← Historial de versiones
Versión archivada v1.0 · 28 de abril de 2026 · fase de pruebas cerradas. Ir a la versión actual →

Política de Privacidad de la Plataforma DAMOSTA

Versión: 1.0 (fase de pruebas cerrada) Fecha de entrada en vigor: 28 de abril de 2026 Última actualización: 28 de abril de 2026 Responsable del tratamiento: DAMOSTA (la plataforma se encuentra en fase de desarrollo privado; los datos completos de la persona jurídica del Responsable, el país de registro, el número de registro y el domicilio social se indicarán en una versión actualizada antes de la fecha del lanzamiento público de la plataforma) Contacto para consultas de protección de datos: [email protected]

Estado del documento. La presente versión se publica para la fase de pruebas cerrada. El acceso a la Plataforma está restringido a una lista de usuarios autorizados. Antes del lanzamiento público están sujetos a finalización y verificación: los datos completos del Responsable, la necesidad de designar un representante en la UE y/o un Delegado de Protección de Datos (DPD), el listado definitivo de encargados del tratamiento, las regiones de tratamiento, los contratos de encargo del tratamiento (CET), los mecanismos de transferencia internacional de datos y el modelo de pago. La lista de decisiones abiertas se encuentra en docs/legal/launch_checklist.md, parte 3.

Preámbulo

Esta Política de Privacidad (en adelante, la «Política») describe qué datos personales recopilamos durante su uso de la plataforma DAMOSTA (en adelante, la «Plataforma»), cómo los utilizamos, a quién los transferimos y cómo los protegemos.

Aspiramos a la máxima transparencia. Si algo en la Política no le queda claro, escriba a la dirección [email protected] y se lo aclararemos.

La Política se ha elaborado teniendo en cuenta los requisitos de:

  • el Reglamento (UE) 2016/679 (RGPD) — para los usuarios en el Espacio Económico Europeo y aquellos cuyos datos se traten en el EEE;
  • la Ley de Ucrania «Sobre la protección de datos personales» — para los usuarios en Ucrania;
  • otras legislaciones aplicables sobre protección de datos personales en los países donde la Plataforma esté disponible.

Al usar la Plataforma, usted confirma que ha leído la Política y comprende qué datos se tratan y de qué modo.

1. Quién trata sus datos

Responsable del tratamiento (controller): DAMOSTA; los datos completos de la persona jurídica se indicarán tras el registro — véase docs/legal/launch_checklist.md, parte 3.1.

«Responsable del tratamiento» es la persona jurídica o la persona física como autónomo que determina los fines y los medios del tratamiento de los datos personales y asume la responsabilidad de su tratamiento.

1.1. Representante en la UE (artículo 27 del RGPD)

Si, sobre la base del análisis de la estructura definitiva de registro del Responsable y del targeting de la Plataforma en el Espacio Económico Europeo (EEE), resulta necesario un representante con arreglo al artículo 27 del RGPD, sus datos de contacto se indicarán aquí antes del momento a partir del cual la Plataforma esté disponible públicamente para los usuarios del EEE.

1.2. Delegado de Protección de Datos (Data Protection Officer, DPD)

El Responsable evaluará la obligatoriedad de designar un DPD a partir de los criterios del artículo 37 del RGPD (naturaleza de la actividad principal, alcance del tratamiento, categorías de datos tratados). Si se designa un DPD, sus datos de contacto se publicarán en esta Política.

2. Qué datos recopilamos

2.1. Datos de Telegram

Al iniciarse la Telegram Mini App, Telegram puede transmitirnos los siguientes datos a través del mecanismo estándar initData de Telegram Web App, en función de la configuración de Telegram, de la versión del cliente y de los campos efectivamente disponibles:

  • ID de Telegram — el identificador numérico de su cuenta en Telegram;
  • Nombre;
  • Apellido, si está indicado en Telegram;
  • Nombre de usuario, si está indicado en Telegram;
  • Código de idioma (language_code) — el idioma establecido en la configuración de Telegram;
  • URL de la foto de perfil en Telegram, si Telegram la transmite en los campos disponibles;
  • otros indicadores técnicos del perfil o de la interacción (por ejemplo, el indicador de Telegram Premium o un indicador de que usted ha permitido al bot enviarle mensajes privados), si Telegram los transmite en el marco de la Mini App.

No recibimos de Telegram su número de teléfono, su email, su contraseña ni otros medios de autenticación. Telegram nos transmite los datos automáticamente en el momento del inicio de la Plataforma.

2.2. Email y verificación obligatoria para los Titulares

Para los Usuarios en el rol de Titulares de Fichas de Negocio tratamos adicionalmente:

  • la dirección de email indicada por el Usuario al crear la primera Ficha de Negocio;
  • el hecho y la fecha de la confirmación del email mediante un código de verificación enviado por nuestro proveedor transaccional (Resend);
  • la vinculación de la dirección de email con el ID de Telegram — a efectos de la identificación del Usuario en las comunicaciones formales.

El email se utiliza como canal formal de comunicación y es obligatorio para la creación de una Ficha de Negocio. Sin un email confirmado, la función de creación de una Ficha de Negocio no está disponible.

Para los Usuarios en el rol de Clientes, no se solicita el email en el momento de la mera consulta de la Plataforma. El email se vuelve obligatorio en la realización de actos formales que requieren identificación.

2.3. Datos que usted nos proporciona

Usted puede comunicarnos por su propia iniciativa:

  • datos sobre la Ficha de Negocio: nombre, descripción, categoría, sector de venta, fotografías, dirección, horario de atención, datos de contacto (incluidos teléfono, email, enlaces a sitios web y redes sociales);
  • ajustes y preferencias (por ejemplo, el idioma de la interfaz, distinto del de Telegram);
  • mensajes que envía al servicio de soporte;
  • otros datos que usted publique voluntariamente en la Plataforma.

2.4. Datos técnicos

Recopilamos automáticamente datos técnicos sobre su interacción con la Plataforma:

  • dirección IP — a efectos de seguridad, protección frente a ataques, limitación de la frecuencia de solicitudes, verificación del cumplimiento de las restricciones territoriales (sección 3.4 de los Términos de Uso);
  • tipo de dispositivo, sistema operativo, versión del cliente de Telegram, versión de la Plataforma — para compatibilidad y diagnóstico;
  • fecha y hora de la interacción con la Plataforma;
  • acciones en la Plataforma (transiciones entre pantallas, pulsaciones de botones, errores, rendimiento) — en forma anonimizada o seudonimizada, cuando sea técnicamente posible;
  • registros de errores — mensajes técnicos sobre los errores que se produzcan durante el funcionamiento de la Plataforma.

Aclaración terminológica. Podemos tratar eventos técnicos y de producto del uso de la Plataforma, incluyendo transiciones entre pantallas, pulsaciones de botones, errores, rendimiento e información sobre compatibilidad, en forma anonimizada o seudonimizada, cuando sea técnicamente posible. Si tales datos pueden vincularse con la Cuenta, el ID de Telegram, la dirección IP, el dispositivo o la sesión, se consideran datos personales y se tratan conforme a esta Política.

