Horario de atención: Lunes a viernes, 8:00 a.m. a 5:00 p.m. (GMT-6)
2. Introducción y Alcance
2.1 Propósito
La presente Política de Privacidad y Protección de Datos Personales (en adelante, la "Política") tiene como propósito informar de manera clara, completa y transparente cómo JBVALSYS S.R.L., operando bajo el nombre comercial AltumSys (en adelante, "AltumSys", "nosotros", "nuestro" o "la Empresa"), recopila, utiliza, almacena, protege, comparte y elimina los datos personales de los usuarios, clientes, visitantes y cualquier persona que interactúe con nuestros servicios (en adelante, el "Usuario", el "Cliente" o el "Titular").
2.2 Alcance
Esta Política aplica a todos los datos personales tratados a través de:
El sitio web tienda.altumsys.com (en adelante, la "Plataforma"). • Las aplicaciones móviles asociadas, si las hubiere en el futuro. • Las comunicaciones por correo electrónico, teléfono, redes sociales y cualquier otro canal de atención al cliente. • Los formularios de registro, contacto, cotización y suscripción. • Los procesos de compra, entrega, facturación, devolución y soporte postventa.
2.3 Marco legal
Esta Política se rige por la Ley N.° 8968, Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, su Reglamento (Decreto Ejecutivo N.° 37554-JP), y demás normativa aplicable en la República de Costa Rica, incluyendo las directrices emitidas por la Agencia de Protección de Datos de los Habitantes (PRODHAB).
2.4 Aceptación
Al acceder, navegar, registrarse o realizar transacciones en la Plataforma, el Usuario declara haber leído, comprendido y aceptado íntegramente los términos de esta Política. Si no está de acuerdo con alguna disposición, le solicitamos abstenerse de utilizar la Plataforma y nuestros servicios. La aceptación de esta Política es condición indispensable para el uso de la Plataforma.
3. Definiciones
Para efectos de interpretación de esta Política, se entenderá por:
Datos personales: Cualquier información concerniente a una persona física identificada o identificable, tales como nombre, número de identificación, datos de contacto, datos de localización, identificadores en línea, o uno o varios elementos propios de la identidad física, fisiológica, económica, cultural o social de dicha persona. • Datos sensibles: Datos personales que revelan origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida u orientación sexual. AltumSys no recopila datos sensibles. • Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o manuales, incluyendo la recopilación, registro, organización, estructuración, almacenamiento, adaptación, modificación, extracción, consulta, utilización, comunicación por transmisión, difusión, comparación, interconexión, limitación, supresión o destrucción. • Responsable del tratamiento: La persona física o jurídica, pública o privada, que determina los fines y medios del tratamiento de datos personales. En el contexto de esta Política, JBVALSYS S.R.L. • Encargado del tratamiento: La persona física o jurídica que trata datos personales por cuenta y bajo las instrucciones del Responsable del tratamiento. • Titular de los datos: La persona física cuyos datos personales son objeto de tratamiento. • Consentimiento: Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el Titular acepta el tratamiento de sus datos personales. • Base de datos: Conjunto organizado de datos personales que sea objeto de tratamiento, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. • Transferencia de datos: Comunicación de datos personales a un tercero, nacional o internacional, diferente del Responsable o del Encargado del tratamiento. • Anonimización: Proceso irreversible mediante el cual los datos personales dejan de poder asociarse a un Titular identificado o identificable. • Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un Titular sin utilizar información adicional, siempre que dicha información adicional se mantenga separada y sujeta a medidas técnicas y organizativas. • Brecha de seguridad: Incidente de seguridad que ocasione la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos personales. • PRODHAB: Agencia de Protección de Datos de los Habitantes de Costa Rica, organismo adscrito al Ministerio de Justicia y Paz, encargado de velar por el cumplimiento de la Ley N.° 8968.
4. Principios Rectores del Tratamiento
AltumSys se compromete a tratar los datos personales conforme a los siguientes principios, establecidos en la Ley N.° 8968:
Principio de consentimiento informado: Todo tratamiento de datos personales se realizará con el consentimiento previo, expreso e informado del Titular, salvo las excepciones legales aplicables. • Principio de finalidad: Los datos personales serán recopilados para finalidades determinadas, explícitas y legítimas, y no serán tratados de manera incompatible con dichas finalidades. • Principio de proporcionalidad: Solo se recopilarán los datos personales que sean adecuados, pertinentes y no excesivos en relación con las finalidades para las que son tratados. • Principio de calidad de la información: Los datos personales deberán ser exactos, completos, actualizados y veraces. AltumSys adoptará las medidas razonables para que los datos inexactos sean rectificados o suprimidos sin dilación. • Principio de seguridad: Se implementarán medidas técnicas y organizativas apropiadas para garantizar la seguridad, integridad y confidencialidad de los datos personales. • Principio de transparencia: El Titular será informado de manera clara y comprensible sobre el tratamiento de sus datos personales. • Principio de responsabilidad demostrada (accountability): AltumSys será capaz de demostrar el cumplimiento de estos principios y de la legislación aplicable en materia de protección de datos.
5. Datos Personales que Recopilamos
5.1 Datos proporcionados directamente por el Usuario
En el contexto de la utilización de la Plataforma y nuestros servicios, AltumSys podrá recopilar las siguientes categorías de datos personales:
a) Datos de identificación personal:
Nombre completo o razón social. • Número de cédula de identidad, cédula de residencia o cédula jurídica. • Nacionalidad.
b) Datos de contacto:
Correo electrónico principal y secundario. • Número de teléfono fijo y/o móvil. • Dirección de entrega (provincia, cantón, distrito, señas exactas). • Dirección fiscal o de facturación.
c) Datos de cuenta de usuario:
Nombre de usuario. • Contraseña (almacenada exclusivamente de forma cifrada mediante algoritmos de hash seguros; AltumSys nunca almacena contraseñas en texto plano). • Preferencias de cuenta y configuración. • Historial de pedidos e interacciones.
d) Datos de facturación y tributarios:
Información necesaria para la emisión de facturas electrónicas conforme a la Resolución DGT-R-48-2016 y normativa tributaria vigente. • Nombre o razón social del contribuyente. • Número de identificación tributaria. • Actividad económica (cuando aplique para clientes B2B).
e) Datos comerciales:
Productos adquiridos, cantidades, precios y condiciones de compra. • Historial de cotizaciones y pedidos. • Productos marcados como favoritos o en listas de deseos. • Carritos de compra abandonados.
f) Datos de comunicación:
Contenido de consultas, reclamos, solicitudes y comunicaciones realizadas a través de correo electrónico, formularios de contacto, chat en vivo, teléfono o redes sociales. • Grabaciones de llamadas telefónicas (cuando aplique, previo aviso al Usuario). • Encuestas de satisfacción y retroalimentación voluntaria.
