Ícono del sitio GRUPO LAZO ARCE

POLITICA Y CONDICIONES DE USO DE DATOS

Política y Condiciones de Uso de Datos – Grupo Lazo Arce y Nexus

Política y Condiciones de Uso de Datos

GRUPO LAZO ARCE Y NEXUS

Fecha de vigencia: 15 de octubre de 2023

Bienvenido a Grupo Lazo Arce y Nexus. Esta Política de Privacidad y Condiciones de Uso de Datos (en adelante, “la Política”) es un documento integral que detalla nuestras prácticas en materia de protección de datos personales. Como empresa dedicada a servicios financieros innovadores, incluyendo la apertura de cuentas Nexus, nos guiamos por principios de transparencia, integridad y responsabilidad. Esta Política se aplica a todas las interacciones con nuestros sitios web, aplicaciones, formularios en línea y servicios relacionados, como el proceso de solicitud de apertura de cuenta.

Al proporcionar sus datos personales a través de nuestro formulario de apertura de cuenta o cualquier otro medio, usted manifiesta su aceptación explícita de esta Política. Si tiene alguna duda o no está de acuerdo con sus términos, le recomendamos no continuar con el uso de nuestros servicios. Nos reservamos el derecho de actualizar esta Política periódicamente, y le notificaremos de cambios significativos mediante email o publicación en nuestro sitio web www.lazoarce.com.

Esta Política está alineada con la legislación salvadoreña, incluyendo la Ley de Protección de Datos Personales (Decreto Legislativo No. 15 de 2017) y regulaciones de la Superintendencia del Sistema Financiero (SSF), así como estándares internacionales como el Reglamento General de Protección de Datos (GDPR) para transferencias transfronterizas.

1. Definiciones Clave

Para una mejor comprensión de esta Política, definimos los siguientes términos:

  • Datos Personales: Cualquier información que identifique o pueda identificar a una persona física, como nombre, DUI, email o dirección.
  • Datos Sensibles: Información que revela aspectos como origen racial, opiniones políticas, creencias religiosas, datos de salud o biométricos. En nuestro caso, no recolectamos datos sensibles a menos que sea estrictamente necesario y con consentimiento explícito.
  • Procesamiento: Cualquier operación realizada sobre datos personales, incluyendo recolección, almacenamiento, uso, divulgación o eliminación.
  • Titular de los Datos: Usted, como individuo que proporciona sus datos a la Empresa.
  • Encargado del Tratamiento: Terceros que procesan datos en nuestro nombre, bajo estrictos contratos de confidencialidad.

Estas definiciones se basan en la normativa legal aplicable y ayudan a contextualizar el resto del documento.

2. Información que Recolectamos

En Grupo Lazo Arce y Nexus, recolectamos datos de manera limitada y proporcional a los fines legítimos de nuestros servicios. La recolección ocurre principalmente a través de formularios en línea, como el de apertura de cuenta Nexus, y se realiza con su consentimiento informado. Detallamos los tipos de datos:

2.1 Datos Proporcionados Directamente por Usted

  • Datos de Identificación Personal: Nombre completo y apellido, número de Documento Único de Identidad (DUI), número de celular y dirección de correo electrónico. Estos son esenciales para verificar su identidad y comunicarnos con usted.
  • Datos de Contacto y Residencia: Dirección completa de vivienda y dirección de la empresa o negocio donde labora o opera. Esto nos permite confirmar su domicilio y evaluar riesgos geográficos en servicios financieros.
  • Datos Financieros y Laborales: Ingresos mensuales en dólares estadounidenses (USD), nombre del empleador o negocio propio. Esta información es crucial para evaluar su capacidad crediticia y cumplir con regulaciones anti-lavado de dinero.
  • Documentos Adjuntos: Archivos digitales como: (1) Documento de identidad (DUI o pasaporte), (2) Comprobante de ingresos (nóminas, declaraciones de impuestos o extractos bancarios de los últimos 3 meses), y (3) Comprobante de domicilio (facturas de servicios públicos, contratos de arrendamiento o certificados municipales no mayores a 3 meses). Aceptamos formatos como PDF, JPG, JPEG y PNG, con un tamaño máximo de 5MB por archivo para garantizar eficiencia.