2.5. Datos de pago

Si usted paga las funciones de pago de la Plataforma, el pago es procesado por proveedores de pagos externos. El proveedor concreto se indica en la sección 4 de esta Política tras la finalización del modelo de pago (véase docs/legal/launch_checklist.md, parte 3.5).

No almacenamos los números completos de las tarjetas de pago, los códigos CVV ni otros datos transmitidos durante el proceso de pago. Del proveedor de pagos podemos recibir únicamente los datos necesarios para el registro contable del pago, en función del modelo de pago elegido:

  • el hecho y el importe del pago;
  • el identificador de la transacción;
  • el estado del pago;
  • el plan tarifario y el período de pago;
  • datos limitados sobre el medio de pago, si los proporciona el proveedor y son necesarios para la presentación al Usuario o para la contabilidad;
  • datos para la presentación contable y fiscal.

2.6. Registros de aceptación de documentos

Cuando usted acepta los Términos de Uso, las Reglas de la Plataforma o esta Política, la Plataforma registra:

  • la versión del documento aceptado;
  • la fecha y la hora de la aceptación (UTC);
  • su ID de Telegram;
  • la dirección IP;
  • el hash (SHA-256) del texto aceptado;
  • el indicador de si la aceptación es de prueba (durante la fase de pruebas cerrada) o si constituye una aceptación jurídica real (tras el lanzamiento público).

Los registros se conservan durante el plazo establecido por la legislación, pero no menos de 3 (tres) años tras la terminación de la Cuenta. Los registros constituyen una excepción al derecho de supresión conforme al artículo 17, apartado 3, letra e) del RGPD — son necesarios para la formulación, el ejercicio o la defensa de reclamaciones jurídicas.

2.7. Dirección de email y atribución referral en la lista de espera (waitlist)

Si dejó su email en el formulario «Lista de espera» del sitio damosta.com o en el banner de prueba cerrada de la Mini App, tratamos las siguientes categorías de datos:

  • la dirección de email indicada por usted en el formulario;
  • el código de idioma de la interfaz (locale) en el que interactuó con el formulario, — para enviar el email de confirmación en el idioma correspondiente;
  • la fecha y hora de expresión del consentimiento para recibir una notificación sobre el lanzamiento público — para documentar el consentimiento en el sentido del artículo 7 RGPD;
  • la fuente de la solicitud (página del sitio, banner de la Mini App, otro punto de entrada) — para evaluar la eficacia de los canales de comunicación;
  • el código referral mediante el cual llegó al formulario, si procede, — para los fines del programa referral (§ 7.9 de las Condiciones de uso);
  • el código referral personal, generado por la Plataforma exclusivamente después de la confirmación de su email mediante un procedimiento de dos pasos (double opt-in) conforme al § 7.9.2 de las Condiciones de uso, — para su posterior participación en el programa referral.

Por separado, para prevenir abusos automatizados del formulario de solicitud (anti-abuse rate-limiting), la Plataforma mantiene un registro técnico de envío de la solicitud que contiene un hash de la dirección IP (HMAC-SHA256 con una sal no pública), indicadores técnicos mínimos del envío del formulario y una marca temporal. Este registro se genera independientemente de la solicitud de lista de espera, se almacena por separado de ella (véase § 6) y no se utiliza para fines no relacionados con la protección del formulario frente a abusos.

Distinción respecto del email del Propietario de Negocio. La confirmación del email en la lista de espera no constituye la creación de una Cuenta, el registro de un Negocio ni la confirmación del email del Propietario de Negocio en el sentido del § 4.4 de las Condiciones de uso. El email dejado en la lista de espera no se utiliza como canal formal de comunicación con el Propietario de Negocio y no crea una vinculación con Telegram ID hasta que la persona correspondiente complete de forma independiente el registro de un Negocio con confirmación del mismo email mediante el procedimiento descrito en el § 2.2 de la presente Política.

Usted tiene derecho a retirar en cualquier momento su consentimiento para participar en la lista de espera enviando una solicitud a [email protected]. La retirada del consentimiento conlleva la eliminación de su dirección de email y de los datos relacionados de la lista de espera dentro de un plazo razonable que no excederá de 30 (treinta) días naturales, salvo los registros mínimos conservados para confirmar la atribución referral (§ 7.9 de las Condiciones de uso), cumplir obligaciones legales o defender reclamaciones legales.

2.8. Cookies y almacenamiento local

La Plataforma utiliza un conjunto limitado de archivos cookie y mecanismos de almacenamiento local del navegador. No utilizamos cookies para tracking publicitario, perfilado entre sitios, transmisión de datos a redes publicitarias u otros fines que excedan las tareas funcionales expresamente descritas a continuación.

Conjunto actual de cookies y tecnologías similares utilizadas:

Tecnología Finalidad Categoría Vida útil Condición de instalación
Cookie dps_ref Almacenamiento del código referral mediante el cual el usuario llegó al sitio, para la posterior asignación correcta de un bonus al participante del programa referral (§ 7.9 de las Condiciones de uso) Functional / referral attribution 30 (treinta) días naturales desde la primera visita mediante el enlace referral Se instala solo tras el consentimiento explícito del usuario solicitado en un banner que se muestra exclusivamente al acceder al sitio mediante un enlace con código referral. Si no se otorga consentimiento, la cookie no se instala y no se aplica la atribución referral. Si la cookie ya está instalada y su plazo no ha expirado, una visita posterior mediante otro enlace referral no sobrescribe la atribución existente. El consentimiento del usuario opera dentro del plazo de vida de la cookie instalada.
Local Storage dps-site-theme Recordar el tema del sitio elegido por el usuario (claro / oscuro) Strictly necessary — necesario para aplicar las preferencias de visualización del usuario Se conserva hasta la eliminación explícita por el usuario mediante la configuración del navegador Se establece cuando el usuario cambia el tema por primera vez. No requiere consentimiento separado, ya que se utiliza exclusivamente para proporcionar la configuración solicitada por el usuario en la medida permitida por la legislación aplicable sobre cookies, incluidos los requisitos que implementan el artículo 5(3) de la Directiva 2002/58/CE.
Local Storage dps-cookie-consent Almacenamiento de la elección del usuario respecto de la cookie dps_ref (aceptado / rechazado), para que el banner de consentimiento no se muestre de nuevo Strictly necessary — necesario para ejecutar la elección expresada por el usuario respecto de las cookies Se conserva hasta la eliminación explícita por el usuario mediante el enlace «Gestionar cookies» en la parte inferior del sitio o mediante la configuración del navegador Se establece en el momento en que el usuario hace clic en cualquiera de los botones del banner de consentimiento. No requiere consentimiento separado, ya que se utiliza exclusivamente para ejecutar la elección del usuario respecto de las cookies en la medida permitida por la legislación aplicable sobre cookies, incluidos los requisitos que implementan el artículo 5(3) de la Directiva 2002/58/CE.

