Este documento es un borrador estructural redactado para reflejar las secciones obligatorias bajo el Reglamento (UE) 2016/679 (RGPD), el UK GDPR, la ley federal suiza revLPD, la CCPA/CPRA de California, la PIPEDA canadiense, la LGPD brasileña, la APPI japonesa, la PIPL china y la DPDP 2023 india, además de la normativa española de prevención de blanqueo (Ley 10/2010) y de servicios de la sociedad de la información (Ley 34/2002, LSSI). No tiene validez legal hasta que un asesor jurídico colegiado lo valide y se publique una versión final. Los campos marcados como [TODO: …] requieren decisión del Operador o validación profesional antes de la publicación.
Política de Privacidad
Versión v0.1-draft · Última actualización 2026-05-10
01Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través de la plataforma 1503 (en adelante, la «Plataforma») es:
- Razón social: [TODO: razón social]
- Domicilio social: [TODO: domicilio fiscal completo]
- Identificación fiscal: [TODO: CIF/NIF]
- Inscripción registral: [TODO: registro mercantil y datos registrales]
- Correo de contacto general: [TODO: contacto@1503.global]
- Correo del Delegado de Protección de Datos (DPO): [TODO: privacy@1503.global]
Esta política se aplica a todos los datos personales tratados por el Operador en su condición de Responsable según el RGPD y figuras equivalentes en otras jurisdicciones (controller bajo UK GDPR, business bajo CCPA/CPRA, controlador bajo LGPD, personal information handler bajo PIPL, Data Fiduciary bajo DPDP 2023, etc.).
La designación formal de un Delegado de Protección de Datos (DPO) será obligatoria si se cumplen los supuestos del artículo 37 RGPD (tratamiento a gran escala de datos sensibles o monitorización sistemática). El Operador evaluará periódicamente esta obligación. [TODO: confirmar designación o exención]
02Definiciones
A efectos de esta política, los términos en mayúscula tienen el significado descrito en los Términos de Servicio (sección 2). Adicionalmente:
- Datos personales: toda información sobre una persona física identificada o identificable, conforme al art. 4.1 RGPD y figuras equivalentes en otras jurisdicciones.
- Tratamiento: cualquier operación realizada sobre datos personales, automatizada o no, conforme al art. 4.2 RGPD.
- Encargado del tratamiento: tercero que trata datos personales por cuenta del Operador (p. ej. Vercel, Supabase). Equivale a processor, service provider (CCPA/CPRA), operador (LGPD), entrusted party (PIPL), Data Processor (DPDP).
- Categorías especiales: datos del art. 9 RGPD (origen racial, opiniones políticas, convicciones, salud, biometría única, etc.) y figuras análogas (sensitive PI CCPA, dados sensíveis LGPD, sensitive personal information PIPL).
- Transferencia internacional: traslado de datos personales fuera del Espacio Económico Europeo, del Reino Unido o de la jurisdicción nacional del interesado, a un país u organización internacional sujeta a otra normativa.
03Principios del tratamiento
El Operador trata los datos personales de los Usuarios conforme a los principios establecidos en el artículo 5 RGPD, y aplica los mismos estándares con independencia de la jurisdicción del Usuario:
- Licitud, lealtad y transparencia: solo tratamos lo necesario, con base jurídica clara y de forma comprensible para el Usuario.
- Limitación de finalidad: los datos recogidos para una finalidad no se reutilizan para fines incompatibles sin nueva base jurídica.
- Minimización: solo se piden los datos necesarios para la finalidad concreta.
- Exactitud: el Operador adopta medidas razonables para mantener los datos exactos y actualizados.
- Limitación del plazo de conservación: los datos se conservan únicamente durante el tiempo necesario y conforme a la sección 10 de esta política.
- Integridad y confidencialidad: medidas técnicas y organizativas razonables para proteger los datos frente a accesos no autorizados, pérdida o alteración.
- Responsabilidad proactiva (accountability): el Operador documenta sus tratamientos y puede demostrar su cumplimiento.
04Categorías de datos tratados
En función de la fase de relación con la Plataforma, el Operador trata las siguientes categorías de datos personales:
- Datos identificativos: nombre, apellidos, fecha de nacimiento, documento de identidad (DNI, NIE, pasaporte u homólogo), nacionalidad, país de residencia, firma manuscrita o electrónica.