5.2 Datos recopilados de forma automática
Al navegar por la Plataforma, recopilamos automáticamente cierta información técnica mediante cookies, píxeles de seguimiento, web beacons y tecnologías similares:
a) Datos del dispositivo:
Tipo de dispositivo (computadora de escritorio, portátil, tableta, teléfono móvil). • Marca y modelo del dispositivo. • Sistema operativo y versión. • Tipo, versión e idioma del navegador. • Resolución de pantalla. • Identificadores únicos del dispositivo.
b) Datos de conexión:
Dirección IP (que puede indicar la ubicación geográfica aproximada). • Proveedor de servicios de internet (ISP). • Tipo de conexión (Wi-Fi, datos móviles, cable).
c) Datos de navegación y comportamiento:
Páginas visitadas dentro de la Plataforma y secuencia de navegación. • Tiempo de permanencia en cada página. • Enlaces y botones en los que hace clic. • Productos y categorías consultados. • Términos de búsqueda utilizados dentro de la Plataforma. • Fecha, hora y zona horaria de cada acceso. • URL de referencia (sitio web desde el que el Usuario llegó a la Plataforma). • Eventos de interacción (scroll, clics, envío de formularios).
d) Datos de rendimiento:
Velocidad de carga de páginas. • Errores del sitio y reportes de fallos. • Comportamiento general de la sesión.
5.3 Datos recopilados de terceros
En determinadas circunstancias, AltumSys podrá recibir datos personales de fuentes externas:
Procesadores de pago: Confirmación del estado de la transacción (aprobada, rechazada, pendiente), sin incluir datos completos de tarjetas. • Servicios de verificación de identidad: Para la prevención de fraudes en transacciones de alto valor. • Plataformas de redes sociales: Cuando el Usuario opte por registrarse o iniciar sesión a través de cuentas de terceros (Facebook, Google, Microsoft), recibiremos los datos que el Usuario haya autorizado compartir (generalmente nombre, correo electrónico y foto de perfil). • Fuentes públicas: Información disponible en registros públicos para la verificación de personas jurídicas.
5.4 Datos que NO recopilamos
AltumSys declara expresamente que:
No recopila ni almacena números completos de tarjetas de crédito o débito, códigos CVV/CVC, ni datos de la banda magnética o chip de tarjetas. Todas las transacciones con tarjeta son procesadas exclusivamente por pasarelas de pago certificadas bajo el estándar PCI DSS (Payment Card Industry Data Security Standard). • No recopila datos sensibles tales como origen racial o étnico, opiniones políticas, convicciones religiosas, datos de salud, vida sexual u orientación sexual, datos genéticos o biométricos. • No recopila datos de menores de edad de manera intencional (ver sección 16).
6. Base Legal del Tratamiento
El tratamiento de datos personales por parte de AltumSys se fundamenta en una o más de las siguientes bases legales, conforme a los artículos 5 y 14 de la Ley N.° 8968:
6.1 Ejecución contractual
El tratamiento es necesario para la celebración y ejecución del contrato de compraventa entre AltumSys y el Cliente, incluyendo la gestión de pedidos, procesamiento de pagos, coordinación de entregas, emisión de facturas, gestión de devoluciones y garantías, y la prestación de soporte postventa.
6.2 Consentimiento del Titular
Para determinadas actividades de tratamiento que no son estrictamente necesarias para la ejecución del contrato, AltumSys solicitará el consentimiento previo, expreso e informado del Titular, en particular para:
El envío de comunicaciones comerciales, promocionales y de marketing. • El uso de cookies no esenciales (analítica, funcionalidad, marketing). • La elaboración de perfiles de consumo y personalización de contenido. • La compartición de datos con socios comerciales para ofertas conjuntas.
El consentimiento podrá ser revocado en cualquier momento sin que ello afecte la licitud del tratamiento previo.
6.3 Cumplimiento de obligaciones legales
El tratamiento es necesario para cumplir con requerimientos legales, tributarios, contables y regulatorios a los que está sujeta AltumSys, incluyendo:
Emisión y conservación de facturas electrónicas conforme a la normativa de la Dirección General de Tributación. • Retención de registros contables y fiscales durante los plazos legalmente establecidos. • Atención de requerimientos de autoridades judiciales, administrativas o regulatorias. • Cumplimiento de normativa de prevención de lavado de dinero y financiamiento del terrorismo, cuando aplique.
6.4 Interés legítimo
En determinadas circunstancias, el tratamiento podrá basarse en el interés legítimo de AltumSys, siempre que dicho interés no prevalezca sobre los derechos y libertades fundamentales del Titular:
Prevención y detección de fraudes, actividades ilícitas y abuso de la Plataforma. • Garantizar la seguridad e integridad de la infraestructura tecnológica. • Mejora continua de los servicios, la experiencia de usuario y la funcionalidad de la Plataforma. • Ejercicio o defensa de derechos en procedimientos judiciales o administrativos. • Análisis estadístico con datos anonimizados o agregados.
7. Finalidades del Tratamiento
Los datos personales recopilados serán utilizados exclusivamente para las siguientes finalidades, las cuales el Titular conoce y acepta:
7.1 Finalidades principales (necesarias para la prestación del servicio)
Gestionar el proceso de registro y la creación, mantenimiento y eliminación de la cuenta de usuario en la Plataforma. • Verificar la identidad del Usuario durante el registro y en transacciones posteriores. • Procesar, confirmar, preparar y dar seguimiento a los pedidos realizados, incluyendo la comunicación del estado del pedido en tiempo real. • Coordinar la logística de envío y entrega de productos, incluyendo la asignación de transportistas y la generación de guías de envío. • Emitir facturas electrónicas y documentos tributarios conforme a la normativa vigente. • Procesar pagos a través de las pasarelas autorizadas, gestionar reembolsos, notas de crédito y devoluciones. • Brindar soporte al cliente y atender consultas, reclamos, solicitudes de información y solicitudes de garantía a través de todos los canales de atención. • Gestionar procesos de devolución, cambio y garantía de productos. • Administrar y mantener la relación contractual con el Cliente, incluyendo la comunicación de cambios en las condiciones del servicio. • Cumplir con obligaciones legales, tributarias, contables y regulatorias. • Prevenir, detectar e investigar fraudes, usos indebidos, actividades ilegales y violaciones a nuestros Términos y Condiciones.
