de entrega, contenido cuando aplique) conforme a sus propias políticas. Estas comunicaciones pueden implicar transferencia de datos fuera de México.

Podrás detener las comunicaciones promocionales por WhatsApp respondiendo “BAJA”, “STOP” o “CANCELAR”. Las comunicaciones operativas estrictamente necesarias para la ejecución de una reservación o por motivos de seguridad pueden continuar enviándose hasta la conclusión de la operación correspondiente.


11. Pagos, datos bancarios, Stripe y obligaciones fiscales

DinnerSpot utiliza a Stripe como procesador de pagos y operador de Cuentas Conectadas.

11.1. Datos bancarios y de tarjeta

Los datos completos de tarjeta (PAN, CVV, banda magnética) se recaban y resguardan directamente por Stripe bajo el estándar PCI-DSS Nivel 1. DinnerSpot no almacena ni tiene acceso a estos datos. Únicamente recibe y conserva información tokenizada y limitada (marca, últimos 4 dígitos, fecha de expiración, país, identificador de método de pago, resultado de la transacción).

11.2. Datos KYC y fiscales requeridos por Stripe

Para habilitar Cuentas Conectadas (crushes, restaurantes y, cuando aplique, otros proveedores independientes), Stripe puede requerir:

  1. Nombre completo, fecha de nacimiento y nacionalidad del titular o representante.
  2. Documento de identificación oficial.
  3. Comprobante de domicilio.
  4. RFC, razón social, régimen fiscal, código postal fiscal, uso de CFDI, Constancia de Situación Fiscal.
  5. Información de cuenta bancaria para depósitos (CLABE, banco).
  6. Información del beneficiario controlador y de la estructura corporativa para personas morales.
  7. Cualquier otra información requerida por Stripe para cumplir sus obligaciones de conoce a tu cliente (KYC), prevención de lavado de dinero (AML), prevención del financiamiento al terrorismo (CFT), reportes fiscales y regulatorios aplicables.

Estos datos son recabados y tratados directamente por Stripe en su carácter de responsable de su propio tratamiento para los fines mencionados, conforme a su política de privacidad disponible en https://stripe.com/privacy. DinnerSpot accede únicamente a la información estrictamente necesaria para operar el marketplace, gestionar liquidaciones, atender disputas y dar cumplimiento a sus obligaciones.

11.3. Cumplimiento normativo

DinnerSpot y Stripe podrán tratar Datos Personales con la finalidad de:

  1. Cumplir con la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI) y disposiciones aplicables.
  2. Cumplir obligaciones de información ante autoridades fiscales y financieras (SAT, CNBV, UIF) cuando sean exigibles.
  3. Atender requerimientos de autoridades competentes.
  4. Prevenir y detectar fraude, lavado de dinero, financiamiento al terrorismo, abuso del sistema de pagos y conductas ilícitas.

12. Compartición con restaurantes, crushes y participantes de la experiencia

Para coordinar y ejecutar una experiencia reservada, DinnerSpot comparte únicamente los Datos Personales estrictamente necesarios con el restaurante y el crush involucrados, bajo el principio de datos minimizados entre partes descrito en la sección 25.8 de los Términos. Según corresponda al rol:

Con el restaurante o venue:

  1. Nombre del cliente, fecha y hora de la reservación, paquete, número de personas, requerimientos especiales (alérgenos, accesibilidad, ocasión).
  2. Datos mínimos de contacto operativo cuando sea indispensable para coordinar la experiencia.
  3. Validaciones de check-in afirmativo, consumo aplicable, registros operativos y, en su caso, activaciones del Botón de Pánico que requieran su intervención conforme a 25.5 de los Términos.

Con el crush asignado a la reservación:

  1. Únicamente: nombre o seudónimo del cliente, fotografía y datos básicos contenidos en el Perfil Efímero del Cliente (sección 25.3 de los Términos), en modalidad de visualización única (single-view) y por el plazo limitado previsto en este Aviso, para que el crush decida aceptar o rechazar la reservación.
  2. No se comparten apellidos, teléfono personal, correo, redes sociales, domicilio ni datos fiscales del cliente con el crush. Cualquier intercambio adicional de información personal queda a discreción exclusiva de cada parte y fuera del alcance y responsabilidad de DinnerSpot.

