Política de Privacidad | Zarv

1. Introducción

Zarv Technologies LLC ("Zarv", "nosotros") está comprometida con proteger la privacidad de clientes, socios y visitantes. Esta Política describe cómo recopilamos, usamos, almacenamos y compartimos datos personales en nuestra plataforma de inteligencia de riesgo. Cumplimos con LGPD, GDPR y CCPA.

2. Datos que Recopilamos

Recopilamos: (a) Identidad: nombre, CURP/RFC, INE, licencia de conducir, biometría facial; (b) Contacto: email, teléfono, dirección; (c) Geolocalización: GPS, rutas, telemetría vehicular; (d) Vehículos: placas, VIN, datos LPR/OCR; (e) Seguros: pólizas, siniestros, historial; (f) Corporativos: RFC, estructura, beneficiarios; (g) Técnicos: IP, navegador, llamadas API; (h) Financieros: pago (vía terceros); (i) Comunicaciones: soporte, demos.

3. Cómo Recopilamos

Recopilamos mediante: (a) Provisión directa por clientes vía API/dashboards; (b) Sistemas integrados: telemática, GPS, LPR/OCR; (c) Terceros: registros públicos, REPUVE, SAT, burós de crédito; (d) Sitio web: cookies, analytics; (e) Comunicaciones comerciales.

4. Base Legal (LGPD, GDPR, CCPA)

Procesamos basado en: (a) Interés Legítimo (LGPD Art. 7, X; GDPR Art. 6(1)(f)): prevención fraude, evaluación riesgo, seguridad plataforma; (b) Necesidad Contractual (LGPD Art. 7, V; GDPR Art. 6(1)(b)): prestación servicios contratados; (c) Obligación Legal (LGPD Art. 7, II; GDPR Art. 6(1)(c)): cumplimiento AML, obligaciones fiscales, requisitos regulatorios; (d) Consentimiento (LGPD Art. 7, I; GDPR Art. 6(1)(a)): cuando explícitamente requerido; (e) Protección Vida (LGPD Art. 7, VII; GDPR Art. 6(1)(d)): emergencias; (f) Protección Crédito (LGPD Art. 7, X).

5. Cómo Usamos

Usamos para: (a) Zarv ID: riesgo, fraude, identidad; (b) Zarv Signal: monitoreo, alertas, anomalías; (c) Zarv Lens: investigación, evidencias; (d) Mejora: modelos, algoritmos; (e) Comunicación: soporte, facturación; (f) Legal: regulatorio, auditoría; (g) Operaciones: contratos, analytics.

6. Compartir Datos

Compartimos con: (a) Clientes: aseguradoras, financieras, flotas; (b) Subprocesadores: AWS, Google Cloud bajo DPAs (LGPD Art. 15, GDPR Art. 28); (c) Autoridades: cuando legalmente obligado; (d) Asesores: bajo confidencialidad; (e) Transferencias comerciales. NUNCA vendemos datos.

7. Transferencias Internacionales

Transferimos a otros países. Brasil: LGPD Art. 33 vía SCCs o adecuación ANPD. UE: SCCs 2021 o adecuación. Todas con cifrado TLS 1.3 y AES-256.

8. Retención

Retenemos: (a) Identidad: relación + 5 años; (b) Geolocalización: 90 días (crudo); (c) Siniestros: 7 años; (d) Scores: 5 años; (e) Logs: 12 meses; (f) Financieros: 7 años. Después, eliminación segura o anonimización.

9. Tus Derechos

Tienes derecho a: (a) Acceso (LGPD 18-I-II; GDPR 15; CCPA §1798.100); (b) Rectificación (LGPD 18-III; GDPR 16); (c) Eliminación (LGPD 18-VI; GDPR 17; CCPA §1798.105); (d) Restricción (LGPD 18-IV; GDPR 18); (e) Portabilidad (LGPD 18-V; GDPR 20); (f) Oposición (LGPD 18-§2º; GDPR 21); (g) Retirar Consentimiento (LGPD 8-§5º; GDPR 7(3)); (h) Revisión Decisiones Automatizadas (LGPD 20; GDPR 22). Contacto: privacy@zarv.com. Respuesta: 15 días (LGPD), 1 mes (GDPR), 45 días (CCPA).

10. Oficial de Protección de Datos

DPO: privacy@zarv.com. Zarv Technologies LLC, São Paulo, SP, Brasil. Para GDPR (UE), usar asunto: 'EU GDPR Request'. Para CCPA (California), usar asunto: 'CCPA Request' o llamar 1-855-ZARV-PRI.

