Política de Privacidad — Cuadernito
1. Quiénes somos (Responsable del tratamiento)
- Responsable: MindLoop Agencia
- Titular: Cesar Pacheco (persona natural)
- Domicilio: Caracas, Distrito Capital, Venezuela
- Correo de contacto privacidad: hola@cuadernito.mindloopagencia.com
- Correo de seguridad / brechas: security@cuadernito.mindloopagencia.com
- Jurisdicción: República Bolivariana de Venezuela
Esta Política de Privacidad explica qué datos personales recolectamos cuando usted (en adelante, "el Cliente" o "usted") utiliza Cuadernito, para qué los usamos, con quién los compartimos, cuánto tiempo los conservamos y cuáles son sus derechos.
2. Marco normativo
El tratamiento de datos personales que realizamos se enmarca, sin perjuicio de lo que determine el revisor legal:
- Constitución de la República Bolivariana de Venezuela, artículo 28 (derecho de habeas data).
- Ley Especial contra los Delitos Informáticos (Gaceta Oficial 37.313, 2001), en lo aplicable.
- Buenas prácticas internacionales en línea con el Reglamento General de Protección de Datos (RGPD/GDPR) de la Unión Europea, aplicadas voluntariamente como estándar mínimo, especialmente cuando atendamos clientes residentes en la UE.
3. Qué datos recolectamos
3.1 Datos de cuenta
Al registrarse, recolectamos:
- Nombre del negocio y/o del Cliente.
- Correo electrónico.
- Número de WhatsApp (opcional).
- Ciudad / región (opcional).
- Contraseña (almacenada cifrada con bcrypt o equivalente; nunca en texto plano).
3.2 Datos del Negocio cargados por el Cliente
- Catálogo de productos (nombre, precio, descripción, foto).
- Registro de ventas (fecha, productos, monto, método de pago).
- Información de clientes finales del Cliente (si la registra).
- Configuración del negocio.
- Comprobantes de pago (imagen/PDF) subidos para activar suscripción.
Si el Cliente registra datos personales de sus propios clientes dentro de Cuadernito, el Cliente es el responsable del tratamiento de esos datos frente a sus compradores. MindLoop actúa únicamente como encargado/custodio técnico.
3.3 Datos técnicos y de uso
- Dirección IP (registrada en logs y en la tabla de auditoría).
- Tipo de navegador, sistema operativo, idioma.
- Páginas visitadas dentro de la aplicación, acciones realizadas (audit log).
- Fecha y hora de cada sesión.
- Identificador del tenant al que pertenece el evento.
3.4 Datos que NO recolectamos
- Datos de tarjetas de crédito ni credenciales bancarias.
- Datos biométricos.
- Datos de geolocalización precisa.
- Datos de menores de edad.
4. Para qué usamos los datos (finalidades)
| Finalidad | Base legitimadora |
|---|---|
| Operar el servicio (registrar ventas, generar reportes, etc.) | Ejecución del contrato (T&C) |
| Activar la cuenta tras verificar el comprobante de pago | Ejecución del contrato |
| Atender consultas de soporte por correo o WhatsApp | Ejecución del contrato / consentimiento |
| Enviar notificaciones operativas (recordatorios, alertas) | Ejecución del contrato / interés legítimo |
| Detectar y prevenir fraude, abuso o accesos no autorizados | Interés legítimo + obligación legal |
| Cumplir requerimientos de autoridades competentes | Obligación legal |
| Generar estadísticas agregadas y anonimizadas para mejorar el servicio | Interés legítimo |
No utilizamos sus datos para marketing de terceros, ni los vendemos, ni los compartimos con anunciantes.
5. Con quién compartimos los datos
Compartimos datos únicamente con los proveedores técnicos estrictamente necesarios para operar el servicio. Estos proveedores actúan como encargados de tratamiento:
| Proveedor | Función | Ubicación servidores |
|---|---|---|
| Hostinger International Ltd. | Hosting del servidor y base de datos | Países Bajos (UE) y/o EE. UU. |
| Backblaze B2 | Almacenamiento offsite cifrado de backups | EE. UU. / Europa |
| Resend | Envío de correo transaccional | EE. UU. |
| Cloudflare (eventual) | CDN, protección DDoS, WAF | Distribuido globalmente |
No compartimos sus datos con terceros con fines comerciales, publicitarios ni de tracking.
MindLoop podrá divulgar información cuando exista obligación legal, informando al Cliente cuando la ley lo permita.
6. Transferencias internacionales
Dado que algunos de nuestros proveedores tienen servidores fuera de Venezuela (UE, EE. UU.), sus datos podrán ser transferidos y procesados en esas jurisdicciones. Adoptamos las siguientes garantías:
- Elegimos proveedores con compromisos contractuales de seguridad y confidencialidad.
- Los datos en tránsito se transmiten cifrados (TLS 1.2+).
- Las copias de seguridad offsite están cifradas en reposo.
