Aviso de Privacidad para Afiliados

Tuki · Clientes finales de programas de lealtad
Versión vigente · Mayo 2026
Tuki
✉️ Enviar por correo
En cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento, los Lineamientos del Aviso de Privacidad y demás disposiciones aplicables, ponemos a su disposición el presente Aviso de Privacidad.

1 · Identidad y domicilio del Responsable

Mobile Ads and Rewards Corporation, S.A.P.I. de C.V. (en adelante "Tuki" o "MARC"), con domicilio en Avenida Bacalar Mz10 Lt24C 2C, Supermanzana 46, C.P. 77506, Cancún, Quintana Roo, México, RFC MAR160524N62.

Para cualquier asunto relacionado con el presente Aviso o el tratamiento de sus datos personales, puede contactarnos en privacidad@tukicard.com.

2 · ¿A quién aplica este Aviso?

Este Aviso aplica a usted como persona física afiliada a un programa de lealtad operado por un comercio que utiliza la plataforma Tuki (en adelante, el "Comercio"). La afiliación puede ocurrir, entre otros, mediante:

  • Inscripción en el punto de venta del Comercio.
  • Descarga e instalación de una aplicación móvil operada por Tuki (Tuki SC) o por el Comercio sobre la plataforma Tuki (Tuki BMP).
  • Registro en el portal web del programa del Comercio.
  • Vinculación a través de una billetera digital (Apple Wallet, Google Wallet) emitida por Tuki o por el Comercio.
Importante — roles distintos según el tipo de dato:
  • Para los datos que el Comercio recaba de usted en su establecimiento (transacciones, visitas, preferencias de consumo), el Comercio es Responsable y MARC actúa como Encargado del tratamiento. El Comercio tiene su propio Aviso de Privacidad que también le aplica.
  • Para los datos que Tuki recaba directamente de usted (cuenta Tuki cross-comercio, app móvil, billetera digital, soporte directo), MARC es Responsable.
En palabras simples:

Si usted se registra en el programa de lealtad de un restaurante, los datos sobre sus visitas, consumos, puntos y recompensas dentro de ese restaurante pertenecen al programa de dicho Comercio, quien actúa como Responsable. Tuki procesa esos datos para operar técnicamente el programa.

Si usted crea una cuenta Tuki, usa la app Tuki, agrega una tarjeta digital a su wallet, contacta directamente a soporte Tuki o participa en funcionalidades multi-comercio, MARC/Tuki actúa como Responsable de ese tratamiento.

Este Aviso es distinto al Aviso de Privacidad para Comercios y al Aviso de Privacidad para Partners, los cuales pueden consultarse en tukicard.com/privacidadcomercios y tukicard.com/partners/privacidad, respectivamente.

Menores de edad

Los servicios y programas de lealtad operados sobre Tuki no están dirigidos a menores de edad. Si usted es menor de 18 años, deberá contar con la autorización de su madre, padre o tutor para registrarse o participar en un programa de lealtad operado mediante Tuki.

MARC no recaba intencionalmente datos personales de menores de edad sin la autorización antes señalada. Si MARC identifica que ha recabado datos de un menor sin dicha autorización, podrá bloquearlos, suprimirlos o restringir su tratamiento.

3 · Datos personales que recabamos

MARC podrá recabar y tratar las siguientes categorías de datos personales, de manera directa, a través del Comercio o mediante fuentes de acceso público:

  • Datos de identificación: nombre, fecha de nacimiento (cuando se solicita para promociones específicas), género (opcional).
  • Datos de contacto: correo electrónico, número de teléfono móvil, ciudad y, cuando aplique, dirección postal.
  • Datos de identificadores de programa: número de afiliación, código de cliente asignado por el Comercio, identificadores únicos del programa.
  • Datos transaccionales y de consumo en el Comercio: historial de visitas, tickets, montos consumidos, productos consumidos, frecuencia, preferencias declaradas, puntos acumulados, recompensas canjeadas. Estos datos los recaba el Comercio y MARC los procesa como Encargado.
  • Datos técnicos y de uso (cuando interactúa con apps o portales de Tuki): dirección IP, identificador de dispositivo, sistema operativo, versión de aplicación, token de notificaciones push, identificador publicitario (IDFA/AAID).
  • Geolocalización (opcional): datos de geolocalización aproximada cuando usted la habilita expresamente desde su dispositivo. La geolocalización es siempre opcional; negarse a compartirla no impedirá participar en el programa de lealtad, aunque podrá limitar funciones como mostrar sucursales cercanas o promociones disponibles por zona. MARC procura usar geolocalización aproximada (no precisa) salvo que la finalidad lo exija.
  • Datos de comunicación: aperturas y clics en correos transaccionales, interacciones con notificaciones push, preferencias de canal de comunicación.
  • Datos de soporte: contenido de tickets, mensajes y solicitudes de atención que usted nos envía.
Tuki NO recaba datos personales sensibles. No recabamos, almacenamos ni tratamos datos sobre origen racial o étnico, estado de salud, información genética, creencias religiosas o filosóficas, opiniones políticas o preferencias sexuales para las finalidades de este Aviso. En caso de que en el futuro fuera necesario, le solicitaríamos su consentimiento expreso por escrito.

Cautela frente a inferencias sensibles: MARC es consciente de que ciertos hábitos de consumo (por ejemplo, productos sin alcohol, alimentos halal o kosher, restricciones alimentarias específicas) podrían interpretarse como indicios sobre creencias religiosas, estado de salud u otras categorías sensibles. Por política interna, MARC no realizará perfilado, segmentación ni análisis con base en inferencias sensibles (salud, religión, origen étnico u otras categorías protegidas) derivadas del comportamiento de consumo del titular.

4 · Finalidades del tratamiento

a) Finalidades primarias (necesarias para la relación)

  • Operar el programa de lealtad del Comercio al que usted se afilió: identificación al momento de la compra, acumulación y canje de puntos, validación de recompensas.
  • Comunicarle información operativa del programa: confirmaciones, recordatorios de vencimiento de puntos, recompensas reclamables, cambios al programa, alertas críticas.
  • Atender sus solicitudes, dudas, reclamaciones y derechos ARCO.
  • Operar las aplicaciones, portales y billeteras digitales de Tuki, incluyendo autenticación, sesión y mantenimiento del servicio.
  • Mostrarle sus propios datos personalizados (puntos, recompensas, historial, comercios favoritos del titular) dentro de las aplicaciones y portales de Tuki.
  • Prevenir fraude, uso indebido, suplantación de identidad y violaciones a los términos de uso.
  • Realizar analítica técnica (errores, desempeño, adopción de funcionalidades) necesaria para mantener, asegurar y mejorar funcionalmente el servicio que usted utiliza.
  • Cumplir con obligaciones legales, fiscales y regulatorias aplicables a MARC o al Comercio.
  • Atender requerimientos de autoridades competentes en los casos legalmente previstos.

b) Finalidades secundarias (no necesarias para la relación; usted puede manifestar su negativa)

  • Enviarle comunicaciones comerciales del propio Tuki: novedades del producto, lanzamientos, contenido promocional, invitaciones a eventos.
  • Realizar encuestas comerciales y estudios para campañas o marketing.
  • Cross-promoción entre comercios usuarios de Tuki, en los términos descritos a continuación.
  • Publicidad, retargeting y campañas en plataformas de terceros bajo seudónimo o identificadores anonimizados.
  • Publicar testimoniales o reseñas con su nombre/iniciales, previo consentimiento expreso adicional.
Sobre la cross-promoción entre comercios:

Tuki no compartirá con otros Comercios sus datos personales identificables ni su historial individual de consumo en un Comercio específico para fines de promoción cruzada, salvo que usted otorgue consentimiento expreso o participe voluntariamente en una funcionalidad multi-comercio que así lo informe claramente al momento de activarla.

Si no desea que sus datos sean tratados para alguna o todas las finalidades secundarias, puede manifestarlo en cualquier momento desde el centro de preferencias de la aplicación Tuki, a través del correo privacidad@tukicard.com, o respondiendo "BAJA" a cualquier comunicación comercial que reciba. La negativa al tratamiento para finalidades secundarias no afectará en modo alguno su participación en el programa de lealtad del Comercio.

