Rewarda legal

Política de privacidad

Esta política describe cómo Rewarda trata datos personales cuando opera como plataforma SaaS para reservas, clientes, pagos, mensajería y fidelización. También resume los controles técnicos hoy visibles en la aplicación.

Última actualización: 2 de abril de 2026Versión: 2026-04

1. Roles de tratamiento

En la operación B2B de Rewarda, el negocio cliente actúa como responsable respecto de los datos de sus clientes, pacientes o alumnos. Rewarda actua como encargado/procesador para prestar la plataforma, manteniendo controles de acceso, registros de consentimientos, exportación y supresión asistida desde el dashboard.

Cuando Rewarda trata datos propios del sitio, facturacion o soporte comercial, puede actuar como responsable independiente para esas finalidades específicas.

2. Categorías de datos

Datos de cuenta y negocio

Nombre del negocio, slug, usuarios autorizados, roles, email, teléfono y datos de facturación.

Datos de clientes y pacientes

Nombre, email, teléfono, identificadores internos, notas operativas, historial de citas, consentimientos y preferencias de comunicación.

Datos de agenda y servicio

Servicios, horarios, profesionales, sucursales, reglas de disponibilidad, reprogramaciones y estados de reserva.

Datos de pago

Monto, medio de pago, estado, referencia externa, proveedor, webhook asociado y conciliacion operativa.

Datos técnicos y de seguridad

IP, device id, user agent resumido, logs de acceso, incidentes de seguridad, rate limits y eventos de auditoría.

3. Finalidades y bases legales

FinalidadBase legal
Prestar la plataforma, autenticar usuarios y operar reservasEjecución del contrato con el negocio cliente.
Procesar cobros, conciliaciones y prevenir fraudeEjecución del contrato e interés legítimo en seguridad y continuidad operativa.
Enviar mensajes transaccionales y recordatoriosEjecución del contrato; consentimiento cuando el canal o el contenido lo requiera.
Medir marketing y cargar tags publicitariosConsentimiento del visitante cuando se habilitan integraciones de analytics o ads.
Cumplir obligaciones legales, fiscales y requerimientos de autoridadCumplimiento de obligaciones legales aplicables.

4. Retención y minimización

Cuenta del negocio y configuraciones

Durante la relación contractual y hasta 24 meses después del cierre, salvo obligación legal mayor.

Clientes, pacientes, agenda e historial operativo

Mientras el negocio mantenga activa la cuenta o hasta que solicite supresión/exportación, sujeto a bloqueos legales o contractuales.

Transacciones y conciliacion de pagos

Hasta 7 años o el plazo fiscal/contable exigible en la jurisdicción aplicable.

Registros de consentimientos

Mientras el consentimiento siga siendo relevante y por hasta 5 años para fines de auditoría.

Logs técnicos e incidentes de seguridad

Entre 90 días y 12 meses según criticidad, investigación abierta o requerimiento forense.

5. Subprocesadores y transferencias

Rewarda usa proveedores especializados para infraestructura, correo y cobros. Si el negocio habilita integraciones adicionales, esos vendors también pueden tratar datos técnicos o de pago bajo sus propios términos.

Supabase

Infraestructura de base de datos, auth, storage y APIs administrativas

Datos: Datos de cuenta, clientes, agenda, consentimientos, logs y configuración.

Transferencias: Transferencias internacionales sujetas a los términos del proveedor y medidas contractuales aplicables.

Resend

Envío de correo transaccional

Datos: Email del destinatario, asunto, plantillas y metadatos de entrega.

Transferencias: Transferencias internacionales segun la infraestructura del proveedor.

Mercado Pago

Procesamiento de cobros y eventos de pago

Datos: Monto, referencia externa, estado del pago e identificadores de transacción.

Transferencias: Procesamiento según la región/cuenta configurada por el negocio.

Stripe

Procesamiento de checkout y webhooks de pago

Datos: Metadata comercial, payment intent, estado de checkout e identificadores de pago.

Transferencias: Transferencias internacionales segun la infraestructura del proveedor.

Lemon Squeezy

Checkout y suscripciones para ciertos productos digitales

Datos: Datos básicos de compra, variantes, suscripción y referencias de webhook.

Transferencias: Transferencias internacionales segun la infraestructura del proveedor.

Meta / WhatsApp Business Platform

Mensajería transaccional y automatizaciones por WhatsApp

Datos: Número de teléfono, contenido de mensaje, plantillas y eventos de entrega.

Transferencias: Transferencias internacionales segun la infraestructura del proveedor.

Upstash Redis

Rate limiting distribuido y datos efímeros de control

Datos: Claves técnicas, contadores y metadatos limitados de request.

Transferencias: Transferencias internacionales segun la infraestructura del proveedor.

Para contratos con exigencias adicionales de cumplimiento, revisa también el anexo DPA versión 2026-04.

6. Seguridad y aislamiento multi-tenant

Aislamiento lógico por negocio y controles de acceso en rutas de dashboard.
Firma y validación de webhooks para Stripe, Mercado Pago y otros proveedores compatibles.
Controles de idempotencia y conciliación para registrar transacciones sin duplicados.
Cookies de sesión `httpOnly`, `sameSite` y `secure` en producción para flujos sensibles.
Registro de incidentes de seguridad, rate limiting y alertas a administradores internos.
Headers de endurecimiento, CSP, HSTS, anti-clickjacking y permisos restringidos a nivel de app.

Rewarda complementa estas medidas con registros de incidentes de seguridad y validaciones firmadas para webhooks de pago. Las evaluaciones OWASP, pentests externos y controles de hardening continuo forman parte del backlog de seguridad y deben ejecutarse por ciclo de release, no solo reflejarse en esta política.

7. Derechos ARCO / DSR

Los titulares pueden solicitar acceso, rectificación, supresión, limitación u oposición, así como exportar información cuando corresponda. El negocio cliente puede gestionar solicitudes operativas desde el dashboard o escalarlas a Rewarda cuando requiera soporte técnico.

  • Acceso a una copia de los datos personales disponibles en Rewarda.
  • Rectificación de datos inexactos o incompletos.
  • Supresión, bloqueo o limitación del tratamiento cuando proceda.
  • Portabilidad/exportación de los datos del cliente desde el dashboard.
  • Oposición o retiro de consentimientos para canales no esenciales.

Canal de contacto para privacidad y DSR: contacto@rewarda.app. Indica el negocio, el identificador del titular y la solicitud concreta para acelerar la atención.

8. Pagos y proveedores externos

Los pagos no son procesados exclusivamente por Rewarda. Cada flujo depende del proveedor activado por el negocio y de sus webhooks firmados, conciliación e idempotencia para reflejar el estado real del cobro.

Mercado Pago

Cobros locales, webhooks de pagos y conciliación de citas/órdenes.

Stripe

Checkout session, planes y confirmación asíncrona por webhook firmado.

Lemon Squeezy

Checkout y eventos de suscripción para ofertas específicas.