Política de Privacidad

1. Responsable del Tratamiento

Los responsables del tratamiento de los datos personales recogidos a través de la plataforma Jalao son:

• Jalao OÜ — Tallin, República de Estonia. Entidad responsable del tratamiento de datos conforme al Reglamento General de Protección de Datos (RGPD — Reglamento (UE) 2016/679).
• Jalao DMCC — DMCC Free Zone, Dubái, Emiratos Árabes Unidos. Co-responsable del tratamiento en relación con las operaciones comerciales de la Plataforma, conforme al Federal Decree Law No. 45/2021 (PDPL) de los EAU.

Delegado de Protección de Datos (DPO): contact@jalao.market

El tratamiento de datos se realiza igualmente en cumplimiento de la Ley 149/2022 de Protección de Datos Personales de la República de Cuba, que reconoce el derecho de toda persona a acceder a sus datos personales, a interesar su no divulgación, y a solicitar su rectificación, actualización o cancelación, conforme al artículo 97 de la Constitución cubana.

2. Datos que Recopilamos

2.1. Datos de Cuenta

Al registrarse en la Plataforma, recopilamos:

• Nombre y apellidos.
• Dirección de correo electrónico.
• Número de teléfono.
• Provincia de residencia en Cuba.
• Nombre de usuario y contraseña (almacenada de forma cifrada).
• Rol seleccionado (comprador, vendedor, gestor).

2.2. Datos Transaccionales

Durante el uso de la Plataforma, registramos:

• Historial de compras y ventas (productos, importes, fechas).
• Actividad de la billetera (depósitos, retiros, saldos).
• Direcciones de wallet en la blockchain TRON (para DAI y USDT).
• Hashes de transacciones blockchain.
• Comisiones aplicadas.

2.3. Datos de Comunicación

• Mensajes intercambiados entre compradores y vendedores a través del sistema de mensajería de la Plataforma.
• Comunicaciones con el equipo de soporte de Jalao.

2.4. Datos Técnicos

• Dirección IP.
• Tipo y versión del dispositivo y navegador.
• Sistema operativo.
• Datos de cookies y tecnologías de rastreo (ver sección 11).
• Páginas visitadas y tiempo de permanencia.
• Fuente de referencia (cómo llegó el usuario a la Plataforma).

2.5. Datos KYC (Vendedores)

Para los vendedores que completen el proceso de verificación KYC, recopilamos adicionalmente:

• Copia del documento de identidad (carné de identidad cubano, pasaporte).
• Comprobante de domicilio.
• Documentación que acredite el registro como MiPYME (conforme al Decreto-Ley 88/2024) o como TCP.
• Número de registro en el Registro Central Comercial.
• Número de Identificación Tributaria (NIT) ante la ONAT.

3. Base Legal del Tratamiento

El tratamiento de datos personales se fundamenta en las siguientes bases legales, conforme a los artículos 6 y 9 del RGPD:

• Consentimiento (Art. 6.1.a RGPD): Otorgado por el usuario al registrarse en la Plataforma y aceptar los presentes términos. El usuario puede retirar su consentimiento en cualquier momento, conforme a la sección 9.
• Ejecución de un contrato (Art. 6.1.b RGPD): El tratamiento es necesario para la ejecución de las transacciones de compraventa y para la prestación de los servicios de la Plataforma (escrow, pagos, comunicación).
• Obligación legal (Art. 6.1.c RGPD): El tratamiento es necesario para el cumplimiento de obligaciones legales, incluyendo la verificación KYC, la prevención del blanqueo de capitales (AML), las obligaciones derivadas del Acuerdo 10216/2025, y la Ley 149/2022 de Cuba.
• Interés legítimo (Art. 6.1.f RGPD): El tratamiento es necesario para la satisfacción de intereses legítimos de Jalao, incluyendo la prevención del fraude, la mejora de la Plataforma, el análisis estadístico y la seguridad del sistema.

