Política de Privacidad

Razón social : Jalao OÜ, sociedad de derecho estonio (osaühing) en fase de constitución, programa e-Residency aprobado, inmatriculación al Registro de Empresas RIK en curso (finalización esperada antes del 8 de mayo de 2026).

Domicilio social previsto : Tallinn, República de Estonia. Número de inscripción mercantil (registrikood) a comunicar al momento de la inmatriculación.

Fase transitoria : mientras dure la constitución, ninguna entidad transitoria opera por cuenta de Jalao. Ningún tratamiento sustantivo de datos personales se inicia antes de la inmatriculación efectiva.

Contacto general : contact@jalao.shop

Representante UE (art. 27 RGPD) : Jalao OÜ está establecido en un Estado miembro (Estonia), ninguna designación requerida.

Delegado de Protección de Datos (DPO) : Charlie Makaia, designado a título voluntario conforme al art. 37 RGPD (tratamiento a gran escala con monitoreo sistemático y screening AML). Correo canónico : dpo@jalao.app. Página pública : /legal/dpo.

2.1 Identidad del Comprador. Nombre, apellido, fecha de nacimiento, correo electrónico, teléfono, dirección de facturación.

2.2 Identidad del Beneficiario en Cuba. Nombre, dirección (calle, provincia, municipio), teléfono (si comunicado por el Comprador).

2.3 KYC reforzado (> 25 € o servicios vendedor/gestor). Documento de identidad, selfie biométrico dinámico con detección de vivacidad, comprobante de domicilio (factura < 3 meses). Verificación facial 1:1 operada por el subencargado Sumsub. Ver Sección 4bis para el régimen detallado de los datos biométricos (Art. 9 RGPD).

2.4 Datos financieros. Últimos 4 dígitos de la tarjeta bancaria (tokenizados por PSP europeo), IBAN Vendedor (almacenado por PSP europeo), dirección de cartera USDT TRON.

2.5 Fotos de entrega (datos sensibles art. 9 RGPD).

• Foto del Beneficiario (si consentimiento explícito).
• Foto del producto entregado in situ.
• Geolocalización GPS del Gestor al momento de la entrega.
• EXIF limpiados (sin reverse geocoding vía metadato residual).

2.6 Datos de navegación. Cookies estrictamente necesarias, cookies analíticos anonimizados (GA4 con anonymize_ip, sin cross-device tracking), logs técnicos (IP tronquada tras 30 días).

2.7 Comunicaciones. Mensajes de chat (cifrados at-rest vía pgcrypto), correos electrónicos de soporte.

• F1 Ejecución del contrato (art. 6.1.b RGPD) : creación de cuenta, procesamiento del pedido, entrega, soporte.
• F2 Obligaciones legales (art. 6.1.c RGPD) : KYC/AML (AMLD5), facturación, cribado OFAC (C.F.R. Part 515).
• F3 Intereses legítimos (art. 6.1.f RGPD) : prevención del fraude, mejora del servicio, seguridad, estadísticas agregadas.
• F4 Consentimiento (art. 6.1.a RGPD) : cookies analíticos, foto del Beneficiario, comunicaciones marketing opt-in.

Las fotos de entrega pueden, en raras ocasiones y con consentimiento explícito del Beneficiario, revelar datos sensibles.

4.1 Bases legales activadas.

• Art. 9.2.a RGPD : consentimiento explícito del Beneficiario.
• Art. 9.2.e RGPD : datos manifiestamente puestos a disposición por la persona.
• Art. 9.2.f RGPD : necesidad de constatación de la ejecución del contrato.

4.2 Derecho de oposición simple. El Beneficiario puede rechazar la foto sin consecuencias comerciales.

Esta sección cumple las obligaciones de información reforzada del Art. 13 RGPD aplicables a los datos del Art. 9 (categoría especial) y se enmarca en la DPIA-2026-001 (KYC biométrico).

4bis.1 Qué tratamos. Selfie / video selfie dinámico (anti-spoofing), comparación facial 1:1 con la foto del documento de identidad, score de matching biométrico (0-100). El template biométrico es calculado por el subencargado Sumsub y no se almacena en Jalao.

4bis.2 Lo que NO hacemos.

• NO comparamos contra una base 1:N (sin reconocimiento facial masivo).
• NO usamos la biometría para publicidad ni perfilado.
• NO cedemos los datos biométricos a terceros comerciales.
• NO permitimos el uso para entrenamiento de modelos ML/IA (cláusula contractual específica con Sumsub).

4bis.3 Bases legales (triple base). (i) Obligación legal Art. 6.1.c (AMLD5 Art. 13.1.a) ; (ii) Interés público sustancial Art. 9.2.g ; (iii) Consentimiento explícito Art. 9.2.a recogido antes de cada upload.

4bis.4 Derecho de rechazo. Puedes rechazar la verificación biométrica. En tal caso, conforme a la AMLD5, no podremos habilitar transacciones > 25 € ni servicios de vendedor/gestor en tu cuenta. Las transacciones < 25 € (Tier 0) no requieren biometría.

4bis.5 Subencargado Sumsub. Sum and Substance Ltd, Reino Unido + Chipre (UE). Marco de transferencia : Decisión de adecuación (UE) 2021/1772 (UK reconocido nivel equivalente). Garantías : DPA Art. 28 + ISO 27001 + SOC 2 Type II + cláusula anti-entrenamiento ML. Plazo : 5 años AMLD5.

