← 1503LEGAL · POLÍTICA DE PRIVACIDAD
◆ BORRADOR · sin valor legal

Este documento es un borrador estructural redactado para reflejar las secciones obligatorias bajo el Reglamento (UE) 2016/679 (RGPD), el UK GDPR, la ley federal suiza revLPD, la CCPA/CPRA de California, la PIPEDA canadiense, la LGPD brasileña, la APPI japonesa, la PIPL china y la DPDP 2023 india, además de la normativa española de prevención de blanqueo (Ley 10/2010) y de servicios de la sociedad de la información (Ley 34/2002, LSSI). No tiene validez legal hasta que un asesor jurídico colegiado lo valide y se publique una versión final. Los campos marcados como [TODO: …] requieren decisión del Operador o validación profesional antes de la publicación.

DOCUMENTO 2 DE 4 · PRIVACY

Política de Privacidad

Versión v0.1-draft · Última actualización 2026-05-10

01Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de la plataforma 1503 (en adelante, la «Plataforma») es:

Esta política se aplica a todos los datos personales tratados por el Operador en su condición de Responsable según el RGPD y figuras equivalentes en otras jurisdicciones (controller bajo UK GDPR, business bajo CCPA/CPRA, controlador bajo LGPD, personal information handler bajo PIPL, Data Fiduciary bajo DPDP 2023, etc.).

La designación formal de un Delegado de Protección de Datos (DPO) será obligatoria si se cumplen los supuestos del artículo 37 RGPD (tratamiento a gran escala de datos sensibles o monitorización sistemática). El Operador evaluará periódicamente esta obligación. [TODO: confirmar designación o exención]

02Definiciones

A efectos de esta política, los términos en mayúscula tienen el significado descrito en los Términos de Servicio (sección 2). Adicionalmente:

03Principios del tratamiento

El Operador trata los datos personales de los Usuarios conforme a los principios establecidos en el artículo 5 RGPD, y aplica los mismos estándares con independencia de la jurisdicción del Usuario:

04Categorías de datos tratados

En función de la fase de relación con la Plataforma, el Operador trata las siguientes categorías de datos personales:

05Finalidades y bases jurídicas

Cada finalidad de tratamiento se ampara en una base jurídica del artículo 6 RGPD (y art. 9 cuando se trate de categorías especiales). Las bases equivalentes en otras jurisdicciones aplican analógicamente.

FinalidadBase jurídica RGPD
Registro y gestión de la cuenta del ActorArt. 6.1.b — ejecución del contrato (los Términos de Servicio)
Verificación de identidad (KYC societario y profesional)Art. 6.1.c — obligación legal (Ley 10/2010, Reglamento (UE) 2024/1624 cuando aplique)
Prestación del Servicio (catálogo, mensajería, escrow, llamadas, carpeta digital)Art. 6.1.b — ejecución del contrato
Liquidación de pagos y facturaciónArt. 6.1.b y 6.1.c — contrato y obligaciones contables/fiscales
Prevención del fraude y seguridad de la PlataformaArt. 6.1.f — interés legítimo del Operador y de los Actores
Atención de derechos de los interesados y comunicaciones legalesArt. 6.1.c — obligación legal
Comunicaciones comerciales sobre nuevos servicios del OperadorArt. 6.1.a — consentimiento (revocable en cualquier momento)
Verificación biométrica (liveness check) en el KYCArt. 9.2.a — consentimiento explícito (categoría especial)
Grabación o transcripción de llamadas de voz/videoArt. 6.1.a — consentimiento explícito de todas las partes
Asistente conversacional con IA (cuando se active)Art. 6.1.a — consentimiento (uso opcional y desactivable)
Mejora del producto y analítica agregadaArt. 6.1.f — interés legítimo, sobre datos seudonimizados o agregados

Cuando la base jurídica sea el consentimiento, el Usuario puede retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo. Cuando sea el interés legítimo, el Usuario puede oponerse al tratamiento conforme a la sección 11.

06Categorías especiales y datos sensibles

Por defecto, la Plataforma no trata categorías especiales de datos (origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos identificativos, salud, vida o orientación sexual).

De forma excepcional, podrán tratarse las siguientes categorías:

La sensitive personal information bajo CPRA (estado de California), los dados sensíveis de la LGPD y la sensitive personal information de la PIPL tienen tratamiento equivalente y derechos reforzados (sección 11).

