POLÍTICA DE PRIVACIDAD — InboMarket
Última actualización: [FECHA_LAUNCH] Versión: 1.0
InboMarket (operado por Idecus S.R.L., RNC [PENDIENTE], en adelante "InboMarket" o "nosotros") respeta su privacidad y se compromete a proteger sus Datos Personales conforme a las normativas aplicables en cada jurisdicción donde opere.
Esta Política explica qué información recolectamos, por qué, cómo la usamos, con quién la compartimos, cómo la protegemos, y qué derechos tiene usted sobre ella.
1. Aplicación de esta Política
Esta Política aplica al tratamiento de Datos Personales realizado por InboMarket en su rol de:
- Responsable del Tratamiento (Controller) respecto de Tenants, Usuarios Internos del Tenant, Compradores con cuenta voluntaria, Visitantes.
- Encargado del Tratamiento (Processor) respecto de datos de Compradores que el Tenant procesa usando la Plataforma (ej. leads del CRM, contactos de campañas). Este tratamiento se rige adicionalmente por el
DPA_v1.md.
1.1 Marco regulatorio primario RD
- Constitución de la República Dominicana, Art. 44.2 — derecho fundamental a la autodeterminación informativa y habeas data
- Sentencias Tribunal Constitucional TC/0296/24 y TC/0700/25 — reafirmación del derecho fundamental
- Ley 172-13 (13 diciembre 2013) — Protección Integral de Datos Personales
- Autoridad designada: Superintendencia de Bancos (con competencia limitada a Sociedades de Información Crediticia y supervisión general en el ámbito financiero)
ℹ️ Nota institucional: A diferencia de jurisdicciones con autoridades autónomas especializadas (INAI México, AEPD España, ANPD Brasil), República Dominicana mantiene supervisión limitada vía Superintendencia de Bancos bajo la arquitectura institucional de Ley 172-13. InboMarket adopta proactivamente estándares GDPR / CCPA como salvaguarda superior aplicada a TODOS los Tenants y Compradores, independientemente de la jurisdicción del Tenant.
2. Datos que Recolectamos
2.1 Datos de Tenants y Usuarios Internos
- Identificación: nombre completo, RNC/cédula, dirección, teléfono, correo
- Credenciales: usuario, hash de contraseña, MFA tokens
- Datos profesionales: cargo, licencia inmobiliaria, certificaciones
- Datos de facturación: razón social, dirección fiscal, NCF/e-CF, método de pago (token, NUNCA PAN completo)
- Datos de uso: logs de actividad, IP, navegador, dispositivo, geolocalización aproximada
- Comunicaciones: tickets de soporte, chats internos
2.2 Datos de Compradores
Capturados por la plataforma para uso del Tenant (rol Encargado):
- Nombre, correo, teléfono ingresados en formularios de contacto
- Historial de interacción con listings del Tenant
- Preferencias declaradas (tipo de propiedad, zona, presupuesto)
- Mensajes intercambiados con el Tenant
Capturados por InboMarket en perfil voluntario del Comprador (rol Responsable):
- Email + nombre + opcional teléfono
- Favoritos, búsquedas guardadas, alertas
- Preferencias publicitarias
2.3 Datos de Visitantes
- Cookies y tecnologías similares (ver
COOKIE_POLICY_v1.md) - Datos de navegación: páginas vistas, tiempo, referer, IP truncada
- Datos de dispositivo: tipo, sistema operativo, idioma
2.4 Datos Sensibles
InboMarket NO solicita ni procesa datos sensibles (origen racial, salud, biometría, orientación sexual, religión, opiniones políticas). Si el Tenant los ingresa indebidamente, debe eliminarlos. InboMarket podrá retirarlos.
2.5 Datos de Menores
La Plataforma NO está dirigida a menores de 18 años. No recolectamos conscientemente datos de menores. Si detectamos datos de menores, los eliminamos.
