Protección de Datos - Cumplimiento LGPD
1. Sobre la LGPD
La Lei Geral de Proteção de Dados (Ley General de Protección de Datos - LGPD, Ley N.º 13.709/2018) es la legislación brasileña que regula el tratamiento de datos personales y establece derechos fundamentales de privacidad y protección de datos para las personas físicas.
RICARDO ***** - ME, operador de la plataforma NUDINN, está completamente comprometido con el cumplimiento de la LGPD y la protección de la privacidad de los titulares.
Este documento complementa nuestra Política de Privacidad y proporciona información específica sobre el cumplimiento de la LGPD, derechos de los titulares y nuestras responsabilidades como controlador y operador.
2. Roles y Responsabilidades
2.1. Controlador de Datos
Razón Social: RICARDO ***** - ME
CNPJ: 16.***.***/0001-80
Rol: Controlador de Datos (Art. 5, VI de la LGPD)
Como controlador, somos responsables de las decisiones respecto al tratamiento de datos personales, incluyendo finalidades, medios y formas de tratamiento.
2.2. Oficial de Protección de Datos (DPO)
Nombre: Ricardo *****
Correo electrónico: dpo@nudinn.com
Correo alternativo: privacidade@nudinn.com
El Oficial de Protección de Datos es el canal de comunicación entre el controlador, los titulares y la Autoridad Nacional de Protección de Datos (ANPD). Sus responsabilidades incluyen:
- Aceptar reclamaciones y comunicaciones de los titulares
- Proporcionar aclaraciones sobre el tratamiento de datos
- Recibir comunicaciones de la ANPD y actuar en consecuencia
- Orientar a los empleados sobre prácticas de protección de datos
- Ejecutar otras funciones determinadas por el controlador o la ANPD
2.3. Operadores de Datos
Utilizamos proveedores de servicios de terceros (operadores) que procesan datos personales en nuestro nombre, siempre bajo contratos que aseguran el cumplimiento de la LGPD:
- Stripe: Procesamiento de pagos
- AWS/Google Cloud: Alojamiento y almacenamiento de datos
- Proveedores de Correo: Envío de comunicaciones transaccionales
- Analítica: Herramientas de análisis (datos anonimizados)
Todos los operadores son cuidadosamente seleccionados, auditados y contractualmente obligados a procesar los datos estrictamente según nuestras instrucciones y en cumplimiento de la LGPD.
3. Datos Personales Tratados
3.1. Categorías de Datos
| Categoría | Tipos de Datos | Finalidad | Base Legal (Art. 7) |
|---|---|---|---|
| Identificación | Nombre, CPF/Identificación fiscal, correo electrónico, teléfono, fecha de nacimiento | Registro y gestión de cuenta | Ejecución de contrato (V) |
| Autenticación | Contraseña (hash), tokens de sesión | Seguridad y control de acceso | Ejecución de contrato (V) |
| Financieros | Ingresos, gastos, saldos, transacciones, cuentas bancarias | Prestación del servicio de gestión financiera | Ejecución de contrato (V) |
| Pago | Datos de tarjeta (tokenizados), historial de suscripciones | Facturación y cobranza | Ejecución de contrato (V) |
| Navegación | IP, navegador, páginas visitadas, cookies | Analítica, mejoras, seguridad | Interés legítimo (IX) |
| Marketing | Correo electrónico, preferencias de comunicación | Boletines informativos y promociones | Consentimiento (I) |
| Soporte | Mensajes, historial de tickets | Atención al cliente | Ejecución de contrato (V) |
3.2. Datos Sensibles
Importante: No recopilamos, procesamos ni almacenamos datos personales sensibles según la definición del Art. 5, II de la LGPD (origen racial/étnico, convicción religiosa, opinión política, afiliación sindical, datos genéticos, biométricos, de salud o vida sexual).
3.3. Datos de Niños y Adolescentes
Nuestros servicios no están destinados a personas menores de 18 años. El tratamiento de datos de niños y adolescentes solo ocurriría con consentimiento específico de al menos uno de los padres o tutor legal (Art. 14 de la LGPD).
Si identificamos la recopilación inadvertida de datos de menores, eliminaremos dichos datos inmediatamente.
4. Bases Legales para el Tratamiento
Todo tratamiento de datos personales por parte de NUDINN se basa en una o más bases legales previstas en el Art. 7 de la LGPD:
Art. 7, I - Consentimiento
Aplicación: Utilizado para comunicaciones de marketing, boletines informativos, cookies no esenciales y analítica avanzada.
Características: Consentimiento libre, informado, inequívoco y específico. Puede ser revocado en cualquier momento sin costo ni perjuicio para el uso esencial del servicio.
Art. 7, V - Ejecución de Contrato
Aplicación: Fundamental para proporcionar los servicios contratados (gestión financiera, alertas, recomendaciones, procesamiento de pagos).
Características: Datos necesarios para cumplir con las obligaciones contractuales establecidas en los Términos de Uso.
Art. 7, IX - Interés Legítimo
Aplicación: Utilizado para prevención de fraudes, seguridad de la plataforma, analítica para mejoras, protección de derechos en procesos legales.