Los restaurantes y crushes se obligan, en términos de los Términos y Condiciones, a tratar dicha información exclusivamente para la prestación de la experiencia reservada y a no utilizarla para fines distintos, incluyendo expresamente la prohibición de contactar al cliente para evadir la Plataforma o para fines no autorizados. Al crush le está estrictamente prohibido capturar, copiar, descargar, reproducir, difundir o conservar fuera de la Plataforma cualquier elemento del Perfil Efímero del Cliente.

El cliente reconoce que el restaurante y el crush pueden, dentro del venue durante la experiencia, observar conductas, consumos e interacciones, sin que ello implique transferencia adicional de datos por parte de DinnerSpot.


13. Transferencias y comunicaciones de Datos Personales a terceros

DinnerSpot podrá transferir o comunicar Datos Personales a los terceros que se indican a continuación, exclusivamente con las finalidades autorizadas en este Aviso:

  1. Stripe y demás procesadores de pago, para cobros, distribución de fondos a Cuentas Conectadas, KYC, antifraude, reportes y cumplimiento.
  2. Proveedores de infraestructura tecnológica y nube (alojamiento, bases de datos, almacenamiento, correo transaccional, mensajería, telemetría, observabilidad, seguridad, antibot, antifraude, CDN y servicios análogos), incluyendo proveedores con presencia en Estados Unidos y la Unión Europea.
  3. WhatsApp LLC, Meta Platforms, Inc. y proveedores de soluciones de negocios (BSP) para el envío y recepción de mensajes mediante WhatsApp Business API.
  4. Proveedores de mensajería transaccional, SMS, correo y notificaciones push.
  5. Proveedores de mapas y geolocalización (Google Maps Platform u otros equivalentes).
  6. Proveedores de analítica, atribución y experimentación (Google Analytics, Vercel Analytics, PostHog, Amplitude, Mixpanel, Segment, Hotjar, Clarity u otros equivalentes).
  7. Plataformas publicitarias y de medición (Google Ads, Meta Ads, TikTok Ads, LinkedIn Ads u otras equivalentes), conforme al consentimiento aplicable a finalidades secundarias.
  8. Proveedores de verificación de identidad, KYC, biometría y prevención de fraude.
  9. Proveedores de soporte, atención al cliente, CRM y mesa de ayuda.
  10. Proveedores de facturación electrónica y servicios fiscales (PAC).
  11. Asesores legales, fiscales, contables y auditores sujetos a deber de confidencialidad.
  12. Aseguradoras y peritos cuando sea necesario para gestionar siniestros, incidentes o reclamos.
  13. Sociedades del mismo grupo corporativo o, en su caso, en supuestos de fusión, escisión, adquisición o transmisión de activos, en cuyo caso el adquirente quedará obligado a respetar este Aviso.
  14. Restaurantes, crushes y demás proveedores independientes que participen en la experiencia, conforme a la sección 12.
  15. Autoridades administrativas, judiciales o fiscales cuando sea exigible por ley o por requerimiento fundado y motivado.

Transferencias que no requieren tu consentimiento. Conforme al artículo 37 de la LFPDPPP, las transferencias dentro del mismo grupo corporativo, las necesarias para el cumplimiento de una relación jurídica con el Titular, las requeridas por mandato legal o autoridad competente, las necesarias para protección de derechos del responsable o terceros, las necesarias para reconocer, ejercer o defender un derecho en juicio, y las necesarias para el mantenimiento o cumplimiento de la relación jurídica entre el responsable y el Titular, no requieren consentimiento.

Transferencias que requieren tu consentimiento. Cualquier transferencia distinta de las anteriores se realizará únicamente con tu consentimiento, otorgado mediante las casillas o mecanismos correspondientes.

Transferencias internacionales. Algunos de los terceros mencionados se encuentran fuera de México (especialmente en Estados Unidos y la Unión Europea). DinnerSpot adopta medidas razonables para asegurar que dichos terceros traten los Datos Personales conforme a estándares equivalentes, mediante cláusulas contractuales, adhesión a marcos reconocidos, certificaciones aplicables u otras salvaguardas.