Enviar comunicaciones comerciales, promocionales y de marketing por correo electrónico, SMS, notificaciones push u otros medios electrónicos, sobre productos, ofertas, descuentos, novedades, eventos y servicios de AltumSys. • Realizar encuestas de satisfacción del cliente y estudios de mercado. • Elaborar perfiles de consumo y preferencias para personalizar la experiencia del usuario, las recomendaciones de productos y el contenido mostrado en la Plataforma. • Compartir datos con socios comerciales, distribuidores o fabricantes para ofertas conjuntas o programas de fidelización. • Participación en concursos, sorteos o programas de lealtad. • Análisis de comportamiento de compra y navegación para mejorar la oferta comercial y la experiencia de usuario.
El Usuario podrá revocar su consentimiento para las finalidades secundarias en cualquier momento, sin que ello afecte la licitud del tratamiento previo ni la prestación de los servicios esenciales de la Plataforma.
7.3 Finalidades incompatibles
AltumSys se compromete a no utilizar los datos personales para finalidades incompatibles con las descritas en esta Política, tales como:
Venta de datos personales a terceros con fines de marketing directo no relacionado con AltumSys. • Creación de perfiles discriminatorios basados en datos sensibles. • Cualquier otro uso que no haya sido informado al Titular o para el cual no se cuente con una base legal adecuada.
8. Cookies y Tecnologías de Seguimiento
8.1 ¿Qué son las cookies?
Las cookies son pequeños archivos de texto que se almacenan en el dispositivo del Usuario (computadora, teléfono, tableta) cuando visita la Plataforma. Contienen información que permite reconocer al Usuario en visitas futuras, recordar sus preferencias y mejorar la experiencia de navegación.
8.2 Tecnologías similares
Además de cookies, AltumSys podrá utilizar otras tecnologías de seguimiento:
Píxeles de seguimiento (tracking pixels): Imágenes diminutas incrustadas en páginas web o correos electrónicos que permiten registrar si una página ha sido visitada o un correo ha sido abierto. • Web beacons: Tecnología similar a los píxeles de seguimiento, utilizada para obtener estadísticas de uso. • Almacenamiento local (localStorage/sessionStorage): Mecanismos del navegador para almacenar datos de forma temporal o persistente en el dispositivo del Usuario. • Fingerprinting del dispositivo: Técnica que recopila información sobre la configuración del dispositivo para crear un identificador único (utilizada exclusivamente con fines de seguridad y prevención de fraude).
8.3 Tipos de cookies que utilizamos
a) Cookies estrictamente necesarias:
Estas cookies son imprescindibles para el funcionamiento de la Plataforma y no pueden desactivarse. Incluyen cookies para la gestión de la sesión del usuario, el carrito de compras, la autenticación, la seguridad (protección contra CSRF) y el equilibrio de carga del servidor. No requieren consentimiento del Usuario.
b) Cookies de rendimiento y analítica:
Estas cookies recopilan información estadística sobre cómo los Usuarios utilizan la Plataforma (páginas más visitadas, tiempo de permanencia, tasas de error, flujos de navegación). Los datos se recopilan de forma agregada y anónima. AltumSys puede utilizar herramientas de analítica como Google Analytics, cuyas propias políticas de privacidad aplican al tratamiento de datos que realizan.
c) Cookies de funcionalidad:
Permiten recordar las preferencias del Usuario para ofrecer una experiencia personalizada, tales como el idioma preferido, la región, la moneda, el tamaño de fuente, las preferencias de visualización y los productos recientemente consultados.
d) Cookies de marketing y publicidad:
Utilizadas para mostrar anuncios relevantes al Usuario tanto dentro como fuera de la Plataforma, medir la efectividad de campañas publicitarias, limitar la frecuencia de exposición a un anuncio y rastrear conversiones. Pueden ser establecidas por AltumSys o por terceros autorizados (redes de publicidad, redes sociales).
8.4 Cookies de terceros
La Plataforma podrá incluir cookies establecidas por terceros proveedores de servicios, entre los que se encuentran:
Google Analytics — Analítica web y estadísticas de uso. • Google Ads — Publicidad y remarketing. • Facebook/Meta Pixel — Publicidad en redes sociales y medición de conversiones. • Procesadores de pago — Cookies necesarias para el procesamiento seguro de transacciones.
Cada proveedor tercero opera bajo sus propias políticas de privacidad y cookies, sobre las cuales AltumSys no tiene control directo.
8.5 Duración de las cookies
Cookies de sesión: Se eliminan automáticamente cuando el Usuario cierra el navegador. • Cookies persistentes: Permanecen en el dispositivo del Usuario durante un período determinado (desde días hasta un máximo de 24 meses, según la cookie) o hasta que el Usuario las elimine manualmente.
8.6 Gestión y configuración de cookies
El Usuario tiene el control sobre las cookies y puede gestionarlas de las siguientes maneras:
a) Banner de cookies: Al visitar la Plataforma por primera vez, se mostrará un banner informativo que permite al Usuario aceptar, rechazar o configurar selectivamente las cookies no esenciales.
b) Configuración del navegador: El Usuario puede configurar su navegador para bloquear o eliminar cookies. A continuación, enlaces a las instrucciones de los navegadores más comunes:
Google Chrome: chrome://settings/cookies • Mozilla Firefox: about:preferences#privacy • Safari: Preferencias > Privacidad • Microsoft Edge: edge://settings/privacy
c) Herramientas de opt-out de terceros:
Google Analytics: https://tools.google.com/dlpage/gaoptout • Your Online Choices (DAA): https://www.aboutads.info/choices/
Nota importante: La desactivación de cookies estrictamente necesarias podría afectar significativamente la funcionalidad de la Plataforma, incluyendo la imposibilidad de iniciar sesión, agregar productos al carrito o completar compras.
