Aviso de Privacidad

El responsable del tratamiento de los datos personales es KRZ Systems, operadora de la plataforma comercializada bajo la marca Boleti.mx.

• Razón social: KRZ Systems (denominación social y datos de inscripción RPC disponibles a solicitud).
• Domicilio: Corporativo Torre A, Mz 004, Residencial Lomas de Sotelo, C.P. 53390, Naucalpan de Juárez, Estado de México, México.
• Sitio: https://boleti.mx
• Correo del responsable: legal@boleti.mx
• Oficial de Protección de Datos (DPO) / Privacy Officer: privacidad@boleti.mx
• Teléfono de atención de derechos: +52 55 6133 0723.

Para cualquier aclaración, ejercicio de derechos o consulta relacionada con este Aviso de Privacidad, el canal oficial es privacidad@boleti.mx. Respondemos en un plazo máximo de 20 días hábiles conforme a los plazos establecidos por la nueva LFPDPPP 2025, y antes en otras jurisdicciones cuando sea exigible (por ejemplo, GDPR contempla 30 días naturales prorrogables).

Recabamos las siguientes categorías de datos personales, agrupadas según su titular y finalidad:

Importante: respecto a los datos de pasajeros del inciso B, Boleti.mx actúa como encargado (processor), no como responsable. El operador es el responsable directo frente a sus pasajeros y debe contar con su propio Aviso de Privacidad. Boleti.mx procesa estos datos exclusivamente bajo instrucción del operador y conforme al contrato de prestación de servicios.

Finalidades primarias (necesarias para la relación contractual y para las que no se requiere consentimiento adicional):

• Crear y administrar la cuenta del operador en la plataforma.
• Proveer las funcionalidades contratadas: taquilla, ventas web, WhatsApp Business, programa de lealtad, reportes, panel administrativo.
• Procesar pagos de la suscripción a través de Stripe y emitir facturas conforme al CFF.
• Brindar soporte técnico y atención a usuarios por los canales habilitados.
• Mantener la seguridad de la plataforma: prevención de fraude, detección de uso indebido, monitoreo de integridad.
• Cumplir con obligaciones legales aplicables (fiscales, contables, laborales, regulatorias).
• Notificar incidentes de seguridad cuando la ley lo exija.

Finalidades secundarias (requieren consentimiento expreso y pueden rechazarse en cualquier momento sin afectar la prestación del servicio principal):

• Envío de comunicaciones comerciales sobre nuevos productos, mejoras o promociones de Boleti.mx.
• Análisis estadístico agregado y estudios de mercado (de forma anonimizada cuando sea posible).
• Mejoras de producto basadas en patrones de uso.
• Invitaciones a programas beta, encuestas o testimonios de clientes.

Puedes oponerte al tratamiento para finalidades secundarias enviando un correo a privacidad@boleti.mx o desde la sección de preferencias dentro de tu cuenta. La negativa no condiciona el acceso al servicio.

Para operar la plataforma, transferimos datos a terceros estrictamente necesarios. Cada uno cuenta con cláusulas de protección de datos contractualmente exigidas y, cuando corresponde, se sujeta a Cláusulas Contractuales Tipo (SCC) de la Comisión Europea.

• Stripe Inc. / Stripe Payments Europe (Estados Unidos / Irlanda) — procesamiento de pagos y facturación recurrente. Certificación PCI-DSS Nivel 1. Base legal: ejecución de contrato.
• Meta Platforms, Inc. / WhatsApp Ireland (Estados Unidos / Irlanda) — envío y recepción de mensajes a pasajeros vía WhatsApp Business Cloud API. Base legal: ejecución de contrato e interés legítimo del operador.
• Google LLC / Google Maps Platform (Estados Unidos) — geocodificación, rutas y estimación de tiempos de viaje. Base legal: ejecución de contrato.
• Microsoft Corporation / Azure (Datacenter primario: México Central; respaldo: East US 2) — hosting del backend, base de datos PostgreSQL, almacenamiento de blobs, claves criptográficas. Base legal: ejecución de contrato. Microsoft Azure cuenta con certificaciones ISO 27001, SOC 2 Tipo II, ISO 27018.
• Vercel Inc. (Estados Unidos, edge network global) — hosting del frontend público y la consola del operador. Base legal: ejecución de contrato.
• Resend / SendGrid (Twilio Inc.) (Estados Unidos) — envío de correos transaccionales. Base legal: ejecución de contrato.
• Sentry / Datadog (Estados Unidos) — monitoreo de errores y observabilidad agregada. Datos pseudonimizados. Base legal: interés legítimo.

No vendemos ni alquilamos datos personales a terceros con fines publicitarios. Cualquier transferencia adicional será notificada y, cuando proceda, requerirá tu consentimiento.

Como titular de datos personales, en México tienes derecho a:

• Acceso: conocer qué datos tuyos tenemos y cómo los usamos.
• Rectificación: corregir datos inexactos o incompletos.
• Cancelación: solicitar la supresión de tus datos cuando ya no sean necesarios.
• Oposición: oponerte al tratamiento para finalidades específicas.

