Política de privacidad
Última actualización: 29 de mayo de 2026
En Vogelum tratamos tu información personal con cuidado. Esta política describe qué datos recopilamos, por qué, con quién los compartimos y qué derechos tienes.
1. Responsable del tratamiento
Vogelum, con domicilio en Guadalajara, Jalisco, México. Contacto: [email protected]
2. Datos que recopilamos
| Categoría | Datos | Finalidad |
|---|---|---|
| Cuenta | Nombre, correo, teléfono, contraseña cifrada | Crear y mantener tu sesión |
| Negocio | Razón social, RFC, dirección fiscal, logo | Generar tus documentos PDF |
| Cliente final | Nombre, teléfono, correo de tus clientes | Operar el CRM dentro de tu cuenta |
| Pagos | Historial de pagos a Vogelum (sin números de tarjeta) | Facturación y soporte |
| Uso | Logs de acceso, IP, navegador, eventos de auditoría | Seguridad, prevención de fraude |
| Dispositivo | Token de push (APNs/FCM), token de widget/Apple Watch | Enviarte alertas y alimentar el widget/reloj que tú activas |
| Inicio con Apple | Identificador de Apple y correo (real o de relevo) cuando usas "Iniciar sesión con Apple" | Autenticarte sin contraseña |
| Firmas digitales | Imagen de la firma, nombre del firmante, IP y fecha al momento de firmar | Dejar constancia de la aceptación de un contrato/cotización |
| Mensajería | Mensajes de WhatsApp que tú envías a tus clientes mediante plantillas aprobadas | Operar tu mensajería WhatsApp Business (vía Meta) |
NO recopilamos: ubicación GPS continua, contactos del teléfono, datos de salud, navegación fuera de la app. Tu Face ID / Touch ID nunca sale de tu dispositivo: iOS solo nos informa si la verificación fue exitosa.
3. Base legal
- Ejecución de contrato: datos necesarios para prestarte el Servicio.
- Consentimiento: notificaciones push, comunicaciones de marketing.
- Interés legítimo: prevención de fraude, mejora del producto, soporte.
- Obligación legal: conservación de comprobantes fiscales por el periodo que marca la ley.
4. Sub-procesadores
Compartimos datos solo con proveedores que nos ayudan a operar el Servicio. Todos firman acuerdos de procesamiento de datos (DPA) y certificaciones de seguridad.
| Proveedor | Función | Ubicación | Certificación |
|---|---|---|---|
| Cloudflare | Hosting, DB D1, Workers, R2 | USA / EU | SOC 2 Type II, ISO 27001, GDPR |
| Resend | Correos transaccionales | USA | SOC 2 Type II |
| Twilio | SMS opcional | USA | SOC 2, GDPR, HIPAA |
| Apple Inc. | Push iOS (APNs) e "Iniciar sesión con Apple" | USA | ISO 27001 |
| Google LLC | Push Android (FCM) | USA | SOC 2, ISO 27001 |
| Meta Platforms | API de WhatsApp Business (solo si activas la mensajería) | USA / UE | GDPR, ISO 27001 |
Si usas "Iniciar sesión con Apple", Apple nos comparte únicamente un identificador y un correo (real o de relevo) para autenticarte; no recibimos tu contraseña de Apple. Si activas la mensajería de WhatsApp, los mensajes a tus clientes se envían a través de Meta conforme a sus propios términos.
4.1 Transferencias internacionales
Conforme al artículo 36 de la LFPDPPP, te informamos que algunos sub-procesadores almacenan datos fuera de México (principalmente USA y EU). Garantizamos un nivel de protección equivalente mediante: (a) acuerdos de transferencia internacional, (b) certificaciones de cumplimiento del receptor, (c) cifrado de extremo a extremo cuando sea técnicamente viable.
4.2 Integraciones que tú activas
Algunas funciones generan datos solo cuando tú las habilitas:
- Sincronización de agenda: generamos una URL privada de suscripción (formato iCal) con un token único. Quien tenga ese enlace puede ver los eventos de tu calendario, así que trátalo como información confidencial. Puedes revocarlo en cualquier momento.
- Widget y Apple Watch: guardamos un token de dispositivo para mostrarte un resumen en la pantalla de inicio o en tu reloj. No contiene datos de tus clientes más allá del resumen que tú ves.
- WhatsApp Business: los mensajes que envías a tus clientes pasan por Meta (ver sub-procesadores).
