Aviso de Privacidad Integral

Destara(en adelante, “Destara”, “nosotros” o “el Responsable”), con domicilio convencional en Ciudad de México, México, es la persona moral responsable del tratamiento de los datos personales recabados a través de destara.app, la aplicación móvil Destara para iOS y los servicios relacionados (colectivamente, la “Plataforma”).

Para cualquier asunto relacionado con el tratamiento de tus datos personales puedes contactarnos en privacy@destara.app.

Para poder brindarte nuestros servicios de arquitectura de viajes boutique, tratamos las siguientes categorías de datos personales:

• Datos de identificación: nombre completo, fecha de nacimiento, nacionalidad.
• Datos de contacto: correo electrónico, número telefónico, domicilio opcional para envío de materiales.
• Datos financieros (tokenizados): Destara NO almacena datos completos de tarjetas. Stripe, Inc. procesa y tokeniza los pagos; nosotros conservamos únicamente el ID de transacción, los últimos 4 dígitos y el tipo de tarjeta.
• Datos migratorios y de viaje: número de pasaporte, vigencia, nacionalidad emisora, visas (únicamente si decides subir copias de tus documentos a tu bóveda privada dentro de la Plataforma).
• Datos de preferencias y acompañantes: itinerarios, preferencias gastronómicas y de actividades, nombres y parentesco de acompañantes de viaje.
• Datos técnicos: dirección IP, agente de navegador, identificadores de sesión, métricas anónimas de uso.

Datos personales sensibles: la Plataforma no recaba datos sensibles en el sentido del artículo 3, fracción X de la LFPDPPP (origen étnico, estado de salud, información genética, creencias religiosas, preferencia sexual, opiniones políticas, afiliación sindical). Si voluntariamente subes un documento que contenga este tipo de datos (por ejemplo, una receta médica adjunta a un seguro de viaje), el cifrado en reposo AES-256 y los controles de acceso descritos en la sección 7 aplican igualmente.

Conforme al artículo 16, fracción III de la LFPDPPP, distinguimos entre finalidades primarias (necesarias para la relación jurídica contigo) y secundarias (que requieren tu consentimiento expreso y pueden negarse sin afectar el servicio principal).

Finalidades primarias (no requieren consentimiento adicional):

• Crear y administrar tu cuenta, autenticar tus sesiones y mantener la seguridad de la Plataforma.
• Diseñar, cotizar, reservar y ejecutar itinerarios de viaje personalizados conforme a tus preferencias.
• Procesar pagos y generar los comprobantes fiscales digitales (CFDI) que correspondan.
• Comunicarte información operacional del viaje: confirmaciones, recordatorios, cambios de vuelo, reservaciones y alertas de seguridad.
• Atender solicitudes de soporte, quejas y ejercicio de derechos ARCO.
• Dar cumplimiento a obligaciones legales, fiscales, contables y regulatorias aplicables en México.

Finalidades secundarias (requieren tu consentimiento expreso):

• Enviarte comunicaciones de marketing, boletines y promociones sobre destinos y experiencias.
• Elaborar perfiles agregados para mejorar recomendaciones y desarrollo de producto.
• Compartir testimonios o referencias tuyas con fines publicitarios, siempre con tu autorización previa.

Puedes negar u oponerte a las finalidades secundarias en cualquier momento enviando un correo a privacy@destara.app o usando el panel de preferencias dentro de la Plataforma (Configuración → Privacidad → Comunicaciones), sin que ello afecte la prestación del servicio principal.

El tratamiento de tus datos personales encuentra su fundamento legal en los artículos 1, 3 fracciones V, VI y XVIII, 8, 15, 16 y 17 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, en su Reglamento y en los Lineamientos del Aviso de Privacidad emitidos por la autoridad competente.

Para operar la Plataforma transferimos algunos de tus datos personales a los siguientes terceros, quienes han asumido las mismas obligaciones de protección que Destara y cuyo tratamiento está limitado a las finalidades aquí descritas:

• Supabase, Inc. (Estados Unidos) — base de datos y autenticación. Cumple SOC 2 Tipo II.
• Stripe, Inc. (Estados Unidos) — procesamiento de pagos bajo estándar PCI-DSS Nivel 1.
• Cloudflare, Inc. (Estados Unidos) — almacenamiento de objetos (R2) con cifrado en reposo y CDN.
• Resend, Inc. / SendGrid (Twilio Inc.) (Estados Unidos) — envío y análisis de correos transaccionales.
• Anthropic, PBC (Estados Unidos) — servicios de inteligencia artificial para generar sugerencias de itinerario. Anthropic no entrena modelos con los datos que le enviamos (política API “zero data retention” activada).
• Google LLC (Estados Unidos) — APIs de Google Maps y Places para ubicación de actividades.
• Vercel, Inc. (Estados Unidos) — alojamiento del sitio web y analíticas sin cookies.
• Sentry / Functional Software, Inc. (Estados Unidos) — monitoreo de errores, sin datos personales en los payloads.
• Operadores turísticos terrestres (México y país destino) — hoteles, guías, transportistas y proveedores que confirman y ejecutan cada reservación: recibirán únicamente los datos estrictamente necesarios (nombre, fechas, necesidades especiales).
• Autoridades competentes — únicamente cuando exista requerimiento formal por escrito de autoridad judicial, fiscal o administrativa mexicana con facultades para ello.

