PlanMyTrip24PlanMyTrip24EnglishDeutschFrançais

Aviso de Privacidad Integral

Versión 2026-07-08 · Vigente a partir del 8 de julio de 2026 · Texto en español: versión que rige

El presente Aviso de Privacidad Integral se emite en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la «LFPDPPP»), su Reglamento y los Lineamientos del Aviso de Privacidad, y explica cómo se tratan los datos personales cuando usted utiliza la aplicación móvil PlanMyTrip24 y el sitio web planmytrip24.com (conjuntamente, el «Servicio»). Este documento está redactado además para satisfacer el Reglamento General de Protección de Datos de la UE/Reino Unido (RGPD), la LPD suiza, la Ley de Privacidad del Consumidor de California (CCPA/CPRA), la APPI japonesa y la PIPA surcoreana, así como los requisitos de divulgación de privacidad de Apple App Store y Google Play. La versión en español es la que rige; las versiones en inglés y alemán son traducciones de cortesía.

1. Identidad y domicilio del Responsable

El responsable del tratamiento de sus datos personales (el «Responsable» u «Operador») es:

Kevin Meda Rodriguez, persona física de nacionalidad mexicana
Domicilio: Paseo de los Fresnos 182, Col. Paseos de Taxqueña, C.P. 04250, Alcaldía Coyoacán, Ciudad de México, México
Correo electrónico: [email protected]

Kevin Meda Rodriguez es la única persona responsable del tratamiento de los datos personales recabados a través del Servicio. No se ha designado un delegado de protección de datos (no es exigible a la escala actual). Toda consulta de privacidad debe dirigirse al correo indicado.

2. Datos personales que tratamos, para qué y con qué base

CategoríaDatosFinalidadBase jurídica (RGPD)
CuentaCorreo electrónico, nombre de usuario, nombre y apellidos, fecha de nacimiento, género (opcional), país/ciudad de residencia, contraseña (almacenada únicamente como hash con sal), foto de perfil, idioma/moneda/unidades preferidosCrear y operar su cuenta; verificar que es mayor de 18 años; personalizar contenidosArt. 6(1)(b) contrato; verificación de edad: Art. 6(1)(c) obligación legal
Datos técnicos del dispositivoModelo de dispositivo, sistema operativo y versión, versión de la app, identificadores del dispositivo o de instalación utilizados por los SDK integrados, dirección IP, agente de usuario (user-agent)Operar la app, diagnosticar errores, seguridad y prevención de abusosArt. 6(1)(b)/(f)
Viajes y planificaciónDestinos, fechas, itinerarios, notas, reservaciones, vuelos rastreados, preferencias (p. ej. intereses, alimentación), miembros del viajePrestar las funciones de planificación que usted utilizaArt. 6(1)(b) contrato
Archivos y recibosArchivos que usted sube (boletos, confirmaciones, recibos, fotos)Almacenarlos y mostrarlos en sus viajes; análisis antimalwareArt. 6(1)(b); análisis: Art. 6(1)(f) interés legítimo (seguridad)
Bóveda seguraArchivos y metadatos cifrados de extremo a extremoAlmacenamiento cifrado. Conocimiento cero: solo almacenamos texto cifrado y no podemos leerloArt. 6(1)(b)
GastosImportes de gastos, repartos, miembros del grupo, imágenes de recibosFunciones de división de gastosArt. 6(1)(b)
Funciones de IASus mensajes de chat al asistente de viaje, parámetros del viaje y el contenido necesario para generar itinerarios/consejos/traduccionesGenerar el contenido de IA que usted solicita (procesado por los proveedores de IA de la Sección 6)Art. 6(1)(b)
Ubicación del dispositivoUbicación precisa o aproximada del dispositivo (únicamente si usted otorga el permiso del sistema operativo), procesada mediante los servicios de Google Maps/Google Places y los componentes de mapas de la appExclusivamente para la funcionalidad esencial de la app: mostrar su posición en los mapas, sugerir su ciudad de salida y mostrar lugares y contenido cercanos. No se almacena en nuestros servidores y no se vende a tercerosArt. 6(1)(a) consentimiento (revocable en los ajustes del sistema operativo)
Registros de seguridad y auditoríaDirección IP, dispositivo/agente de usuario, marcas de tiempo de inicios de sesión y de cambios relevantes para la seguridad (cambios de correo/nombre de usuario), aceptaciones de términosSeguridad, prevención de abuso y fraude, limitación de tasa, evidencia legal del consentimientoArt. 6(1)(f) interés legítimo; Art. 6(1)(c)
Estado de suscripciónIdentificadores de transacción de la tienda de aplicaciones y estado de la suscripción (sin datos de tarjeta: los pagos los procesan Apple/Google)Activar y verificar PremiumArt. 6(1)(b)
NotificacionesToken push (si usted activa las notificaciones), preferencias de notificaciónEnviar las notificaciones que usted eligió (p. ej. alertas de vuelo)Art. 6(1)(a)/(b)
Correos electrónicosDirección de correo, eventos de entrega de correos transaccionales (códigos de verificación, restablecimiento de contraseña, actividad de la cuenta); marketing solo conforme a su consentimientoOperar la cuenta; novedades del producto opcionalesArt. 6(1)(b); marketing: Art. 6(1)(a) consentimiento
Soporte y comentariosMensajes que usted nos envía, textos de comentariosResponderle; mejorar el ServicioArt. 6(1)(b)/(f)

