Política de privacidad
Última actualización: 20 de junio de 2026
En Vogelum tratamos tu información personal con cuidado. Esta política describe qué datos recopilamos, por qué, con quién los compartimos y qué derechos tienes.
1. Responsable del tratamiento
Vogelum, con domicilio en Guadalajara, Jalisco, México. Contacto: [email protected]
2. Datos que recopilamos
| Categoría | Datos | Finalidad |
|---|---|---|
| Cuenta | Nombre, correo, teléfono, contraseña cifrada | Crear y mantener tu sesión |
| Negocio | Razón social, RFC, dirección fiscal, logo | Generar tus documentos PDF |
| Cliente final | Nombre, teléfono, correo de tus clientes | Operar el CRM dentro de tu cuenta |
| Pagos | Historial de pagos a Vogelum (sin números de tarjeta) | Facturación y soporte |
| Uso | Logs de acceso, IP, navegador, eventos de auditoría | Seguridad, prevención de fraude |
| Dispositivo | Token de push (APNs/FCM), token de widget/Apple Watch | Enviarte alertas y alimentar el widget/reloj que tú activas |
| Inicio con Apple | Identificador de Apple y correo (real o de relevo) cuando usas "Iniciar sesión con Apple" | Autenticarte sin contraseña |
| Firmas digitales | Imagen de la firma, nombre del firmante, IP y fecha al momento de firmar | Dejar constancia de la aceptación de un contrato/cotización |
| Mensajería | Mensajes de WhatsApp o SMS que tú envías a tus clientes o invitados mediante plantillas aprobadas, y metadatos de entrega | Operar tu mensajería WhatsApp Business / SMS (vía Meta y Twilio) |
| Invitados de eventos | Nombre, teléfono, correo, # de acompañantes, preferencias de menú/restricciones, mensajes y fotografías que tus invitados suben a tu invitación | Operar las invitaciones, RSVP, accesos y mapa de mesas que tú activas (actuamos como encargado) |
| Pagos web | Identificador de cliente y suscripción de Stripe; marca y últimos 4 dígitos de la tarjeta (nunca el número completo ni el CVV) | Procesar y administrar tu suscripción contratada en el sitio web |
NO recopilamos: ubicación GPS continua, contactos del teléfono, datos de salud propios, navegación fuera de la app. Tu Face ID / Touch ID nunca sale de tu dispositivo: iOS solo nos informa si la verificación fue exitosa. No almacenamos números completos de tarjeta ni el CVV.
3. Base legal
- Ejecución de contrato: datos necesarios para prestarte el Servicio.
- Consentimiento: notificaciones push, comunicaciones de marketing.
- Interés legítimo: prevención de fraude, mejora del producto, soporte.
- Obligación legal: conservación de comprobantes fiscales por el periodo que marca la ley.
4. Sub-procesadores
Compartimos datos solo con proveedores que nos ayudan a operar el Servicio. Todos firman acuerdos de procesamiento de datos (DPA) y certificaciones de seguridad.
| Proveedor | Función | Ubicación | Certificación |
|---|---|---|---|
| Cloudflare | Hosting, DB D1, Workers, R2 | USA / EU | SOC 2 Type II, ISO 27001, GDPR |
| Resend | Correos transaccionales | USA | SOC 2 Type II |
| Twilio | SMS opcional | USA | SOC 2, GDPR, HIPAA |
| Apple Inc. | Push iOS (APNs) e "Iniciar sesión con Apple" | USA | ISO 27001 |
| Google LLC | Push Android (FCM) | USA | SOC 2, ISO 27001 |
| Meta Platforms | API de WhatsApp Business (solo si activas la mensajería) | USA / UE | GDPR, ISO 27001 |
| Twilio, Inc. | SMS y mensajería de WhatsApp (solo si las activas) | USA | SOC 2, GDPR, HIPAA |
| Stripe, Inc. | Procesamiento de pagos con tarjeta desde el sitio web | USA / UE | PCI-DSS Nivel 1, SOC 2, ISO 27001 |
Si usas "Iniciar sesión con Apple", Apple nos comparte únicamente un identificador y un correo (real o de relevo) para autenticarte; no recibimos tu contraseña de Apple. Si activas la mensajería de WhatsApp o SMS, los mensajes se envían a través de Meta y/o Twilio conforme a sus propios términos. Si pagas tu suscripción con tarjeta desde el sitio web, el pago lo procesa Stripe, que recibe los datos de tu tarjeta directamente bajo el estándar PCI-DSS.