5. Seguridad
- Cifrado en tránsito con TLS 1.3
- Cifrado en reposo en la base de datos
- Opción de cifrado end-to-end con tu propia llave (plan MAX)
- Autenticación de dos factores (TOTP) disponible
- Soporte para Face ID / Touch ID en móvil
- Auditoría completa de accesos y cambios
- Respaldos diarios automáticos
6. Tus derechos ARCO + GDPR
Puedes en cualquier momento:
- Acceder a los datos que tenemos sobre ti
- Rectificar información inexacta
- Cancelar tu cuenta y solicitar borrado de tus datos
- Oponerte al procesamiento con fines de marketing
- Portar tus datos en formato abierto (JSON, CSV, HTML)
Para ejercer estos derechos: [email protected] · respondemos en máximo 20 días hábiles.
7. Retención
Mientras tu cuenta esté activa, conservamos tus datos. Si eliminas tu cuenta desde la app (Configuración → Cuenta → Eliminar mi cuenta) o por correo, tus datos pasan a un periodo de recuperación de 30 días durante el cual puedes reactivarla; transcurrido ese plazo se borran de forma permanente e irreversible. Los comprobantes fiscales requeridos por ley se guardan por 5 años en formato cifrado, aun después de eliminar la cuenta.
8. Cookies y tecnologías similares
| Tipo | Finalidad | Duración |
|---|---|---|
Sesión (vgl_session) | Mantener tu inicio de sesión | 90 días (renovable) |
| Preferencias | Idioma, tema, tab activo | 1 año |
| localStorage | Cache offline de tus datos para PWA | Hasta que cierres sesión |
| Service Worker | Offline + push notifications | Hasta desinstalar la PWA |
NO usamos cookies de seguimiento publicitario, píxeles de Facebook/Google, ni cookies de terceros para perfilamiento.
9. Notificación de brechas (LFPDPPP art. 20)
Si detectamos una vulneración de seguridad que afecte significativamente los derechos patrimoniales o morales de los titulares, te notificaremos por correo dentro de 72 horas con: descripción del incidente, datos afectados, recomendaciones, y medidas correctivas tomadas.
10. Datos sensibles
Vogelum NO procesa categorías especiales de datos personales (origen racial, opinión política, religión, salud, orientación sexual, biometría salvo Face ID/Touch ID local).
11. Menores
El Servicio NO está dirigido a menores de 18 años. No recopilamos conscientemente información de menores. Si descubrimos datos de un menor, los borramos dentro de 7 días.
12. Aviso de Privacidad (LFPDPPP México)
Este documento cumple con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento. El Responsable es Vogelum con domicilio en Guadalajara, Jalisco, México.
13. Tus datos como tenant (multi-tenancy)
Vogelum es una plataforma multi-tenant: cada negocio (tenant) tiene su espacio aislado. Los datos de tus clientes (CRM, cotizaciones, contratos) son visibles únicamente para los usuarios que tú autorizas dentro de tu tenant.
14. Derecho de portabilidad
Puedes descargar TODOS tus datos en cualquier momento desde Configuración → Backup. Formatos: JSON, HTML, CSV. Sin límite de descargas.
15. Autoridad de control
Si consideras que tus derechos no fueron atendidos, puedes presentar denuncia ante el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales):
Sitio web: home.inai.org.mx
Tel. 800 835 4324
16. Contacto
Email general de privacidad: [email protected]
Email para ejercer derechos ARCO: [email protected]
WhatsApp: +52 33 1795 4102
Tiempo de respuesta: máximo 20 días hábiles
Privacy policy
Last updated: May 29, 2026
At Vogelum we handle your personal data with care. This policy explains what we collect, why, who we share it with, and the rights you have.
1. Data controller
Vogelum, based in Guadalajara, Jalisco, Mexico. Contact: [email protected]
2. Data we collect
| Category | Data | Purpose |
|---|---|---|
| Account | Name, email, phone, hashed password | Create and maintain your session |
| Business | Legal name, Tax ID, fiscal address, logo | Generate your PDFs |
| End client | Names, phones, emails of your clients | CRM inside your account |
| Billing | Payments to Vogelum (no card numbers) | Billing and support |
| Usage | Access logs, IP, browser, audit events | Security, fraud prevention |
| Device | Push tokens (APNs/FCM), widget/Apple Watch token | Send alerts and power the widget/watch you enable |
| Sign in with Apple | Apple identifier and email (real or relay) when you use "Sign in with Apple" | Authenticate you without a password |
| Digital signatures | Signature image, signer name, IP and date at the moment of signing | Record acceptance of a contract/quote |
| Messaging | WhatsApp messages you send to your clients via approved templates | Operate your WhatsApp Business messaging (via Meta) |
We do NOT collect: continuous GPS location, phone contacts, health data, or browsing outside the app. Your Face ID / Touch ID never leaves your device: iOS only tells us whether verification succeeded.
3. Legal basis
- Contract performance: data needed to provide the Service.
- Consent: push notifications, marketing communications.
