InboMarket
Volver a Legal

Política de Privacidad

Última actualización: 21 de junio de 2026

POLÍTICA DE PRIVACIDAD — InboMarket

Última actualización: [FECHA_LAUNCH] Versión: 1.0

InboMarket (operado por Idecus S.R.L., RNC [PENDIENTE], en adelante "InboMarket" o "nosotros") respeta su privacidad y se compromete a proteger sus Datos Personales conforme a las normativas aplicables en cada jurisdicción donde opere.

Esta Política explica qué información recolectamos, por qué, cómo la usamos, con quién la compartimos, cómo la protegemos, y qué derechos tiene usted sobre ella.


1. Aplicación de esta Política

Esta Política aplica al tratamiento de Datos Personales realizado por InboMarket en su rol de:

  • Responsable del Tratamiento (Controller) respecto de Tenants, Usuarios Internos del Tenant, Compradores con cuenta voluntaria, Visitantes.
  • Encargado del Tratamiento (Processor) respecto de datos de Compradores que el Tenant procesa usando la Plataforma (ej. leads del CRM, contactos de campañas). Este tratamiento se rige adicionalmente por el DPA_v1.md.

1.1 Marco regulatorio primario RD

  • Constitución de la República Dominicana, Art. 44.2 — derecho fundamental a la autodeterminación informativa y habeas data
  • Sentencias Tribunal Constitucional TC/0296/24 y TC/0700/25 — reafirmación del derecho fundamental
  • Ley 172-13 (13 diciembre 2013) — Protección Integral de Datos Personales
  • Autoridad designada: Superintendencia de Bancos (con competencia limitada a Sociedades de Información Crediticia y supervisión general en el ámbito financiero)

ℹ️ Nota institucional: A diferencia de jurisdicciones con autoridades autónomas especializadas (INAI México, AEPD España, ANPD Brasil), República Dominicana mantiene supervisión limitada vía Superintendencia de Bancos bajo la arquitectura institucional de Ley 172-13. InboMarket adopta proactivamente estándares GDPR / CCPA como salvaguarda superior aplicada a TODOS los Tenants y Compradores, independientemente de la jurisdicción del Tenant.


2. Datos que Recolectamos

2.1 Datos de Tenants y Usuarios Internos

  • Identificación: nombre completo, RNC/cédula, dirección, teléfono, correo
  • Credenciales: usuario, hash de contraseña, MFA tokens
  • Datos profesionales: cargo, licencia inmobiliaria, certificaciones
  • Datos de facturación: razón social, dirección fiscal, NCF/e-CF, método de pago (token, NUNCA PAN completo)
  • Datos de uso: logs de actividad, IP, navegador, dispositivo, geolocalización aproximada
  • Comunicaciones: tickets de soporte, chats internos

2.2 Datos de Compradores

Capturados por la plataforma para uso del Tenant (rol Encargado):

  • Nombre, correo, teléfono ingresados en formularios de contacto
  • Historial de interacción con listings del Tenant
  • Preferencias declaradas (tipo de propiedad, zona, presupuesto)
  • Mensajes intercambiados con el Tenant

Capturados por InboMarket en perfil voluntario del Comprador (rol Responsable):

  • Email + nombre + opcional teléfono
  • Favoritos, búsquedas guardadas, alertas
  • Preferencias publicitarias

2.3 Datos de Visitantes

  • Cookies y tecnologías similares (ver COOKIE_POLICY_v1.md)
  • Datos de navegación: páginas vistas, tiempo, referer, IP truncada
  • Datos de dispositivo: tipo, sistema operativo, idioma

2.4 Datos Sensibles

InboMarket NO solicita ni procesa datos sensibles (origen racial, salud, biometría, orientación sexual, religión, opiniones políticas). Si el Tenant los ingresa indebidamente, debe eliminarlos. InboMarket podrá retirarlos.

2.5 Datos de Menores

La Plataforma NO está dirigida a menores de 18 años. No recolectamos conscientemente datos de menores. Si detectamos datos de menores, los eliminamos.


