Última actualización: 23 de mayo de 2025 — Versión 1.0
🌎 Esta política cumple con: LFPDPPP (México) · Ley 1581/2012 (Colombia) · Ley 19.628 (Chile) · Ley 25.326 (Argentina) · RGPD/GDPR (España/UE) · CCPA (California, EE. UU.)
Cundinate LLC (en adelante, «la Empresa», «nosotros» o «el Responsable»), constituida conforme a las leyes del Estado de Delaware, Estados Unidos de América, con domicilio legal en 651 N Broad St, Suite 206, Middletown, Delaware 19709, EE. UU., es responsable del tratamiento de los datos personales recabados a través de la plataforma tecnológica Cundinate (sitio web, aplicación móvil y cualquier interfaz de usuario, en conjunto denominadas «la Plataforma»).
Delegado de Protección de Datos (DPO): Para asuntos relacionados con el tratamiento de sus datos, puede contactar a nuestro equipo designado en: privacidad@cundinate.com
El tratamiento de sus datos personales se rige por la normativa de protección de datos aplicable según su país de residencia o ubicación:
| País / Región | Normativa Principal | Autoridad Supervisora |
|---|---|---|
| México | Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y su Reglamento | INAI |
| Colombia | Ley Estatutaria 1581/2012 y Decreto 1377/2013 | Superintendencia de Industria y Comercio (SIC) |
| Chile | Ley 19.628 sobre Protección de la Vida Privada (en proceso de reforma) | SERNACLYT |
| Argentina | Ley 25.326 de Protección de Datos Personales | AAIP |
| España / UE | Reglamento (UE) 2016/679 (RGPD/GDPR) y Ley Orgánica 3/2018 (LOPDGDD) | AEPD / Autoridades Nacionales |
| EE. UU. (California) | California Consumer Privacy Act (CCPA) / CPRA | California Privacy Protection Agency |
Conforme al principio de minimización de datos (Art. 5.1.c RGPD; Art. 6 LFPDPPP), únicamente recabamos los datos estrictamente necesarios para la prestación del servicio:
⚠️ Datos que NO recabamos
Cundinate nunca solicita ni almacena números completos de tarjetas bancarias, claves de acceso a cuentas bancarias, datos de seguridad social (CURP, RFC en formato completo para análisis fiscal), ni información crediticia. Los pagos son procesados directamente por proveedores PCI-DSS certificados (Stripe / PayPal).
Dado que Cundinate opera servidores alojados en infraestructura de Google Cloud Platform (región us-central1, Iowa, EE. UU.) y Firebase, los datos de usuarios ubicados en Latinoamérica y España son transferidos a servidores en territorio estadounidense. Esta transferencia internacional se realiza bajo las siguientes salvaguardas:
Cláusulas Contractuales Tipo (SCC)
Adoptamos las Cláusulas Contractuales Estándar aprobadas por la Comisión Europea (Decisión 2021/914/UE) con todos nuestros proveedores de infraestructura fuera del EEE.
Adequacy Decisions
Para transferencias desde España/UE, Google LLC está sujeto a las decisiones de adecuación y a los marcos de certificación EU-US Data Privacy Framework (DPF).
Medidas técnicas adicionales
Cifrado en tránsito (TLS 1.3) y en reposo (AES-256). Acceso limitado por principio de necesidad.
México (LFPDPPP Art. 36)
Las transferencias a terceros países cumplen con los supuestos del Art. 37 LFPDPPP al ser necesarias para la ejecución del contrato.
Colombia (Ley 1581 Art. 26)
Se garantiza nivel adecuado de protección mediante contratos de encargado de tratamiento con nuestros proveedores tecnológicos.
