Documentación legal
Política de Privacidad
Suba · Última actualización: Marzo 2026 · Aplicable a todos los usuarios.
2.1 Responsable del Tratamiento de Datos
Suba (en adelante «el Responsable» o «nosotros») es el responsable del tratamiento de los datos personales recopilados a través de la aplicación Android, el panel web y los servicios asociados. Para consultas sobre privacidad: [email protected].
Suba trata sus datos personales con la máxima diligencia y conforme a la Ley N.° 29733 (Ley de Protección de Datos Personales del Perú) y su Reglamento, así como las mejores prácticas internacionales en materia de privacidad, incluyendo los principios del GDPR europeo en lo aplicable.
2.2 Datos que Recopilamos
2.2.1 Datos de cuenta (proporcionados por el Usuario)
- Nombre completo y dirección de correo electrónico.
- Hash de contraseña (nunca la contraseña en texto plano).
- Clave pública RSA (parte pública del par de claves E2EE, si se activa).
- Información del negocio: nombre, RUC o número de identificación fiscal, dirección, logo.
- Avatar o foto de perfil (opcional).
2.2.2 Datos de uso y telemetría técnica
- Métricas técnicas de uso: número de solicitudes HTTP, duración de respuesta, códigos de error (sin datos de negocio del Usuario).
- Logs de acceso: dirección IP de origen, user-agent del navegador o dispositivo, timestamps (para seguridad y auditoría).
- Estado de la suscripción y plan activo.
- Tokens de dispositivo para notificaciones push (Firebase Cloud Messaging).
2.2.3 Datos que el servidor NUNCA ve (protección E2EE)
Cuando el Usuario activa el cifrado E2EE, los siguientes datos son técnicamente inaccesibles para Suba y para cualquier tercero:
- Contraseña del Usuario (se usa únicamente para derivar la clave E2EE localmente).
- Clave privada RSA del Usuario (se transmite y almacena exclusivamente cifrada).
- Frase semilla o llave maestra E2EE.
- Datos de productos, ventas, clientes y cualquier otro dato protegido con E2EE por el Usuario.
2.2.4 Datos de terceros procesadores
- Tokens de compra de Google Play Billing (únicamente para verificar y gestionar suscripciones).
- Suba NO comparte datos con terceros con fines publicitarios, de marketing de terceros ni de perfilamiento comercial.
2.3 Base Legal del Tratamiento
| Finalidad del tratamiento | Base legal |
|---|---|
| Prestación del servicio contratado | Ejecución del contrato (ToS) |
| Verificación de identidad y gestión de sesiones | Ejecución del contrato / Interés legítimo |
| Envío de notificaciones transaccionales | Ejecución del contrato / Consentimiento |
| Detección y prevención de fraude | Obligación legal / Interés legítimo |
| Mejora del servicio mediante métricas anónimas | Interés legítimo |
| Cumplimiento de obligaciones legales | Obligación legal |
| Cobro y facturación de suscripciones | Ejecución del contrato |
2.4 Finalidad del Tratamiento
Los datos personales del Usuario se utilizan exclusivamente para:
- Prestar, mantener y mejorar el servicio contratado.
- Verificar la identidad del Usuario y gestionar sesiones seguras.
- Enviar notificaciones transaccionales: recordatorios de pago, alertas de stock bajo, avisos de suscripción, notificaciones de seguridad.
- Detectar y prevenir actividad fraudulenta, abuso del servicio y accesos no autorizados.
- Mejorar el servicio mediante análisis de métricas técnicas agregadas y anónimas.
- Cumplir con obligaciones legales, regulatorias o requerimientos de autoridades competentes.
- Gestionar la relación contractual, facturación y cobro de suscripciones.
Suba NO utiliza los datos del Usuario para publicidad dirigida, venta de datos a terceros, perfilamiento con fines comerciales ajenos al servicio, ni para ninguna finalidad no contemplada en esta Política.
2.5 Retención de Datos
| Tipo de dato | Período de retención | Motivo |
|---|---|---|
| Datos de cuenta activa | Mientras la cuenta esté activa | Prestación del servicio |
| Datos tras cancelación de cuenta | 30 días para exportación | Portabilidad del Usuario |
| Logs de auditoría (plan Premium) | 12 meses desde su generación | Seguridad / trazabilidad |
| Logs de acceso y seguridad | 90 días | Seguridad y obligación legal |
| Métricas de Prometheus | 15 días (ventana configurada) | Monitoreo de rendimiento |
| Tokens de dispositivo inactivos | 90 días sin uso activo | Optimización de recursos |
| Logs de auditoría de seguridad (eliminación) | 90 días adicionales post-eliminación | Obligación legal |
| Datos E2EE cifrados | Inaccesibles para Suba en todo momento | Zero-knowledge |
Pasados los períodos de retención indicados, los datos se eliminan de forma permanente e irrecuperable. El Usuario debe exportar sus datos antes de la expiración de dichos períodos. Suba no podrá recuperar datos eliminados por expiración de retención, independientemente de la causa que invoque el Usuario.