El usuario puede cambiar en cualquier momento su elección respecto de la cookie dps_ref mediante el enlace «Gestionar cookies» situado en la parte inferior de cualquier página del sitio. La apertura del panel correspondiente no recarga la página ni instala nuevas cookies antes de una acción explícita del usuario. Desactivar la cookie dps_ref no afecta a la posibilidad de utilizar la Plataforma ni de enviar una solicitud a la lista de espera, pero conlleva la pérdida de la atribución referral — la invitación referral mediante la cual el usuario llegó al sitio no se tendrá en cuenta en el programa referral.

En caso de añadirse nuevas cookies u otras tecnologías similares, esta sección se complementará indicando su finalidad, categoría, vida útil y condición de instalación.

2.9. Analítica web

La Plataforma utiliza el servicio self-hosted de analítica web Umami, desplegado en nuestra propia infraestructura en la Unión Europea. Hemos elegido precisamente una solución self-hosted con un conjunto mínimo de funciones porque permite comprender una visión agregada del uso de la Plataforma sin crear perfiles individuales, sin utilizar cookies y sin transferir datos a proveedores externos de analítica, redes publicitarias o data brokers (intermediarios de datos).

Qué recopilamos. La analítica recopila exclusivamente información técnica agregada sobre el hecho de visitar la Plataforma y la interacción con las páginas:

  • tipo de evento (a la fecha de entrada en vigor de esta versión — véase la lista de categorías más abajo);
  • país (a nivel de país, sin coordenadas precisas ni geolocalización);
  • tipo de dispositivo (desktop / tablet / móvil);
  • navegador y sistema operativo;
  • referente (la página anterior desde la que llegó el visitante);
  • etiquetas UTM, si están presentes en la URL.

La dirección IP puede ser tratada técnicamente durante la solicitud exclusivamente para determinar el país a nivel de país y no se conserva en la base de datos de analítica como parte del evento.

Lista de categorías de eventos a la fecha de entrada en vigor de esta versión:

Categoría Qué significa
Vista de página el hecho de abrir una página (URL sin parámetros query que puedan contener datos personales)
Vista del formulario waitlist se ha abierto la página con el formulario para unirse a la lista de espera
Envío del formulario waitlist resultado técnico: intento de envío, éxito, error de validación (sin revelar el código exacto del error), error de entrega
Confirmación de email apertura de la landing page de confirmación, clic en el botón de confirmación, vista de la página de confirmación correcta
Cambio de idioma de la interfaz el usuario cambió la locale
Cambio del tema de apariencia el usuario cambió entre tema claro y oscuro
Clic en los CTA principales clic en los principales botones de llamada a la acción
Clic en enlaces de navegación clic en enlaces del pie de página o del encabezado del sitio
Vista de plan tarifario el bloque de un plan tarifario concreto entró en el área visible de la pantalla
Apertura de pregunta en FAQ el usuario desplegó una pregunta concreta en la lista de preguntas frecuentes

Ningún evento contiene el nombre del usuario, dirección de email, telegram_id, número de teléfono, código de referido, estado de pago, contenido de campos de formulario, texto exacto de mensajes de error que pudieran contener datos personales, ni cualesquiera otros identificadores de una persona concreta. Esto es una invariante de la arquitectura de analítica, documentada en nuestra documentación técnica interna.

Los nuevos eventos no pueden contener datos personales ni identificadores de una persona concreta. Cualquier cambio sustancial en la composición de la analítica se refleja en una versión actualizada de esta sección.

Qué NO recopilamos. La analítica no recibe ni almacena:

  • direcciones de email de los usuarios;
  • Telegram ID, telegram username, nombres del perfil de Telegram;
  • números de teléfono;
  • direcciones IP como parte del evento (la IP puede tratarse «sobre la marcha» exclusivamente para determinar el país);
  • contenido de campos de formularios;
  • contenido de mensajes personales;
  • datos de pago;
  • datos biométricos, datos de salud y otras categorías especiales;
  • identificadores personales (account ID, business ID, referral code);
  • geolocalización precisa (ciudad, coordenadas).

No utilizamos la analítica para perfilado publicitario, seguimiento entre sitios, creación de perfiles de usuarios, adopción de decisiones automatizadas que produzcan efectos jurídicos o efectos de importancia similar, ni para transferir datos a redes publicitarias.

Los eventos relacionados con la aceptación o el rechazo de cookies no se transfieren a la analítica web; la elección del usuario se conserva localmente en el navegador (véase § 2.8).

Base jurídica del tratamiento. La base jurídica del tratamiento de los datos de analítica web es el interés legítimo del operador (Art. 6(1)(f) GDPR): el interés en comprender la audiencia agregada de la Plataforma para su desarrollo y la mejora del servicio. Consideramos que, en estas condiciones, el interés legítimo del Operador no queda prevalecido por los derechos y libertades de los interesados: el volumen de datos se minimiza, no se utilizan cookies, no se crean perfiles individuales y los datos no se transfieren a proveedores externos de analítica ni a redes publicitarias.

Cookies y otras tecnologías de almacenamiento de información en el dispositivo. Dado que la analítica web no utiliza cookies, local storage u otros mecanismos de almacenamiento o lectura de información del dispositivo del usuario con fines analíticos, no se solicita un consentimiento separado con arreglo al artículo 5(3) de la Directiva 2002/58/EC para dicha analítica.

Plazo de conservación. Los datos de analítica web se conservan durante 180 (ciento ochenta) días naturales desde el momento de su recopilación. Transcurrido este plazo, los registros correspondientes se eliminan automáticamente de la base de datos de analítica. Este plazo se ha elegido como mínimo suficiente para comprender las tendencias estacionales de uso de la Plataforma, minimizando al mismo tiempo los riesgos de conservación.

Transferencia de datos. La analítica está desplegada en nuestra propia infraestructura dentro de la Unión Europea. Los datos de analítica web no se transfieren a proveedores externos de analítica, redes publicitarias ni data brokers, no se venden y no se utilizan para publicidad comportamental. El tratamiento puede ser realizado por nuestros proveedores de infraestructura únicamente dentro de los límites descritos en § 4 de este documento.

Respeto de Do Not Track. Respetamos el encabezado estándar del navegador Do Not Track (DNT). Si su navegador envía el encabezado DNT: 1, el script de analítica web no se inicializa en las páginas de la Plataforma y no se recopilan datos sobre su interacción.

Disponibilidad territorial del servicio. Algunas funciones interactivas de la Plataforma pueden no estar técnicamente disponibles desde territorios que no pertenecen a los mercados atendidos por la Plataforma, de conformidad con las Condiciones de uso y las Reglas de la plataforma. Estas restricciones pueden aplicarse a nivel de CDN/WAF. Pueden generarse security logs mínimos de CDN/WAF (timestamp, dirección IP, país, decisión del firewall) con fines de protección de la infraestructura. Se trata de una capa separada de la analítica web; dichos logs no se utilizan para perfilado publicitario ni para analítica web.

