El responsable del tratamiento de los datos personales es HATOR Tech S.A. de C.V., con domicilio en San Salvador, El Salvador. Para cualquier consulta relacionada con la protección de datos, puede contactarnos en: [email protected]. HATOR Tech cumple con la Ley de Protección de Datos Personales de El Salvador, la Ley de Acceso a la Información Pública, y adopta como estándar de referencia las mejores prácticas internacionales en materia de protección de datos, incluyendo los principios del Reglamento General de Protección de Datos (RGPD) de la Unión Europea y las directrices del GAFI en materia de privacidad y compliance.

Recopilamos las siguientes categorías de datos personales: (a) Datos de identificación: nombre completo, fecha de nacimiento, nacionalidad, número de documento de identidad, fotografía del documento y selfie biométrico. (b) Datos de contacto: dirección de correo electrónico, número de teléfono, dirección postal. (c) Datos financieros: información sobre origen de fondos, perfil financiero, historial de transacciones en la plataforma. (d) Datos técnicos: dirección IP, tipo de dispositivo, sistema operativo, navegador, datos de geolocalización aproximada. (e) Datos de compliance: resultados de verificación KYC, evaluación de riesgo, estatus PEP, información de Travel Rule.

Los datos personales se tratan para las siguientes finalidades: (a) Prestación de servicios: gestión de la cuenta, ejecución de transacciones, custodia de activos y atención al cliente. (b) Cumplimiento normativo: verificación de identidad (KYC), prevención de lavado de dinero (AML), cumplimiento de la Travel Rule, evaluación de riesgo y reporte de operaciones sospechosas a la Unidad de Investigación Financiera (UIF) y la CNAD. (c) Seguridad: detección y prevención de fraude, protección de la cuenta del usuario y de la integridad de la plataforma. (d) Comunicaciones: envío de notificaciones transaccionales, alertas de seguridad e información sobre cambios en los servicios. (e) Mejora del servicio: análisis estadístico anonimizado para mejorar la experiencia del usuario.

El tratamiento de datos se fundamenta en: (a) Ejecución contractual: el tratamiento es necesario para la prestación de los servicios contratados. (b) Cumplimiento de obligaciones legales: la LEAD, la Ley Bitcoin, las normativas de la CNAD y la legislación AML/CTF exigen la recopilación y conservación de determinados datos. (c) Interés legítimo: prevención de fraude y seguridad de la plataforma. (d) Consentimiento: para finalidades no esenciales como comunicaciones comerciales y cookies analíticas.

Los datos personales se conservan durante el tiempo necesario para cumplir las finalidades para las que fueron recopilados. En particular: los datos de identificación y transaccionales se conservan durante un mínimo de 5 años desde la terminación de la relación contractual, conforme a las obligaciones de la LEAD y la normativa AML. Los datos de compliance (KYC, evaluaciones de riesgo, Travel Rule) se conservan durante un mínimo de 5 años. Los datos técnicos y de navegación se conservan durante un máximo de 2 años. Transcurridos los plazos de conservación, los datos serán eliminados de forma segura o anonimizados de forma irreversible.

El usuario tiene derecho a: (a) Acceso: obtener confirmación de si sus datos están siendo tratados y acceder a los mismos. (b) Rectificación: solicitar la corrección de datos inexactos o incompletos. (c) Supresión: solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recopilados, sin perjuicio de las obligaciones legales de conservación. (d) Oposición: oponerse al tratamiento de sus datos para finalidades de marketing directo. (e) Portabilidad: recibir sus datos en un formato estructurado y de uso común. Para ejercer estos derechos, el usuario puede contactar a [email protected]. Las solicitudes serán atendidas en un plazo máximo de 30 días.

Los datos personales pueden ser transferidos a jurisdicciones fuera de El Salvador cuando sea necesario para la prestación de los servicios (por ejemplo, para el cumplimiento de la Travel Rule con VASPs en otras jurisdicciones) o para el cumplimiento de obligaciones legales. En tales casos, HATOR garantiza que se aplican garantías adecuadas, incluyendo cláusulas contractuales tipo y evaluaciones de impacto de transferencias internacionales.

HATOR implementa medidas técnicas y organizativas apropiadas para proteger los datos personales, incluyendo: cifrado AES-256 para datos en reposo y TLS 1.3 para datos en tránsito, autenticación multifactor para el acceso a sistemas internos, segregación de redes y control de acceso basado en roles, monitorización continua de seguridad y detección de intrusiones, auditorías de seguridad periódicas realizadas por terceros independientes, y planes de respuesta a incidentes y continuidad de negocio.