- Datos de contacto: dirección de correo electrónico, número de teléfono, dirección postal.
- Datos profesionales y societarios (cuando aplica): razón social, forma jurídica, identificación fiscal, escrituras, certificados de titularidad real, poderes de representación, sector y rol declarados, certificaciones, titulaciones y números de colegiado.
- Datos de cuenta y credenciales: nombre de usuario, contraseña cifrada, factor adicional de autenticación cuando se habilite, registro de inicios de sesión.
- Datos KYC y AML: documentación e información requerida por la Ley 10/2010 y normativa equivalente, incluida la verificación cruzada contra registros públicos oficiales para sectores regulados.
- Datos biométricos (solo si se activa liveness check en el KYC): plantilla facial generada exclusivamente para la verificación de identidad, con consentimiento explícito y conservación mínima.
- Datos financieros: cuenta bancaria para liquidación fiat, historial de Operaciones, importes y comisiones.
- Contenido generado por el Usuario: fichas de producto, servicio o inmueble; mensajes intercambiados con otros Actores; archivos subidos a la carpeta digital cifrada de cada Operación; logos y fotografías.
- Datos técnicos y de uso: dirección IP, identificadores de dispositivo, navegador, sistema operativo, registros de acceso, fecha y hora de cada acción relevante en la Plataforma.
- Datos de comunicaciones: contenido y metadatos de las llamadas de voz/video Jitsi cuando las partes consientan grabación o transcripción; en los demás casos, solo metadatos mínimos.
- Datos derivados de blockchain: hashes de Operaciones, direcciones públicas de wallets y transacciones registradas en XRP Ledger. Estos datos son inmutables y públicos por diseño (véase sección 18).
05Finalidades y bases jurídicas
Cada finalidad de tratamiento se ampara en una base jurídica del artículo 6 RGPD (y art. 9 cuando se trate de categorías especiales). Las bases equivalentes en otras jurisdicciones aplican analógicamente.
| Finalidad | Base jurídica RGPD |
|---|---|
| Registro y gestión de la cuenta del Actor | Art. 6.1.b — ejecución del contrato (los Términos de Servicio) |
| Verificación de identidad (KYC societario y profesional) | Art. 6.1.c — obligación legal (Ley 10/2010, Reglamento (UE) 2024/1624 cuando aplique) |
| Prestación del Servicio (catálogo, mensajería, escrow, llamadas, carpeta digital) | Art. 6.1.b — ejecución del contrato |
| Liquidación de pagos y facturación | Art. 6.1.b y 6.1.c — contrato y obligaciones contables/fiscales |
| Prevención del fraude y seguridad de la Plataforma | Art. 6.1.f — interés legítimo del Operador y de los Actores |
| Atención de derechos de los interesados y comunicaciones legales | Art. 6.1.c — obligación legal |
| Comunicaciones comerciales sobre nuevos servicios del Operador | Art. 6.1.a — consentimiento (revocable en cualquier momento) |
| Verificación biométrica (liveness check) en el KYC | Art. 9.2.a — consentimiento explícito (categoría especial) |
| Grabación o transcripción de llamadas de voz/video | Art. 6.1.a — consentimiento explícito de todas las partes |
| Asistente conversacional con IA (cuando se active) | Art. 6.1.a — consentimiento (uso opcional y desactivable) |
| Mejora del producto y analítica agregada | Art. 6.1.f — interés legítimo, sobre datos seudonimizados o agregados |
Cuando la base jurídica sea el consentimiento, el Usuario puede retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo. Cuando sea el interés legítimo, el Usuario puede oponerse al tratamiento conforme a la sección 11.
06Categorías especiales y datos sensibles
Por defecto, la Plataforma no trata categorías especiales de datos (origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos identificativos, salud, vida o orientación sexual).
De forma excepcional, podrán tratarse las siguientes categorías:
- Datos biométricos generados por liveness check facial durante el KYC, únicamente si el Usuario otorga consentimiento explícito (art. 9.2.a RGPD). La plantilla biométrica se conserva el tiempo estrictamente necesario para la verificación y se elimina o anonimiza al finalizar el proceso, sin perjuicio de la conservación del registro de verificación (no la plantilla).