A efectos de la LFPDPPP, el tratamiento descrito se sustenta en el consentimiento que usted otorga al aceptar este Aviso y, en lo aplicable, en las excepciones del artículo 10 de la LFPDPPP (datos necesarios para la existencia, mantenimiento y cumplimiento de la relación jurídica entre usted y el Responsable). Las categorías anteriores se corresponden con las declaraciones de privacidad publicadas en las fichas de la app en Apple App Store («Privacidad de la app» / etiquetas de nutrición de privacidad) y Google Play («Seguridad de los datos»).

No utilizamos sus datos para decisiones automatizadas con efectos jurídicos o significativamente similares, y no tratamos deliberadamente categorías especiales de datos (no suba datos de salud u otra información sensible fuera de la bóveda cifrada).

3. Lo que deliberadamente no hacemos

  • No vendemos ni compartimos datos personales para publicidad conductual entre contextos (CCPA: sin «venta» ni «compartición»). En particular, sus datos de ubicación nunca se venden a terceros.
  • No integramos SDK de publicidad ni rastreadores de terceros dentro de la app móvil.
  • No almacenamos sus coordenadas GPS en nuestros servidores.
  • No leemos su bóveda cifrada: es técnicamente imposible sin su frase de acceso.

4. Finalidades del tratamiento

Finalidades primarias (necesarias para la relación jurídica que da origen al tratamiento):

  • crear, autenticar, operar y mantener su cuenta, incluida la verificación de mayoría de edad;
  • prestar las funciones del Servicio que usted utiliza (planificación de viajes, itinerarios, reservaciones, gastos, archivos, bóveda, seguimiento de vuelos, clima, contenido generado por IA que usted solicite);
  • gestionar su suscripción Premium y verificar sus derechos de acceso;
  • enviarle comunicaciones transaccionales indispensables (códigos de verificación, restablecimiento de contraseña, avisos de seguridad y de cuenta) y las notificaciones que usted active;
  • garantizar la seguridad del Servicio, prevenir fraude y abuso, y conservar evidencia del consentimiento;
  • cumplir obligaciones legales aplicables.

Finalidades secundarias (no necesarias para la relación jurídica):

  • envío de novedades del producto y comunicaciones promocionales propias (solo con su consentimiento expreso, opt-in);
  • análisis internos para mejorar el producto (p. ej. el motivo de eliminación de cuenta que usted declare voluntariamente).

Usted puede negarse al tratamiento para finalidades secundarias en cualquier momento y sin que ello afecte la prestación del Servicio: desactive las comunicaciones en los ajustes de la app o escriba a [email protected] con el asunto «Limitación de finalidades secundarias».

