POLÍTICA DE PRIVACIDAD

En Nuvira, reconocemos que la confianza es el activo más valioso en el ecosistema financiero digital. Entendemos que al utilizar nuestros servicios, usted nos confía su identidad y su patrimonio. Por ello, hemos diseñado esta Política de Privacidad no solo como un requisito legal, sino como un compromiso de transparencia sobre cómo gestionamos, protegemos y utilizamos su información personal. Nuestro marco de privacidad cumple rigurosamente con la legislación vigente en El Salvador, incluyendo la Ley de Protección de Datos Personales y las normativas especializadas emitidas por la Comisión Nacional de Activos Digitales (CNAD) y la Unidad de Información Financiera (UIF). Asimismo, alineamos nuestros estándares de seguridad con referencias internacionales como el Reglamento General de Protección de Datos (GDPR) y la norma ISO/IEC 27701 sobre Gestión de la Privacidad de la Información. A continuación, detallamos los términos y condiciones bajo los cuales tratamos sus datos. 1. DEFINICIONES Para garantizar una comprensión clara de este documento y de sus derechos, definimos los términos técnicos y legales bajo los cuales opera nuestra plataforma: ● Dato Personal: Cualquier información vinculada a una persona natural o jurídica que permita identificarla, directa o indirectamente. En el contexto de Nuvira, esto incluye desde su nombre y documento de identidad, hasta identificadores digitales como su dirección IP, huella de dispositivo (device fingerprint) o identificadores publicitarios. ● Datos Biométricos (Datos Sensibles): Información resultante de un tratamiento técnico específico relativo a las características físicas o fisiológicas de una persona, como el reconocimiento facial o prueba de vida (liveness check) utilizada durante nuestro proceso de verificación de identidad (KYC). Estos datos reciben un nivel de protección reforzado. ● Datos en Blockchain (Datos Inmutables): Información transaccional (como direcciones de billeteras públicas y hashes de transacción) que, por la naturaleza tecnológica de la cadena de bloques, se registra de manera pública, descentralizada e inmutable. Nuvira no tiene capacidad técnica para borrar o modificar estos registros una vez confirmados en la red. ● Titular: Usted (ya sea persona natural o representante de una persona jurídica) a quien corresponden los datos personales y que interactúa con los servicios de Nuvira. ● Tratamiento: Cualquier operación técnica o automatizada realizada sobre sus datos personales, tal como: recolección, registro, organización, almacenamiento, consulta, procesamiento, transferencia, interconexión y, cuando la ley lo permite, su eliminación o destrucción. ● Consentimiento: La manifestación de voluntad libre, específica, informada e inequívoca mediante la cual el Titular acepta el tratamiento de sus datos personales para finalidades determinadas. ● Responsable del Tratamiento: Nuvira, quien decide sobre la base de datos y la finalidad del uso de la información. ● Encargado del Tratamiento: Terceros proveedores (ej. proveedores de verificación de identidad, infraestructura en la nube o corresponsales de pago) que tratan datos personales estrictamente por cuenta y orden de Nuvira para la prestación del servicio. 2. PRINCIPIOS RECTORES DEL TRATAMIENTO DE DATOS En Nuvira, el manejo de su información no es accidental; se rige por un marco ético y legal estricto. Tratamos sus datos personales basándonos en los siguientes principios fundamentales, alineados con la normativa internacional y local: ● Licitud, Lealtad y Transparencia: Nunca tratamos sus datos de manera oculta o arbitraria. Todo procesamiento se sustenta en una base legal válida (ya sea su consentimiento explícito, la ejecución de un contrato o el cumplimiento de una obligación legal regulatoria) y le informamos de manera clara sobre su uso. ● Limitación de la Finalidad: Sus datos son recolectados para fines determinados, explícitos y legítimos (como la verificación de identidad o el procesamiento de pagos). No