Sus derechos respecto de los datos de analítica web. Dado que la analítica web no conserva identificadores individuales, el ejercicio del derecho de acceso a registros concretos que se refieran personalmente a usted es técnicamente imposible: no existe en el sistema una conexión entre un registro de evento y una persona concreta. Al mismo tiempo, usted tiene derecho a:

  • oponerse al tratamiento basado en el interés legítimo (artículo 21 GDPR); en tal caso, recomendamos activar el encabezado Do Not Track en la configuración de su navegador, lo que excluirá automáticamente su interacción del seguimiento;
  • recibir explicaciones adicionales sobre el tratamiento contactando con nuestro servicio de soporte en: [email protected];
  • presentar una reclamación ante la autoridad competente de protección de datos personales en su jurisdicción.

Cambios en la composición de los eventos. Cualquier cambio sustancial en la composición de la analítica web, la adición de nuevas categorías de eventos o un cambio en la arquitectura del servicio de analítica se reflejará en una versión actualizada de esta sección. La lista de categorías indicada anteriormente está vigente a la fecha de entrada en vigor de esta versión del documento.

2.10. Datos que NO recopilamos

No recopilamos:

  • su localización exacta por GPS (salvo que usted haya indicado manualmente la dirección de una Ficha de Negocio);
  • datos sobre sus otras actividades fuera de la Plataforma;
  • sus contactos en Telegram, su correspondencia en Telegram, otros datos más allá de lo que Telegram nos transmite en el marco de la Telegram Mini App;
  • datos biométricos;
  • datos de salud;
  • datos sobre el origen racial y étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, orientación sexual (con excepción de los casos en que usted publique estos datos voluntariamente como parte de una Ficha de Negocio — pero no recomendamos hacerlo).

3. Para qué tratamos los datos (fines y bases jurídicas)

Conforme al artículo 6 del RGPD, todo tratamiento de datos personales debe tener una base jurídica. A continuación indicamos para cada fin del tratamiento la base jurídica correspondiente.

3.1. Prestación de las funciones de la Plataforma

Qué tratamos: ID de Telegram, nombre, nombre de usuario, foto, idioma, email del Titular, Contenido de la Ficha de Negocio, datos técnicos.

Para qué: crear su Cuenta, permitirle crear y gestionar Fichas de Negocio, mostrar su Ficha de Negocio a otros Usuarios, garantizar un canal formal de comunicación con los Titulares a través del email.

Base jurídica (RGPD): artículo 6, apartado 1, letra b) — ejecución de un contrato (Términos de Uso).

3.2. Seguridad y protección frente a abusos

Qué tratamos: dirección IP, registros de acciones, datos técnicos, datos sobre actividad sospechosa, metadatos de conexiones para verificar las restricciones territoriales (sección 3.4 de los Términos de Uso).

Para qué: detectar y frenar fraudes, ciberataques, infracciones de las Reglas, proteger la Plataforma y a otros Usuarios; controlar el cumplimiento de la legislación de sanciones y de la prohibición territorial respecto a la Federación Rusa y Bielorrusia.

Base jurídica: artículo 6, apartado 1, letra f) — nuestro interés legítimo en garantizar la seguridad de la Plataforma y proteger a los Usuarios; artículo 6, apartado 1, letra c) — cumplimiento de una obligación jurídica relativa a la observancia de los regímenes de sanciones.

3.3. Soporte a los usuarios

Qué tratamos: el contenido de sus consultas, sus datos de contacto.

Para qué: responder a sus preguntas y tramitar reclamaciones.

Base jurídica: artículo 6, apartado 1, letra b) — ejecución de un contrato y medidas precontractuales.

3.4. Mejora de la Plataforma

Qué tratamos: datos seudonimizados sobre acciones en la Plataforma, datos técnicos, registros de errores.

Para qué: mejorar la funcionalidad, corregir errores, medir el rendimiento.

Base jurídica: artículo 6, apartado 1, letra f) — interés legítimo en el desarrollo y el mantenimiento del funcionamiento de la Plataforma.

3.5. Supervisión de errores y rendimiento

Podemos utilizar servicios de supervisión de errores, estabilidad y rendimiento para detectar fallos, diagnosticar problemas, proteger la seguridad y mejorar el funcionamiento de la Plataforma. Tales servicios pueden recibir datos técnicos, registros de errores, datos del dispositivo, versiones del cliente, hora del evento y un contexto limitado de la acción durante la cual se produjo el error. El servicio de supervisión concreto se indica en la sección 4 de esta Política.

Los servicios de supervisión se incorporan como encargados del tratamiento conforme al artículo 28 del RGPD. Antes del lanzamiento público, el Responsable verificará y formalizará los correspondientes contratos de encargo del tratamiento (CET / Data Processing Agreements), las regiones de tratamiento y las garantías para las transferencias internacionales, en su caso. No utilizamos estos datos para perfilado publicitario y no los transferimos a brokers de datos.

3.6. Obligaciones jurídicas

Qué tratamos: datos de conservación obligatoria conforme a la legislación aplicable (presentación contable y fiscal, registros de aceptación de los Términos, datos sobre pagos).

Para qué: cumplir los requisitos obligatorios de la ley.

Base jurídica: artículo 6, apartado 1, letra c) — cumplimiento de una obligación jurídica.

3.7. Defensa de derechos y reclamaciones jurídicas

Qué tratamos: datos relativos a controversias, reclamaciones y demandas.

Para qué: formular, ejercer o defender nuestros derechos legítimos; tramitar reclamaciones; responder a requerimientos de las autoridades estatales.

Base jurídica: artículo 6, apartado 1, letra f) — interés legítimo.

3.8. Comunicaciones de servicio y marketing

Comunicaciones de servicio. Podemos enviarle comunicaciones necesarias para el funcionamiento de la Plataforma: cambios de los Términos, de la Política o de las Reglas, comunicaciones de seguridad, recuperación de acceso, medidas de respuesta, pagos y otras comunicaciones jurídica o técnicamente relevantes.

Base jurídica: artículo 6, apartado 1, letra b) del RGPD — ejecución de un contrato; artículo 6, apartado 1, letra c) del RGPD — cumplimiento de una obligación jurídica; artículo 6, apartado 1, letra f) del RGPD — interés legítimo en el mantenimiento de la seguridad y del funcionamiento adecuado de la Plataforma.

Comunicaciones de marketing. Podemos enviarle información sobre nuevas funciones, actualizaciones u ofertas de la Plataforma únicamente en la medida permitida por la legislación aplicable y con la posibilidad de oponerse a tales comunicaciones.

Base jurídica: artículo 6, apartado 1, letra a) del RGPD — consentimiento, si es necesario; o artículo 6, apartado 1, letra f) del RGPD — interés legítimo en informar a los usuarios existentes sobre funciones relacionadas de la Plataforma, si tal información está permitida por la ley.

