FleteQ Versión 1.2 — 18 de mayo de 2026

AVISO DE PRIVACIDAD — FleteQ

Última actualización: 18 de mayo de 2026
Versión: 1.2

Cambios v1.1 → v1.2 (18 may 2026): alineación con funcionalidades del producto introducidas entre mayo 2026 (telemetría anonimizada opt-in MAY11_C.1, Recibo de Margen Verificable opt-in MAY11_B.1, integraciones backend Supabase + Facturama en modo demo MAY05_A). Se matizan §2.3 y §4.3 para reflejar que los datos del negocio del Usuario permanecen en su navegador con dos excepciones expresamente opt-in (telemetría operacional anonimizada y Recibo de Margen Verificable). Se agregan §2.6 (telemetría operacional) y §2.7 (Recibo Verificable) nuevas con descripción granular. Se clarifica §5.1 sobre ubicación de tratamiento de proveedores (Netlify functions corren en EE. UU.). Se ajusta §8 para reflejar el estado real de seguridad de credenciales (almacenamiento local pre-ronda con migración planeada a hash bcrypt backend Fase 1.5). Se agrega link directo a Política de Telemetría granular en §11. Ver 05_Legal/CHANGELOG_LEGAL_v1_1_a_v1_2.md para diff completo.

Cambios v1.0 → v1.1 (3 may 2026): alineación con la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) publicada el 20 de marzo de 2025 y vigente desde el 21 de marzo de 2025. Actualizada autoridad de control (INAI fue disuelto, sus funciones pasaron a la Secretaría Anticorrupción y Buen Gobierno). Clasificación explícita de datos sensibles. Diferenciación reforzada de finalidades que requieren consentimiento. Alineación con CCPA/CPRA actualizado vigente desde el 1 de enero de 2026 (California). Ver 05_Legal/CHANGELOG_LEGAL_v1_a_v1_1.md para diff completo.

1. Identidad del Responsable

En cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México (publicada en el DOF el 20 de marzo de 2025), del Reglamento General de Protección de Datos (GDPR — Reglamento UE 2016/679) de la Unión Europea, de la California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA) de Estados Unidos en su versión vigente desde el 1 de enero de 2026, y demás legislación aplicable, se pone a disposición del Usuario el presente Aviso de Privacidad.

Nota sobre el correo: gabriel@fleteq.mx es el buzón operativo del dominio propio FleteQ, válido para todas las comunicaciones formales descritas en este Aviso (incluido el ejercicio de derechos ARCO).
- Sitio web: https://fleteq.mx
- Aplicación: https://app.fleteq.mx

2. Datos Personales que Recabamos

2.1 Datos que el Usuario proporciona directamente (datos personales NO sensibles)

a) Nombre completo
b) Correo electrónico
c) Número telefónico (opcional)
d) Nombre de la empresa o razón social del Usuario (al registrarse como transportista)
e) Datos fiscales (al contratar un plan de pago: RFC, razón social, domicilio fiscal). Estos datos se utilizan exclusivamente para emitir CFDI conforme a la legislación fiscal mexicana.
f) Datos de facturación (procesados por pasarelas de pago de terceros como Stripe o Conekta; FleteQ NO almacena datos de tarjetas, CVV, CLABE ni información financiera sensible)

2.2 Datos generados por el uso del Servicio (datos técnicos no sensibles)

a) Dirección IP
b) Tipo de navegador y sistema operativo
c) Fechas y horas de acceso
d) Páginas visitadas dentro de la Plataforma
e) Acciones realizadas dentro del Servicio (clicks, tiempos de uso)
f) Identificadores de sesión (UUID generados localmente por el navegador del Usuario)

2.3 Datos del negocio del Usuario (almacenados localmente en el navegador)

IMPORTANTE: Los datos que el Usuario introduce en el cotizador (información de sus clientes, cotizaciones, rutas, costos operativos, datos de operadores y unidades) se almacenan exclusivamente en el navegador del Usuario mediante tecnología localStorage. Como regla general, estos datos NO se transmiten a los servidores de FleteQ ni a sus encargados de tratamiento.

