Política de Privacidad¶
BORRADOR — REQUIERE REVISIÓN LEGAL ANTES DE PUBLICACIÓN
Este documento no es vinculante y no debe publicarse en producción sin la revisión y aprobación de un abogado especializado en privacidad y protección de datos (CCPA, GDPR-like principles, y leyes de Florida).
El texto actual es una base de trabajo generada por el equipo de producto. Debe ser revisado para confirmar:
- Cumplimiento específico de CCPA y CPRA.
- Cumplimiento de la Florida Information Protection Act.
- Validez de los avisos sobre transferencias internacionales (EE.UU. → Cuba).
- Vigencia del aviso en el momento del lanzamiento.
Estado: Borrador legal — pendiente revisión. Cumplimiento objetivo: CCPA (California), CPRA, GDPR-like principles, y leyes de Florida. Próximo paso: contratar revisión legal externa antes del lanzamiento beta.
1. Datos que recopilamos¶
1.1 Datos de registro¶
| Dato | Obligatorio | Para qué lo usamos |
|---|---|---|
| Nombre completo | ✅ | Identificación, contratos, KYC |
| ✅ | Comunicaciones, recuperación de contraseña | |
Teléfono +1 |
✅ | Verificación OTP, notificaciones urgentes |
| Contraseña (cifrada) | ✅ | Autenticación |
| Código de referido (si aplica) | ❌ | Programa de fidelidad |
1.2 Datos de KYC¶
| Dato | Para qué lo usamos |
|---|---|
| Tipo de documento (pasaporte, ID, licencia) | Verificación de identidad |
| Número de documento | Verificación de identidad |
| Foto del documento (frente y reverso) | Verificación de identidad |
| Selfie con documento | Verificación biométrica |
| Dirección de residencia en EE.UU. | Verificación de domicilio |
| Provincia y municipio | Verificación de domicilio |
1.3 Datos operativos¶
- Dirección de casillero asignada (
CP-XXXXXX-D). - Reportes de compra (prealertas).
- Paquetes recibidos (fotos, peso, dimensiones, ubicación).
- Destinatarios en Cuba (nombre, CI, dirección, teléfono).
- Remitentes en EE.UU. (opcional).
- Historial de pagos y facturas.
- Historial de notificaciones.
- Evidencia de servicios adicionales.
- Incidencias y reclamos.
1.4 Datos técnicos¶
- IP de acceso.
- Dispositivo (modelo, sistema operativo).
- Tokens de push (FCM para Android).
- Logs de uso y errores.
2. Para qué usamos los datos¶
| Finalidad | Base legal |
|---|---|
| Prestar el servicio de casillero y envío | Ejecución del contrato |
| Verificar identidad (KYC) | Obligación legal |
| Procesar pagos y emitir facturas | Obligación legal |
| Prevenir fraude y abuso | Interés legítimo |
| Notificar sobre el estado de paquetes y envíos | Ejecución del contrato |
| Mejorar el servicio (análisis agregados y anónimos) | Interés legítimo |
| Cumplir con autoridades (aduana, OFAC, fiscal) | Obligación legal |
3. Con quién compartimos los datos¶
IslaBox no vende datos personales. Los datos se comparten solo en estos casos:
3.1 Proveedores de servicio (encargados del tratamiento)¶
| Proveedor | Datos compartidos | Finalidad |
|---|---|---|
| Pasarela de pago (Stripe u otra) | Email, monto, método de pago | Procesar cobros |
| Servicio de envío de emails | Email, nombre | Comunicaciones transaccionales |
| Servicio de SMS | Teléfono | OTP y notificaciones urgentes |
| Almacenamiento de archivos (S3/MinIO) | Evidencias y fotos | Persistencia |
| Agencia aliada en Cuba | Nombre y dirección del destinatario | Despacho final |
Todos los proveedores firman un Acuerdo de Tratamiento de Datos (DPA) conforme a las leyes aplicables.
3.2 Autoridades¶
IslaBox puede compartir datos con autoridades cuando:
- Sea requerido por orden judicial o citación legal.
- Sea necesario para cumplir con sanciones OFAC u otras restricciones.