5 · Acceso, comunicación y transferencias de datos

MARC podrá compartir o dar acceso a sus datos personales con terceros únicamente en los supuestos permitidos por la legislación aplicable, cuando sea necesario para operar el programa de lealtad del Comercio, para la prestación de los servicios Tuki, para el cumplimiento de obligaciones legales o cuando exista su consentimiento, según corresponda. Distinguimos entre proveedores que tratan datos por cuenta de MARC (encargados o subencargados, que actúan bajo nuestras instrucciones) y transferencias propiamente dichas (a terceros que actúan con finalidades propias).

5.A · Encargados, subencargados y proveedores de servicios

Los siguientes proveedores tratan datos por cuenta de MARC, bajo instrucciones documentadas y obligaciones contractuales de confidencialidad y protección de datos equivalentes a las establecidas en este Aviso. No utilizan sus datos para finalidades propias:

  • Amazon Web Services, Inc. (AWS) — alojamiento, almacenamiento y cómputo (Estados Unidos).
  • Cloudflare, Inc. — entrega de contenido (CDN), seguridad y enrutamiento (Estados Unidos).
  • Resend, Inc. — entrega de correo transaccional por cuenta de MARC (Estados Unidos).
  • Proveedores de notificaciones push y analítica móvil (Firebase, Apple Push Notification Service, Google Cloud Messaging) — entrega de notificaciones y métricas operativas de aplicación.

El tratamiento mediante herramientas de inteligencia artificial (Anthropic, PBC) se describe específicamente en la sección 5.C.

5.B · Transferencias propiamente dichas

MARC podrá transferir datos personales a los siguientes terceros, que los tratarán con finalidades propias bajo su propio régimen de privacidad o conforme a obligaciones legales:

  • Al Comercio del que usted es afiliado — para la operación del programa de lealtad, atención y derechos ARCO ejercidos directamente ante el Comercio. El Comercio es Responsable de los datos generados en su establecimiento.
  • Stripe, Inc. y Stripe Payments México — procesamiento de pagos cuando aplica; Stripe actúa como Responsable independiente bajo certificación PCI-DSS Level 1 (Estados Unidos / México).
  • POS Providers (Soft Restaurant® y similares) — únicamente cuando es indispensable para coordinar la integración técnica del programa o escalar tickets de soporte.
  • Asesores legales, contables, fiscales y auditores externos, sujetos a deberes de confidencialidad.
  • Sociedades controladoras, subsidiarias o afiliadas de MARC, así como entidades resultantes de operaciones corporativas (fusión, escisión, adquisición), siempre que asuman los compromisos del presente Aviso.
  • Autoridades competentes, en los casos legalmente previstos.

Las transferencias internacionales hacia Estados Unidos de América y otras jurisdicciones se realizan bajo cláusulas contractuales tipo o mecanismos equivalentes que garantizan un nivel adecuado de protección. Cualquier otra comunicación de datos distinta a las anteriores requerirá su consentimiento expreso cuando legalmente corresponda.

5.C · Tratamiento mediante herramientas de inteligencia artificial

Cuando el Comercio utilice funcionalidades de análisis, reportes, predicciones, segmentaciones, recomendaciones, automatización o asistencia basadas en inteligencia artificial dentro de la plataforma Tuki (incluyendo Tukimetrics), MARC podrá procesar consultas, métricas y datos necesarios para generar la funcionalidad solicitada, principalmente a través del proveedor Anthropic, PBC (Estados Unidos), entendido como proveedor tecnológico de inteligencia artificial que tratará datos únicamente bajo instrucciones de MARC y para las finalidades habilitadas en Tuki/Tukimetrics, salvo que contractualmente actúe bajo un régimen distinto informado al titular.

MARC se compromete a:

  • Procurar el uso de datos agregados, anonimizados o seudonimizados antes que datos personales identificables.
  • No autorizar a los proveedores de IA a utilizar los datos personales de afiliados para entrenar modelos generales, conforme a las políticas comerciales pactadas con dichos proveedores.
  • Cuando sea necesario procesar datos personales identificables, limitar el tratamiento a lo estrictamente necesario para la finalidad informada al titular.
  • Aplicar controles de minimización antes del envío de datos a herramientas de IA.

