Política de Privacidad
Aviso de Traducción
⚠️ AVISO IMPORTANTE: Este documento ha sido traducido del turco únicamente con fines informativos. La versión original en turco es el documento legalmente vinculante. En caso de discrepancia entre las versiones turca y española, prevalecerá la versión turca.
1. Introducción y Responsable del Tratamiento
1.1. Introducción
Esta Política de Privacidad explica cómo la plataforma Evaste ("Plataforma", "Nosotros", "Nuestro") recopila, procesa, almacena, transfiere y protege los datos personales.
Su privacidad es extremadamente importante para nosotros. Como plataforma de privacidad de datos y gestión de consentimientos, consideramos la protección de datos personales como nuestra máxima prioridad.
1.2. Responsable del Tratamiento
- Evaste (parte de Group Taiga)
- Dirección: Levent, Estambul, Turquía
- Correo electrónico: privacy@evaste.co
- Web: https://evaste.co
- Teléfono: +90 532 494 42 64
1.3. Representante de Protección de Datos
Para nuestros usuarios en la Unión Europea, nuestro representante de protección de datos designado según el Artículo 27 del RGPD: dpo@evaste.co
1.4. Ámbito de Aplicación
Esta Política de Privacidad se aplica en los siguientes casos:
- Cuando visita el sitio web evaste.co
- Cuando se registra en la Plataforma y utiliza nuestros Servicios
- Cuando contacta con el soporte al cliente
- Cuando recibe nuestras comunicaciones de marketing
1.5. Marco Legal
Esta política ha sido preparada de acuerdo con las siguientes regulaciones:
- Ley N° 6698 de Protección de Datos Personales (KVKK) - Turquía
- Reglamento General de Protección de Datos (RGPD) - Unión Europea
- Ley de Privacidad del Consumidor de California (CCPA) - EE.UU. California
- Ley N° 6563 de Regulación del Comercio Electrónico - Turquía
2. Categorías de Datos Personales Tratados
2.1. Datos que Usted Proporciona Directamente
| Categoría de Datos | Tipos de Datos |
|---|---|
| Datos de Identidad | Nombre, apellido, nombre de usuario |
| Datos de Contacto | Dirección de correo electrónico, número de teléfono, dirección |
| Datos de Cuenta | Contraseña (hasheada), preferencias de cuenta |
| Datos de Pago | Dirección de facturación, número fiscal* |
| Datos de Empresa | Nombre de la empresa, cargo, sector |
| Contenido de Comunicaciones | Solicitudes de soporte, comentarios |
* La información de tarjeta de crédito no es almacenada por Evaste; es procesada por nuestro proveedor de pagos seguro (Stripe).
2.2. Datos Recopilados Automáticamente
| Categoría de Datos | Tipos de Datos |
|---|---|
| Datos del Dispositivo | Dirección IP, tipo de navegador, sistema operativo |
| Datos de Uso | Páginas vistas, clics, duración de sesión |
| Datos de Ubicación | País, ciudad (basado en IP, aproximado) |
| Datos de Cookies | Cookies de sesión, cookies de preferencia |
| Datos de Registro | Registros de acceso, registros de errores, llamadas API |
2.3. Datos Obtenidos de Terceros
| Fuente | Tipos de Datos |
|---|---|
| Inicio de Sesión Social | Nombre, correo electrónico, foto de perfil (Google, LinkedIn) |
| Proveedores de Pago | Estado de transacción, confirmación de pago |
| Socios Comerciales | Información de referencia, datos de campaña |
2.4. Categorías Especiales de Datos
Evaste no procesa categorías especiales de datos personales en el sentido del Artículo 6 de KVKK y el Artículo 9 del RGPD (raza, origen étnico, opiniones políticas, creencias religiosas, datos de salud, datos biométricos, etc.).
3. Finalidades del Tratamiento y Bases Jurídicas
3.1. Finalidades y Bases Jurídicas del Tratamiento
| Finalidad | Base KVKK | Base RGPD |
|---|---|---|
| Prestación de servicios | Art. 5/2(c) | Art. 6/1(b) |
| Creación y gestión de cuenta | Art. 5/2(c) | Art. 6/1(b) |
| Procesamiento de pagos | Art. 5/2(c) | Art. 6/1(b) |
| Soporte al cliente | Art. 5/2(c) | Art. 6/1(b) |
| Mejora del servicio | Art. 5/2(f) | Art. 6/1(f) |
| Seguridad y prevención de fraude | Art. 5/2(f) | Art. 6/1(f) |
| Obligaciones legales | Art. 5/2(ç) | Art. 6/1(c) |
| Marketing (con consentimiento) | Art. 5/1 | Art. 6/1(a) |
| Analítica y estadísticas | Art. 5/2(f) | Art. 6/1(f) |
3.2. Explicación de las Bases Jurídicas
- Ejecución del Contrato (KVKK Art. 5/2(c), RGPD Art. 6/1(b)): Actividades de tratamiento de datos necesarias para proporcionar nuestros servicios y cumplir con nuestras obligaciones contractuales.