3. Naturaleza de la cuenta del Comprador — Modelo C Híbrido (vigente 2026-06-07)

3.1 Cuenta única global con vinculación explícita por Tenant

Su cuenta como Comprador (Buyer) en InboMarket es única, global y portátil. Esto significa:

  • Se registra una sola vez con Idecus S.R.L. operando InboMarket
  • Puede contactar a cualquier Tenant (broker, agencia, administradora) de la red InboMarket sin necesidad de crear nuevas cuentas
  • Cuando contacta a un Tenant específico — sea desde su sitio público (ej. watleyrealestate.com) o desde el Marketplace InboMarket — se establece automáticamente una vinculación explícita entre su cuenta y ese Tenant

3.2 Roles de tratamiento según el dato

Categoría de datosResponsableEncargado
Email, password, nombre, preferencias globales (idioma, moneda)InboMarket
Interacciones específicas con un Tenant (mensajes, leads, conversaciones, propiedades vistas en su sitio)El Tenant correspondiente (Co-Responsable)InboMarket procesa por cuenta del Tenant
Histórico cross-Tenant del CompradorInboMarket exclusivamente
Consentimientos de marketing específicos por TenantEl TenantInboMarket almacena por cuenta del Tenant

3.3 Aislamiento entre Tenants (Privacy by Design)

Por defecto técnico:

  • Un Tenant NO puede ver Compradores que no hayan establecido vinculación explícita con él
  • Un Tenant NO puede ver qué otros Tenants tienen vinculación con un mismo Comprador
  • Los datos de su histórico con cada Tenant están aislados en sus respectivos workspaces

3.4 Su derecho a controlar las vinculaciones

A través de la página "Mis agencias" en su panel de cuenta, usted puede:

  • Ver qué Tenants tienen vinculación activa con su cuenta
  • Revocar consentimiento de marketing por Tenant individualmente
  • Bloquear un Tenant específico (deja de recibir comunicaciones de él)
  • Solicitar eliminación de su histórico con un Tenant específico

3.5 Si un Tenant termina su relación con InboMarket

  • El Tenant puede exportar su lista de leads + interacciones con usted (data portability del Responsable Tenant)
  • El Tenant NO obtiene su password, sesión ni preferencias globales — estos siguen siendo de InboMarket como Responsable de su cuenta única
  • Su cuenta InboMarket sigue funcionando normalmente; la vinculación con ese Tenant se marca como tenant_offboarded
  • Usted recibe notificación cuando esto ocurre

3.6 Consentimientos otorgados en sitios de Tenant

Cuando se registra desde el sitio web de un Tenant (ej. al contactar a Watley Real Estate), se le solicitan tres consentimientos jurídicamente separados:

  1. Aceptación T&C + Política de Privacidad InboMarket (obligatorio — base contractual)
  2. Procesamiento de datos por el Tenant para atender este contacto específico (obligatorio para enviar lead — base contractual Tenant)
  3. Recepción de comunicaciones comerciales del Tenant (opcional — consentimiento opt-in revocable)

Los tres se registran con timestamp, IP de origen, versión del documento aceptado y constituyen evidencia auditada (Ley 172-13 Art. 13 + GDPR Art. 7).


4. Bases Legales del Tratamiento

DatoBase legal (Ley 172-13)Base legal (GDPR Art. 6)
Registro de cuentaEjecución de contratoArt. 6.1.b — Contrato
FacturaciónObligación legal (fiscal) + contratoArt. 6.1.b + 6.1.c
SoporteEjecución de contratoArt. 6.1.b
Marketing propio (Tenant)Consentimiento revocableArt. 6.1.a — Consent
Cookies analíticasConsentimiento (banner)Art. 6.1.a + ePrivacy
Cookies estrictamente necesariasInterés legítimoArt. 6.1.f
Prevención de fraudeInterés legítimoArt. 6.1.f
Cumplimiento normativoObligación legalArt. 6.1.c
Defensa de reclamosInterés legítimoArt. 6.1.f

4. Finalidades del Tratamiento

4.1 Operativas: prestar el servicio SaaS, gestionar suscripciones, autenticación, dashboard, mensajería, IA asistencial, generación de reportes, e-CF.

4.2 Comerciales (propias): facturación, cobranza, soporte técnico, comunicaciones transaccionales.

4.3 Marketing (consentimiento): newsletter, lanzamientos de features, ofertas de planes superiores. Siempre con opt-out claro.

4.4 Seguridad: detección de fraude, prevención de abusos, investigación de incidentes, monitoreo de integridad.

4.5 Cumplimiento: respuesta a requerimientos de autoridades, declaraciones fiscales, conservación de logs por plazos legales.

4.6 Mejora de producto: analítica agregada y anonimizada para mejorar UX y features.

4.7 NO HACEMOS: venta de Datos Personales a terceros, perfilado con efectos jurídicos automatizados sin intervención humana, comunicaciones comerciales sin consentimiento.


