Esta política explica qué datos personales recolectamos cuando usás Simp Cash, con qué finalidad, con quién los compartimos, cuánto tiempo los conservamos, y los derechos que la legislación costarricense te garantiza sobre ellos. Está redactada para cumplir con la Ley 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales (PRODHAB) y su reglamento.
1. Responsable del tratamiento
El responsable del tratamiento de tus datos es Digital Green Wise (operadora de Simp Cash), con domicilio en Costa Rica. Para cualquier consulta, ejercicio de derechos o reclamo, podés contactarnos a simpcashcr@gmail.com.
En esta fase del proyecto (Fase 1), Simp es una capa de información comunitaria sobre números de SINPE Móvil. NO manejamos dinero: ni recibimos, ni retenemos, ni transferimos pagos. Esto delimita qué datos tratamos.
2. Categorías de datos que recolectamos
2.1 Datos de identificación
- Teléfono: identidad principal en SINPE. Se almacena normalizado (+506########).
- Nombre (opcional): solo si lo cargás vos en tu perfil. Aparece en valoraciones públicas anonimizado a "Carlos B." (primer nombre + inicial).
- Email (opcional): solo si lo cargás vos. Se usa para recuperación de cuenta y alertas críticas.
- Foto de perfil (opcional): subida a Cloudinary, visible en tu perfil público.
2.2 Datos de verificación de identidad (KYC)
Si decidís subir cédula y/o selfie para obtener el sello "ID Verificado" o "FULL":
- Foto de cédula: almacenada en Cloudinary con URL privada. Solo el equipo Simp con rol MODERATOR o ADMIN tiene acceso para revisión. NUNCA es visible a otros usuarios.
- Selfie con cédula: mismo tratamiento que la cédula.
Estos documentos son datos sensibles bajo el Art. 9 de Ley 8968 y reciben tratamiento reforzado: acceso restringido por rol, registro de toda visualización en audit log, y eliminación inmediata si rechazás el KYC.
2.3 Datos de uso
- Códigos OTP: hash SHA-256 (nunca texto plano), se descartan a los 10 minutos o al primer uso exitoso.
- Consultas: el número consultado, nivel de riesgo devuelto, fecha. Si estás autenticado, se asocia a tu cuenta para tu historial; si no, queda anónima.
- IP y agente de usuario: temporalmente, para protección anti-abuso (rate-limiting). No se asocia permanentemente.
2.4 Contenido generado por vos
- Reportes: descripción, monto, evidencia fotográfica. Son públicos al asociarse al número reportado. Tu identidad como reportante NO es pública.
- Transacciones: items, montos, partes, estados. Visibles solo a las partes de la tx.
- Valoraciones (ratings) + comentarios: públicos en el perfil del usuario valorado, con tu nombre anonimizado a "primer nombre + inicial".
- Descargos: tu versión sobre un reporte en tu contra. Público junto al reporte.
2.5 Lo que NO recolectamos
- Ubicación GPS o de red.
- Lista de contactos del teléfono.
- Número de cuenta bancaria, IBAN, saldos.
- Historial real de pagos por SINPE (solo lo que vos declarás dentro de tu transacción Simp).
- Datos biométricos más allá del rostro en la selfie de KYC.
3. Finalidades del tratamiento
Tratamos tus datos para las siguientes finalidades, cada una con su base jurídica conforme al Art. 5 de Ley 8968:
- Prestar el servicio (consultar, reportar, hacer tx, valorar) — base: ejecución del contrato aceptado al registrarte.
- Autenticarte (envío de OTP por WhatsApp / email) — base: ejecución del contrato.
- Validar KYC (revisión de cédula y selfie) — base: consentimiento expreso al subirlos.
- Proteger a la comunidad (anti-abuso, anti-spam, anti-fraude) — base: interés legítimo.
- Comunicarte alertas críticas (reporte en tu contra, cambio en tu tx) — base: ejecución del contrato + interés legítimo.
- Cumplir obligaciones legales (requerimientos judiciales, PRODHAB) — base: obligación legal.
No vendemos datos personales. No los compartimos con terceros para marketing. No hacemos perfilado para publicidad.
4. Encargados del tratamiento (third-parties)
Para operar Simp usamos los siguientes proveedores. Cada uno recibe solo el dato mínimo necesario y está sujeto a sus propios términos de privacidad:
- Railway (EE.UU.) — infraestructura del backend y base de datos PostgreSQL. Almacena todos los datos de la app. Política.
- Vercel (EE.UU.) — alojamiento del sitio web. No almacena datos personales nuestros más allá de logs de acceso. Política.