- Datos de salud, sectoriales, en los Actores cuyo sector implique tratamiento de pacientes o clientes con datos sensibles (sector salud). En tales casos, los datos del paciente final son tratados por el Actor en su condición de Responsable; el Operador es Encargado y firma el correspondiente contrato de encargo conforme al art. 28 RGPD.
La sensitive personal information bajo CPRA (estado de California), los dados sensíveis de la LGPD y la sensitive personal information de la PIPL tienen tratamiento equivalente y derechos reforzados (sección 11).
07Origen de los datos
La mayoría de los datos personales proceden directamente del Usuario en el momento del registro o durante el uso de la Plataforma. Adicionalmente, el Operador puede obtener datos de las siguientes fuentes:
- Registros públicos oficiales consultados durante la verificación KYC societaria (registros mercantiles, BORME) y profesional (CGAE, notariado, OMC, CSCAE en España; SRA, Bar en UK; state bars en EE.UU.; etc.).
- Proveedores de verificación de identidad contratados por el Operador como Encargados, cuando se externalice parcialmente el KYC. [TODO: indicar proveedor concreto cuando se contrate]
- Otros Actores de la Plataforma en el marco de Operaciones en las que el Usuario participe (mensajes, valoraciones, reclamaciones).
- XRP Ledger, infraestructura pública y descentralizada cuya información es accesible a cualquier observador.
08Destinatarios y sub-encargados
El Operador no vende datos personales. Los datos se comparten con los siguientes tipos de destinatarios y únicamente en la medida necesaria:
- Otros Actores de la Plataforma, dentro de las Operaciones que el Usuario decide entablar. En estos intercambios, el otro Actor pasa a ser Responsable de los datos que reciba.
- Encargados del tratamiento (processors), descritos en la tabla siguiente, vinculados por contrato conforme al art. 28 RGPD.
- Autoridades públicas cuando exista requerimiento judicial, administrativo o supervisor competente, o por imperativo legal (AML, fiscal, judicial).
- Asesores profesionales del Operador (legales, fiscales, auditores) bajo deber de confidencialidad.
Los sub-encargados activos a la fecha de este documento son los siguientes:
| Encargado | Servicio prestado | Localización principal |
|---|---|---|
| Vercel Inc. | Hosting, despliegue y red de distribución de la aplicación web | EE.UU. con regiones globales (Frankfurt cuando aplica) |
| Supabase Inc. | Base de datos PostgreSQL, autenticación y almacenamiento de archivos | Configurable; el Operador selecciona región Unión Europea (Frankfurt) |
A medida que se activen las Fases 4 (mensajería self-hosted), 5 (llamadas self-hosted), 5.5 (asistente IA) y 9 (tokenización SPV), se incorporarán nuevos sub-encargados que serán anunciados en esta política con antelación razonable:
- [TODO: Hetzner u OVH — VPS para chat self-hosted (Fase 4) y Jitsi (Fase 5), región UE]
- [TODO: Anthropic PBC — proveedor del modelo de lenguaje del asistente IA (Fase 5.5+); evaluar Anthropic en UE / Bedrock UE para reducir transferencia internacional]
- [TODO: Proveedor de verificación KYC con liveness — pendiente selección]
- [TODO: Proveedor de pasarela fiat ↔ XRPL para liquidación (Fase 7)]
La lista completa y actualizada de sub-encargados estará disponible en el panel del Usuario y se notificarán los cambios sustanciales con antelación razonable, dando oportunidad al Usuario de oponerse según lo previsto en el contrato.
09Transferencias internacionales
Algunas operaciones de tratamiento implican transferir datos personales fuera del Espacio Económico Europeo, del Reino Unido o de la jurisdicción de residencia del Usuario. El Operador adopta las garantías adecuadas previstas en cada normativa:
- Hacia EE.UU. (p. ej. Vercel sede principal): mediante adhesión del proveedor al EU-US Data Privacy Framework (DPF) cuando esté certificado, o mediante cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, en su caso, medidas suplementarias de cifrado y minimización conforme a la sentencia Schrems II.
- Desde Reino Unido: UK International Data Transfer Agreement (IDTA) o cláusulas tipo de la UE con el UK Addendum.
- Desde Suiza: cláusulas contractuales tipo aprobadas por el FDPIC o decisión de adecuación del país receptor.