- Legitimate interest: fraud prevention, product improvement, support.
- Legal obligation: retention of tax records for the period required by law.
4. Sub-processors
We share data only with providers that help us operate the Service. All sign data processing agreements (DPAs) and hold security certifications.
| Provider | Function | Location | Certification |
|---|---|---|---|
| Cloudflare | Hosting, DB D1, Workers, R2 | USA / EU | SOC 2 Type II, ISO 27001, GDPR |
| Resend | Transactional emails | USA | SOC 2 Type II |
| Twilio | Optional SMS | USA | SOC 2, GDPR, HIPAA |
| Apple Inc. | iOS Push (APNs) and "Sign in with Apple" | USA | ISO 27001 |
| Google LLC | Android Push (FCM) | USA | SOC 2, ISO 27001 |
| Meta Platforms | WhatsApp Business API (only if you enable messaging) | USA / EU | GDPR, ISO 27001 |
If you use "Sign in with Apple", Apple shares only an identifier and an email (real or relay) to authenticate you; we never receive your Apple password. If you enable WhatsApp messaging, messages to your clients are sent through Meta under its own terms.
4.1 International transfers
Under article 36 of Mexico's LFPDPPP, some sub-processors store data outside Mexico (mainly the USA and EU). We ensure an equivalent level of protection through: (a) international transfer agreements, (b) the recipient's compliance certifications, (c) end-to-end encryption where technically feasible.
4.2 Integrations you enable
Some features only generate data when you turn them on:
- Calendar sync: we generate a private subscription URL (iCal format) with a unique token. Anyone holding that link can see your calendar events, so treat it as confidential. You can revoke it at any time.
- Widget and Apple Watch: we store a device token to show you a summary on your home screen or watch. It contains no client data beyond the summary you see.
- WhatsApp Business: messages you send to your clients pass through Meta (see sub-processors).
5. Security
- TLS 1.3 in transit
- Encryption at rest in the database
- Optional end-to-end encryption with your own key (MAX plan)
- Two-factor authentication (TOTP) available
- Face ID / Touch ID support on mobile
- Full audit log of access and changes
- Automatic daily backups
6. Your rights (GDPR + ARCO)
At any time you may:
- Access the data we hold about you
- Rectify inaccurate information
- Cancel your account and request deletion of your data
- Object to processing for marketing purposes
- Port your data in an open format (JSON, CSV, HTML)
To exercise these rights: [email protected] · we respond within 20 business days.
7. Retention
While your account is active, we keep your data. If you delete your account from the app (Settings → Account → Delete my account) or by email, your data enters a 30-day recovery window during which you can reactivate it; after that period it is permanently and irreversibly erased. Tax records required by law are kept for 5 years in encrypted form, even after account deletion.
8. Cookies and similar technologies
| Type | Purpose | Duration |
|---|---|---|
Session (vgl_session) | Keep you signed in | 90 days (renewable) |
| Preferences | Language, theme, active tab | 1 year |
| localStorage | Offline cache of your data for the PWA | Until you sign out |
| Service Worker | Offline + push notifications | Until you uninstall the PWA |
We do NOT use advertising trackers, Facebook/Google pixels, or third-party profiling cookies.
9. Breach notification (LFPDPPP art. 20)
If we detect a security breach that significantly affects the patrimonial or moral rights of data subjects, we will notify you by email within 72 hours with: a description of the incident, the data affected, recommendations, and the corrective measures taken.
10. Sensitive data
Vogelum does NOT process special categories of personal data (racial origin, political opinion, religion, health, sexual orientation, or biometrics other than local Face ID/Touch ID).
11. Children
The Service is NOT directed to anyone under 18. We do not knowingly collect data from minors. If we discover a minor's data, we delete it within 7 days.
12. Privacy notice (Mexico's LFPDPPP)
This document complies with the Federal Law on Protection of Personal Data Held by Private Parties (LFPDPPP) and its Regulations. The controller is Vogelum, based in Guadalajara, Jalisco, Mexico.
13. Your data as a tenant (multi-tenancy)
Vogelum is a multi-tenant platform: each business (tenant) has its own isolated space. Your clients' data (CRM, quotes, contracts) is visible only to the users you authorize within your tenant.
14. Right to portability
You can download ALL your data at any time from Settings → Backup. Formats: JSON, HTML, CSV. No download limit.
15. Supervisory authority
If you believe your rights were not addressed, you may file a complaint with INAI (Mexico's National Institute for Transparency, Access to Information and Protection of Personal Data):
Website: home.inai.org.mx
Tel. 800 835 4324
16. Contact
General privacy email: [email protected]
ARCO rights email: [email protected]
WhatsApp: +52 33 1795 4102
Response time: within 20 business days