El detalle actualizado de los principales terceros con quienes compartimos datos se encuentra en el Anexo B de este Aviso.


14. Conservación de los Datos Personales

DinnerSpot conservará los Datos Personales durante el tiempo necesario para cumplir las finalidades para las que fueron recabados y, posteriormente, durante los plazos de prescripción aplicables conforme a la legislación civil, mercantil, fiscal, penal y de protección al consumidor, incluyendo, de forma enunciativa:

  1. Datos de la cuenta y perfil: durante la vigencia de la cuenta y por hasta [●] años posteriores a su baja, para fines de soporte, disputas, contracargos, evidencia y cumplimiento legal.
  2. Datos fiscales y comprobantes: por el plazo legal aplicable conforme al Código Fiscal de la Federación (mínimo 5 años).
  3. Datos de pago tokenizados y registros transaccionales: por el plazo requerido por Stripe, la legislación financiera y la prevención de fraude.
  4. Datos KYC: por el plazo requerido por la legislación de prevención de lavado de dinero y por Stripe.
  5. Perfil Efímero del Cliente: los elementos visibles al crush (fotografía y datos del Perfil Efímero) se cierran y dejan de estar disponibles para el crush una vez ejercida la visualización única o transcurrido el plazo previsto en este Aviso (de forma enunciativa, [●] horas/días). DinnerSpot conserva el registro mínimo necesario para soporte, disputas, investigaciones de seguridad y cumplimiento legal, por el plazo previsto en el numeral 8 de esta sección.
  6. Ubicación precisa capturada al check-in afirmativo: por el plazo necesario para soporte, disputas y evidencia, no menor a 5 años desde el cierre operativo de la experiencia, tras lo cual podrá ser anonimizada (sin perjuicio del plazo legal superior aplicable).
  7. Activaciones del Botón de Pánico, expedientes de incidentes y evidencia de egreso entregada por el venue: por el plazo mínimo de 5 (cinco) años desde el cierre del incidente, conforme a 25.4.5 de los Términos, o el plazo legal superior aplicable (incluyendo el plazo de prescripción civil de hasta 10 años).
  8. Mensajes y comunicaciones: durante la vigencia de la cuenta y por hasta [●] años posteriores, para soporte, disputas y obligaciones legales; tratándose de comunicaciones asociadas a incidentes graves, aplicará el plazo del numeral 7.
  9. Datos de cookies, analítica y marketing: conforme a la duración de cada cookie y a la política de retención de cada herramienta utilizada (ver Anexo A).

Evidencia generada dentro del venue. La conservación de la evidencia generada dentro del venue —incluyendo grabaciones de CCTV, fotografías o videos de egreso, libros de incidentes y registros internos del establecimiento— es responsabilidad del propio venue conforme a sus obligaciones legales y al Anexo C6.3 de los Términos. El venue deberá entregarla a DinnerSpot cuando ésta lo requiera para soporte, disputas o investigaciones, y DinnerSpot la conservará conforme a los plazos previstos en esta sección.

Una vez transcurridos los plazos aplicables y una vez que ya no sean necesarios para ninguna finalidad legítima, los Datos Personales serán cancelados, suprimidos, anonimizados o destruidos conforme a la LFPDPPP y al Reglamento.


15. Medidas de seguridad

DinnerSpot implementa medidas administrativas, técnicas y físicas razonables para proteger los Datos Personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado, incluyendo, entre otras:

  1. Cifrado en tránsito (TLS/HTTPS) y, cuando aplique, cifrado en reposo.
  2. Almacenamiento de contraseñas únicamente en formato hasheado.
  3. Tokenización de datos de pago a través de Stripe (estándar PCI-DSS Nivel 1).
  4. Controles de acceso basados en roles (RBAC), autenticación reforzada y registro de auditoría.
  5. Segregación de ambientes (producción, staging, desarrollo).
  6. Monitoreo de seguridad, detección de intrusos y respuesta a incidentes.
  7. Acuerdos de confidencialidad y obligaciones de seguridad con encargados.
  8. Procesos de respuesta a vulneraciones de seguridad conforme a los artículos 20 y 21 del Reglamento de la LFPDPPP.
  9. Medidas técnicas razonables para el Perfil Efímero del Cliente, que pueden incluir, entre otras, bloqueo de capturas de pantalla cuando el sistema operativo lo permita, marcas de agua, expiración temporal y restricción de descarga. Estas medidas son razonables, no absolutas: la Plataforma no puede garantizar la imposibilidad técnica de captura externa (por ejemplo, fotografía de la pantalla con un segundo dispositivo). La protección efectiva descansa, además, en la prohibición contractual prevista en 25.3 de los Términos y en las consecuencias asociadas a su incumplimiento.

A pesar de las medidas anteriores, ningún sistema es absolutamente seguro. En caso de una vulneración de seguridad que afecte de forma significativa los derechos del Titular, DinnerSpot lo notificará conforme a la legislación aplicable.


16. Decisiones automatizadas y perfilamiento

DinnerSpot puede utilizar lógica automatizada, modelos estadísticos o sistemas de inteligencia artificial para:

  1. Recomendar restaurantes, crushes, paquetes y experiencias.
  2. Detectar fraude, abuso, conductas riesgosas, contracargos sospechosos y comportamientos atípicos.
  3. Priorizar resultados de búsqueda y campañas.
  4. Operar antifraude, antibot y verificación de identidad.

Las decisiones que produzcan efectos jurídicos significativos para el Titular (p. ej. suspensión de cuenta, bloqueo de pagos, retención de liquidaciones) se revisan y validan con intervención humana cuando el Titular lo solicite, conforme al procedimiento descrito en la sección 17.


17. Derechos ARCO y revocación del consentimiento

Como Titular, tienes derecho a:

  1. Acceder a tus Datos Personales y conocer su tratamiento.
  2. Rectificar los datos cuando sean inexactos o incompletos.
  3. Cancelar los datos cuando consideres que no se requieren para alguna de las finalidades autorizadas, hayan dejado de ser necesarios o estimes que se están tratando en contravención a la ley.
  4. Oponerte al tratamiento para finalidades específicas, incluidas las secundarias.
  5. Revocar el consentimiento que hayas otorgado para el tratamiento.
  6. Limitar el uso o divulgación de tus datos.
  7. Portabilidad, cuando resulte aplicable conforme a la legislación.

17.1. Cómo ejercer tus derechos

Las solicitudes ARCO y de revocación deben dirigirse al Departamento de Datos Personales mediante:

  1. Correo electrónico a [CORREO PRIVACIDAD] con asunto “Solicitud ARCO”.
  2. Formulario disponible en [DOMINIO]/privacidad.
  3. Escrito presentado en el domicilio del responsable.

La solicitud deberá contener:

  1. Nombre del Titular y medio para comunicarle la respuesta.
  2. Documentos que acrediten la identidad del Titular o, en su caso, la representación legal.
  3. Descripción clara y precisa de los datos respecto de los cuales se ejerce el derecho.
  4. Cualquier otro elemento que facilite la localización de los datos.
  5. En su caso, las modificaciones a realizarse o los términos de la oposición.

17.2. Plazos de respuesta

DinnerSpot responderá en un plazo máximo de 20 días hábiles contados a partir de la recepción de la solicitud, prorrogable una sola vez por un plazo igual cuando las circunstancias lo justifiquen. Cuando la solicitud resulte procedente, se hará efectiva en un plazo máximo de 15 días hábiles posteriores a la fecha en que se comunique la respuesta.

17.3. Costos

El ejercicio de los derechos ARCO y la revocación del consentimiento son gratuitos. Únicamente podrá cobrarse el costo justificado de envío, reproducción o certificación de documentos, conforme al artículo 35 de la LFPDPPP.