5. Datos personales sensibles

No recabamos ni solicitamos datos personales sensibles en el sentido de la LFPDPPP (origen racial o étnico, estado de salud, creencias religiosas, afiliación sindical, opiniones políticas, preferencia sexual, entre otros). Le pedimos no incluir este tipo de información en campos de texto libre; si necesita guardar documentos con información delicada, utilice la bóveda cifrada de conocimiento cero.

6. Encargados y receptores de datos

Para operar el Servicio utilizamos los siguientes proveedores de servicios (encargados en términos de la LFPDPPP y el RGPD o, en algunos casos, responsables independientes):

ProveedorFinalidadDatos involucradosUbicación
Google Cloud (Google Ireland/LLC)Alojamiento: servidores, base de datos, almacenamiento de archivos, colas de tareas (región europe-west1, Bélgica)Todos los datos del lado del servidorUE (alojamiento); soporte de Google LLC (EE. UU.)
Google (Gemini / Vertex AI)Generación de contenido con IA (itinerarios, chat, consejos, traducciones, ofertas)Mensajes de chat, parámetros del viaje, contenido a traducirUE/EE. UU.
xAI, OpenAI, GroqProveedores de IA de respaldo/auxiliares para tareas específicasLas mismas categorías anteriores (sin identificadores de cuenta)EE. UU.
Langfuse (Langfuse GmbH)Registro técnico de solicitudes de IA (supervisión de calidad y costos); se registran entradas y salidasEntradas/salidas de IA, identificadores seudónimosUE
Google Maps / Google Places / Distance MatrixBúsqueda de lugares, detalles, fotos, tiempos de traslado, funciones de mapaTérminos de búsqueda, consultas de lugares, coordenadas consultadasEE. UU./global
MapboxMapas y rutasSolicitudes de teselas de mapa, coordenadas de rutaEE. UU.
Open-MeteoPronósticos del climaCoordenadas del destino (sin identificadores personales)UE
AeroDataBox (vía MagicAPI)Estado de los vuelos que usted rastreaNúmeros de vuelo, fechasEE. UU./UE
MailerSendCorreos transaccionales y (con consentimiento) de productoDirección de correo, nombre, eventos de entregaUE/EE. UU.
Firebase Cloud Messaging (Google)Notificaciones push (si están activadas)Token push, contenido de las notificacionesEE. UU./global
Apple / Google PlayDistribución de la app, cobro de suscripcionesDatos de compra/transacción (son responsables independientes)EE. UU./global
CloudflareEntrega de contenidos (imágenes, sitio web)Dirección IP, URL solicitadasGlobal
VirusTotal (Google) / ClamAV autoalojadoAnálisis antimalware de archivos subidosHashes de archivos / contenido de los archivos subidos (no aplica a la bóveda)EE. UU. / UE
exchangerate-api.comTipos de cambioNinguno (consultas genéricas de tipos de cambio)EE. UU.

Cuando usted abre el sitio o la app de un socio de reservaciones a través de un enlace del Servicio (p. ej. Expedia, Trip.com, Check24, GetYourGuide, Viator, Klook, Tiqets, Civitatis), ese socio trata sus datos como responsable independiente conforme a su propio aviso de privacidad. Los enlaces salientes pueden llevar un identificador de afiliado para que el socio atribuya la referencia; no recibimos de los socios sus datos de reservación.

7. Transferencias internacionales

Nuestros servidores están en la Unión Europea (Bélgica). Algunos proveedores indicados tratan datos en Estados Unidos o a nivel global. Las transferencias a encargados descritas en este Aviso son necesarias para operar el Servicio y se realizan al amparo de los artículos 36 y 37 de la LFPDPPP; al proporcionar sus datos y aceptar este Aviso usted consiente dichas transferencias. Cuando los datos salen de la UE/Reino Unido/Suiza nos apoyamos en decisiones de adecuación de la Comisión Europea (incluido el Marco de Privacidad de Datos UE–EE. UU. para proveedores certificados) y/o en Cláusulas Contractuales Tipo con medidas complementarias. El Responsable, con domicilio en México, accede a los sistemas para su administración; a dicho acceso le aplican la LFPDPPP y nuestras salvaguardas contractuales.