Características: Nuestro interés legítimo siempre se equilibra con sus derechos fundamentales. Realizamos una Evaluación de Interés Legítimo (LIA) documentada.
Derecho de Oposición: Puede oponerse al tratamiento basado en interés legítimo (Art. 18, §2).
Art. 7, II - Cumplimiento de Obligación Legal
Aplicación: Cuando sea requerido por ley o regulación (p. ej., obligaciones fiscales, contables, solicitudes judiciales, conservación de registros según el Marco Civil de Internet).
5. Derechos del Titular (Art. 18 de la LGPD)
La LGPD garantiza a los titulares diversos derechos respecto a sus datos personales. NUDINN respeta y facilita el ejercicio de todos estos derechos:
1. Confirmación y Acceso
Art. 18, I y II
Confirmar si tratamos sus datos y acceder a sus datos personales.
✓ Disponible mediante descarga en la plataforma o por solicitud
2. Rectificación
Art. 18, III
Corregir datos incompletos, inexactos o desactualizados.
✓ Disponible en la configuración de la cuenta o por solicitud
3. Anonimización, Bloqueo o Eliminación
Art. 18, IV
Solicitar la anonimización, bloqueo o eliminación de datos innecesarios, excesivos o no conformes.
✓ Analizado caso por caso respetando obligaciones legales
4. Portabilidad
Art. 18, V
Recibir sus datos en un formato estructurado, de uso común y legible por máquina.
✓ Exportación en formato JSON/CSV
5. Eliminación
Art. 18, VI
Solicitar la eliminación de datos basados en consentimiento.
✓ Eliminación de cuenta disponible en la plataforma
6. Información sobre Compartición
Art. 18, VII
Conocer con qué entidades públicas y privadas compartimos sus datos.
✓ Información disponible en la Política de Privacidad
7. Información sobre la Negativa
Art. 18, VIII
Ser informado sobre las consecuencias de no proporcionar el consentimiento.
✓ Informamos claramente al solicitar el consentimiento
8. Revocación del Consentimiento
Art. 18, IX
Retirar su consentimiento en cualquier momento.
✓ Disponible en la configuración o por correo electrónico
9. Oposición
Art. 18, §2
Oponerse al tratamiento basado en interés legítimo.
✓ Analizado caso por caso considerando derechos fundamentales
10. Revisión de Decisiones Automatizadas
Art. 20
Solicitar la revisión de decisiones tomadas únicamente con base en el tratamiento automatizado.
✓ Revisión humana disponible bajo solicitud
Cómo Ejercer Sus Derechos
Para ejercer cualquiera de los derechos anteriores, puede:
- A través de la Plataforma: Configuración de la Cuenta > Privacidad y Datos
- Correo al DPO: dpo@nudinn.com o privacidade@nudinn.com
- Canal de Soporte: suporte@nudinn.com
Plazos de Respuesta
- Plazo estándar: Hasta 15 días desde la solicitud
- Extensión: Puede extenderse por otros 15 días con justificación (complejidad, volumen de solicitudes)
- Comunicación: Será informado sobre el estado de su solicitud
Verificación de Identidad
Para proteger sus datos, podemos solicitar información adicional para verificar su identidad antes de procesar solicitudes relacionadas con acceso, rectificación o eliminación de datos.
6. Retención de Datos
Conservamos sus datos personales solo durante el tiempo necesario para las finalidades para las que fueron recopilados, respetando obligaciones legales y plazos de prescripción:
| Tipo de Dato | Período de Retención | Justificación |
|---|---|---|
| Datos de cuenta activa | Duración de la relación | Ejecución de contrato |
| Datos de cuenta cerrada | Hasta 5 años después del cierre | Obligaciones fiscales (5 años) y defensa en litigios |
| Registros de acceso (IP) | 6 meses | Marco Civil de Internet (Art. 15) |
| Datos de pago | 5 años después de la última transacción | Obligaciones fiscales y contables |
| Comunicaciones de marketing | Hasta la revocación o 2 años sin interacción | Consentimiento / Interés legítimo |
| Tickets de soporte | 3 años después de la resolución | Calidad del servicio y defensa |
| Datos anonimizados | Indefinidamente | No permite identificación (Art. 12 LGPD) |
Después de los períodos de retención, los datos se eliminan de forma segura e irreversible mediante procesos de sanitización que impiden la recuperación.
7. Seguridad y Protección de Datos
En cumplimiento del Art. 46 de la LGPD, adoptamos medidas técnicas y administrativas de seguridad capaces de proteger los datos personales del acceso no autorizado y de situaciones accidentales o ilícitas:
- Encriptación: SSL/TLS en tránsito, AES-256 en reposo
- Control de Acceso: Autenticación multifactor, principio de mínimo privilegio
- Monitoreo: SIEM, registros de auditoría, detección de intrusiones
- Pruebas: Pentests semestrales, auditorías de seguridad
- Respaldos: Encriptados y distribuidos geográficamente
- Capacitación: Capacitación continua del equipo en LGPD y seguridad
Para detalles completos sobre nuestras prácticas de seguridad, consulte nuestra página dedicada: Seguridad de la Información.