- Sea necesario para investigaciones de fraude.
- La aduana cubana o estadounidense lo requiera para despacho.
4. Cómo protegemos los datos¶
4.1 Medidas técnicas¶
- Cifrado en tránsito: HTTPS/TLS 1.3 para todas las comunicaciones.
- Cifrado en reposo: AES-256 para datos sensibles (KYC, contraseñas con bcrypt).
- Tokens JWT con expiración corta (1 hora) y refresh tokens revocables.
- 2FA obligatorio para administradores.
- Backups cifrados con retención de 30 días.
- Logs de auditoría de todos los accesos a datos sensibles.
4.2 Medidas organizativas¶
- Acceso a datos KYC restringido al equipo autorizado (ver matriz-roles-permisos.md).
- Política de mínimo privilegio: cada rol accede solo a lo necesario.
- Capacitación obligatoria en protección de datos al personal nuevo.
- Pruebas de penetración anuales por terceros.
5. Retención de datos¶
| Tipo de dato | Retención | Razón |
|---|---|---|
| Datos de cuenta activa | Mientras la cuenta esté activa + 5 años | Cumplimiento fiscal y legal |
| Documentos KYC | 10 años desde la última transacción | Cumplimiento BSA/AML |
| Fotos de paquetes | 5 años desde la entrega | Evidencia de incidencias |
| Comprobantes de pago | 7 años | Cumplimiento fiscal (IRS) |
| Logs de auditoría | 3 años | Investigación de incidentes |
| Datos de cuenta cancelada | 30 días tras cancelación, luego eliminación | Recuperación ante error |
Pasado el período de retención, los datos son eliminados de forma segura (borrado criptográfico o destrucción física del medio).
6. Derechos del usuario¶
El usuario tiene los siguientes derechos sobre sus datos:
| Derecho | Descripción | Cómo ejercerlo |
|---|---|---|
| Acceso | Saber qué datos tenemos | Solicitar vía app o email |
| Rectificación | Corregir datos incorrectos | Directamente en la app |
| Eliminación | Borrar cuenta y datos asociados | Solicitar vía email |
| Portabilidad | Recibir sus datos en formato JSON | Solicitar vía email |
| Oposición | Oponerse a tratamientos específicos | Solicitar vía email |
| Limitación | Limitar el uso de ciertos datos | Solicitar vía email |
| Revocar consentimiento | Para tratamientos opcionales | En configuración de la app |
Plazo de respuesta: 30 días desde la solicitud.
7. Cookies y tecnologías similares¶
IslaBox usa cookies técnicas estrictamente necesarias para autenticación y seguridad. No usamos cookies de rastreo publicitario.
En la app móvil, usamos identificadores técnicos del dispositivo solo para envío de push notifications.
8. Transferencias internacionales¶
Los datos se almacenan principalmente en servidores en EE.UU.. Si en el futuro se transfieren datos a otros países, se hará con garantías adecuadas (cláusulas contractuales tipo, decisiones de adecuación, etc.).
9. Menores de edad¶
El servicio está prohibido para menores de 18 años. No recopilamos intencionalmente datos de menores. Si se detecta una cuenta de un menor, se cierra y eliminan los datos.
10. Cambios a esta política¶
IslaBox puede modificar esta política. Los cambios importantes serán notificados con al menos 15 días de anticipación por email y mediante aviso en la app.
11. Contacto y DPO¶
Para preguntas, solicitudes de derechos o quejas sobre privacidad:
- Email: privacy@islabox.com
- DPO (Data Protection Officer): [nombre del DPO o empresa externa]
- Dirección: IslaBox LLC, [dirección], Miami, FL [zip], EE.UU.
Si el usuario considera que su solicitud no fue atendida adecuadamente, puede presentar una queja ante la Fiscalía General de Florida o la autoridad competente.
Próximos pasos
- Revisión legal por abogado con experiencia en privacidad (CCPA, GDPR-like).
- Definir el DPO interno o externo.
- Firmar DPA con todos los proveedores enumerados.
- Implementar endpoint de exportación de datos del usuario.