- Interés Legítimo (KVKK Art. 5/2(f), RGPD Art. 6/1(f)): Actividades de tratamiento necesarias para mejorar nuestros servicios, garantizar la seguridad y realizar nuestras operaciones comerciales.
- Obligación Legal (KVKK Art. 5/2(ç), RGPD Art. 6/1(c)): Actividades de tratamiento necesarias para cumplir con nuestras obligaciones en virtud del derecho fiscal, mercantil y otras regulaciones legales.
- Consentimiento (KVKK Art. 5/1, RGPD Art. 6/1(a)): Tratamiento basado en el consentimiento explícito para comunicaciones de marketing, preferencias de cookies y otras actividades de tratamiento opcionales.
3.3. Revocación del Consentimiento
Puede revocar su consentimiento para las actividades de tratamiento basadas en el consentimiento en cualquier momento. Para revocar su consentimiento, puede actualizar sus preferencias en la configuración de la cuenta, usar el enlace "darse de baja" en los correos electrónicos de marketing, o escribir a privacy@evaste.co.
La revocación del consentimiento no afecta a la licitud del tratamiento realizado antes de la revocación.
4. Períodos de Conservación de Datos
4.1. Principios Generales
Conservamos sus datos personales durante el período necesario para la finalidad del tratamiento, mientras subsistan las obligaciones contractuales y durante los períodos de conservación legales.
4.2. Períodos de Conservación por Categoría de Datos
| Categoría de Datos | Período de Conservación |
|---|---|
| Datos de Cuenta | Mientras la cuenta esté activa + 3 años |
| Registros de Transacciones | 10 años (normativa fiscal) |
| Facturas | 10 años (Código de Comercio) |
| Registros de Consentimiento | Período de validez del consentimiento + 5 años |
| Registros de Soporte | 3 años |
| Datos de Registro | 2 años |
| Datos Analíticos | 26 meses (indefinidamente si se anonimizan) |
| Preferencias de Marketing | Hasta la revocación del consentimiento |
4.3. Después del Cierre de Cuenta
Cuando cierra su cuenta: Sus datos personales se eliminan o anonimizan en 30 días, los datos sujetos a obligaciones legales de conservación se mantienen hasta el final del período correspondiente, los datos en copias de seguridad se eliminan en el marco de la rotación de copias de seguridad (90 días).
4.4. Métodos de Eliminación
Los datos se destruyen de forma segura mediante los siguientes métodos:
- Datos digitales: Algoritmos de eliminación segura (estándares NIST)
- Datos de copia de seguridad: Rotación automática con eliminación permanente
- Datos de registro: Envejecimiento y eliminación automáticos
5. Transferencia de Datos y Transferencia Internacional
5.1. Transferencia Nacional de Datos
Sus datos personales pueden ser transferidos a los siguientes grupos de destinatarios:
| Grupo de Destinatarios | Finalidad de la Transferencia |
|---|---|
| Empresas del Grupo | Operaciones comerciales, servicios de soporte |
| Proveedores de Servicios | Infraestructura técnica, procesamiento de pagos |
| Asesores Legales | Asesoramiento jurídico |
| Auditores | Auditorías financieras y de cumplimiento |
| Autoridades Públicas | Obligaciones legales (tribunal, impuestos) |
5.2. Transferencia Internacional de Datos
Sus datos pueden ser transferidos a países fuera del Espacio Económico Europeo (EEE) para la prestación de nuestros servicios. En este caso:
- Decisión de Adecuación de la Comisión Europea: Es posible la transferencia a países con un nivel de protección adecuado.
- Cláusulas Contractuales Tipo (CCT): Se utilizan las cláusulas contractuales tipo aprobadas por la Comisión Europea (con garantías adicionales según la sentencia Schrems II).
- Normas Corporativas Vinculantes (BCR): Normas vinculantes aprobadas entre las empresas del grupo.
- Consentimiento Explícito: En casos donde no estén disponibles otras garantías, se obtiene su consentimiento explícito.
5.3. Subencargados
La lista actual de nuestros subencargados está disponible en: https://evaste.co/legal-center/sub-processors
Al añadir nuevos subencargados, se notifica con al menos 30 días de antelación.
5.4. Transferencia de Datos a Estados Unidos
Se transfieren datos a proveedores de servicios en Estados Unidos (AWS, Stripe, etc.). Tras la sentencia Schrems II, se aplican las siguientes garantías adicionales:
- Cláusulas Contractuales Tipo actualizadas (CCT 2021)
- Medidas técnicas adicionales (cifrado, pseudonimización)
- Evaluación de impacto de la transferencia (TIA)
- Evaluación del riesgo de sometimiento a las leyes de inteligencia de EE.UU.