Excepciones expresamente opt-in — el Usuario decide activarlas o no, en cualquier momento, sin afectar las funcionalidades primarias del Servicio:

a) Telemetría operacional anonimizada (§2.6): si el Usuario activa el toggle correspondiente durante el onboarding (paso 6) o en Configuración → Privacidad, FleteQ recolecta un subconjunto estrictamente acotado de datos de uso agregados y K-anonimizados (umbral N≥50), sin posibilidad de re-identificación individual. Detalle granular: https://fleteq.mx/privacidad-telemetria.

b) Recibo de Margen Verificable (§2.7): si el Usuario decide guardar una cotización con la funcionalidad "Recibo Verificable" habilitada, FleteQ persiste un subconjunto verificable de la cotización (slug público + cifras agregadas + firma HMAC) en su backend para permitir consulta pública en https://app.fleteq.mx/v/{slugId}. Los datos personales del cliente final del Usuario (nombre, RFC, dirección) nunca se incluyen.

c) Carta Porte CFDI 4.0 + Anexo D: cuando el Usuario decide emitir una Carta Porte timbrada, los datos fiscales requeridos por la legislación SAT (RFC emisor + receptor, ubicaciones, mercancía, autotransporte) son transmitidos al PAC autorizado (Facturama, Diverza, o sucesor configurado) para timbrado oficial. Estado actual del producto (modo demostración hasta junio 2026): el wizard de Carta Porte genera XML mock con UUID placeholder; no hay transmisión real a PAC. El producto declara visiblemente este estado mediante disclaimer "MODO DEMO" en cada superficie afectada (banner cotizador #tab-cartaporte + pill landing fleteq.mx/carta-porte). El cambio a producción (MOCK_PAC=0) será notificado al Usuario con al menos 15 días de anticipación.

Si en el futuro se habilita un almacenamiento en la nube de los datos generales del negocio (más allá de las excepciones descritas), el Usuario será notificado expresamente con al menos 15 días de anticipación y deberá otorgar consentimiento expreso adicional antes de que cualquier dato de su negocio salga de su dispositivo.

2.4 Datos personales sensibles

FleteQ NO recolecta, almacena ni trata datos personales sensibles. Conforme al Artículo 4 de la LFPDPPP vigente, son datos personales sensibles aquellos que afecten a la esfera más íntima del titular o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para el titular, incluyendo: origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencias sexuales, información biométrica.

Si en el futuro alguna funcionalidad del Servicio requiriera el tratamiento de datos sensibles, FleteQ obtendrá consentimiento expreso y por escrito del titular mediante firma electrónica o cualquier mecanismo equivalente, conforme al Artículo 9 de la LFPDPPP.

2.5 Datos de menores de edad

FleteQ NO está dirigido a menores de 18 años y no recolecta deliberadamente datos de menores. Si un menor proporcionara datos personales, sus tutores legales pueden solicitar la eliminación inmediata escribiendo a gabriel@fleteq.mx.

2.6 Telemetría operacional anonimizada (opt-in expreso)

Como excepción a la regla general descrita en §2.3, FleteQ recolecta un subconjunto estrictamente acotado de datos de uso agregados y anonimizados, únicamente si el Usuario activa el toggle correspondiente durante el onboarding (paso 6 "Ayuda al gremio del transporte mexicano") o en cualquier momento posterior en Configuración → Privacidad y telemetría.

Naturaleza jurídica del consentimiento: consentimiento expreso conforme a los Artículos 8 y 9 de la LFPDPPP vigente. El toggle está OFF por default; el Usuario debe accionarlo positivamente (=== 'on'). Sin consentimiento expreso, FleteQ no recolecta ningún dato cubierto por esta sección.

Qué SÍ se recolecta cuando el Usuario otorga consentimiento:

Qué NUNCA se recolecta — el endpoint del servidor rechaza activamente estos campos en el payload mediante validación de schema (defensa en profundidad):

Garantía K-anonimato: las consultas agregadas de benchmark gremial se entregan a otros usuarios únicamente cuando hay al menos N≥50 cotizaciones distintas para el corredor solicitado. Por debajo de ese umbral, el endpoint responde con n_cotizaciones: <N> sin entregar promedios — protección contra re-identificación estadística.

Ubicación del tratamiento: Netlify Functions (telemetry-collect.js + benchmark-by-corredor.js) corren en infraestructura cloud de Netlify (regiones operativas en EE. UU.). Ver §5.3 para detalle de transferencias internacionales aplicables.

