Este aviso describe cómo COSMOS, plataforma de punto de venta operada por Black Sheep Labs, recaba, utiliza, almacena y protege los datos personales de usuarios, empleados, clientes y demás titulares que interactúan con el sistema.
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales procesados a través de la plataforma COSMOS es la empresa contratante del servicio (en adelante, la Empresa o el Responsable), quien define las finalidades y medios del tratamiento de la información de sus operaciones comerciales.
Black Sheep Labs actúa como encargado del tratamiento al proveer la infraestructura tecnológica, alojamiento, soporte y funcionalidades del sistema. Para ejercer sus derechos o realizar consultas, el titular deberá contactar primero al administrador de su Empresa o, en su caso, al canal de soporte de la plataforma COSMOS.
2. Marco legal
El tratamiento de datos personales se realiza conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y demás disposiciones aplicables en los Estados Unidos Mexicanos.
3. Datos personales que recabamos
Según el uso que se haga del sistema, podemos tratar las siguientes categorías:
- Datos de identificación y contacto: nombre, apellidos, correo electrónico, teléfono, nombre de usuario y domicilio.
- Datos de autenticación: contraseña (almacenada de forma cifrada mediante hash), códigos de recuperación de acceso e historial de inicio de sesión.
- Datos laborales y de empleados: RFC, CURP, referencia IMSS, fecha de nacimiento, sexo, régimen contractual, horarios, salario y demás información de nómina o recursos humanos capturada por la Empresa.
- Datos de clientes: nombre, contactos, RFC o CURP, domicilio, correo, teléfonos, límite de crédito, saldos, historial de compras, preferencias comerciales y datos fiscales para facturación.
- Datos del programa de lealtad: información de enrolamiento, puntos acumulados, nivel, recompensas y, de forma opcional, fotografía del titular capturada mediante cámara o archivo.
- Datos de proveedores: razón social, contactos, RFC, datos bancarios y condiciones comerciales.
- Datos de la Empresa: razón social, nombre comercial, RFC, dominios, giros de negocio y datos de contacto del administrador.
- Datos de operación y transacciones: tickets, cotizaciones, cobros, devoluciones, movimientos de caja, inventarios, compras, folios, montos, formas de pago y referencias de operación.
- Datos de pagos con terceros: identificadores de transacción, referencias, terminales y credenciales de integración con Mercado Pago Point y PAGAQUI. El sistema no almacena números completos de tarjetas bancarias; dichos datos son procesados directamente por los proveedores de pago.
- Datos técnicos: dirección IP (por ejemplo, en recuperación de contraseña), identificadores de sesión, cookies, preferencias de interfaz guardadas en el navegador y metadatos de uso del servicio.
4. Finalidades del tratamiento
Los datos personales se utilizan para las siguientes finalidades:
Finalidades primarias (necesarias para el servicio):
- Autenticar usuarios y administrar sesiones de acceso.
- Operar el punto de venta, inventarios, compras y catálogos.
- Registrar ventas, cotizaciones, cobros, devoluciones y cortes de caja.
- Administrar clientes, empleados, proveedores y sucursales.
- Gestionar programas de lealtad, descuentos y promociones.
- Procesar pagos electrónicos a través de integraciones autorizadas.
- Enviar cotizaciones, notificaciones operativas y correos de recuperación de acceso.
- Autocompletar direcciones mediante servicios de geocodificación.
- Garantizar la seguridad, continuidad y correcto funcionamiento del sistema.
- Cumplir obligaciones legales, fiscales y contractuales aplicables.
Finalidades secundarias (cuando aplique y exista consentimiento):
- Enviar comunicaciones promocionales del programa de lealtad.
- Elaborar estadísticas y reportes de desempeño comercial.
- Mejorar la experiencia de uso y las funcionalidades de la plataforma.
Si no desea que sus datos se utilicen para finalidades secundarias, puede manifestarlo al administrador de su Empresa.
5. Cookies y almacenamiento local
El sistema utiliza cookies y tecnologías similares, entre ellas:
- pos_session: cookie de sesión autenticada (HTTP-only, con vigencia limitada).
- pos_caja_operativa: identificador de la caja activa en el punto de venta.
- pos_impersonator_session: utilizada únicamente en sesiones de administración de plataforma.
