Fecha de entrada en vigor: 10 de febrero de 2025 (última actualización).
Gracias por elegir nuestros productos y servicios (en adelante, el «Servicio» cuando solo se trata de uno o los «Servicios»). Los servicios son proporcionados por NeoCheck SL (en adelante, «NeoCheck»).
Lea la información legal: https://www.neocheck.es/legal
El uso de nuestros servicios implica su aceptación de esta política de privacidad. Te invitamos a leerla detenidamente.
1. Introducción
NeoCheck, S.L. (en adelante, “NeoCheck”) es una empresa dedicada a ofrecer servicios de identificación electrónica y confianza (eIDAS), incluyendo firma electrónica avanzada, sellos de tiempo cualificados, verificación de identidad biométrica, validación documental y servicios de onboarding digital, entre otros. En NeoCheck nos tomamos muy en serio la privacidad de los datos personales de nuestros usuarios, clientes y socios. Esta Política de Privacidad describe cómo recopilamos, utilizamos, compartimos y protegemos sus datos personales en el contexto de nuestros servicios, cumpliendo con la normativa aplicable en las distintas jurisdicciones donde operamos.
Nos comprometemos a respetar todas las obligaciones legales en materia de protección de datos personales, incluyendo (pero no limitado a) el Reglamento (UE) 2016/679, Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) en Europa, así como las principales leyes de privacidad de América Latina aplicables a nuestras operaciones:
México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, incluida su reforma de 2025).
Colombia: Ley 1581 de 2012 y su Decreto reglamentario 1377 de 2013 (Estatuto de Protección de Datos Personales, “Habeas Data”).
Brasil: Lei Geral de Proteção de Dados Pessoais (LGPD, Ley Nº 13.709/2018).
Chile: Ley Nº 19.628 sobre Protección de la Vida Privada, y las modificaciones introducidas por la nueva Ley Nº 21.719 (que crea la Agencia de Protección de Datos y refuerza los derechos ARCO).
Perú: Ley Nº 29733 – Ley de Protección de Datos Personales y su Reglamento (Decreto Supremo 003-2013-JUS).
Esta política está segmentada por secciones que atienden a requisitos específicos de cada jurisdicción, garantizando que nuestros usuarios conozcan sus derechos y las condiciones aplicables según su país o región. Recomendamos leer atentamente este documento; si tiene alguna duda adicional sobre cómo manejamos sus datos personales, puede contactar con nosotros a través de los canales indicados en la sección 14.
2. Identificación del Responsable del Tratamiento
El Responsable del Tratamiento de sus datos personales es NeoCheck, S.L., una sociedad registrada en España, con domicilio en Ronda Circunvalación 188, C.P. 12003, Castellón de la Plana, España. Para cualquier consulta o ejercicio de derechos en materia de protección de datos, puede contactarnos a través del correo electrónico privacy@neocheck.com (o el contacto específico del Delegado de Protección de Datos indicado más adelante).
NeoCheck actúa generalmente como Responsable del Tratamiento cuando recopila y decide sobre el uso de datos personales en el marco de la prestación de sus servicios directamente a los usuarios o interesados. Sin embargo, en algunos casos NeoCheck presta sus servicios a través de terceros (clientes corporativos) integrados en sus plataformas. En esas situaciones, NeoCheck puede actuar como Encargado del Tratamiento (procesador) que trata los datos personales únicamente siguiendo las instrucciones de dichos terceros, quienes serían los Responsables principales. Esto significa que, por ejemplo, si usted utiliza nuestros servicios de verificación de identidad o firma electrónica a través de la aplicación o sitio web de uno de nuestros clientes empresariales, esa entidad tercera será el Responsable del Tratamiento (“Tercero Responsable”) y la forma en que sus datos son manejados podrá estar determinada por la política de privacidad de dicha entidad. NeoCheck garantiza en todo caso que, cuando actúa como Encargado, tratará sus datos de forma segura y confidencial conforme a lo establecido por el Responsable y la ley. Fuera de esos casos, NeoCheck será considerado Responsable del Tratamiento de los datos recabados directamente de los usuarios en la utilización de nuestros servicios propios.
Asimismo, NeoCheck puede contar con Encargados del Tratamiento subcontratados (sub-procesadores) para ciertas actividades, lo cual se detalla en la sección 7. Todos nuestros encargados están sujetos contractualmente a obligaciones de confidencialidad, seguridad y protección de datos equivalentes a las nuestras.
3. Ámbito de Aplicación y Jurisdicciones
Esta Política de Privacidad aplica a la información personal recopilada por NeoCheck a través de todos nuestros servicios y plataformas en línea asociados, incluyendo nuestros servicios SaaS, APIs, SDKs, sitios web (por ejemplo, neocheck.com y neocheck.es) y aplicaciones móviles que ofrezcan funcionalidades de identificación electrónica, firma digital, verificación biométrica u otros servicios relacionados.
Dado que NeoCheck opera en múltiples jurisdicciones, esta política incorpora disposiciones específicas para distintos países o regiones (véase sección 6 “Base Jurídica…” y sección 9 “Derechos…”). En términos generales:
Para residentes de la Unión Europea (y Espacio Económico Europeo), nuestros tratamientos se rigen por el RGPD y la LOPDGDD, que establecen estándares elevados de protección de datos.
Para usuarios en Latinoamérica, aplicamos las leyes nacionales indicadas en la Introducción. En caso de que existan diferencias entre la normativa europea y la local, adoptamos las medidas necesarias para cumplir con los requerimientos de cada país.
Es importante destacar que, independientemente de la jurisdicción, NeoCheck aplica los principios de protección de datos de licitud, lealtad, transparencia, minimización, exactitud, integridad, confidencialidad y responsabilidad proactiva en todos sus tratamientos. Esto significa que solo tratamos datos personales de manera lícita y leal, con finalidades determinadas y legítimas, minimizando los datos a lo necesario, procurando su exactitud, limitando su conservación, asegurando su seguridad y pudiendo demostrar nuestro cumplimiento normativo en todo momento.
4. Datos Personales Recopilados
NeoCheck recopila diversos tipos de datos personales en función de los servicios específicos que utilice. A continuación describimos las categorías de datos que podemos tratar:
4.1. Datos de identificación y contacto
Incluyen información básica necesaria para identificar a una persona o comunicarnos con ella, por ejemplo: nombre y apellidos, dirección postal, correo electrónico, número de teléfono, y en su caso datos de la cuenta de usuario en nuestras plataformas. Si actúa en representación de una empresa o es firmante de documentos, puede que recopilemos también su cargo o posición y la entidad a la que representa.
4.2. Datos biométricos e identificación digital
Como parte de nuestros servicios de verificación de identidad biométrica y firma electrónica avanzada, podemos recopilar datos biométricos de los usuarios, siempre con las garantías y consentimientos requeridos al ser datos sensibles. Estos datos pueden incluir, por ejemplo: imágenes faciales o fotografías del rostro (para comprobación biométrica facial), grabaciones de video cortas o selfies con movimientos (para detección de prueba de vida o liveness detection), huellas dactilares (en caso de soluciones de identificación que las utilicen), reconocimiento de firma manuscrita digitalizada, o incluso datos biométricos de iris o voz en la medida en que alguno de nuestros servicios así lo requiera.
En particular, si utiliza nuestros servicios de reconocimiento facial biométrico, NeoCheck capturará una imagen o escaneo de su rostro proporcionado a través de la cámara de su dispositivo, y la comparará con la fotografía presente en su documento de identidad oficial, con el único fin de verificar su identidad y autenticidad del documento. No utilizaremos la información biométrica con otros fines más que los aquí descritos, ni realizaremos identificación masiva o indiscriminada sin su conocimiento. Los datos biométricos, al ser considerados datos sensibles en la mayoría de jurisdicciones, serán tratados con medidas de seguridad reforzadas y, cuando la ley lo requiera, sobre la base de su consentimiento explícito (ver sección 6 sobre bases jurídicas).
4.3. Documentos oficiales y datos administrativos
Para los servicios de verificación documental y onboarding, NeoCheck puede recopilar imágenes escaneadas o fotografías de documentos oficiales de identidad y otros documentos aportados por el usuario o por la entidad que solicita la verificación. Esto incluye, por ejemplo: DNI, INE o cédula de identidad, pasaporte, licencia de conducir, documentos de residencia, credenciales o tarjetas identificativas, así como documentos complementarios para pruebas de domicilio o solvencia (p. ej., recibos de servicios, estados bancarios, cédulas fiscales, etc.). De estos documentos podemos extraer datos personales como número de identificación o folio del documento, fecha de nacimiento, nacionalidad, fotografía del titular, firma autógrafa, domicilio, CURP o NSS (en México), RUN/RUT (en Chile), entre otros que aparezcan visibles en los documentos aportados.
Adicionalmente, en ciertos procesos de autenticación, podemos recopilar información de validación administrativa: por ejemplo, códigos de confirmación enviados a su teléfono (OTP), números de expediente o solicitud, identificadores únicos de usuario asignados por nuestros clientes (empresas que integran NeoCheck), u otros datos necesarios para vincular la verificación con los registros del cliente (p. ej., número de cliente o contrato en la entidad que solicita la verificación).
4.4. Datos de uso de servicios y registros electrónicos
Cuando interactúa con nuestras plataformas o servicios en línea, recopilamos automáticamente cierta información técnica y de registro, que puede considerarse datos personales o asociados a usted. Esto incluye: direcciones IP, identificadores únicos de dispositivo o navegador, datos de geolocalización aproximada (p. ej., ciudad o país desde el que usa el servicio), marcas de tiempo y registros de actividad (fecha y hora de accesos, operaciones realizadas como firma de un documento o resultado de una verificación), información sobre el dispositivo y software (tipo y versión de navegador, sistema operativo, modelo de dispositivo). También podemos usar cookies o tecnologías similares para recoger información de navegación cuando visita nuestro sitio web corporativo o portales (ver nuestra Política de Cookies para más detalles). Estos datos de uso se tratan principalmente con fines de seguridad, para registrar la evidencia de las transacciones electrónicas realizadas (por ejemplo, mantener un registro del sello de tiempo de una firma electrónica avanzada) y para mejorar nuestros servicios. En el caso del uso de cookies no esenciales, solicitaremos su consentimiento conforme a la normativa aplicable.
4.5. Otros datos relevantes
Dependiendo del servicio utilizado, NeoCheck podría tratar otros tipos de datos personales necesarios para cumplir con la finalidad. Por ejemplo:
En servicios de firma digital con certificación, podríamos recopilar información adicional requerida para emitir certificados electrónicos avanzados o cualificados, como un identificador de certificado, la clave pública asociada, etc., que vincula su identidad con la firma electrónica emitida.
En el contexto de listas de prevención de fraude o AML (Anti-Money Laundering), podríamos procesar datos como resultados de comparación contra listas de personas políticamente expuestas (PEP) o listados de sanciones, lo cual podría implicar el tratamiento de su nombre y documento de identidad para realizar dichas comprobaciones mediante terceros autorizados.