utilizaremos su información posteriormente de manera incompatible con dichos fines, ni la venderemos a terceros para fines comerciales no autorizados. ● Minimización de Datos: Aplicamos el principio de "necesidad". Solo solicitamos y procesamos los datos que son estrictamente necesarios y adecuados para poder brindarle el servicio y cumplir con la regulación financiera. No recopilamos información superflua. ● Exactitud y Veracidad: Adoptamos medidas razonables para garantizar que los datos que conservamos sean exactos y, cuando sea necesario, estén actualizados. Usted tiene el derecho y la facilidad de rectificar cualquier información errónea, salvo aquellos registros inmutables por naturaleza tecnológica (como transacciones en Blockchain). ● Limitación del Plazo de Conservación: Mantenemos sus datos personales únicamente durante el tiempo necesario para cumplir con la finalidad para la que fueron recabados. Una vez finalizada la relación comercial, los datos se conservarán debidamente bloqueados durante los plazos exigidos por las Leyes de Prevención de Lavado de Dinero y Activos, tras lo cual serán eliminados de forma segura. ● Integridad y Confidencialidad: Tratamos sus datos bajo estrictas medidas de seguridad técnica y organizativa (conforme a estándares como ISO 27001) para garantizar su protección contra el tratamiento no autorizado o ilícito, así como contra su pérdida, destrucción o daño accidental. ● Responsabilidad Proactiva: No solo cumplimos, sino que demostramos el cumplimiento. Nuvira mantiene registros de actividad y somete sus procesos a revisiones periódicas para asegurar que estos principios se apliquen efectivamente en cada capa de nuestra operación. 3. CATEGORÍAS DE DATOS TRATADOS Para la prestación segura de nuestros servicios financieros y de activos digitales, Nuvira recopila y trata las siguientes categorías de datos, limitándose siempre al principio de minimización (solo lo estrictamente necesario): 3.1. Datos de Identificación y Contacto (KYC/KYB) Información que usted nos proporciona voluntariamente para cumplir con la Debida Diligencia: ● Datos de identidad: Nombre completo, número de documento (DUI, Pasaporte), nacionalidad, fecha de nacimiento y género. ● Datos de contacto: Dirección de domicilio, correo electrónico y número de teléfono móvil. ● Datos Biométricos (Categoría Sensible): Imágenes faciales y pruebas de vida (liveness check) capturadas durante el proceso de verificación de identidad. Nota: Nuvira trata estos datos exclusivamente para fines de seguridad y prevención de suplantación de identidad, y nunca para perfilamiento racial o fines incompatibles. 3.2. Datos Financieros y Transaccionales (Fiat y Cripto) Información necesaria para ejecutar y rastrear sus operaciones: ● Datos Bancarios: Números de cuenta, referencias bancarias y comprobantes de origen de fondos. ● Datos Socioeconómicos: Profesión, ocupación, fuente de ingresos y propósito de la relación comercial. ● Datos de Activos Digitales: Direcciones de billeteras públicas (Wallet Addresses), Hashes de transacción (TXID), saldos de activos y metadatos de la Blockchain. 3.3. Datos Técnicos y de Navegación (Device Fingerprinting) Datos recabados automáticamente para garantizar la seguridad de la plataforma y el cumplimiento de sanciones internacionales: ● Identificadores del dispositivo (ID, modelo, sistema operativo). ● Dirección IP y datos de geolocalización (necesarios para asegurar que no se opera desde jurisdicciones prohibidas/sancionadas). ● Logs de acceso y actividad dentro de la App. 3.4. Datos de Riesgo y Fuentes Externas Información obtenida legítimamente de terceros para la prevención de lavado de activos y fraude: ● Listas de Sanciones: Consultas en bases de datos de la ONU, OFAC (EE. UU.) y listas locales de la UIF. ● Blockchain Intelligence: Análisis de riesgo de sus billeteras externas para descartar vínculos con actividades ilícitas (Darknet, Mixers, Hacks). ● Fuentes Públicas: Información de registros públicos, boletines oficiales o noticias adversas (Negative News). 