Aviso de Privacidad Integral
Vigente a partir del 15 de mayo de 2026
1. Identidad y domicilio del responsable
Razón social: RETROGAMEX SA DE CV
Marca comercial: Sorprende y Regala
RFC: RET2009298Y2
Domicilio fiscal: Olmeca 11, Col. Parque Industrial Naucalpan, Naucalpan de Juárez, Estado de México, C.P. 53489
Contacto:
- Correo electrónico: info@sorprendeyregala.com.mx
- Teléfono / WhatsApp: +52 55 1800 7329
- Facebook: @SorprendeyRegalaMX
- Instagram: @sorprenderegalamx
Marco legal: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y los Lineamientos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
2. Datos personales recabados
El responsable recopila la siguiente información:
- Identificación: nombre, fecha de nacimiento, sexo, documentos oficiales.
- Contacto: domicilio, correo electrónico, teléfono, WhatsApp.
- Fiscales: RFC, razón social, domicilio fiscal, régimen fiscal y uso de CFDI.
- Transaccionales: historial de compras, métodos de pago, importes, dirección de envío.
- Digitales: dirección IP, navegador, sistema operativo, páginas visitadas, cookies.
- Redes sociales: nombre público, foto de perfil, identificadores de cuenta, contenido de mensajes.
Aclaración: No se recaban datos personales sensibles (origen racial o étnico, estado de salud, creencias religiosas, afiliación sindical, opiniones políticas, preferencia sexual).
3. Finalidades del tratamiento
3.1 Finalidades primarias (necesarias)
- Procesar y dar seguimiento a pedidos.
- Emitir comprobantes fiscales digitales (CFDI 4.0).
- Coordinar envío y entrega con paqueterías.
- Atender quejas, devoluciones y solicitudes de soporte.
- Cumplir obligaciones contractuales y fiscales.
- Responder mensajes en redes sociales y WhatsApp.
- Validar identidad en el ejercicio de derechos ARCO.
3.2 Finalidades secundarias (no necesarias)
- Envío de promociones, ofertas y catálogos.
- Estudios de mercado y encuestas de satisfacción.
- Personalización de la experiencia de navegación.
- Prospección comercial y desarrollo de nuevos productos.
Derecho de negativa: Puede manifestar su negativa para fines secundarios enviando un correo a info@sorprendeyregala.com.mx con el asunto “Negativa para fines secundarios”. Esta negativa no afecta los servicios contratados.
4. Transferencias de datos personales
Se transfieren datos a los siguientes destinatarios sin requerir consentimiento adicional, conforme a las excepciones previstas en la LFPDPPP:
| Destinatario | Finalidad |
|---|---|
| Empresas de mensajería (Estafeta, FedEx, DHL, Paquetexpress) | Envío y entrega de pedidos |
| Procesadores de pago (Stripe, MercadoPago, bancos emisores) | Procesamiento de pagos |
| SAT | Obligaciones fiscales y timbrado CFDI |
| Autoridades competentes | Requerimientos legales o judiciales |
| Asesores legales, contables y auditores externos | Asesoría profesional bajo deber de confidencialidad |
Meta Platforms, Inc. recibe datos cuando usted interactúa con la marca a través de sus plataformas (Facebook, Instagram, WhatsApp). Otras transferencias comerciales requieren su consentimiento expreso.
5. Plataformas de terceros y APIs de Meta
El responsable utiliza herramientas de gestión de redes sociales integradas con APIs de Meta Platforms, Inc.:
- Facebook Graph API: publicación de contenido y lectura de comentarios y mensajes de Messenger.
- Instagram Graph API: contenido, comentarios y mensajes directos.
- WhatsApp Business Cloud API: envío y recepción de mensajes con clientes.
Almacenamiento de datos: Los datos de interacción se almacenan en infraestructura del responsable con acceso restringido a personal autorizado.
Seguridad de tokens: Los tokens de acceso se cifran mediante AES-256. Al desconectar la integración, se eliminan inmediatamente.
Políticas de Meta: Los datos están sujetos también a las políticas de privacidad de Meta disponibles en facebook.com/policy.php y whatsapp.com/legal/privacy-policy.
6. Uso de inteligencia artificial
El responsable utiliza modelos de IA en infraestructura propia (modelos open-source tipo Llama y Qwen vía Ollama). En casos puntuales, utiliza servicios gratuitos como Pollinations.ai para imágenes ilustrativas.
Garantías:
- Sus mensajes y comentarios no son enviados a proveedores externos de IA para procesamiento.
- Toda respuesta generada por IA es revisada y aprobada por una persona autorizada antes de ser enviada.
- No se utilizan sus datos personales para entrenar modelos externos.
7. Retención de datos personales
| Tipo de dato | Plazo de retención |
|---|---|
| Identificación, contacto y fiscales | Duración de la relación + 5 años (obligación fiscal) |
| Transaccionales (pedidos, facturas CFDI) | 5 años (obligación fiscal) |
| Mensajes directos y comentarios en redes | 12 meses desde la última interacción |
| Estadísticas agregadas anonimizadas | 24 meses |
| Tokens de APIs | Hasta desconexión de la cuenta |
| Cookies y datos de navegación | Conforme a la sección 12 |
Vencido el plazo, los datos se bloquean razonablemente y posteriormente se eliminan de forma segura, salvo obligación legal de retención adicional.
8. Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
Usted puede ejercer en cualquier momento:
- Acceso: conocer sus datos personales, sus usos y condiciones.
- Rectificación: corregir información desactualizada o inexacta.
- Cancelación: solicitar la eliminación cuando los datos no se utilicen conforme a la normativa.
- Oposición: oponerse al uso de sus datos para fines específicos.
8.1 Procedimiento para ejercer derechos ARCO
Envíe una solicitud por escrito a info@sorprendeyregala.com.mx con el asunto “Solicitud ARCO”, desde el correo electrónico registrado con la empresa.
Requisitos de la solicitud:
- Nombre completo del titular y medio para recibir respuesta.
- Documento que acredite identidad (copia de INE, pasaporte u otra identificación oficial vigente).
- Si actúa por representante legal, acreditación de su personalidad.
- Descripción clara del dato y derecho a ejercer.
- Documentación que facilite la localización de los datos.
- Para rectificación: documentación que respalde la información nueva.
Plazos:
- Respuesta del responsable: máximo 20 días hábiles desde la recepción de la solicitud.
- Efectivización del derecho: 15 días hábiles siguientes a la respuesta.
Costo: El ejercicio de derechos ARCO es gratuito, aunque usted cubre los gastos justificados de envío o reproducción en otros formatos.
9. Limitación del uso o divulgación de datos
Puede limitar el uso o divulgación de sus datos mediante solicitud al correo info@sorprendeyregala.com.mx con el asunto “Solicitud de Limitación”, indicando claramente qué tratamiento desea limitar. Se atenderá dentro de los plazos ARCO.
Registro Público para Evitar Publicidad (REPEP) — PROFECO: puede inscribirse en repep.profeco.gob.mx para limitar la publicidad comercial que recibe.
10. Revocación del consentimiento
Puede revocar su consentimiento en cualquier momento enviando un correo a info@sorprendeyregala.com.mx con el asunto “Revocación de consentimiento”, siguiendo el procedimiento ARCO.
Opciones adicionales:
- Correo electrónico: usar el enlace “Cancelar suscripción” al final de los mensajes promocionales.
- WhatsApp: responder con la palabra “BAJA”.
11. Mecanismos de obtención del consentimiento (opt-in)
El consentimiento se puede manifestar mediante:
- Casillas de aceptación en los formularios del sitio web.
- Aceptación explícita al realizar una compra o suscribirse al newsletter.
- Para WhatsApp: continuar la conversación después de un primer mensaje informativo se considera consentimiento tácito conforme al artículo 8 de la LFPDPPP.
12. Uso de cookies, web beacons y tecnologías similares
El sitio web utiliza tecnologías de seguimiento en tres categorías:
- Cookies estrictamente necesarias: funcionamiento del carrito, sesión de usuario, procesos transaccionales. No pueden desactivarse.
- Cookies de análisis (Google Analytics, PostHog): estadísticas anónimas de uso del sitio.
- Cookies de marketing: anuncios relevantes en Meta, Google y TikTok.
Control del usuario: puede deshabilitar cookies ajustando la configuración del navegador o desde el centro de preferencias del sitio. Algunas funciones podrían no operar correctamente si las deshabilita.
13. Datos personales de menores de edad
El responsable no recaba intencionalmente datos personales de menores de 18 años. Si usted es menor de edad, debe obtener autorización expresa de quien ejerza la patria potestad o tutela antes de proporcionar datos.
Si se detecta la recopilación no autorizada de datos de un menor, se procederá a eliminarlos a la brevedad.
14. Medidas de seguridad
El responsable ha implementado medidas razonables, administrativas, técnicas y físicas:
- Cifrado en reposo de credenciales y tokens (AES-256).
- Cifrado en tránsito de la comunicación (TLS 1.2+).
- Acceso restringido por roles y autenticación multifactor para personal interno.
- Respaldos cifrados periódicos.
- Auditorías de dependencias y análisis automatizado de vulnerabilidades.
- Políticas internas de manejo de datos y capacitación al personal.
15. Cambios al aviso de privacidad
El responsable puede realizar modificaciones a este aviso por requerimientos legales, cambios en productos o servicios, prácticas de privacidad o modelo de negocio.
Notificación: se publicará la versión actualizada en sorprendeyregala.com.mx/mx/legales/privacidad con la fecha de actualización. En cambios sustanciales se notificará al correo electrónico registrado.
16. Autoridad reguladora
Si considera que sus derechos de protección de datos fueron vulnerados o que se violó la LFPDPPP, puede interponer queja o denuncia ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): home.inai.org.mx.
17. Aceptación del aviso de privacidad
Al proporcionar sus datos personales a través de cualquier canal (sitio web, formularios, redes sociales, WhatsApp, llamadas o presencialmente), usted manifiesta estar enterado de los términos de este aviso y otorga consentimiento para el tratamiento conforme a las finalidades descritas.