4. Finalidad del Tratamiento

Los datos personales se tratan con las siguientes finalidades:

• Prestación del servicio: Gestión de cuentas de usuario, publicación de anuncios, procesamiento de pedidos y operación del sistema de escrow.
• Procesamiento de pagos: Gestión de la billetera, procesamiento de transacciones en DAI, USDT y EUR, cálculo y aplicación de comisiones.
• Prevención del fraude: Detección de actividades sospechosas, verificación de identidad, monitoreo de transacciones para prevenir el blanqueo de capitales y la financiación del terrorismo.
• Comunicación: Envío de notificaciones transaccionales (confirmaciones de pedido, actualizaciones de envío, resolución de disputas), así como comunicaciones comerciales (con consentimiento previo).
• Análisis y mejora: Estadísticas de uso de la Plataforma, análisis de tendencias, optimización de la experiencia de usuario y desarrollo de nuevas funcionalidades.
• Cumplimiento legal: Cumplimiento de las obligaciones derivadas de la legislación aplicable, incluyendo el RGPD, la Ley 149/2022, el Acuerdo 10216/2025, la Resolución 215/2021, y la normativa AML/CFT de los EAU y la UE.

5. Compartición de Datos

5.1. Entre Comprador y Vendedor

Para la correcta ejecución de las transacciones, se comparte entre comprador y vendedor la información estrictamente necesaria: nombre/alias del usuario, provincia, dirección de entrega (en el caso de productos físicos) y calificación del usuario.

5.2. Procesadores de Pago

Las transacciones en DAI y USDT se procesan a través de la blockchain TRON, que es una red pública. Por su naturaleza, las direcciones de wallet y los importes de las transacciones son visibles públicamente en la blockchain (ver sección 6 para más detalle).

5.3. Autoridades Legales

Jalao podrá comunicar datos personales a las autoridades competentes cuando sea requerido por ley, resolución judicial o administrativa, o cuando sea necesario para la prevención, detección o persecución de actividades ilícitas. Esto incluye, sin limitación, el Banco Central de Cuba (en materia de activos virtuales), la ONAT (en materia tributaria), y las autoridades de supervisión financiera de los EAU y Estonia.

5.4. Proveedores de Servicios

Jalao puede compartir datos con proveedores de servicios que actúan como encargados del tratamiento, exclusivamente para el funcionamiento de la Plataforma:

• Servicios de alojamiento web (Hetzner, Alemania).
• Servicios de correo electrónico transaccional.
• Servicios de análisis web (Google Analytics 4, con anonimización de IP).
• Servicios de verificación KYC.

Todos los proveedores están sujetos a acuerdos de tratamiento de datos (DPA) conforme al artículo 28 del RGPD.

5.5. Nunca Vendemos Datos

6. Blockchain y Criptomonedas

6.1. Naturaleza Pública de la Blockchain

Las transacciones realizadas en la red TRON (DAI y USDT) son públicas e inmutables. Esto significa que:

• Cualquier persona puede consultar las transacciones en un explorador de blockchain (como TronScan).
• Las direcciones de wallet, importes y marcas de tiempo de las transacciones son visibles públicamente.
• Una vez confirmada, una transacción no puede ser borrada ni modificada.

6.2. Pseudonimato

Las direcciones de wallet en TRON son pseudónimas: no contienen directamente el nombre real del usuario, pero podrían ser vinculadas a su identidad mediante análisis de la cadena de transacciones. Jalao almacena la asociación entre la identidad del usuario y su dirección de wallet de forma cifrada y protegida.

6.3. Almacenamiento de Datos Blockchain

Jalao almacena en sus sistemas los hashes de las transacciones (identificadores únicos), las direcciones de wallet asociadas a cada usuario y el historial de movimientos de la billetera integrada, con fines de auditoría, resolución de disputas y cumplimiento normativo.

7. Transferencias Internacionales

7.1. Ubicación del Almacenamiento

Los datos personales se almacenan principalmente en servidores ubicados en la Unión Europea (Hetzner, Alemania), garantizando un nivel de protección conforme al RGPD.

7.2. Entidades que Procesan Datos

Los datos son procesados por:

• Jalao OÜ (Estonia, UE) — Responsable principal del tratamiento.
• Jalao DMCC (Dubái, EAU) — Co-responsable para operaciones comerciales.

7.3. Garantías para Transferencias

Las transferencias de datos personales fuera del Espacio Económico Europeo (EEE) se realizan con las siguientes garantías, conforme a los artículos 46 y 49 del RGPD:

• Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea entre Jalao OÜ y Jalao DMCC, conforme a la Decisión de Ejecución (UE) 2021/914.
• Evaluación de impacto de la transferencia (TIA) para verificar que la legislación del país destinatario garantiza un nivel adecuado de protección.
• Medidas técnicas complementarias (cifrado en tránsito y en reposo, control de acceso).