07Origen de los datos

La mayoría de los datos personales proceden directamente del Usuario en el momento del registro o durante el uso de la Plataforma. Adicionalmente, el Operador puede obtener datos de las siguientes fuentes:

08Destinatarios y sub-encargados

El Operador no vende datos personales. Los datos se comparten con los siguientes tipos de destinatarios y únicamente en la medida necesaria:

Los sub-encargados activos a la fecha de este documento son los siguientes:

EncargadoServicio prestadoLocalización principal
Vercel Inc.Hosting, despliegue y red de distribución de la aplicación webEE.UU. con regiones globales (Frankfurt cuando aplica)
Supabase Inc.Base de datos PostgreSQL, autenticación y almacenamiento de archivosConfigurable; el Operador selecciona región Unión Europea (Frankfurt)

A medida que se activen las Fases 4 (mensajería self-hosted), 5 (llamadas self-hosted), 5.5 (asistente IA) y 9 (tokenización SPV), se incorporarán nuevos sub-encargados que serán anunciados en esta política con antelación razonable:

La lista completa y actualizada de sub-encargados estará disponible en el panel del Usuario y se notificarán los cambios sustanciales con antelación razonable, dando oportunidad al Usuario de oponerse según lo previsto en el contrato.

09Transferencias internacionales

Algunas operaciones de tratamiento implican transferir datos personales fuera del Espacio Económico Europeo, del Reino Unido o de la jurisdicción de residencia del Usuario. El Operador adopta las garantías adecuadas previstas en cada normativa:

El Usuario puede solicitar copia de las garantías aplicables a una transferencia concreta escribiendo a [TODO: privacy@1503.global]. El Operador responderá identificando el sub-encargado, el país de destino y el instrumento jurídico aplicado.

10Plazos de conservación

CategoríaPlazoFundamento
Datos contables y fiscales6 años desde el cierre del ejercicioArt. 30 Código de Comercio; art. 66 LGT
Datos KYC y AML10 años desde el cese de la relaciónArt. 25 Ley 10/2010
Registros de aceptación de Términos y consentimientosMientras dure la cuenta + [TODO: plazo — sugerido 5 años]Acreditación del consentimiento (art. 7 RGPD)
Datos de cuenta y credencialesMientras dure la cuenta; supresión a los [TODO: plazo — sugerido 30 días] tras la bajaEjecución del contrato
Mensajes y archivos en carpeta digital de Operaciones cerradasHasta el cierre + [TODO: plazo — sugerido 1 año]; después archivado cifrado por [TODO: plazo — sugerido 5 años]Resolución de eventuales reclamaciones civiles
Datos biométricos del KYC (liveness)Plantilla eliminada al finalizar la verificación; solo se conserva el resultado (verificado/no)Minimización (art. 5.1.c RGPD)
Logs técnicos y de seguridad[TODO: plazo — sugerido 12 meses]Interés legítimo en seguridad
Datos en blockchain (XRPL)Inmutables por diseño; no son suprimibles unilateralmente (véase sección 18)Naturaleza descentralizada de la red

11Tus derechos por jurisdicción

Los derechos reconocidos al Usuario varían según la legislación aplicable a su residencia o al lugar de tratamiento. El Operador atiende todas las solicitudes dirigidas a [TODO: privacy@1503.global], identificando suficientemente al solicitante (sin requerir documentos excesivos) y respondiendo en el plazo aplicable a cada normativa.

11.1 Unión Europea / Espacio Económico Europeo (RGPD)

Plazo de respuesta: un mes desde la solicitud, prorrogable dos meses adicionales en casos complejos con notificación al solicitante.

11.2 Reino Unido (UK GDPR + Data Protection Act 2018)

Los derechos son sustancialmente equivalentes a los del RGPD. La autoridad competente es el Information Commissioner’s Office (ICO, ico.org.uk).

11.3 Suiza (revLPD, en vigor desde el 1 de septiembre de 2023)

11.4 Estados Unidos — California (CCPA/CPRA) y otros estados

Los residentes en California disponen de los siguientes derechos frente al Operador en su condición de business:

Residentes en Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA) y otros estados con normativa propia disponen de derechos análogos. El Operador atenderá esas solicitudes con los plazos previstos en cada ley. [TODO: revisión por counsel US — confirmar lista vigente al momento del lanzamiento]

11.5 Canadá (PIPEDA federal y leyes provinciales)

11.6 Brasil (LGPD — Ley 13.709/2018)

11.7 Japón (APPI — Act on the Protection of Personal Information)

11.8 China (PIPL — Personal Information Protection Law)

11.9 India (DPDP 2023 — Digital Personal Data Protection Act)

12Decisiones automatizadas y perfilado

La Plataforma puede emplear procesos automatizados en los siguientes contextos:

El Usuario tiene derecho a no quedar sometido a una decisión basada únicamente en tratamiento automatizado que produzca efectos jurídicos o le afecte significativamente, salvo las excepciones legales (art. 22 RGPD y equivalentes). Puede solicitar intervención humana, expresar su punto de vista e impugnar la decisión escribiendo a [TODO: privacy@1503.global].

13Cookies y tecnologías similares

La Plataforma utiliza cookies y tecnologías de almacenamiento local en el navegador (localStorage, sessionStorage) para finalidades técnicas, de autenticación y de preferencia del Usuario.