3.5. Exclusión de Otras Categorías Sensibles Salvo los datos biométricos mencionados estrictamente para identificación, Nuvira NO solicita ni recopila datos relacionados con su origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, vida sexual u orientación sexual. 4. FINALIDAD DEL TRATAMIENTO (¿PARA QUÉ USAMOS SUS DATOS?) Toda la información descrita anteriormente se recolecta con propósitos específicos, explícitos y legítimos: 1. Prestación del Servicio: Gestionar la creación de su cuenta, procesar sus órdenes de compra/venta de activos, custodia y transferencias. 2. Cumplimiento Regulatorio (Compliance): Ejecutar los procesos de Conozca a su Cliente (KYC) y Conozca a su Negocio (KYB) exigidos por la Ley de Lavado de Dinero y Activos y la normativa de la CNAD. 3. Seguridad y Prevención de Fraude: Detectar accesos no autorizados, proteger sus fondos y asegurar la integridad de la plataforma. 4. Gestión de Riesgos: Evaluar patrones transaccionales para detectar anomalías y deducir hábitos de riesgo financiero. 5. Comunicación: Mantenerlo informado sobre el estado de sus operaciones, actualizaciones de seguridad o cambios en nuestros términos y condiciones. 6. Mejora del Producto: Análisis estadístico (anonimizado) para optimizar la experiencia de usuario y desarrollar nuevas funcionalidades. 5. DERECHOS DE LOS TITULARES De conformidad con la Ley de Protección de Datos Personales de El Salvador y estándares internacionales, Nuvira garantiza a sus usuarios el ejercicio de los derechos de Acceso, Rectificación, Cancelación, Oposición y Portabilidad. Sin embargo, dado el carácter regulado de nuestra actividad financiera, el ejercicio de estos derechos está sujeto a ciertas limitaciones legales y técnicas descritas a continuación: 5.1. Detalle de sus Derechos ● Derecho de Acceso: Usted tiene la facultad de solicitar confirmación sobre si Nuvira está tratando sus datos, conocer el origen de los mismos, las finalidades del tratamiento y las categorías de terceros con quienes se han compartido. ● Derecho de Rectificación: Puede solicitar la corrección de sus datos personales cuando estos sean inexactos, incompletos o estén desactualizados. Debido a la naturaleza inmutable de la tecnología Blockchain, Nuvira no puede modificar, alterar ni corregir datos transaccionales (como direcciones de billeteras o hashes) una vez que han sido confirmados en la cadena de bloques pública. ● Derecho de Supresión (Cancelación u Olvido): Puede solicitar la eliminación de sus datos cuando considere que no son necesarios para la finalidad recolectada o cuando revoque su consentimiento. ○ Excepción Legal Obligatoria: Nuvira NO procederá con la eliminación de datos cuando exista una obligación legal de conservarlos. Conforme a la normativa de Prevención de Lavado de Dinero y Activos (instrucciones de la UIF y CNAD), estamos obligados a mantener los registros de identidad (KYC) y transaccionales por un periodo mínimo de diez (10) a quince (15) años tras la finalización de la relación comercial. En estos casos, los datos serán bloqueados (restringidos de uso comercial) pero no borrados hasta cumplir el plazo legal. ● Derecho a la Limitación del Tratamiento: Puede solicitar que se detenga temporalmente el uso de sus datos mientras se verifica su exactitud o la licitud del procesamiento. ● Derecho a la Portabilidad: Tiene derecho a recibir los datos personales que nos haya facilitado en un formato estructurado, de uso común y lectura mecánica, para poder transmitirlos a otro proveedor, siempre que sea técnicamente posible. ● Derecho de Oposición: Puede oponerse en cualquier momento a que sus datos sean tratados para fines específicos, como el envío de comunicaciones comerciales o mercadotecnia directa. 