Usted tiene derecho a oponerse en cualquier momento a las comunicaciones de marketing (véase la sección 7). La oposición al marketing no afecta a la recepción de comunicaciones de servicio, de seguridad o jurídicamente relevantes.

3.9. Para qué NO usamos sus datos

  • no vendemos sus datos personales a terceros;
  • no usamos sus datos para publicidad dirigida fuera de la Plataforma;
  • no transferimos sus datos a brokers de datos, redes publicitarias o servicios de perfilado;
  • no le perfilamos para la toma de decisiones automatizadas con efectos jurídicos (véase la sección 9).

3.10. Información sobre el lanzamiento público de la Plataforma (lista de espera)

Qué tratamos: dirección de email, locale, fecha del consentimiento, fuente de la solicitud, código referral, código referral personal, así como el hecho y la fecha de confirmación del email mediante un procedimiento de dos pasos.

Por separado, dentro del registro anti-abuse, — hash de la dirección IP e indicadores técnicos mínimos del envío del formulario.

Para qué:

(a) enviar al usuario una notificación única sobre el lanzamiento público de DAMOSTA a la dirección de email indicada;

(b) proporcionar al usuario un código referral personal para participar en el programa referral conforme al § 7.9 de las Condiciones de uso, si el usuario confirmó su email mediante un procedimiento de dos pasos;

(c) contabilizar correctamente la atribución referral si el usuario llegó a la lista de espera mediante el enlace referral de otra persona y dio su consentimiento para instalar la cookie dps_ref;

(d) proteger el formulario de solicitud frente a abusos automatizados, incluidos envíos masivos de solicitudes y ataques a la entregabilidad del canal de email, aplicando minimización de datos y un plazo limitado de conservación de los indicadores técnicos.

Base jurídica:

artículo 6(1)(a) RGPD — consentimiento explícito del usuario, expresado mediante una acción activa (introducción de la dirección de email y pulsación del botón correspondiente en un formulario con una finalidad claramente indicada), respecto del tratamiento de la dirección de email, locale, hecho del consentimiento, fuente de la solicitud y atribución referral;

artículo 6(1)(f) RGPD — interés legítimo de la Plataforma en garantizar la seguridad del formulario de solicitud, prevenir abusos automatizados masivos y proteger la entregabilidad del canal de email, respecto del hash de la dirección IP y los metadatos técnicos del envío de la solicitud. Las medidas aplicadas — seudonimización de la dirección IP mediante HMAC-SHA256 con una sal no pública, almacenamiento separado de la solicitud de lista de espera, plazo limitado de conservación, ausencia de uso para fines no relacionados con anti-abuse rate-limiting — garantizan la proporcionalidad del tratamiento respecto de la finalidad declarada y el equilibrio entre los intereses de la Plataforma y los derechos del interesado.

El usuario tiene derecho a retirar en cualquier momento su consentimiento para participar en la lista de espera conforme al procedimiento descrito en el § 2.7 de la presente Política, sin necesidad de justificarlo y sin consecuencias adversas para la posibilidad de utilizar la Plataforma en el futuro.

4. A quién transferimos los datos

4.1. Encargados del tratamiento que actúan por nuestra cuenta

Recurrimos a proveedores externos de servicios (encargados del tratamiento en la terminología del RGPD) que tratan los datos exclusivamente conforme a nuestras instrucciones y en nuestro interés.

Para la fase de pruebas cerrada se indica a continuación el actual stack técnico y las categorías esperadas de encargados del tratamiento. Antes del lanzamiento público, el Responsable verificará y formalizará los datos definitivos de los encargados del tratamiento, las regiones de tratamiento, la existencia de CET, CCT u otras garantías necesarias para las transferencias internacionales.

Composición actual de los encargados del tratamiento (a la fecha de la última actualización de la Política):

Categoría Proveedor País de jurisdicción / ubicación de los servidores Contrato de encargo / garantías
DNS, proxy, enrutamiento de correos entrantes, hosting de la página web pública Cloudflare, Inc. EE. UU. (sede central); red global, centros UE disponibles Sujeto a verificación y formalización antes del lanzamiento público
Hosting del backend y de las bases de datos DigitalOcean, LLC EE. UU. (sede central); servidores en Frankfurt (FRA1, Alemania) Sujeto a verificación y formalización antes del lanzamiento público
Correo transaccional y envío SMTP en nombre del dominio Resend (Resend, Inc.) EE. UU. (sede central); región de tratamiento eu-west-1 (Irlanda) Sujeto a verificación y formalización antes del lanzamiento público
Supervisión de errores y rendimiento Sentry (Functional Software, Inc., d/b/a Sentry) EE. UU. (sede central); región sentry.io/eu (Irlanda/Alemania) Sujeto a verificación y formalización antes del lanzamiento público
Operaciones de pago (en planes de pago) Se indicará tras la finalización del modelo de pago — véase docs/legal/launch_checklist.md, parte 3.5 TBD TBD
Asesores jurídicos, contables y de auditoría Según necesidad Según la jurisdicción del asesor Acuerdos de confidencialidad

Antes del lanzamiento público se celebrarán con todos los encargados del tratamiento permanentes contratos de encargo del tratamiento de datos personales (CET / Data Processing Agreement, DPA) que les obliguen a cumplir los estándares del RGPD.

4.2. Telegram

Telegram Messenger Inc. recopila por sí mismo determinados datos sobre su interacción con el bot y la Mini App conforme a su política de privacidad. Telegram no es nuestro encargado del tratamiento — Telegram es un responsable del tratamiento independiente de sus datos. Si desea saber qué recopila Telegram, consulte la Política de Privacidad de Telegram.

4.3. Divulgación por requerimiento legal

Divulgamos datos personales:

  • por requerimiento obligatorio de una autoridad estatal competente (tribunal, fiscalía, policía, autoridades fiscales y otras) — en la medida expresamente prevista por la ley aplicable;
  • para la protección de la vida y la salud de las personas en situaciones de emergencia;
  • para la prevención y represión de delitos;
  • para la defensa de nuestros derechos legítimos en procedimientos judiciales, administrativos y otros;
  • para el cumplimiento de la legislación de sanciones y de la legislación de lucha contra el blanqueo de capitales y la financiación del terrorismo.

En tales casos, procuramos divulgar el volumen mínimo necesario de datos y, cuando sea admisible por la ley, notificamos al Usuario afectado.

4.4. Transferencia en caso de reorganización

En caso de fusión, adquisición, venta del negocio, reorganización o concurso de acreedores, podemos transferir los datos personales al nuevo propietario o sucesor legal. En tal caso notificaremos a los Usuarios con antelación, y el nuevo propietario estará obligado a garantizar un nivel de protección no inferior al establecido en esta Política.

4.5. No transferimos a cualquiera

No transferimos sus datos:

  • a anunciantes;
  • a brokers de datos;
  • a otras plataformas con fines comerciales;
  • a otros Usuarios, salvo en los casos en que los propios Usuarios publiquen voluntariamente datos como parte de una Ficha de Negocio.