6. Medidas de Seguridad de Datos
6.1. Medidas Técnicas
- Cifrado: TLS 1.3 durante la transferencia, AES-256 durante el almacenamiento, almacenamiento de contraseñas bcrypt/Argon2
- Control de Acceso: Control de acceso basado en roles (RBAC), Autenticación multifactor (MFA), Principio de mínimo privilegio
- Seguridad de Red: Firewall e IDS/IPS, Protección DDoS, VPN para acceso remoto
- Seguridad de Aplicaciones: Escaneos de seguridad regulares, Pruebas de penetración, Ciclo de vida de desarrollo de software seguro (SDLC)
6.2. Medidas Organizativas
- Acuerdos de confidencialidad (todos los empleados y proveedores)
- Formaciones regulares de concienciación en seguridad
- Evaluaciones de impacto en la protección de datos (EIPD)
- Planes de respuesta a incidentes
- Planes de continuidad del negocio y recuperación ante desastres
6.3. Certificaciones de Seguridad
La infraestructura de Evaste cumple con los siguientes estándares:
- ISO 27001 (gestión de seguridad de la información)
- SOC 2 Type II (proveedores de infraestructura)
6.4. Notificación de Violación de Seguridad
En caso de violación de datos personales:
- Notificación a la Autoridad de Protección de Datos en 72 horas (KVKK/RGPD)
- Notificación inmediata a las personas afectadas en caso de alto riesgo
- Mantenimiento de un registro de violaciones
- Implementación de medidas correctivas
7. Derechos de los Interesados
7.1. Sus Derechos según KVKK (Artículo 11)
- Derecho de Información: El derecho a saber si sus datos personales están siendo tratados.
- Derecho a Solicitar Información: El derecho a solicitar información si sus datos están siendo tratados.
- Derecho a Conocer la Finalidad del Tratamiento: El derecho a conocer la finalidad del tratamiento de sus datos personales y si se utilizan conforme a dicha finalidad.
- Derecho a Información sobre Transferencias: El derecho a conocer los terceros a los que se han transferido sus datos, a nivel nacional o internacional.
- Derecho de Rectificación: El derecho a solicitar la corrección de tratamiento incompleto o incorrecto.
- Derecho de Supresión/Destrucción: El derecho a solicitar la eliminación o destrucción según el artículo 7 de KVKK.
- Derecho a Notificación de Rectificación/Supresión: El derecho a solicitar que las operaciones de rectificación/supresión sean notificadas a los terceros a los que se han transferido los datos.
- Derecho de Oposición al Tratamiento Automatizado: El derecho a oponerse a un resultado surgido en su perjuicio por sistemas exclusivamente automatizados.
- Derecho a Indemnización por Daños: El derecho a solicitar indemnización en caso de tratamiento ilícito.
7.2. Derechos Adicionales según RGPD
- Derecho a la Portabilidad de Datos (Artículo 20): El derecho a recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y a transferirlos a otro responsable del tratamiento.
- Derecho a la Limitación del Tratamiento (Artículo 18): El derecho a solicitar la limitación del tratamiento en determinadas condiciones.
- Derecho a Presentar Reclamación ante una Autoridad de Control (Artículo 77): El derecho a presentar una queja ante la autoridad de protección de datos competente.
7.3. Solicitud de Ejercicio de Derechos
Para ejercer sus derechos:
- Correo electrónico: privacy@evaste.co
- Plataforma: Configuración de Cuenta > Privacidad > Solicitud de Datos
- Correo postal: Evaste (Group Taiga), Levent, Estambul, Turquía
7.4. Plazos de Respuesta
| Normativa | Plazo de Respuesta | Posibilidad de Prórroga |
|---|---|---|
| KVKK | 30 días | - |
| RGPD | 1 mes | +2 meses (solicitudes complejas) |
7.5. Tarifas
- Derecho de información gratuito una vez al año
- Se pueden cobrar tarifas razonables para solicitudes repetitivas o excesivas
- Se reserva el derecho a rechazar solicitudes infundadas o excesivas
8. Toma de Decisiones Automatizada y Elaboración de Perfiles
8.1. Toma de Decisiones Automatizada
Evaste no toma decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente (Artículo 22 del RGPD).
8.2. Actividades de Elaboración de Perfiles
La elaboración de perfiles se realiza para los siguientes fines limitados:
- Recomendaciones de servicios (basadas en patrones de uso)
- Seguridad (detección de actividades anormales)
- Analítica (estadísticas de uso anónimas)
Estas actividades no producen efectos jurídicos ni le afectan significativamente.
8.3. Oposición a la Toma de Decisiones Automatizada
Si cree que se están tomando decisiones automatizadas:
- Puede solicitar intervención humana
- Puede expresar su punto de vista
- Puede impugnar la decisión
9. Privacidad de los Menores
9.1. Límite de Edad
Los servicios de Evaste no están dirigidos a personas menores de 18 años. No recopilamos intencionadamente datos personales de personas menores de 16 años (RGPD) o menores de 13 años (COPPA).