Cómo revocar el consentimiento: desactivar el toggle en Configuración → Privacidad y telemetría, en cualquier momento. La revocación es efectiva inmediata: el cliente FleteQ deja de enviar nuevos eventos. Los eventos anonimizados ya enviados (que por su naturaleza no son re-identificables) permanecen en la base de datos agregada del servicio.

Política granular de telemetría: descripción técnica completa, schema versionado, ejemplos de payload, fuente del K-anonimato y procedimiento de auditoría en https://fleteq.mx/privacidad-telemetria.

2.7 Recibo de Margen Verificable (opt-in al guardar cotización)

Cuando el Usuario decide guardar una cotización con la funcionalidad "Recibo de Margen Verificable" habilitada (toggle disponible en el paso de cierre del cotizador), FleteQ persiste un subconjunto verificable de esa cotización en su backend para permitir consulta pública en https://app.fleteq.mx/v/{slugId}.

Naturaleza jurídica del consentimiento: consentimiento expreso conforme a los Artículos 8 y 9 LFPDPPP. El Usuario decide habilitar o no la funcionalidad en cada cotización individual; el default es OFF.

Qué se persiste: ID slug público (formato FQ-YYYY-MM-DD-OOO-DDD-NNN), corredor de origen-destino (sin direcciones detalladas), kilometraje declarado, equipo, cifras agregadas (precio sugerido, costo, margen %), versión del schema, firma HMAC-SHA256 generada con clave secreta del servidor para garantizar integridad e impedir manipulación posterior.

Qué NUNCA se persiste en el Recibo Verificable:
- Datos personales del cliente final del Usuario (nombre, RFC, correo, teléfono, dirección).
- Datos personales del Usuario titular (nombre completo, RFC, dirección).
- Detalle de costos por concepto (sueldo operador, diésel, llantas, etc.) — solo el agregado final.
- Información que permita re-identificar al cliente final.

Finalidad operativa: transparencia profesional voluntaria. El Usuario puede compartir el URL del Recibo con su cliente final (vía WhatsApp / correo) para que éste verifique que el cálculo no fue manipulado posterior al envío de la cotización.

Ubicación del tratamiento: base de datos Supabase (tabla verified_quotes) + Netlify Functions (quote-verify-register.js + verify-margin.js). Estado actual del producto: funcionalidad implementada cliente, persistencia backend en modo mock pre-launch hasta junio 2026 (ver §2.3 inciso c sobre el cambio a producción).

Cómo eliminar un Recibo Verificable persistido: escribir a gabriel@fleteq.mx indicando el slug FQ-... específico. FleteQ procede a eliminación dentro de 20 días naturales (plazo LFPDPPP Art. 32). Después de la eliminación, la URL pública app.fleteq.mx/v/{slugId} devuelve HTTP 404.

3. Finalidades del Tratamiento

Conforme al Artículo 15 de la LFPDPPP vigente, las finalidades se clasifican en primarias (no requieren consentimiento adicional al uso del Servicio) y secundarias (requieren consentimiento expreso del Usuario).

3.1 Finalidades primarias — necesarias para prestar el Servicio (NO requieren consentimiento adicional)

a) Crear y administrar la cuenta del Usuario
b) Proporcionar acceso a las funcionalidades del Servicio
c) Procesar pagos y facturar suscripciones
d) Brindar soporte técnico y atención al cliente
e) Enviar notificaciones operativas (confirmación de cuenta, recibos, alertas críticas del servicio)
f) Cumplir con obligaciones legales y fiscales aplicables
g) Prevenir fraudes y proteger la seguridad de la Plataforma
h) Mantener la sesión iniciada del Usuario mediante mecanismos técnicos esenciales

3.2 Finalidades secundarias — REQUIEREN CONSENTIMIENTO EXPRESO del Usuario

a) REQUIERE CONSENTIMIENTO: Enviar comunicaciones de marketing, boletines, promociones y novedades del Servicio
b) REQUIERE CONSENTIMIENTO: Realizar análisis estadísticos agregados para mejorar el Servicio (incluyendo medición con herramientas como Plausible, PostHog o equivalentes)
c) REQUIERE CONSENTIMIENTO: Invitar al Usuario a programas beta, pruebas de nuevas funcionalidades o entrevistas de investigación de producto
d) REQUIERE CONSENTIMIENTO: Compartir datos agregados y anonimizados con socios estratégicos para análisis de mercado del sector logístico (sin posibilidad de re-identificación individual)

El Usuario puede otorgar o negar el consentimiento para finalidades secundarias durante el registro y puede revocarlo en cualquier momento escribiendo a gabriel@fleteq.mx, sin que ello afecte la prestación del Servicio para finalidades primarias.