Compartimos datos únicamente con los siguientes proveedores, quienes actúan como encargados del tratamiento bajo nuestras instrucciones y con garantías contractuales equivalentes:
| Proveedor | Servicio | País del Servidor | Datos Compartidos |
|---|---|---|---|
| Google Firebase / GCP | Base de datos, autenticación, funciones | EE. UU. | Todos los datos de cuenta y uso |
| Stripe Inc. | Procesamiento de pagos | EE. UU. | Email, importe, metadata de transacción |
| PayPal Holdings | Procesamiento de pagos P2P | EE. UU. | Email, nombre, importe |
| SumSub | Verificación de identidad (KYC) | Luxemburgo / EE. UU. | Documentos de identidad, selfie biométrica |
| SendGrid (Twilio) | Envío de emails transaccionales | EE. UU. | Email, nombre, contenido del mensaje |
| Solana Foundation | Blockchain (contratos inteligentes) | Descentralizado | Dirección wallet pública únicamente |
🔞 Servicio exclusivo para mayores de 18 años
La Plataforma está dirigida exclusivamente a personas mayores de 18 años con plena capacidad jurídica para contratar. Cundinate cumple con la Children's Online Privacy Protection Act (COPPA, 15 U.S.C. §§ 6501-6506), la Ley General de los Derechos de Niñas, Niños y Adolescentes (LGDNNA) de México, y las disposiciones equivalentes en Colombia (Ley 1098/2006), Chile (Ley 19.968) y Argentina.
Si durante el proceso de verificación KYC detectamos que un usuario es menor de edad, cancelaremos inmediatamente su cuenta y eliminaremos todos sus datos personales en un plazo máximo de 72 horas. Si usted es padre, madre o tutor y cree que su hijo menor de edad ha creado una cuenta, contáctenos en menores@cundinate.com.
Puede ejercer los siguientes derechos enviando una solicitud a privacidad@cundinate.com con identificación oficial adjunta. Responderemos en un plazo máximo de 20 días hábiles:
Acceso (A)
Conocer qué datos tenemos sobre usted y cómo los tratamos
Rectificación (R)
Corregir datos inexactos o incompletos
Cancelación / Supresión (C)
Solicitar la eliminación de sus datos (sujeto a obligaciones legales de retención)
Oposición (O)
Oponerse al tratamiento para determinadas finalidades
Portabilidad (RGPD)
Recibir sus datos en formato estructurado y legible por máquina
Limitación del tratamiento
Suspender el tratamiento mientras se resuelve una controversia
Revocación del consentimiento
Retirar el consentimiento para finalidades no esenciales en cualquier momento
No ser objeto de decisiones automatizadas
Solicitar revisión humana de decisiones tomadas exclusivamente por algoritmos
| Categoría de Dato | Plazo de Retención | Fundamento |
|---|---|---|
| Datos de cuenta activa | Durante la vigencia de la cuenta | Ejecución de contrato |
| Documentos KYC | 5 años desde el cierre de la cuenta o la última transacción, lo que ocurra después | Ley Antilavado (FATF/GAFI) — ver Política KYC/AML §5 |
| Historial de tandas y pagos | 7 años desde la fecha de la transacción | LFPIORPI / Ley 25.246 / Directiva AML — obligación legal más larga aplicable |
| Logs de seguridad | 12 meses | Interés legítimo (seguridad) |
| Datos de lista de exclusión | 10 años | Prevención de fraude |
| Cookies de análisis | 13 meses | Consentimiento / ePrivacy |
| Datos de marketing | Hasta revocación del consentimiento | Consentimiento |
Implementamos medidas técnicas y organizativas apropiadas conforme al Art. 32 RGPD y Art. 19 LFPDPPP:
Para información detallada sobre el uso de cookies y tecnologías de seguimiento, consulte nuestra Política de Cookies. Puede gestionar sus preferencias en cualquier momento desde el panel de configuración de su cuenta o mediante los controles del banner de cookies.
⚠️ AVISO IMPORTANTE: Datos registrados en la blockchain de Solana
El modelo de tanda «Sorteo» utiliza contratos inteligentes desplegados en la blockchain de Solana para garantizar la aleatoriedad verificable del sorteo (Chainlink VRF). Cuando usted participa en este modelo, su dirección de wallet pública y los registros de participación quedan escritos de forma permanente e irreversible en un ledger público.
Conflicto con el derecho de supresión (RGPD Art. 17 / LFPDPPP): Por la naturaleza inmutable de la blockchain, Cundinate no puede eliminar los datos registrados on-chain una vez confirmados. Sin embargo:
Si no desea participar en un modelo con registro on-chain, seleccione el modelo «Número Cero» o «Comisión 10%» que operan completamente off-chain.
Delegado de Protección de Datos
privacidad@cundinate.com
Respuesta en 20 días hábiles
Menores de Edad
menores@cundinate.com
Respuesta en 48 horas
Si considera que hemos vulnerado sus derechos, puede presentar reclamación ante la autoridad supervisora de su país: INAI (México), SIC (Colombia),SERNACLYT (Chile), AAIP (Argentina), AEPD (España).