8. Comunicación de Incidentes de Seguridad
En cumplimiento del Art. 48 de la LGPD, en caso de incidente de seguridad que pueda representar riesgo o daño relevante para los titulares:
8.1. Comunicación a la ANPD
- Plazo: En un plazo razonable (generalmente 72 horas después de la detección)
- Contenido: Descripción del incidente, datos afectados, medidas tomadas, impactos potenciales
8.2. Notificación a los Titulares Afectados
- Plazo: Inmediato, después del análisis preliminar
- Método: Correo electrónico, notificación en la aplicación y/o comunicado público
- Contenido:
- Naturaleza del incidente
- Tipos de datos afectados
- Medidas técnicas de protección adoptadas
- Riesgos relacionados al incidente
- Medidas que los titulares pueden tomar para mitigar efectos adversos
- Canal de contacto para aclaraciones
8.3. Excepción de Comunicación
La comunicación puede ser eximida cuando (Art. 48, §4):
- Los datos afectados son incomprensibles para terceros (encriptación robusta)
- Las medidas técnicas de protección hacen los datos inaccesibles
- Medidas posteriores eliminaron el riesgo de daño
9. Transferencia Internacional de Datos
Algunos de nuestros proveedores de servicios (operadores) pueden estar ubicados o procesar datos fuera de Brasil. Nos aseguramos de que dichas transferencias internacionales cumplan con la LGPD (Art. 33):
9.1. Mecanismos de Adecuación
- Países con Nivel Adecuado: Transferencias a países reconocidos por la ANPD como teniendo un nivel de protección adecuado
- Cláusulas Contractuales Estándar (SCC): Contratos basados en Cláusulas Contractuales Estándar aprobadas
- Certificaciones: Proveedores certificados con ISO 27001, SOC 2 Tipo II, Privacy Shield (cuando aplique)
- Salvaguardas Específicas: Cláusulas contractuales que aseguran protección equivalente a la LGPD
9.2. Transparencia
Informamos claramente en la Política de Privacidad qué proveedores pueden procesar datos internacionalmente. Principales destinos:
- Estados Unidos: AWS, Google Cloud, Stripe (certificados/adeguados)
- Unión Europea: Algunos servidores de respaldo y CDN
10. Decisiones Automatizadas y Perfilado
NUDINN utiliza algoritmos de Inteligencia Artificial para análisis financiero, proyecciones y recomendaciones. Garantizamos transparencia y control sobre este tratamiento:
10.1. Transparencia
- Informamos claramente cuando las decisiones son tomadas por sistemas automatizados
- Explicamos la lógica, criterios e importancia del procesamiento automatizado
- Proporcionamos información sobre las consecuencias para los titulares
10.2. Derecho a Revisión Humana
Según el Art. 20 de la LGPD, usted tiene derecho a solicitar revisión humana de decisiones tomadas únicamente con base en el procesamiento automatizado que afecten sus intereses.
Para solicitar revisión humana de alertas o recomendaciones del sistema, contacte suporte@nudinn.com.
10.3. Limitaciones del Perfilado
No utilizamos perfilado automatizado para decisiones que produzcan efectos jurídicos significativos o que afecten derechos fundamentales (p. ej., concesión de crédito, discriminación). Nuestro uso de IA se limita a recomendaciones financieras personales.
11. Preguntas Frecuentes sobre Protección de Datos
¿Qué son datos personales?
Información relacionada a persona natural identificada o identificable (Art. 5, I). Ejemplos: nombre, CPF/Identificación fiscal, correo electrónico, IP, datos de ubicación.
¿Puedo solicitar la eliminación de todos mis datos?
Sí, puede solicitar la eliminación de su cuenta y datos. Sin embargo, podemos retener algunos datos por el período necesario para cumplir con obligaciones legales (p. ej., registros fiscales por 5 años).
¿Cómo sé que mis datos están seguros?
Implementamos múltiples capas de seguridad incluyendo encriptación, controles de acceso, monitoreo 24/7 y auditorías regulares. Vea los detalles en nuestra página de Seguridad.
¿Venden mis datos?
No. Nunca vendemos, alquilamos o comercializamos datos personales de los usuarios.
¿Qué pasa si revoco mi consentimiento?
La revocación del consentimiento para comunicaciones de marketing no afecta el uso esencial de los servicios de la plataforma. Simplemente dejará de recibir boletines informativos y promociones.
12. Contacto - Oficial de Protección de Datos (DPO)
Para ejercer sus derechos, aclarar dudas sobre protección de datos, o presentar reclamos relacionados con el tratamiento de datos personales:
RICARDO ***** - ME
CNPJ: 16.***.***/0001-80
Oficial de Protección de Datos (DPO): Ricardo *****
Correo del DPO: dpo@nudinn.com
Correo de Privacidad: privacidade@nudinn.com
Soporte General: suporte@nudinn.com
Respondemos a todas las solicitudes de protección de datos dentro de 15 días, según lo establecido por la legislación.