Las transferencias internacionales a Estados Unidos se realizan al amparo del artículo 37 fracciones II, III y VI de la LFPDPPP, toda vez que resultan necesarias para el mantenimiento o cumplimiento de la relación jurídica entre el titular y el Responsable, y se encuentran previstas en cláusulas contractuales de protección de datos con cada encargado.

Tienes derecho a conocer qué datos personales tenemos de ti, para qué los usamos y las condiciones del uso que les damos (Acceso). Asimismo, puedes solicitar la corrección de tu información en caso de ser inexacta o incompleta (Rectificación); que la eliminemos de nuestros registros o bases de datos cuando consideres que no está siendo utilizada conforme a los principios, deberes y obligaciones previstos en la normativa (Cancelación); así como oponerte al uso de tus datos personales para fines específicos (Oposición). Estos derechos se conocen colectivamente como “derechos ARCO”.

Procedimiento para ejercer tus derechos ARCO:

1. Envía un correo a privacy@destara.app con el asunto “Solicitud ARCO”.
2. Incluye: (a) nombre completo y medio para recibir la respuesta; (b) copia de identificación oficial; (c) descripción clara del derecho que deseas ejercer y los datos personales involucrados; (d) cualquier documento que facilite la localización de tus datos.
3. Destara responderá en un plazo máximo de 20 días hábiles contados a partir de la recepción de la solicitud. Si procede, la respuesta se hará efectiva dentro de los 15 días hábiles siguientes.
4. Estos plazos pueden ampliarse una sola vez por un periodo igual, siempre que las circunstancias lo justifiquen.
5. No se cobra comisión alguna por el ejercicio del derecho; solamente los costos justificados de envío o reproducción en formatos especiales.

Revocación del consentimiento. En cualquier momento puedes revocar el consentimiento que, en su caso, nos hayas otorgado para el tratamiento de tus datos personales. Sin embargo, es importante que tengas en cuenta que no en todos los casos podremos atender tu solicitud o concluir el uso de forma inmediata, ya que es posible que por alguna obligación legal requiramos seguir tratándolos. Para revocar tu consentimiento, utiliza el mismo procedimiento descrito para los derechos ARCO.

Destara ha adoptado medidas administrativas, técnicas y físicas de seguridad que garantizan la confidencialidad, integridad y disponibilidad de tus datos personales, entre las que destacan:

• Cifrado en tránsito mediante TLS 1.3 en todas las comunicaciones.
• Cifrado en reposo AES-256 para documentos y archivos alojados en Cloudflare R2 y Supabase.
• Acceso a la información mediante autenticación multifactor y roles mínimos necesarios (principio de mínimo privilegio).
• Políticas de Row Level Security (RLS) a nivel de base de datos que impiden el acceso cruzado entre usuarios.
• Auditorías de seguridad periódicas y pruebas de penetración por terceros.
• URLs firmadas con caducidad de minutos para la descarga de documentos sensibles.
• Respaldos cifrados con retención limitada y procedimientos documentados de recuperación.

Destara utiliza únicamente cookies estrictamente necesarias para el funcionamiento de la Plataforma (sesión, preferencia de idioma, preferencia de tema). No utilizamos cookies de publicidad comportamental ni rastreadores de terceros con fines de marketing cruzado. Para mayor detalle consulta nuestra Política de Cookies.

Conservamos tus datos personales únicamente por el tiempo necesario para cumplir las finalidades descritas en este aviso y las obligaciones legales aplicables. Los registros contables y fiscales se conservan por un plazo mínimo de 5 años conforme al Código Fiscal de la Federación. Los documentos de viaje subidos por ti se eliminan de inmediato cuando los borras desde la Plataforma o cuando solicitas la cancelación de tu cuenta. Las copias en respaldos se sobreescriben en un máximo de 30 días.

La Plataforma está destinada exclusivamente a personas mayores de edad. No recabamos deliberadamente datos personales de menores de 18 años. Si descubres que un menor ha creado una cuenta sin autorización, escríbenos de inmediato y eliminaremos la información.

Destara se reserva el derecho de modificar este aviso en cualquier momento para adaptarlo a novedades legislativas, cambios en nuestras prácticas internas o nuevos requerimientos operativos. Cualquier modificación se comunicará a través de la Plataforma, por correo electrónico a la cuenta registrada y mediante actualización de la fecha en el encabezado de este documento. Si continúas utilizando la Plataforma después de una modificación, se entenderá que aceptas los cambios.

Si consideras que tus derechos han sido vulnerados, puedes presentar una queja ante la autoridad mexicana competente en materia de protección de datos personales (a partir de 2025, la Secretaría Anticorrupción y Buen Gobierno, a través del órgano que asume las atribuciones del extinto INAI).

Para cualquier duda, solicitud o aclaración relacionada con este aviso de privacidad o con el tratamiento de tus datos personales, contacta al Oficial de Privacidad de Destara:

• Correo: privacy@destara.app
• Asunto sugerido: “Privacidad — [tipo de solicitud]”
• Tiempo máximo de respuesta: 20 días hábiles (artículo 32 LFPDPPP).