Datos de transacciones o contratos que firme electrónicamente a través de nuestras plataformas (por ejemplo, meta-datos del documento firmado, fecha/hora de firma, dirección IP desde la que se firmó, etc.). El contenido de los documentos en sí suele ser provisto por nuestros clientes o por usted; NeoCheck lo custodia cifrado para fines de validación pero no usa su contenido para otras finalidades.
Si en algún servicio se requieren datos financieros para verificación (por ejemplo, verificación de una tarjeta bancaria de su propiedad como parte de la identidad), podríamos tratar de forma limitada esos datos (como número de tarjeta, emisor, etc.), siempre siguiendo estrictos estándares de seguridad. En general NeoCheck no almacena datos financieros completos a menos que sea indispensable para la finalidad declarada.
NeoCheck no recopila deliberadamente datos personales de menores de edad (menores de 18 años) a menos que el servicio específico esté destinado a su uso con el debido consentimiento paterno o de su representante legal, conforme a las leyes aplicables. Nuestros servicios de identificación y firma están diseñados principalmente para mayores de edad. Si usted es padre, madre o tutor y cree que un menor nos ha proporcionado datos personales sin autorización, por favor contáctenos para tomar las medidas oportunas.
5. Finalidades del Tratamiento
En NeoCheck tratamos los datos personales únicamente con finalidades específicas, explícitas y legítimas, las cuales le informamos a continuación. No utilizaremos sus datos para fines incompatibles con los aquí descritos. Las principales finalidades por servicio son:
5.1. Servicios de Firma Electrónica Avanzada
Cuando utiliza nuestro servicio de firma electrónica avanzada (por ejemplo, para firmar un documento digitalmente), tratamos sus datos para identificarle de manera fehaciente como firmante y para generar una firma electrónica con validez legal. Esto incluye verificar su identidad previa (p. ej., mediante comprobación de su documento de identidad y/o biometría), vincular dicha identidad a un certificado o clave de firma, y aplicar un sello de tiempo que garantice la fecha y hora de la firma. Los datos se usan para crear las evidencias electrónicas de la firma (como certificados, huellas criptográficas del documento firmado, registros de auditoría de la transacción) y para validar posteriormente la integridad de la firma ante terceros que reciban el documento firmado. La finalidad última es permitirle firmar documentos con valor probatorio, cumpliendo los requisitos del Reglamento eIDAS y normativas equivalentes, sin necesidad de papel ni presencia física.
Adicionalmente, estos datos pueden conservarse para cumplir obligaciones legales (por ejemplo, algunas normativas exigen conservar evidencias de las firmas durante cierto tiempo) y para la defensa frente a reclamaciones relacionadas con la validez de la firma.
5.2. Servicio de Sellado de Tiempo
Si utiliza nuestro servicio de sellado de tiempo (timestamping) cualificado, los datos (generalmente un resumen hash del documento o evento a sellar, junto con sus identificadores) se tratan con la finalidad de generar un sello de tiempo confiable, es decir, una constancia electrónica que certifica que determinados datos existían en un momento específico. Este servicio implica procesar su solicitud de sello, asociar la hora exacta mediante nuestro servidor de tiempo sincronizado, y emitir un token o certificado de sello de tiempo firmado electrónicamente. La finalidad es garantizar la integridad temporal de documentos o transacciones electrónicas, dotándoles de validez legal en cuanto a su fecha y hora. Los registros de sellado de tiempo se guardan para permitir verificaciones futuras y para cumplir posibles auditorías regulatorias.
5.3. Servicios de Verificación de Identidad (Biométrica y Documental)
Nuestros servicios de verificación de identidad tienen por objeto confirmar que usted es quien dice ser, a través de mecanismos automáticos y/o manuales de comprobación documental y biométrica. Las finalidades incluyen:
Verificación de documentos oficiales: Validar la autenticidad de su documento de identidad o documentos presentados, comprobando elementos de seguridad, vigencia, comparando los datos en bases oficiales o con plantillas reconocidas. Esto se hace para prevenir suplantaciones o fraudes documentales durante procesos de alta de clientes, contratos a distancia, etc.
Comparación biométrica (Prueba de vida y coincidencia facial): Asegurar que la persona que está presentando el documento es la misma que aparece en él, mediante técnicas de reconocimiento facial. Su imagen facial se compara con la fotografía del documento para confirmar coincidencia, y se realizan pruebas de vida (ej. solicitar movimientos o gestos) para garantizar que se trata de una persona real presente y no una imagen estática o video pregrabado.
Verificación de atributos adicionales: En algunos casos, la finalidad abarca comprobar determinados atributos o información de antecedentes (por ejemplo, validar que usted no esté en listas prohibidas, que su número de teléfono o correo le pertenecen, o realizar una verificación de correo electrónico/OTP).
La finalidad principal es facilitar procesos de onboarding digital seguro (alta de nuevos clientes, registro en plataformas, validación de identidad para trámites en línea) con alto grado de certeza y cumpliendo requisitos legales sectoriales (por ejemplo, normativa de prevención de blanqueo de capitales que exige identificar al cliente). Todo ello, minimizando la fricción para el usuario, pues se puede completar la identificación desde su dispositivo de forma rápida.
5.4. Onboarding y Cumplimiento KYC/AML
Relacionado con lo anterior, en contextos de cumplimiento regulatorio KYC (Know Your Customer) y AML (Anti-Money Laundering), NeoCheck trata sus datos para ayudar a entidades financieras, de telecomunicaciones, juegos de azar, o de cualquier sector regulado, a cumplir con sus obligaciones legales de identificación y conocimiento del cliente. Aquí las finalidades específicas pueden incluir:
Autenticación reforzada de identidad: Obtener evidencias de identidad para que la entidad cumpla con la ley (por ejemplo, captura de su identificación oficial y comparación con bases de datos gubernamentales cuando la ley lo permita, verificación de su firma contra registros, etc.).
Screening en listas de riesgo: Comparar sus datos (nombre, documento) contra listas públicas o privadas de prevención de fraude, listas de personas expuestas políticamente (PEP), listados de sanciones internacionales o alertas de identidades fraudulentas, con la finalidad de detectar posibles factores de riesgo o impedimentos para entablar una relación contractual.
Registro de documentación contractual: Recabar los datos y documentos necesarios para que usted formalice un contrato o alta (por ejemplo, recopilar y almacenar el formulario electrónico con sus datos personales que serán parte del expediente del cliente de la entidad solicitante).
En estos casos, NeoCheck actúa típicamente como proveedor tecnológico de la empresa obligada a realizar el KYC/AML, de modo que la finalidad última es la del cumplimiento legal por parte de esa empresa. NeoCheck asegura que los datos recopilados solo se usarán para dichos fines y no para otros propósitos comerciales no relacionados.
5.5. Prevención del fraude y seguridad
Independientemente del servicio específico, NeoCheck puede tratar ciertos datos personales con la finalidad de garantizar la seguridad de nuestras plataformas y prevenir actividades fraudulentas o no autorizadas. Esto abarca el uso de sus datos para:
Detección y mitigación de fraudes: Por ejemplo, podemos utilizar huellas digitales del dispositivo, patrones de uso o resultados de verificaciones previas para identificar posibles intentos de suplantación de identidad, usos indebidos de documentos falsificados o repetidos, ataques automatizados (bots), etc. En caso de detectarse un posible fraude, podemos tomar medidas como bloquear la transacción o alertar a la entidad correspondiente.
Autenticación y control de accesos: Si usted crea una cuenta con NeoCheck o accede a un portal seguro, utilizaremos sus credenciales y posiblemente datos de segundo factor (OTP, biometría de acceso) para autenticar su identidad y permitirle solo a usted el acceso a su información personal.
Integridad de las transacciones electrónicas: Los registros (logs) de actividad, sellos de tiempo, y evidencias criptográficas se tratan para garantizar que cualquier alteración o acceso no autorizado pueda ser detectado, preservando así la integridad y no repudio de las firmas electrónicas y verificaciones efectuadas.
Estas finalidades de seguridad y antifraude normalmente se consideran compatibles con las finalidades principales de identificación y firma, ya que buscan proteger tanto al usuario como a los sistemas de confianza.
5.6. Soporte, mejoras y comunicaciones
Por último, NeoCheck puede tratar datos personales para finalidades operativas y comerciales legítimas asociadas a la prestación del servicio:
Atención al cliente y soporte técnico: Si usted se comunica con NeoCheck para solicitar soporte o con cualquier consulta (ya sea vía email, chat o teléfono), utilizaremos sus datos de contacto y registro de usuario para atenderle y resolver su solicitud. Podríamos verificar su identidad durante el proceso de soporte por motivos de seguridad.
Mejora de servicios y desarrollo: Podemos usar de forma agregada o anonimizada la información de uso del servicio, resultados de verificaciones (por ejemplo, tasas de éxito/fallo) y retroalimentación de usuarios para analizar el rendimiento de nuestras soluciones e introducir mejoras o nuevas funcionalidades. En algunos casos, podríamos solicitarle participar en encuestas de satisfacción relacionadas con la experiencia del onboarding o firma, pero su participación es voluntaria.
Comunicación con clientes corporativos: Si usted trabaja para uno de nuestros clientes corporativos o es nuestro contacto en una empresa, trataremos sus datos profesionales (e-mail corporativo, nombre, cargo) para comunicaciones comerciales, gestión de la relación contractual, envío de actualizaciones sobre nuestros servicios, facturación, etc., en el marco de la prestación de nuestros servicios B2B.
Envío de información sobre novedades (marketing limitado): NeoCheck, por regla general, no realiza envíos masivos de publicidad a usuarios finales y no vende sus datos a terceros con fines de marketing. Solo podríamos llegar a enviarle comunicaciones informativas sobre nuestros propios servicios si usted es nuestro cliente directo o ha expresado interés en ello (por ejemplo, si se suscribió a un boletín). En todo caso, tales envíos cumplirán requisitos legales (p. ej., ofreciendo una opción clara de opt-out o baja en cualquier momento).
Cabe recalcar que, si alguna vez necesitáramos tratar sus datos para una finalidad diferente a las aquí listadas, le informaremos previamente y, de ser necesario, solicitaremos su consentimiento.
6. Base Jurídica del Tratamiento por Servicio y Jurisdicción
Dependiendo del tipo de dato y la jurisdicción, el tratamiento de sus datos personales por parte de NeoCheck puede fundamentarse en diferentes bases legales o condiciones de licitud. A continuación, explicamos las principales bases jurídicas que aplicamos, segmentadas por regiones clave, asegurando la adecuación a cada marco normativo:
6.1. Unión Europea (RGPD)
En el contexto de la Unión Europea, nos regimos por el RGPD, el cual permite el tratamiento de datos personales siempre que exista una base que lo legitime (Artículo 6 RGPD) y, tratándose de categorías especiales de datos como biometría, que concurra además una condición específica del Artículo 9 del RGPD (por ejemplo, consentimiento explícito). Para nuestros servicios, las bases jurídicas típicamente aplicables son:
Ejecución de un contrato o medidas precontractuales (Art. 6.1(b) RGPD): Muchos de nuestros tratamientos son necesarios para ejecutar el servicio solicitado por usted o por la entidad con la que tiene la relación principal. Por ejemplo, permitirle firmar electrónicamente un documento, o verificar su identidad a petición suya o de un contratante, son servicios que implican un contrato (sea con usted directamente o con nuestro cliente empresarial) y sin los cuales no podríamos cumplir dichas funciones. En términos prácticos, cuando usted utiliza voluntariamente nuestros servicios para, por ejemplo, acceder a una plataforma, se entiende que hay una relación contractual o precontractual que nos legitima a procesar sus datos para ese propósito específico.