6 · Derechos ARCO

Como titular de los datos personales, usted o su representante legal debidamente acreditado tiene derecho a:

  • Acceder a sus datos personales en posesión de MARC y conocer los detalles de su tratamiento.
  • Rectificar sus datos personales cuando sean inexactos, incompletos o estén desactualizados.
  • Cancelar sus datos personales cuando considere que no se requieren para alguna finalidad legal, contractual o legítima.
  • Oponerse al tratamiento de sus datos para finalidades específicas.

Adicionalmente, usted puede revocar el consentimiento que en su caso haya otorgado, así como limitar el uso o divulgación de sus datos.

Ventanilla única para sus solicitudes:

Para facilitar el ejercicio de sus derechos, usted podrá enviar cualquier solicitud relacionada con sus datos personales a privacidad@tukicard.com.

  • Cuando MARC actúe como Responsable (cuenta Tuki, app, wallet, soporte directo), atenderá directamente la solicitud.
  • Cuando MARC actúe como Encargado del Comercio (transacciones, visitas, preferencias declaradas a un comercio específico), canalizará la solicitud al Comercio correspondiente y le asistirá técnicamente para su atención, conforme al contrato aplicable.

Usted también podrá dirigirse directamente al Comercio si así lo prefiere, conforme al Aviso de Privacidad propio del Comercio.

7 · Procedimiento para ejercer derechos ARCO o revocación

Para ejercer sus derechos ARCO o revocar su consentimiento, envíe una solicitud por escrito al correo privacidad@tukicard.com indicando lo siguiente. MARC funciona como ventanilla única: si la solicitud corresponde a un Comercio (donde MARC actúa como Encargado), MARC la canalizará al Comercio responsable y le asistirá técnicamente conforme al contrato aplicable.

Su solicitud debe incluir:

  • Nombre completo del titular y, en su caso, del representante legal, así como domicilio o medio para recibir la respuesta.
  • Documento que acredite la identidad del titular (copia de identificación oficial vigente) y, en su caso, la representación legal.
  • Descripción clara y precisa de los datos personales sobre los que busca ejercer el derecho y del derecho específico (acceso, rectificación, cancelación, oposición o revocación de consentimiento).
  • Cualquier otro elemento o documento que facilite la localización de los datos personales (número de afiliación, Comercio donde se inscribió, etc.).
  • Tratándose de solicitudes de rectificación, deberá adjuntar la documentación que sustente el cambio solicitado.

MARC dará respuesta a su solicitud dentro de los veinte (20) días hábiles siguientes a la fecha de recepción. Cuando la solicitud sea procedente, se hará efectiva dentro de los quince (15) días hábiles posteriores a la respuesta. Los plazos podrán ampliarse una sola vez por un periodo igual cuando las circunstancias lo justifiquen.

El ejercicio de estos derechos es gratuito; únicamente deberá cubrir, en su caso, los gastos justificados de envío o reproducción.

MARC podrá negar el acceso a sus datos personales, su rectificación, cancelación u oposición, en los supuestos previstos por la LFPDPPP y su Reglamento, incluyendo cuando el solicitante no sea el titular o no acredite su representación, cuando los datos no se encuentren en su base de datos, cuando se lesionen derechos de un tercero, cuando exista impedimento legal o resolución de autoridad, o cuando la rectificación, cancelación u oposición ya se haya realizado.

8 · Limitación del uso o divulgación de sus datos · Preferencias por canal

Usted puede limitar el uso o divulgación de sus datos personales solicitándolo por escrito al correo privacidad@tukicard.com. MARC mantiene una lista interna de exclusión de comunicaciones comerciales en la que lo inscribirá una vez recibida y procesada su solicitud.