- Almacenamiento local del navegador: preferencias de interfaz, anchos de columnas, estado del menú lateral y configuraciones de uso del POS.
- Analítica: en entornos de producción puede utilizarse Vercel Analytics para medir el uso agregado del servicio.
Puede configurar su navegador para limitar o eliminar cookies; sin embargo, algunas funciones del sistema podrían dejar de estar disponibles.
6. Transferencia y comunicación de datos
La Empresa y la plataforma podrán compartir datos personales, sin requerir consentimiento adicional cuando la ley lo permita, con los siguientes encargados o terceros que prestan servicios necesarios para la operación:
- Proveedores de infraestructura y alojamiento en la nube.
- Servicios de correo electrónico (SMTP) para notificaciones.
- Mercado Pago Point, para cobros con terminal.
- PAGAQUI, para venta de servicios digitales y recargas.
- Google Places y OpenRouteService, para sugerencia de direcciones.
- Cloudflare, para gestión de dominios y DNS de empresas.
- Vercel Analytics, para estadísticas de uso.
Estos terceros únicamente tratan los datos conforme a las instrucciones del Responsable y con las medidas de seguridad contractuales correspondientes.
7. Medidas de seguridad
Implementamos medidas técnicas, administrativas y físicas razonables para proteger los datos personales, incluyendo:
- Cifrado de contraseñas mediante algoritmos de hash seguros.
- Cookies de sesión con atributos de seguridad (HTTP-only y Secure en producción).
- Tokens de autenticación con vigencia limitada.
- Control de acceso por roles y permisos dentro de cada Empresa.
- Aislamiento de datos por empresa (multi-tenant).
- Registro de actividad relevante para operaciones críticas.
Ningún sistema es completamente infalible. En caso de una vulneración de seguridad que afecte de manera significativa sus derechos, se informará conforme a la normativa aplicable.
8. Conservación de los datos
Los datos personales se conservarán durante el tiempo necesario para cumplir las finalidades descritas, las obligaciones legales aplicables (incluyendo disposiciones fiscales y mercantiles) y la vigencia de la relación contractual entre la Empresa y la plataforma. Una vez cumplidas dichas finalidades, los datos serán bloqueados o eliminados conforme a los procedimientos internos del Responsable.
9. Derechos ARCO y revocación del consentimiento
Usted tiene derecho a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de sus datos personales (derechos ARCO), así como a revocar el consentimiento otorgado, cuando proceda.
Para ejercer estos derechos, envíe una solicitud al administrador de su Empresa o al canal de soporte de COSMOS, indicando:
- Nombre del titular y medio para recibir respuesta.
- Documentos que acrediten su identidad o representación legal.
- Descripción clara de los datos respecto de los cuales desea ejercer su derecho.
La Empresa responderá en los plazos establecidos por la LFPDPPP. Si considera que su derecho no fue atendido adecuadamente, puede acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
10. Datos sensibles
En algunos módulos la Empresa puede capturar datos personales sensibles, como fotografías en el programa de lealtad o información laboral detallada. Dichos datos se tratan únicamente con el consentimiento expreso del titular o cuando la ley lo autorice, y bajo medidas de seguridad reforzadas.
11. Uso de cámara y geolocalización
Algunas funciones, como el enrolamiento en lealtad, pueden solicitar acceso a la cámara del dispositivo para capturar una fotografía. Las integraciones de pago con PAGAQUI pueden requerir coordenadas geográficas para validar transacciones. Estos permisos solo se activan cuando el usuario utiliza expresamente dichas funciones.
12. Menores de edad
COSMOS no está dirigido a menores de edad. La Empresa es responsable de no recabar datos de menores sin el consentimiento de padre, madre o tutor, conforme a la legislación aplicable.
13. Cambios a este aviso
Este aviso de privacidad puede actualizarse para reflejar cambios legales, técnicos u operativos en la plataforma. La versión vigente estará disponible en esta misma dirección. Se recomienda revisarla periódicamente.
14. Consentimiento
Al utilizar COSMOS, crear una cuenta, operar el punto de venta o aceptar términos en módulos como el programa de lealtad, usted reconoce haber leído y entendido este aviso de privacidad y consiente el tratamiento de sus datos personales conforme a lo aquí descrito y a las instrucciones de la Empresa responsable.