Cuando se activen cookies no estrictamente necesarias, se solicitará consentimiento mediante banner conforme a la Directiva ePrivacy y a la guía AEPD vigente. El Usuario podrá revocarlo en cualquier momento desde el panel de la Plataforma. [TODO: banner de cookies — pendiente de implementar antes del lanzamiento público]

14Seguridad de los datos

El Operador adopta medidas técnicas y organizativas razonables, proporcionadas al riesgo, conforme al art. 32 RGPD y normativa equivalente:

15Notificación de violaciones de seguridad

En caso de violación de la seguridad de los datos personales, el Operador notificará:

El Operador mantiene un registro interno de todas las violaciones, conforme al art. 33.5 RGPD, con descripción, efectos y medidas correctoras.

16Menores de edad

La Plataforma no se dirige a menores de edad y no admite el registro como Actor a personas físicas que no tengan capacidad legal para contratar bajo su legislación nacional. La edad mínima general es de:

Si el Operador detecta que un Actor declaró falsamente su edad, suspenderá la cuenta conforme a la cláusula 11 del ToS y procederá a la supresión de los datos personales, salvo conservación legalmente exigida.

17Datos KYC y obligaciones AML

El tratamiento de los datos KYC y AML responde a una obligación legal (art. 6.1.c RGPD; Ley 10/2010 de 28 de abril; Reglamento (UE) 2024/1624 cuando entre en vigor; figuras equivalentes en otras jurisdicciones).

El Operador podrá conservar los datos KYC durante el plazo legal de 10 años desde el cese de la relación con el Usuario, aun cuando éste haya solicitado la supresión de su cuenta. Esta conservación no es renunciable.

Para sectores regulados (legal, salud, arquitectura, ingeniería, auditoría), la verificación KYC profesional incluye consulta cruzada con el registro público oficial del país de ejercicio profesional. El resultado se almacena con la URL de la fuente, la fecha de consulta y un hash de la respuesta del registro, como prueba documental. La inteligencia artificial puede asistir en la consulta y el cotejo, pero la fe del dato la otorga el registro oficial, no el modelo; los casos no concluyentes se elevan a revisión humana.

18Trazabilidad on-ledger (XRPL)

Cuando se active la funcionalidad de verificación de liquidación sobre registro público (verify-on-ledger, de carácter no custodial: el Operador no custodia fondos ni criptoactivos del Usuario), determinada información se registrará en la red pública XRP Ledger (XRPL):

XRPL es una infraestructura pública, descentralizada e inmutable. Esto significa que la información registrada en ella no puede ser suprimida por el Operador a petición del Usuario, ya que excede su esfera de control. El Operador adopta las siguientes medidas para reducir el impacto sobre la privacidad:

La presente sección describe una limitación técnica inherente a la tecnología blockchain reconocida por el Comité Europeo de Protección de Datos (Directrices 02/2024). El derecho de supresión bajo el RGPD se ejerce sobre los datos off-chain del Operador.

19Asistente con IA (cuando se active)

La Plataforma podrá ofrecer en el futuro un asistente conversacional opcional (Fases 5.5, 7.5 y 9.5 del roadmap del Operador). Su uso implicará el siguiente tratamiento adicional:

20Modificaciones de esta política

El Operador podrá modificar esta política para reflejar cambios legislativos, jurisprudenciales, técnicos o de modelo de servicio. Las modificaciones sustanciales se notificarán al Usuario con al menos [TODO: plazo — sugerido 30 días] de antelación a su entrada en vigor por correo electrónico y aviso en la Plataforma. La continuidad del uso tras la entrada en vigor se entenderá como aceptación de la nueva versión, sin perjuicio del derecho del Usuario a retirar el consentimiento o ejercer cualquier otro derecho.

21Cómo presentar una reclamación

Antes de acudir a la autoridad de control, animamos al Usuario a contactar al DPO en [TODO: privacy@1503.global]: el Operador se compromete a responder de forma motivada en el plazo aplicable a su jurisdicción.

Si la respuesta no es satisfactoria, el Usuario puede presentar reclamación ante la autoridad de control competente identificada en la sección 11 según su jurisdicción de residencia. La presente cláusula no limita el derecho de los Actores a acudir directamente a la vía administrativa o judicial cuando lo consideren oportuno.

22Datos de contacto del Responsable y DPO

23Aceptación

La aceptación de esta política se manifiesta marcando expresamente la casilla «He leído y acepto la Política de Privacidad» durante el registro. La Plataforma registrará la fecha, hora y versión aceptada como prueba del consentimiento informado, conforme al art. 7.1 RGPD.

Esta política forma parte integrante de los Términos de Servicio y debe leerse conjuntamente con ellos.

VERSIÓN v0.1-draft · ACTUALIZADO 2026-05-10
BORRADOR · pendiente revisión por asesor jurídico colegiado
Documento disponible solo en español. Versión inglesa próximamente. Para otros idiomas escribe a [TODO: privacy@1503.global].