Adicionalmente, en aplicaciones móviles y portales operados por Tuki usted podrá administrar por separado sus preferencias de cada canal de comunicación:

  • Correo electrónico
  • SMS
  • WhatsApp u otras mensajerías
  • Notificaciones push (apps y wallet)
  • Otros canales que se incorporen en el futuro
Las comunicaciones transaccionales u operativas necesarias para el funcionamiento del programa (confirmación de canje, vencimiento de puntos, cambios al programa, alertas críticas) podrán seguir enviándose aun cuando usted se dé de baja de comunicaciones comerciales secundarias. Estas comunicaciones son indispensables para que el servicio funcione correctamente.

Las comunicaciones relacionadas con el programa de lealtad del Comercio podrán ser enviadas por el propio Comercio o por MARC/Tuki como proveedor tecnológico del Comercio. Las comunicaciones comerciales propias de MARC/Tuki se enviarán únicamente conforme a las finalidades secundarias y preferencias gestionadas en este Aviso.

9 · Conservación

En cumplimiento del principio de proporcionalidad y minimización, MARC conservará sus datos personales conforme a plazos diferenciados según la naturaleza del dato:

Tipo de dato Plazo de conservación
Datos de afiliación activaDurante toda la vigencia de su afiliación al programa del Comercio
Datos de afiliación inactiva (sin interacción registrada >24 meses)Bloqueo automático; uso restringido a conservación legal. Supresión anticipada disponible vía derecho de cancelación
Datos transaccionales generados en establecimiento del ComercioConforme a la política del Comercio (Responsable). MARC los conserva como Encargado durante la vigencia del programa
Datos fiscales asociados a CFDIs5 años mínimo conforme al Código Fiscal de la Federación
Logs técnicos de acceso, autenticación y seguridad12 a 24 meses, salvo prolongación por incidente activo
Datos de soporte y tickets cerradosHasta 24 meses tras el cierre, salvo retención por disputa
Datos agregados, anonimizados o disociados (sin identificar persona física)Indefinido cuando ya no permiten identificar al titular

Concluidos los plazos aplicables, los datos serán bloqueados y posteriormente suprimidos conforme a las políticas internas de retención y a los principios de finalidad, proporcionalidad y minimización.

10 · Medidas de seguridad

MARC ha implementado medidas de seguridad administrativas, técnicas y físicas razonables para proteger sus datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado, conforme a los principios y deberes establecidos en la LFPDPPP. Estas medidas incluyen, entre otras, cifrado en tránsito (TLS 1.2 o superior), cifrado en reposo para datos sensibles, controles de acceso por roles, auditoría de accesos, separación de ambientes, y respaldo periódico cifrado.

Notificación de incidentes de seguridad

En caso de vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares, MARC notificará a los titulares afectados sin demora injustificada y, en la medida de lo posible, dentro de las 72 horas siguientes a que MARC confirme la vulneración o tenga elementos razonables para determinarla. La notificación incluirá, conforme esté disponible, la naturaleza del incidente, los datos potencialmente afectados, las medidas adoptadas y los puntos de contacto.

La notificación inicial podrá complementarse conforme avance la investigación. Cuando corresponda por ley, MARC notificará adicionalmente a la autoridad competente dentro de los plazos legalmente previstos.

10.bis · Datos anonimizados, agregados o disociados

MARC podrá generar y utilizar información estadística, agregada, anonimizada o disociada derivada del uso de la plataforma Tuki, siempre que dicha información no permita identificar razonablemente a una persona física. Esta información podrá utilizarse para análisis internos, mejora del producto, benchmarking entre programas, reportes comerciales, inteligencia de mercado, modelos estadísticos y desarrollo de nuevas funcionalidades.

Cuando dicha información se comparta externamente, MARC procurará que no permita identificar directa o razonablemente a titulares.

MARC no intentará reidentificar información anonimizada o disociada, ni permitirá que terceros lo hagan, salvo por razones de seguridad, auditoría, cumplimiento legal o atención de incidentes conforme a la legislación aplicable.

La información así generada deja de considerarse dato personal en los términos del artículo 3, fracción XVII de la LFPDPPP y, por tanto, no está sujeta a los derechos ARCO ni a los plazos de conservación de la sección 9.

11 · Cookies, SDKs, identificadores publicitarios y seguimiento

Cuando visite el sitio web de Tuki, utilice nuestras aplicaciones móviles o billeteras digitales, podremos utilizar cookies, web beacons, SDKs de analítica, identificadores publicitarios (IDFA en iOS / AAID en Android) y tecnologías similares para recopilar información sobre su navegación, preferencias, autenticación, rendimiento y métricas de uso.