9.2. Detección de Datos de Menores
Si descubrimos que hemos recopilado datos de una persona menor de 18 años:
- Eliminamos los datos inmediatamente
- Cerramos la cuenta
- Notificamos al padre o tutor legal
9.3. Notificación a Padres/Tutores
Si cree que su hijo ha proporcionado datos a Evaste, contáctenos en privacy@evaste.co.
10. Enlaces a Terceros
10.1. Enlaces Externos
Nuestra Plataforma puede contener enlaces a sitios web de terceros. Estos enlaces se proporcionan únicamente para su comodidad.
10.2. Exclusión de Responsabilidad
Evaste:
- No es responsable de las prácticas de privacidad de sitios web de terceros
- No controla el contenido de estos sitios
- No garantiza la seguridad de estos sitios
Le recomendamos que lea las respectivas políticas de privacidad antes de visitar estos sitios.
10.3. Funciones de Redes Sociales
Nuestra Plataforma puede contener botones de redes sociales (LinkedIn, Twitter, etc.). Estas funciones están sujetas a las políticas de privacidad de las respectivas plataformas de redes sociales.
11. Derechos de los Consumidores de California (CCPA)
11.1. Ámbito de Aplicación
Esta sección explica los derechos adicionales otorgados a los consumidores residentes en el Estado de California ("Consumidores de California") en virtud de la Ley de Privacidad del Consumidor de California (CCPA).
11.2. Categorías de Información Recopilada
Categorías de información personal recopilada en los últimos 12 meses:
| Categoría | Ejemplos |
|---|---|
| Identificadores | Nombre, correo electrónico, dirección IP |
| Información Comercial | Historial de compras, información de suscripción |
| Actividad de Internet | Historial de navegación, datos de interacción |
| Geolocalización | Ubicación aproximada basada en IP |
| Información Profesional | Nombre de la empresa, cargo |
| Inferencias | Perfiles de preferencias |
11.3. Derechos de los Consumidores de California
- Derecho a Saber (Right to Know): El derecho a solicitar información sobre la información personal recopilada, utilizada, compartida o vendida en los últimos 12 meses.
- Derecho de Supresión (Right to Delete): El derecho a solicitar la eliminación de su información personal (sujeto a excepciones legales).
- Derecho a Optar por No Vender (Right to Opt-Out): IMPORTANTE: Evaste NO "vende" su información personal en el sentido del CCPA.
- Derecho a la No Discriminación (Right to Non-Discrimination): El derecho a no ser discriminado por ejercer sus derechos de privacidad.
11.4. Agente Autorizado
Si reside en California, puede designar un agente autorizado para ejercer sus derechos. El agente autorizado debe presentar una autorización por escrito, verificar su identidad y demostrar su autoridad para actuar en su nombre.
11.5. Método de Solicitud
Solicitud de derechos de California: Correo electrónico: privacy@evaste.co, Asunto: "CCPA Request - [Tipo de Derecho]"
Plazo de respuesta: 45 días (prorrogable +45 días para solicitudes complejas)
11.6. Proceso de Verificación
Antes de procesar su solicitud, debemos verificar su identidad:
- Si es titular de cuenta: Verificación mediante inicio de sesión en la cuenta
- Si no tiene cuenta: Coincidencia con al menos 2-3 puntos de datos
11.7. "No Venda Mi Información Personal"
Evaste no realiza actividades de "venta" en el sentido del CCPA. Sin embargo, para gestionar sus preferencias: Correo electrónico: privacy@evaste.co, Asunto: "Do Not Sell My Personal Information"
12. Cambios en la Política
12.1. Derecho de Actualización
Evaste se reserva el derecho de actualizar esta Política de Privacidad en cualquier momento. Los cambios se indican con la fecha "Última Actualización", los cambios importantes se notifican por correo electrónico y se anuncian en la Plataforma.
12.2. Cambios Importantes
Los siguientes cambios se consideran "importantes":
- Cambio en las categorías de datos recopilados
- Nuevas finalidades de tratamiento
- Nuevas comparticiones con terceros
- Cambios que afecten a sus derechos
12.3. Plazo de Notificación
Los cambios importantes se notifican al menos 30 días antes de su entrada en vigor.
12.4. Aceptación del Cambio
Continuar utilizando los Servicios después de la notificación significa que acepta la política actualizada. Si no está de acuerdo, puede cerrar su cuenta.
13. Información de Contacto
13.1. Responsable del Tratamiento
- Evaste (Group Taiga)
- Dirección: Levent, Estambul, Turquía
- Correo electrónico: privacy@evaste.co
- Web: https://evaste.co
- Teléfono: +90 532 494 42 64
13.2. Delegado de Protección de Datos
Correo electrónico: dpo@evaste.co
13.3. Autoridades de Control
- Turquía: Autoridad de Protección de Datos (KVKK) - https://kvkk.gov.tr
- Unión Europea: Autoridad de protección de datos del Estado miembro de la UE correspondiente
- California: California Attorney General - https://oag.ca.gov/privacy
Esta Política de Privacidad entró en vigor el 12 de enero de 2026.
