Política de Privacidad

StudioRoom (“nosotros”, “nos” o “la Empresa”), con domicilio en San José, Costa Rica, es el Responsable del Tratamiento de los datos personales recopilados a través de la plataforma disponible en studioroom.app. Para consultas de privacidad: [email protected].

En el modelo multi-tenant, cada Academia (Operador) actúa como Responsable del Tratamiento de los datos de sus alumnos e instructores, y StudioRoom actúa como Encargado del Tratamiento conforme al contrato de procesamiento de datos (DPA) aceptado durante el registro.

Esta Política cumple con las siguientes normativas de protección de datos vigentes en los países donde StudioRoom opera:

• Costa Rica: Ley de Protección de la Persona frente al tratamiento de sus datos personales (Ley N.° 8968) y su Reglamento.
• México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.
• Colombia: Ley Estatutaria 1581 de 2012 (Habeas Data) y Decreto 1377 de 2013.
• Argentina: Ley de Protección de los Datos Personales N.° 25326 (LPDP) y su Decreto Reglamentario 1558/2001.
• Brasil: Lei Geral de Proteção de Dados Pessoais (LGPD — Lei N.° 13.709/2018) y normativas de la ANPD.
• Perú: Ley de Protección de Datos Personales N.° 29733 y su Reglamento (D.S. 003-2013-JUS).
• Chile: Ley N.° 19628 sobre Protección de la Vida Privada (en proceso de reforma).
• Guatemala: Ley de Acceso a la Información Pública (Decreto 57-2008).
• Referencia internacional: Reglamento General de Protección de Datos de la UE (RGPD/GDPR), aplicado como estándar de mejores prácticas.

Recopilamos las siguientes categorías de datos:

• Datos de identidad y contacto: nombre completo, correo electrónico, número de teléfono, foto de perfil, fecha de nacimiento y nacionalidad.
• Datos de cuenta y rol: nombre de usuario, contraseña (almacenada con hash bcrypt), rol dentro de la academia, y preferencias de la plataforma.
• Datos de pago y facturación: historial de transacciones, método de pago tokenizado (nunca almacenamos números de tarjeta completos), datos de facturación e impuestos.
• Datos de uso del servicio: asistencia a clases, reservas, membresías, paquetes adquiridos, progreso académico e interacciones con la plataforma.
• Datos de comunicación: mensajes enviados y recibidos vía WhatsApp Business API, correo electrónico y notificaciones push.
• Datos técnicos: dirección IP, tipo y versión de navegador, sistema operativo, identificador de dispositivo, logs de acceso y datos de cookies.
• Datos de menores: Únicamente recopilados por el Operador con consentimiento del tutor legal. Ver sección 10.

No recopilamos datos especialmente sensibles como origen racial o étnico, opiniones políticas, creencias religiosas, datos genéticos, biométricos o de salud, salvo que el Operador lo habilite explícitamente para su academia y cuente con el consentimiento expreso del titular.

Tratamos tus datos personales para:

• Proveer, mantener, mejorar y personalizar los servicios de la Plataforma.
• Crear y gestionar tu cuenta de usuario.
• Procesar pagos, gestionar membresías, paquetes y reservas.
• Enviar notificaciones transaccionales (confirmaciones, recordatorios, alertas de pago).
• Enviar comunicaciones de marketing y promociones (solo con tu consentimiento previo y expreso).
• Responder consultas, brindar soporte técnico y resolver disputas.
• Cumplir con obligaciones legales, fiscales y regulatorias.
• Prevenir fraudes, garantizar la seguridad y proteger los derechos de terceros.
• Realizar análisis estadísticos y de negocio con datos anonimizados o pseudonimizados.
• Procesar datos operativos mediante herramientas de IA para generar reportes y recomendaciones (ver sección 11).