Cumplimiento de una obligación legal (Art. 6.1(c) RGPD): En ciertos casos, tratamos sus datos porque alguna ley o reglamento nos lo exige. Por ejemplo, el Reglamento eIDAS y legislaciones nacionales pueden obligar a los Prestadores de Servicios de Confianza (como NeoCheck o nuestros socios) a identificar fehacientemente a los firmantes de certificados avanzados o a conservar determinadas evidencias de las firmas durante plazos definidos. Igualmente, las leyes anti-blanqueo (AML) nos pueden exigir conservar información de verificación de identidad por un período mínimo. Cuando actuamos por mandato legal, esta base jurídica será la aplicable.
Intereses legítimos del responsable o de terceros (Art. 6.1(f) RGPD): Utilizamos esta base jurídica de manera complementaria y tras evaluar que su privacidad no prevalece sobre dichos intereses. Por ejemplo, NeoCheck tiene un interés legítimo en mantener la seguridad de sus sistemas y prevenir fraudes; por tanto, ciertos tratamientos antifraude (como los descritos en la sección 5.5) pueden basarse en este interés legítimo. También podemos alegar interés legítimo para el tratamiento de datos de contacto profesionales en contextos B2B (p. ej., comunicación con representantes de nuestros clientes) o para mejoras técnicas de la plataforma. En todos los casos, realizamos un test de ponderación para asegurarnos de que no se produce un impacto desproporcionado en sus derechos. Usted tiene derecho a oponerse a tratamientos basados en interés legítimo (ver sección 9.1).
Consentimiento del interesado (Art. 6.1(a) RGPD): Solicitaremos su consentimiento en aquellos escenarios donde ninguna de las bases anteriores aplique de forma clara, o cuando así lo exija la normativa para categorías especiales de datos. En particular, el tratamiento de datos biométricos con fines de identificación única normalmente requiere su consentimiento explícito en Europa (Art. 9.2(a) RGPD), salvo que exista otra excepción del Art. 9 (por ejemplo, que sea necesario por razones de interés público esencial conforme a la ley, lo cual usualmente no es el caso en servicios privados, o que sea necesario para la formulación de defensa de reclamaciones legales, etc.). Por ello, antes de capturar sus datos biométricos (como foto facial para reconocimiento), le presentaremos una solicitud de consentimiento explícito, informándole claramente del uso de dicha información. Este consentimiento puede ser retirado en cualquier momento; sin embargo, tenga en cuenta que retirar el consentimiento no afecta a la legalidad del tratamiento realizado con anterioridad ni a la validez de verificaciones ya efectuadas.
Otras bases legales específicas: Eventualmente podrían ser aplicables otras bases del RGPD: por ejemplo, si el tratamiento es necesario para proteger intereses vitales (Art. 6.1(d)), lo cual es poco común en nuestro contexto; o para el cumplimiento de una misión de interés público (Art. 6.1(e)) si colaboramos en algún proyecto público. De darse el caso, lo indicaremos expresamente. Para datos sensibles, también podríamos apoyarnos en el Art. 9.2(g) (interés público sustancial) si una norma nacional así lo dispone para, por ejemplo, fines de identificación electrónica robusta.
En todos los casos, NeoCheck se asegura de identificar y documentar la base jurídica de cada actividad de tratamiento en su Registro de Actividades de Tratamiento, conforme al principio de responsabilidad proactiva del RGPD.
6.2. México (LFPDPPP)
En México, la ley principal (LFPDPPP) establece que el tratamiento de datos personales debe realizarse con el consentimiento del titular, salvo en las excepciones previstas en dicha ley (Art. 8 y 10 LFPDPPP vigente). Por tanto, nuestras bases de licitud en México se estructuran así:
Consentimiento del titular: Por regla general, recabamos el consentimiento de los usuarios mexicanos antes de tratar sus datos personales, ya sea de forma tácita o expresa según el tipo de datos. Para datos personales sensibles (como datos biométricos faciales o dactilares), la LFPDPPP exige consentimiento expreso y por escrito (ya sea físico o electrónico) del titular. NeoCheck implementa mecanismos para obtener su consentimiento expreso (por ejemplo, marcando una casilla de aceptación de la política de privacidad o firmando electrónicamente una cláusula) cuando se trate de captura de datos sensibles, cumpliendo con lo previsto en la legislación mexicana. En nuestro Aviso de Privacidad (integral) identificamos claramente qué datos son sensibles y para qué finalidades requieren su consentimiento.
Excepciones al consentimiento: Reconocemos que la LFPDPPP (Arts. 10 y 37) contempla situaciones en las que no se requiere el consentimiento del titular para tratar o transferir sus datos. Algunas de estas excepciones relevantes a nuestros servicios son: (a) Que el tratamiento sea necesario en virtud de una relación jurídica entre el titular y NeoCheck (por ejemplo, si usted contrata directamente un servicio con NeoCheck, podremos tratar sus datos necesarios sin consentimiento adicional, dado que existe esa relación contractual); (b) Que el tratamiento sea necesario para cumplir una obligación legal impuesta a NeoCheck (por ejemplo, conservar ciertos registros por disposiciones fiscales o de prevención de delitos); (c) Que los datos provengan de una fuente de acceso público legalmente disponible; (d) Transferencias nacionales o internacionales de datos que se realicen entre controladores, cuando el receptor asume las mismas obligaciones de resguardo que el transferente (esto aplica, por ejemplo, si transferimos datos a un proveedor que cumple con lineamientos de protección de datos similares).
En la reciente reforma de 2025 a la LFPDPPP, se han ampliado las excepciones indicando que no solo leyes formales pueden eximir el consentimiento, sino también otras disposiciones jurídicas (reglamentos, etc.). Asimismo, se introdujo el concepto de “plazo de conservación” obligando a bloquear y posteriormente suprimir los datos tras cumplir dicho plazo, lo cual observamos en nuestros procedimientos de retención (ver sección 13).
Finalidades que no requieren consentimiento: En nuestro Aviso de Privacidad, distinguimos entre finalidades primarias o necesarias (que no requieren consentimiento porque dan origen y son indispensables para la relación con el titular) y finalidades secundarias o accesorias (que sí requieren consentimiento expreso al no ser esenciales). Por ejemplo, la finalidad de verificar su identidad para un trámite solicitado por usted es primaria y puede no requerir consentimiento adicional, mientras que usar sus datos para encuestas de calidad sería secundaria y le pediremos autorización. Esta distinción cumple con las disposiciones de la LFPDPPP y sus Lineamientos.
Transferencias de datos: Aunque la nueva LFPDPPP eliminó la obligación de informar explícitamente sobre las transferencias en el aviso, NeoCheck opta por mantener esa transparencia. Si debemos transferir sus datos a un tercero (por ejemplo, a un socio tecnológico en otro país) y dicha transferencia no encaja en las excepciones del Art. 37, le solicitaremos el consentimiento previo a través de cláusulas de transferencia en el Aviso de Privacidad.
En resumen, en México nos apegamos al principio de consentimiento previo para el tratamiento, excepto cuando exista una causa legal de excepción. Garantizamos además que cualquier tratamiento automatizado que pudiera afectar significativamente sus intereses (por ejemplo, decisiones basadas únicamente en algoritmos) le será informado y usted tendrá derecho a oponerse por causa legítima. De hecho, la reforma 2025 de la LFPDPPP ha aclarado que el titular puede oponerse cuando sus datos sean objeto de decisiones automatizadas con efectos jurídicos adversos, derecho que respetaremos en nuestro funcionamiento (ver sección 11).
6.3. Colombia (Ley 1581 de 2012)
La normativa colombiana requiere en general consentimiento previo, expreso e informado del titular para el tratamiento de sus datos (Art. 4, principio de libertad), a menos que aplique alguna excepción legal. Nuestro tratamiento en Colombia se basa en:
Autorización del titular: Obtenemos su autorización expresa de tratamiento mediante los mecanismos electrónicos dispuestos (por ejemplo, aceptación electrónica de esta política o de un consentimiento específico durante el flujo de verificación). Esta autorización cubre las finalidades informadas en esta política. En caso de datos sensibles (como datos biométricos), le indicaremos claramente que su respuesta es facultativa y solicitaremos una autorización explícita, cumpliendo con el Art. 6 de la Ley 1581 y las directrices de la SIC, ya que por defecto el tratamiento de datos sensibles está prohibido salvo excepciones. Una de esas excepciones es precisamente contar con su consentimiento explícito, la cual aplicamos.
Excepciones legales al consentimiento: Colombia prevé que en ciertos casos no se requiere autorización (Art. 10 Ley 1581), entre ellos: cuando la información sea requerida por una entidad pública en ejercicio de sus funciones legales, cuando se trate de datos públicos, en casos de urgencia médica, tratamiento para fines históricos, estadísticos o científicos, o datos relacionados con el Registro Civil. En nuestras operaciones, rara vez trataríamos datos sin consentimiento; podría ocurrir si, por ejemplo, una autoridad nos solicita verificar datos por orden judicial (lo cual obedeceríamos sin necesidad de autorización del titular en virtud de la excepción legal). Si utilizamos datos públicos (por ejemplo, verificación contra listas públicas), esta actividad se hace conforme a lo permitido por la ley.
Contratos de servicios (relación precontractual/contractual): La ley colombiana no define “bases jurídicas” tan explícitas como el RGPD, pero en la práctica, si usted nos solicita un servicio, entendemos que existe una relación contractual que legitima el tratamiento para esos fines específicos. Aun así, por diligencia, solemos recabar su autorización de todas formas para dejar constancia.
Transferencia internacional: La ley colombiana exige que las transferencias de datos personales a otros países solo ocurran si el destinatario garantiza niveles adecuados de protección o bajo ciertas excepciones (similar al principio del “nivel adecuado” del RGPD). Al respecto, NeoCheck asegura que cualquier transferencia de datos de Colombia a nuestros servidores o subencargados en el exterior se acoge a lo dispuesto por la Superintendencia de Industria y Comercio (SIC) – por ejemplo, podríamos apoyarnos en el consentimiento del titular para transferir sus datos a servidores fuera de Colombia si fuera necesario, o implementaremos acuerdos de transferencia (cláusulas contractuales) con los receptores que obliguen a las mismas garantías de Ley 1581.
Responsabilidad demostrada: Como Responsable en Colombia, cumplimos con los deberes del Art. 17 de la ley, entre ellos garantizar al titular el pleno ejercicio de sus derechos (ver sección 9.3), conservar prueba de la autorización, informar la finalidad del tratamiento, y abstenernos de recoger datos no pertinentes. Mantenemos una Política de Tratamiento de Datos disponible para los titulares, la cual se refleja en este documento consolidado.