4.1 Transferencias internacionales
Conforme al artículo 36 de la LFPDPPP, te informamos que algunos sub-procesadores almacenan datos fuera de México (principalmente USA y EU). Garantizamos un nivel de protección equivalente mediante: (a) acuerdos de transferencia internacional, (b) certificaciones de cumplimiento del receptor, (c) cifrado de extremo a extremo cuando sea técnicamente viable.
4.2 Integraciones que tú activas
Algunas funciones generan datos solo cuando tú las habilitas:
- Sincronización de agenda: generamos una URL privada de suscripción (formato iCal) con un token único. Quien tenga ese enlace puede ver los eventos de tu calendario, así que trátalo como información confidencial. Puedes revocarlo en cualquier momento.
- Widget y Apple Watch: guardamos un token de dispositivo para mostrarte un resumen en la pantalla de inicio o en tu reloj. No contiene datos de tus clientes más allá del resumen que tú ves.
- WhatsApp Business: los mensajes que envías a tus clientes pasan por Meta (ver sub-procesadores).
5. Seguridad
- Cifrado en tránsito con TLS 1.3
- Cifrado en reposo en la base de datos
- Opción de cifrado end-to-end con tu propia llave (plan MAX)
- Autenticación de dos factores (TOTP) disponible
- Soporte para Face ID / Touch ID en móvil
- Auditoría completa de accesos y cambios
- Respaldos diarios automáticos
6. Tus derechos ARCO + GDPR
Puedes en cualquier momento:
- Acceder a los datos que tenemos sobre ti
- Rectificar información inexacta
- Cancelar tu cuenta y solicitar borrado de tus datos
- Oponerte al procesamiento con fines de marketing
- Portar tus datos en formato abierto (JSON, CSV, HTML)
Para ejercer estos derechos: [email protected] · respondemos en máximo 20 días hábiles.
7. Retención
Mientras tu cuenta esté activa, conservamos tus datos. Si eliminas tu cuenta desde la app (Configuración → Cuenta → Eliminar mi cuenta) o por correo, tus datos pasan a un periodo de recuperación de 30 días durante el cual puedes reactivarla; transcurrido ese plazo se borran de forma permanente e irreversible. Los comprobantes fiscales requeridos por ley se guardan por 5 años en formato cifrado, aun después de eliminar la cuenta.
8. Cookies y tecnologías similares
| Tipo | Finalidad | Duración |
|---|---|---|
Sesión (vgl_session) | Mantener tu inicio de sesión | 90 días (renovable) |
| Preferencias | Idioma, tema, tab activo | 1 año |
| localStorage | Cache offline de tus datos para PWA | Hasta que cierres sesión |
| Service Worker | Offline + push notifications | Hasta desinstalar la PWA |
NO usamos cookies de seguimiento publicitario, píxeles de Facebook/Google, ni cookies de terceros para perfilamiento.
9. Notificación de brechas (LFPDPPP art. 20)
Si detectamos una vulneración de seguridad que afecte significativamente los derechos patrimoniales o morales de los titulares, te notificaremos por correo dentro de 72 horas con: descripción del incidente, datos afectados, recomendaciones, y medidas correctivas tomadas.
10. Datos sensibles
Vogelum NO trata categorías especiales de datos personales para fines propios (origen racial, opinión política, religión, salud, orientación sexual, datos biométricos —salvo Face ID/Touch ID, que permanece en tu dispositivo). Si en tus invitaciones recopilas preferencias de menú o restricciones alimentarias de tus invitados, o si se suben fotografías, dichos datos podrían revelar información sensible. Vogelum los almacena por cuenta tuya como encargado y no los usa con fines propios; tú, como responsable, debes recabar el consentimiento que la ley exija.
11. Menores
La creación de una cuenta de Vogelum está dirigida exclusivamente a personas mayores de 18 años; no recabamos conscientemente datos de menores como usuarios de la plataforma. No obstante, los eventos que tú gestiones (XV años, bautizos, fiestas infantiles) pueden involucrar datos o fotografías de menores que tú o tus invitados suban a una invitación. En esos casos, tú eres responsable de obtener el consentimiento de los padres, madres o tutores conforme a la ley aplicable. Si detectamos que un menor creó una cuenta de usuario de Vogelum, la eliminamos dentro de 7 días.
11.1 Datos de invitados de eventos (Vogelum como encargado)
Cuando usas las invitaciones, RSVP, accesos o mapa de mesas, tratas datos personales de tus invitados (terceros). Respecto de esos datos tú eres el responsable y Vogelum es únicamente encargado que los procesa por cuenta y bajo tus instrucciones, sin usarlos para fines propios, conservándolos mientras exista tu invitación o hasta que los elimines. Debes informar a tus invitados mediante tu propio aviso de privacidad y recabar su consentimiento cuando la ley lo requiera. Las solicitudes de derechos ARCO de un invitado deben dirigirse a ti como responsable; te brindaremos el apoyo técnico necesario para atenderlas.