Adicionalmente, reconocemos los siguientes derechos cuando la ley aplicable los contemple:

• Portabilidad: recibir tus datos en formato estructurado, comúnmente utilizado y de lectura mecánica (JSON o CSV), y transmitirlos a otro responsable.
• Revocación del consentimiento: retirar en cualquier momento el consentimiento otorgado para finalidades secundarias.
• Limitación del tratamiento: restringir el uso mientras se atiende una solicitud o controversia.
• No ser objeto de decisiones automatizadas: cuando produzcan efectos jurídicos significativos.

Cómo ejercerlos: envía un correo a privacidad@boleti.mx desde la cuenta registrada, indicando: (i) tu nombre y forma de acreditar identidad, (ii) descripción clara y precisa del derecho que ejerces, (iii) los datos personales sobre los que recae, (iv) tu domicilio o medio de contacto para la respuesta. Atendemos la solicitud en máximo 20 días hábiles conforme a la nueva LFPDPPP 2025. Si requieres prueba de identidad reforzada, podríamos pedirte un documento oficial.

En caso de no estar conforme con la respuesta, puedes acudir a la Secretaría Anticorrupción y Buen Gobierno (SABG) del gobierno federal de México — autoridad de control que asumió las funciones del extinto INAI a partir del 21 de marzo de 2025 — en https://www.gob.mx/buengobierno, o a la autoridad de control de tu jurisdicción.

Boleti.mx utiliza cookies, almacenamiento local (localStorage, sessionStorage), pixeles y fingerprints anti-fraude para:

• Mantener la sesión iniciada (cookies estrictamente necesarias).
• Recordar preferencias (idioma, zona horaria, tema visual).
• Medir tráfico y uso de manera agregada.
• Detectar comportamiento anómalo o fraudulento.
• Mostrar contenido contextual al país desde el que accedes.

Los detalles, incluyendo la lista categorizada de cookies, los proveedores y los plazos de conservación, están en nuestra Política de Cookies disponible en /cookies. Puedes ajustar tus preferencias desde el centro de consentimiento o desde la configuración de tu navegador. Las cookies estrictamente necesarias no requieren consentimiento, conforme a la práctica reconocida por GDPR (Reglamento e-Privacy) y la LFPDPPP.

Aplicamos controles administrativos, físicos y técnicos proporcionales a la sensibilidad de los datos:

• Cifrado en reposo: AES-256 para bases de datos, blob storage y respaldos.
• Cifrado en tránsito: TLS 1.3 obligatorio en todos los endpoints; HSTS habilitado.
• Autenticación: contraseñas con hash Argon2id, segundo factor (TOTP) obligatorio para roles administrativos, soporte para WebAuthn (passkeys).
• Tokens: JWT firmados con rotación automática y blacklist por sesión.
• Aislamiento multi-tenant: Row-Level Security (RLS) nativa de PostgreSQL — cada operador solo ve sus datos, sin posibilidad técnica de cruce.
• Auditoría: todos los movimientos críticos (CRUD sobre entidades de negocio, accesos administrativos, cambios de configuración) se registran en bitácora inmutable con diff campo-por-campo y se conservan al menos 5 años.
• Backups cifrados: diarios, geo-redundantes, con prueba de restauración trimestral.
• Pruebas de seguridad: análisis estático de código (SAST), análisis dinámico (DAST), escaneo de dependencias, pentest anual por terceros independientes.
• Respuesta a incidentes: plan documentado, equipo on-call 24/7. En caso de brecha que afecte datos personales, notificamos a la autoridad y a los titulares conforme al artículo 20 de la LFPDPPP y al GDPR (72 horas).

Ningún sistema está libre de riesgo. Si detectas una vulnerabilidad, repórtala a security@boleti.mx; respetamos un programa de divulgación responsable (90 días).

Conservamos los datos personales durante el plazo necesario para cumplir las finalidades del tratamiento y, posteriormente, durante los plazos legales aplicables:

• Datos de cuenta y transaccionales: durante toda la relación contractual + 5 años posteriores a la terminación, conforme al artículo 67 del Código Fiscal de la Federación (CFF) que rige la conservación de documentación contable y fiscal en México. Plazos equivalentes aplican en otros países (por ejemplo, 5 años en Brasil bajo CT-e, 6 años en Canadá).
• Datos de pasajeros (modo encargado): durante el plazo que el operador instruya en su propia política, con un mínimo de 3 años para garantizar trazabilidad fiscal del boleto vendido.
• Logs técnicos y de auditoría: 5 años mínimo, anonimizados a partir del segundo año cuando sea posible.
• Datos para finalidades secundarias: hasta que retires el consentimiento.
• Backups: se conservan hasta 90 días y luego se rotan.

Una vez vencido el plazo, procedemos al borrado seguro (sobreescritura con patrón aleatorio + reciclado del bloque) o a la anonimización irreversible cuando los datos puedan ser útiles de forma agregada para mejorar el servicio. El derecho al olvido (RTBF) se ejecuta dentro de los 30 días de recibida la solicitud, salvo que una obligación legal exija conservación adicional, en cuyo caso se documenta y se notifica al titular.

