tably
Legal

Aviso de Privacidad de Tably

Última actualización: 13 de mayo de 2026

CODIFICACIÓN TECNOLÓGICA, S. DE R.L. DE C.V. (en lo sucesivo, “Tably”), con domicilio en calle Antiguo Camino a Tesistán 8465, Villafontana Diamante, Zapopan, Jalisco, código postal 45200, es responsable del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 15, 16 y demás aplicables de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Tably es una plataforma de pedidos y pagos en mesa para restaurantes y bares: el comensal escanea un código QR firmado, arma su orden y paga con tarjeta o efectivo desde su celular. Este aviso explica qué datos recabamos, para qué los usamos y cómo puedes ejercer tus derechos.

1. Finalidades del tratamiento de datos

Los datos personales que recabamos se utilizan para las siguientes finalidades:

Finalidades primarias (indispensables para la prestación del servicio)

  • Operar el servicio de Tably: gestión de menú, mesas, empleados, órdenes, cocina (KDS), panel del mesero, reportes y conciliación de cobros.
  • Procesar cobros en línea a través de Stripe, incluyendo la vinculación con la cuenta Stripe Connect del establecimiento.
  • Cumplir con las obligaciones derivadas de la relación contractual: emisión de factura, cobros recurrentes del plan Pro, registro de reembolsos y bitácora de auditoría.
  • Enviar comunicaciones transaccionales necesarias para el uso del servicio: recibos, confirmaciones de pago, recuperación de contraseña, recordatorios de cobro, alertas de seguridad.
  • Cumplir con obligaciones legales, fiscales y regulatorias aplicables a Tably como responsable del tratamiento.
  • Mantener la confidencialidad de la información, obligación que subsiste aun después de finalizada la relación con Tably.

Finalidades secundarias (no indispensables)

  • Fines mercadotécnicos, publicitarios y de prospección.
  • Estadísticas internas, métricas de uso y evaluación de calidad del servicio.
  • Comunicación de novedades del producto, políticas y actualizaciones.

Puedes manifestar tu negativa al tratamiento de datos para finalidades secundarias en cualquier momento, sin que ello afecte la prestación del servicio contratado.

2. Datos personales que recabamos

Tably recaba únicamente los datos necesarios para operar el servicio. Estos varían según el rol del usuario:

Owner del establecimiento (quien contrata la cuenta)

  • Nombre completo y correo electrónico.
  • Contraseña almacenada con hashing seguro (nunca en texto plano).
  • Datos fiscales del establecimiento (RFC, razón social, domicilio fiscal) cuando se solicita facturación.

Empleados del establecimiento (meseros, cocina, administradores)

  • Nombre, usuario generado, rol asignado.
  • Contraseña almacenada con hashing seguro.

Comensales (clientes finales que escanean el QR)

  • Nombre temporal de sesión (lo escribe el propio comensal al sentarse para identificarse en la mesa).
  • Detalle de su orden y montos.

Datos que NO almacenamos

  • Datos de tarjeta bancaria. El procesamiento lo realiza Stripe directamente; Tably no recibe ni guarda número de tarjeta, CVV, ni datos de expiración.
  • Documentos de identificación del owner (INE, CURP, comprobantes). Stripe los solicita y verifica durante el alta de la cuenta Connect Express; viven en Stripe, no en Tably.
  • Información de la cuenta bancaria del establecimiento. La CLABE se proporciona directamente a Stripe.

Tably no recaba datos personales sensibles. Si por una causa excepcional fuera estrictamente necesario, solicitaríamos tu consentimiento expreso y por escrito.

Los datos pueden recabarse por medios electrónicos (plataforma Tably, correo electrónico, sitio web), telefónicos o presenciales según corresponda.

3. Acceso del comensal y tokens QR

El comensal accede al menú y servicio escaneando el código QR firmado de su mesa. Tably no expone URLs públicas con el nombre comercial, el identificador interno (slug) ni otros datos legibles del establecimiento. Los tokens del QR son opacos y firmados criptográficamente con un secreto rotable por mesa: si un QR se pierde o se reemplaza, el secreto se rota y los QR previos quedan inválidos sin afectar los datos del establecimiento.

La sesión del comensal vive únicamente en la pestaña del navegador (per-tab) y caduca al cerrar la pestaña o tras un tiempo de inactividad.

4. Rol del establecimiento como corresponsable

Durante la prestación del servicio, Tably aloja datos relacionados con los empleados y los comensales del establecimiento, exclusivamente para cumplir con la relación contractual y operar el servicio.