6.4. Brasil (LGPD)
La Lei Geral de Proteção de Dados (LGPD) de Brasil establece varias bases legales (“hipóteses de tratamento”) similares al RGPD. Las más relevantes que NeoCheck invoca son:
Consentimiento del titular: O consentimento (Art. 7.I LGPD) es una base principal, especialmente para datos personales sensibles (Art. 11.I LGPD requiere consentimiento específico y destacado para datos sensibles). En nuestros servicios en Brasil, recabamos consentimiento libre, informado e inequívoco del usuario cuando así se exige – por ejemplo, antes de procesar sus datos biométricos con fines de identificación, le presentaremos una solicitud de consentimiento indicando claramente la finalidad. El usuario puede revocar el consentimiento en cualquier momento, conforme al Art. 8 §5 LGPD, si bien la revocación no afecta tratamientos ya realizados.
Cumplimiento de obligación legal o regulatoria: (Art. 7.II LGPD). Si alguna ley brasileña nos exige tratar datos, lo haremos bajo esta base. Por ejemplo, la normativa del ICP-Brasil (Infraestrutura de Chaves Públicas Brasileira) podría requerirnos ciertas verificaciones si actuamos en la emisión de certificados, o leyes bancarias podrían exigir identificación de clientes para prevenir delitos. En tal caso, tratamos los datos porque es necesario para que tanto NeoCheck como nuestro cliente brasileño cumplan la ley.
Ejecución de contrato o procedimientos precontractuales: (Art. 7.V LGPD). Similar al RGPD, cuando el tratamiento sea necesario para cumplir un contrato en el que el titular es parte (por ejemplo, usted acepta términos de uso de una plataforma que incluye la verificación de identidad a través de NeoCheck) o para diligencias a petición del titular antes de formalizar un contrato, nos basamos en esta hipótesis legal.
Legítimo interés del controlador: (Art. 7.IX LGPD). Brasil reconoce el legítimo interesse como base, siempre que atendamos a las expectativas del titular y su privacidad. NeoCheck puede invocar interés legítimo en actividades como: mejorar la experiencia de usuario, prevenir fraudes, seguridad de la información, y cuando tratamos datos de contacto de representantes de empresas clientes para fines comerciales razonables. Siempre realizamos la Evaluación de Legítimo Interés exigida por la ANPD para documentar el equilibrio entre nuestros intereses y los derechos del titular. Importante: No utilizaremos interés legítimo para tratar datos sensibles o para finalidades que la ley exija consentimiento.
Ejercicio regular de derechos en procesos judiciales: (Art. 7.VI LGPD). Si necesitamos tratar o conservar datos para la defensa de derechos de NeoCheck en un litigio o procedimiento administrativo/arbitral, podremos hacerlo sin consentimiento, conforme a esta base legal. Esto es relevante para la conservación de evidencias de transacciones (firmas, verificaciones) que pudieran presentarse ante un tribunal en caso de disputas.
Protección del crédito: (Art. 7.X LGPD). En principio NeoCheck no trata sus datos para este fin, salvo que en algún servicio puntual se requiera una verificación crediticia a petición de un cliente (por ejemplo, validación de identidad ligada a historial crediticio). De ocurrir, se cumpliría con la legislación específica (como el Código de Defensa del Consumidor brasileño) y la LGPD permite este tratamiento sin consentimiento para proteger el crédito.
Interés vital o tutela de la salud: (Art. 7.VII y 7.VIII). Es poco probable que apliquen en nuestro caso (serían para emergencias médicas o por profesionales sanitarios). Solo las mencionamos para claridad.
Además, la LGPD exige que informemos claramente al titular sobre las bases legales y las finalidades, lo cual cumplimos mediante esta política. Para datos sensibles (como biometría facial), la base primaria será el consentimiento, a menos que la ley brasileña designe el tratamiento de identificación biométrica como necesario para atender interés público o prevención de fraude documental en el sector privado, hipótesis bajo las cuales podríamos excepcionalmente operar sin consentimiento, pero siempre en conformidad con LGPD.
6.5. Chile (Ley 19.628 y Ley 21.719)
En Chile, la Ley N° 19.628 (Protección de la Vida Privada) establece un régimen donde el tratamiento de datos personales debe hacerse en conformidad con la ley y, por lo general, con el consentimiento del titular, salvo excepciones. Asimismo, considera ciertos datos como “datos sensibles” (ej. los relativos a características físicas o circunstancias de intimidad) que no pueden tratarse salvo consentimiento o habilitación legal.
Consentimiento y finalidades: NeoCheck procurará obtener el consentimiento de los usuarios chilenos para la recolección y tratamiento de sus datos en todos los casos en que sea requerido. Por ejemplo, al recopilar su información para verificar identidad en línea, obtendremos su autorización mediante los mecanismos electrónicos (un “acepto” claro). Cabe destacar que en Chile el consentimiento puede ser tácito para datos no sensibles, pero nosotros optamos por solicitarlo de forma explícita para mayor claridad. En el caso de datos sensibles (como biométricos), la ley chilena vigente exige consentimiento por escrito del titular; proveeremos una forma electrónica que cumpla con esta exigencia de forma equiparable a la escritura, a través de la aceptación expresa de una cláusula de autorización de datos sensibles.
Excepciones legales: La ley chilena actual permite tratar datos sin consentimiento en ciertos supuestos, por ejemplo: datos provenientes de fuentes accesibles al público (registros públicos, etc.), datos tratados por obligaciones legales, datos económicos/comerciales en ciertas condiciones, entre otros. En nuestros procesos, podríamos tratar sin consentimiento explícito aquella información que su misma empresa empleadora o entidad nos entregue en virtud de un contrato con nosotros (por ejemplo, si la entidad nos transfiere sus datos para iniciar un proceso de firma, se entiende que hay una autorización implícita en ese contexto contractual). También podríamos sin consentimiento procesar datos estrictamente necesarios para cumplir con un deber legal en Chile (aunque actualmente la ley 19.628 no impone muchos deberes específicos en nuestro ámbito, salvo quizás para retener datos de tráfico electrónico bajo ley de ciberseguridad).
Nueva Ley 21.719 (en vacancia hasta 2026): Chile ha aprobado una reforma integral a su regulación de datos personales mediante la Ley 21.719, que entrará plenamente en vigencia en 2026. NeoCheck se adelanta a estas disposiciones y asume un compromiso de cumplimiento proactivo. Entre otras cosas, la nueva ley creará una Agencia de Protección de Datos y reforzará los derechos de los titulares. Se espera que introduzca principios similares al RGPD (licitud, minimización, accountability) y requisitos de consentimiento más detallados. También establecerá sanciones significativas por infracciones. NeoCheck se asegurará de adecuar sus prácticas a esta nueva normativa a la brevedad posible. Mientras tanto, seguimos las directrices actuales y de buenas prácticas internacionales para ofrecer un nivel de protección alto a los usuarios chilenos.
Datos de menores: La legislación chilena pone especial énfasis en la protección de datos de menores de edad. NeoCheck no tratará datos de menores chilenos sin la autorización correspondiente del padre/madre o tutor, en concordancia con las disposiciones vigentes y las que introduzca la nueva ley.
En síntesis, en Chile la base primordial es el consentimiento informado del titular. Respetamos su voluntad sobre sus datos: por ejemplo, si luego de dar consentimiento usted desea cancelarlo, atenderemos su solicitud (lo que podría implicar dejar de prestarle el servicio si el tratamiento era esencial para el mismo).
6.6. Perú (Ley 29733)
La Ley de Protección de Datos Personales peruana y su reglamento disponen que todo tratamiento debe realizarse con consentimiento libre, previo, expreso e inequívoco del titular, salvo ley que exima o casos previstos en la misma ley (Art. 13 de la Ley y Art. 14 de su Reglamento). Por lo tanto:
Consentimiento expreso: NeoCheck recaba la autorización de los titulares peruanos antes de tratar sus datos. Empleamos mecanismos electrónicos que cumplen con los requisitos de evidencia del consentimiento (p. ej., casillas de aceptación, registros de logs con marca de tiempo que acreditan la aceptación). Para datos sensibles, exigimos consentimiento expreso específico, destacando claramente cuál es el dato sensible (por ejemplo, su huella digital o imagen facial) y con qué finalidad se usará. Esto en línea con el principio de consentimiento informado de la normativa peruana.
Excepciones de licitud: La ley peruana permite tratamiento sin consentimiento en ciertos casos tasados (Art. 13 Ley 29733), tales como: cuando los datos se recaben de fuentes accesibles al público de libre acceso; cuando los datos se relacionen a personas en su calidad de comerciantes o por su oficio (datos estrictamente de directorios profesionales); cuando sea necesario para ejecutar un contrato en el que el titular es parte o para medidas precontractuales solicitadas por este; cuando sea necesario para una obligación legal del responsable; o cuando se trate de información desarrollada por asociaciones sin fines de lucro para sus fines internos (entre otras). En nuestro contexto, podríamos aplicar, por ejemplo, la excepción de ejecución de contrato: si usted solicita la verificación de identidad para contratar con un banco, la recopilación de sus datos para ese fin puede considerarse necesaria para ese contrato y, por tanto, permitida sin un consentimiento adicional. No obstante, por transparencia, igualmente solemos recabar la aceptación del titular.
Transferencia internacional: Perú exige que las transferencias de datos personales fuera del territorio nacional cuenten con: (a) el consentimiento del titular; o (b) que el país receptor u organización receptora asegure un nivel adecuado de protección; o (c) que se hayan establecido garantías contractuales vinculantes; o (d) que aplique una excepción legal (por ejemplo, transferencia necesaria para ejecutar un contrato a solicitud del titular, o para ejercicio de acciones legales, etc.). NeoCheck, al transferir o permitir acceso a datos desde sus servidores en la nube fuera de Perú (por ejemplo, servidores ubicados en la UE), suscribirá con el importador de datos los acuerdos necesarios (cláusulas contractuales) para garantizar la protección conforme a estándares peruanos, a menos que contemos con su consentimiento explícito para dicha transferencia internacional. Siempre informaremos al titular sobre la transferencia en esta política y en la cláusula pertinente del formulario de consentimiento, cumpliendo con el Art. 11 del Reglamento (que requiere informar sobre las transferencias internacionales, indicando al menos el destinatario, la finalidad y el país de destino).
Licitud por obligaciones legales: Si en Perú alguna normativa sectorial nos impone identificar y conservar datos (por ejemplo, en servicios fiduciarios o financieros), trataremos los datos bajo esa cobertura legal, sin requerir consentimiento, y lo consignaremos en nuestros registros.
Para todos los efectos, en Perú seguimos fielmente los Principios de la Ley 29733: legalidad, consentimiento, finalidad, proporcionalidad, calidad, seguridad y disposición de recurso. Especialmente, solo trataremos datos para las finalidades descritas, en la medida adecuada y relevante, manteniéndolos seguros y permitiéndole a usted ejercer sus derechos ARCO (ver sección 9.6).