Tratamos tus datos bajo las siguientes bases legales, de acuerdo con la normativa aplicable en cada jurisdicción:

• Ejecución de un contrato: Para proveer los servicios solicitados al crear una cuenta o adquirir un plan.
• Consentimiento libre, informado y específico: Para comunicaciones de marketing, cookies no esenciales y tratamiento de datos en países que lo requieren como única base válida (p.ej. Colombia).
• Interés legítimo: Para mejorar nuestros servicios, prevenir fraudes y garantizar la seguridad de la Plataforma, siempre que no prevalezcan los intereses del titular.
• Cumplimiento de obligación legal: Para satisfacer requerimientos fiscales, contables, regulatorios o judiciales.

Mantenemos un registro de consentimientos para auditoría, con marca de tiempo, versión de política aceptada, mecanismo de obtención y posibilidad de revocación en cualquier momento.

No vendemos, alquilamos ni comercializamos tus datos personales. Compartimos datos únicamente con:

• Procesadores de pago: Tilopay (CR), LemonSqueezy, Stripe — solo los datos necesarios para completar la transacción.
• Proveedores de infraestructura cloud: Google Cloud Platform (servidores, base de datos), Cloudflare (CDN/DNS/seguridad), Upstash (caché Redis) — bajo acuerdos de procesamiento de datos (DPA).
• Comunicaciones: Meta (WhatsApp Business API) — para envío de notificaciones y mensajes a alumnos autorizados; Firebase (notificaciones push).
• Analítica: Google Analytics (datos anonimizados de tráfico); Meta Pixel (seguimiento de conversiones con consentimiento).
• Monitoreo y errores: Sentry — datos técnicos de errores anonimizados.
• Autoridades competentes: Cuando la ley, una orden judicial o una autoridad regulatoria lo exija.

Transferencias internacionales: Algunos proveedores operan servidores en Estados Unidos u otros países. Garantizamos que dichas transferencias cuentan con salvaguardias adecuadas: cláusulas contractuales estándar (SCCs), certificaciones Privacy Shield/Data Privacy Framework, o el equivalente reconocido en cada jurisdicción LATAM.

Utilizamos las siguientes categorías de cookies:

• Cookies esenciales: Necesarias para el funcionamiento básico de la Plataforma (autenticación, seguridad de sesión). No requieren consentimiento.
• Cookies analíticas: Google Analytics — para entender cómo se usa la Plataforma. Requieren consentimiento donde aplique.
• Cookies de publicidad / seguimiento: Meta Pixel — para medir conversiones de campañas publicitarias. Siempre requieren consentimiento previo.

Puedes gestionar tus preferencias de cookies desde el banner de consentimiento de cookies al acceder a la Plataforma, o desde la configuración de tu navegador. Retirar el consentimiento no afecta las cookies esenciales ni la legalidad del tratamiento previo a la retirada.

Conservamos los datos personales por los siguientes períodos:

• Datos de cuenta activa: Mientras el usuario mantenga una cuenta activa en la Plataforma.
• Datos de pago e historial financiero: 5 a 10 años según las obligaciones fiscales y contables de cada país (p.ej. 5 años en CR, 10 años en MX).
• Logs técnicos y de acceso: 12 meses.
• Comunicaciones de soporte: 3 años.
• Datos post-cierre de cuenta: 30 días para recuperación, luego anonimización o eliminación segura, salvo obligación legal.

Conforme a la legislación aplicable en tu país, tienes los siguientes derechos:

• Acceso (ARCO): Solicitar confirmación y copia de los datos que tenemos sobre ti.
• Rectificación: Corregir datos inexactos, incompletos o desactualizados.
• Cancelación / Supresión (“Derecho al Olvido”): Solicitar la eliminación de tus datos cuando ya no sean necesarios, retires el consentimiento o se traten ilegalmente.
• Oposición: Oponerte al tratamiento para fines de marketing directo o cuando se base en interés legítimo.
• Portabilidad: Recibir tus datos en formato estructurado, legible por máquina (JSON/CSV).
• Limitación del tratamiento: Restringir el procesamiento en circunstancias específicas (p.ej. mientras se verifica una rectificación).
• Revocación del consentimiento: Retirar el consentimiento en cualquier momento sin efectos retroactivos.
• No ser objeto de decisiones automatizadas: Solicitar revisión humana de decisiones tomadas únicamente por sistemas de IA que te afecten significativamente.