17.4. Limitaciones

El derecho de cancelación, oposición o revocación no procederá cuando el tratamiento sea necesario para:

  1. Cumplir una obligación legal de DinnerSpot (especialmente fiscal, contable o de prevención de fraude).
  2. Atender un requerimiento de autoridad competente.
  3. Reconocer, ejercer o defender un derecho en juicio.
  4. Cumplir una relación jurídica vigente con el Titular.
  5. Tratamientos cuya supresión pondría en riesgo la seguridad, integridad o disponibilidad de la Plataforma o de terceros.

En estos supuestos, DinnerSpot informará el motivo y, cuando sea factible, ofrecerá medidas alternativas como bloqueo, acceso limitado o anonimización.

El detalle del procedimiento ARCO se encuentra en el Anexo E de este Aviso.


18. Limitación del uso o divulgación

Adicionalmente a los derechos ARCO, podrás solicitar la limitación del uso o divulgación de tus Datos Personales, mediante el mismo procedimiento de la sección 17.

DinnerSpot mantendrá un listado de exclusión publicitaria interno para registrar a los Titulares que hayan solicitado dejar de recibir comunicaciones promocionales o que no se utilicen sus datos para finalidades secundarias. Adicionalmente, podrás registrarte en el Registro Público de Consumidores (REPEP) de la PROFECO si así lo deseas.


19. Menores de edad

DinnerSpot está dirigido exclusivamente a personas mayores de edad conforme a la legislación aplicable (mínimo 18 años cumplidos). DinnerSpot no recaba intencionalmente Datos Personales de menores de edad. Si tomamos conocimiento de que se han recabado Datos Personales de un menor sin la autorización correspondiente, procederemos a su cancelación.

Si eres padre, madre, tutor o representante legal y consideras que un menor ha proporcionado Datos Personales a DinnerSpot, contáctanos al Departamento de Datos Personales para gestionar la cancelación.


20. Cambios al Aviso de Privacidad

DinnerSpot podrá modificar este Aviso de Privacidad en cualquier momento.

Cualquier modificación sustancial será comunicada al Titular mediante:

  1. Publicación de la versión actualizada en [DOMINIO]/privacidad.
  2. Aviso destacado dentro de la Plataforma.
  3. Correo electrónico al correo registrado, cuando aplique.

La fecha de “Última actualización” reflejará la versión vigente. El uso continuado de la Plataforma después de la entrada en vigor de los cambios implica la aceptación del Aviso modificado, sin perjuicio del derecho del Titular a manifestar su oposición o, en su caso, dar de baja su cuenta.


21. INAI y autoridades competentes

Si consideras que tu derecho a la protección de Datos Personales ha sido vulnerado por alguna conducta u omisión de DinnerSpot, o presumes alguna violación a la LFPDPPP, su Reglamento y demás normativa aplicable, podrás interponer la queja o denuncia correspondiente ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI):

  • Sitio web: https://home.inai.org.mx
  • Para mayor información, sugerimos visitar el sitio del INAI.

22. Legislación aplicable y jurisdicción

Este Aviso de Privacidad se rige por la LFPDPPP, su Reglamento, los Lineamientos del Aviso de Privacidad y demás disposiciones aplicables emitidas por el INAI. Para todo lo relativo a su interpretación y cumplimiento, las partes se someten a la jurisdicción de los tribunales competentes de [CIUDAD/ESTADO], sin perjuicio de los derechos irrenunciables del Titular y de la facultad de acudir al INAI.


23. Contacto

Para cualquier duda, comentario, queja o solicitud relacionada con este Aviso de Privacidad o con el tratamiento de tus Datos Personales:

Departamento de Datos Personales / Oficial de Privacidad

Correo: [CORREO PRIVACIDAD]

Sitio web: [DOMINIO]/privacidad

Domicilio: [DOMICILIO]


Anexo A: Detalle de cookies, pixeles y tecnologías similares

Este Anexo lista, de forma enunciativa y no limitativa, las principales Cookies y Tecnologías Similares utilizadas por DinnerSpot. La lista actualizada y el panel de gestión están disponibles en [DOMINIO]/privacidad/cookies.