3.3 Toma de decisiones automatizadas

FleteQ NO toma decisiones automatizadas con efectos jurídicos significativos sobre el Usuario. El cotizador genera cálculos y estimaciones basados en parámetros que el Usuario introduce, pero la decisión final de aceptar, modificar o rechazar cualquier cotización corresponde exclusivamente al Usuario. No se utiliza Inteligencia Artificial ni algoritmos automatizados para denegar servicio, modificar precios sin intervención del Usuario, ni generar perfiles que afecten al titular.

4. Cookies, Almacenamiento Local y Tecnologías Similares

4.1 Tipos de tecnologías utilizadas

a) Cookies esenciales y técnicas: Mantener la sesión del Usuario iniciada y asegurar el funcionamiento básico de la Plataforma (autenticación, balanceo de carga, preferencias de seguridad). Estas tecnologías son estrictamente necesarias y no requieren consentimiento conforme al Artículo 15 de la LFPDPPP vigente y a la jurisprudencia GDPR sobre cookies estrictamente necesarias.

b) Cookies de análisis (REQUIEREN CONSENTIMIENTO): Medir el uso agregado del Servicio mediante herramientas de analítica web como Plausible, PostHog o equivalentes. Estas tecnologías se activan exclusivamente con el consentimiento expreso previo del Usuario mediante el banner de cookies de la Plataforma.

c) Cookies de preferencias: Recordar configuraciones del Usuario (idioma, moneda, tema visual). Pueden activarse con consentimiento granular del Usuario.

4.2 Banner de cookies y derecho de oposición

La Plataforma muestra un banner de cookies en el primer acceso que permite al Usuario:
- Aceptar todas las cookies opcionales
- Rechazar todas las cookies opcionales (mantiene solo las esenciales)
- Configurar granularmente qué tipos acepta o rechaza

Conforme a las regulaciones CCPA/CPRA vigentes desde el 1 de enero de 2026 para residentes de California, FleteQ confirma visualmente al Usuario cuando una solicitud de opt-out ha sido procesada. La Plataforma respeta señales universales de opt-out como Global Privacy Control (GPC).

4.3 Almacenamiento local (localStorage, sessionStorage, IndexedDB)

FleteQ utiliza localStorage del navegador para guardar los datos del negocio del Usuario (cotizaciones, clientes, rutas, costos, perfiles operativos). Este almacenamiento NO es una cookie y permanece exclusivamente en el dispositivo del Usuario.

Como regla general, los datos guardados en localStorage NO son transmitidos a los servidores de FleteQ. Las únicas excepciones — expresamente opt-in y descritas en §2.3, §2.6 y §2.7 — son: (a) telemetría operacional anonimizada cuando el Usuario activa el toggle de Configuración → Privacidad y telemetría; (b) Recibo de Margen Verificable cuando el Usuario decide habilitarlo al guardar una cotización individual; (c) datos fiscales Carta Porte CFDI 4.0 cuando el Usuario decide emitir un comprobante timbrado vía PAC autorizado (modo demostración hasta junio 2026).

El Usuario puede eliminar el localStorage en cualquier momento desde la configuración de su navegador o desde la sección "Configuración → Privacidad y telemetría" de la propia Plataforma. El borrado local no afecta a los datos opt-in ya transmitidos (telemetría anonimizada o Recibos Verificables públicos); para gestionar esos casos ver los procedimientos específicos en §2.6, §2.7 y §6.5.

5. Transferencias y Comunicaciones de Datos

FleteQ no vende, alquila ni comercializa los datos personales del Usuario a terceros con fines comerciales.

5.1 Comunicaciones a encargados (proveedores que procesan datos en nombre de FleteQ)

FleteQ comparte datos personales con los siguientes encargados que prestan servicios necesarios para operar la Plataforma. Cada encargado está obligado contractualmente a tratar los datos exclusivamente para las finalidades indicadas y conforme a la legislación aplicable. Los Acuerdos de Tratamiento de Datos (DPA) correspondientes están firmados o se firman al activar el proveedor.