12. Aviso de Privacidad (LFPDPPP México)
Este documento cumple con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento. El Responsable es Vogelum con domicilio en Guadalajara, Jalisco, México.
13. Tus datos como tenant (multi-tenancy)
Vogelum es una plataforma multi-tenant: cada negocio (tenant) tiene su espacio aislado. Los datos de tus clientes (CRM, cotizaciones, contratos) son visibles únicamente para los usuarios que tú autorizas dentro de tu tenant.
14. Derecho de portabilidad
Puedes descargar TODOS tus datos en cualquier momento desde Configuración → Backup. Formatos: JSON, HTML, CSV. Sin límite de descargas.
15. Autoridad de control
Si consideras que tus derechos no fueron atendidos, puedes presentar denuncia ante el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales):
Sitio web: home.inai.org.mx
Tel. 800 835 4324
16. Contacto
Email general de privacidad: [email protected]
Email para ejercer derechos ARCO: [email protected]
WhatsApp: +52 33 1795 4102
Tiempo de respuesta: máximo 20 días hábiles
Privacy policy
Last updated: June 20, 2026
At Vogelum we handle your personal data with care. This policy explains what we collect, why, who we share it with, and the rights you have.
1. Data controller
Vogelum, based in Guadalajara, Jalisco, Mexico. Contact: [email protected]
2. Data we collect
| Category | Data | Purpose |
|---|---|---|
| Account | Name, email, phone, hashed password | Create and maintain your session |
| Business | Legal name, Tax ID, fiscal address, logo | Generate your PDFs |
| End client | Names, phones, emails of your clients | CRM inside your account |
| Billing | Payments to Vogelum (no card numbers) | Billing and support |
| Usage | Access logs, IP, browser, audit events | Security, fraud prevention |
| Device | Push tokens (APNs/FCM), widget/Apple Watch token | Send alerts and power the widget/watch you enable |
| Sign in with Apple | Apple identifier and email (real or relay) when you use "Sign in with Apple" | Authenticate you without a password |
| Digital signatures | Signature image, signer name, IP and date at the moment of signing | Record acceptance of a contract/quote |
| Messaging | WhatsApp or SMS messages you send to your clients or guests via approved templates, plus delivery metadata | Operate your WhatsApp Business / SMS messaging (via Meta and Twilio) |
| Event guests | Name, phone, email, # of companions, meal preferences/restrictions, messages and photos your guests upload to your invitation | Operate the invitations, RSVP, access control and seating map you enable (we act as processor) |
| Website payments | Stripe customer and subscription IDs; card brand and last 4 digits (never the full number or CVV) | Process and manage your website subscription |
We do NOT collect: continuous GPS location, phone contacts, your own health data, or browsing outside the app. Your Face ID / Touch ID never leaves your device: iOS only tells us whether verification succeeded. We do not store full card numbers or CVV.
3. Legal basis
- Contract performance: data needed to provide the Service.
- Consent: push notifications, marketing communications.
- Legitimate interest: fraud prevention, product improvement, support.
- Legal obligation: retention of tax records for the period required by law.
4. Sub-processors
We share data only with providers that help us operate the Service. All sign data processing agreements (DPAs) and hold security certifications.
| Provider | Function | Location | Certification |
|---|---|---|---|
| Cloudflare | Hosting, DB D1, Workers, R2 | USA / EU | SOC 2 Type II, ISO 27001, GDPR |
| Resend | Transactional emails | USA | SOC 2 Type II |
| Twilio, Inc. | SMS and WhatsApp messaging (only if you enable them) | USA | SOC 2, GDPR, HIPAA |
| Apple Inc. | iOS Push (APNs) and "Sign in with Apple" | USA | ISO 27001 |
| Google LLC | Android Push (FCM) | USA | SOC 2, ISO 27001 |
| Meta Platforms | WhatsApp Business API (only if you enable messaging) | USA / EU | GDPR, ISO 27001 |
| Stripe, Inc. | Card payment processing from the website | USA / EU | PCI-DSS Level 1, SOC 2, ISO 27001 |
If you use "Sign in with Apple", Apple shares only an identifier and an email (real or relay) to authenticate you; we never receive your Apple password. If you enable WhatsApp or SMS messaging, messages are sent through Meta and/or Twilio under their own terms. If you pay your subscription by card from the website, the payment is processed by Stripe, which receives your card data directly under the PCI-DSS standard.