5. Dónde almacenamos los datos

5.1. Almacenamiento principal

Los servidores en los que se alojan los datos de los Usuarios están ubicados en Alemania (Frankfurt, centro de datos DigitalOcean FRA1). Al elegir la ubicación de almacenamiento damos prioridad a las jurisdicciones con una protección sólida de los datos personales y con estándares conformes a la UE.

Adicionalmente, ciertas categorías de datos pueden pasar por la siguiente infraestructura:

  • Cloudflare (red global de proxy y DNS con posibilidad de enrutamiento a través de centros UE);
  • Resend (región eu-west-1, Irlanda) — para los correos transaccionales;
  • Sentry (región UE, Irlanda / Alemania) — para los registros de errores.

5.2. Transferencia internacional

Si en el curso del funcionamiento de la Plataforma los datos se transfieren a un país fuera de su jurisdicción (por ejemplo, para los usuarios del EEE — fuera del EEE a través de socios de infraestructura con presencia global), garantizamos las salvaguardias apropiadas:

  • transferencia a países reconocidos por la UE como aquellos que garantizan un nivel adecuado de protección (decisión de adecuación);
  • cláusulas contractuales tipo (Standard Contractual Clauses, SCC) aprobadas por la Comisión Europea;
  • otros mecanismos previstos por el capítulo V del RGPD.

Si un proveedor tiene su sede central o su grupo empresarial fuera del EEE, en determinados casos el acceso a los datos o su mantenimiento técnico pueden realizarse desde fuera del EEE, aun cuando la región principal de almacenamiento se haya elegido en la UE. En tales casos aplicamos las salvaguardias correspondientes previstas por el capítulo V del RGPD, incluidas las CCT y medidas técnicas y organizativas adicionales, si son necesarias.

La lista de las transferencias internacionales actuales y de las salvaguardias aplicables está disponible previa solicitud a [email protected].

6. Cuánto tiempo conservamos los datos

Los plazos indicados a continuación son plazos básicos de conservación para la fase de pruebas cerrada y pueden precisarse antes del lanzamiento público en función de la jurisdicción elegida del Responsable, del modelo de pago y de los requisitos fiscales y contables. Si la ley exige un plazo de conservación más largo o si los datos son necesarios para una controversia, una investigación o la defensa de derechos, los conservamos durante el plazo necesario.

Categoría de datos Plazo de conservación
Datos básicos de la Cuenta (ID de Telegram, nombre, idioma) Mientras la Cuenta esté activa; tras la supresión — hasta 30 días en la base principal, hasta 90 días en las copias de seguridad
Email del Titular y vinculación con el ID de Telegram Mientras la Cuenta esté activa; tras la supresión — hasta 30 días (con sujeción a las excepciones, si el email figura en los registros de aceptación de documentos)
Contenido de la Ficha de Negocio Mientras la Ficha de Negocio esté activa; tras la supresión — hasta 30 días (después — anonimización o supresión)
Registros de acciones y logs técnicos Hasta 12 meses (a efectos de seguridad y diagnóstico)
Registros de aceptación de los Términos, Reglas y Política No menos de 3 años tras la terminación de la Cuenta (para la defensa en posibles controversias)
Datos sobre pagos y presentación financiera En los plazos previstos por la legislación fiscal y contable aplicable (por regla general, 3–7 años)
Correspondencia con el soporte Hasta 2 años desde el momento del cierre de la consulta
Datos relacionados con la investigación de incidentes o con una controversia activa Hasta la finalización de los procedimientos correspondientes y la expiración de los plazos de impugnación

Tras el vencimiento de los plazos, los datos se suprimen o se anonimizan (se llevan a una forma que no permita identificarlos con una persona concreta).

6.1. Datos de la lista de espera (waitlist) y registros técnicos relacionados

Solicitudes no confirmadas (email indicado por el usuario, pero la confirmación mediante el enlace del email no se ha completado): se conservan durante 24 (veinticuatro) horas desde el envío, tras lo cual se eliminan automáticamente. El token técnico de confirmación se conserva en forma de hash y se elimina junto con la solicitud.

Solicitudes confirmadas en lo relativo a la dirección de email: se conservan hasta la fecha del lanzamiento público de la Plataforma y durante 30 (treinta) días naturales después del envío único de la notificación de lanzamiento. Transcurrido este plazo, la dirección de email y los datos identificativos relacionados de la lista de espera se eliminan. Si en el momento de la eliminación la persona correspondiente ha completado de forma independiente el registro de un Negocio con confirmación de la misma dirección de email conforme al procedimiento descrito en el § 2.2 de la presente Política y el § 4.4 de las Condiciones de uso, la dirección de email se trata dentro del ciclo de vida de la Cuenta del Propietario de Negocio. Los demás datos de la lista de espera se eliminan conforme a esta sección.

Registros mínimos de atribución referral: el código referral personal del usuario, la información sobre los usuarios invitados por él y la información sobre la atribución referral mediante la cual el propio usuario llegó a la lista de espera se conservan por separado durante el período de vigencia de los correspondientes referral bonuses y el período necesario para verificar la corrección de su asignación, conforme a los plazos establecidos en el § 7.9 de las Condiciones de uso, en particular el § 7.9.9, — pero no más de 12 (doce) meses naturales desde la confirmación del email del usuario, salvo que otra cosa resulte de la aplicación de los bonuses a una suscripción activa.

Registro anti-abuse del envío de la solicitud (hash de la dirección IP e indicadores técnicos mínimos): se conserva por separado de la solicitud de lista de espera durante 30 (treinta) días naturales desde el envío, tras lo cual se elimina automáticamente. El sistema no almacena la dirección IP original como parte de la solicitud waitlist ni del registro anti-abuse; el hash se utiliza exclusivamente para comparar solicitudes repetidas dentro del plazo de conservación indicado con fines de rate-limiting.

Cookie dps_ref en el dispositivo del visitante: 30 (treinta) días naturales desde el momento de instalación. Local Storage dps-cookie-consent y dps-site-theme: hasta su eliminación explícita por el usuario mediante el enlace «Gestionar cookies» o la configuración del navegador.

Solicitudes de retirada del consentimiento: se tramitan en un plazo no superior a 30 (treinta) días naturales desde su recepción, teniendo en cuenta las excepciones indicadas anteriormente respecto de los registros mínimos de atribución referral, si en el momento de la retirada dichos registros son necesarios para confirmar bonuses ya asignados o pendientes de asignación a favor de terceros — participantes del programa referral.

6.2. Ciclo de vida de la suscripción y eliminación de datos

Los períodos de conservación y el procedimiento de eliminación de los datos personales del propietario, del contenido del registro de empresa y de los datos de clientes relacionados en caso de finalización del período de prueba sin pago de la suscripción de pago, cancelación de la suscripción de pago o falta de renovación de esta se describen en el § 7.4 de los Términos de uso, en particular en las disposiciones sobre el modo congelado, el modo de archivo, el período de conservación de 90 días, la eliminación de datos, las excepciones para registros jurídicamente necesarios y las acciones sensibles disponibles únicamente para el propietario de la empresa.