A1. Estrictamente necesarias

TecnologíaFinalidadOperador
Cookie de sesión / token de autenticaciónMantener la sesión iniciada y prevenir CSRFDinnerSpot
Cookie de balanceo de cargaDistribuir tráfico entre servidoresProveedor de infraestructura
Almacenamiento local de carrito y reservación en cursoConservar el flujo de reservación durante la sesiónDinnerSpot

A2. De preferencias

TecnologíaFinalidadOperador
Idioma, ciudad, formatoRecordar preferencias del usuarioDinnerSpot

A3. De desempeño y analítica

TecnologíaFinalidadOperador
Google Analytics 4Métricas de uso y desempeñoGoogle LLC
Vercel Analytics / Speed InsightsMétricas de rendimientoVercel Inc.
[PostHog / Amplitude / Mixpanel / Segment, según corresponda]Analítica de producto y experimentaciónEncargado correspondiente
[Hotjar / Clarity, según corresponda]Mapas de calor y grabación de sesión anonimizadaEncargado correspondiente

A4. De publicidad y marketing

TecnologíaFinalidadOperador
Meta PixelAtribución, audiencias y medición publicitaria en Facebook, Instagram y WhatsApp AdsMeta Platforms, Inc.
Google Ads / FloodlightAtribución y medición en Google Ads y Display & Video 360Google LLC
TikTok PixelAtribución y medición en TikTok AdsTikTok Inc.
LinkedIn InsightAtribución y medición en LinkedIn AdsLinkedIn Corp.

A5. De integración con terceros

TecnologíaFinalidadOperador
Google Maps PlatformMapas y geolocalizaciónGoogle LLC
Stripe.js / Stripe ElementsCaptura segura de datos de pagoStripe
WhatsApp Business API (via BSP)Mensajería operativa y promocionalWhatsApp LLC / BSP

Anexo B: Encargados y terceros con quienes compartimos Datos Personales

Tercero / EncargadoFinalidadTipo de relaciónUbicación principal
Stripe, Inc. / Stripe Payments Mexico, S. de R.L. de C.V.Procesamiento de pagos, Cuentas Conectadas, KYC, antifraude, cumplimientoEncargado / responsable propioEE. UU. / México
Meta Platforms, Inc. / WhatsApp LLCWhatsApp Business API, publicidad y mediciónEncargado / responsable propioEE. UU.
Google LLCMapas, analítica, publicidad y mediciónEncargado / responsable propioEE. UU.
TikTok Inc.Publicidad y mediciónResponsable propioEE. UU. / Singapur
Vercel Inc.Hosting, edge, analítica de rendimientoEncargadoEE. UU.
[Proveedor BSP de WhatsApp]Operación de WhatsApp Business APIEncargado[Ubicación]
[Proveedor de correo transaccional]Envío de correos transaccionalesEncargado[Ubicación]
[Proveedor de SMS / push]Envío de SMS y notificaciones pushEncargado[Ubicación]
[Proveedor de verificación de identidad / KYC]Verificación de identidad y biometríaEncargado[Ubicación]
[Proveedor de soporte / CRM]Atención al clienteEncargado[Ubicación]
[PAC de facturación]Emisión de CFDIEncargadoMéxico
Asesores legales, fiscales, contables y auditoresAsesoría profesionalEncargados sujetos a confidencialidadMéxico
Sociedades del mismo grupo corporativoOperación internaTransferencia exenta de consentimiento[Ubicaciones]
Autoridades competentesCumplimiento de mandatos legalesTransferencia legalmente exigidaMéxico

Anexo C: Disposiciones específicas para crushes independientes

Como crush independiente que participa en DinnerSpot, además de las disposiciones generales del Aviso, reconoces que:

  1. Tu nombre, fotografía, biografía, ciudad, idiomas, intereses, disponibilidad y demás datos del perfil son visibles dentro de la Plataforma con la finalidad de operar el marketplace.
  2. Tu identidad es verificada por DinnerSpot conforme a la sección 25.2 de los Términos (verificación manual y presencial mediante identificación oficial, entrevista y revisión de antecedentes razonablemente disponibles). DinnerSpot podrá implementar a futuro mecanismos automatizados de verificación, incluyendo biometría facial, previo consentimiento expreso del Titular.
  3. Los datos KYC, fiscales y bancarios necesarios para habilitar tu Cuenta Conectada son recabados y tratados por Stripe conforme a su propia política de privacidad.
  4. Eres responsable de las obligaciones fiscales correspondientes a los ingresos recibidos en tu Cuenta Conectada y de mantener actualizada tu información fiscal.
  5. Para cada reservación que requiera tu confirmación, DinnerSpot te pondrá a la vista, en modalidad de visualización única (single-view), el Perfil Efímero del Cliente (fotografía, datos básicos e historial resumido), exclusivamente para que decidas aceptar o rechazar la experiencia. Te está estrictamente prohibido capturar, copiar, descargar, reproducir, difundir o conservar fuera de la Plataforma cualquier elemento del Perfil Efímero. El incumplimiento dará lugar a las consecuencias previstas en los Términos y a las acciones legales que procedan.
  6. La ubicación precisa de tu dispositivo se captura puntualmente al realizar el check-in afirmativo de la experiencia (sección 25.4 de los Términos), conforme a la sección 9 de este Aviso. No existe geofencing pasivo ni rastreo continuo.
  7. La Plataforma conservará registros operativos relevantes (mensajería interna, check-ins afirmativos, activaciones del Botón de Pánico, reportes, registros de pago) por los plazos previstos en la sección 14 del Aviso, incluyendo el plazo mínimo de 5 años aplicable a activaciones del Botón de Pánico y expedientes de incidentes.
  8. No utilizarás los datos de los clientes obtenidos con motivo de una experiencia para fines distintos a los de la prestación del servicio reservado, conforme a los Términos, ni los utilizarás para contactar al cliente fuera de la Plataforma.

Anexo D: Disposiciones específicas para restaurantes y venues

Como restaurante o venue que participa en DinnerSpot, además de las disposiciones generales del Aviso, reconoces que:

  1. Los datos del establecimiento (nombre comercial, dirección, fotografías, menú, paquetes, horarios, reseñas) son visibles dentro de la Plataforma con la finalidad de operar el marketplace, junto con la ficha de capacidades de seguridad y el nivel del venue declarados conforme al Anexo C6 de los Términos.
  2. Los datos KYC, fiscales y bancarios necesarios para habilitar tu Cuenta Conectada son recabados y tratados por Stripe conforme a su propia política de privacidad.
  3. Recibirás únicamente los Datos Personales del cliente estrictamente necesarios para coordinar y ejecutar la experiencia reservada, y te obligas a tratarlos exclusivamente para esa finalidad y conforme a la LFPDPPP.
  4. No podrás contactar al cliente o al crush por canales propios para evadir la Plataforma en experiencias originadas en DinnerSpot, ni utilizar sus datos para fines de marketing propio sin consentimiento independiente del Titular.
  5. Eres responsable independiente del tratamiento que des a los Datos Personales que recabes directamente dentro de tu establecimiento (videovigilancia/CCTV, programas de lealtad propios, encuestas, etc.), así como de la conservación de la evidencia generada dentro del venue —fotografías o videos de egreso al activarse el Botón de Pánico, grabaciones de CCTV, libros de incidentes y registros internos— conforme a tus obligaciones legales y al Anexo C6 de los Términos.
  6. Cuando se active el Botón de Pánico, el gerente en turno recibirá la notificación correspondiente vía WhatsApp Business API (o canal equivalente acordado) y deberá ejecutar el protocolo previsto en 25.5 de los Términos, incluyendo la captura y entrega a DinnerSpot de la evidencia de egreso (fotografía o video) en el alcance correspondiente al nivel del venue.
  7. Colaborarás con DinnerSpot, en lo razonable, ante solicitudes ARCO, disputas, contracargos, requerimientos de autoridades y procedimientos de seguridad, entregando la evidencia interna que se requiera para soporte o investigación.