5.2. Procedimiento para el Ejercicio de Derechos Para ejercer cualquiera de estos derechos, el Titular (o su representante legal debidamente acreditado) deberá enviar una solicitud formal a nuestro Oficial de Protección de Datos (DPO) a través de los canales oficiales. ● Correo Electrónico: admin@nuvira.io ● Asunto: Solicitud Derechos ARCO - [Nombre del Cliente] Nuvira acusará recibo de su solicitud y proporcionará una respuesta motivada en un plazo máximo de quince (15) días hábiles, prorrogables según la complejidad del caso, conforme a lo establecido en la normativa aplicable. La respuesta será enviada exclusivamente al correo electrónico registrado en nuestra plataforma para garantizar la seguridad de la información. 6. SEGURIDAD DE LA INFORMACIÓN Nuvira implementa una arquitectura de seguridad en profundidad (Defense in Depth) diseñada para mitigar riesgos de fuga de datos, accesos no autorizados y manipulación interna. ● Cifrado Robusto: Toda la información sensible se encuentra protegida mediante protocolos de cifrado de alto nivel. Utilizamos TLS 1.2+ para datos en tránsito (cuando viajan por internet) y el estándar AES-256 para datos en reposo (cuando están almacenados en nuestros servidores), asegurando que sean ilegibles para personas no autorizadas. ● Control de Accesos (Principio de Mínimo Privilegio): El acceso a los datos personales está estrictamente restringido al personal autorizado que lo necesita para realizar su trabajo. Utilizamos mecanismos de Autenticación Multifactor (MFA) para todos los accesos administrativos y mantenemos registros de auditoría (Audit Logs) inalterables para rastrear cualquier interacción con la base de datos. ● Seguridad en el Desarrollo (DevSecOps): Integramos la seguridad desde el diseño. Realizamos escaneos de vulnerabilidades periódicos y pruebas de penetración (Pen-testing) ejecutadas por terceros independientes para detectar y corregir posibles brechas antes de que puedan ser explotadas. ● Segregación de Redes y Entornos: Nuestra infraestructura crítica está aislada en redes privadas virtuales (VPC) con reglas de firewall estrictas. Los entornos de desarrollo y producción están completamente separados para evitar contaminación de datos o errores operativos. 6.1. Compartición y transferencia de datos En Nuvira respetamos su privacidad: nunca vendemos, alquilamos ni comercializamos sus datos personales. Sin embargo, para la prestación operativa del servicio, compartimos información estrictamente necesaria con los siguientes proveedores estratégicos: 1. Infraestructura de Billeteras y Custodia: Utilizamos tecnología de Computación Multipartita (MPC) para la creación y gestión segura de sus direcciones de depósito. Compartimos datos técnicos de direcciones y transacciones para garantizar la seguridad de sus activos. 2. Procesadores de Pago y Banca: Para procesar sus conversiones entre dinero fiduciario (Dólares) y activos digitales (Stablecoins), compartimos los datos requeridos por las regulaciones bancarias de EE. UU. y El Salvador (incluyendo identidad y origen de fondos) con nuestros socios financieros regulados. 3. Monitoreo de Riesgo Blockchain (Chainalysis): Compartimos direcciones de billeteras públicas y hashes de transacción para el análisis automatizado de riesgo, cumplimiento de sanciones y prevención de lavado de activos. 4. Proveedores de Infraestructura en la Nube (Google Cloud / Supabase): Sus datos se almacenan de forma cifrada en servidores de alta disponibilidad, bajo estrictos acuerdos de confidencialidad. 7. CONSERVACIÓN Y ELIMINACIÓN DE DATOS Nuvira aplica rigurosamente el principio de limitación del plazo de conservación, asegurando que sus datos personales no sean tratados por más tiempo del estrictamente necesario para los fines del servicio o las exigencias de la ley. 7.1. Criterios de Retención Nuestros plazos de conservación se determinan en función de dos factores: 1. Vigencia de la Relación Comercial: Mientras su cuenta esté activa, conservaremos todos los datos necesarios para operar. 2. Obligaciones Legales: Una vez finalizada la relación (cierre de cuenta), estamos obligados a retener la información por un periodo adicional impuesto por la regulación financiera. 