Rosarito Resorts

PRIVACY POLICY / AVISO DE PRIVACIDAD

Effective Date: June 2025 | Fecha de Vigencia: Junio 2025

🇺🇸 ENGLISH VERSION — PRIVACY POLICY

1. Identity of the Data Controller

Field	Details
Legal Name	Tech Coast Dev
Address	Rosarito, Baja California, Mexico
Privacy Email	agents@rosaritoresorts.com
ARCO Requests	agents@rosaritoresorts.com
Website	https://rosaritoresorts.com/

2. Personal Data We Collect

Identification Data

Full name
Email address
Phone number
WhatsApp number

Behavioral & Platform Activity

Property search history
Saved / favorited listings
Recently viewed properties
Saved searches

Lead & Intent Data

Budget range
Property preferences (bedrooms, type, zone)
Buying / selling / renting intent
Timeline and financing status

Technical Data

IP address
Device and browser type
Session data and cookies

Payment Data (via Stripe — card numbers never stored by us)

Billing address
Transaction history and subscription status

Tax Data

We may collect the following tax-related data for invoicing and SAT compliance purposes:

Tax ID (RFC — Registro Federal de Contribuyentes)
Fiscal ZIP code
Tax regime (régimen fiscal)
CFDI usage (uso de CFDI)

Communications

Email and WhatsApp messages
Form submissions

User-Generated Content

Property images, descriptions, and uploads

SENSITIVE DATA: We do not collect sensitive personal data as defined under LFPDPPP (racial/ethnic origin, health, genetic, biometric, religious, or sexual data). If this changes, we will obtain explicit written consent before collecting such data.

3. Purposes of Processing

Primary Purposes — required for service delivery

Connecting buyers with agents or developers
Managing and routing leads via the automated LMDL system
Personalizing property search and recommendations
Platform security and fraud prevention
Processing payments and managing subscriptions
Sending transactional and account communications
Complying with tax obligations and issuing digital tax receipts (CFDI) in accordance with applicable law
Managing billing, payments, and accounting processes related to the services provided

Secondary Purposes — marketing & analytics (you may opt out)

Sending property updates, market news, and Platform announcements
Measuring platform performance and optimizing conversion funnels
Advertising effectiveness measurement (GA4, Meta Pixel, Google Ads)

Content & Lead Attribution: When you interact with content (blog posts, area guides, market reports), we may collect: page visited (slug), search keyword or intent, and CTA interactions (e.g., contact agent, newsletter signup). This data measures which content generates leads, improves recommendations, and optimizes marketing performance.

4. Consent Mechanisms

User consent for the processing of personal data is obtained when:

Submitting information through platform forms
Creating an account or user profile
Accepting cookies via the consent banner
Selecting acceptance checkboxes or continuing to use the Platform

Consent for Financial and Patrimonial Data

With respect to financial and patrimonial data — including payment information, transaction history, billing details, tax data (RFC, CFDI), and any data related to payment methods — the user grants express consent for its processing in accordance with applicable data protection laws. Such consent is deemed granted when the user provides this information through the Platform.

Refusing Secondary Purposes

Users may refuse the use of their personal data for secondary purposes such as marketing at the time of data collection or at any time thereafter by contacting us via the methods listed in Section 13.

Legal Basis for Processing

Your consent (form submissions, cookies, marketing opt-in)
Contractual necessity (services you have requested)
Legitimate interest (platform improvement and analytics)
Legal obligations (tax, accounting, and regulatory compliance)

5. Data Transfers

5.1 Transfers to Third Parties and Authorities

Personal data may be shared with:

Mexican tax authorities (SAT) — for CFDI and fiscal compliance obligations
Accounting or invoicing service providers
Payment processors (Stripe)
Platform service providers listed in the international transfers table below

5.2 International Transfers

We transfer personal data to the following processors, all located in the United States. Mexico does not have an adequacy recognition for the US under LFPDPPP. The user expressly consents to the international transfer of personal data, including storage and processing on servers located outside of Mexico.