- Desde Brasil: cláusulas contractuales tipo aprobadas por la ANPD, decisión de adecuación o consentimiento específico del titular conforme a la LGPD.
- Desde China (PIPL art. 38-39): si en el futuro se trataran datos de residentes en China, se aplicará certificación, cláusulas tipo de la CAC o evaluación de seguridad obligatoria; transferencia precedida de consentimiento separado.
- Desde Japón: notificación al titular y, cuando proceda, al PPC, con identificación del país de destino y de las medidas equivalentes.
- Desde India (DPDP 2023): el Gobierno de la India puede restringir transferencias a determinados países; el Operador respetará la lista negativa que se publique cuando entre en vigor el reglamento de desarrollo.
El Usuario puede solicitar copia de las garantías aplicables a una transferencia concreta escribiendo a [TODO: privacy@1503.global]. El Operador responderá identificando el sub-encargado, el país de destino y el instrumento jurídico aplicado.
10Plazos de conservación
| Categoría | Plazo | Fundamento |
|---|---|---|
| Datos contables y fiscales | 6 años desde el cierre del ejercicio | Art. 30 Código de Comercio; art. 66 LGT |
| Datos KYC y AML | 10 años desde el cese de la relación | Art. 25 Ley 10/2010 |
| Registros de aceptación de Términos y consentimientos | Mientras dure la cuenta + [TODO: plazo — sugerido 5 años] | Acreditación del consentimiento (art. 7 RGPD) |
| Datos de cuenta y credenciales | Mientras dure la cuenta; supresión a los [TODO: plazo — sugerido 30 días] tras la baja | Ejecución del contrato |
| Mensajes y archivos en carpeta digital de Operaciones cerradas | Hasta el cierre + [TODO: plazo — sugerido 1 año]; después archivado cifrado por [TODO: plazo — sugerido 5 años] | Resolución de eventuales reclamaciones civiles |
| Datos biométricos del KYC (liveness) | Plantilla eliminada al finalizar la verificación; solo se conserva el resultado (verificado/no) | Minimización (art. 5.1.c RGPD) |
| Logs técnicos y de seguridad | [TODO: plazo — sugerido 12 meses] | Interés legítimo en seguridad |
| Datos en blockchain (XRPL) | Inmutables por diseño; no son suprimibles unilateralmente (véase sección 18) | Naturaleza descentralizada de la red |
11Tus derechos por jurisdicción
Los derechos reconocidos al Usuario varían según la legislación aplicable a su residencia o al lugar de tratamiento. El Operador atiende todas las solicitudes dirigidas a [TODO: privacy@1503.global], identificando suficientemente al solicitante (sin requerir documentos excesivos) y respondiendo en el plazo aplicable a cada normativa.
11.1 Unión Europea / Espacio Económico Europeo (RGPD)
- Acceso (art. 15): obtener copia de los datos tratados y de la información del tratamiento.
- Rectificación (art. 16).
- Supresión o «derecho al olvido» (art. 17), con las limitaciones legales aplicables.
- Limitación del tratamiento (art. 18).
- Portabilidad (art. 20): recibir los datos en formato estructurado y de uso común.
- Oposición (art. 21), incluida la oposición al tratamiento basado en interés legítimo y al marketing directo.
- Retirada del consentimiento en cualquier momento, sin afectar a la licitud previa.
- No ser objeto de decisiones individuales automatizadas con efectos jurídicos significativos (art. 22), salvo excepciones legales.
- Reclamación ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es) o la autoridad de control competente del Estado miembro.
Plazo de respuesta: un mes desde la solicitud, prorrogable dos meses adicionales en casos complejos con notificación al solicitante.
11.2 Reino Unido (UK GDPR + Data Protection Act 2018)
Los derechos son sustancialmente equivalentes a los del RGPD. La autoridad competente es el Information Commissioner’s Office (ICO, ico.org.uk).
11.3 Suiza (revLPD, en vigor desde el 1 de septiembre de 2023)
- Acceso, rectificación, supresión y oposición.
- Información sobre el procesamiento, incluida la lógica de decisiones automatizadas significativas.
- Reclamación ante el Préposé fédéral à la protection des données et à la transparence (FDPIC, edoeb.admin.ch).
11.4 Estados Unidos — California (CCPA/CPRA) y otros estados
Los residentes en California disponen de los siguientes derechos frente al Operador en su condición de business:
- Right to know: categorías y finalidades concretas de la información personal recogida.