5. Compartición de Datos

5.1 No vendemos sus datos

Bajo CCPA/CPRA, InboMarket NO vende ni comparte Datos Personales con terceros para publicidad cross-context behavioral.

5.2 Subprocesadores

Compartimos datos con proveedores que actúan como Subencargados, sujetos a contratos con cláusulas de protección equivalentes:

ProveedorFinalidadDatosUbicación
AWS / GCPHosting infraestructuraTodosUSA + Frankfurt (réplica)
Stripe / Azul / BHD / CardNetProcesamiento de pagoIdentificación + facturaciónRD + USA
Sendgrid / PostmarkEnvío correos transaccionalesEmail + nombreUSA
TwilioSMS / WhatsAppTeléfono + nombreUSA
OpenAI / Anthropic (vía capa proxy)IA asistencial (sin PII)Texto despersonalizadoUSA
SentryMonitoreo erroresLogs (sin PII)USA
CloudflareCDN + WAFIP + headersGlobal
DGII / Alanubee-CF Tx2Datos fiscales obligatoriosRD
Google Analytics 4 / PlausibleAnalítica (consentimiento)Datos anonimizadosUSA

Lista actualizada en inbomarket.com/legal/subprocesadores.

5.3 Tenants

El Tenant accede a datos de Compradores que interactúan con sus listings, bajo su rol de Co-Responsable. El Tenant asume obligaciones independientes bajo Ley 172-13 / GDPR / CCPA respecto de esos datos.

5.4 Autoridades

Compartimos datos ante requerimiento judicial, administrativo o regulatorio fundado y obligatorio, en la mínima medida necesaria.

5.5 Transferencias internacionales

  • Hacia USA: cláusulas contractuales estándar (SCC) UE-USA cuando aplique GDPR. Bajo CCPA opera localmente.
  • Hacia LATAM: contratos de transferencia internacional conforme Art. 80 Ley 172-13 RD.
  • Notificación: lista de países en inbomarket.com/legal/transferencias.

6. Conservación de Datos

CategoríaPlazoFundamento
Cuenta activaDurante vigencia del contratoEjecución de contrato
Post-cancelación período GRACE30 díasExportación voluntaria
Datos contables/fiscalesPlazo aplicable según Código Tributario RD (Ley 11-92) + Norma General DGII vigenteObligación fiscal — verificar artículo específico con asesoría contable
Logs de seguridad12 mesesInterés legítimo
Logs de auditoría operaciones críticas5 añosObligación legal / interés legítimo
Comunicaciones marketingHasta revocación consentimiento + 6 mesesConsentimiento
Datos de Compradores en perfil propioHasta solicitud de eliminaciónConsentimiento
Cookies no esencialesMáximo 13 meses (CNIL standard)ePrivacy

Tras los plazos, los datos se eliminan o anonimizan irreversiblemente salvo conservación legal obligatoria.


7. Sus Derechos

7.1 Derechos bajo Ley 172-13 RD

  • Acceso (Art. 27)
  • Rectificación (Art. 28)
  • Cancelación/Supresión (Art. 29)
  • Oposición (Art. 30)

7.2 Derechos bajo GDPR

  • Acceso (Art. 15), Rectificación (Art. 16), Supresión / "Derecho al Olvido" (Art. 17)
  • Limitación del tratamiento (Art. 18)
  • Portabilidad (Art. 20)
  • Oposición, incluyendo decisiones automatizadas (Art. 21-22)
  • Retirar consentimiento en cualquier momento

7.3 Derechos bajo CCPA/CPRA

  • Conocer qué datos se recolectan, usan, comparten o venden
  • Acceder, corregir, eliminar
  • Opt-out de venta/sharing (banner "Do Not Sell or Share My Personal Information") — InboMarket no vende
  • Limitar uso de información sensible
  • No discriminación por ejercer derechos

7.4 Cómo ejercer sus derechos

  • Portal del usuario: dashboard → Mi Cuenta → Privacidad
  • Correo: privacidad@inbomarket.com
  • Carta: domicilio de Idecus S.R.L.

Plazo de respuesta: 15 días hábiles (Ley 172-13) / 30 días (GDPR) / 45 días (CCPA, extensible 45 días adicionales).