📧 Para ejercer cualquiera de estos derechos, escríbenos a [email protected] con asunto “Ejercicio de Derechos ARCO” indicando tu nombre, correo de cuenta y el derecho que deseas ejercer. Responderemos dentro de los plazos legales aplicables (10 días hábiles en CR, 15 días en MX, 15 días hábiles en CO, 15 días en AR, 15 días en BR).

También puedes solicitar la eliminación completa de tus datos desde nuestra página dedicada: studioroom.app/data-deletion.

StudioRoom no recopila directamente datos de menores de 13 años (o la edad mínima de consentimiento aplicable en cada país). En academias donde se gestionen alumnos menores, el Operador es responsable de obtener el consentimiento expreso, informado y verificable del padre, madre o tutor legal antes de registrar cualquier dato del menor en la Plataforma, y de mantener dicho consentimiento documentado y disponible para auditoría.

Nuestra Plataforma integra tecnologías de IA y modelos de lenguaje (LLMs) para:

• Generar reportes operativos y auditorías asistidas para el Operador.
• Automatizar comunicaciones y respuestas a consultas frecuentes de alumnos.
• Analizar patrones de asistencia y predecir deserción de alumnos.

Los datos procesados por IA son anonimizados o pseudonimizados cuando es posible. StudioRoom no utiliza datos personales de usuarios finales para entrenar modelos públicos de terceros, ni comparte datos identificables con proveedores de IA para fines distintos a los descritos. Los modelos de IA procesan datos dentro del contexto del tenant del Operador y no cruzan información entre diferentes academias.

Implementamos las siguientes medidas de seguridad técnicas y organizativas:

• Cifrado en tránsito mediante TLS 1.2+ para todas las comunicaciones.
• Cifrado en reposo para datos sensibles en la base de datos.
• Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
• Autenticación multifactor (MFA) disponible para cuentas de administrador.
• Monitoreo continuo de infraestructura con alertas de seguridad (Sentry).
• Auditorías de seguridad periódicas y revisión de dependencias vulnerables.
• Contraseñas almacenadas con hashing bcrypt (no texto plano).
• Tokenización de datos de pago (sin almacenamiento de PAN completo).

En caso de una brecha de seguridad que afecte tus datos personales, notificaremos a las autoridades competentes y a los usuarios afectados dentro de los plazos establecidos por la legislación aplicable (72 horas en CR conforme a Ley 8968; 72 horas ante la ANPD en Brasil; plazos equivalentes en cada país).

Ante un incidente de seguridad confirmado que comprometa datos personales, StudioRoom se compromete a: (1) contener y mitigar el incidente de inmediato; (2) notificar a la autoridad de protección de datos competente dentro del plazo legal aplicable; (3) informar a los titulares afectados con descripción clara del incidente, datos comprometidos, medidas tomadas y pasos recomendados para protegerse; (4) documentar el incidente y las acciones tomadas en nuestro registro interno de brechas.

Podemos actualizar esta Política periódicamente. Notificaremos cambios materiales con al menos 15 días de anticipación mediante correo electrónico y/o aviso dentro de la Plataforma, indicando la nueva fecha de vigencia. Para cambios que requieran nuevo consentimiento según la ley aplicable, solicitaremos tu aceptación explícita antes de la entrada en vigor.

Puedes acudir ante las siguientes autoridades de control en tu país:

• Costa Rica: Agencia de Protección de Datos de los Habitantes (PRODHAB)
• México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)
• Colombia: Superintendencia de Industria y Comercio (SIC)
• Argentina: Agencia de Acceso a la Información Pública (AAIP)
• Brasil: Autoridade Nacional de Proteção de Dados (ANPD)
• Perú: Autoridad Nacional de Protección de Datos Personales (ANPDP — MINJUSDH)
• Chile: Consejo para la Transparencia (en proceso de creación de Agencia de Datos)