9. Compartición y Transferencia de Datos a Terceros
9.1 Principio general
AltumSys no vende, alquila ni comercializa los datos personales de sus Usuarios a terceros con fines de marketing directo no relacionado con los servicios de AltumSys. Los datos personales se comparten con terceros únicamente cuando es estrictamente necesario para las finalidades descritas en esta Política y conforme a las bases legales aplicables.
9.2 Categorías de destinatarios
AltumSys podrá compartir datos personales con las siguientes categorías de terceros:
a) Procesadores de pago y entidades financieras:
Para el procesamiento seguro de transacciones con tarjeta de crédito, débito, transferencias bancarias, SINPE Móvil y PayPal. Todos los procesadores están certificados bajo el estándar PCI DSS y operan como encargados del tratamiento bajo instrucciones contractuales de AltumSys.
b) Servicios de envío y logística:
Para la coordinación, gestión y seguimiento de entregas de productos. Se comparten exclusivamente los datos necesarios para la entrega: nombre del destinatario, dirección de entrega, número de teléfono y descripción general del paquete.
c) Proveedores de servicios tecnológicos:
Para el funcionamiento, mantenimiento, alojamiento, seguridad y mejora de la Plataforma, incluyendo:
Servicios de alojamiento web e infraestructura en la nube (Microsoft Azure). • Servicios de correo electrónico transaccional y marketing. • Herramientas de analítica web y monitoreo de rendimiento. • Servicios de soporte técnico y atención al cliente. • Servicios de seguridad, protección contra DDoS y detección de fraudes. • Servicios de respaldo y recuperación de datos.
d) Fabricantes y distribuidores:
Para la gestión de garantías, reclamos y soporte técnico de productos específicos, cuando sea necesario escalar un caso al fabricante original.
e) Asesores profesionales:
Abogados, contadores, auditores y consultores, en la medida necesaria para recibir asesoría profesional, sujetos a obligaciones de confidencialidad.
f) Autoridades fiscales y tributarias:
Para el cumplimiento de obligaciones de facturación electrónica y requerimientos del Ministerio de Hacienda y la Dirección General de Tributación.
g) Autoridades judiciales, administrativas o regulatorias:
Cuando AltumSys esté legalmente obligada a proporcionar datos personales en respuesta a una orden judicial, requerimiento administrativo, citación legal, o cuando sea necesario para el cumplimiento de la ley, la protección de nuestros derechos legales, la seguridad pública o la prevención de delitos.
h) Entidades del mismo grupo corporativo:
En caso de que AltumSys forme parte de un grupo empresarial, los datos podrán ser compartidos con entidades afiliadas para fines administrativos internos, siempre bajo condiciones equivalentes de protección.
9.3 Garantías contractuales
Todos los terceros que actúen como encargados del tratamiento por cuenta de AltumSys estarán vinculados por acuerdos contractuales de tratamiento de datos (Data Processing Agreements - DPA) que incluyen, como mínimo, las siguientes obligaciones:
Tratar los datos personales exclusivamente conforme a las instrucciones documentadas de AltumSys y para las finalidades específicamente acordadas. • Implementar medidas de seguridad técnicas y organizativas apropiadas, conforme al estado del arte tecnológico. • No subcontratar el tratamiento sin autorización previa y por escrito de AltumSys. • Cooperar con AltumSys en la atención de solicitudes de ejercicio de derechos por parte de los Titulares. • Notificar a AltumSys sin dilación indebida cualquier brecha de seguridad que afecte datos personales. • Eliminar o devolver todos los datos personales al finalizar la relación contractual, y certificar su destrucción segura. • Someterse a auditorías e inspecciones por parte de AltumSys o auditores designados.
9.4 Transferencias internacionales de datos
Algunos proveedores de servicios tecnológicos de AltumSys podrían procesar datos personales en servidores ubicados fuera de la República de Costa Rica, particularmente en Estados Unidos y la Unión Europea. En tales casos, AltumSys garantiza que:
Se realizan evaluaciones de impacto de transferencia para verificar que el país receptor ofrezca un nivel adecuado de protección de datos, o que se cuente con garantías apropiadas. • Se suscriben cláusulas contractuales estándar de protección de datos. • Se implementan medidas técnicas complementarias, incluyendo cifrado de datos en tránsito (TLS 1.2 o superior) y en reposo (AES-256 o equivalente). • Se informa a la PRODHAB sobre las transferencias internacionales cuando sea requerido por la normativa vigente. • Se eligen, en la medida de lo posible, proveedores que ofrezcan opciones de residencia de datos en la región latinoamericana.
10. Seguridad de los Datos
10.1 Compromiso de seguridad
AltumSys reconoce la importancia de la seguridad de los datos personales y se compromete a implementar y mantener medidas de seguridad técnicas, administrativas y físicas apropiadas y proporcionales al riesgo, para proteger los datos personales contra accesos no autorizados, pérdida accidental, alteración, destrucción, divulgación indebida y cualquier forma de tratamiento ilícito.
10.2 Medidas técnicas
Cifrado en tránsito: Toda comunicación entre el navegador del Usuario y la Plataforma se realiza a través de protocolos SSL/TLS con certificados vigentes, garantizando que los datos transmitidos no puedan ser interceptados por terceros. • Cifrado en reposo: Los datos sensibles almacenados en nuestras bases de datos, incluyendo contraseñas y datos de identificación, se protegen mediante algoritmos de cifrado robustos (AES-256) y funciones de hash seguras (bcrypt, Argon2). • Autenticación y control de acceso: El acceso a los sistemas que contienen datos personales está restringido exclusivamente al personal autorizado, mediante autenticación multifactor (MFA), gestión de privilegios basada en roles (RBAC) y políticas de contraseñas robustas. • Segmentación de red: Las bases de datos que contienen información personal están aisladas en segmentos de red protegidos con firewalls y listas de control de acceso. • Sistemas de detección y prevención de intrusiones (IDS/IPS): Monitoreo continuo de la infraestructura para detectar y responder automáticamente a actividades sospechosas o ataques. • Protección contra malware y amenazas: Soluciones de antivirus, anti-malware y protección de endpoints actualizadas en todos los sistemas. • Protección contra DDoS: Sistemas de mitigación de ataques de denegación de servicio distribuido para garantizar la disponibilidad de la Plataforma. • Escaneo de vulnerabilidades: Evaluaciones periódicas de seguridad y escaneos de vulnerabilidades en la infraestructura y el código de la Plataforma. • Actualizaciones de seguridad: Aplicación oportuna de parches y actualizaciones de seguridad en todos los sistemas operativos, frameworks y dependencias de software.