3. Naturaleza de la cuenta del Comprador — Modelo C Híbrido (vigente 2026-06-07)
3.1 Cuenta única global con vinculación explícita por Tenant
Su cuenta como Comprador (Buyer) en InboMarket es única, global y portátil. Esto significa:
- Se registra una sola vez con Idecus S.R.L. operando InboMarket
- Puede contactar a cualquier Tenant (broker, agencia, administradora) de la red InboMarket sin necesidad de crear nuevas cuentas
- Cuando contacta a un Tenant específico — sea desde su sitio público (ej.
watleyrealestate.com) o desde el Marketplace InboMarket — se establece automáticamente una vinculación explícita entre su cuenta y ese Tenant
3.2 Roles de tratamiento según el dato
| Categoría de datos | Responsable | Encargado |
|---|---|---|
| Email, password, nombre, preferencias globales (idioma, moneda) | InboMarket | — |
| Interacciones específicas con un Tenant (mensajes, leads, conversaciones, propiedades vistas en su sitio) | El Tenant correspondiente (Co-Responsable) | InboMarket procesa por cuenta del Tenant |
| Histórico cross-Tenant del Comprador | InboMarket exclusivamente | — |
| Consentimientos de marketing específicos por Tenant | El Tenant | InboMarket almacena por cuenta del Tenant |
3.3 Aislamiento entre Tenants (Privacy by Design)
Por defecto técnico:
- Un Tenant NO puede ver Compradores que no hayan establecido vinculación explícita con él
- Un Tenant NO puede ver qué otros Tenants tienen vinculación con un mismo Comprador
- Los datos de su histórico con cada Tenant están aislados en sus respectivos workspaces
3.4 Su derecho a controlar las vinculaciones
A través de la página "Mis agencias" en su panel de cuenta, usted puede:
- Ver qué Tenants tienen vinculación activa con su cuenta
- Revocar consentimiento de marketing por Tenant individualmente
- Bloquear un Tenant específico (deja de recibir comunicaciones de él)
- Solicitar eliminación de su histórico con un Tenant específico
3.5 Si un Tenant termina su relación con InboMarket
- El Tenant puede exportar su lista de leads + interacciones con usted (data portability del Responsable Tenant)
- El Tenant NO obtiene su password, sesión ni preferencias globales — estos siguen siendo de InboMarket como Responsable de su cuenta única
- Su cuenta InboMarket sigue funcionando normalmente; la vinculación con ese Tenant se marca como
tenant_offboarded - Usted recibe notificación cuando esto ocurre
3.6 Consentimientos otorgados en sitios de Tenant
Cuando se registra desde el sitio web de un Tenant (ej. al contactar a Watley Real Estate), se le solicitan tres consentimientos jurídicamente separados:
- ☑ Aceptación T&C + Política de Privacidad InboMarket (obligatorio — base contractual)
- ☑ Procesamiento de datos por el Tenant para atender este contacto específico (obligatorio para enviar lead — base contractual Tenant)
- ☐ Recepción de comunicaciones comerciales del Tenant (opcional — consentimiento opt-in revocable)
Los tres se registran con timestamp, IP de origen, versión del documento aceptado y constituyen evidencia auditada (Ley 172-13 Art. 13 + GDPR Art. 7).
4. Bases Legales del Tratamiento
| Dato | Base legal (Ley 172-13) | Base legal (GDPR Art. 6) |
|---|---|---|
| Registro de cuenta | Ejecución de contrato | Art. 6.1.b — Contrato |
| Facturación | Obligación legal (fiscal) + contrato | Art. 6.1.b + 6.1.c |
| Soporte | Ejecución de contrato | Art. 6.1.b |
| Marketing propio (Tenant) | Consentimiento revocable | Art. 6.1.a — Consent |
| Cookies analíticas | Consentimiento (banner) | Art. 6.1.a + ePrivacy |
| Cookies estrictamente necesarias | Interés legítimo | Art. 6.1.f |
| Prevención de fraude | Interés legítimo | Art. 6.1.f |
| Cumplimiento normativo | Obligación legal | Art. 6.1.c |
| Defensa de reclamos | Interés legítimo | Art. 6.1.f |
4. Finalidades del Tratamiento
4.1 Operativas: prestar el servicio SaaS, gestionar suscripciones, autenticación, dashboard, mensajería, IA asistencial, generación de reportes, e-CF.
4.2 Comerciales (propias): facturación, cobranza, soporte técnico, comunicaciones transaccionales.
4.3 Marketing (consentimiento): newsletter, lanzamientos de features, ofertas de planes superiores. Siempre con opt-out claro.
4.4 Seguridad: detección de fraude, prevención de abusos, investigación de incidentes, monitoreo de integridad.
4.5 Cumplimiento: respuesta a requerimientos de autoridades, declaraciones fiscales, conservación de logs por plazos legales.
4.6 Mejora de producto: analítica agregada y anonimizada para mejorar UX y features.
4.7 NO HACEMOS: venta de Datos Personales a terceros, perfilado con efectos jurídicos automatizados sin intervención humana, comunicaciones comerciales sin consentimiento.