Si su solicitud es denegada, podrá presentar reclamo ante:

  • RD: Superintendencia de Bancos (SB) — autoridad supervisora bajo Ley 172-13 con competencia limitada. Adicionalmente, puede invocar acción constitucional de habeas data ante tribunales ordinarios o el Tribunal Constitucional con base en Constitución Art. 44.2.
  • RD (temas consumidor): Instituto Nacional de Protección de los Derechos del Consumidor (Pro-Consumidor) — Ley 358-05, para reclamos vinculados a relación de consumo.
  • UE: Autoridad de Control del Estado miembro (CNIL Francia, AEPD España, BfDI Alemania, etc.)
  • California: California Privacy Protection Agency (CPPA) / California Attorney General

8. Decisiones Automatizadas e IA

8.1 InboMarket usa IA para:

  • Scoring de leads (recomendación al Tenant — no decide automáticamente)
  • Sugerencia de precios (estimación informativa — no obligatoria)
  • Asistente conversacional para Tenants y Buyers (con disclaimer "no es asesoría")
  • Moderación automática de contenido (con revisión humana en casos críticos)

8.2 No tomamos decisiones automatizadas con efectos jurídicos significativos sin intervención humana. Las salidas de IA son herramientas asistivas para decisiones tomadas por humanos.

8.3 Los Compradores tienen derecho a solicitar revisión humana de cualquier resultado automatizado que les afecte.

8.4 La interacción con IA se realiza a través de una capa proxy que despersonaliza la información antes de enviarla a proveedores externos (Issue #715), conforme Art. 24 Ley 172-13.


9. Seguridad

Mantenemos medidas técnicas y organizativas razonables:

  • Cifrado en tránsito (TLS 1.2+)
  • Cifrado en reposo de bases de datos (AES-256)
  • MFA obligatorio para roles administrativos
  • Aislamiento multi-tenant por workspace + Row-Level Security
  • Logs de auditoría inmutables
  • Pruebas de penetración anuales (V1.1+)
  • Política de respuesta a incidentes (SECURITY_INCIDENT_RESPONSE_PLAN_v1.md)
  • Capacitación al personal

Sin embargo, ningún sistema es perfectamente seguro. En caso de brecha que comprometa Datos Personales:

  • Notificación a INDOTEL (RD) dentro de plazos aplicables
  • Notificación a Autoridad de Control UE en ≤72h (GDPR Art. 33)
  • Notificación a usuarios afectados según gravedad y normativa aplicable

10. Cookies y Tecnologías Similares

Ver Política de Cookies separada (COOKIE_POLICY_v1.md).

Banner de consentimiento granular con opciones: necesarias (siempre), funcionales, analíticas, marketing.


11. Privacidad Infantil

Servicio para mayores de 18. No recolectamos datos de menores de 13 (COPPA) ni 16 (algunas jurisdicciones GDPR). Si detectamos: eliminación + notificación al padre/tutor.


12. Cambios a esta Política

12.1 Actualizaciones publicadas en inbomarket.com/legal/privacidad con fecha de versión.

12.2 Cambios materiales notificados con ≥30 días de antelación por correo y banner.

12.3 Uso continuado tras vigencia = aceptación.


13. Datos de Contacto Privacidad / DPO

RolContacto
Privacidad generalprivacidad@inbomarket.com
DPO designadodpo@inbomarket.com (V1.1: nombre PENDIENTE)
Representante UE (cuando aplique)[PENDIENTE — designar Art. 27 GDPR si UE >1K usuarios]
Representante UK (cuando aplique)[PENDIENTE — designar UK GDPR]

Domicilio postal: [DIRECCIÓN_IDECUS_SRL], Santo Domingo, República Dominicana.


⚠️ Avisos para revisión legal

Este documento es TEMPLATE EJECUTIVO preparado por ATHENA.

Antes de su publicación se requiere revisión y firma de:

  • DPO o Data Protection Officer designado por Idecus
  • Abogado especialista en Ley 172-13 RD
  • Abogado privacy USA (CCPA/CPRA + State AG)
  • Si UE: abogado GDPR + designación Art. 27 representante

Puntos pendientes:

  1. Designar DPO formalmente (recomendado V1 launch)
  2. Designar representante UE Art. 27 GDPR si se ofrece servicio a >1K residentes UE
  3. Validar lista de subprocesadores actualizada (revisar trimestralmente)
  4. Decidir si publicar Política Cookies completa o resumen + link
  5. Definir nombre formal y RNC de Idecus
  6. Validar plazos de conservación contra Código Tributario RD y normativa contable
  7. Si se atenderá Brasil >5K usuarios: agregar Encarregado LGPD
  8. Validar versión inglés para mercado USA