Saltar a contenido

Política de Privacidad

BORRADOR — REQUIERE REVISIÓN LEGAL ANTES DE PUBLICACIÓN

Este documento no es vinculante y no debe publicarse en producción sin la revisión y aprobación de un abogado especializado en privacidad y protección de datos (CCPA, GDPR-like principles, y leyes de Florida).

El texto actual es una base de trabajo generada por el equipo de producto. Debe ser revisado para confirmar:

  • Cumplimiento específico de CCPA y CPRA.
  • Cumplimiento de la Florida Information Protection Act.
  • Validez de los avisos sobre transferencias internacionales (EE.UU. → Cuba).
  • Vigencia del aviso en el momento del lanzamiento.

Estado: Borrador legal — pendiente revisión. Cumplimiento objetivo: CCPA (California), CPRA, GDPR-like principles, y leyes de Florida. Próximo paso: contratar revisión legal externa antes del lanzamiento beta.


1. Datos que recopilamos

1.1 Datos de registro

Dato Obligatorio Para qué lo usamos
Nombre completo Identificación, contratos, KYC
Email Comunicaciones, recuperación de contraseña
Teléfono +1 Verificación OTP, notificaciones urgentes
Contraseña (cifrada) Autenticación
Código de referido (si aplica) Programa de fidelidad

1.2 Datos de KYC

Dato Para qué lo usamos
Tipo de documento (pasaporte, ID, licencia) Verificación de identidad
Número de documento Verificación de identidad
Foto del documento (frente y reverso) Verificación de identidad
Selfie con documento Verificación biométrica
Dirección de residencia en EE.UU. Verificación de domicilio
Provincia y municipio Verificación de domicilio

1.3 Datos operativos

  • Dirección de casillero asignada (CP-XXXXXX-D).
  • Reportes de compra (prealertas).
  • Paquetes recibidos (fotos, peso, dimensiones, ubicación).
  • Destinatarios en Cuba (nombre, CI, dirección, teléfono).
  • Remitentes en EE.UU. (opcional).
  • Historial de pagos y facturas.
  • Historial de notificaciones.
  • Evidencia de servicios adicionales.
  • Incidencias y reclamos.

1.4 Datos técnicos

  • IP de acceso.
  • Dispositivo (modelo, sistema operativo).
  • Tokens de push (FCM para Android).
  • Logs de uso y errores.

2. Para qué usamos los datos

Finalidad Base legal
Prestar el servicio de casillero y envío Ejecución del contrato
Verificar identidad (KYC) Obligación legal
Procesar pagos y emitir facturas Obligación legal
Prevenir fraude y abuso Interés legítimo
Notificar sobre el estado de paquetes y envíos Ejecución del contrato
Mejorar el servicio (análisis agregados y anónimos) Interés legítimo
Cumplir con autoridades (aduana, OFAC, fiscal) Obligación legal

3. Con quién compartimos los datos

IslaBox no vende datos personales. Los datos se comparten solo en estos casos:

3.1 Proveedores de servicio (encargados del tratamiento)

Proveedor Datos compartidos Finalidad
Pasarela de pago (Stripe u otra) Email, monto, método de pago Procesar cobros
Servicio de envío de emails Email, nombre Comunicaciones transaccionales
Servicio de SMS Teléfono OTP y notificaciones urgentes
Almacenamiento de archivos (S3/MinIO) Evidencias y fotos Persistencia
Agencia aliada en Cuba Nombre y dirección del destinatario Despacho final

Todos los proveedores firman un Acuerdo de Tratamiento de Datos (DPA) conforme a las leyes aplicables.

3.2 Autoridades

IslaBox puede compartir datos con autoridades cuando:

  • Sea requerido por orden judicial o citación legal.
  • Sea necesario para cumplir con sanciones OFAC u otras restricciones.
  • Sea necesario para investigaciones de fraude.
  • La aduana cubana o estadounidense lo requiera para despacho.

4. Cómo protegemos los datos

4.1 Medidas técnicas

  • Cifrado en tránsito: HTTPS/TLS 1.3 para todas las comunicaciones.
  • Cifrado en reposo: AES-256 para datos sensibles (KYC, contraseñas con bcrypt).
  • Tokens JWT con expiración corta (1 hora) y refresh tokens revocables.
  • 2FA obligatorio para administradores.
  • Backups cifrados con retención de 30 días.
  • Logs de auditoría de todos los accesos a datos sensibles.

4.2 Medidas organizativas

  • Acceso a datos KYC restringido al equipo autorizado (ver matriz-roles-permisos.md).
  • Política de mínimo privilegio: cada rol accede solo a lo necesario.
  • Capacitación obligatoria en protección de datos al personal nuevo.
  • Pruebas de penetración anuales por terceros.

5. Retención de datos

Tipo de dato Retención Razón
Datos de cuenta activa Mientras la cuenta esté activa + 5 años Cumplimiento fiscal y legal
Documentos KYC 10 años desde la última transacción Cumplimiento BSA/AML
Fotos de paquetes 5 años desde la entrega Evidencia de incidencias
Comprobantes de pago 7 años Cumplimiento fiscal (IRS)
Logs de auditoría 3 años Investigación de incidentes
Datos de cuenta cancelada 30 días tras cancelación, luego eliminación Recuperación ante error

Pasado el período de retención, los datos son eliminados de forma segura (borrado criptográfico o destrucción física del medio).


6. Derechos del usuario

El usuario tiene los siguientes derechos sobre sus datos:

Derecho Descripción Cómo ejercerlo
Acceso Saber qué datos tenemos Solicitar vía app o email
Rectificación Corregir datos incorrectos Directamente en la app
Eliminación Borrar cuenta y datos asociados Solicitar vía email
Portabilidad Recibir sus datos en formato JSON Solicitar vía email
Oposición Oponerse a tratamientos específicos Solicitar vía email
Limitación Limitar el uso de ciertos datos Solicitar vía email
Revocar consentimiento Para tratamientos opcionales En configuración de la app

Plazo de respuesta: 30 días desde la solicitud.


7. Cookies y tecnologías similares

IslaBox usa cookies técnicas estrictamente necesarias para autenticación y seguridad. No usamos cookies de rastreo publicitario.

En la app móvil, usamos identificadores técnicos del dispositivo solo para envío de push notifications.


8. Transferencias internacionales

Los datos se almacenan principalmente en servidores en EE.UU.. Si en el futuro se transfieren datos a otros países, se hará con garantías adecuadas (cláusulas contractuales tipo, decisiones de adecuación, etc.).


9. Menores de edad

El servicio está prohibido para menores de 18 años. No recopilamos intencionalmente datos de menores. Si se detecta una cuenta de un menor, se cierra y eliminan los datos.


10. Cambios a esta política

IslaBox puede modificar esta política. Los cambios importantes serán notificados con al menos 15 días de anticipación por email y mediante aviso en la app.


11. Contacto y DPO

Para preguntas, solicitudes de derechos o quejas sobre privacidad:

  • Email: privacy@islabox.com
  • DPO (Data Protection Officer): [nombre del DPO o empresa externa]
  • Dirección: IslaBox LLC, [dirección], Miami, FL [zip], EE.UU.

Si el usuario considera que su solicitud no fue atendida adecuadamente, puede presentar una queja ante la Fiscalía General de Florida o la autoridad competente.


Próximos pasos

  1. Revisión legal por abogado con experiencia en privacidad (CCPA, GDPR-like).
  2. Definir el DPO interno o externo.
  3. Firmar DPA con todos los proveedores enumerados.
  4. Implementar endpoint de exportación de datos del usuario.