Política de Privacidad
Aviso de Traducción
⚠️ AVISO IMPORTANTE: Este documento ha sido traducido del turco únicamente con fines informativos. La versión original en turco es el documento legalmente vinculante. En caso de discrepancia entre las versiones turca y española, prevalecerá la versión turca.
1. Introducción y Responsable del Tratamiento
1.1. Introducción
Esta Política de Privacidad explica cómo la plataforma Evaste ("Plataforma", "Nosotros", "Nuestro") recopila, procesa, almacena, transfiere y protege los datos personales.
Su privacidad es extremadamente importante para nosotros. Como plataforma de privacidad de datos y gestión de consentimientos, consideramos la protección de datos personales como nuestra máxima prioridad.
1.2. Responsable del Tratamiento
- Evaste (parte de Group Taiga)
- Dirección: Levent, Estambul, Turquía
- Correo electrónico: privacy@evaste.co
- Web: https://evaste.co
- Teléfono: +90 532 494 42 64
1.3. Representante de Protección de Datos
Para nuestros usuarios en la Unión Europea, nuestro representante de protección de datos designado según el Artículo 27 del RGPD: dpo@evaste.co
1.4. Ámbito de Aplicación
Esta Política de Privacidad se aplica en los siguientes casos:
- Cuando visita el sitio web evaste.co
- Cuando se registra en la Plataforma y utiliza nuestros Servicios
- Cuando contacta con el soporte al cliente
- Cuando recibe nuestras comunicaciones de marketing
1.5. Marco Legal
Esta política ha sido preparada de acuerdo con las siguientes regulaciones:
- Ley N° 6698 de Protección de Datos Personales (KVKK) - Turquía
- Reglamento General de Protección de Datos (RGPD) - Unión Europea
- Ley de Privacidad del Consumidor de California (CCPA) - EE.UU. California
- Ley N° 6563 de Regulación del Comercio Electrónico - Turquía
2. Categorías de Datos Personales Tratados
2.1. Datos que Usted Proporciona Directamente
| Categoría de Datos | Tipos de Datos |
|---|---|
| Datos de Identidad | Nombre, apellido, nombre de usuario |
| Datos de Contacto | Dirección de correo electrónico, número de teléfono, dirección |
| Datos de Cuenta | Contraseña (hasheada), preferencias de cuenta |
| Datos de Pago | Dirección de facturación, número fiscal* |
| Datos de Empresa | Nombre de la empresa, cargo, sector |
| Contenido de Comunicaciones | Solicitudes de soporte, comentarios |
* La información de tarjeta de crédito no es almacenada por Evaste; es procesada por nuestro proveedor de pagos seguro (Stripe).
2.2. Datos Recopilados Automáticamente
| Categoría de Datos | Tipos de Datos |
|---|---|
| Datos del Dispositivo | Dirección IP, tipo de navegador, sistema operativo |
| Datos de Uso | Páginas vistas, clics, duración de sesión |
| Datos de Ubicación | País, ciudad (basado en IP, aproximado) |
| Datos de Cookies | Cookies de sesión, cookies de preferencia |
| Datos de Registro | Registros de acceso, registros de errores, llamadas API |
2.3. Datos Obtenidos de Terceros
| Fuente | Tipos de Datos |
|---|---|
| Inicio de Sesión Social | Nombre, correo electrónico, foto de perfil (Google, LinkedIn) |
| Proveedores de Pago | Estado de transacción, confirmación de pago |
| Socios Comerciales | Información de referencia, datos de campaña |
2.4. Categorías Especiales de Datos
Evaste no procesa categorías especiales de datos personales en el sentido del Artículo 6 de KVKK y el Artículo 9 del RGPD (raza, origen étnico, opiniones políticas, creencias religiosas, datos de salud, datos biométricos, etc.).
3. Finalidades del Tratamiento y Bases Jurídicas
3.1. Finalidades y Bases Jurídicas del Tratamiento
| Finalidad | Base KVKK | Base RGPD |
|---|---|---|
| Prestación de servicios | Art. 5/2(c) | Art. 6/1(b) |
| Creación y gestión de cuenta | Art. 5/2(c) | Art. 6/1(b) |
| Procesamiento de pagos | Art. 5/2(c) | Art. 6/1(b) |
| Soporte al cliente | Art. 5/2(c) | Art. 6/1(b) |
| Mejora del servicio | Art. 5/2(f) | Art. 6/1(f) |
| Seguridad y prevención de fraude | Art. 5/2(f) | Art. 6/1(f) |
| Obligaciones legales | Art. 5/2(ç) | Art. 6/1(c) |
| Marketing (con consentimiento) | Art. 5/1 | Art. 6/1(a) |
| Analítica y estadísticas | Art. 5/2(f) | Art. 6/1(f) |
3.2. Explicación de las Bases Jurídicas
- Ejecución del Contrato (KVKK Art. 5/2(c), RGPD Art. 6/1(b)): Actividades de tratamiento de datos necesarias para proporcionar nuestros servicios y cumplir con nuestras obligaciones contractuales.