2.2 Datos Recolectados Automáticamente

Cuando accede a nuestro sitio web o formularios, podemos recolectar datos técnicos de forma automática mediante cookies o logs del servidor:

  • Dirección IP, tipo de dispositivo, navegador y sistema operativo.
  • Fecha y hora de acceso, páginas visitadas y duración de la sesión.
  • Datos de geolocalización aproximada (ciudad o región, no ubicación precisa).

Estos datos se usan para mejorar la seguridad, analizar el tráfico del sitio y prevenir fraudes, sin vincularlos directamente a su identidad personal a menos que sea necesario.

2.3 Datos de Terceros

Ocasionalmente, obtenemos datos de fuentes externas confiables, como bureaus de crédito (ej. Equifax o locales en El Salvador) o verificadores de identidad, solo con su consentimiento y para fines de validación durante la apertura de cuenta.

Nota Importante: No recolectamos datos biométricos, información genética, afiliaciones sindicales u otros datos sensibles sin una base legal específica y su consentimiento por escrito. Si en el futuro expandimos servicios (ej. verificación facial), actualizaremos esta sección.

3. Cómo Usamos su Información

El procesamiento de sus datos se realiza de manera lícita, leal y transparente, siempre con una base legal válida. Utilizamos la información para operar y mejorar nuestros servicios financieros, asegurando que cada uso sea necesario y proporcional.

3.1 Propósitos Principales

  • Procesamiento de Solicitudes: Revisar y aprobar solicitudes de apertura de cuentas Nexus, incluyendo verificación de identidad mediante comparación de DUI y documentos adjuntos con bases de datos gubernamentales (ej. Registro Nacional de las Personas Naturales – RENAP).
  • Evaluación Financiera: Analizar sus ingresos mensuales y comprobantes para determinar elegibilidad, límites de cuenta o ofertas personalizadas, cumpliendo con normativas de la SSF sobre inclusión financiera.
  • Comunicación y Soporte: Enviarle confirmaciones por email o SMS (usando su número de celular), actualizaciones sobre el estado de su solicitud, recordatorios de documentos faltantes o notificaciones de aprobación/rechazo. Por ejemplo, si su solicitud requiere más información, le contactaremos en un plazo de 48 horas.
  • Cumplimiento Legal y Regulatorio: Reportar datos a autoridades como la Unidad de Investigación Financiera (UIF) para prevención de lavado de activos, financiamiento del terrorismo o evasión fiscal. Esto incluye retención de registros por hasta 10 años según la Ley contra el Lavado de Activos.
  • Mejora de Servicios: Realizar análisis agregados y anónimos de tendencias (ej. promedio de ingresos por región) para optimizar productos Nexus, sin identificar individuos.

3.2 Base Legal para el Procesamiento

Nuestras bases legales incluyen:

  • Consentimiento: Para envíos de marketing opcional o procesamiento no esencial.
  • Ejecución de un Contrato: Para procesar su solicitud de cuenta Nexus.
  • Obligación Legal: Cumplimiento de leyes salvadoreñas y regulaciones financieras.
  • Interés Legítimo: Mejora de seguridad y prevención de fraudes, siempre equilibrado con sus derechos.

No procesamos datos para fines incompatibles sin notificación previa.

Ejemplo Práctico: Si adjunta un comprobante de ingresos, lo usamos solo para validar su DUI y no lo compartimos con terceros sin necesidad. Una vez aprobada la cuenta, el documento se archiva de forma segura por 5 años.

4. Compartir su Información

La confidencialidad es un pilar de nuestra operación. No vendemos, alquilamos ni comercializamos sus datos personales bajo ninguna circunstancia. Solo compartimos información cuando es estrictamente necesario y con protecciones adecuadas.

4.1 Compartir con Terceros

  • Proveedores de Servicios: Colaboramos con encargados confiables como procesadores de pagos (ej. Stripe o bancos locales), servicios de verificación de identidad (ej. Jumio o Onfido) y plataformas de almacenamiento en la nube (ej. AWS con encriptación). Estos terceros firman Acuerdos de Procesamiento de Datos (DPA) que les obligan a usar sus datos solo para fines específicos y eliminarlos al finalizar el servicio.
  • Entidades Afiliadas: Dentro del Grupo Lazo Arce, compartimos datos con subsidiarias Nexus para coordinación operativa, siempre bajo políticas internas unificadas.
  • Autoridades y Reguladores: Divulgamos datos si lo exige la ley, como solicitudes de la SSF, Fiscalía General de la República o tribunales. Por ejemplo, en investigaciones de fraude, proporcionamos DUI y comprobantes solo con orden judicial.
  • Transferencias en Casos Corporativos: En eventos como fusiones, adquisiciones o quiebras, sus datos podrían transferirse a un nuevo propietario, con notificación por email y oportunidad de optar por no participar.