8. Conservación de Datos

Los datos personales se conservan durante los siguientes periodos:

• Cuenta activa: Los datos se conservan mientras la cuenta del usuario permanezca activa en la Plataforma.
• Tras la eliminación de la cuenta: Los datos necesarios para el cumplimiento de obligaciones legales se conservan durante un periodo de 5 años, conforme a las obligaciones de conservación establecidas por la normativa AML/CFT y la legislación mercantil y fiscal aplicable.
• Datos transaccionales: Los registros de transacciones (incluyendo datos de blockchain) se conservan durante un periodo de 10 años, conforme a las regulaciones financieras aplicables en los EAU y Estonia.
• Datos de comunicación: Los mensajes entre usuarios y con el equipo de soporte se conservan durante 1 año tras el cierre de la cuenta del usuario.
• Datos KYC: La documentación KYC se conserva durante 5 años desde el cierre de la cuenta, conforme a las obligaciones del Banco Central de Cuba y la normativa AML de los EAU.

Transcurridos los periodos indicados, los datos se eliminarán o anonimizarán de forma irreversible.

9. Derechos del Usuario (RGPD)

Conforme al Reglamento General de Protección de Datos (artículos 15 a 22 del RGPD) y a la Ley 149/2022 de Cuba, el usuario tiene los siguientes derechos:

9.1. Derecho de Acceso (Art. 15 RGPD)

El usuario tiene derecho a obtener confirmación de si se están tratando sus datos personales y, en caso afirmativo, a acceder a una copia de dichos datos junto con información sobre las finalidades del tratamiento, las categorías de datos y los destinatarios.

9.2. Derecho de Rectificación (Art. 16 RGPD)

El usuario tiene derecho a obtener la rectificación de los datos personales inexactos que le conciernan, así como a que se completen los datos incompletos.

9.3. Derecho de Supresión (Art. 17 RGPD)

El usuario tiene derecho a solicitar la supresión de sus datos personales cuando ya no sean necesarios para la finalidad para la que fueron recogidos, cuando retire su consentimiento, o cuando los datos hayan sido tratados ilícitamente. Este derecho está sujeto a las limitaciones derivadas de las obligaciones legales de conservación (sección 8).

9.4. Derecho a la Portabilidad (Art. 20 RGPD)

El usuario tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica (JSON o CSV), y a transmitirlos a otro responsable del tratamiento.

9.5. Derecho de Oposición (Art. 21 RGPD)

El usuario tiene derecho a oponerse al tratamiento de sus datos personales basado en el interés legítimo, incluyendo la elaboración de perfiles. Jalao dejará de tratar los datos salvo que acredite motivos legítimos imperiosos.

9.6. Derecho a Retirar el Consentimiento

Cuando el tratamiento se base en el consentimiento, el usuario tiene derecho a retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

9.7. Derecho a la Limitación del Tratamiento (Art. 18 RGPD)

El usuario tiene derecho a solicitar la limitación del tratamiento de sus datos en determinadas circunstancias, como cuando impugne la exactitud de los datos o se haya opuesto al tratamiento.

Ejercicio de Derechos

Para ejercer cualquiera de estos derechos, el usuario puede dirigirse a:

Jalao responderá a la solicitud en un plazo máximo de 30 días naturales desde su recepción, conforme al artículo 12.3 del RGPD. Este plazo podrá prorrogarse otros 2 meses en función de la complejidad y el número de solicitudes.

10. Seguridad

Jalao implementa medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales, conforme al artículo 32 del RGPD:

10.1. Cifrado

• En reposo: Los datos personales se almacenan cifrados mediante AES-256.
• En tránsito: Todas las comunicaciones entre el usuario y la Plataforma se protegen mediante TLS 1.3.
• Contraseñas: Las contraseñas se almacenan utilizando funciones de hash criptográficas (bcrypt) y nunca en texto plano.

10.2. Controles de Acceso

• Acceso a datos personales restringido al personal autorizado, bajo el principio de mínimo privilegio.
• Autenticación multifactor para el acceso a sistemas internos.
• Registro de auditoría de todos los accesos a datos personales.