2.6 Derechos del Usuario sobre sus Datos
Conforme a la Ley N.° 29733 y demás normativa aplicable, el Usuario tiene derecho a:
Acceso
Solicitar una copia de los datos personales que Suba trata sobre su persona.
Rectificación
Corregir datos inexactos, incompletos o desactualizados.
Supresión (derecho al olvido)
Solicitar la eliminación de su cuenta y datos personales, sujeto a los períodos de retención obligatoria.
Portabilidad
Exportar todos sus datos operativos en formato CSV o JSON (ver condiciones por plan).
Oposición
Oponerse a determinados tratamientos cuando la base legal sea el interés legítimo.
Limitación del tratamiento
Solicitar la restricción del tratamiento en determinadas circunstancias.
Para ejercer cualquiera de estos derechos, el Usuario debe enviar una solicitud motivada a [email protected], adjuntando identificación suficiente. Suba responderá en un plazo máximo de 30 días hábiles. Si la solicitud requiere verificación adicional de identidad, este plazo podrá extenderse justificadamente.
El ejercicio del derecho de supresión no implica la eliminación de los datos retenidos por obligación legal (logs de seguridad, registros de auditoría durante el período obligatorio). El Usuario es informado de esta limitación al solicitar la eliminación de su cuenta.
2.7 Seguridad de los Datos
Suba implementa las siguientes medidas técnicas y organizativas para proteger los datos personales:
- Comunicaciones cifradas con TLS 1.3 en tránsito entre el dispositivo del Usuario y los servidores de Suba.
- Base de datos MongoDB con autenticación robusta y cifrado en reposo.
- Redis con autenticación y acceso restringido por red privada.
- Cabeceras de seguridad HTTP (Helmet: CSP, HSTS, X-Frame-Options, etc.).
- Rate limiting en todos los endpoints sensibles para prevenir ataques de fuerza bruta.
- Registro de auditoría de accesos con IP y user-agent para detección de anomalías.
- Principio de mínimo privilegio: el personal de Suba accede únicamente a los datos necesarios para sus funciones.
- Cifrado E2EE opcional con RSA-4096, AES-256-GCM y derivación de clave Argon2id.
Ningún sistema de seguridad es infalible. Suba no garantiza que sus medidas de seguridad sean absolutamente invulnerables. En caso de incidente de seguridad que afecte datos personales del Usuario, Suba notificará al Usuario dentro de las 72 horas siguientes a tener conocimiento del mismo, conforme a la normativa aplicable.
2.8 Cookies y Almacenamiento Local
La aplicación Android no utiliza cookies. El panel web de Suba utiliza LocalStorage y SessionStorage exclusivamente para almacenar tokens de sesión JWT, sin datos de negocio del Usuario. Suba no utiliza cookies de seguimiento publicitario, cookies de terceros con fines de marketing, ni tecnologías de rastreo entre sitios.
El Usuario puede configurar su navegador para rechazar o eliminar el almacenamiento local, aunque esto puede afectar al funcionamiento del panel web.
2.9 Transferencias Internacionales de Datos
Los datos del Usuario se almacenan en servidores ubicados en la región configurada en la infraestructura de Suba. En caso de que resulte necesario transferir datos a servidores ubicados en terceros países, Suba garantizará que dicha transferencia se realice conforme a mecanismos adecuados de protección, incluyendo la aplicación de cláusulas contractuales tipo u otros instrumentos reconocidos por la normativa peruana e internacional aplicable. El Usuario será informado de cualquier cambio material en la ubicación de los servidores con al menos 30 días de antelación.
2.10 Proveedores de Servicios de Terceros
Suba puede utilizar proveedores de servicios de terceros para operar la plataforma, incluyendo servicios de infraestructura en la nube, envío de correo electrónico transaccional, notificaciones push y procesamiento de pagos. Estos proveedores actúan como encargados del tratamiento y solo pueden acceder a los datos necesarios para prestar sus servicios específicos, estando sujetos a obligaciones contractuales de confidencialidad y seguridad equivalentes a las de esta Política.
2.11 Menores de Edad
El servicio de Suba no está dirigido a personas menores de 18 años. Si Suba toma conocimiento de que ha recopilado datos personales de un menor sin el consentimiento verificable de sus padres o tutores legales, procederá a eliminar dichos datos de forma inmediata. Si usted cree que Suba puede haber recopilado datos de un menor, contacte a [email protected].
2.12 Modificaciones a la Política de Privacidad
Suba puede modificar esta Política de Privacidad en cualquier momento. Los cambios sustanciales se notificarán al Usuario con al menos 15 días de antelación por email y notificación in-app. El uso continuado del servicio tras la fecha de vigencia implica aceptación de la nueva Política. Para cambios que impliquen un tratamiento materialmente diferente de los datos existentes, Suba solicitará consentimiento expreso del Usuario.
¿Tienes dudas sobre tus datos?
Ejercer tus derechos es sencillo. Envía un email a [email protected] y respondemos en menos de 48 horas hábiles.