Nota: En caso de que una misma situación de tratamiento involucre múltiples jurisdicciones (por ejemplo, un usuario en Latinoamérica cuyos datos son procesados en servidores europeos), NeoCheck buscará cumplir con todas las normativas aplicables de forma concurrente. Esto puede significar adoptar el criterio más estricto para garantizar la protección de datos. Nuestro equipo legal y de cumplimiento revisa periódicamente las bases jurídicas y requisitos en cada país para mantener esta política actualizada y en conformidad.
7. Destinatarios de los Datos y Encargados del Tratamiento
NeoCheck puede comunicar o compartir sus datos personales con terceros en ciertas circunstancias, siempre bajo contrato y garantizando que dichos terceros brindan niveles de protección adecuados. A continuación, describimos los posibles destinatarios de datos:
7.1. Encargados (Sub-procesadores)
Son entidades externas que tratan datos personales por cuenta de NeoCheck, siguiendo nuestras instrucciones. Contratamos encargados para apoyar la prestación eficiente y segura de nuestros servicios. Algunos ejemplos de encargados/sub-procesadores que podrían intervenir:
Proveedores de infraestructura de TI y almacenamiento en la nube: NeoCheck utiliza centros de datos y servicios cloud seguros (por ejemplo, servicios equivalentes a AWS, Azure u otros, según la región) para alojar su plataforma y la información recopilada. Estos proveedores actúan como encargados ya que almacenan o transmiten datos bajo nuestras instrucciones y políticas de seguridad. Los datos suelen estar segmentados por región (ver sección 8.1 sobre servidores locales).
Servicios de verificación de documentos y biometría de terceros: En algunos casos, NeoCheck integra tecnologías de terceros especializados, por ejemplo, un software de OCR para leer datos de un documento de identidad, o un motor de reconocimiento facial/huellas dactilares proporcionado por un partner. Dichos terceros pueden tener acceso a las imágenes o datos necesarios para realizar la verificación en tiempo real. Siempre que ocurra, existe un contrato de procesamiento de datos con ese tercero obligándolo a confidencialidad, a no usar los datos para ningún otro fin y a borrarlos una vez prestado el servicio. Un ejemplo es nuestro socio tecnológico en firma electrónica certificada (p.ej., Validated ID u otro Prestador Cualificado) con quien colaboramos para emisión de firmas digitales avanzadas – tratamos los datos conjuntamente para generar certificados de firma cumpliendo eIDAS.
Servicios de mensajería y comunicaciones: Para enviarle correos electrónicos de confirmación, notificaciones SMS (p. ej., códigos OTP) u otras comunicaciones vinculadas al servicio, podemos utilizar plataformas especializadas (mandaderos de correo, servicios SMS). Estos tratarán su email o número de teléfono únicamente para remitirle los mensajes que NeoCheck les indique.
Proveedor de listas de control o prevención de fraude: Si parte del servicio implica cotejar sus datos contra bases de datos de terceros (por ejemplo, verificaciones AML o validación de identidad contra fuentes oficiales), podríamos enviar mínimos datos necesarios (como su número de identificación o nombre) a servicios externos autorizados. Un ejemplo podría ser conectarnos a un servicio de consulta de padrones electorales o registros civiles (si existiera un convenio) para validar la identidad; o a un servicio global tipo World-Check u otro para comprobar PEPs. Estos proveedores actúan bajo nuestras directrices y solo con la finalidad de retornar un resultado de verificación.
Socios de soporte y mantenimiento: En caso de que contemos con asistencia de terceros para labores de soporte técnico en nuestras bases de datos o software, es posible que dichos técnicos deban acceder ocasionalmente a datos reales. En tal evento, estos accesos estarán estrictamente controlados, limitados al propósito de resolver incidencias o mejoras, y los técnicos tendrán deber legal y contractual de confidencialidad.
En todos los supuestos anteriores, NeoCheck suscribe contratos de Encargado del Tratamiento con cláusulas de protección de datos con cada sub-procesador, según las exigencias de cada legislación (por ejemplo, Cláusulas contractuales tipo de la UE cuando corresponde, acuerdos de procesamiento en términos de LGPD, etc.). Además, antes de incorporar un sub-procesador, evaluamos sus medidas de seguridad y solvencia. No compartiremos más datos de los necesarios con cada encargado.
Puede solicitarnos en cualquier momento una lista actualizada de nuestros sub-procesadores principales a través del correo de contacto de privacidad.
7.2. Terceros y colaboradores
Además de los encargados, podemos compartir sus datos con terceros que actúan como responsables independientes o corresponsables, en las siguientes situaciones:
Cliente o entidad solicitante (Tercero Responsable): Si usted está usando los servicios NeoCheck a instancias de otra entidad (por ejemplo, un banco que lo deriva a nuestra plataforma de onboarding, o una empresa que le envía un documento para firma), compartiremos el resultado de la verificación o el documento firmado con dicha entidad que lo solicitó. Esa entidad tercera es normalmente la responsable principal de sus datos en ese contexto, y nuestra plataforma simplemente le retransmite la información necesaria (por ejemplo, confirmación de que su identidad fue verificada con éxito, el PDF firmado electrónicamente, etc.). En esencia, los datos que usted provee son devueltos a quien los solicitó para los fines legítimos que esa entidad tenga (típicamente formalizar un contrato con usted, registrarlo como cliente, etc.). Esto no se considera una “transferencia” con cambio de finalidad, sino parte del mismo proceso que usted consintió al interactuar con dicha entidad.
Autoridades públicas y organismos regulatorios: Podemos divulgar datos personales a autoridades gubernamentales, reguladores o fuerzas del orden que lo requieran legalmente. Por ejemplo, en Europa, si una Autoridad de Protección de Datos u otra agencia nos requiere información de un usuario para investigar una reclamación, estamos obligados a proporcionarla. Otro ejemplo: podríamos recibir una orden judicial para entregar registros de una firma electrónica involucrada en un litigio. También, en materia de prevención de fraude, podríamos notificar a las autoridades competentes si detectamos falsificación documental u otro ilícito, en la medida en que la ley nos habilite a hacerlo. Cualquier comunicación de este tipo será realizada evaluando la legitimidad de la solicitud y guardando registro de la misma.
Empresas afiliadas o reestructuraciones corporativas: En la actualidad NeoCheck S.L. opera como entidad única. Si en el futuro NeoCheck forma parte de un grupo empresarial o cede partes de negocio a filiales, podríamos compartir datos personales con dichas entidades afiliadas bajo el mismo control, siempre con finalidades coherentes con las recogidas en esta política. Por ejemplo, si NeoCheck abre una sucursal local en un país latinoamericano para mejor atención, los datos de usuarios de ese país podrían ser gestionados tanto por NeoCheck S.L. (España) como por la filial local, en régimen de corresponsabilidad o transferencia intracorporativa. En cualquier caso, garantizamos el mismo nivel de protección en todo el grupo. Asimismo, en caso de fusión, adquisición o venta de negocio, los datos personales podrían ser transferidos al nuevo propietario, pero se le informará oportunamente y se mantendrán sus derechos.
Terceros con consentimiento del titular: Fuera de los supuestos anteriores, si necesitáramos compartir su información con un tercero distinto (por ejemplo, un partner comercial que ofrece un servicio complementario y usted decide habilitarlo), le solicitaríamos consentimiento específico. Solo con su autorización explícita transferiríamos datos a, digamos, una empresa que le ofrezca un producto posterior (esto es hipotético, ya que NeoCheck no suele involucrarse en marketing de terceros, pero contemplamos esta posibilidad por exhaustividad).
Queremos enfatizar que no vendemos ni alquilamos datos personales a terceros con fines publicitarios. Las comunicaciones de datos se hacen únicamente por necesidades del servicio o cumplimiento normativo.
Cuando un tercer destinatario se encuentra en un país distinto al suyo, aplica lo indicado en la sección de transferencias internacionales (sección 8) para asegurar que la transferencia sea legítima y segura.
8. Transferencias Internacionales de Datos
Dada la naturaleza global de los servicios electrónicos, es posible que sus datos personales sean transferidos o almacenados fuera de su país de origen. NeoCheck toma medidas para que cualquier transferencia internacional cumpla con las exigencias legales de protección de datos, asegurando un nivel adecuado de resguardo. A continuación se detallan nuestras prácticas:
8.1. Almacenamiento local y regional
Siempre que sea factible técnicamente, NeoCheck procura almacenar y procesar los datos personales en el país o región del usuario, atendiendo a los principios de residencia de datos y minimización de transferencias. Por ejemplo:
Los datos de usuarios de la Unión Europea son almacenados en servidores ubicados dentro del territorio del EEE, típicamente en centros de datos en la UE. Esto garantiza el cumplimiento del RGPD en cuanto a ubicación de datos y evita transferencias innecesarias fuera de la UE.
Para usuarios en México, contamos con infraestructuras en la región de Norteamérica (p. ej., servidores en México o en EE. UU. bajo Privacy Shield – considerando que el Privacy Shield fue invalidado, actualmente empleamos Clausulado Modelo con cualquier servidor en EE. UU.). En la práctica, los datos mexicanos de verificaciones pueden residir en servidores en México o cercanos geográficamente para reducir latencia, y cumpliendo con la LFPDPPP.
Los datos de Brasil se procesan preferentemente en centros de datos en Brasil o bajo administración de filiales brasileñas, en la medida de lo posible, para cumplir con cualquier requisito local (la LGPD permite transferencias, pero dado el tamaño de Brasil solemos mantener la información localmente por eficiencia y confianza).
Para Colombia, Chile, Perú y otros países de LATAM, dependiendo del volumen y demanda, podemos usar centros de datos regionales (por ejemplo, en Chile o Colombia si disponemos de ellos, o en Brasil/USA si no hay datacenter local). En caso de no haber infraestructura en un país específico, la información podría residir en otro país con garantías contractuales apropiadas.
Es decir, NeoCheck diseña su arquitectura para segmentar los datos por jurisdicción siempre que se justifique. Esto también tranquiliza a nuestros clientes corporativos locales que prefieren saber que los datos de sus usuarios no salen del país.
No obstante, debido a la nube y a la posibilidad de mantenimiento remoto, puede haber accesos transfronterizos controlados (por ejemplo, un ingeniero de soporte en España atendiendo un incidente en un servidor de Latinoamérica podría ver datos). Esas situaciones se tratan como transferencias internacionales también, cubiertas por acuerdos internos de confidencialidad y, si aplicara RGPD, por las Normas Corporativas Vinculantes o contratos intragrupo que tengamos.
8.2. Transferencias fuera del EEE (para datos europeos)
El RGPD nos obliga a garantizar que, cuando datos personales europeos se transfieran fuera del Espacio Económico Europeo (EEE), el país de destino ofrezca un nivel de protección adecuado o se implementen salvaguardias apropiadas (Art. 44 y ss. RGPD). NeoCheck realiza transferencias internacionales de datos de la UE únicamente si:
Destino con decisión de adecuación: Si transferimos datos a un país que la Comisión Europea ha declarado con nivel adecuado de protección, podemos hacerlo directamente. (Ej.: en Latinoamérica, Uruguay y Argentina tienen tal reconocimiento, pero México, Brasil, Colombia, Chile, Perú aún no lo tienen al 2026). Si en el futuro se reconociera adecuación a alguno de estos países, NeoCheck aprovechará esa base.