Los identificadores de protección formados sobre la base del identificador de Telegram y la dirección de email pueden conservarse durante el período necesario para impedir abusos del período de prueba y proteger los intereses legítimos del Operador. La dirección de email no se almacena en forma abierta, sino que se procesa como un hash criptográfico. Dicha conservación se realiza sobre la base del interés legítimo del Operador conforme al Art. 6(1)(f) GDPR, y el hashing de la dirección de email constituye una medida de seudonimización conforme al Art. 4(5) GDPR.

7. Sus derechos

Conforme al RGPD (artículos 12–22) y a normas análogas de la legislación aplicable, respecto a sus datos personales usted tiene los siguientes derechos:

7.1. Derecho de acceso (artículo 15 del RGPD)

Usted tiene derecho a obtener de nosotros la confirmación de si se están tratando datos que le conciernen y, en caso afirmativo, una copia de los datos tratados y datos sobre los fines, las categorías, los destinatarios, los plazos de conservación, las fuentes y la existencia de decisiones automatizadas.

7.2. Derecho de rectificación (artículo 16 del RGPD)

Usted tiene derecho a exigir la rectificación de datos inexactos o incompletos. La mayor parte de los datos puede rectificarla por sí mismo a través de la interfaz de la Plataforma.

7.3. Derecho de supresión («derecho al olvido», artículo 17 del RGPD)

Usted tiene derecho a exigir la supresión de sus datos cuando:

  • los datos ya no sean necesarios para los fines para los que fueron recogidos;
  • usted retire el consentimiento en el que se basa el tratamiento y no exista otra base;
  • usted se oponga al tratamiento y no prevalezcan otros motivos legítimos;
  • los datos se hayan tratado de forma ilícita;
  • los datos deban suprimirse en virtud de una obligación legal.

El derecho de supresión no se aplica cuando la conservación sea necesaria para:

  • el cumplimiento de una obligación jurídica (por ejemplo, presentación fiscal);
  • la formulación, el ejercicio o la defensa de reclamaciones jurídicas (incluidos los registros de aceptación de documentos — sección 2.6);
  • el interés público en el ámbito de la salud pública;
  • fines de archivo, científicos, de investigación o estadísticos con las salvaguardias adecuadas;
  • la libertad de expresión y de información.

7.4. Derecho a la limitación del tratamiento (artículo 18 del RGPD)

Usted tiene derecho a exigir la limitación del tratamiento en los casos en que impugne la exactitud de los datos, considere el tratamiento ilícito, o el tratamiento ya no sea necesario para nosotros, pero sea necesario para usted para la defensa de sus derechos.

7.5. Derecho a la portabilidad de los datos (artículo 20 del RGPD)

Usted tiene derecho a recibir sus datos en un formato estructurado, de uso común, mecánicamente legible (por ejemplo, JSON o CSV) y a transmitirlos a otro responsable del tratamiento.

7.6. Derecho de oposición (artículo 21 del RGPD)

Usted tiene derecho a oponerse al tratamiento basado en nuestros intereses legítimos (véase la sección 3). Cesaremos el tratamiento, salvo que demostremos motivos legítimos imperiosos o que el tratamiento sea necesario para la defensa de reclamaciones jurídicas.

En relación con la mercadotecnia directa, usted tiene derecho a oponerse sin necesidad de justificación, y cesaremos el tratamiento para tales fines de forma inmediata.

7.7. Derecho a retirar el consentimiento (artículo 7 del RGPD)

Si el tratamiento se basa en su consentimiento, usted tiene derecho a retirarlo en cualquier momento. La retirada del consentimiento no afecta a la licitud del tratamiento realizado antes de la retirada.

7.8. Derecho a no ser objeto de decisiones automatizadas (artículo 22 del RGPD)

Usted tiene derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, cuando tales decisiones produzcan para usted efectos jurídicos o le afecten de modo similarmente significativo. Véase la sección 9.

7.9. Derecho a presentar una reclamación ante una autoridad de control (artículo 77 del RGPD)

Usted tiene derecho a presentar una reclamación ante una autoridad de control de la protección de datos, en primer lugar ante la autoridad del país de su residencia habitual, lugar de trabajo o lugar de la presunta infracción.

Lista de autoridades de control del EEE: https://edpb.europa.eu/about-edpb/about-edpb/members_en.

En Ucrania — el Comisionado de la Verjovna Rada de Ucrania para los Derechos Humanos: https://www.ombudsman.gov.ua.

7.10. Cómo ejercer sus derechos

Para ejercer cualquiera de los derechos enumerados, envíe una solicitud:

  • a través de la interfaz de la Plataforma (para funciones específicas — supresión de la Cuenta, exportación de datos);
  • a la dirección [email protected].

Respondemos a las solicitudes en un plazo de 30 (treinta) días naturales. En casos complejos, este plazo puede prorrogarse 60 días más, comunicándole los motivos de la prórroga.

El ejercicio de los derechos es gratuito, con excepción de los casos de solicitudes manifiestamente infundadas o excesivas (por ejemplo, repetitivas), en los que tenemos derecho a cobrar una tarifa razonable o a denegar la tramitación con justificación.

Para confirmar su identidad antes de tramitar la solicitud, podemos solicitar datos adicionales. Si la solicitud se envía desde un email verificado vinculado a la Cuenta, esto puede tenerse en cuenta como uno de los factores de confirmación de la identidad, pero podemos solicitar verificación adicional si la solicitud se refiere a la supresión, exportación o modificación de datos críticos o si existe riesgo de acceso no autorizado.

8. Cookies y tecnologías similares

8.1. Qué utilizamos

La Plataforma funciona principalmente como Telegram Mini App, por lo que las «cookies» tradicionales se utilizan de forma limitada. Aplicamos las siguientes tecnologías de almacenamiento de datos en su dispositivo:

  • localStorage y sessionStorage en la Telegram Mini App — para la conservación de los ajustes de idioma, del indicador de aceptación de los Términos y de la caché de la interfaz;
  • identificadores técnicos de sesión — exclusivamente para la autorización, sin seguimiento publicitario entre distintos servicios.

No utilizamos cookies para hacerle seguimiento en otras aplicaciones y sitios web, y no transferimos cookies a terceros con fines publicitarios.

8.2. Gestión

Usted puede borrar el almacenamiento local mediante los ajustes del navegador o de Telegram. El borrado conllevará la necesidad de volver a elegir el idioma y volver a aceptar los Términos en el próximo arranque.

9. Decisiones automatizadas y elaboración de perfiles

9.1. Qué hacemos

Aplicamos tratamiento automatizado para:

  • el funcionamiento técnico de la Plataforma (por ejemplo, mostrar Fichas de Negocio en función de la categoría e idioma elegidos);
  • la detección de abusos (por ejemplo, indicios de manipulación, spam, fraude);
  • la limitación de la frecuencia de solicitudes (rate limiting) para la protección frente a ataques;
  • la verificación del cumplimiento de las restricciones territoriales (sección 3.4 de los Términos de Uso).