10.3 Medidas administrativas
Políticas de seguridad de la información: AltumSys cuenta con políticas internas documentadas en materia de seguridad de la información, privacidad y protección de datos. • Capacitación del personal: Formación periódica obligatoria del personal en materia de protección de datos personales, seguridad de la información, ingeniería social y buenas prácticas de manejo de información. • Acuerdos de confidencialidad: Todo el personal con acceso a datos personales firma acuerdos de confidencialidad y no divulgación (NDA). • Principio de mínimo privilegio: El acceso a datos personales se concede exclusivamente al personal que lo necesita para el desempeño de sus funciones, y se revisa periódicamente. • Registro de actividades de tratamiento: Mantenemos un inventario actualizado de las actividades de tratamiento de datos personales, conforme a las directrices de la PRODHAB. • Evaluaciones de impacto en la privacidad (PIA): Se realizan evaluaciones de impacto antes de implementar nuevos procesos o tecnologías que impliquen un tratamiento significativo de datos personales.
10.4 Medidas físicas
Los servidores e infraestructura de AltumSys están alojados en centros de datos de proveedores certificados (Microsoft Azure) que cuentan con controles de acceso físico, vigilancia, sistemas contra incendios, alimentación eléctrica redundante y control de temperatura y humedad.
10.5 Gestión de incidentes de seguridad
AltumSys cuenta con un procedimiento documentado de respuesta ante incidentes de seguridad que incluye:
Identificación y clasificación del incidente por severidad. • Contención inmediata para minimizar el impacto. • Investigación forense para determinar el alcance, la causa raíz y los datos afectados. • Recuperación y restauración de sistemas y datos afectados. • Notificación a las autoridades competentes (PRODHAB) y a los Titulares afectados conforme a la ley. • Documentación del incidente y lecciones aprendidas. • Implementación de medidas correctivas para prevenir la recurrencia.
10.6 Copias de seguridad
AltumSys realiza copias de seguridad periódicas de los datos almacenados, las cuales se cifran y almacenan en ubicaciones geográficamente separadas. Los procedimientos de restauración se prueban periódicamente para garantizar su efectividad.
10.7 Limitación de la garantía
A pesar de las medidas de seguridad implementadas, ningún sistema de transmisión o almacenamiento de datos a través de internet es completamente seguro. AltumSys no puede garantizar de manera absoluta la seguridad de los datos personales transmitidos a través de la Plataforma. El Usuario reconoce y acepta que transmite sus datos personales bajo su propia responsabilidad, y que AltumSys no será responsable por interceptaciones o accesos no autorizados que se produzcan por causas ajenas a su control y a pesar de haber implementado las medidas de seguridad razonables.
11. Conservación y Eliminación de los Datos
11.1 Principio de minimización temporal
AltumSys conservará los datos personales durante el tiempo estrictamente necesario para cumplir con las finalidades para las cuales fueron recopilados, y durante los plazos adicionales exigidos por la legislación aplicable.
11.2 Plazos de conservación específicos
11.3 Cuentas inactivas
Si una cuenta de usuario permanece inactiva (sin inicios de sesión ni transacciones) durante un período de veinticuatro (24) meses consecutivos, AltumSys podrá:
Enviar una notificación al correo electrónico registrado informando la próxima inactivación de la cuenta. • Si no se recibe respuesta en treinta (30) días, proceder con la desactivación de la cuenta. • Conservar los datos transaccionales y fiscales durante los plazos legales, y eliminar o anonimizar los demás datos.
11.4 Métodos de eliminación
Una vez transcurridos los plazos de conservación, los datos personales serán:
Eliminación segura: Borrado irreversible de los datos de los sistemas activos y copias de seguridad, utilizando métodos que impidan su recuperación. • Anonimización: Cuando los datos tengan valor estadístico o analítico, podrán ser anonimizados de forma irreversible (eliminando cualquier posibilidad de reidentificación del Titular) y conservados indefinidamente con fines estadísticos.
12. Derechos del Titular de los Datos (Derechos ARCO y Derechos Complementarios)
Conforme a la Ley N.° 8968, su Reglamento y las directrices de la PRODHAB, el Titular de los datos personales tiene los siguientes derechos:
12.1 Derecho de Acceso
El Titular tiene derecho a obtener confirmación de si AltumSys trata sus datos personales y, en caso afirmativo, a acceder a los siguientes aspectos:
Los datos personales específicos que están siendo tratados. • Las finalidades del tratamiento. • Las categorías de datos tratados. • Los destinatarios o categorías de destinatarios a quienes se han comunicado o se comunicarán los datos. • El plazo previsto de conservación de los datos. • La existencia de decisiones automatizadas, incluyendo la elaboración de perfiles. • El origen de los datos cuando no hayan sido obtenidos directamente del Titular.
12.2 Derecho de Rectificación
El Titular tiene derecho a solicitar la corrección de datos personales que sean inexactos, erróneos, incompletos o desactualizados, proporcionando la información correcta y, cuando sea necesario, la documentación de respaldo.
12.3 Derecho de Cancelación (Supresión)
El Titular tiene derecho a solicitar la eliminación de sus datos personales cuando:
Ya no sean necesarios para las finalidades para las que fueron recopilados. • El Titular retire su consentimiento y no exista otra base legal para el tratamiento. • El Titular se oponga al tratamiento y no prevalezcan motivos legítimos para continuar. • Los datos hayan sido tratados ilícitamente. • Los datos deban suprimirse para el cumplimiento de una obligación legal.
Excepciones: El derecho de supresión no procederá cuando el tratamiento sea necesario para el cumplimiento de una obligación legal, el ejercicio o defensa de derechos en procesos judiciales, o el cumplimiento de obligaciones tributarias durante los plazos de conservación establecidos por ley.