Cláusulas Contractuales Tipo (SCC): En la mayoría de casos, cuando debemos transferir datos UE hacia NeoCheck o sus sub-procesadores fuera del EEE (por ejemplo, a una base de datos en la nube en USA, o a un proveedor en México), firmamos las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea con el importador de datos, además de realizar una evaluación de transferencia (Transfer Impact Assessment) si procede. Esto asegura derechos contractuales exigibles y medidas complementarias de seguridad.
Reglas Corporativas Vinculantes (BCR): Si NeoCheck llega a adoptar BCR para su grupo empresarial (en caso de expansión global), las usaremos para legitimar transferencias intragrupo. Actualmente no contamos con BCR aprobadas, así que nos basamos en SCC u otro mecanismo.
Excepciones del Art. 49 RGPD: Solo en situaciones excepcionales transferiríamos datos UE basados en las excepciones: por ejemplo, si es necesario para un contrato entre el titular y NeoCheck (Art. 49.1(b)) o para un interés público importante (no aplicaría usualmente), o con el consentimiento explícito del titular tras informarle de los riesgos (Art. 49.1(a)). Procuramos no llegar a este punto, usando mejor las garantías mencionadas.
En suma, cualquier acceso de datos europeos desde fuera del EEE está cubierto con salvaguardias. También mantenemos informado al usuario europeo de estas transferencias en esta política por transparencia, aunque la LFPDPPP 2025 ya no obligue mencionarlas, consideramos importante hacerlo.
8.3. Transferencias en Latinoamérica
Las leyes latinoamericanas listadas igualmente regulan la transferencia internacional. Aunque varían en detalles, un hilo común es: requerir el consentimiento del titular, o asegurar un nivel adecuado de protección en el receptor, o utilizar contratos u otros mecanismos.
México: Como se indicó, ya no es obligatorio informar todas las transferencias en el aviso, pero pediremos consentimiento para aquellas que no encajen en excepciones. Para transferir datos de mexicanos a nuestro servidor en Europa (por ejemplo), nos aseguramos de que la legislación europea es compatible (lo es, RGPD es incluso más estricto) y, por principio de reciprocidad, garantizamos en contrato que el receptor (NeoCheck España, en este caso) se somete a las mismas obligaciones de la LFPDPPP, tal y como exigía la ley (antiguo Art. 37).
Colombia: Solo transferimos datos desde Colombia hacia países con nivel adecuado reconocido por la SIC o usando contratos de transmisión internacional de datos aprobados. Actualmente, la SIC reconoce a la UE como territorio adecuado. Si transferimos a España, eso es permisible. Para otros destinos, nos basamos en el consentimiento o en cláusulas contractuales con aprobación de la SIC si aplicara.
Brasil: La ANPD de Brasil permite transferencias internacionales si: el destino tiene adecuación (por ahora, la UE no ha dado adecuación a Brasil ni viceversa), o si hay cláusulas contractuales aprobadas, reglas corporativas, certificaciones, o consentimiento. En nuestras transferencias Brasil-Europa, solemos tener cláusulas de transferencia análogas a las SCC adaptadas a LGPD. También, Brasil considera la posibilidad de transferencia para el cumplimiento de contratos con el titular o para protección del titular, lo cual podría aplicar en casos puntuales.
Chile: Hasta la entrada en vigor de la Agencia, las transferencias internacionales no están tan desarrolladas en la ley antigua, pero la nueva Ley 21.719 seguramente contemplará autorizaciones previas de la agencia o evaluación de adecuación. Por prudencia, tratamos las transferencias desde Chile como si aplicara un estándar RGPD: es decir, pedimos consentimiento o firmamos SCC con el importador extranjero.
Perú: Ya mencionamos, requerimos consentimiento o pacto contractual. Si transferimos datos peruanos a España, dado que Perú no es considerada adecuada por la UE, implementamos SCC y adicionalmente cumplimos la formalidad de inscribir la transferencia en el Registro de Datos Personales de la Autoridad peruana si así se exige en la normativa local.
En cuanto a servidores en territorio local, reiteramos que NeoCheck trata de mantener infraestructuras locales: por ejemplo, datos de Brasil en Brasil, de México en México, etc., precisamente para minimizar flujos transfronterizos. Cuando es inevitable (por redundancia o backups globales), esos datos podrían replicarse en otra región pero cifrados y con controles de acceso restringidos.
Resumen: NeoCheck asegura que cualquier transferencia de sus datos a otro país cuenta con su consentimiento (cuando requerido) y con garantías para protegerlos en equivalencia a la ley de origen. Si desea más información sobre transferencias específicas (p. ej., si sus datos de un país X van a país Y), puede contactarnos.
9. Derechos de los Titulares de los Datos
Usted, como titular de sus datos personales, goza de una serie de derechos que le permiten mantener el control sobre su información. NeoCheck ha implementado mecanismos para facilitarle el ejercicio de estos derechos, sin costo, dentro de los plazos legales y con los requisitos que apliquen en cada jurisdicción. A continuación, describimos los derechos fundamentales reconocidos en las distintas normativas y cómo los abordamos:
9.1. Derechos en la Unión Europea
Bajo el RGPD y la LOPDGDD, usted tiene, entre otros, los siguientes derechos:
Derecho de Acceso: a confirmar si NeoCheck trata o no sus datos personales y, en caso afirmativo, a obtener una copia de esos datos y otra información relacionada (finalidades, categorías de datos, destinatarios a quienes se comunicaron, plazo de conservación previsto, etc.). Por ejemplo, puede solicitarnos: “Envíenme todos los datos que tienen sobre mí en su sistema de firma electrónica”. Le proporcionaremos esto en formato claro y transparente.
Derecho de Rectificación: a solicitar la corrección de datos inexactos o incompletos. Si detecta, por ejemplo, que su nombre está mal escrito o su número de documento es erróneo en nuestros registros, puede pedir la rectificación y lo ajustaremos sin demoras injustificadas.
Derecho de Supresión (Derecho al Olvido): a pedir la eliminación de sus datos personales cuando, entre otros motivos, ya no sean necesarios para los fines con los que fueron recogidos, o usted retire el consentimiento y no exista otra base legal, o considere que se han tratado ilícitamente. Este derecho no es absoluto; no podremos suprimir datos que debamos conservar por obligación legal o para la formulación, ejercicio o defensa de reclamos. Por ejemplo, si firmó un contrato a través de nuestro sistema, puede solicitar borrar sus datos de perfil una vez concluido, pero quizá debamos mantener el registro de la firma por obligación jurídica durante X años, en cuyo caso se lo informaremos y restringiremos su uso en vez de borrarlo inmediatamente.
Derecho a la Limitación del Tratamiento: a que marquemos sus datos de forma que solo los conservemos pero no los sigamos tratando activamente (más allá de almacenarlos) en ciertos casos: por ejemplo, mientras se verifica la exactitud de datos que usted disputó, o cuando el tratamiento sea ilícito pero usted prefiere que los bloqueemos en vez de borrarlos. Con la limitación, podemos retener los datos para posibles responsabilidades, pero no usarlos.
Derecho a la Portabilidad: a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a que se los transmitamos a otro responsable si es técnicamente posible. Esto aplica a datos que nos ha proporcionado y que tratamos por medios automatizados con base en su consentimiento o en un contrato. En el contexto NeoCheck, podría solicitar quizás los datos que usted mismo ingresó durante un registro, o las imágenes de su identificación aportadas, para portarlas a otro proveedor de verificación. Le asistiremos proporcionando un fichero digital seguro.
Derecho de Oposición: a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que tratemos datos que basamos en interés legítimo. Si hace uso de este derecho, dejaremos de tratar sus datos para esa finalidad a menos que demostremos motivos legítimos imperiosos para continuar (por ejemplo, prevención de fraude podría ser uno, pero tendríamos que evaluarlo) o que el tratamiento sea necesario para ejercer o defender reclamaciones. Adicionalmente, tiene derecho absoluto a oponerse al marketing directo (aunque NeoCheck no realiza marketing a individuos).
Derecho a no ser sometido a decisiones individuales automatizadas: especialmente aquellas con efectos jurídicos o significativos, sin intervención humana (Art. 22 RGPD). NeoCheck no toma decisiones completamente automatizadas sin revisión humana que le afecten significativamente; no obstante, si alguna vez lo hiciéramos, usted tendría derecho a obtener una explicación de la decisión, a expresar su punto de vista y a impugnarla. Nos aseguramos de incluir intervención humana en los procesos críticos de verificación para proteger este derecho.
Además de los anteriores, la LOPDGDD española reconoce ciertos derechos digitales (como el de desconexión digital, testamento digital, etc.) que son en ámbitos específicos (laboral, sucesorio) y que, en general, no son aplicables a la relación promedio de NeoCheck con usuarios. En cualquier caso, respetamos la esencia de estos derechos en lo que pudieran incumbir.
9.2. Derechos en México (ARCO)
La legislación mexicana consagra los llamados derechos ARCO, que son: Acceso, Rectificación, Cancelación y Oposición. NeoCheck garantiza el ejercicio de cada uno:
Acceso: Equivalente a conocer qué datos suyos tenemos y las condiciones del tratamiento. Usted puede solicitarnos una descripción de sus datos personales en nuestras bases, así como el uso, origen y transmisiones realizadas con ellos. Le daremos respuesta con un informe de datos, salvo que alguna excepción de la LFPDPPP impida revelarlos (por ejemplo, si afectan derechos de un tercero o una orden judicial lo prohíbe). Conforme a la nueva ley, el derecho de acceso incluye también conocer las condiciones y generalidades del tratamiento, las cuales deben estar disponibles en el aviso de privacidad – esta política cumple ese propósito proporcionando dichas generalidades.
Rectificación: Podrá pedir la corrección de sus datos en caso de ser inexactos, incompletos o desactualizados. NeoCheck rectificará y le notificará la corrección. Por ejemplo, si cambió de apellido legalmente o detecta un error tipográfico en su nombre en nuestro sistema, atenderemos la rectificación con la documentación que nos proporcione. La nueva LFPDPPP aclara que se puede rectificar no solo lo inexacto sino datos que simplemente no estén actualizados.
Cancelación: Equivale a la supresión o eliminación de sus datos cuando considere que no se requieren para las finalidades para las que se recolectaron, estén siendo utilizados indebidamente, haya revocado su consentimiento, o haya finalizado la relación con NeoCheck. Al cancelar, sus datos pasarán a una fase de bloqueo (acceso restringido) previo a su definitiva eliminación, conforme a lo previsto en la reforma 2025. Nota: puede haber casos en que la cancelación no sea procedente legalmente, por ejemplo, porque debemos conservar los datos por ley; de ser así, se lo haremos saber indicando el fundamento legal.