4.2 Transferencias Internacionales

Si procesamos datos fuera de El Salvador (ej. servidores en EE.UU. o Europa), garantizamos protecciones equivalentes mediante cláusulas contractuales estándar (SCC) aprobadas por la Agencia de Protección de Datos. No transferimos a países sin adecuación legal sin salvaguardas adicionales.

En todos los casos, los receptores están sujetos a las mismas obligaciones de confidencialidad que nosotros.

5. Seguridad de los Datos

La seguridad es nuestra prioridad máxima. Implementamos un marco integral de protección basado en estándares ISO 27001 y regulaciones financieras salvadoreñas para salvaguardar sus datos contra riesgos como brechas, robos o accesos no autorizados.

5.1 Medidas Técnicas

  • Encriptación: Todos los datos en tránsito se encriptan con TLS 1.3 (HTTPS), y en reposo con AES-256. Por ejemplo, documentos adjuntos se almacenan encriptados en servidores seguros.
  • Controles de Acceso: Autenticación multifactor (MFA) para empleados, roles basados en permisos (RBAC) y auditorías automáticas de accesos. Solo personal autorizado (ej. equipo de cumplimiento) accede a datos sensibles.
  • Monitoreo y Detección: Herramientas de firewall, detección de intrusiones (IDS) y escaneo de vulnerabilidades regulares. Usamos IA para identificar patrones de fraude en tiempo real.
  • Respaldo y Recuperación: Copias de seguridad encriptadas y planes de contingencia para desastres, asegurando disponibilidad y integridad de datos.

5.2 Medidas Organizativas

  • Entrenamiento anual a empleados sobre protección de datos y phishing.
  • Evaluaciones de impacto en la privacidad (DPIA) para nuevos procesos, como el formulario de cuenta Nexus.
  • Políticas internas de retención y eliminación segura (ej. borrado irreversible con herramientas como shred).

5.3 Respuesta a Incidentes

En caso de una brecha de datos, notificaremos a las autoridades en 72 horas y a los afectados en 30 días, según la ley. Por ejemplo, si un documento adjunto se ve comprometido, le informaremos inmediatamente y ofreceremos asistencia gratuita (ej. monitoreo de crédito).

A pesar de estas medidas, reconocemos que ninguna sistema es infalible. Le instamos a proteger sus credenciales y reportar cualquier sospecha de actividad inusual a support@lazoarce.com.

6. Sus Derechos sobre los Datos

Como titular de los datos, usted posee derechos fundamentales reconocidos por la Ley de Protección de Datos Personales de El Salvador. Estos derechos le permiten mantener control sobre su información personal.

6.1 Derechos Específicos

  1. Derecho de Acceso: Solicite una copia gratuita de sus datos personales procesados por nosotros, incluyendo categorías, fines y receptores. Responderemos en 30 días.
  2. Derecho de Rectificación: Corrija datos inexactos o incompletos, como actualizar su dirección de vivienda. Procesaremos la solicitud en 15 días.
  3. Derecho de Eliminación (“Derecho al Olvido”): Pida la borradura de datos cuando no sean necesarios, haya retirado consentimiento o se base en procesamiento ilegal. Excepciones incluyen obligaciones legales (ej. retención de DUI por 5 años).
  4. Derecho de Restricción: Limite el procesamiento temporalmente, por ejemplo, durante una disputa sobre la exactitud de sus ingresos.
  5. Derecho de Oposición: Oponiéndose a procesamiento basado en interés legítimo, como análisis de marketing. Honraremos objeciones salvo razones imperativas.
  6. Derecho a la Portabilidad: Reciba sus datos en formato estructurado (ej. JSON o CSV) para transferirlos a otro proveedor.
  7. Derecho a Retirar Consentimiento: En cualquier momento, sin afectar procesamientos previos. Para retirar, envíe email a support@lazoarce.com.

6.2 Cómo Ejercer sus Derechos