- Right to delete, con las excepciones del § 1798.105.
- Right to correct información inexacta (CPRA § 1798.106).
- Right to opt-out of sale or sharing: el Operador no vende ni comparte información personal en el sentido de la CCPA/CPRA. Aun así, se habilitará el enlace «Do Not Sell or Share My Personal Information» y la señal Global Privacy Control (GPC).
- Right to limit use of sensitive personal information (CPRA § 1798.121).
- Right to non-discrimination por ejercer los derechos.
- Authorized agent: el Usuario puede actuar mediante representante autorizado conforme al § 1798.135.
- Reclamación ante la California Privacy Protection Agency (CPPA, cppa.ca.gov).
Residentes en Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA) y otros estados con normativa propia disponen de derechos análogos. El Operador atenderá esas solicitudes con los plazos previstos en cada ley. [TODO: revisión por counsel US — confirmar lista vigente al momento del lanzamiento]
11.5 Canadá (PIPEDA federal y leyes provinciales)
- Acceso, rectificación e impugnación de la exactitud.
- Retirada del consentimiento, con las consecuencias contractuales que correspondan.
- Para residentes en Quebec, derechos adicionales bajo la Law 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), incluida la portabilidad y la información sobre decisiones automatizadas.
- Reclamación ante el Office of the Privacy Commissioner of Canada (OPC, priv.gc.ca) o el comisionado provincial competente (Quebec, Alberta, BC).
11.6 Brasil (LGPD — Ley 13.709/2018)
- Confirmación del tratamiento.
- Acceso, corrección, anonimización, bloqueo o eliminación.
- Portabilidad a otro proveedor.
- Eliminación de datos tratados con base en consentimiento.
- Información sobre uso compartido y posibilidad de no consentir, con consecuencias.
- Revisión de decisiones automatizadas que afecten intereses del titular.
- Reclamación ante la Autoridade Nacional de Proteção de Dados (ANPD, gov.br/anpd).
11.7 Japón (APPI — Act on the Protection of Personal Information)
- Divulgación, corrección, suspensión del uso, suspensión del suministro a terceros y eliminación.
- Notificación previa a transferencias internacionales con identificación del país de destino y de las medidas equivalentes.
- Reclamación ante la Personal Information Protection Commission (PPC, ppc.go.jp).
11.8 China (PIPL — Personal Information Protection Law)
- Acceso, copia, corrección y eliminación.
- Portabilidad a otros tratantes designados que cumplan los requisitos de la CAC.
- Retirada del consentimiento, incluido el consentimiento separado para transferencias internacionales y para tratamiento de información personal sensible.
- Explicación del tratamiento y oposición a decisiones automatizadas con impacto significativo.
- Reclamación ante la Cyberspace Administration of China (CAC) y autoridades provinciales.
11.9 India (DPDP 2023 — Digital Personal Data Protection Act)
- Acceso a la información tratada y al resumen de tratamientos.
- Corrección, complemento, actualización y borrado.
- Designación de un representante en caso de incapacidad o fallecimiento.
- Mecanismo de presentación de quejas ante el Data Fiduciary y, en segunda instancia, ante el Data Protection Board of India.
- El Operador respetará la lista negativa de países restringidos cuando se publique conforme al art. 16 de la DPDP. [TODO: monitorizar publicación del reglamento de desarrollo]
12Decisiones automatizadas y perfilado
La Plataforma puede emplear procesos automatizados en los siguientes contextos:
- Verificación KYC: comparación automática del documento subido con registros públicos oficiales. Decisión final supervisada por persona humana en caso de no-match o ambigüedad.
- Detección de fraude: reglas y modelos antiabuso que pueden marcar una cuenta para revisión. La suspensión de la cuenta requiere intervención humana motivada (véase ToS sección 11).
- Asistente conversacional con IA (cuando se active): no toma decisiones con efectos jurídicos sobre el Usuario sin su confirmación humana explícita.
El Usuario tiene derecho a no quedar sometido a una decisión basada únicamente en tratamiento automatizado que produzca efectos jurídicos o le afecte significativamente, salvo las excepciones legales (art. 22 RGPD y equivalentes). Puede solicitar intervención humana, expresar su punto de vista e impugnar la decisión escribiendo a [TODO: privacy@1503.global].