Oposición: Tiene derecho a oponerse al tratamiento de sus datos por causa legítima. Si, por ejemplo, no desea que ciertos datos suyos se traten para finalidades no necesarias (como fines estadísticos, o si no quiere estar en listados de nuevas funcionalidades), puede oponerse. En el contexto mexicano, con la nueva ley, incluso puede oponerse cuando el tratamiento sea automatizado y produzca efectos adversos significativos en sus derechos. Si su oposición es procedente (es decir, no hay una razón legal que nos obligue a seguir tratando sus datos), cesaremos el tratamiento de los datos específicos.
Adicionalmente, la LFPDPPP permite revocar el consentimiento otorgado en cualquier momento. Esto no es exactamente un derecho autónomo, pero sí una facultad que tiene el titular. Usted puede revocar su consentimiento al tratamiento de sus datos (lo que en la práctica implicaría que dejemos de tratarlos en adelante). Sin embargo, la revocación no puede tener efectos retroactivos y en ciertos casos no podremos atenderla si una ley nos exige conservar o tratar esos datos (por ejemplo, si revoca consentimiento para un tratamiento necesario para prestar el servicio, es posible que debamos suspender el servicio pero conservar los datos un tiempo por responsabilidad). Le informaremos las consecuencias en cada caso.
Para ejercer ARCO en NeoCheck México, hemos habilitado el correo y un formato sugerido (ver sección 10). Según la ley, responderemos en 20 días desde la recepción de su solicitud, y si es procedente haremos efectiva la medida (rectificar, cancelar, etc.) en no más de 15 días adicionales. Estos plazos podrán ampliarse en términos de la legislación previa notificación.
9.3. Derechos en Colombia
Bajo la Ley 1581, los titulares colombianos tienen, en esencia, los siguientes derechos:
Conocer sus datos personales en nuestras bases (derecho de acceso similar). Esto incluye el derecho a solicitar de nosotros en cualquier momento información sobre los datos suyos que tenemos y el uso que les hemos dado.
Actualizar y Rectificar sus datos cuando estén parcial, inexactos, incompletos o desactualizados. Mantenemos canales para que pueda solicitar la actualización de, por ejemplo, su número de teléfono si cambió, o corregir errores.
Solicitar prueba de la autorización otorgada, excepto cuando no es necesaria por ley. NeoCheck conservará registros de su consentimiento/autorización, así que si nos pide evidencia de cuándo y cómo consintió, podremos proporcionarla (por ejemplo, logs de la aceptación electrónica).
Ser informado sobre el uso que se les ha dado a sus datos (previa solicitud). En cada respuesta de ejercicio de derechos, indicaremos las finalidades y la forma en que se han manejado sus datos, lo cual suele estar también claro en esta Política.
Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) si considera que hemos violado sus derechos. Primero debe agotar el trámite con nosotros (reclamo), pero si no respondemos en plazo o nuestra respuesta no le satisface, puede acudir a la SIC. Nosotros le informaremos de este derecho en nuestras respuestas.
Revocar la autorización y/o solicitar la supresión de sus datos cuando no respetemos principios, derechos y garantías legales. Esto es similar a cancelar u oponerse: si usted considera que estamos haciendo un tratamiento indebido, puede pedirnos que paremos (revocar consentimiento) o que borremos sus datos. La ley indica que la supresión procederá cuando la SIC determine que se ha incurrido en conductas contrarias a la ley. No obstante, NeoCheck puede acceder a la solicitud voluntariamente si la encontramos justificada, incluso sin una orden de SIC, siempre y cuando no haya deber legal de conservar los datos.
Acceder gratuitamente a sus datos personales objeto de tratamiento, al menos una vez al mes o siempre que existan modificaciones sustanciales de la Política. No cobramos por ejercer sus derechos.
El proceso para ejercer estos derechos (consultas y reclamos) está regulado en los Arts. 14 y 15 de la ley. NeoCheck Colombia lo implementa así: las consultas (p. ej., solicitud de acceso) se atenderán en un máximo de 10 días hábiles desde recibidas; si no es posible en ese plazo, le informaremos y podremos extendernos máximo 5 días hábiles adicionales. Los reclamos (p. ej., para rectificar, suprimir, revocar) deben presentarse con la identificación del titular, la descripción de los hechos y la petición concreta; si el reclamo está incompleto, le pediremos subsanarlo en 5 días y si no lo hace, entenderemos que desistió. Un reclamo completo será resuelto en 15 días hábiles desde la recepción; si no podemos en ese lapso, le comunicaremos la extensión por otros 8 días hábiles. Durante el trámite de un reclamo, marcaremos los datos con “reclamo en trámite” en nuestra base.
9.4. Derechos en Brasil
Conforme a la LGPD, los titulares brasileños tienen diversos derechos (Art. 18 LGPD). De manera resumida, NeoCheck garantiza en particular:
Confirmación de la existencia del tratamiento: usted puede pedir confirmación de si tenemos o no datos personales suyos, lo cual se lo informaremos incluso si no tenemos (es un derecho saber si existen).
Acceso a sus datos: proporcionaremos, previa verificación de identidad, los datos personales específicos que tenemos sobre usted y otras informaciones complementarias (similares a una respuesta de acceso bajo RGPD). Por defecto, la LGPD indica que la información puede darse inmediatamente (datos simplificados) o en una declaración completa en hasta 15 días. NeoCheck se esforzará por entregarle sus datos con prontitud.
Corrección de datos incompletos, inexactos o desactualizados: si detecta que algún dato personal tuyo en poder nuestro está errado, puede solicitar su corrección. Procederemos a rectificar y, de ser el caso, notificaremos a terceros que tengan esos datos corregidos (si fueron compartidos, según exige la LGPD).
Anonimización, bloqueo o eliminación de datos innecesarios o tratados en desacuerdo con la ley: este derecho permite que, si considera que algún dato es excesivo para la finalidad o estamos tratándolo sin base legal válida, pueda pedirnos su anonimización (que ya no se asocie a usted), su bloqueo (no usarlo más) o su eliminación definitiva. Evaluaremos la solicitud a la luz de la LGPD; si, por ejemplo, efectivamente estábamos conservando más información de la necesaria, atenderemos eliminándola o anonimizándola.
Portabilidad de los datos: en Brasil también tienen derecho a la portabilidad de sus datos personales a otro proveedor de servicios, mediante solicitud expresa, conforme a la reglamentación de la autoridad (ANPD). Hasta donde la ANPD lo habilite, facilitaremos sus datos en formato interoperable para que los lleve a la competencia si lo desea.
Eliminación de datos personales tratados con su consentimiento: si algún dato suyo se está tratando únicamente porque usted consintió, tiene derecho a solicitar que lo eliminemos. Esto se alinea con la facultad de revocar consentimiento. Tras su solicitud, borraremos esos datos (a menos que alguna otra base legal nos permita conservarlos; por ejemplo, si usted dio consentimiento para usar su correo en marketing y luego lo retira, dejaremos de usarlo para eso y lo borraremos, salvo que ese mismo correo esté ligado a un contrato, en cuyo caso lo mantendremos solo para fines contractuales, no de marketing).
Información sobre las entidades con las que compartimos datos: usted puede solicitarnos que le informemos con qué terceros, públicos o privados, hemos compartido sus datos. En esta política ya listamos categorías generales (encargados, autoridades, etc.), pero si necesita detalle (por ejemplo, “¿han enviado mis datos a X empresa?”) se lo confirmaremos.
Información sobre la posibilidad de no consentir y las consecuencias de negarse: si algún tratamiento depende de su consentimiento, usted tiene derecho a ser informado de que es opcional otorgarlo y qué pasaría si no consiente. Esto lo hacemos antes de recabar su consentimiento (por ejemplo, le indicamos que si no autoriza el uso de su biometría, no podremos verificar su identidad por ese medio y quizá no pueda completar el registro digital, ofreciendo alternativas si existen).
Revocación del consentimiento: puede, en cualquier momento, revocar el consentimiento dado, mediante manifestación expresa (opt-out), ratificada por procedimientos sencillos y gratuitos. Nosotros daremos un aviso claro de que recibió su solicitud de revocación y actuaremos en consecuencia, cesando los tratamientos que dependían de consentimiento.
La LGPD no establece plazos fijos de respuesta como otras leyes, pero la mejor práctica (y posibles normativas de ANPD) es responder lo más pronto posible. NeoCheck Brasil se compromete a confirmar o denegar sus solicitudes en plazo razonable, informándole si requiere más tiempo.
Además, la ANPD en Brasil es la autoridad a la que puede acudir en caso de que no atendamos debidamente sus derechos. Le facilitaremos la vía para reclamar si fuera necesario.
9.5. Derechos en Chile
Bajo la ley 19.628 actual, los titulares tienen, entre otros, los siguientes derechos esenciales:
Derecho a la información: Usted puede preguntarnos qué datos suyos estamos tratando, el origen de esos datos y en qué personas u organizaciones han sido comunicados (esto último, transferencias). NeoCheck le proveerá esa información a requerimiento, en un plazo razonable. Este derecho se relaciona con el de acceso en otras leyes.
Derecho de rectificación: Si algún dato personal suyo es erróneo, inexacto, equívoco o desactualizado, puede solicitar su corrección o actualización. Por ejemplo, si su apellido aparece mal escrito en un certificado emitido, corregiremos ese registro.
Derecho de cancelación/eliminación: Puede solicitar la eliminación o bloqueo (suspensión) de sus datos en ciertos casos, principalmente si el almacenamiento de los mismos carece de base legal o han caducado en cuanto a la finalidad para la que se recogieron. En Chile, si los datos se han obtenido con su consentimiento, usted puede pedir su eliminación cuando lo desee, salvo que exista un deber legal de conservarlos. También aplica si tratamos datos más allá de la finalidad autorizada. NeoCheck evaluará la solicitud y eliminará o anonimizará los datos procedentes.
Derecho de oposición: Aunque la antigua ley chilena no lo denominaba explícitamente como en RGPD, en la práctica usted puede oponerse a ciertas comunicaciones de datos. Por ejemplo, la ley chilena permite negarse a recibir comunicaciones comerciales no solicitadas (lo cual de hecho está regulado también por la Ley de Spam). En nuestro caso, dado que no hacemos marketing directo sin consentimiento, no debería ser un problema. No obstante, si sintiera que debe oponerse a algún tratamiento no deseado (ej: “no quiero que conserven mis datos de verificación, por favor bórrenlos”), lo trataremos como solicitud de cancelación.
Otros derechos con la nueva ley: La Ley 21.719 introducirá derechos similares al RGPD (portabilidad, oposición formal, etc.) una vez vigente. NeoCheck planea respetarlos desde ya en la medida de lo posible. Por ejemplo, estamos preparados para atender eventuales solicitudes de portabilidad de datos cuando la regulación chilena lo requiera.
El ejercicio de derechos en Chile se canaliza ante el propio responsable (nosotros). Actualmente, Chile no tiene una autoridad autónoma a la cual reclamar (la nueva Agencia se creará con la ley 21.719). Así que, si tiene alguna inquietud, debe contactarnos directamente. Nos comprometemos a responder en plazos razonables (sugerimos 10 días hábiles para responder solicitudes de acceso/información, 5 días para rectificaciones, y 15 días para eliminaciones, acorde a estándares comparados, aunque la ley chilena no fija un plazo exacto). Cuando la Agencia de Protección de Datos esté operativa, le informaremos en esta política el derecho que tendrá a reclamar ante ella.