4bis.6 Decisión automatizada. Un rechazo automático del KYC biométrico desencadena revisión humana sistemática (4-eye principle) por el equipo de cumplimiento Jalao, conforme a la mitigación R5 de la DPIA-2026-001 (riesgo discriminación algorítmica).

4bis.7 Tus derechos específicos. Acceso al verdict pass/fail y al score, rectificación (re-upload), supresión limitada por la obligación AMLD5 (5 años obligatorios). Contacto : dpo@jalao.app.

5.1 Gestores Cuba. Los datos del Beneficiario son transmitidos al Gestor en Cuba. Cuba no se beneficia de una decisión de adecuación (art. 45 RGPD). El marco jurídico se basa en las Cláusulas Contractuales Tipo (CCT) del módulo 3 de la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021.

5.2 Evaluación del impacto (TIA). TIA efectuada tras Schrems II. Mitigaciones :

• Cifrado at-rest (Hetzner Alemania).
• Transmisión minimalista al Gestor.
• Ausencia de almacenamiento persistente por el Gestor.

5.3 Distribuidores RD. CCT módulo 3 igualmente.

5.4 PSP europeo Encargado UE (Países Bajos), DPA art. 28.

5.5 TronGrid / Tether. Direcciones de cartera públicas transmitidas.

• Cuenta activa : duración de la relación contractual + 3 años.
• Cuenta inactiva : anonimización tras 3 años sin conexión.
• KYC (AMLD5) : 5 años (art. 40 AMLD5, prevalece sobre art. 17 RGPD vía exención 17.3.b).
• Facturas : 10 años (art. L. 123-22 Code de commerce).
• Fotos de entrega : 24 meses, después eliminación automatizada.
• Logs técnicos : 12 meses (IP 30 días).
• Cookies analíticos : 13 meses máximo.
• Consentimientos marketing : hasta retirada.

Conforme al Cap. III del RGPD (art. 15-22), usted dispone de los derechos siguientes, ejercibles en dpo@jalao.app :

• Acceso (art. 15).
• Rectificación (art. 16).
• Supresión (art. 17) con limitaciones AML : los datos KYC no pueden ser suprimidos antes de los 5 años.
• Limitación (art. 18).
• Portabilidad (art. 20) : formato JSON estructurado.
• Oposición (art. 21).
• Retirada del consentimiento en cualquier momento (sin efecto retroactivo).
• Recurso ante CNIL (Francia) o AKI (Estonia) (art. 77).

7.2 Tratamiento de solicitudes. Respuesta dentro del mes (art. 12.3), extensible de 2 meses si complejidad. Servicio gratuito.

• Interno Jalao : Charlie Makaia (DPO), equipo de soporte, principio de mínimo privilegio.
• Vendedores y Gestores : acceso limitado a los datos estrictamente necesarios para la entrega.
• Mollie B.V. (Países Bajos) : pasarela de pago EUR, escrow custodial delegado, supervisión DNB.
• TropiPay (España, Banco de España N° 6845) : rail de payout EUR vendedores vía Sub-cuenta TropiPay.
• Sumsub (Sum and Substance Ltd) (Reino Unido + Chipre) : KYC biométrico — adecuación UK 2021/1772 + DPA + cláusula anti-entrenamiento ML.
• MailerSend : emailing transaccional (DPA + SCC Módulo 2 cuando proceda).
• OpenSanctions (Alemania) : screening sanciones internacionales.
• Hetzner Online GmbH : alojamiento técnico, Alemania.
• Autoridades judiciales/fiscales : solo bajo requerimiento legal.
• Autoridades OFAC/OFSI : en caso de violación sospechada de sanciones.
• Nunca : datos vendidos o intercambiados con terceros comerciales.

• Estrictamente necesarias (sesión, CSRF, carrito) : sin consentimiento (art. 82 Loi Informatique et Libertés).
• Analíticos anonimizados (GA4 con anonymize_ip=true, allow_ad_personalization_signals=false, allow_google_signals=false) : consentimiento vía banner.
• Personalización (idioma, moneda) : consentimiento implícito revocable.

Ningún cookie publicitario, ningún cross-device tracking, ningún fingerprinting. Gestión fina vía /preferencias-cookies.

10.1 Cifrado. Todas las comunicaciones vía TLS 1.3 ; datos at-rest cifrados pgcrypto (mensajes, columnas KYC) ; copias de seguridad AES-256.

10.2 Autenticación. TOTP obligatoria para admin + roles sensibles. Hash Argon2id.

10.3 Cribado. OFAC SDN, Cuba Restricted List, OpenSanctions diariamente.

10.4 Auditorías. SOC-2 planificada 2027. Escaneos Trivy en CI/CD.

10.5 Incidentes. Notificación CNIL/AKI en < 72h (art. 33 RGPD), a las personas si riesgo elevado (art. 34).

Plataforma reservada a personas de más de 18 años. Ningún tratamiento de datos de menores de 16 años. Si un padre/tutor descubre que un menor ha creado una cuenta, puede solicitar su eliminación inmediata.

Toda modificación material será notificada por correo electrónico con 30 días de anticipación. Versión histórica accesible y time-stamped vía OpenTimestamps (OTS).

Francia : CNIL — 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 — cnil.fr/plaintes

Estonia : Andmekaitse Inspektsioon (AKI) — Tatari 39 — 10134 Tallinn — aki.ee/en