8. Google Maps y Google Places

Las funciones de mapas, búsqueda de lugares y datos geográficos del Servicio utilizan los servicios de Google Maps y Google Places. Al utilizar estas funciones, usted queda además sujeto a los Términos de Servicio Adicionales de Google Maps/Google Earth y a la Política de Privacidad de Google. Google puede recibir las consultas de lugares y coordenadas necesarias para responder a sus búsquedas; Google actúa conforme a sus propios términos. Las marcas Google Maps, Google Places y demás marcas de Google son propiedad de Google LLC.

9. Enlaces y redirecciones a sitios de terceros

El Servicio contiene enlaces que lo redirigen a sitios web y plataformas externos de terceros que están completamente fuera del control del Responsable. Al salir del Servicio mediante uno de esos enlaces, este Aviso de Privacidad deja de aplicar: el tratamiento de sus datos queda sujeto exclusivamente al aviso o política de privacidad del sitio externo correspondiente. Le recomendamos leer las políticas de privacidad de todo sitio de terceros que visite. El Responsable no asume responsabilidad alguna por las prácticas de privacidad de dichos terceros.

10. Derechos ARCO (México)

Usted o su representante legal pueden ejercer en todo momento los derechos de Acceso, Rectificación, Cancelación y Oposición (derechos ARCO) previstos en la LFPDPPP. Procedimiento:

  1. Envíe una solicitud por correo electrónico a [email protected] con el asunto «Solicitud ARCO».
  2. La solicitud debe contener, conforme al artículo 29 de la LFPDPPP: (a) su nombre completo y un medio para comunicarle la respuesta (correo electrónico); (b) copia de un documento que acredite su identidad (INE/IFE, pasaporte) o, en su caso, la representación legal de quien actúa en su nombre; (c) una descripción clara y precisa de los datos personales respecto de los que busca ejercer alguno de los derechos ARCO y del derecho que desea ejercer; y (d) cualquier elemento que facilite la localización de los datos (p. ej. el correo con el que se registró).
  3. Plazos: le comunicaremos la determinación adoptada en un plazo máximo de 20 días hábiles contados desde la recepción de la solicitud; de resultar procedente, se hará efectiva dentro de los 15 días hábiles siguientes a la comunicación de la respuesta. Los plazos pueden ampliarse una sola vez por un periodo igual cuando esté justificado.
  4. El ejercicio de los derechos ARCO es gratuito; solo podrán cobrarse los gastos justificados de envío o el costo de reproducción en copias u otros formatos.
  5. Si la respuesta no le satisface o no la recibe en plazo, puede iniciar el procedimiento de protección de derechos ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — home.inai.org.mx — dentro de los 15 días hábiles siguientes.

11. Derechos en otras jurisdicciones

UE/Reino Unido/Suiza (RGPD/LPD): usted tiene derecho de acceso, rectificación, supresión, limitación, portabilidad y oposición (incluida la oposición al tratamiento basado en interés legítimo), así como a retirar su consentimiento en cualquier momento con efectos futuros. Puede presentar una reclamación ante su autoridad de control local.

California (CCPA/CPRA): derechos a conocer, eliminar, corregir y a la no discriminación. No vendemos ni compartimos información personal, por lo que no hay nada de lo que excluirse; tampoco usamos información personal sensible más allá de lo necesario para prestar el Servicio.

Japón (APPI) / Corea del Sur (PIPA): usted goza de derechos equivalentes de acceso, corrección, eliminación y oposición/revocación conforme a su legislación local.

Cómo ejercerlos: la mayoría de estos derechos son de autoservicio en la app (editar perfil; Cuenta → Eliminar cuenta). Para todo lo demás escriba a [email protected]; verificaremos su identidad y responderemos dentro del plazo legal (un mes bajo el RGPD, prorrogable donde la ley lo permita).

12. Revocación del consentimiento y limitación de uso o divulgación

Usted puede revocar el consentimiento otorgado para el tratamiento de sus datos personales, así como limitar el uso o divulgación de los mismos, enviando un correo a [email protected] con el asunto «Revocación de consentimiento» o «Limitación de uso», siguiendo el mismo procedimiento y plazos de la Sección 10. Tome en cuenta que la revocación no tendrá efectos retroactivos y que, cuando el tratamiento sea necesario para prestar el Servicio, la revocación puede implicar que no podamos seguir prestándoselo (en cuyo caso podrá eliminar su cuenta conforme a la Sección 13). El permiso de ubicación puede revocarse en cualquier momento directamente en los ajustes de su sistema operativo, sin necesidad de solicitud.

