Tinka

Política de privacidad

Versión 1.0.0

Política de Privacidad — Tinka

Versión: v1.0
Fecha de entrada en vigor: [FECHA DE ENTRADA EN VIGOR]
Idioma del documento: Español (Ecuador)

La presente Política de Privacidad describe cómo Tinka trata los datos personales del Usuario contador (Suscriptor) cuando se registra y utiliza el Servicio. Esta política se rige por la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP) y demás normativa aplicable.

Alcance. Este documento cubre exclusivamente los datos personales del Usuario contador titular de la cuenta. Los datos personales que el Usuario carga sobre terceros (empleados, clientes finales, proveedores de las organizaciones que gestiona) son tratados por Tinka en su rol de Encargado del Tratamiento y se rigen por el Acuerdo de Encargado del Tratamiento (DPA) suscrito en paralelo. Ver acuerdo-encargado-tratamiento-dpa.md.

1. Identidad y contacto del Responsable

1.1. Razón social del Responsable: LUIS ANDRÉS ARCE CÁRDENAS
1.2. RUC: 0953352929001
1.3. Domicilio: Coronel Marcelino Maridueña (San Carlos), provincia del Guayas, Ecuador
1.4. Correo de contacto: contacto@tinka.app

1.5. Delegado de Protección de Datos (DPO)

  • Correo: dpo@tinka.app
  • Función: atender consultas, solicitudes de ejercicio de derechos y reclamos relativos al tratamiento de datos personales.

2. Categorías de datos personales tratados

Tinka trata las siguientes categorías de datos personales del Usuario:

2.1. Datos de identificación

  • Nombres y apellidos completos.
  • Tipo y número de documento (cédula de identidad o RUC).
  • Razón social (cuando aplique, p. ej., persona jurídica que contrata el Servicio).

2.2. Datos de contacto

  • Correo electrónico.
  • Número telefónico (opcional).
  • Dirección postal (cuando se requiera para facturación).

2.3. Datos tributarios

  • RUC del Suscriptor.
  • Datos fiscales necesarios para emitir la factura electrónica del Servicio.

2.4. Datos de pago

  • Identificador del comprobante de transferencia (durante MVP).
  • Tokens y referencias del procesador de pagos cuando se integre (Tinka no almacena números completos de tarjeta; estos son procesados directamente por el procesador certificado PCI-DSS).

2.5. Datos de uso del Servicio

  • Identificadores de cuenta y sesión.
  • Plan contratado, ciclo de facturación, fechas de altas/bajas.
  • Preferencias de configuración del panel (tema, idioma, notificaciones).

2.6. Datos técnicos y logs de acceso

  • Dirección IP de conexión.
  • Fecha, hora y duración de las sesiones.
  • Identificador del navegador y sistema operativo (User-Agent).
  • Acciones relevantes realizadas en el panel (accesos, cambios de plan, exportaciones).

3. Finalidades y base legal de cada tratamiento

Tinka trata los datos descritos según las siguientes finalidades y bases legales, conforme a la LOPDP:

Finalidad Categorías de datos Base legal
Crear y mantener la cuenta del Suscriptor; permitir el acceso al Servicio. Identificación, contacto, uso del Servicio. Ejecución del contrato (Términos y Condiciones aceptados).
Procesar pagos y emitir la factura electrónica del Servicio al Suscriptor. Identificación, datos tributarios, datos de pago. Ejecución del contrato y cumplimiento de obligación legal (normativa tributaria del SRI).
Brindar soporte técnico y atención al cliente. Identificación, contacto, uso del Servicio, logs. Ejecución del contrato.
Notificar cambios contractuales, incidencias y avisos relevantes del Servicio. Identificación, contacto. Ejecución del contrato.
Garantizar la seguridad del Servicio, prevenir fraude y abuso. Logs de acceso, datos técnicos. Interés legítimo del Responsable.
Cumplir requerimientos de autoridades competentes. Todas las categorías, según el requerimiento. Cumplimiento de obligación legal.
Enviar comunicaciones comerciales sobre productos o servicios propios. Identificación, contacto. Consentimiento del titular (revocable en cualquier momento).
Análisis estadístico agregado del uso del Servicio para mejorar la plataforma. Logs y métricas anonimizadas o seudonimizadas. Interés legítimo del Responsable.