Proveedor (encargado) Finalidad Ubicación tratamiento Categoría datos
Netlify (hosting estático + serverless functions) Alojar app.fleteq.mx + fleteq.mx + ejecutar funciones serverless (telemetría opt-in, recibo verificable, mock CFDI pre-launch) EE. UU. (regiones operativas de Netlify Edge + AWS Lambda subyacente) IP, headers HTTP, logs de acceso, payloads de las funciones según opt-in del Usuario (§2.6, §2.7)
Supabase (base de datos PostgreSQL + Storage + Auth) Persistir cuentas de Usuario, recibos verificables, registros de CFDI Carta Porte y archivos de Anexo D SAT 2027. Estado actual: modo mock pre-launch — la persistencia real se activa cuando el Usuario consiente §2.3 inciso c y FleteQ transita a MOCK_PAC=0 con al menos 15 días de notificación. EE. UU. (región us-east-1 por defecto) Datos de cuenta, recibos verificables opt-in, registros CFDI con datos fiscales del Usuario y de su cliente cuando emita Carta Porte timbrada
Facturama / Diverza / sucesor configurado (PAC autorizado SAT) Timbrar CFDI 4.0 + Complemento Carta Porte 3.1 cuando el Usuario emita una Carta Porte (cumplimiento obligación fiscal MX). Estado actual: modo demostración hasta junio 2026 — no se transmiten datos reales al PAC. México (PACs autorizados SAT operan desde MX) RFC emisor + receptor, ubicaciones, mercancía, autotransporte, CSD del Usuario
Conekta (pasarela de pagos MX) Procesar pagos con tarjeta, SPEI y efectivo (OXXO) cuando se activen planes pagados México Datos de facturación, RFC, tokens de tarjeta (no almacenados por FleteQ)
Stripe (pasarela de pagos LATAM/global) Procesar pagos cuando aplique EE. UU. Mismos que Conekta
Plausible o PostHog (analítica web pre-launch público) Medir uso agregado del Servicio (solo con consentimiento del Usuario). No activo durante beta cerrada. UE / EE. UU. Eventos de uso anonimizados
OpenStreetMap, Nominatim, OSRM (geocodificación y rutas) Calcular rutas y distancias para cotizaciones UE Direcciones de origen y destino capturadas por el Usuario
TollGuru (cálculo de casetas) Estimar costos de casetas en rutas foráneas cuando catálogo CAPUFE interno no cubra la ruta EE. UU. Direcciones origen/destino
Proveedor de correo transaccional (ej. Resend, SendGrid) Enviar notificaciones por correo electrónico EE. UU. / UE Correo electrónico del Usuario
Anthropic (modelos de lenguaje, uso interno equipo desarrollo FleteQ) Asistencia en desarrollo y operación interna del Servicio. No se transmiten datos personales del Usuario a Anthropic. EE. UU. N/A (no aplica al tratamiento de datos del Usuario)

5.2 Transferencias a terceros (responsables independientes)

FleteQ no transfiere datos personales a terceros responsables independientes, salvo en los siguientes casos previstos en el Artículo 37 de la LFPDPPP vigente:
- Cuando la transferencia esté prevista en una ley o tratado del que México sea parte
- Cuando sea necesaria para procuración o administración de justicia
- Cuando el titular haya otorgado consentimiento previo
- Cuando se requiera para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial

5.3 Transferencias internacionales

Al utilizar proveedores de servicios fuera de México, los datos del Usuario son transferidos a Estados Unidos (principalmente — donde corren Netlify Functions, Supabase y la mayoría del stack técnico), la Unión Europea (OpenStreetMap / Nominatim / OSRM) u otros países según la tabla §5.1.

Transparencia sobre Netlify Functions: las funciones serverless del Servicio (telemetría opt-in §2.6, recibo verificable §2.7, mock CFDI pre-launch §2.3 inciso c) se ejecutan en infraestructura de Netlify, cuyas regiones operativas se encuentran en EE. UU. (AWS Lambda subyacente). Esto aplica incluso cuando el Usuario se encuentra físicamente en México.