7.2. Plazos Regulatorios en El Salvador De conformidad con el Artículo 21 de la Ley Contra el Lavado de Dinero y de Activos y las instrucciones de la Unidad de Información Financiera (UIF), Nuvira está obligada a conservar los expedientes de identificación del cliente (KYC), registros transaccionales y documentos comerciales por un periodo mínimo de quince (15) años contados a partir de la finalización de la relación comercial o de la realización de la transacción. 7.3. Bloqueo de Datos (Segregación) Una vez que usted solicita el cierre de su cuenta, sus datos pasan a un estado de "Bloqueo". Esto significa que: ● La información se retira de los sistemas operativos y comerciales (nadie en Marketing o Soporte puede verla). ● Se almacena en un entorno segregado y de acceso restringido, cifrado y protegido. ● Queda disponible exclusivamente para atender requerimientos de la UIF, la Fiscalía General de la República, la CNAD o jueces competentes durante el plazo legal de 15 años. 7.4. Eliminación Segura y Excepciones Técnicas Una vez vencido el plazo legal de retención: ● Datos Centralizados: Se procederá a su destrucción definitiva utilizando técnicas de borrado seguro (conforme al estándar NIST 800-88) o anonimización irreversible, de modo que sea imposible reconstruir su identidad. ● Datos en Blockchain (Excepción de Inmutabilidad): Usted reconoce y acepta que, debido a la naturaleza descentralizada e inmutable de la tecnología Blockchain, los registros públicos de sus transacciones (direcciones de wallet, hashes y montos) permanecerán permanentemente en la cadena de bloques y no pueden ser eliminados ni alterados por Nuvira, incluso después del cierre de su cuenta. 8. GESTIÓN DE INCIDENTES Y NOTIFICACIÓN DE BRECHAS Nuvira dispone de un Protocolo de Respuesta a Incidentes (PIR) diseñado para detectar, contener y erradicar cualquier amenaza a la seguridad de la información. En el improbable caso de que ocurra una vulneración de seguridad (Data Breach) que comprometa la confidencialidad de sus datos personales o represente un riesgo para sus derechos y libertades: 1. Notificación a la Autoridad: Nuvira notificará a la Comisión Nacional de Activos Digitales (CNAD) y a la Unidad de Información Financiera (UIF) dentro de las 72 horas siguientes a la detección del incidente, conforme a la normativa vigente. 2. Notificación al Usuario: Si el incidente supone un alto riesgo para usted (ej. filtración de claves o documentos de identidad), le comunicaremos el hecho de manera inmediata a través de su correo electrónico registrado, detallando la naturaleza de la brecha y las medidas de protección recomendadas. 9. VIGENCIA Y MODIFICACIONES A LA POLÍTICA Nuvira se reserva el derecho de modificar, actualizar o ampliar esta Política de Privacidad en cualquier momento para adaptarla a cambios legislativos, regulatorios o de nuestra arquitectura tecnológica. ● Mecanismo de Notificación: Cualquier cambio sustancial será notificado a través de la aplicación móvil, el sitio web o mediante correo electrónico con una antelación razonable a su entrada en vigor. ● Aceptación Tácita: El uso continuado de los servicios de Nuvira posterior a la notificación y entrada en vigor de los cambios implicará que usted ha leído, entendido y aceptado los nuevos términos. En caso de no estar de acuerdo, deberá abstenerse de utilizar la plataforma y proceder con la solicitud de cierre de cuenta y retiro de fondos. 10. LEY APLICABLE Y JURISDICCIÓN Esta Política de Privacidad se rige e interpreta exclusivamente bajo las leyes de la República de El Salvador, incluyendo la Ley de Protección de Datos Personales, la Ley de Emisión de Activos Digitales y las normativas AML/CFT aplicables. Para la resolución de cualquier controversia, litigio o reclamación derivada de la interpretación o cumplimiento de este documento, las partes renuncian expresamente a cualquier otro fuero que pudiera corresponderles por razón de su domicilio presente o futuro, y se someten a la jurisdicción exclusiva de los Tribunales competentes de la ciudad de San Salvador.