11. Medidas de Seguridad

Implementamos: (a) Cifrado: TLS 1.3 en tránsito, AES-256 en reposo; (b) Controles Acceso: RBAC, MFA, menor privilegio; (c) Red: firewalls, IDS/IPS, protección DDoS; (d) Auditoría: rastros completos, SIEM, detección anomalías; (e) Desarrollo Seguro: security-by-design, code review, pruebas penetración; (f) Respuesta Incidentes: conforme LGPD Art. 48, GDPR Art. 33-34, CCPA; (g) Certificaciones: ISO 27001, SOC 2. Notificación en caso de violación según legislación.

12. Transferencias Internacionales

Datos pueden transferirse internacionalmente. Para Brasil: cumplimos LGPD Art. 33 mediante SCCs o transferencias a países con adecuación ANPD. Para UE/EEE: usamos SCCs UE (versión 2021) o decisiones adecuación GDPR Cap. V. Para California: protecciones contractuales. Todas con cifrado.

13. Retención de Datos

Retenemos según necesario: (a) Verificación identidad: duración relación + 5 años (LGPD, AML/CFT); (b) Geolocalización/comportamiento: 90 días (crudo), indefinido (anonimizado); (c) Investigación siniestros: 7 años; (d) Scores riesgo: 5 años; (e) Logs técnicos/seguridad: 12 meses; (f) Financiero/facturación: 7 años (fiscal). Después, eliminación segura o anonimización.

14. Cookies y Rastreo

Usamos cookies: (a) Necesarias: funcionalidad, seguridad; (b) Analíticas: Google Analytics, PostHog (anonimizadas cuando posible); (c) Funcionales: preferencias, idioma; (d) Marketing: rastreo conversión limitado. Control vía configuración navegador. No usamos para rastreo entre sitios. Banner consentimiento para visitantes UE (GDPR ePrivacy).

15. Privacidad de Niños

Servicios no dirigidos a menores de 18 años. No recopilamos datos de niños intencionalmente. Si identificamos recopilación inadvertida, eliminaremos inmediatamente. Contacto: privacy@zarv.com.

16. CCPA - California

Para residentes California: (a) Categorías recopiladas (12 meses): identificadores (nombre, email, IP), información comercial, actividad internet, geolocalización, profesionales, inferencias; (b) Fuentes: tú, dispositivos, terceros, registros públicos; (c) Fines comerciales: fraude, seguridad, servicios, legal, analytics; (d) Venta: NO vendemos datos; (e) Derechos: saber, eliminar, opt-out (n/a), no discriminación; (f) Agente autorizado: aceptado con verificación. Contacto: privacy@zarv.com o 1-855-ZARV-PRI.

17. GDPR - Unión Europea

Para residentes UE/EEE/UK/Suiza: (a) Base legal: ver Sección 4; (b) Autoridad Protección: derecho reclamar a autoridad supervisora local; (c) Decisiones Automatizadas: usamos scoring automatizado, tienes derecho a intervención humana y contestación (GDPR Art. 22); (d) Perfilado: para detección fraude/riesgo basado en interés legítimo, puedes oponerte; (e) Marketing Directo: opt-out en cualquier momento; (f) Representante UE: privacy@zarv.com (asunto: EU GDPR Request); (g) Transferencias: ver Sección 12.

18. LGPD - Brasil

Para titulares en Brasil: (a) Encargado (DPO): privacy@zarv.com; (b) ANPD: derecho reclamar a Autoridade Nacional de Proteção de Dados; (c) Bases Legales: procesamos bajo Art. 7 (I - consentimiento, II - legal, V - contrato, VII - vida, IX/X - interés legítimo/crédito) según Sección 4; (d) Revisión Decisiones Automatizadas: LGPD Art. 20 garantiza derecho a revisión humana de decisiones automatizadas que afecten intereses, proporcionamos información sobre criterios; (e) Datos Sensibles: CPF, biometría, geolocalización procesados con salvaguardas apropiadas, consentimiento específico o autorización legal; (f) Transferencias Internacionales: Cap. V LGPD vía SCCs aprobadas ANPD o países con adecuación.

19. Cambios en la Política

Podemos actualizar periódicamente para reflejar cambios en prácticas, requisitos legales o servicios. Cambios materiales notificados vía: email a clientes, aviso en sitio, notificaciones en app. Fecha 'Última actualización' indica revisión más reciente. Uso continuado tras cambios = aceptación. Para cambios significativos, podemos buscar consentimiento renovado cuando requerido por ley.

20. Contacto y Ejercicio de Derechos

Para ejercer derechos, solicitar información o plantear preocupaciones: Oficial Protección Datos: privacy@zarv.com. Dirección Postal: Zarv Technologies LLC, São Paulo, SP, Brasil. UE/GDPR: privacy@zarv.com (Asunto: EU GDPR Request). California/CCPA: privacy@zarv.com (Asunto: CCPA Request) o 1-855-ZARV-PRI. Proporcionar: nombre completo, contacto, descripción solicitud, prueba identidad, jurisdicción. Reconocimiento en 5 días hábiles, respuesta según plazos legales. Sin tarifa excepto solicitudes infundadas/excesivas.