12.4 Derecho de Oposición
El Titular tiene derecho a oponerse al tratamiento de sus datos personales en las siguientes circunstancias:
Cuando el tratamiento se base en el interés legítimo de AltumSys. • Para fines de marketing directo, incluyendo la elaboración de perfiles relacionados con dicho marketing. • Para fines de investigación científica, histórica o estadística.
Cuando el Titular se oponga al tratamiento con fines de marketing directo, los datos personales dejarán de ser tratados para dichos fines de forma inmediata.
12.5 Derecho de Portabilidad
El Titular tiene derecho a solicitar y recibir los datos personales que haya proporcionado a AltumSys en un formato estructurado, de uso común y lectura mecánica (como JSON o CSV), y a solicitar su transmisión directa a otro responsable del tratamiento cuando sea técnicamente factible.
12.6 Derecho a no ser objeto de decisiones automatizadas
El Titular tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre él o le afecte significativamente de modo similar. AltumSys declara que actualmente no toma decisiones exclusivamente automatizadas que produzcan efectos legales sobre los Titulares.
12.7 Derecho a revocar el consentimiento
El Titular tiene derecho a revocar su consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento basado en el consentimiento previo a su revocación. La revocación del consentimiento para las finalidades principales podrá implicar la imposibilidad de seguir utilizando determinados servicios de la Plataforma.
12.8 Procedimiento para el ejercicio de derechos
Para ejercer cualquiera de los derechos descritos, el Titular (o su representante legal debidamente acreditado) deberá presentar una solicitud a través de los siguientes canales:
Correo electrónico:[email protected] (asunto: "Ejercicio de Derechos ARCO")
La solicitud deberá contener, como mínimo:
Nombre completo del Titular y número de cédula de identidad, cédula de residencia o pasaporte. • Descripción clara y precisa del derecho que desea ejercer. • Dirección de correo electrónico para recibir la respuesta. • Copia legible del documento de identidad del solicitante (o poder de representación, en caso de actuar mediante representante). • Documentación adicional de respaldo, según el derecho ejercido (por ejemplo, datos correctos para rectificación).
12.9 Plazos de respuesta
AltumSys atenderá las solicitudes de ejercicio de derechos en los siguientes plazos:
Plazo ordinario: Cinco (5) días hábiles contados a partir de la recepción de la solicitud completa. • Plazo extendido: En caso de solicitudes complejas o que requieran investigación adicional, el plazo podrá extenderse hasta treinta (30) días hábiles, previa notificación motivada al Titular dentro de los primeros cinco (5) días hábiles. • Solicitudes manifiestamente infundadas o excesivas: AltumSys podrá rechazar solicitudes que sean manifiestamente infundadas o excesivas (en particular, por su carácter repetitivo), comunicando al Titular los motivos del rechazo y su derecho de recurrir ante la PRODHAB.
12.10 Gratuidad
El ejercicio de los derechos ARCO es gratuito. AltumSys no cobrará al Titular por la atención de sus solicitudes, salvo en caso de solicitudes manifiestamente infundadas o excesivas, en cuyo caso podrá aplicarse un cargo razonable o denegar la solicitud.
12.11 Recurso ante la PRODHAB
Si el Titular considera que sus derechos de protección de datos no han sido adecuadamente respetados o que su solicitud no ha sido atendida conforme a la ley, podrá presentar una denuncia ante la Agencia de Protección de Datos de los Habitantes (PRODHAB):
Dirección: San José, Costa Rica • Sitio web: https://www.prodhab.go.cr • Correo electrónico:[email protected] • Teléfono: +506 2281-4242
13. Bases de Datos Registradas
De conformidad con la Ley N.° 8968, AltumSys mantiene registradas sus bases de datos ante la PRODHAB, incluyendo la descripción de las finalidades del tratamiento, las categorías de datos tratados y las medidas de seguridad implementadas.
14. Uso de Servicios de Analítica y Marketing Digital
14.1 Google Analytics
La Plataforma utiliza Google Analytics, un servicio de analítica web proporcionado por Google LLC. Google Analytics utiliza cookies para ayudar a analizar cómo los Usuarios utilizan el sitio. La información generada por la cookie sobre el uso de la Plataforma (incluyendo la dirección IP del Usuario, anonimizada mediante la función de enmascaramiento de IP) se transmite y almacena en servidores de Google.
Google utilizará esta información por cuenta de AltumSys con el fin de evaluar el uso de la Plataforma, compilar informes de actividad del sitio y proveer otros servicios relacionados con la actividad del sitio web y el uso de internet.
El Usuario puede impedir la recopilación de datos por Google Analytics instalando el complemento de exclusión disponible en: https://tools.google.com/dlpage/gaoptout
14.2 Redes sociales
La Plataforma podrá incluir botones, widgets o plugins de redes sociales (Facebook, Instagram, LinkedIn, entre otros) que permiten al Usuario compartir contenido o interactuar con dichas plataformas. Al utilizar estos elementos, las redes sociales podrán recopilar datos sobre el Usuario conforme a sus propias políticas de privacidad.
14.3 Remarketing
AltumSys podrá utilizar servicios de remarketing para mostrar anuncios al Usuario en sitios web de terceros después de haber visitado la Plataforma. Estos servicios utilizan cookies de marketing para identificar al Usuario y mostrar anuncios relevantes. El Usuario puede desactivar esta funcionalidad a través de la configuración de cookies o las herramientas de opt-out mencionadas en la sección 8.6.
15. Correo Electrónico y Comunicaciones
15.1 Comunicaciones transaccionales
AltumSys enviará correos electrónicos transaccionales necesarios para la prestación del servicio, tales como:
Confirmación de registro y creación de cuenta. • Confirmación de pedido y detalles de la compra. • Actualizaciones sobre el estado del pedido y el envío. • Facturas electrónicas. • Confirmación de devoluciones y reembolsos. • Notificaciones de seguridad de la cuenta (cambio de contraseña, inicios de sesión sospechosos). • Cambios en los Términos y Condiciones o la Política de Privacidad.
Estas comunicaciones no requieren consentimiento expreso, ya que son necesarias para la ejecución del contrato y el funcionamiento de la cuenta.