4.1 International transfers
Under article 36 of Mexico's LFPDPPP, some sub-processors store data outside Mexico (mainly the USA and EU). We ensure an equivalent level of protection through: (a) international transfer agreements, (b) the recipient's compliance certifications, (c) end-to-end encryption where technically feasible.
4.2 Integrations you enable
Some features only generate data when you turn them on:
- Calendar sync: we generate a private subscription URL (iCal format) with a unique token. Anyone holding that link can see your calendar events, so treat it as confidential. You can revoke it at any time.
- Widget and Apple Watch: we store a device token to show you a summary on your home screen or watch. It contains no client data beyond the summary you see.
- WhatsApp Business: messages you send to your clients pass through Meta (see sub-processors).
5. Security
- TLS 1.3 in transit
- Encryption at rest in the database
- Optional end-to-end encryption with your own key (MAX plan)
- Two-factor authentication (TOTP) available
- Face ID / Touch ID support on mobile
- Full audit log of access and changes
- Automatic daily backups
6. Your rights (GDPR + ARCO)
At any time you may:
- Access the data we hold about you
- Rectify inaccurate information
- Cancel your account and request deletion of your data
- Object to processing for marketing purposes
- Port your data in an open format (JSON, CSV, HTML)
To exercise these rights: [email protected] · we respond within 20 business days.
7. Retention
While your account is active, we keep your data. If you delete your account from the app (Settings → Account → Delete my account) or by email, your data enters a 30-day recovery window during which you can reactivate it; after that period it is permanently and irreversibly erased. Tax records required by law are kept for 5 years in encrypted form, even after account deletion.
8. Cookies and similar technologies
| Type | Purpose | Duration |
|---|---|---|
Session (vgl_session) | Keep you signed in | 90 days (renewable) |
| Preferences | Language, theme, active tab | 1 year |
| localStorage | Offline cache of your data for the PWA | Until you sign out |
| Service Worker | Offline + push notifications | Until you uninstall the PWA |
We do NOT use advertising trackers, Facebook/Google pixels, or third-party profiling cookies.
9. Breach notification (LFPDPPP art. 20)
If we detect a security breach that significantly affects the patrimonial or moral rights of data subjects, we will notify you by email within 72 hours with: a description of the incident, the data affected, recommendations, and the corrective measures taken.
10. Sensitive data
For its own purposes Vogelum does NOT process special categories of personal data (racial origin, political opinion, religion, health, sexual orientation, or biometrics other than local Face ID/Touch ID, which stays on your device). However, if your invitations collect your guests' meal preferences or dietary restrictions, or if photographs are uploaded, that data may reveal sensitive information. Vogelum stores it on your behalf as a processor and does not use it for its own purposes; you, as the controller, are responsible for obtaining any consent the law requires.
11. Children
Creating a Vogelum account is intended exclusively for people aged 18 or over, and we do not knowingly collect data from minors as platform users. However, the events you manage (quinceañeras, baptisms, children's parties) may involve data or photographs of minors that you or your guests upload to an invitation. In those cases you are responsible for obtaining the consent of the parents or legal guardians as required by applicable law. If we learn that a minor created a Vogelum user account, we delete it within 7 days.
11.1 Event guests' data (Vogelum as processor)
When you use invitations, RSVP, access control or the seating map, you process the personal data of your guests (third parties). For that data you are the controller and Vogelum acts solely as a processor, handling it on your behalf and under your instructions, without using it for its own purposes, and keeping it while your invitation exists or until you delete it. You must inform your guests through your own privacy notice and obtain their consent where the law requires it. A guest's data-protection (ARCO) requests should be directed to you as the controller; we will provide the technical support needed to fulfil them.
12. Privacy notice (Mexico's LFPDPPP)
This document complies with the Federal Law on Protection of Personal Data Held by Private Parties (LFPDPPP) and its Regulations. The controller is Vogelum, based in Guadalajara, Jalisco, Mexico.
13. Your data as a tenant (multi-tenancy)
Vogelum is a multi-tenant platform: each business (tenant) has its own isolated space. Your clients' data (CRM, quotes, contracts) is visible only to the users you authorize within your tenant.
14. Right to portability
You can download ALL your data at any time from Settings → Backup. Formats: JSON, HTML, CSV. No download limit.
15. Supervisory authority
If you believe your rights were not addressed, you may file a complaint with INAI (Mexico's National Institute for Transparency, Access to Information and Protection of Personal Data):
Website: home.inai.org.mx
Tel. 800 835 4324
16. Contact
General privacy email: [email protected]
ARCO rights email: [email protected]
WhatsApp: +52 33 1795 4102
Response time: within 20 business days