Política de privacidad

Esta Política de Privacidad de tucanpay.com informa al Usuario sobre el tratamiento de sus datos personales conforme al Reglamento (UE) 2016/679 (GDPR) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD). El servicio está disponible para usuarios en España, Colombia, Perú y México. Independientemente del país de acceso, el Responsable del tratamiento es TUCANPAY TECHNOLOGY S.L. (España), al amparo de la extraterritorialidad del GDPR.
‍
TucanPay presta sus servicios en determinados países a través de entidades financieras y/o proveedores de servicios de pago debidamente autorizados y supervisados por las autoridades competentes en cada jurisdicción. Estos proveedores actúan como encargados del tratamiento conforme al Artículo 28 del GDPR, bajo contrato de confidencialidad y con las mismas garantías de protección de datos exigidas al Responsable.

Responsable: TUCANPAY TECHNOLOGY S.L.
Domicilio: Príncipe de Vergara 156, Quinta planta, 28002 - Madrid, España
Teléfono: +34 632 79 04 57
Correo Electrónico: info@tucanpay.com
NIF: B55406656

Los datos personales proporcionados por el Usuario serán utilizados para las siguientes finalidades:

3.1. Finalidades principales
-Gestión de solicitudes y consultas: Atender y responder a las solicitudes, consultas o reclamaciones realizadas a través de los formularios del Sitio Web.
- Información comercial: Enviar información sobre productos, servicios, promociones y novedades, siempre que el Usuario haya prestado su consentimiento explícito.
- Gestión de relación comercial: Mantener y gestionar la relación comercial, incluyendo la facturación y el envío de productos o servicios contratados.
- Mejora de servicios: Analizar y mejorar la oferta de productos y servicios mediante el análisis de los datos de uso del Sitio Web.
- Cumplimiento de obligaciones legales: Cumplir con las obligaciones legales y regulatorias aplicables, incluyendo las obligaciones de prevención de blanqueo de capitales (AML) y verificación de identidad (KYC) exigidas en cada jurisdicción de operación.
- Coordinación con proveedores de pago locales: Transmitir los datos necesarios a las entidades financieras y proveedores de servicios de pago autorizados en cada país para la ejecución de las transferencias contratadas por el Usuario.

3.2. Bases legales del tratamiento
- Consentimiento del Usuario (Art. 6.1.a GDPR / Art. 7 LOPDGDD): Para el envío de comunicaciones comerciales y para el uso de cookies no esenciales.
- Ejecución de un contrato (Art. 6.1.b GDPR): Necesario para la prestación del servicio de cambio y transferencia de divisas, incluyendo la transmisión de datos a los proveedores de pago locales.
- Obligación legal (Art. 6.1.c GDPR): Para el cumplimiento de la normativa AML/KYC en España (Ley 10/2010), Colombia (Ley 526/1999 y Circular Básica Jurídica SFC), Perú (Ley N° 27693 y normativa UIF-Perú) y México (Ley Antilavado y disposiciones de la UIF-México).
- Intereses legítimos del Responsable (Art. 6.1.f GDPR): Para la mejora de servicios y análisis de uso del Sitio Web.

- Datos de identificación: Nombre, apellidos, documento de identidad (DNI/NIF, cédula colombiana, DNI peruano, INE/pasaporte mexicano), dirección, teléfono y correo electrónico.
- Datos financieros: Número de cuenta bancaria, IBAN, CCI (Perú), CLABE (México), necesarios para la ejecución de las transferencias.
- Datos de uso: Información sobre la navegación, como direcciones IP, tipo de navegador, páginas visitadas y tiempo de navegación.
- Datos de interacción: Mensajes, consultas y comunicaciones enviadas a través del Sitio Web.
- Datos de perfil: Historial de operaciones, preferencias y otros datos relacionados con el uso del servicio.
- Datos biométricos (en su caso): Imagen facial obtenida en el proceso de verificación de identidad, tratada únicamente para la validación del documento de identidad y suprimida una vez completado el proceso, salvo obligación legal de conservación.