Categorías

Categoría Finalidad Base Vida útil
NecesariasAutenticación, sesión, seguridad, preferencias básicasSin consentimiento (estrictamente necesarias)Sesión o hasta 12 meses
FuncionalesRecordar idioma, comercios favoritos, ajustesOpt-out desde preferenciasHasta 12 meses
AnalíticasMétricas de uso, rendimiento, erroresOpt-out desde preferenciasHasta 24 meses
Marketing y retargeting (opt-in)Publicidad personalizada, retargeting en plataformas terceras, medición de campañasOpt-in explícito mediante banner o centro de preferenciasHasta 12 meses
Identificadores publicitarios móviles (IDFA / AAID)Atribución de campañas y publicidad cuando usted lo autorizaSujeto a permiso de tracking del sistema operativo (Apple ATT / Google Play)Mientras el sistema operativo lo conserve

Control desde su dispositivo: en aplicaciones móviles, usted puede limitar o revocar el seguimiento publicitario desde los ajustes del sistema operativo (Apple App Tracking Transparency en iOS, "Restablecer ID publicitario" o "Excluir personalización" en Android), independientemente de lo que configure dentro de Tuki.

Adicionalmente, puede deshabilitar cookies no necesarias desde la configuración de su navegador, o desde el banner / centro de preferencias presente en el sitio o la aplicación. La desactivación de cookies necesarias puede limitar funcionalidades esenciales.

12 · Cambios al presente Aviso

MARC se reserva el derecho de modificar, actualizar, ampliar o adicionar el contenido del presente Aviso de Privacidad. Cualquier cambio será publicado en tukicard.com/privacidad indicando la fecha de su última actualización. Cuando los cambios sean sustanciales, le notificaremos adicionalmente por los medios de contacto que usted nos haya proporcionado (correo electrónico, notificación dentro de la aplicación o aviso destacado en el portal del programa).

13 · Autoridad de protección de datos

Si considera que su derecho a la protección de datos personales ha sido vulnerado por alguna conducta u omisión de MARC, o presume alguna violación a las disposiciones aplicables, podrá acudir ante la Secretaría Anticorrupción y Buen Gobierno, a través de la autoridad competente en materia de protección de datos personales, o ante la autoridad que legalmente la sustituya o resulte competente. La información de contacto de la autoridad podrá consultarse en su sitio oficial.

14 · Consentimiento

Al inscribirse al programa de lealtad de un Comercio que utiliza Tuki, al descargar e instalar una aplicación móvil operada por Tuki, al crear una cuenta en cualquier portal de Tuki, al agregar una tarjeta digital a su billetera, o al proporcionar sus datos personales por cualquier otro medio, usted manifiesta haber leído, entendido y aceptado los términos del presente Aviso de Privacidad, otorgando su consentimiento para el tratamiento de sus datos personales conforme a las finalidades primarias aquí descritas.

Respecto a las finalidades secundarias, usted podrá manifestar su negativa al tratamiento desde el momento en que se pone a su disposición este Aviso, o en cualquier momento posterior, a través de los siguientes mecanismos:

  • Centro de preferencias dentro de la aplicación Tuki o del portal del programa.
  • Correo electrónico a privacidad@tukicard.com.
  • Mecanismos de baja incluidos en cualquier comunicación comercial que reciba.

Cuando MARC solicite consentimiento expreso para finalidades específicas (por ejemplo, marketing directo, retargeting o cross-promoción multi-comercio), lo hará mediante casilla, toggle, banner o mecanismo equivalente que permita su manifestación clara e informada.

Para cualquier duda o aclaración sobre el presente Aviso, escríbanos a privacidad@tukicard.com.

Última actualización: mayo de 2026 · Mobile Ads and Rewards Corporation, S.A.P.I. de C.V.
Documento publicado en cumplimiento de la LFPDPPP. Hash SHA-256 disponible para auditoría a petición.
Este documento es propiedad de MARC. Lealtad sin fricción.