Política de privacidad

Última actualización: 5 de mayo de 2026

1. Información general

Esta política describe cómo Execia (operada por Sistemas Consultores S.A., Corporación C & F LLC) recolecta, usa, almacena y protege datos personales y operacionales en sus productos: la app móvil Execia (iOS y Android, identificador com.sistemasconsultores.trademind) y el dashboard web asociado.

Execia es una plataforma multi-tenant business-to-business: las organizaciones cliente (tenants) usan Execia para coordinar la ejecución de sus operaciones en punto de venta. Los datos capturados pertenecen a esas organizaciones; nosotros operamos la infraestructura.

2. Información que recopilamos

2.1 Información directa

• Cuenta de usuario: email, nombre, organización asignada, rol (super_admin, tenant_admin, supervisor, promoter, observer). El password se almacena hasheado vía Supabase Auth (bcrypt + salt único por usuario).
• Datos operacionales del trabajo en campo: check-ins en puntos de venta, fotografías capturadas, formularios respondidos, observaciones manuales. Detalle por tipo en sección 3.

2.2 Información automática

• Telemetría de uso de producto: capturada vía PostHog con sendDefaultPii: false. Eventos: navegación entre pantallas, taps en CTAs, tiempos de respuesta de operaciones críticas. NO capturamos IPs públicas, request bodies, ni cookies de terceros.
• Errores de aplicación: capturados vía Sentry con sendDefaultPii: false. Stack traces y contexto técnico únicamente, sin datos personales.
• Ubicación geográfica aproximada: si el usuario accede al dashboard web vía Google Analytics (configurado a nivel país/ciudad solamente).

3. Apps móviles · Execia

Nuestra app móvil Execia (disponible en Google Play y App Store) es una herramienta profesional para promotores y supervisores en campo. Recolecta datos específicos de la actividad de retail execution. Esta sección detalla qué datos se capturan, con qué finalidad, y cómo los protegemos.

3.1 Fotografías de góndola, competencia y exhibición

La app solicita acceso a la cámara y galería del dispositivo para capturar evidencia visual de las visitas a puntos de venta. Antes de subir cualquier imagen a nuestros servidores, eliminamos automáticamente los metadatos EXIF de geolocalización del archivo (defensa en profundidad: el cliente strippea y el servidor verifica). Las imágenes se procesan con análisis de inteligencia artificial (Google Gemini) para extraer información estructurada como productos visibles, share of shelf, y precios. Los archivos originales se almacenan en infraestructura cloud (Cloudflare R2, región US-East) y se asocian al tenant del promotor mediante Row-Level Security en base de datos.

3.2 Ubicación geográfica del check-in

Solicitamos acceso a la ubicación del dispositivo únicamente cuando el promotor inicia una visita a un punto de venta. La ubicación se usa para validar que el check-in sucede dentro del radio del PDV asignado (anti-fraude operacional). NO usamos tracking de ubicación en background — solo durante el momento del check-in. La precisión solicitada es la de "ubicación precisa" (ACCESS_FINE_LOCATION) para validar contra el polígono del PDV con tolerancia ajustada.

3.3 Audio de notas de voz

El promotor puede grabar notas de voz durante una visita para capturar observaciones más rápido que tipeando. El archivo de audio se transcribe a texto mediante un proveedor de IA (Google Gemini para transcripción) y luego se descarta del almacenamiento permanente. El transcript final queda asociado a la visita; el audio crudo no se retiene más allá del tiempo necesario para el procesamiento.

3.4 Notificaciones push

Solicitamos permiso para enviar notificaciones para alertar al promotor sobre tareas asignadas, cambios en misiones del día, o resultados de validación de IA pendientes. Las notificaciones se envían vía Expo Push Notifications, que utiliza Firebase Cloud Messaging (FCM) en Android y Apple Push Notification Service (APNS) en iOS. No transmitimos contenido sensible vía notificaciones — solo títulos genéricos que requieren abrir la app para ver el detalle.

3.5 Permisos del sistema operativo

La app declara los siguientes permisos en sus tiendas de aplicaciones. Cada uno se solicita explícitamente al usuario antes del primer uso, y puede ser revocado en cualquier momento desde los ajustes del dispositivo:

• android.permission.CAMERA / NSCameraUsageDescription: para capturar fotos de góndola, competencia y exhibición durante visitas a PDV.
• android.permission.ACCESS_FINE_LOCATION y ACCESS_COARSE_LOCATION / NSLocationWhenInUseUsageDescription: para validar el check-in dentro del radio del punto de venta asignado. Solo en uso activo de la app — no hay tracking en background.
• android.permission.RECORD_AUDIO / NSMicrophoneUsageDescription: para grabar notas de voz que se transcriben a texto.
• android.permission.POST_NOTIFICATIONS: para enviar notificaciones de tareas y resultados.
• NSPhotoLibraryUsageDescription (iOS): como alternativa a la cámara cuando el promotor necesita seleccionar una foto preexistente.