Mensaje a operadores beta y futuros usuarios pagados: el procesamiento serverless en EE. UU. no convierte a FleteQ en empresa estadounidense. FleteQ es operada desde México por un responsable mexicano (Gabriel Escamilla, persona física con actividad empresarial); la sede de operación, el contacto legal, la atención al cliente y la facturación son mexicanas. La elección de un proveedor de hosting con infraestructura en EE. UU. responde exclusivamente a criterios de calidad técnica, redundancia y costo durante la Fase 0-1 del producto. Está bajo evaluación la migración a un proveedor con regiones MX (querido-aws.mx-central-1, Magalu o equivalente) en Fase 1.5 post-ronda ángel Q4 2026.

Garantías legales aplicables:

Compromiso de minimización: FleteQ se compromete a minimizar las categorías de datos personales transferidas al mínimo necesario para la finalidad declarada (principio de proporcionalidad LFPDPPP Art. 11). Los payloads de las funciones opt-in (§2.6, §2.7) están diseñados para excluir activamente todo dato personal identificable mediante validación de schema en el endpoint.

5.4 Oposición a comunicaciones y transferencias

El Usuario puede oponerse a comunicaciones y transferencias específicas escribiendo a gabriel@fleteq.mx. FleteQ evaluará la solicitud caso por caso, dado que algunas comunicaciones son indispensables para la prestación del Servicio (ej. hosting, pasarela de pagos).

6. Derechos del Usuario

6.1 Derechos ARCO + Revocación de Consentimiento (México — LFPDPPP vigente)

Conforme a los Artículos 22-26 de la LFPDPPP vigente, el Usuario puede ejercer los siguientes derechos:

6.2 Derechos adicionales (Unión Europea — GDPR)

Los Usuarios residentes en la Unión Europea tienen, además de los derechos ARCO, los siguientes derechos del Reglamento UE 2016/679:

6.3 Derechos adicionales (California, EE. UU. — CCPA/CPRA vigentes desde 1 enero 2026)

Los residentes de California tienen derecho a:

6.4 Derechos sobre toma de decisiones automatizadas

FleteQ no realiza toma de decisiones automatizadas con efectos jurídicos significativos sobre el Usuario (ver Sección 3.3). Si en el futuro la Plataforma incorporara funcionalidades basadas en Inteligencia Artificial o Automated Decision-Making Technology (ADMT) que afecten al Usuario, se notificará con al menos 30 días de anticipación y se ofrecerá la opción de exclusión o intervención humana, conforme a las regulaciones CPRA 2026 sobre ADMT.

6.5 Cómo ejercer sus derechos

Para ejercer cualquiera de estos derechos, envíe una solicitud a gabriel@fleteq.mx indicando:

a) Nombre completo y correo electrónico registrado en FleteQ
b) Descripción clara del derecho que desea ejercer y la finalidad específica (si aplica)
c) Copia de identificación oficial (INE, pasaporte o equivalente) para verificar su identidad
d) Cualquier documento que respalde su solicitud, si aplica

Plazos de respuesta:
- México (LFPDPPP): 20 días naturales para responder + 15 días naturales para hacer efectiva la determinación
- Unión Europea (GDPR): 1 mes desde la recepción, prorrogable a 3 meses en casos complejos
- California (CCPA/CPRA): 45 días desde la recepción, prorrogables a 90 días con notificación

FleteQ responderá por el mismo medio por el cual se recibió la solicitud, salvo que el Usuario indique otro medio de comunicación.

7. Conservación de Datos

FleteQ conservará los datos personales del Usuario durante el tiempo necesario para cumplir con las finalidades descritas en este Aviso y con las obligaciones legales aplicables:

8. Seguridad

FleteQ implementa medidas técnicas, administrativas y físicas razonables para proteger los datos personales contra accesos no autorizados, pérdida, alteración o divulgación. Estas medidas incluyen:

a) Cifrado de datos en tránsito mediante HTTPS/TLS 1.3 (encabezados Strict-Transport-Security + Content-Security-Policy activos).
b) Acceso restringido beta cerrada: durante la fase pre-launch hasta junio 2026, el acceso a app.fleteq.mx está protegido con autenticación HTTP básica adicional (Site Password Netlify) además de la cuenta del Usuario.
c) Sub-Resource Integrity (SRI) sobre dependencias CDN (Lucide Icons) para impedir manipulación de scripts externos.
d) Validación de schema y sanitización XSS sobre todos los inputs del Usuario (defensa en profundidad para 100+ vectores XSS auditados — ver auditoría F2.6 en repositorio).
e) Aislamiento de claves criptográficas: la clave HMAC del Recibo Verificable (§2.7) reside exclusivamente en variables de entorno del backend y nunca se expone al cliente.
f) Firma HMAC-SHA256 sobre los Recibos Verificables públicos para impedir manipulación posterior a la emisión.
g) K-anonimato N≥50 en consultas agregadas de telemetría (§2.6) para prevenir re-identificación estadística.
h) Backups automáticos de la infraestructura backend (Supabase) cuando se active la persistencia real (modo pre-launch actual: backend mock).

Estado actual de la autenticación de cuenta (transparencia plena): durante la Fase 0-1 actual del producto, las credenciales de cuenta del Usuario se almacenan en localStorage del navegador del propio Usuario (sin componente backend de autenticación). La protección efectiva contra acceso no autorizado proviene del aislamiento del navegador, de la protección Site Password Netlify y del control físico del dispositivo del Usuario. La migración a un sistema backend con hash bcrypt + rotación de tokens + 2FA está planeada para la Fase 1.5 post-ronda de inversión (Q4 2026 — Q1 2027), antes del lanzamiento comercial público con cobro masivo (septiembre 2026 timeline beta cerrada extendida).

Durante la beta cerrada (red conocida de operadores invitados por Gabriel), este modelo es aceptable. Para el lanzamiento público se anunciará la migración con al menos 30 días de anticipación.

No obstante, ningún sistema es 100% seguro. El Usuario debe mantener sus credenciales en secreto, no compartir el Site Password de la beta cerrada, y notificar de inmediato cualquier sospecha de acceso no autorizado escribiendo a gabriel@fleteq.mx.

9. Privacidad de Menores

FleteQ está dirigido a personas mayores de edad con capacidad legal para contratar servicios comerciales. No recopilamos deliberadamente datos de menores de 18 años. Si detectamos que se han recabado datos de un menor, procederemos a su eliminación inmediata. Los tutores legales de un menor que detecten captura de datos pueden solicitar eliminación inmediata escribiendo a gabriel@fleteq.mx.

10. Cambios al Aviso de Privacidad

FleteQ se reserva el derecho de modificar este Aviso de Privacidad en cualquier momento. Las modificaciones materiales serán notificadas:
- Por correo electrónico al Usuario registrado
- Mediante aviso destacado en la Plataforma app.fleteq.mx y la landing fleteq.mx
- Con al menos 15 días naturales de anticipación a su entrada en vigor

La versión más reciente de este Aviso estará siempre disponible en https://fleteq.mx/privacidad. El historial de versiones se conserva en el repositorio público del proyecto para trazabilidad.

11. Contacto y Autoridades de Control

11.1 Contacto FleteQ

Para cualquier duda, solicitud o reclamación relacionada con este Aviso de Privacidad, contacte a:

Gabriel Escamilla — Responsable del Tratamiento de Datos Personales FleteQ
- Correo: gabriel@fleteq.mx
- Sitio web: https://fleteq.mx
- Aplicación: https://app.fleteq.mx

11.1.1 Documentos relacionados (lectura complementaria)

11.2 Autoridades de control aplicables

Si el Usuario considera que el tratamiento de sus datos no cumple con la legislación aplicable, puede presentar una reclamación ante:

Al utilizar FleteQ, el Usuario declara haber leído, entendido y aceptado el presente Aviso de Privacidad en su totalidad.

Versión del documento: 1.2 — 18 de mayo de 2026
Versión anterior: 1.1 — 3 de mayo de 2026
Versión inicial: 1.0 — 11 de abril de 2026 (archivada en 04_Archivo_Historico/legal/)
Cambios respecto a v1.1: ver 05_Legal/CHANGELOG_LEGAL_v1_1_a_v1_2.md
Cambios v1.0 → v1.1: ver 05_Legal/CHANGELOG_LEGAL_v1_a_v1_1.md

← Volver a FleteQ | Términos de Servicio | gabriel@fleteq.mx