13Cookies y tecnologías similares
La Plataforma utiliza cookies y tecnologías de almacenamiento local en el navegador (localStorage, sessionStorage) para finalidades técnicas, de autenticación y de preferencia del Usuario.
- Cookies estrictamente necesarias: autenticación, seguridad, balanceo de carga. No requieren consentimiento.
- Cookies de preferencia: idioma, tema, sector visitado. Almacenadas localmente.
- Cookies de analítica: [TODO: indicar herramienta — sugerido analítica de primer parte autohospedada (Plausible, Umami) para minimizar transferencias y consentimiento]
- Cookies de marketing: el Operador no utiliza cookies de marketing de terceros a la fecha de este documento.
Cuando se activen cookies no estrictamente necesarias, se solicitará consentimiento mediante banner conforme a la Directiva ePrivacy y a la guía AEPD vigente. El Usuario podrá revocarlo en cualquier momento desde el panel de la Plataforma. [TODO: banner de cookies — pendiente de implementar antes del lanzamiento público]
14Seguridad de los datos
El Operador adopta medidas técnicas y organizativas razonables, proporcionadas al riesgo, conforme al art. 32 RGPD y normativa equivalente:
- Cifrado en tránsito (TLS 1.2+) y en reposo de los datos almacenados en Supabase.
- Cifrado adicional de extremo a extremo en la carpeta digital de Operaciones que contienen entregables profesionales sensibles.
- Control de acceso basado en roles, autenticación con factor adicional cuando se habilite, auditoría de accesos privilegiados.
- Segregación de entornos (producción / preproducción / desarrollo).
- Copias de seguridad cifradas y prueba periódica de restauración.
- Plan de continuidad y respuesta a incidentes.
- Evaluación de impacto (DPIA) previa al despliegue de tratamientos de alto riesgo, en particular el liveness check biométrico y el asistente IA.
15Notificación de violaciones de seguridad
En caso de violación de la seguridad de los datos personales, el Operador notificará:
- A la autoridad de control competente dentro del plazo aplicable: 72 horas bajo RGPD/UK GDPR; en el plazo previsto por cada ley nacional para el resto.
- Al Usuario sin dilación indebida cuando la violación entrañe un alto riesgo para sus derechos y libertades, incluyendo la naturaleza de la violación, datos afectados, medidas adoptadas y recomendaciones para mitigar el impacto.
El Operador mantiene un registro interno de todas las violaciones, conforme al art. 33.5 RGPD, con descripción, efectos y medidas correctoras.
16Menores de edad
La Plataforma no se dirige a menores de edad y no admite el registro como Actor a personas físicas que no tengan capacidad legal para contratar bajo su legislación nacional. La edad mínima general es de:
- 18 años en España, UE/EEE, UK, Suiza, Brasil, Canadá, Japón.
- 16 años para finalidades específicas en algunos Estados miembros de la UE conforme al art. 8 RGPD, no aplicable al alta como Actor económico.
- 14 años bajo PIPL (China) requiere consentimiento del tutor legal; el Operador no admite este supuesto.
- 13 años bajo COPPA (EE.UU.); el Operador no se dirige a este colectivo.
Si el Operador detecta que un Actor declaró falsamente su edad, suspenderá la cuenta conforme a la cláusula 11 del ToS y procederá a la supresión de los datos personales, salvo conservación legalmente exigida.
17Datos KYC y obligaciones AML
El tratamiento de los datos KYC y AML responde a una obligación legal (art. 6.1.c RGPD; Ley 10/2010 de 28 de abril; Reglamento (UE) 2024/1624 cuando entre en vigor; figuras equivalentes en otras jurisdicciones).
El Operador podrá conservar los datos KYC durante el plazo legal de 10 años desde el cese de la relación con el Usuario, aun cuando éste haya solicitado la supresión de su cuenta. Esta conservación no es renunciable.
Para sectores regulados (legal, salud, arquitectura, ingeniería, auditoría), la verificación KYC profesional incluye consulta cruzada con el registro público oficial del país de ejercicio profesional. El resultado se almacena con la URL de la fuente, la fecha de consulta y un hash de la respuesta del registro, como prueba documental. La inteligencia artificial puede asistir en la consulta y el cotejo, pero la fe del dato la otorga el registro oficial, no el modelo; los casos no concluyentes se elevan a revisión humana.