- Cloudinary (EE.UU.) — almacenamiento de imágenes (avatares, evidencias, documentos KYC). Política.
- Meta WhatsApp Business Cloud API (EE.UU./Irlanda) — envío de OTP por WhatsApp. Recibe tu número y el código. Política.
- Resend (EE.UU.) — envío de OTP por email (solo para login de staff en panel admin). Política.
5. Transferencia internacional de datos
Como ves arriba, varios de nuestros encargados procesan datos fuera de Costa Rica (principalmente Estados Unidos). Al usar Simp, autorizás expresamente esta transferencia internacional conforme al Art. 14 de Ley 8968. Elegimos proveedores con compromisos contractuales de seguridad equiparables o superiores a los exigidos por la legislación costarricense.
6. Tiempo de conservación
- Códigos OTP: 10 minutos o un uso exitoso.
- Cuenta y perfil: mientras tu cuenta esté activa. Cuando eliminás tu cuenta (ver Sección 7), tus datos personales se anonimizan inmediatamente.
- Documentos KYC: hasta 90 días tras rechazo, o mientras mantengas tu cuenta verificada. Se eliminan irreversiblemente al eliminar tu cuenta.
- Reportes: indefinidamente — son la base del valor comunitario. Si eliminás tu cuenta, los reportes quedan anónimos pero no se borran (al ser información pública de interés comunitario, prevalece sobre tu derecho de eliminación individual, conforme al Art. 8 inc. d de Ley 8968).
- Transacciones: 10 años por requisitos contables (Código de Comercio CR Art. 251), con identidad anonimizada si eliminás tu cuenta.
- Consultas: 12 meses individualmente, después se agregan/anonimizan en estadísticas.
- Audit log de moderación: indefinidamente (append-only, para auditoría legal).
7. Tus derechos bajo PRODHAB
Conforme a los Artículos 7 y 9 de Ley 8968, tenés los siguientes derechos sobre tus datos personales:
- Acceso: pedir copia de toda la información personal que tenemos tuya. Te la entregamos en 5 días hábiles.
- Rectificación: corregir datos incorrectos. La mayoría podés hacerlos vos mismo desde /me.
- Cancelación (eliminación): borrar tu cuenta y datos personales. Andá a /me → "Zona de peligro" → "Eliminar mi cuenta", o escribinos a simpcashcr@gmail.com. El borrado es inmediato.
- Oposición: oponerte al tratamiento de tus datos para una finalidad específica. Atendemos en 10 días hábiles.
- Portabilidad: pedir tus datos en formato estructurado (JSON) para llevarlos a otro servicio. 5 días hábiles.
Si considerás que no atendimos tu derecho correctamente, podés presentar una denuncia ante la Agencia de Protección de Datos de los Habitantes (PRODHAB) en prodhab.go.cr.
8. Seguridad técnica
Aplicamos las siguientes medidas:
- HTTPS / TLS en toda comunicación cliente-servidor.
- OTPs almacenados como hash SHA-256.
- JWT con secret rotable para autenticación.
- Rate-limiting por IP y por teléfono/email contra ataques de fuerza bruta.
- Documentos KYC con acceso restringido por rol y registro en audit log de toda visualización.
- Backups encriptados a nivel de Railway PostgreSQL.
- Principio de menor privilegio en accesos del equipo.
Ningún sistema es 100% inviolable. Si descubrís una falla, te pedimos divulgación responsable: escribinos a simpcashcr@gmail.com con la descripción técnica antes de hacerla pública, y damos crédito en nuestros agradecimientos.
9. Almacenamiento en el navegador (cookies y similares)
Simp usa localStorage del navegador para guardar tu token de sesión (JWT) — esto es necesario para mantenerte conectado. NO usamos cookies de terceros, NO hacemos tracking analytics, NO servimos publicidad.
Si instalás Simp como PWA, también usamos un service worker para cachear assets estáticos. Datos de cuenta nunca se cachean.
10. Menores de edad
Simp no está dirigido a menores de 18 años. Al registrarte declarás que sos mayor de edad. Si detectamos cuentas de menores las eliminamos sin demora.
11. Cambios en esta política
Cuando cambiemos algo material, avisamos por email (a usuarios con email cargado) y vía banner en el sitio al menos 15 días antes de la entrada en vigencia. La fecha al inicio de esta página siempre refleja la última actualización.
12. Contacto
Para cualquier consulta, ejercicio de derechos, o reclamo sobre tus datos personales, escribinos a simpcashcr@gmail.com. Respondemos en máximo 5 días hábiles.