Processor	Country	Purpose
Google (Firebase, Analytics)	United States	Data storage, authentication, analytics
Meta (Pixel, WhatsApp)	United States	Advertising analytics, messaging
Stripe	United States	Payment processing
Resend	United States	Transactional email delivery
Vercel	United States	Platform hosting

No PII (name, email, or phone number) is transmitted to analytics or advertising tools (GA4, Meta Pixel, Google Ads).

6. ARCO Rights

Under LFPDPPP you have the right to Access, Rectify, Cancel (delete), and Oppose the processing of your personal data.

Right	Description
Access	Know what data we hold, how it is used, and with whom it is shared
Rectification	Correct inaccurate or incomplete personal data
Cancellation	Request deletion of your data (subject to legal retention obligations)
Opposition	Object to specific processing including marketing communications

How to Submit an ARCO Request

To exercise your ARCO rights, submit a request to [Insert ARCO Email] with subject: ARCO - Access / Rectification / Cancellation / Opposition, including:

Full name
Email address for notifications
Copy of valid government-issued identification
Clear description of the data and rights you wish to exercise
Signature of the requestor

Requests will be processed within 20 business days. You may also file a complaint with INAI at www.inai.org.mx.

Right to Revoke Consent

Users may revoke their consent for the processing of personal data at any time by following the same procedure established for ARCO rights above. Revocation of consent does not affect processing that occurred prior to the revocation request, nor processing required by legal obligation.

Limiting Use or Disclosure

Users may limit the use or disclosure of their personal data by submitting a request via email to [Insert Privacy Email]. The Platform will confirm receipt and inform you of the applicable limitations within 20 business days.

7. Cookies

Cookie	Purpose	Duration	Required?
__session (HttpOnly, Secure, SameSite)	Firebase Auth session — keeps you logged in	5 days	Yes
Google Analytics (_ga, _gid)	Traffic and behavior measurement	Up to 2 years	No
Meta Pixel (_fbp)	Advertising analytics	90 days	No
Google Ads (IDE)	Conversion tracking	13 months	No

You can accept or decline optional cookies via the consent banner on your first visit. Declining optional cookies does not affect core Platform functionality. To opt out of Google Analytics, visit tools.google.com/dlpage/gaoptout.

8. Data Retention

Data Type	Retention Period	Basis
Leads	3 years from creation (or duration of agent relationship)	Business & contractual obligation
User accounts	Duration of account + 1 year after deletion	LFPDPPP compliance; fraud prevention
Recently viewed properties	90 days rolling	Platform functionality
Analytics data	~14 months	GA4 / Meta default retention
Payment records	7 years	SAT tax law (Código Fiscal de la Federación, Art. 30)
Agent agreements	Duration + 5 years	Contract enforcement; legal obligation

9. Security Measures

HTTPS / TLS encryption for all data in transit
HttpOnly, Secure, and SameSite cookies to prevent session hijacking
Firebase Authentication with server-side session validation (Admin SDK)
Role-based access control via Firebase custom claims (buyer, agent, admin)
Server-side input validation on all API endpoints using Zod schema validation
Rate limiting on lead submission, authentication, and sensitive API endpoints
No PII (name, email, phone) transmitted to analytics providers (GA4, Meta Pixel, Google Ads)
Firestore security rules enforcing least-privilege access per user role
Card data handled exclusively by Stripe — never transmitted to or stored on our servers

Data Breach Notification

In the event of a data security breach affecting personal data, users will be notified in accordance with applicable law, including the LFPDPPP and its regulations.

10. Children's Privacy

The Platform is not directed to individuals under 18. We do not knowingly collect personal data from minors. If you believe a minor has provided us with data, contact us at [Insert Privacy Email] and we will delete it promptly.

11. Marketing & Opt-Out

We may send property updates, market news, and Platform announcements via email or WhatsApp. You may opt out at any time by:

Emailing [Insert Unsubscribe Email] with subject: UNSUBSCRIBE
Replying STOP to any SMS or WhatsApp marketing message

Opting out of marketing does not affect transactional communications required for service delivery (lead notifications, billing receipts, account confirmations).

12. Changes to This Policy

We may update this Privacy Policy at any time.
Any updates to this Privacy Notice will be published on the website.
For material changes affecting how we process your data, we will provide at least 30 days advance notice by email.
Minor changes will be posted with a revised effective date. Continued use of the Platform constitutes acceptance.