5. Compartición de Datos
5.1 No vendemos sus datos
Bajo CCPA/CPRA, InboMarket NO vende ni comparte Datos Personales con terceros para publicidad cross-context behavioral.
5.2 Subprocesadores
Compartimos datos con proveedores que actúan como Subencargados, sujetos a contratos con cláusulas de protección equivalentes:
| Proveedor | Finalidad | Datos | Ubicación |
|---|---|---|---|
| AWS / GCP | Hosting infraestructura | Todos | USA + Frankfurt (réplica) |
| Stripe / Azul / BHD / CardNet | Procesamiento de pago | Identificación + facturación | RD + USA |
| Sendgrid / Postmark | Envío correos transaccionales | Email + nombre | USA |
| Twilio | SMS / WhatsApp | Teléfono + nombre | USA |
| OpenAI / Anthropic (vía capa proxy) | IA asistencial (sin PII) | Texto despersonalizado | USA |
| Sentry | Monitoreo errores | Logs (sin PII) | USA |
| Cloudflare | CDN + WAF | IP + headers | Global |
| DGII / Alanube | e-CF Tx2 | Datos fiscales obligatorios | RD |
| Google Analytics 4 / Plausible | Analítica (consentimiento) | Datos anonimizados | USA |
Lista actualizada en inbomarket.com/legal/subprocesadores.
5.3 Tenants
El Tenant accede a datos de Compradores que interactúan con sus listings, bajo su rol de Co-Responsable. El Tenant asume obligaciones independientes bajo Ley 172-13 / GDPR / CCPA respecto de esos datos.
5.4 Autoridades
Compartimos datos ante requerimiento judicial, administrativo o regulatorio fundado y obligatorio, en la mínima medida necesaria.
5.5 Transferencias internacionales
- Hacia USA: cláusulas contractuales estándar (SCC) UE-USA cuando aplique GDPR. Bajo CCPA opera localmente.
- Hacia LATAM: contratos de transferencia internacional conforme Art. 80 Ley 172-13 RD.
- Notificación: lista de países en
inbomarket.com/legal/transferencias.
6. Conservación de Datos
| Categoría | Plazo | Fundamento |
|---|---|---|
| Cuenta activa | Durante vigencia del contrato | Ejecución de contrato |
| Post-cancelación período GRACE | 30 días | Exportación voluntaria |
| Datos contables/fiscales | Plazo aplicable según Código Tributario RD (Ley 11-92) + Norma General DGII vigente | Obligación fiscal — verificar artículo específico con asesoría contable |
| Logs de seguridad | 12 meses | Interés legítimo |
| Logs de auditoría operaciones críticas | 5 años | Obligación legal / interés legítimo |
| Comunicaciones marketing | Hasta revocación consentimiento + 6 meses | Consentimiento |
| Datos de Compradores en perfil propio | Hasta solicitud de eliminación | Consentimiento |
| Cookies no esenciales | Máximo 13 meses (CNIL standard) | ePrivacy |
Tras los plazos, los datos se eliminan o anonimizan irreversiblemente salvo conservación legal obligatoria.
7. Sus Derechos
7.1 Derechos bajo Ley 172-13 RD
- Acceso (Art. 27)
- Rectificación (Art. 28)
- Cancelación/Supresión (Art. 29)
- Oposición (Art. 30)
7.2 Derechos bajo GDPR
- Acceso (Art. 15), Rectificación (Art. 16), Supresión / "Derecho al Olvido" (Art. 17)
- Limitación del tratamiento (Art. 18)
- Portabilidad (Art. 20)
- Oposición, incluyendo decisiones automatizadas (Art. 21-22)
- Retirar consentimiento en cualquier momento
7.3 Derechos bajo CCPA/CPRA
- Conocer qué datos se recolectan, usan, comparten o venden
- Acceder, corregir, eliminar
- Opt-out de venta/sharing (banner "Do Not Sell or Share My Personal Information") — InboMarket no vende
- Limitar uso de información sensible
- No discriminación por ejercer derechos
7.4 Cómo ejercer sus derechos
- Portal del usuario: dashboard → Mi Cuenta → Privacidad
- Correo:
privacidad@inbomarket.com - Carta: domicilio de Idecus S.R.L.
Plazo de respuesta: 15 días hábiles (Ley 172-13) / 30 días (GDPR) / 45 días (CCPA, extensible 45 días adicionales).