4. Cómo usamos su información

• Operar el servicio Execia conforme al acuerdo con su organización.
• Procesar fotografías y audio mediante IA para generar valor operacional (forms pre-llenados, share of shelf, anomalías).
• Validar que las visitas en campo sucedan en los puntos de venta asignados (anti-fraude).
• Mejorar el producto via análisis agregados de uso (PostHog).
• Diagnosticar y corregir errores (Sentry).
• Comunicar cambios relevantes en el servicio.

5. Servicios de terceros

Para operar Execia procesamos datos a través de los siguientes proveedores subcontratados:

• Supabase (self-hosted en infraestructura propia controlada por Sistemas Consultores): autenticación, base de datos PostgreSQL, sincronización en tiempo real. Las tablas tienen Row-Level Security activa: cada tenant solo accede a sus propios datos.
• Cloudflare R2: almacenamiento de fotografías capturadas. Acceso con URLs firmadas de duración limitada (15 min máximo).
• Google Gemini: análisis automatizado de imágenes y transcripción de audio. Los datos se procesan en tiempo real y no se retienen en sistemas de Google más allá de la sesión de inferencia.
• Anthropic Claude: razonamiento avanzado para misiones autogeneradas y validaciones complejas. Los mensajes se procesan en tiempo real y no se almacenan en servidores de Anthropic más allá de la sesión.
• PostHog: telemetría de producto y analítica de uso.
• Sentry: monitoreo de errores y crashes.
• Expo Push / FCM (Google) / APNS (Apple): push notifications, distribución de la app.
• HubSpot: CRM para gestión de leads y comunicaciones comerciales con organizaciones cliente (no afecta datos de promotores en campo).

6. Multi-tenancy y aislamiento de datos

Execia es una plataforma multi-tenant: múltiples organizaciones cliente comparten la misma infraestructura pero sus datos están totalmente aislados. Aplicamos Row-Level Security a nivel de base de datos para garantizar que ningún usuario o promotor pueda acceder a datos de otra organización, ni siquiera a través de errores de aplicación o consultas inadvertidas. Las políticas de seguridad se basan en el JWT de autenticación de cada usuario (claim tenant_id) y son enforcadas por PostgreSQL mismo, no solo por la lógica de aplicación.

7. Almacenamiento y seguridad

• Datos en tránsito: TLS 1.2+ obligatorio en todos los endpoints públicos. Certificados gestionados via Cloudflare.
• Datos en reposo: base de datos PostgreSQL con cifrado a nivel disco. Cloudflare R2 con cifrado AES-256 server-side.
• Autenticación: contraseñas hasheadas con bcrypt. Sesiones JWT con rotación automática.
• Acceso interno: credenciales con permisos mínimos (principle of least privilege). Auditoría de accesos a service-role.
• Backups: snapshots diarios de base de datos y bucket R2.

8. Retención de datos

Las fotografías y form responses de visitas se conservan durante el período contractual con la organización cliente (tenant) más un buffer de 90 días post-cancelación para auditoría. Los archivos de audio crudos se eliminan inmediatamente tras la transcripción. Los logs de telemetría agregados (PostHog) se retienen por 12 meses; los eventos individuales se anonimizan después de 30 días.

9. Sus derechos

Conforme a la legislación aplicable de protección de datos, usted tiene los siguientes derechos sobre sus datos personales:

• Acceso: exportación de todos los datos asociados a su cuenta y a su tenant.
• Rectificación: corrección de datos incorrectos (ej: re-tomar foto, corregir form response generado por IA).
• Supresión / Derecho al olvido: solicitar que eliminemos sus datos personales. La eliminación incluye fotos en R2, registros en base de datos, y entradas de telemetría. Excepción: registros de auditoría inmutables que la regulación nos obliga a conservar (logs de acceso, decisiones de aprobación de contenido por verificadores humanos).
• Portabilidad: exportación en formatos estándar (JSON para datos estructurados, ZIP para fotografías).
• Oposición: oponerse al procesamiento basado en intereses legítimos.

Para ejercer cualquiera de estos derechos, escríbanos a econtreras@corporacioncf.com con asunto "Solicitud de derechos GDPR/Privacidad". Respondemos en un máximo de 30 días naturales.

10. Cookies

El dashboard web de Execia usa cookies estrictamente necesarias para mantener la sesión autenticada (JWT cookie). NO usamos cookies de tracking publicitario. Para analítica web usamos PostHog con identificador anónimo client-side, que se respeta el setting "Do Not Track" del navegador.

11. Menores de edad

Execia es una herramienta profesional B2B no destinada a menores de edad. No recolectamos datos a sabiendas de personas menores de 18 años. Si descubrimos que recibimos datos de un menor sin consentimiento verificable de su tutor legal, los eliminamos.

12. Cambios a esta política

Podemos actualizar esta política periódicamente. La fecha al inicio del documento refleja la última modificación. Cambios materiales (nuevos tipos de datos recolectados, nuevos terceros, etc.) se notificarán por email y/o notificación in-app a los usuarios afectados con al menos 15 días de anticipación.

13. Contacto

Sistemas Consultores S.A. — Corporación C & F LLC
Email: econtreras@corporacioncf.com
Sitio web: sistemasconsultores.com