- Aplicamos las cláusulas tipo y políticas de privacidad de cada proveedor en línea con RGPD.
7. Cuánto tiempo conservamos los datos
| Tipo de dato | Plazo de retención |
|---|---|
| Datos de cuenta y datos del Negocio | Vigencia de la cuenta + 90 días post-suspensión / cancelación |
| Comprobantes de pago | 5 años desde la transacción [confirmar plazo con revisor legal] |
| Audit log | Permanente (metadatos sin datos personales del Negocio) |
| Backups | Diarios 30 días; mensual hasta 12 meses |
| Logs técnicos (acceso, errores) | 90 días |
Si el Cliente solicita expresamente la eliminación, aplicamos un cooldown de 30 días antes de borrar de forma irreversible.
8. Sus derechos como titular de los datos
Conforme al artículo 28 de la Constitución venezolana (habeas data) y, como estándar mínimo, en línea con el RGPD, usted tiene los siguientes derechos:
8.1 Derecho de acceso
Puede consultar en cualquier momento qué datos personales suyos tratamos. La mayor parte de esa información es visible directamente en su panel de Cuadernito.
8.2 Derecho de rectificación
Puede corregir datos inexactos o incompletos desde "Mi cuenta" o solicitándolo por escrito.
8.3 Derecho de eliminación ("derecho al olvido")
Puede solicitar la eliminación total de sus datos:
- Desde la aplicación: "Mi cuenta" → "Eliminar mi cuenta". La solicitud queda en estado pending_deletion por 30 días.
- Por correo: escribiendo a
hola@cuadernito.mindloopagencia.comdesde el correo registrado.
Pasados los 30 días sin retractación, los datos se eliminan de forma irreversible. Se conserva únicamente el audit log con metadatos no personales por motivos de seguridad y trazabilidad.
8.4 Derecho de portabilidad
Puede exportar todos sus datos del Negocio en formato JSON estructurado y/o Excel/CSV desde la opción "Exportar mis datos" en la aplicación.
8.5 Derecho de oposición
Puede oponerse a tratamientos basados en interés legítimo escribiendo al correo de privacidad.
8.6 Derecho a presentar reclamo
Si considera que sus derechos no han sido atendidos correctamente, puede presentar un reclamo formal ante la autoridad competente venezolana.
8.7 Procedimiento y plazos
Atenderemos sus solicitudes en un plazo objetivo de 15 días hábiles desde su recepción. El ejercicio de estos derechos es gratuito.
9. Cookies y tecnologías similares
Cuadernito utiliza únicamente:
- Cookie de sesión técnica: necesaria para mantener al Cliente autenticado. Es de primera parte, HttpOnly, Secure, SameSite=Strict.
- localStorage / IndexedDB: para el funcionamiento offline-first de la PWA.
No utilizamos cookies de tracking de terceros, píxeles publicitarios ni analítica que comparta datos con terceros (no usamos Google Analytics ni equivalentes).
10. Seguridad de los datos
- Cifrado TLS 1.2+ en todas las comunicaciones.
- Contraseñas almacenadas con hashing fuerte (bcrypt).
- Aislamiento estricto entre cuentas (multi-tenant con tenant_id enforced).
- Cookies con flags Secure, HttpOnly, SameSite=Strict.
- Cabeceras de seguridad HTTP (CSP, HSTS, X-Frame-Options).
- Rate limiting y protección contra fuerza bruta.
- Audit log de acciones sensibles.
- Backups diarios + replicación offsite cifrada.
- Renovación automática de certificados TLS (Let's Encrypt).
Ninguna medida es absolutamente infalible. Si sospecha que su cuenta ha sido comprometida, escríbanos a security@cuadernito.mindloopagencia.com.
11. Brechas de seguridad
En caso de una brecha que afecte sus datos personales, le notificaremos a la mayor brevedad posible una vez confirmada, indicando qué datos están potencialmente comprometidos, qué medidas hemos tomado y qué recomendamos al Cliente.
12. Menores de edad
Cuadernito es un servicio B2B dirigido a mayores de edad (18+). No recolectamos conscientemente datos de menores. Si el Cliente registra dentro de su cuenta datos de menores (por ejemplo, compradores menores en una bodega), es su responsabilidad contar con las autorizaciones correspondientes conforme a la ley venezolana.
13. Decisiones automatizadas
Cuadernito no realiza decisiones automatizadas con efectos jurídicos significativos sobre el Cliente. La verificación de pagos es manual durante los primeros meses; cuando se incorpore validación automatizada, el Cliente podrá solicitar revisión humana.
14. Cambios a esta Política
Cuando los cambios sean sustanciales, los notificaremos con al menos 30 días calendario de anticipación por correo y/o aviso visible en la aplicación.
15. Contacto
- Correo privacidad: hola@cuadernito.mindloopagencia.com
- Correo seguridad / brechas: security@cuadernito.mindloopagencia.com
- Responsable: Cesar Pacheco — MindLoop Agencia