5.1. Plazos de Conservación
- Datos de contacto y gestión comercial: Mientras dure la relación comercial y durante los plazos de prescripción legales aplicables.
- Datos de navegación: De forma anónima durante el tiempo necesario para la elaboración de estadísticas, conforme al Artículo 5.1.e del GDPR.
- Datos financieros y de identidad (KYC/AML): Mínimo 5 años desde la finalización de la relación comercial, conforme a la normativa AML aplicable en cada jurisdicción (Ley 10/2010 en España; normativa equivalente en Colombia, Perú y México).
Datos biométricos: Suprimidos en el plazo máximo de 30 días tras la finalización del proceso de verificación, salvo obligación legal de conservación superior.

‍5.2. Criterios para Determinar los Plazos
- Duración de la relación comercial y plazos de prescripción legales.
- Obligaciones legales de conservación: facturas (6 años en España), registros AML (5 años mínimo en todas las jurisdicciones).
- Intereses legítimos del responsable para la defensa de reclamaciones, conforme al Art. 6.1.f GDPR.

Véase punto 3.2. Las bases legales aplicables son el consentimiento, la ejecución del contrato, la obligación legal y los intereses legítimos, según la finalidad concreta de cada tratamiento.

7.1. Proveedores de servicios de pago locales (encargados del tratamiento)
Para la ejecución de las transferencias en cada país, TucanPay transmite los datos estrictamente necesarios (datos de identidad del ordenante y del beneficiario, importe y referencia de la operación) a las entidades financieras y proveedores de servicios de pago autorizados que operan en cada jurisdicción.
‍
Todos estos proveedores están sujetos a contratos de encargo del tratamiento conforme al artículo 28 del GDPR, con cláusulas de confidencialidad y las mismas garantías de seguridad exigidas al Responsable.
‍
7.2. Autoridades competentes
En cumplimiento de obligaciones legales AML/KYC, los datos podrán ser comunicados a las autoridades competentes de cada jurisdicción: AEAT y SEPBLAC (España), UIAF (Colombia) y UIF-Perú (Perú), así como a las autoridades judiciales o regulatorias que lo soliciten mediante requerimiento legal.
‍
7.3. Otros proveedores de servicios
A proveedores de servicios tecnológicos que actúen como encargados del tratamiento (hosting, email marketing, analítica web, etc.), bajo cláusulas de confidencialidad conforme al Artículo 28 del GDPR.
‍
7.4. Transferencias internacionales
Los datos personales de usuarios en la UE/EEE se transfieren a Colombia, Perú y México para la ejecución del servicio. Las garantías aplicadas son:
‍
- Colombia: Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Art. 46.2.c GDPR). Adicionalmente, la Ley 1581/2012 de Colombia exige garantías equivalentes para transferencias internacionales, condición satisfecha por las CCT.
- Perú: Cláusulas Contractuales Tipo (CCT) (Art. 46.2.c GDPR). La Ley N° 29733 exige contrato escrito con garantías equivalentes para transferencias al exterior; las CCT satisfacen este requisito.

8.1. Derechos bajo el GDPR (todos los usuarios)
‍Acceso (Art. 15 GDPR): Obtener confirmación y copia de los datos tratados.Rectificación (Art. 16 GDPR): Corregir datos inexactos o incompletos.Supresión / Derecho al olvido (Art. 17 GDPR): Solicitar la eliminación cuando los datos ya no sean necesarios.Limitación del tratamiento (Art. 18 GDPR): Solicitar la restricción en determinadas circunstancias.Portabilidad (Art. 20 GDPR): Recibir los datos en formato estructurado y transmitirlos a otro responsable.Oposición (Art. 21 GDPR): Oponerse al tratamiento por motivos relacionados con su situación particular.No ser sometido a decisiones automatizadas con efectos jurídicos significativos (Art. 22 GDPR): Ver punto 8.5.

‍8.2. Derechos adicionales para usuarios en Colombia
‍Los usuarios en Colombia tienen adicionalmente los derechos de conocer, actualizar, rectificar y suprimir sus datos, y revocar la autorización de tratamiento, conforme a la Ley 1581/2012 y el Decreto 1377/2013. El ejercicio se realiza conforme al procedimiento del punto 8.4.

‍8.3. Derechos adicionales para usuarios en Perú
‍Los usuarios en Perú tienen los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) reconocidos por la Ley N° 29733. El ejercicio se realiza conforme al procedimiento del punto 8.4.