- Interés Legítimo (KVKK Art. 5/2(f), RGPD Art. 6/1(f)): Actividades de tratamiento necesarias para mejorar nuestros servicios, garantizar la seguridad y realizar nuestras operaciones comerciales.
- Obligación Legal (KVKK Art. 5/2(ç), RGPD Art. 6/1(c)): Actividades de tratamiento necesarias para cumplir con nuestras obligaciones en virtud del derecho fiscal, mercantil y otras regulaciones legales.
- Consentimiento (KVKK Art. 5/1, RGPD Art. 6/1(a)): Tratamiento basado en el consentimiento explícito para comunicaciones de marketing, preferencias de cookies y otras actividades de tratamiento opcionales.
3.3. Revocación del Consentimiento
Puede revocar su consentimiento para las actividades de tratamiento basadas en el consentimiento en cualquier momento. Para revocar su consentimiento, puede actualizar sus preferencias en la configuración de la cuenta, usar el enlace "darse de baja" en los correos electrónicos de marketing, o escribir a privacy@evaste.co.
La revocación del consentimiento no afecta a la licitud del tratamiento realizado antes de la revocación.
4. Períodos de Conservación de Datos
4.1. Principios Generales
Conservamos sus datos personales durante el período necesario para la finalidad del tratamiento, mientras subsistan las obligaciones contractuales y durante los períodos de conservación legales.
4.2. Períodos de Conservación por Categoría de Datos
| Categoría de Datos | Período de Conservación |
|---|---|
| Datos de Cuenta | Mientras la cuenta esté activa + 3 años |
| Registros de Transacciones | 10 años (normativa fiscal) |
| Facturas | 10 años (Código de Comercio) |
| Registros de Consentimiento | Período de validez del consentimiento + 5 años |
| Registros de Soporte | 3 años |
| Datos de Registro | 2 años |
| Datos Analíticos | 26 meses (indefinidamente si se anonimizan) |
| Preferencias de Marketing | Hasta la revocación del consentimiento |
4.3. Después del Cierre de Cuenta
Cuando cierra su cuenta: Sus datos personales se eliminan o anonimizan en 30 días, los datos sujetos a obligaciones legales de conservación se mantienen hasta el final del período correspondiente, los datos en copias de seguridad se eliminan en el marco de la rotación de copias de seguridad (90 días).
4.4. Métodos de Eliminación
Los datos se destruyen de forma segura mediante los siguientes métodos:
- Datos digitales: Algoritmos de eliminación segura (estándares NIST)
- Datos de copia de seguridad: Rotación automática con eliminación permanente
- Datos de registro: Envejecimiento y eliminación automáticos
5. Transferencia de Datos y Transferencia Internacional
5.1. Transferencia Nacional de Datos
Sus datos personales pueden ser transferidos a los siguientes grupos de destinatarios:
| Grupo de Destinatarios | Finalidad de la Transferencia |
|---|---|
| Empresas del Grupo | Operaciones comerciales, servicios de soporte |
| Proveedores de Servicios | Infraestructura técnica, procesamiento de pagos |
| Asesores Legales | Asesoramiento jurídico |
| Auditores | Auditorías financieras y de cumplimiento |
| Autoridades Públicas | Obligaciones legales (tribunal, impuestos) |
5.2. Transferencia Internacional de Datos
Sus datos pueden ser transferidos a países fuera del Espacio Económico Europeo (EEE) para la prestación de nuestros servicios. En este caso:
- Decisión de Adecuación de la Comisión Europea: Es posible la transferencia a países con un nivel de protección adecuado.
- Cláusulas Contractuales Tipo (CCT): Se utilizan las cláusulas contractuales tipo aprobadas por la Comisión Europea (con garantías adicionales según la sentencia Schrems II).
- Normas Corporativas Vinculantes (BCR): Normas vinculantes aprobadas entre las empresas del grupo.
- Consentimiento Explícito: En casos donde no estén disponibles otras garantías, se obtiene su consentimiento explícito.
5.3. Subencargados
La lista actual de nuestros subencargados está disponible en: https://evaste.co/legal-center/sub-processors
Al añadir nuevos subencargados, se notifica con al menos 30 días de antelación.
5.4. Transferencia de Datos a Estados Unidos
Se transfieren datos a proveedores de servicios en Estados Unidos (AWS, Stripe, etc.). Tras la sentencia Schrems II, se aplican las siguientes garantías adicionales:
- Cláusulas Contractuales Tipo actualizadas (CCT 2021)
- Medidas técnicas adicionales (cifrado, pseudonimización)
- Evaluación de impacto de la transferencia (TIA)
- Evaluación del riesgo de sometimiento a las leyes de inteligencia de EE.UU.