Anexo E: Procedimiento detallado para ejercer derechos ARCO

  1. Presentación de la solicitud. Envío de la solicitud al Departamento de Datos Personales por los medios indicados en la sección 17.1, acompañada de:
    • Identificación oficial vigente del Titular o de su representante legal.
    • En su caso, poder simple firmado ante dos testigos cuando se actúe a través de representante.
    • Descripción clara de los datos y derecho que se ejerce.
    • Medio de contacto para recibir la respuesta.
  2. Acuse. DinnerSpot acusará recibo en un plazo no mayor a 5 días hábiles.
  3. Prevención. Si la solicitud no cumple los requisitos legales, DinnerSpot podrá requerir, dentro de los 5 días hábiles siguientes a la recepción, que se subsane en un plazo de 10 días hábiles. De no subsanarse, la solicitud se tendrá por no presentada.
  4. Respuesta. DinnerSpot responderá la solicitud en un plazo no mayor a 20 días hábiles, prorrogable una sola vez por igual plazo. La respuesta se enviará al medio de contacto indicado.
  5. Ejecución. Cuando la solicitud sea procedente, se hará efectiva dentro de los 15 días hábiles siguientes a la fecha de la respuesta.
  6. Negativa. Cuando la solicitud sea improcedente, total o parcialmente, DinnerSpot informará los motivos y, cuando sea factible, ofrecerá medidas alternativas (bloqueo, acceso limitado, anonimización).
  7. Recurso ante el INAI. Si el Titular considera que la respuesta es insatisfactoria o que sus derechos no fueron debidamente atendidos, podrá interponer el recurso de protección de derechos ante el INAI dentro de los 15 días hábiles siguientes a la fecha en que reciba la respuesta o concluya el plazo legal sin obtenerla.

Anexo F: Resumen de consentimientos solicitados

Para mayor claridad, DinnerSpot solicita los siguientes consentimientos específicos, adicionales a la aceptación general de este Aviso:

  1. Permiso de ubicación precisa (GPS) del sistema operativo, para búsqueda por cercanía y para la captura puntual de ubicación en el check-in afirmativo y, en su caso, al activar el Botón de Pánico.
  2. Consentimiento expreso para el Perfil Efímero del Cliente (cuando reserves una experiencia con crush): autorizas que tus fotografías y datos básicos se hagan visibles al crush asignado en modalidad de visualización única para que decida aceptar o rechazar tu reserva, conforme a la sección 25.3 de los Términos.
  3. Consentimiento expreso para el protocolo del Botón de Pánico (cuando reserves una experiencia con crush): autorizas que, ante una activación, se ejecute el protocolo de la sección 25.5 de los Términos, incluyendo la captura por el venue de fotografía o video que documente tu salida segura del establecimiento y su entrega a DinnerSpot.
  4. Consentimiento expreso para datos biométricos faciales, únicamente cuando DinnerSpot implemente un proveedor de verificación automatizada de identidad.
  5. Consentimiento para finalidades secundarias (marketing, personalización de publicidad, audiencias en plataformas de terceros), gestionable desde tu cuenta y desde el panel de cookies.
  6. Consentimiento para cookies de desempeño, marketing e integración, mediante el banner y el panel de gestión de cookies.
  7. Aceptación de comunicaciones por WhatsApp Business API (operativas siempre, incluyendo notificaciones al gerente del venue ante activaciones del Botón de Pánico; promocionales sujetas a la sección 7).
  8. Autorización para que Stripe trate tus datos conforme a su propia política, como condición para procesar pagos y, en su caso, habilitar Cuentas Conectadas.

La activación o desactivación de cada consentimiento puede realizarse desde Configuración > Privacidad y comunicaciones dentro de la Plataforma o desde los ajustes del sistema operativo según corresponda. La negativa a los consentimientos 2 y 3 impide la confirmación de reservaciones que involucren a un crush.

¿Tienes dudas sobre nuestra política de privacidad?

Si tienes preguntas sobre cómo manejamos tus datos personales, contáctanos a través de nuestro servicio de soporte.

Ir a soporte

Acerca de nosotros

  • Terminos y condiciones
  • Privacidad
  • Restaurantes
  • Acerca de nosotros
  • Eliminar mi cuenta
  • Conviértete en Crush

Contáctanos

+525632794987[email protected]
VISA
AMEX