10.3. Auditorías

Jalao realiza evaluaciones periódicas de seguridad y pruebas de vulnerabilidad para identificar y corregir posibles riesgos.

10.4. Notificación de Incidentes

En caso de violación de la seguridad de los datos personales, Jalao notificará a la autoridad de control competente (Andmekaitse Inspektsioon de Estonia) en un plazo máximo de 72 horas desde que tenga conocimiento de la misma, conforme al artículo 33 del RGPD. Si la violación entraña un alto riesgo para los derechos y libertades de los usuarios, se notificará también a los afectados sin dilación indebida, conforme al artículo 34 del RGPD.

11. Cookies

11.1. Cookies Esenciales

La Plataforma utiliza cookies estrictamente necesarias para su funcionamiento, que no requieren consentimiento previo:

• Cookie de sesión: Identificación del usuario autenticado. Duración: sesión del navegador.
• Cookie de autenticación: Mantenimiento de la sesión iniciada. Duración: 30 días.
• Cookie de preferencias: Moneda seleccionada, ubicación, idioma. Duración: 1 año.

11.2. Cookies de Análisis (Opcionales)

Con el consentimiento previo del usuario, la Plataforma puede utilizar cookies de análisis:

• Google Analytics 4 (GA4): Análisis del comportamiento de navegación, con anonimización de IP activada. Los datos se procesan en servidores de Google y están sujetos a la política de privacidad de Google. Duración: hasta 14 meses.

11.3. Sin Cookies Publicitarias

La Plataforma no utiliza cookies publicitarias, de seguimiento ni de terceros con fines publicitarios.

11.4. Gestión de Preferencias

El usuario puede gestionar sus preferencias de cookies en cualquier momento a través del banner de cookies de la Plataforma o configurando su navegador para bloquear o eliminar cookies. La desactivación de cookies esenciales puede afectar al funcionamiento de la Plataforma.

12. Menores de Edad

La Plataforma no está dirigida a menores de 18 años y Jalao no recopila conscientemente datos personales de menores. Conforme a la Ley 149/2022 de Cuba, en el tratamiento de datos de menores de edad prevalece en todo caso el interés superior de estos.

Si Jalao tiene conocimiento de que un usuario es menor de 18 años, procederá a la suspensión inmediata de la cuenta y a la eliminación de los datos personales asociados, salvo que exista una obligación legal de conservarlos.

Si un padre, madre o tutor legal tiene conocimiento de que un menor bajo su responsabilidad se ha registrado en la Plataforma, puede contactar con Jalao en contact@jalao.market para solicitar la eliminación de la cuenta y los datos.

13. Modificaciones

Jalao se reserva el derecho de actualizar la presente Política de Privacidad para adaptarla a cambios normativos, jurisprudenciales o técnicos. Las modificaciones serán notificadas a los usuarios mediante:

• Correo electrónico al email registrado.
• Aviso visible en la Plataforma.

Para cambios sustanciales que afecten a la forma en que se tratan los datos personales, Jalao proporcionará un preaviso de 30 días naturales antes de su entrada en vigor, conforme a las buenas prácticas del RGPD. Los cambios menores o de carácter formal entrarán en vigor desde su publicación.

El uso continuado de la Plataforma tras la entrada en vigor de las modificaciones implica la aceptación de la nueva política. Si el usuario no está de acuerdo, deberá cesar el uso de la Plataforma y podrá solicitar la eliminación de su cuenta y datos.

14. Contacto y Reclamaciones

14.1. Contacto

Para cualquier consulta relacionada con la protección de datos personales o la presente Política de Privacidad:

• Email: contact@jalao.market
• Web: jalao.market

14.2. Reclamaciones ante la Autoridad de Control

Sin perjuicio de cualquier otro recurso administrativo o judicial, el usuario tiene derecho a presentar una reclamación ante la autoridad de control competente en materia de protección de datos. Para Jalao OÜ, la autoridad competente es:

Igualmente, conforme a la Ley 149/2022, los usuarios cubanos pueden ejercer sus derechos de protección de datos ante las autoridades competentes de la República de Cuba.

14.3. Entidades Responsables

• Jalao OÜ — Tallin, República de Estonia.
• Jalao DMCC — DMCC Free Zone, Dubái, Emiratos Árabes Unidos.