4. Plazos de conservación

Categoría / Finalidad Plazo de conservación
Datos de la cuenta activa. Durante toda la vigencia de la suscripción.
Datos tributarios y comprobantes asociados a la facturación del Servicio. 7 años contados desde el cierre del ejercicio fiscal correspondiente, conforme a la normativa tributaria ecuatoriana.
Datos del Suscriptor tras la cancelación (acceso al panel y exportación). 30 días naturales posteriores a la cancelación; transcurrido el plazo, se eliminan salvo lo conservado por obligación legal.
Logs de acceso y datos técnicos. 12 meses, salvo que sean necesarios para una investigación en curso.
Comunicaciones comerciales (consentimiento). Mientras el Suscriptor no revoque el consentimiento.

5. Destinatarios y comunicación de datos

5.1. Tinka no comercializa los datos personales del Suscriptor.

5.2. Los datos podrán ser comunicados a los siguientes destinatarios, en estricto cumplimiento de la finalidad:

  • Proveedor de infraestructura cloud (Hetzner Online GmbH) — para alojamiento del Servicio y de la base de datos.
  • Proveedor de correo transaccional (Resend, Inc.) — para envío de notificaciones contractuales y de soporte.
  • Proveedor de observabilidad (Laravel Nightwatch) — para registro y diagnóstico de eventos técnicos del Servicio.
  • Procesador de pagos local ecuatoriano (PlaceToPay, Nuvei o Kushki — pendiente de integración) — cuando esté integrado, para el cobro de la suscripción.
  • Servicio de Rentas Internas (SRI) — para la emisión de la factura electrónica del Servicio.
  • Autoridades competentes — cuando exista requerimiento legítimo conforme a la ley.

6. Transferencias internacionales

6.1. La infraestructura cloud, el correo transaccional y la observabilidad utilizados por Tinka están ubicados fuera del territorio ecuatoriano:

  • Hetzner Online GmbH — Alemania (Unión Europea).
  • Resend, Inc. — Estados Unidos de América.
  • Laravel Nightwatch — Estados Unidos de América.

Esto implica una transferencia internacional de datos personales.

6.2. Para garantizar un nivel adecuado de protección, Tinka adopta una o varias de las siguientes garantías, conforme a la LOPDP y a las resoluciones de la Superintendencia de Protección de Datos Personales (SPDP):

  • Suscripción de cláusulas contractuales tipo aprobadas por la SPDP con los proveedores receptores.
  • Verificación de certificaciones de seguridad del proveedor (ISO 27001, SOC 2 Type II, u otras equivalentes).
  • Selección de regiones geográficas con marcos de protección reconocidos. En particular, Hetzner Online GmbH opera en la Unión Europea, jurisdicción cuyo marco normativo (RGPD) ofrece garantías ampliamente reconocidas en el ámbito internacional de protección de datos.

6.3. El Suscriptor puede solicitar al DPO información detallada sobre los proveedores y las garantías aplicables vigentes.

7. Derechos del titular (ARCO+)

7.1. Conforme a la LOPDP, el Suscriptor tiene derecho a:

  • Acceso: conocer qué datos personales suyos trata Tinka y obtener una copia.
  • Rectificación: solicitar la corrección de datos inexactos o incompletos.
  • Supresión: solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad o cuando retire el consentimiento (sin perjuicio de los plazos legales de conservación obligatoria).
  • Oposición: oponerse al tratamiento de sus datos por motivos legítimos relacionados con su situación particular.
  • Portabilidad: recibir sus datos en un formato estructurado, de uso común y lectura mecánica (CSV/JSON), y solicitar su transmisión a otro responsable cuando sea técnicamente posible.
  • Limitación del tratamiento: solicitar que el tratamiento se restrinja en supuestos específicos previstos por la ley.
  • No ser objeto de decisiones automatizadas que produzcan efectos jurídicos significativos sobre el titular sin intervención humana. Tinka no aplica decisiones automatizadas con efectos jurídicos sobre el Suscriptor en su versión actual.
  • Retirar el consentimiento otorgado en cualquier momento (la revocación no afecta la licitud del tratamiento previo).

7.2. Procedimiento para ejercer los derechos

a. Enviar la solicitud al DPO mediante correo electrónico a dpo@tinka.app, indicando: nombre completo, número de documento, descripción del derecho que se ejerce y, cuando sea aplicable, el detalle de los datos involucrados.

b. Tinka podrá requerir información adicional para verificar la identidad del solicitante.

c. Plazo de respuesta: 15 días naturales desde la recepción de la solicitud, prorrogables por 15 días naturales adicionales cuando la complejidad o el volumen lo justifique, conforme a la LOPDP. La prórroga se notificará al titular dentro del plazo original.

d. La respuesta se entregará por el mismo canal o por el medio que el titular indique.

e. El ejercicio de los derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas, en cuyo caso podrá aplicarse un cargo razonable o denegarse motivadamente.