No obstante, el establecimiento (persona física o moral que contrata Tably) también tiene acceso a esos datos a través de su panel administrativo. En este sentido:

  • Cada establecimiento es responsable de contar con su propio Aviso de Privacidad dirigido a sus empleados y comensales, conforme a la LFPDPPP.
  • El establecimiento debe implementar medidas administrativas, técnicas y físicas razonables para proteger la información a la que accede desde Tably.
  • Tably no asume responsabilidad por el uso, tratamiento o decisiones que el establecimiento adopte respecto a los datos de sus empleados o comensales, más allá de las obligaciones legales que le correspondan a Tably como proveedor tecnológico.

Tably, por su parte, aplica medidas técnicas y organizativas para garantizar un tratamiento adecuado de los datos alojados en su plataforma.

5. Cookies y tecnologías similares

Tably utiliza tecnologías para mejorar la experiencia y la eficiencia del servicio, incluyendo cookies y mecanismos de almacenamiento del navegador (localStorage y sessionStorage).

Las cookies son pequeñas cantidades de información que se almacenan en el navegador para que el servidor recuerde ciertos datos (por ejemplo, mantener la sesión iniciada o las preferencias del idioma). Pueden usarse también web beacons o pixeles para medir el uso del sitio: dirección IP, tipo de navegador, duración de interacción, entre otros.

Puedes desactivar las cookies desde la configuración de tu navegador, aunque ello podría limitar el funcionamiento de algunas secciones del servicio.

6. Transferencias de datos

Conforme al artículo 37 de la LFPDPPP, los datos personales podrán ser transferidos sin requerir consentimiento adicional a:

  • Stripe, procesador de pagos, para procesar los cobros en línea y administrar la cuenta Connect del establecimiento. La política de privacidad de Stripe aplica a esos datos.
  • Servicios de correo transaccional (proveedores como Resend, Postmark o equivalentes), para enviar recibos, recuperación de contraseña, notificaciones del producto y comunicaciones operativas.
  • Proveedores de infraestructura en la nube (hosting, base de datos, almacenamiento, logging), bajo contratos que garantizan medidas de seguridad equivalentes.
  • Autoridades competentes cuando exista requerimiento formal conforme a la normativa aplicable.

En casos distintos a los previstos por la Ley, se solicitará tu consentimiento expreso. Si no manifiestas tu negativa, entenderemos otorgado el consentimiento tácito.

Para transferencias internacionales, Tably adoptará las medidas contractuales necesarias para garantizar un tratamiento conforme a la LFPDPPP.

7. Medidas de seguridad

Tably aplica medidas administrativas, técnicas y físicas razonables para proteger los datos personales contra daño, pérdida, alteración, destrucción, acceso o uso no autorizado, en apego a los artículos 60 a 68 del Reglamento de la LFPDPPP. Estas medidas incluyen, entre otras:

  • Cifrado de comunicaciones en tránsito mediante HTTPS/TLS.
  • Almacenamiento de contraseñas con algoritmos de hashing seguros (nunca en texto plano).
  • Firma criptográfica HMAC en los tokens de acceso por mesa, con secreto rotable.
  • Segregación de los datos de pago: las tarjetas se procesan directamente con Stripe (PCI DSS Nivel 1) y no transitan por los servidores de Tably.
  • Control de acceso basado en roles (owner, administrador, mesero, cocina) y registro de auditoría de operaciones sensibles (reembolsos, cambios de configuración).
  • Respaldos periódicos y monitoreo continuo de la infraestructura.

8. Derechos ARCO y revocación del consentimiento

Tienes derecho a Acceder, Rectificar, Cancelar u Oponerte (Derechos ARCO) al tratamiento de tus datos personales, así como a revocar el consentimiento que hayas otorgado.

Para ejercer estos derechos, envía tu solicitud al correo: legal@tably.mx

La solicitud debe contener:

  • Nombre completo y domicilio (o medio para recibir notificaciones).
  • Documentos que acrediten tu identidad o, en su caso, la representación legal del titular.
  • Descripción clara y precisa de los datos respecto de los cuales se busca ejercer el derecho.
  • Cualquier otro elemento que facilite la localización de los datos.

Tably dará respuesta en un plazo máximo de 20 días hábiles, prorrogable por otro periodo igual en casos justificados, conforme a la LFPDPPP.

Si consideras que no se ha dado respuesta adecuada a tu solicitud, puedes acudir ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

9. Actualizaciones de este aviso

Este Aviso de Privacidad puede modificarse en función de cambios normativos, internos o de negocio. Las actualizaciones estarán disponibles en tably.mx/privacidad. Si los cambios son relevantes (alcance del tratamiento, finalidades, transferencias), te lo notificaremos por correo con al menos 14 días de anticipación.