13. Contact

Contact Type	Details
Privacy / ARCO Requests	agents@rosaritoresorts.com
General Legal Inquiries	agents@rosaritoresorts.com
Registered Address	Rosarito, Baja California, Mexico

🇲🇽 VERSIÓN EN ESPAÑOL — AVISO DE PRIVACIDAD

1. Identidad del Responsable

Campo	Datos
Nombre o Razón Social	Tech Coast Dev
Domicilio	Rosarito, Baja California, México
Correo de Privacidad	agents@rosaritoresorts.com
Solicitudes ARCO	agents@rosaritoresorts.com
Sitio Web	https://rosaritoresorts.com/

2. Datos Personales que Recabamos

Datos de Identificación

Nombre completo
Correo electrónico
Número de teléfono
Número de WhatsApp

Datos de Comportamiento y Actividad en la Plataforma

Historial de búsquedas de propiedades
Propiedades guardadas / favoritas
Propiedades vistas recientemente
Búsquedas guardadas

Datos de Intención de Compra

Rango de presupuesto
Preferencias de propiedad (recámaras, tipo, zona)
Intención de compra / venta / arrendamiento
Plazo y estado de financiamiento

Datos Técnicos

Dirección IP
Tipo de dispositivo y navegador
Datos de sesión y cookies

Datos de Pago (vía Stripe — los números de tarjeta nunca son almacenados por nosotros)

Domicilio de facturación
Historial de transacciones y estado de suscripción

Datos Fiscales

Podremos recabar los siguientes datos fiscales para efectos de facturación y cumplimiento ante el SAT:

Registro Federal de Contribuyentes (RFC)
Código postal fiscal
Régimen fiscal
Uso de CFDI

Comunicaciones

Mensajes de correo electrónico y WhatsApp
Envíos de formularios

Contenido Generado por el Usuario

Fotografías, descripciones y archivos de propiedades cargados

DATOS SENSIBLES: No recabamos datos personales sensibles conforme al artículo 3, fracción VI de la LFPDPPP (origen racial o étnico, estado de salud, datos genéticos, biométricos, religiosos, ideológicos ni de vida sexual). En caso de que esto cambie, obtendremos el consentimiento expreso y por escrito del titular antes de recabar dichos datos.

3. Finalidades del Tratamiento

Finalidades Primarias — necesarias para la prestación del servicio

Conectar compradores con agentes o desarrolladores
Gestionar y enrutar prospectos mediante el sistema automatizado LMDL
Personalizar búsquedas y recomendaciones de propiedades
Seguridad de la plataforma y prevención de fraude
Procesamiento de pagos y gestión de suscripciones
Envío de comunicaciones transaccionales y de cuenta
Cumplir con obligaciones fiscales y emitir comprobantes fiscales digitales (CFDI) conforme a la legislación aplicable
Gestionar procesos de facturación, pagos y contabilidad relacionados con los servicios ofrecidos

Finalidades Secundarias — mercadotecnia y analítica (puede oponerse)

Enviar actualizaciones de propiedades, noticias del mercado y anuncios de la Plataforma
Medir el rendimiento de la plataforma y optimizar embudos de conversión
Medición de efectividad publicitaria (GA4, Meta Pixel, Google Ads)

Uso de Datos de Contenido y Atribución de Prospectos: Al interactuar con contenido (artículos, guías de zona, reportes de mercado), podremos registrar: página visitada (slug), palabras clave o intención de búsqueda, e interacciones con CTAs (ej. contactar agente, suscribirse al boletín). Esto nos permite medir qué contenido genera prospectos, mejorar recomendaciones y optimizar el rendimiento de mercadotecnia.

4. Mecanismos de Consentimiento

El consentimiento del Titular para el tratamiento de sus Datos Personales se entenderá otorgado cuando:

Proporcione sus datos a través de formularios en la Plataforma
Cree una cuenta o perfil de usuario
Acepte el uso de cookies
Marque casillas de aceptación o continúe utilizando la Plataforma

Consentimiento para Datos Financieros y Patrimoniales

Tratándose de datos financieros y patrimoniales, tales como información de pagos, historial de transacciones, datos de facturación, datos fiscales (RFC, CFDI) y cualquier información relacionada con métodos de pago, el Titular otorga su consentimiento expreso para su tratamiento, de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Dicho consentimiento se entiende otorgado al momento de proporcionar dicha información a través de la Plataforma.