9.2. Qué no hacemos

No tomamos decisiones automatizadas que produzcan para usted efectos jurídicos o le afecten de modo similarmente significativo basadas exclusivamente en el tratamiento automatizado.

Las decisiones sobre la aplicación de medidas de respuesta con consecuencias significativas (bloqueo permanente de la Cuenta, supresión de una Ficha de Negocio) se toman con intervención humana o están sujetas a revisión con intervención humana a su solicitud. Si considera que se ha tomado respecto a usted una decisión basada exclusivamente en el tratamiento automatizado y desea su revisión, escriba a [email protected].

10. Seguridad de los datos

Aplicamos medidas técnicas y organizativas que se corresponden razonablemente con los riesgos del tratamiento:

  • cifrado de los datos transmitidos (HTTPS/TLS);
  • cifrado de los datos en reposo en la parte técnicamente accesible al proveedor de infraestructura;
  • restricción del acceso de empleados y contratistas conforme al principio de mínimo privilegio;
  • registros de acceso a datos sensibles;
  • copias de seguridad con verificación periódica de la integridad;
  • actualización de dependencias y auditoría de vulnerabilidades;
  • autenticación de dos factores para las cuentas administrativas;
  • supervisión de errores e incidentes a través de un servicio especializado con prioridad del uso de la región UE, si esa región está disponible y configurada;
  • formación de los empleados en las reglas de tratamiento de datos personales (a medida que crezca el equipo).

10.1. Notificación de violaciones de seguridad de datos personales (Data Breach)

En caso de violación de la seguridad de los datos personales que pueda suponer un riesgo para los derechos y libertades de los Usuarios:

  • notificamos a la autoridad de control competente en un plazo de 72 horas desde el momento de la detección (artículo 33 del RGPD);
  • si la violación supone un riesgo alto, notificamos directamente a los Usuarios afectados sin dilación indebida a su email verificado (artículo 34 del RGPD);
  • investigamos las causas y adoptamos medidas para evitar la repetición.

11. Niños

La Plataforma no está destinada a personas menores de 18 años. No recopilamos conscientemente datos sobre niños. Si tenemos conocimiento de que se han recopilado datos de una persona menor de 18 años a través del uso de la Plataforma, suprimimos tales datos a la mayor brevedad, con excepción de los datos que sea necesario conservar temporalmente por motivos de seguridad, prevención de abusos o cumplimiento de una obligación jurídica.

Si usted es padre, madre o representante legal y considera que su hijo ha accedido a la Plataforma y nos ha proporcionado datos, escriba a [email protected] y suprimiremos los datos.

12. Cambios en la Política

Tenemos derecho a introducir cambios en la Política. Sobre los cambios sustanciales informamos a los Titulares de Fichas de Negocio a su email verificado al menos 14 días naturales antes de su entrada en vigor. Adicionalmente, los cambios se publican en la Plataforma. La fecha de la última actualización se indica al principio del documento.

Historial de versiones. La versión actual de la Política se publica en la página https://damosta.com/privacy. Todas las versiones anteriores se conservan y están disponibles a través de enlaces permanentes en el archivo de versiones en la página https://damosta.com/privacy/history. A petición, se le proporcionarán las versiones anteriores de la Política.

13. Reservas jurisdiccionales

13.1. Para usuarios en la Unión Europea

Legislación aplicable de protección de datos: RGPD (Reglamento (UE) 2016/679) y leyes nacionales de los Estados miembros del EEE. Autoridad de control: indicada en la sección 7.9.

13.2. Para usuarios en Ucrania

Legislación aplicable: Ley de Ucrania «Sobre la protección de datos personales». Autoridad de control: el Comisionado de la Verjovna Rada de Ucrania para los Derechos Humanos.

13.3. Para usuarios en el Reino Unido

Legislación aplicable: UK GDPR y Data Protection Act 2018. Autoridad de control: Information Commissioner’s Office (ICO).

13.4. Para usuarios en otros países

La legislación aplicable de protección de datos del país de su residencia, en la medida en que sus normas imperativas resulten aplicables.

14. Idiomas

La Política se publica en varios idiomas. La versión en ucraniano es la versión jurídica de referencia. Las traducciones se proporcionan para la comodidad de los Usuarios y no prevalecen sobre la versión de referencia. Si la legislación imperativa aplicable del país de residencia de un Usuario-consumidor exige el suministro del documento en el idioma oficial de ese país o concede al consumidor protección con independencia del idioma elegido, tales requisitos permanecen en vigor en la parte obligatoria.

15. Contactos

Para consultas sobre el tratamiento de datos personales: [email protected] Ejercicio de los derechos del interesado: [email protected] Notificaciones de incidentes de seguridad: [email protected] Representante en la UE (si procede, artículo 27 del RGPD): se indicará tras la evaluación de la necesidad — véase la parte 1.1 DPD (si procede): se indicará tras la evaluación de la necesidad — véase la parte 1.2

Datos jurídicos del Responsable: se indicarán tras el registro de la persona jurídica — véase docs/legal/launch_checklist.md, parte 3.1.

Anexo A: Resumen breve (TL;DR)

Si no tiene tiempo para leer todo, lo esencial:

  1. Recibimos de Telegram únicamente datos básicos que Telegram transmite a través de la Mini App: ID, nombre, nombre de usuario, idioma, así como foto de perfil u otros indicadores técnicos, si Telegram transmite tales campos.
  2. Para los Titulares de Fichas de Negocio se requiere adicionalmente un email verificado — es el canal formal de comunicación y es obligatorio para la creación de una Ficha de Negocio.
  3. Conservamos lo que usted publica en una Ficha de Negocio (textos, fotografías, contactos).
  4. No vendemos sus datos.
  5. No le mostramos publicidad de terceros.
  6. No transferimos datos a redes publicitarias.
  7. Almacenamos los datos en servidores en Alemania (Frankfurt, DigitalOcean).
  8. Utilizamos proveedores de servicios (Cloudflare, DigitalOcean, Resend, Sentry). Antes del lanzamiento público se verificarán y formalizarán el listado definitivo de proveedores, las regiones de tratamiento y los contratos de encargo del tratamiento.
  9. Usted tiene derecho a consultar sus datos, rectificarlos, suprimirlos y obtenerlos en un archivo. Escriba a [email protected] y examinaremos su solicitud conforme a esta Política.
  10. Si algo no va bien, escriba a [email protected] o presente una reclamación ante la autoridad de control del país de su residencia.
  11. Si tiene menos de 18 años, la Plataforma no es para usted, no la utilice.

Fin del documento «Política de Privacidad de la Plataforma DAMOSTA», versión 1.0 (fase de pruebas cerrada).

Todas las decisiones abiertas que requieren cierre antes del lanzamiento público se enumeran en docs/legal/launch_checklist.md, parte 3.