18Trazabilidad on-ledger (XRPL)
Cuando se active la funcionalidad de verificación de liquidación sobre registro público (verify-on-ledger, de carácter no custodial: el Operador no custodia fondos ni criptoactivos del Usuario), determinada información se registrará en la red pública XRP Ledger (XRPL):
- Hash de cada Operación y de los hitos de su liquidación.
- Fecha de cada verificación.
XRPL es una infraestructura pública, descentralizada e inmutable. Esto significa que la información registrada en ella no puede ser suprimida por el Operador a petición del Usuario, ya que excede su esfera de control. El Operador adopta las siguientes medidas para reducir el impacto sobre la privacidad:
- Solo se registra la información estrictamente necesaria para la trazabilidad de la Operación; los datos identificativos de las partes no se publican on-chain.
- La asociación entre las referencias registradas on-ledger y la identidad real del Actor se mantiene off-chain, en el sistema del Operador, y solo se revela conforme a la presente política y a requerimiento legal competente.
- El Usuario es informado expresamente de la inmutabilidad antes de activar la verificación on-ledger y debe consentir su uso (sección 5).
La presente sección describe una limitación técnica inherente a la tecnología blockchain reconocida por el Comité Europeo de Protección de Datos (Directrices 02/2024). El derecho de supresión bajo el RGPD se ejerce sobre los datos off-chain del Operador.
19Asistente con IA (cuando se active)
La Plataforma podrá ofrecer en el futuro un asistente conversacional opcional (Fases 5.5, 7.5 y 9.5 del roadmap del Operador). Su uso implicará el siguiente tratamiento adicional:
- Las consultas del Usuario al asistente se transmitirán al proveedor del modelo ([TODO: indicar proveedor — previsto Anthropic UE/Bedrock UE]) bajo contrato de encargo conforme al art. 28 RGPD.
- El proveedor del modelo se compromete por contrato a no entrenar sus modelos con las consultas de los Actores.
- El Usuario debe consentir expresamente el uso del asistente; la activación es voluntaria y desactivable.
- El asistente no toma decisiones con efectos jurídicos sin confirmación humana del Usuario.
- Los registros de conversación se conservan por [TODO: plazo — sugerido 90 días], salvo que el Usuario los borre antes desde su panel.
20Modificaciones de esta política
El Operador podrá modificar esta política para reflejar cambios legislativos, jurisprudenciales, técnicos o de modelo de servicio. Las modificaciones sustanciales se notificarán al Usuario con al menos [TODO: plazo — sugerido 30 días] de antelación a su entrada en vigor por correo electrónico y aviso en la Plataforma. La continuidad del uso tras la entrada en vigor se entenderá como aceptación de la nueva versión, sin perjuicio del derecho del Usuario a retirar el consentimiento o ejercer cualquier otro derecho.
21Cómo presentar una reclamación
Antes de acudir a la autoridad de control, animamos al Usuario a contactar al DPO en [TODO: privacy@1503.global]: el Operador se compromete a responder de forma motivada en el plazo aplicable a su jurisdicción.
Si la respuesta no es satisfactoria, el Usuario puede presentar reclamación ante la autoridad de control competente identificada en la sección 11 según su jurisdicción de residencia. La presente cláusula no limita el derecho de los Actores a acudir directamente a la vía administrativa o judicial cuando lo consideren oportuno.
22Datos de contacto del Responsable y DPO
- Responsable: [TODO: razón social], [TODO: domicilio].
- Correo del DPO / Privacidad: [TODO: privacy@1503.global].
- Correo general: [TODO: contacto@1503.global].
- Representante en la UE (si el Responsable no estuviera establecido en la UE): [TODO: indicar representante art. 27 RGPD si procede].
- Representante en UK (si procede): [TODO: indicar representante art. 27 UK GDPR si procede].
23Aceptación
La aceptación de esta política se manifiesta marcando expresamente la casilla «He leído y acepto la Política de Privacidad» durante el registro. La Plataforma registrará la fecha, hora y versión aceptada como prueba del consentimiento informado, conforme al art. 7.1 RGPD.
Esta política forma parte integrante de los Términos de Servicio y debe leerse conjuntamente con ellos.