6. Medidas de Seguridad de Datos
6.1. Medidas Técnicas
- Cifrado: TLS 1.3 durante la transferencia, AES-256 durante el almacenamiento, almacenamiento de contraseñas bcrypt/Argon2
- Control de Acceso: Control de acceso basado en roles (RBAC), Autenticación multifactor (MFA), Principio de mínimo privilegio
- Seguridad de Red: Firewall e IDS/IPS, Protección DDoS, VPN para acceso remoto
- Seguridad de Aplicaciones: Escaneos de seguridad regulares, Pruebas de penetración, Ciclo de vida de desarrollo de software seguro (SDLC)
6.2. Medidas Organizativas
- Acuerdos de confidencialidad (todos los empleados y proveedores)
- Formaciones regulares de concienciación en seguridad
- Evaluaciones de impacto en la protección de datos (EIPD)
- Planes de respuesta a incidentes
- Planes de continuidad del negocio y recuperación ante desastres
6.3. Certificaciones de Seguridad
La infraestructura de Evaste cumple con los siguientes estándares:
- ISO 27001 (gestión de seguridad de la información)
- SOC 2 Type II (proveedores de infraestructura)
6.4. Notificación de Violación de Seguridad
En caso de violación de datos personales:
- Notificación a la Autoridad de Protección de Datos en 72 horas (KVKK/RGPD)
- Notificación inmediata a las personas afectadas en caso de alto riesgo
- Mantenimiento de un registro de violaciones
- Implementación de medidas correctivas
7. Derechos de los Interesados
7.1. Sus Derechos según KVKK (Artículo 11)
- Derecho de Información: El derecho a saber si sus datos personales están siendo tratados.
- Derecho a Solicitar Información: El derecho a solicitar información si sus datos están siendo tratados.
- Derecho a Conocer la Finalidad del Tratamiento: El derecho a conocer la finalidad del tratamiento de sus datos personales y si se utilizan conforme a dicha finalidad.
- Derecho a Información sobre Transferencias: El derecho a conocer los terceros a los que se han transferido sus datos, a nivel nacional o internacional.
- Derecho de Rectificación: El derecho a solicitar la corrección de tratamiento incompleto o incorrecto.
- Derecho de Supresión/Destrucción: El derecho a solicitar la eliminación o destrucción según el artículo 7 de KVKK.
- Derecho a Notificación de Rectificación/Supresión: El derecho a solicitar que las operaciones de rectificación/supresión sean notificadas a los terceros a los que se han transferido los datos.
- Derecho de Oposición al Tratamiento Automatizado: El derecho a oponerse a un resultado surgido en su perjuicio por sistemas exclusivamente automatizados.
- Derecho a Indemnización por Daños: El derecho a solicitar indemnización en caso de tratamiento ilícito.
7.2. Derechos Adicionales según RGPD
- Derecho a la Portabilidad de Datos (Artículo 20): El derecho a recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y a transferirlos a otro responsable del tratamiento.
- Derecho a la Limitación del Tratamiento (Artículo 18): El derecho a solicitar la limitación del tratamiento en determinadas condiciones.
- Derecho a Presentar Reclamación ante una Autoridad de Control (Artículo 77): El derecho a presentar una queja ante la autoridad de protección de datos competente.
7.3. Solicitud de Ejercicio de Derechos
Para ejercer sus derechos:
- Correo electrónico: privacy@evaste.co
- Plataforma: Configuración de Cuenta > Privacidad > Solicitud de Datos
- Correo postal: Evaste (Group Taiga), Levent, Estambul, Turquía
7.4. Plazos de Respuesta
| Normativa | Plazo de Respuesta | Posibilidad de Prórroga |
|---|---|---|
| KVKK | 30 días | - |
| RGPD | 1 mes | +2 meses (solicitudes complejas) |
7.5. Tarifas
- Derecho de información gratuito una vez al año
- Se pueden cobrar tarifas razonables para solicitudes repetitivas o excesivas
- Se reserva el derecho a rechazar solicitudes infundadas o excesivas
8. Toma de Decisiones Automatizada y Elaboración de Perfiles
8.1. Toma de Decisiones Automatizada
Evaste no toma decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente (Artículo 22 del RGPD).
8.2. Actividades de Elaboración de Perfiles
La elaboración de perfiles se realiza para los siguientes fines limitados:
- Recomendaciones de servicios (basadas en patrones de uso)
- Seguridad (detección de actividades anormales)
- Analítica (estadísticas de uso anónimas)
Estas actividades no producen efectos jurídicos ni le afectan significativamente.
8.3. Oposición a la Toma de Decisiones Automatizada
Si cree que se están tomando decisiones automatizadas:
- Puede solicitar intervención humana
- Puede expresar su punto de vista
- Puede impugnar la decisión
9. Privacidad de los Menores
9.1. Límite de Edad
Los servicios de Evaste no están dirigidos a personas menores de 18 años. No recopilamos intencionadamente datos personales de personas menores de 16 años (RGPD) o menores de 13 años (COPPA).