7.3. Reclamación ante la autoridad

Sin perjuicio del derecho a recurrir ante la justicia ordinaria, el titular puede presentar una reclamación ante la Superintendencia de Protección de Datos Personales (SPDP) del Ecuador cuando considere que el tratamiento de sus datos infringe la LOPDP.

8. Privacy by design — Medidas técnicas y organizativas

Conforme al principio de privacidad por diseño y por defecto previsto en la LOPDP, Tinka implementa, como mínimo, las siguientes medidas:

8.1. Medidas técnicas

  • Encriptación en reposo de columnas sensibles: las credenciales del SRI (firma .p12, contraseña de la firma, contraseña del portal) y los tokens del procesador de pagos se encriptan a nivel de columna mediante Crypt de Laravel (cast encrypted).
  • Encriptación en tránsito: todas las comunicaciones entre el navegador del Suscriptor y el Servicio, y entre el Servicio y los sistemas externos (SRI, procesador de pagos, SMTP), utilizan TLS 1.2 o superior.
  • Hash de contraseñas: las contraseñas de acceso de los Suscriptores se almacenan únicamente como hash criptográfico (Bcrypt / Argon2 según configuración por defecto del framework).
  • Segregación multi-tenant: los datos de cada organización quedan aislados a nivel de aplicación mediante un global scope que filtra todas las consultas por tenant_id. El acceso cruzado a datos entre organizaciones es estructuralmente bloqueado.
  • Almacenamiento privado de archivos sensibles: los archivos sensibles (firmas .p12, XMLs y PDFs descargados que contengan datos personales) se almacenan en un disco privado, segregado por tenant en la ruta storage/app/private/{tenant_id}/.... Estos archivos no son servidos por el disco público.
  • Logs de acceso: se registran los eventos relevantes de seguridad (inicios de sesión, cambios de credenciales, accesos a recursos sensibles) para fines de auditoría y detección de incidentes.
  • Copias de seguridad: se realizan respaldos periódicos cifrados de la base de datos y de los archivos sensibles, con plan de restauración.

8.2. Medidas organizativas

  • Acceso al entorno de producción restringido al personal estrictamente necesario, sujeto a NDA.
  • Política interna de manejo seguro de credenciales y secretos.
  • Procedimientos para la atención de solicitudes de derechos de los titulares.
  • Procedimiento de gestión y notificación de brechas de seguridad.

9. Cookies y tecnologías similares

El uso de cookies en el Servicio se rige por la Política de Cookies disponible en politica-de-cookies.md. El consentimiento granular se gestiona mediante el banner de cookies en el primer acceso y puede ser revisado en cualquier momento desde el botón "Gestionar cookies" del pie de página.

10. Menores de edad

El Servicio está dirigido exclusivamente a personas mayores de edad y a personas jurídicas. Tinka no recopila intencionadamente datos de menores. Si se detectara que se han registrado datos de un menor sin autorización del representante legal, se procederá a su eliminación.

11. Modificaciones a esta Política

11.1. Tinka podrá modificar esta Política. Los cambios materiales se notificarán al Suscriptor por correo electrónico con al menos 30 días naturales de anticipación a su entrada en vigor.

11.2. La versión vigente y la fecha de entrada en vigor figuran en el encabezado del documento; las versiones anteriores se conservarán accesibles para consulta.

12. Contacto

Para cualquier consulta o ejercicio de derechos relacionados con esta Política:

  • Delegado de Protección de Datos (DPO): dpo@tinka.app
  • Razón social: LUIS ANDRÉS ARCE CÁRDENAS
  • Domicilio: Coronel Marcelino Maridueña (San Carlos), provincia del Guayas, Ecuador

Disclaimer

Este documento es un borrador técnico redactado con base en la normativa ecuatoriana aplicable, en particular la Ley Orgánica de Protección de Datos Personales y su normativa secundaria. No constituye asesoramiento legal y debe ser revisado y validado por un abogado ecuatoriano especializado en LOPDP, derecho digital y SaaS antes de su publicación oficial.

Tu privacidad importa

Usamos cookies esenciales para que Tinka funcione y, con tu permiso, otras para mejorar tu experiencia. Puedes aceptar todo, rechazar todo, o elegir por categoría.