15.2 Comunicaciones comerciales
Las comunicaciones de carácter comercial, promocional o de marketing se enviarán exclusivamente con el consentimiento previo y expreso del Usuario. Ver sección 17 para más detalles.
15.3 Frecuencia
AltumSys se compromete a mantener una frecuencia razonable en el envío de comunicaciones comerciales, evitando el envío excesivo o invasivo de correos electrónicos.
16. Protección de Datos de Menores de Edad
16.1 Restricción de edad
La Plataforma y los servicios de AltumSys están destinados exclusivamente a personas mayores de dieciocho (18) años con capacidad legal para contratar. AltumSys no dirige sus servicios a menores de edad y no recopila conscientemente datos personales de personas menores de 18 años.
16.2 Medidas de protección
En caso de que AltumSys detecte o sea notificada de que se han recopilado datos personales de un menor de edad sin el consentimiento verificable de su padre, madre o tutor legal:
Procederá a eliminar dichos datos de forma inmediata de todos sus sistemas. • Cancelará cualquier cuenta asociada al menor. • Anulará cualquier transacción realizada por el menor, procediendo al reembolso correspondiente.
16.3 Notificación
Si usted es padre, madre o tutor legal y tiene conocimiento o sospecha de que un menor bajo su responsabilidad ha proporcionado datos personales o realizado transacciones a través de la Plataforma, le solicitamos contactarnos de inmediato a [email protected] para proceder con las acciones correctivas correspondientes.
17. Comunicaciones Comerciales y Marketing
17.1 Consentimiento expreso
AltumSys únicamente enviará comunicaciones comerciales, promocionales o de marketing cuando el Usuario haya otorgado su consentimiento previo, expreso e inequívoco para recibirlas. El consentimiento se recopilará a través de:
Una casilla de verificación (opt-in) no premarcada durante el proceso de registro. • Un formulario de suscripción específico al boletín de noticias. • La configuración de preferencias de comunicación en la cuenta del Usuario.
17.2 Contenido de las comunicaciones
Las comunicaciones comerciales podrán incluir:
Información sobre nuevos productos y categorías. • Ofertas, descuentos y promociones especiales. • Invitaciones a eventos y webinars. • Recomendaciones personalizadas basadas en el historial de compras (cuando el Usuario haya consentido la elaboración de perfiles). • Noticias del sector tecnológico relevantes.
17.3 Identificación de comunicaciones comerciales
Todas las comunicaciones comerciales enviadas por AltumSys estarán claramente identificadas como tales e incluirán:
La identidad del remitente (AltumSys). • Un enlace visible y funcional para darse de baja (cancelar suscripción) con un solo clic. • La dirección de contacto de AltumSys.
17.4 Derecho de baja (opt-out)
El Usuario podrá revocar su consentimiento y darse de baja de las comunicaciones comerciales en cualquier momento y sin costo alguno, mediante cualquiera de los siguientes mecanismos:
Haciendo clic en el enlace de "Cancelar suscripción" o "Darse de baja" incluido al pie de cada correo comercial. • Enviando una solicitud directa a [email protected] con el asunto "Cancelar suscripción". • Modificando las preferencias de comunicación en la configuración de su cuenta de usuario.
La baja será procesada en un plazo máximo de tres (3) días hábiles. El Usuario continuará recibiendo comunicaciones transaccionales necesarias para la prestación del servicio.
18. Redes Sociales
18.1 Presencia en redes sociales
AltumSys mantiene presencia en diversas plataformas de redes sociales. Cuando el Usuario interactúa con nuestros perfiles o contenido en redes sociales, la plataforma social correspondiente podrá recopilar datos conforme a sus propias políticas de privacidad.
18.2 Responsabilidad compartida
En relación con las páginas o perfiles empresariales de AltumSys en redes sociales, existe una responsabilidad compartida con la plataforma social correspondiente en cuanto al tratamiento de datos de los visitantes de dichas páginas. AltumSys no tiene acceso a la totalidad de los datos tratados por las plataformas sociales.
18.3 Inicio de sesión social (Social Login)
Si el Usuario opta por registrarse o iniciar sesión en la Plataforma utilizando su cuenta de una red social (Facebook, Google, Microsoft, etc.):
AltumSys accederá únicamente a los datos que el Usuario haya autorizado compartir en el proceso de autorización de la red social (generalmente nombre, correo electrónico y foto de perfil). • AltumSys no tendrá acceso a la contraseña de la red social del Usuario. • El Usuario puede revocar el acceso de AltumSys desde la configuración de privacidad de su cuenta en la red social correspondiente.
19. Decisiones Automatizadas y Elaboración de Perfiles
19.1 Perfiles de usuario
AltumSys podrá elaborar perfiles de usuario basados en el historial de compras, productos consultados, preferencias y comportamiento de navegación, con la finalidad de personalizar las recomendaciones de productos, adaptar el contenido de la Plataforma y mejorar la experiencia del Usuario.
19.2 Base legal
La elaboración de perfiles con fines de personalización se basa en el consentimiento expreso del Usuario. El Usuario podrá oponerse a la elaboración de perfiles en cualquier momento, sin que ello afecte la funcionalidad básica de la Plataforma.
19.3 Decisiones automatizadas
AltumSys declara que actualmente no toma decisiones basadas exclusivamente en el tratamiento automatizado de datos personales que produzcan efectos jurídicos sobre el Titular o le afecten significativamente. Los sistemas de detección de fraude pueden generar alertas automatizadas, pero cualquier decisión que afecte al Usuario (como el bloqueo de una cuenta o la cancelación de un pedido) será revisada y confirmada por personal humano.
20. Notificación de Brechas de Seguridad
20.1 Obligación de notificación
En caso de que se produzca una brecha de seguridad que afecte datos personales y que pueda suponer un riesgo para los derechos y libertades de los Titulares, AltumSys adoptará las siguientes acciones:
20.2 Notificación a la PRODHAB
AltumSys notificará a la Agencia de Protección de Datos de los Habitantes (PRODHAB) en un plazo máximo de cinco (5) días hábiles desde que tenga conocimiento del incidente, proporcionando:
La naturaleza de la brecha de seguridad, incluyendo las categorías y el número aproximado de Titulares afectados. • Las categorías y el número aproximado de registros de datos afectados. • Las consecuencias probables de la brecha. • Las medidas adoptadas o propuestas para abordar la brecha, incluyendo las medidas para mitigar sus posibles efectos adversos.