9.2. Detección de Datos de Menores
Si descubrimos que hemos recopilado datos de una persona menor de 18 años:
- Eliminamos los datos inmediatamente
- Cerramos la cuenta
- Notificamos al padre o tutor legal
9.3. Notificación a Padres/Tutores
Si cree que su hijo ha proporcionado datos a Evaste, contáctenos en privacy@evaste.co.
10. Enlaces a Terceros
10.1. Enlaces Externos
Nuestra Plataforma puede contener enlaces a sitios web de terceros. Estos enlaces se proporcionan únicamente para su comodidad.
10.2. Exclusión de Responsabilidad
Evaste:
- No es responsable de las prácticas de privacidad de sitios web de terceros
- No controla el contenido de estos sitios
- No garantiza la seguridad de estos sitios
Le recomendamos que lea las respectivas políticas de privacidad antes de visitar estos sitios.
10.3. Funciones de Redes Sociales
Nuestra Plataforma puede contener botones de redes sociales (LinkedIn, Twitter, etc.). Estas funciones están sujetas a las políticas de privacidad de las respectivas plataformas de redes sociales.
11. Derechos de los Consumidores de California (CCPA)
11.1. Ámbito de Aplicación
Esta sección explica los derechos adicionales otorgados a los consumidores residentes en el Estado de California ("Consumidores de California") en virtud de la Ley de Privacidad del Consumidor de California (CCPA).
11.2. Categorías de Información Recopilada
Categorías de información personal recopilada en los últimos 12 meses:
| Categoría | Ejemplos |
|---|---|
| Identificadores | Nombre, correo electrónico, dirección IP |
| Información Comercial | Historial de compras, información de suscripción |
| Actividad de Internet | Historial de navegación, datos de interacción |
| Geolocalización | Ubicación aproximada basada en IP |
| Información Profesional | Nombre de la empresa, cargo |
| Inferencias | Perfiles de preferencias |
11.3. Derechos de los Consumidores de California
- Derecho a Saber (Right to Know): El derecho a solicitar información sobre la información personal recopilada, utilizada, compartida o vendida en los últimos 12 meses.
- Derecho de Supresión (Right to Delete): El derecho a solicitar la eliminación de su información personal (sujeto a excepciones legales).
- Derecho a Optar por No Vender (Right to Opt-Out): IMPORTANTE: Evaste NO "vende" su información personal en el sentido del CCPA.
- Derecho a la No Discriminación (Right to Non-Discrimination): El derecho a no ser discriminado por ejercer sus derechos de privacidad.
11.4. Agente Autorizado
Si reside en California, puede designar un agente autorizado para ejercer sus derechos. El agente autorizado debe presentar una autorización por escrito, verificar su identidad y demostrar su autoridad para actuar en su nombre.
11.5. Método de Solicitud
Solicitud de derechos de California: Correo electrónico: privacy@evaste.co, Asunto: "CCPA Request - [Tipo de Derecho]"
Plazo de respuesta: 45 días (prorrogable +45 días para solicitudes complejas)
11.6. Proceso de Verificación
Antes de procesar su solicitud, debemos verificar su identidad:
- Si es titular de cuenta: Verificación mediante inicio de sesión en la cuenta
- Si no tiene cuenta: Coincidencia con al menos 2-3 puntos de datos
11.7. "No Venda Mi Información Personal"
Evaste no realiza actividades de "venta" en el sentido del CCPA. Sin embargo, para gestionar sus preferencias: Correo electrónico: privacy@evaste.co, Asunto: "Do Not Sell My Personal Information"
12. Cambios en la Política
12.1. Derecho de Actualización
Evaste se reserva el derecho de actualizar esta Política de Privacidad en cualquier momento. Los cambios se indican con la fecha "Última Actualización", los cambios importantes se notifican por correo electrónico y se anuncian en la Plataforma.
12.2. Cambios Importantes
Los siguientes cambios se consideran "importantes":
- Cambio en las categorías de datos recopilados
- Nuevas finalidades de tratamiento
- Nuevas comparticiones con terceros
- Cambios que afecten a sus derechos
12.3. Plazo de Notificación
Los cambios importantes se notifican al menos 30 días antes de su entrada en vigor.
12.4. Aceptación del Cambio
Continuar utilizando los Servicios después de la notificación significa que acepta la política actualizada. Si no está de acuerdo, puede cerrar su cuenta.
13. Información de Contacto
13.1. Responsable del Tratamiento
- Evaste (Group Taiga)
- Dirección: Levent, Estambul, Turquía
- Correo electrónico: privacy@evaste.co
- Web: https://evaste.co
- Teléfono: +90 532 494 42 64
13.2. Delegado de Protección de Datos
Correo electrónico: dpo@evaste.co
13.3. Autoridades de Control
- Turquía: Autoridad de Protección de Datos (KVKK) - https://kvkk.gov.tr
- Unión Europea: Autoridad de protección de datos del Estado miembro de la UE correspondiente
- California: California Attorney General - https://oag.ca.gov/privacy
Esta Política de Privacidad entró en vigor el 12 de enero de 2026.