Oposición a Finalidades Secundarias

El Titular podrá oponerse desde el inicio al uso de sus Datos Personales para finalidades secundarias, tales como marketing o publicidad, indicándolo en el momento de la recolección de sus datos o mediante solicitud posterior al correo indicado en la Sección 13.

Base Legal del Tratamiento

Su consentimiento (envío de formularios, cookies, aceptación de mercadotecnia)
Necesidad contractual (servicios que usted ha solicitado)
Interés legítimo (mejora de la plataforma y analítica)
Obligaciones legales (fiscales, contables y regulatorias)

5. Transferencias de Datos

5.1 Transferencias a Terceros y Autoridades

Los Datos Personales podrán ser transferidos a:

Autoridades fiscales mexicanas (SAT) — para el cumplimiento de obligaciones de CFDI y fiscales
Proveedores de servicios contables o de facturación
Procesadores de pago (Stripe)
Proveedores de servicios de la Plataforma listados en la tabla de transferencias internacionales

5.2 Transferencias Internacionales

Transferimos datos personales a los siguientes encargados, todos ubicados en Estados Unidos. México no ha reconocido un nivel adecuado de protección para EUA conforme a la LFPDPPP. El Titular otorga su consentimiento expreso para la transferencia internacional de sus Datos Personales, incluyendo su almacenamiento y procesamiento en servidores ubicados fuera de México.

Encargado	País	Finalidad
Google (Firebase, Analytics)	Estados Unidos	Almacenamiento de datos, autenticación, analítica
Meta (Pixel, WhatsApp)	Estados Unidos	Analítica publicitaria, mensajería
Stripe	Estados Unidos	Procesamiento de pagos
Resend	Estados Unidos	Entrega de correos transaccionales
Vercel	Estados Unidos	Hospedaje de la plataforma

No se transmite PII (nombre, correo electrónico ni número de teléfono) a herramientas de analítica o publicidad (GA4, Meta Pixel, Google Ads).

6. Derechos ARCO

Conforme a los artículos 28 al 37 de la LFPDPPP, usted tiene derecho a Acceder, Rectificar, Cancelar y Oponerse al tratamiento de sus datos personales.

Derecho	Descripción
Acceso	Conocer qué datos tenemos, cómo se usan y con quién se comparten
Rectificación	Corregir datos personales inexactos o incompletos
Cancelación	Solicitar la supresión de sus datos (sujeta a obligaciones legales de conservación)
Oposición	Oponerse a usos específicos incluyendo comunicaciones de mercadotecnia

Ejercicio de Derechos ARCO

Para ejercer sus derechos ARCO, envíe una solicitud a [Insertar Correo ARCO] con asunto: ARCO - Acceso / Rectificación / Cancelación / Oposición, que incluya:

Nombre completo
Correo electrónico para notificaciones
Copia de identificación oficial vigente
Descripción clara de los datos sobre los que desea ejercer sus derechos
Firma del solicitante

La solicitud será atendida en un plazo máximo de 20 días hábiles. También puede presentar queja ante el INAI en www.inai.org.mx.

Revocación del Consentimiento

El Titular podrá en cualquier momento revocar el consentimiento otorgado para el tratamiento de sus Datos Personales, siguiendo el mismo procedimiento establecido para el ejercicio de derechos ARCO. La revocación no afecta el tratamiento realizado con anterioridad ni el que sea requerido por obligación legal.

Limitación del Uso o Divulgación

El Titular podrá limitar el uso o divulgación de sus Datos Personales enviando una solicitud al correo electrónico de privacidad indicado en la Sección 13. La Plataforma confirmará la recepción e informará sobre las limitaciones aplicables en un plazo de 20 días hábiles.

