Política de Privacidad

1. Identidad del responsable

COMPLY360 S.A.C.(en adelante, "Comply360"), con domicilio fiscal en Lima, Perú, es el responsable del tratamiento de los datos personales recolectados a través de la plataforma app.comply360.pe.

Contacto del Encargado de Protección de Datos: datos@comply360.pe.

2. Datos que recolectamos

Según el rol del usuario, tratamos las siguientes categorías de datos:

2.1. Administradores de empresa (clientes)

• Datos de identificación: nombre, apellidos, email corporativo, teléfono.
• Datos laborales: cargo, empresa a la que representa, RUC de la empresa.
• Datos técnicos: dirección IP, user-agent, historial de navegación dentro de la plataforma.
• Datos de pago: procesados exclusivamente por Culqi (no almacenamos números de tarjeta).

2.2. Trabajadores (datos provistos por empleadores)

• Datos personales básicos: DNI, nombres, apellidos, fecha de nacimiento, dirección, teléfono, email.
• Datos laborales: cargo, régimen laboral, fecha de ingreso, remuneración, tipo de contrato.
• Datos previsionales: AFP/ONP, CUSPP.
• Datos sensibles (solo con consentimiento expreso conforme Art. 14): firma biométrica (prueba criptográfica, NO imagen de la huella), datos de salud ocupacional si se registran, datos de denuncias de hostigamiento sexual.

3. Finalidades del tratamiento

1. Prestar el servicio SaaS de compliance laboral contratado por la empresa empleadora.
2. Generar, gestionar y firmar contratos laborales y documentos del legajo.
3. Calcular beneficios sociales y emitir alertas de vencimientos normativos.
4. Cumplir obligaciones legales de la empresa empleadora ante SUNAFIL, SUNAT y MTPE.
5. Enviar notificaciones operativas y comunicaciones del servicio.

4. Base legal del tratamiento

• Consentimiento expreso del titular (Art. 5 y 14 Ley 29733) para datos sensibles.
• Ejecución contractual entre el titular del dato (trabajador) y la empresa empleadora, donde Comply360 actúa como encargado del tratamiento.
• Obligación legal del empleador conforme a la legislación laboral peruana.

5. Transferencia a terceros

Para prestar el servicio, podemos transferir datos a los siguientes encargados:

• Supabase / AWS (infraestructura, hospedaje en EE.UU.): bajo cláusulas contractuales estándar y medidas de seguridad verificadas.
• OpenAI (procesamiento de IA para verificación de documentos y asistente legal): no se usan datos para entrenamiento (API Enterprise, zero-retention).
• Clerk (autenticación): datos de sesión y credenciales.
• Culqi (pagos): datos transaccionales para cobro de suscripción.
• Resend (email): envío de notificaciones operativas.

Las transferencias internacionales cumplen lo dispuesto en el Art. 15 de la Ley 29733.

6. Derechos del titular (Ley 29733 Art. 22)

Tenés derecho a:

• Acceder a tus datos personales. Usá el endpoint /api/user/export-my-data desde tu perfil o escribinos.
• Rectificar datos inexactos o incompletos.
• Cancelar / suprimir tus datos cuando no sean necesarios o hayas revocado el consentimiento. Nota: los contratos y boletas firmados se conservan en forma anonimizada por obligación legal del empleador.
• Oponerte al tratamiento en casos específicos.
• Portabilidad: recibir tus datos en formato JSON estructurado.

Para ejercer estos derechos, escribinos a datos@comply360.pe. Responderemos en un plazo máximo de 20 días hábiles.

7. Retención de datos

• Datos de cuenta activa: durante la vigencia del servicio.
• Documentos del legajo laboral: mientras dure la relación laboral del trabajador y durante el plazo legal de conservación de documentos (5 años post-cese para la mayoría de documentos, conforme D.S. 001-98-TR).
• Datos de auditoría (AuditLog): 5 años post-creación para cumplimiento regulatorio.

8. Seguridad

Aplicamos medidas técnicas y organizativas: cifrado TLS 1.3 en tránsito, cifrado at-rest en base de datos, Row-Level Security en PostgreSQL, auditoría inmutable, control de acceso por rol, monitoreo de seguridad 24/7, y pentesting anual.

9. Inscripción ante la ANPD

Nuestros Bancos de Datos Personales están inscritos en el Registro Nacional de Protección de Datos Personales del MINJUS, conforme al Art. 29 de la Ley 29733. Código de inscripción: [pendiente de asignación].

10. Modificaciones

Podemos modificar esta política. Los cambios sustanciales se comunicarán con al menos 30 días de anticipación por email y requerirán reaceptación del consent management.