13. Conservación de datos y eliminación de su cuenta

Cómo eliminar su cuenta y todos sus datos: dentro de la app, vaya a Cuenta → Eliminar cuenta, confirme con su contraseña y la eliminación se ejecuta de forma permanente. Alternativamente, puede solicitar la eliminación completa por correo a [email protected] (verificaremos su identidad). Esta vía cumple asimismo el requisito de eliminación de cuenta de las directrices de Apple App Store y Google Play.

  • Datos de la cuenta y contenidos: se conservan mientras exista su cuenta. Al eliminarla, sus viajes, archivos, gastos, tokens push, enlaces de invitación, foto de perfil y bóveda se eliminan de forma permanente (los viajes compartidos de su propiedad se transfieren o eliminan según usted elija durante el proceso).
  • Lo que sobrevive a la eliminación: (a) el motivo de eliminación que usted declare, junto con su correo, para análisis del producto; (b) los registros de auditoría de seguridad de cambios de identidad (IP, agente de usuario); (c) las constancias de aceptación de los Términos y de este Aviso — conservadas como evidencia legal y suprimidas cuando dejen de ser necesarias (a lo sumo, el plazo de prescripción aplicable); y (d) copias de seguridad cifradas de corta duración (rotación automática).
  • La desactivación (a diferencia de la eliminación) conserva sus datos para que pueda volver; puede solicitar la eliminación total en cualquier momento.
  • Registros de entrega de correo y registros de servidor se conservan por periodos técnicos breves.

14. Medidas de seguridad

Entre las medidas implementadas se incluyen: TLS en todas las comunicaciones (con fijación de certificados en la app), hashing de contraseñas con bcrypt, almacenamiento cifrado, residencia de datos en la UE, controles de acceso estrictos, limitación de tasa y bloqueo ante ataques de fuerza bruta, análisis antimalware de archivos subidos mediante una canalización de cuarentena aislada, registros de auditoría de solo escritura y una bóveda cifrada de conocimiento cero (AES-256-GCM, derivación de clave argon2id en su dispositivo). Ningún servicio de internet es 100 % seguro; mantenga su contraseña única y confidencial.

15. Menores de edad

El Servicio está dirigido a personas adultas (18+). No tratamos a sabiendas datos de menores; el registro rechaza fechas de nacimiento de menores de 18 años. Si usted cree que una persona menor de edad tiene una cuenta, contáctenos y la eliminaremos.

16. Cookies y el sitio web

La app móvil no utiliza cookies ni rastreadores publicitarios de terceros.

El sitio web planmytrip24.com (incluida la versión web de la app) utiliza únicamente el almacenamiento técnicamente necesario para funcionar — por ejemplo, el almacenamiento local de su sesión iniciada — además de las solicitudes a los proveedores de mapas e imágenes descritos en la Sección 6 (que reciben su dirección IP al servir el contenido). No colocamos cookies publicitarias ni de seguimiento. Si esto cambiara, antes mostraríamos un banner de consentimiento.

17. Cambios a este Aviso

Actualizaremos este Aviso conforme evolucione el Servicio. La versión y la fecha de entrada en vigor aparecen al inicio; cualquier cambio se publicará en esta misma página (planmytrip24.com/es/privacy) y los cambios materiales se anunciarán en la app, donde se le pedirá confirmar la nueva versión. Conservamos constancia de la versión que usted aceptó.

18. Contacto

[email protected] — Kevin Meda Rodriguez, Paseo de los Fresnos 182, Col. Paseos de Taxqueña, C.P. 04250, Alcaldía Coyoacán, Ciudad de México, México.

Inicio · Términos y Condiciones · Aviso de Privacidad · English · Deutsch · Français

© 2026 PlanMyTrip24 · Kevin Meda Rodriguez, Coyoacán, Ciudad de México, México · [email protected]