7. Cookies

Cookie	Finalidad	Duración	¿Requerida?
__session (HttpOnly, Secure, SameSite)	Sesión de Firebase Auth — mantiene la sesión iniciada	5 días	Sí
Google Analytics (_ga, _gid)	Medición de tráfico y comportamiento	Hasta 2 años	No
Meta Pixel (_fbp)	Analítica publicitaria	90 días	No
Google Ads (IDE)	Rastreo de conversiones	13 meses	No

Puede aceptar o rechazar las cookies opcionales mediante el banner de consentimiento en su primera visita. Rechazar cookies opcionales no afecta las funciones principales de la Plataforma. Para excluirse del rastreo de Google Analytics, visite tools.google.com/dlpage/gaoptout.

8. Conservación de Datos

Tipo de Dato	Plazo de Conservación	Fundamento
Prospectos	3 años desde la creación (o durante la relación activa con el agente)	Negocio y obligación contractual
Cuentas de usuario	Vigencia de la cuenta + 1 año tras la cancelación	Cumplimiento LFPDPPP; prevención de fraude
Propiedades vistas recientemente	90 días continuos	Funcionalidad de la plataforma
Datos de analítica	~14 meses	Retención predeterminada de GA4 / Meta
Registros de pago	7 años	Ley fiscal — Código Fiscal de la Federación, Art. 30 (SAT)
Acuerdos de agente	Vigencia + 5 años	Ejecución contractual; obligación legal

9. Medidas de Seguridad

Cifrado HTTPS / TLS para todos los datos en tránsito
Cookies HttpOnly, Secure y SameSite para prevenir el secuestro de sesión
Autenticación de Firebase con validación del lado del servidor (Admin SDK)
Control de acceso basado en roles mediante custom claims de Firebase (comprador, agente, administrador)
Validación de entradas del lado del servidor en todos los endpoints de API mediante esquemas Zod
Limitación de solicitudes (rate limiting) en endpoints de prospectos, autenticación y operaciones sensibles
Sin transmisión de PII (nombre, correo, teléfono) a proveedores de analítica (GA4, Meta Pixel, Google Ads)
Reglas de seguridad de Firestore que aplican el principio de mínimo privilegio por rol de usuario
Datos de tarjeta procesados exclusivamente por Stripe — nunca transmitidos ni almacenados en nuestros servidores

Notificación de Vulneraciones de Seguridad

En caso de una vulneración de seguridad que afecte Datos Personales, se notificará a los usuarios conforme a la legislación aplicable, incluyendo la LFPDPPP y su Reglamento.

10. Privacidad de Menores de Edad

La Plataforma no está dirigida a personas menores de 18 años. No recabamos intencionalmente datos personales de menores. Si usted considera que un menor nos ha proporcionado datos, contáctenos en [Insertar Correo de Privacidad] y los eliminaremos de inmediato.

11. Comunicaciones de Mercadotecnia y Baja

Podremos enviar actualizaciones de propiedades, noticias del mercado y anuncios de la Plataforma por correo electrónico o WhatsApp. Puede darse de baja en cualquier momento mediante:

Envío de correo a [Insertar Correo de Baja] con asunto: BAJA
Responder STOP a cualquier mensaje SMS o de WhatsApp de mercadotecnia

La baja de comunicaciones de mercadotecnia no afecta las comunicaciones transaccionales necesarias para la prestación del servicio (notificaciones de prospectos, recibos de pago, confirmaciones de cuenta).

12. Cambios al Aviso de Privacidad

Podremos actualizar este Aviso de Privacidad en cualquier momento.
Cualquier modificación al presente Aviso de Privacidad será publicada en el sitio web correspondiente.
Para cambios materiales que afecten el tratamiento de sus datos, notificaremos con al menos 30 días naturales de anticipación por correo electrónico.
Los cambios menores se publicarán con una nueva fecha de vigencia. El uso continuado de la Plataforma constituye aceptación del Aviso actualizado.

13. Contacto

Tipo de Contacto	Datos
Privacidad / Solicitudes ARCO	agents@rosaritoresorts.com
Consultas Legales Generales	agents@rosaritoresorts.com
Domicilio Registrado	Rosarito, Baja California, México

Rosarito Resorts | Privacy Policy / Aviso de Privacidad | June 2025