Boleti.mx es una plataforma B2B dirigida exclusivamente a operadores profesionales de transporte y a sus colaboradores adultos. No está dirigida a menores de edad y no recabamos intencionalmente datos personales de personas menores de 18 años (16 años en algunas jurisdicciones).

Los datos de pasajeros menores de edad que el operador llegara a capturar en sistema (por ejemplo, fecha de nacimiento de un pasajero) son tratados por Boleti.mx en calidad de encargado, bajo la responsabilidad del operador, quien debe contar con el consentimiento del padre, madre o tutor conforme a las leyes de protección a la infancia aplicables (LFPDPPP, COPPA en EE. UU., GDPR-K en la UE, ECA en Brasil, entre otras).

Si crees que un menor nos ha proporcionado datos sin autorización, contáctanos a privacidad@boleti.mx y los eliminaremos de inmediato.

Boleti.mx es una plataforma operada desde México por KRZ Systems. La ley primaria aplicable a este Aviso de Privacidad es la nueva LFPDPPP de 2025 y la normativa que emita la Secretaría Anticorrupción y Buen Gobierno (SABG), autoridad de control en México. Adicionalmente, reconocemos y nos sujetamos a las siguientes legislaciones cuando los titulares de los datos residan en sus respectivas jurisdicciones:

• Argentina: Ley 25.326 de Protección de Datos Personales y normativa de la Agencia de Acceso a la Información Pública (AAIP).
• Brasil: Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) y resoluciones de la Autoridade Nacional de Proteção de Dados (ANPD).
• Colombia: Ley 1581 de 2012, Decreto 1377 de 2013 y normativa de la Superintendencia de Industria y Comercio (SIC).
• Chile: Ley 19.628 sobre Protección de la Vida Privada y la nueva Ley Marco de Datos Personales.
• Perú: Ley 29.733 de Protección de Datos Personales y su Reglamento.
• Estados Unidos (marco estatal aplicable): California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA), Virginia Consumer Data Protection Act (VCDPA), Colorado Privacy Act (CPA), Texas Data Privacy and Security Act (TDPSA), entre otras leyes estatales emergentes.
• Canadá: Personal Information Protection and Electronic Documents Act (PIPEDA) y leyes provinciales (Quebec Law 25, Alberta PIPA, BC PIPA).
• Unión Europea / Reino Unido (cuando aplique): Reglamento General de Protección de Datos (GDPR) y UK GDPR. Las transferencias desde la UE/UK hacia México se realizan bajo Cláusulas Contractuales Tipo (SCC) y, cuando corresponda, evaluaciones de impacto de transferencia (TIA).

En caso de conflicto entre disposiciones, prevalece la norma que otorgue mayor protección al titular.

Podemos actualizar este Aviso de Privacidad cuando lo exija la ley, cuando se modifiquen finalidades del tratamiento, cuando incorporemos nuevos proveedores relevantes o cuando mejoremos los controles de seguridad.

La fecha de la última versión aparece al inicio del documento. Cualquier cambio sustancial será comunicado con al menos 30 días naturales de anticipación mediante:

• Correo electrónico al contacto principal de cada cuenta activa.
• Banner destacado dentro de la plataforma al iniciar sesión.
• Publicación de la nueva versión en https://boleti.mx/aviso-de-privacidad con marca de fecha.

Mantenemos un histórico de versiones disponible bajo solicitud al DPO. El uso continuado del servicio tras la fecha de entrada en vigor implica aceptación de la nueva versión, salvo que ejerzas oportunamente tu derecho de oposición.

Para ejercer derechos, plantear consultas o reportar incidentes, los canales son:

• DPO de Boleti.mx: privacidad@boleti.mx
• Asuntos legales: legal@boleti.mx
• Seguridad y vulnerabilidades: security@boleti.mx
• Domicilio: Corporativo Torre A, Mz 004, Residencial Lomas de Sotelo, C.P. 53390, Naucalpan de Juárez, Estado de México, México.

Si consideras que tu derecho a la protección de datos personales no fue atendido adecuadamente, puedes presentar una denuncia ante la autoridad de control que corresponda a tu jurisdicción:

• México (SABG — Secretaría Anticorrupción y Buen Gobierno): https://www.gob.mx/buengobierno — autoridad de control que asumió las funciones del extinto INAI a partir del 21 de marzo de 2025.
• Brasil (ANPD): https://www.gov.br/anpd
• Argentina (AAIP): https://www.argentina.gob.ar/aaip
• Colombia (SIC): https://www.sic.gov.co
• Chile (Consejo para la Transparencia): https://www.consejotransparencia.cl
• Perú (ANPD-Perú): https://www.gob.pe/anpd
• Unión Europea: autoridad nacional correspondiente al lugar de residencia.
• Estados Unidos (California — CPPA): https://cppa.ca.gov
• Canadá (OPC): https://www.priv.gc.ca

Nos comprometemos a colaborar de buena fe con cualquier autoridad de control y a responder dentro de los plazos legales.