Si su solicitud es denegada, podrá presentar reclamo ante:
- RD: Superintendencia de Bancos (SB) — autoridad supervisora bajo Ley 172-13 con competencia limitada. Adicionalmente, puede invocar acción constitucional de habeas data ante tribunales ordinarios o el Tribunal Constitucional con base en Constitución Art. 44.2.
- RD (temas consumidor): Instituto Nacional de Protección de los Derechos del Consumidor (Pro-Consumidor) — Ley 358-05, para reclamos vinculados a relación de consumo.
- UE: Autoridad de Control del Estado miembro (CNIL Francia, AEPD España, BfDI Alemania, etc.)
- California: California Privacy Protection Agency (CPPA) / California Attorney General
8. Decisiones Automatizadas e IA
8.1 InboMarket usa IA para:
- Scoring de leads (recomendación al Tenant — no decide automáticamente)
- Sugerencia de precios (estimación informativa — no obligatoria)
- Asistente conversacional para Tenants y Buyers (con disclaimer "no es asesoría")
- Moderación automática de contenido (con revisión humana en casos críticos)
8.2 No tomamos decisiones automatizadas con efectos jurídicos significativos sin intervención humana. Las salidas de IA son herramientas asistivas para decisiones tomadas por humanos.
8.3 Los Compradores tienen derecho a solicitar revisión humana de cualquier resultado automatizado que les afecte.
8.4 La interacción con IA se realiza a través de una capa proxy que despersonaliza la información antes de enviarla a proveedores externos (Issue #715), conforme Art. 24 Ley 172-13.
9. Seguridad
Mantenemos medidas técnicas y organizativas razonables:
- Cifrado en tránsito (TLS 1.2+)
- Cifrado en reposo de bases de datos (AES-256)
- MFA obligatorio para roles administrativos
- Aislamiento multi-tenant por workspace + Row-Level Security
- Logs de auditoría inmutables
- Pruebas de penetración anuales (V1.1+)
- Política de respuesta a incidentes (
SECURITY_INCIDENT_RESPONSE_PLAN_v1.md) - Capacitación al personal
Sin embargo, ningún sistema es perfectamente seguro. En caso de brecha que comprometa Datos Personales:
- Notificación a INDOTEL (RD) dentro de plazos aplicables
- Notificación a Autoridad de Control UE en ≤72h (GDPR Art. 33)
- Notificación a usuarios afectados según gravedad y normativa aplicable
10. Cookies y Tecnologías Similares
Ver Política de Cookies separada (COOKIE_POLICY_v1.md).
Banner de consentimiento granular con opciones: necesarias (siempre), funcionales, analíticas, marketing.
11. Privacidad Infantil
Servicio para mayores de 18. No recolectamos datos de menores de 13 (COPPA) ni 16 (algunas jurisdicciones GDPR). Si detectamos: eliminación + notificación al padre/tutor.
12. Cambios a esta Política
12.1 Actualizaciones publicadas en inbomarket.com/legal/privacidad con fecha de versión.
12.2 Cambios materiales notificados con ≥30 días de antelación por correo y banner.
12.3 Uso continuado tras vigencia = aceptación.
13. Datos de Contacto Privacidad / DPO
| Rol | Contacto |
|---|---|
| Privacidad general | privacidad@inbomarket.com |
| DPO designado | dpo@inbomarket.com (V1.1: nombre PENDIENTE) |
| Representante UE (cuando aplique) | [PENDIENTE — designar Art. 27 GDPR si UE >1K usuarios] |
| Representante UK (cuando aplique) | [PENDIENTE — designar UK GDPR] |
Domicilio postal: [DIRECCIÓN_IDECUS_SRL], Santo Domingo, República Dominicana.
⚠️ Avisos para revisión legal
Este documento es TEMPLATE EJECUTIVO preparado por ATHENA.
Antes de su publicación se requiere revisión y firma de:
- DPO o Data Protection Officer designado por Idecus
- Abogado especialista en Ley 172-13 RD
- Abogado privacy USA (CCPA/CPRA + State AG)
- Si UE: abogado GDPR + designación Art. 27 representante
Puntos pendientes:
- Designar DPO formalmente (recomendado V1 launch)
- Designar representante UE Art. 27 GDPR si se ofrece servicio a >1K residentes UE
- Validar lista de subprocesadores actualizada (revisar trimestralmente)
- Decidir si publicar Política Cookies completa o resumen + link
- Definir nombre formal y RNC de Idecus
- Validar plazos de conservación contra Código Tributario RD y normativa contable
- Si se atenderá Brasil >5K usuarios: agregar Encarregado LGPD
- Validar versión inglés para mercado USA