20.3 Notificación a los Titulares afectados
Cuando la brecha de seguridad pueda suponer un alto riesgo para los derechos y libertades de los Titulares, AltumSys los notificará sin dilación indebida a través de los canales de contacto disponibles, proporcionando:
Una descripción en lenguaje claro y sencillo de la naturaleza de la brecha. • Los datos de contacto del responsable de privacidad de AltumSys. • Una descripción de las posibles consecuencias de la brecha. • Recomendaciones prácticas que el Titular puede adoptar para protegerse (por ejemplo, cambio de contraseña). • Las medidas adoptadas por AltumSys para abordar la brecha.
20.4 Registro de incidentes
AltumSys mantendrá un registro documentado de todas las brechas de seguridad, incluyendo los hechos, sus efectos y las medidas correctivas adoptadas, independientemente de si la brecha fue notificada a la PRODHAB o a los Titulares.
21. Responsabilidad Demostrada (Accountability)
21.1 Compromiso de cumplimiento
AltumSys se compromete a poder demostrar en todo momento el cumplimiento de esta Política y de la legislación aplicable en materia de protección de datos. Para ello, mantiene la siguiente documentación:
Registro de actividades de tratamiento de datos personales. • Evaluaciones de impacto en la privacidad (PIA) para tratamientos de alto riesgo. • Políticas internas de seguridad de la información y protección de datos. • Evidencia de los consentimientos obtenidos. • Contratos y acuerdos de tratamiento de datos con encargados y terceros. • Registros de capacitación del personal. • Registros de incidentes de seguridad y acciones correctivas.
21.2 Auditorías
AltumSys podrá realizar auditorías internas periódicas para verificar el cumplimiento de esta Política y la efectividad de las medidas de seguridad implementadas.
22. Cambios en la Estructura Corporativa
En caso de que AltumSys sea objeto de una fusión, adquisición, reorganización, venta de activos, quiebra o transacción corporativa similar, los datos personales podrán ser transferidos al sucesor o adquirente como parte de los activos de la empresa. En tal supuesto:
Se notificará a los Titulares afectados con la debida antelación. • El sucesor o adquirente quedará obligado a respetar los términos de esta Política. • Los Titulares tendrán la oportunidad de ejercer sus derechos, incluyendo la supresión de sus datos.
23. Modificaciones a la Política
23.1 Derecho de modificación
AltumSys se reserva el derecho de modificar, actualizar o complementar esta Política en cualquier momento para reflejar cambios en nuestras prácticas de tratamiento de datos, en la legislación aplicable, en la tecnología utilizada o en otros factores relevantes.
23.2 Notificación de cambios
Cambios menores: Serán publicados directamente en la Plataforma con la fecha de "Última actualización" debidamente ajustada. Se recomienda al Usuario revisar periódicamente esta Política. • Cambios sustanciales: Cuando los cambios afecten de manera significativa la forma en que tratamos los datos personales, el alcance de los datos recopilados, las finalidades del tratamiento o los derechos del Titular, AltumSys notificará a los Usuarios registrados mediante correo electrónico con al menos quince (15) días naturales de anticipación a la entrada en vigencia.
23.3 Aceptación de cambios
El uso continuado de la Plataforma tras la entrada en vigencia de las modificaciones constituirá la aceptación de la nueva Política. Si el Usuario no está de acuerdo con los cambios, deberá dejar de utilizar la Plataforma y podrá solicitar la eliminación de su cuenta y datos personales conforme al procedimiento descrito en la sección 12.
24. Legislación Aplicable y Jurisdicción
24.1 Legislación aplicable
Esta Política se rige e interpreta conforme a las leyes de la República de Costa Rica, en particular:
Ley N.° 8968 — Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales. • Decreto Ejecutivo N.° 37554-JP — Reglamento a la Ley de Protección de Datos Personales. • Ley N.° 7472 — Ley de Promoción de la Competencia y Defensa Efectiva del Consumidor. • Ley N.° 8642 — Ley General de Telecomunicaciones. • Ley N.° 9048 — Ley contra la Delincuencia Informática. • Ley N.° 9635 — Ley de Fortalecimiento de las Finanzas Públicas (en lo relativo a facturación electrónica). • Código de Comercio de Costa Rica. • Directrices y resoluciones de la PRODHAB.
24.2 Jurisdicción
Cualquier controversia derivada de la interpretación o aplicación de esta Política será sometida a la jurisdicción de los Tribunales de Justicia de la República de Costa Rica, con sede en el Segundo Circuito Judicial de San José, sin perjuicio del derecho del Titular de acudir ante la PRODHAB o las instancias administrativas correspondientes.
25. Relación con Otros Documentos
Esta Política de Privacidad complementa y debe leerse en conjunto con los siguientes documentos de AltumSys:
Términos y Condiciones Generales de Uso y Compra — Disponibles en https://tienda.altumsys.com/terminos-y-condiciones • Cualquier aviso de privacidad específico que pueda proporcionarse al momento de recopilar datos personales para finalidades particulares.
En caso de conflicto entre esta Política y los Términos y Condiciones en materia de protección de datos personales, prevalecerá lo dispuesto en esta Política.
26. Contacto
Para cualquier consulta, solicitud o reclamo relacionado con esta Política de Privacidad, el tratamiento de sus datos personales o el ejercicio de sus derechos ARCO, puede comunicarse con nosotros a través de los siguientes canales:
Correo electrónico:[email protected] • Asunto sugerido: "Consulta de Privacidad" o "Ejercicio de Derechos ARCO" • Teléfono: +506 4600-0361 • Dirección postal: JBVALSYS S.R.L. (AltumSys), Cartago, La Unión, Hacienda Imperial, Costa Rica • Horario de atención: Lunes a viernes, de 8:00 a.m. a 5:00 p.m. (hora de Costa Rica, GMT-6)
Nos comprometemos a responder toda consulta en un plazo máximo de cinco (5) días hábiles.
Al utilizar la Plataforma o cualquiera de nuestros servicios, el Usuario reconoce haber leído, comprendido y aceptado la totalidad de esta Política de Privacidad y Protección de Datos Personales.