‍8.4. Derechos adicionales para usuarios en México
‍Los usuarios en México tienen los derechos ARCO reconocidos por la LFPDPPP, así como el derecho a revocar el consentimiento en cualquier momento. El presente documento cumple la función de Aviso de Privacidad en los términos del artículo 15 de la LFPDPPP. El ejercicio se realiza conforme al procedimiento del punto 8.4.

‍8.5. Cómo ejercer los derechos
‍El Usuario puede ejercer cualquiera de los derechos anteriores dirigiéndose a:

Correo electrónico: info@tucanpay.com 
Dirección postal: Príncipe de Vergara 156, Quinta planta, 28002 - Madrid, España

Se debe incluir copia del documento de identidad del solicitante. TucanPay responderá en el plazo legalmente establecido: 30 días (GDPR), 15 días hábiles (Ley 1581/2012 Colombia), 20 días hábiles (Ley N° 29733 Perú / LFPDPPP México).

‍8.6. Derecho a presentar una reclamaciónEspaña / UE: Agencia Española de Protección de Datos (AEPD) — www.aepd.esColombia: Superintendencia de Industria y Comercio (SIC) — www.sic.gov.coPerú: Autoridad Nacional de Protección de Datos Personales (ANPD) — www.minjus.gob.pe

En el contexto de la verificación de identidad (KYC) y la prevención del blanqueo de capitales (AML), TucanPay utiliza sistemas automatizados para:
- Verificación de documentos de identidad: Comparación automatizada del documento aportado con la imagen facial del usuario para validar la autenticidad de la identidad. Esta verificación puede producir una decisión automatizada inicial de aceptación o rechazo de la solicitud de alta.
- Detección de operaciones sospechosas: Análisis automatizado de patrones de transacción para el cumplimiento de obligaciones AML. Este análisis puede dar lugar a la suspensión temporal de una operación pendiente de revisión humana.
‍
Conforme al Artículo 22 del GDPR, el Usuario tiene derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos significativos. TucanPay garantiza que toda decisión automatizada con efectos relevantes para el usuario (denegación de alta, bloqueo de cuenta, suspensión de operación) es revisada por un agente humano antes de hacerse efectiva. Para solicitar revisión humana de una decisión automatizada, el usuario puede escribir a soporte@tucanpay.com.

Los campos marcados con un asterisco (*) en los formularios del sitio web son obligatorios. Los datos solicitados en el proceso de verificación de identidad (KYC) son obligatorios para el acceso al servicio, por exigencia de la normativa AML aplicable. La omisión de estos datos impedirá la prestación del servicio.

- Control de acceso por roles: Acceso restringido al personal autorizado mediante autenticación multifactor.
- Encriptación: SSL/TLS en transmisión y cifrado en reposo para datos financieros e identificativos.
- Auditorías periódicas de seguridad, conforme al Art. 32.3 GDPR.
- Formación continua del personal en protección de datos.
- Gestión de incidentes: Procedimientos de detección, notificación a la autoridad de control en 72 horas (Art. 33 GDPR) y comunicación al usuario afectado cuando proceda (Art. 34 GDPR).

TucanPay utiliza cookies y tecnologías similares. Ninguna cookie no esencial se instala antes de que el usuario haya otorgado su consentimiento explícito mediante el banner de cookies. Para más información, consulte nuestra Política de Cookies, que incluye el detalle de cada cookie, su finalidad, duración y proveedor, así como las instrucciones para gestionar o retirar el consentimiento en cualquier momento.

El servicio de TucanPay está dirigido exclusivamente a mayores de 18 años. TucanPay no recaba conscientemente datos de menores de edad. Si el responsable detecta que se han recabado datos de un menor, procederá a su supresión inmediata.

El Usuario garantiza que los datos personales facilitados son veraces, exactos y están actualizados, comprometiéndose a comunicar cualquier modificación de los mismos.

El sitio web puede contener enlaces a páginas de terceros. TucanPay no se responsabiliza del contenido ni de las políticas de privacidad de dichos sitios, por lo que se recomienda al usuario revisar sus respectivas políticas.

El responsable se reserva el derecho a modificar esta política para adaptarla a novedades legislativas, jurisprudenciales o tecnológicas. Las actualizaciones serán notificadas a los usuarios registrados por correo electrónico con al menos 15 días de antelación cuando afecten sustancialmente a sus derechos, conforme al artículo 12.6 del GDPR.