9.6. Derechos en Perú
La Ley 29733 reconoce igualmente derechos ARCO para los titulares peruanos:
Acceso: Usted puede solicitar a NeoCheck que le informe sobre el contenido de los datos personales que manejamos sobre usted, la forma, finalidad y las condiciones de su tratamiento, así como las cesiones realizadas. Le daremos esa información por el medio que nos indique (por escrito, digital) de manera clara.
Rectificación: Puede pedir la actualización, inclusión o corrección de datos cuando estén parcial o totalmente incompletos, inexactos, erróneos o desactualizados. Debe indicarnos cuál es el cambio y aportar documentación de ser necesario. Realizaremos la rectificación y solo conservaremos la versión actualizada.
Cancelación: Puede solicitarnos la supresión de sus datos de nuestras bases cuando hayan dejado de ser necesarios para la finalidad, cuando haya vencido el plazo legal de conservación, o cuando lo desee si el tratamiento se basaba solo en su consentimiento. Al cancelar, sus datos pasan a estado Inactivo, no serán tratados más allá de su mera conservación por el tiempo de prescripción de acciones legales aplicables.
Oposición: Tiene derecho a oponerse al tratamiento de sus datos por motivos legítimos y fundados relacionados con su situación particular, siempre que no sea un tratamiento obligatorio por ley. Por ejemplo, si no desea que usemos su email para ciertas notificaciones opcionales, puede oponerse. Si su oposición es relativa a datos en un contrato obligatorio, le explicaremos si es posible cesar el tratamiento o no. También puede oponerse a aparecer en ciertos registros públicos nuestros si hubiera, presentando causa justificada.
El Reglamento peruano exige que su solicitud de ejercicio de derechos incluya al menos: su nombre completo y DNI (o equivalente), su domicilio o medio para responderle, la descripción clara del derecho que desea ejercer y los datos involucrados, y una copia de su documento de identidad (para verificar titularidad). Tenemos formatos modelo que puede usar, pero no es obligatorio.
Los plazos en Perú: el responsable debe responder en un máximo de 10 días hábiles para solicitudes de acceso y por lo general 10 días hábiles para rectificación, cancelación u oposición (ampliables a 2 días más por cada año de datos a rectificar, con límite de 10 adicionales). Si denegamos la solicitud, puede presentar una reclamación ante la Autoridad Nacional de Protección de Datos Personales del Ministerio de Justicia.
Importante: Cuando ejercite cualquiera de sus derechos, necesitaremos verificar su identidad para proteger su privacidad. Esto puede implicar pedirle que envíe desde su correo registrado, o que aporte copia de identificación, o usar retos de autenticación. Si un representante legal actúa en su nombre, deberá acreditarlo con poder o autorización escrita y copia de la identificación del titular.
NeoCheck responderá a sus solicitudes en los plazos indicados para cada país, contados generalmente desde la recepción de su solicitud completa. Si su solicitud es improcedente o denegada, le explicaremos los motivos legales. Por ejemplo, podríamos rechazar una cancelación si la ley nos obliga a seguir tratando los datos, pero aun en ese caso restringiremos su uso.
Todos estos derechos son gratuitos para el titular, a menos que hubiera solicitudes repetitivas o infundadas en cuyo caso podríamos cobrar el costo administrativo según permita la ley (por ahora, no lo hemos hecho nunca).
10. Ejercicio de Derechos y Procedimientos
NeoCheck ha habilitado canales dedicados para que usted pueda consultar, rectificar o cancelar sus datos, o ejercer cualquier derecho descrito en la sección 9. Los canales generales son:
Correo electrónico: Puede enviar su solicitud al correo privacy@neocheck.com indicando claramente: su nombre completo, el derecho que desea ejercer, una descripción de su petición, y cualquier dato que nos ayude a localizar su información (por ejemplo, el servicio que utilizó, fecha aproximada, etc.). Si su jurisdicción lo requiere, adjunte copia de su identificación oficial para verificar su identidad (por ejemplo, en México, Colombia y Perú es práctica requerida).
Portal en línea: Estamos implementando un formulario web en www.neocheck.com/privacidad/derechos (o sección de contacto de privacidad) donde podrá completar su solicitud en línea de manera fácil. Hasta que esté disponible, el correo sigue siendo la vía principal.
Dirección física (para países que lo requieran): Si prefiere, puede enviarnos su solicitud por escrito a la dirección postal de NeoCheck S.L. en España (Ronda Circunvalación 188, CP 12003 Castellón, España). Recomendamos usar medios electrónicos para mayor rapidez, pero atenderemos comunicaciones postales igualmente. En algunos países como México, el Aviso de Privacidad suele incluir el domicilio del responsable para derechos ARCO; en nuestro caso, puede usar la dirección de España o la dirección local de algún representante si la hubiere (actualizaremos esta sección con direcciones locales cuando apliquen).
Procedimiento interno: Una vez recibida su solicitud, le enviaremos un acuse de recibo (vía email) y la atenderemos dentro de los plazos legales aplicables (ver sección 9 según su país). Si la solicitud es poco clara o incompleta, nos pondremos en contacto para que la aclare o complete, deteniendo temporalmente el cómputo del plazo hasta que tengamos la información necesaria (según permitan las leyes, por ejemplo, Colombia permite requerir subsanación en 5 días hábiles).
Cuando su derecho sea procedente, efectuaremos lo requerido (proporcionarle los datos, rectificarlos, eliminarlos, etc.) y le confirmaremos por escrito. En caso de rectificación, cancelación u oposición, comunicaremos también la novedad a los terceros a quienes hayamos transmitido sus datos (si corresponde, ej. informaremos al cliente corporativo que usted rectificó sus datos, para que ellos actualicen los suyos).
Si por alguna razón no pudiésemos cumplir íntegramente con su solicitud, le explicaremos las razones legales. Por ejemplo: “No podemos eliminar sus datos aún porque existe una obligación legal de conservarlos hasta X fecha” citando la norma, o “Requerimos conservar un identificador para evitar un doble registro fraudulento, pero lo bloquearemos para otros fines”.
Rechazo o disconformidad: En caso de que usted considere que no hemos atendido su solicitud debidamente, tiene los siguientes recursos:
Reiteración interna: Puede respondernos señalando su inconformidad y trataremos de revisarla nuevamente, quizás escalando a nuestro Delegado de Protección de Datos.
Autoridades de control: Dependiendo de su país, puede presentar una reclamación ante la autoridad competente: por ejemplo, la AEPD en España, el futuro organismo en Chile, la ANPD en Brasil, la SIC en Colombia, el órgano competente en Perú (Dirección de Protección de Datos Personales del Ministerio de Justicia), o la nueva Secretaría de Protección de Datos Personales en México. En nuestras respuestas le indicaremos la vía concreta según corresponda.
Nuestra meta es facilitarle el ejercicio de sus derechos de forma justa, transparente y eficaz. No lo discriminaremos ni negaremos servicio por ejercer sus derechos (salvo en la medida en que la ejecución de, por ejemplo, una oposición o cancelación, imposibilite seguir prestándole un servicio, situación que le informaremos para que tome la decisión).
11. Tratamientos Automatizados y Elaboración de Perfiles
NeoCheck utiliza tecnología avanzada, incluyendo inteligencia artificial y algoritmos de reconocimiento, para brindar sus servicios de verificación e identificación. Sin embargo, estamos comprometidos a garantizar que las decisiones que le afecten significativamente no se tomen de manera exclusivamente automatizada sin intervención humana, salvo que tengamos su consentimiento o exista una base legal que lo permita, de acuerdo con las diversas normativas (Art. 22 RGPD, lineamientos de LFPDPPP 2025, etc.).
A continuación aclaramos cómo empleamos la automatización y qué medidas de garantía existen:
Procesos automatizados de verificación: Cuando usted carga su documento de identidad y toma una fotografía para verificación, nuestro sistema realiza automáticamente varias comprobaciones (por ejemplo, lectura OCR de los datos, cotejo de rostro contra documento, detección de signos de falsedad en el documento, validación de liveness). Estos son tratamientos automatizados, pero no constituyen una “decisión final” por sí solos; más bien generan un resultado o puntaje (ej. “documento válido” o “rostro coincide/no coincide con un nivel de confianza X”). En la mayoría de los casos, especialmente si un resultado es dudoso, hay una intervención humana posterior: personal de NeoCheck o de la entidad cliente revisará las evidencias y tomará la decisión de aprobar o rechazar la verificación. De esta forma, aseguramos que no quede enteramente en mano de un algoritmo una decisión que podría impedirle, por ejemplo, acceder a un servicio bancario.
Perfilado y evaluación de riesgos: NeoCheck no realiza, por cuenta propia, perfilados complejos sobre usted más allá de la mera categorización necesaria para prevenir fraude (por ejemplo, si de múltiples intentos de verificación con la misma identidad en corto tiempo, podríamos marcar la situación como de riesgo). No creamos perfiles de marketing ni de comportamiento del usuario fuera del contexto de seguridad. Cualquier puntuación de riesgo generada (p. ej., “alto riesgo de suplantación”) se usa internamente o se comunica a la entidad cliente para que tome precauciones, pero no con efectos definitivos sin verificación adicional.
Decisiones con efectos jurídicos o significativos: Podría argumentarse que la verificación de identidad tiene efecto significativo (pues si falla, no puede contratar un servicio X). Por ello, repetimos: siempre hay posibilidad de revisión manual. Si usted cree que una decisión fue tomada incorrectamente por un proceso automatizado, tiene derecho a solicitar una revisión humana. Por ejemplo, si nuestro sistema rechaza su documento diciendo que es inválido pero usted asegura que es legítimo, puede contactarnos para que un operador revise las imágenes manualmente y corrija el resultado de ser pertinente. Lo mismo si un sistema de firma electrónica automatizado denegara su firma por algún motivo técnico. Establecemos este recurso conforme a las mejores prácticas y lo exigiremos también a nuestros clientes en sus procesos con NeoCheck.
Transparencia algorítmica: En la medida técnicamente posible, le proporcionaremos información sobre la lógica general de nuestros sistemas automatizados si lo solicita. Entendemos que no debe ser una “caja negra” inexplicable para el usuario. Si bien no podemos revelar secretos comerciales o medidas de seguridad que podrían comprometer la detección de fraudes (por ejemplo, no detallaremos todos los criterios para detectar un documento falso, para que los defraudadores no los burlen), sí podemos explicar qué datos se tuvieron en cuenta y cómo influyeron en un resultado.
Para usuarios de México, resaltamos que, de acuerdo con la LFPDPPP 2025, tienen derecho a oponerse cuando los datos sean objeto de un tratamiento automatizado que produzca efectos jurídicos adversos o afecte significativamente sus intereses. NeoCheck honrará ese derecho: si no desea ser sometido a una evaluación automatizada, déjenoslo saber; buscaremos una vía alternativa (por ejemplo, una verificación manual presencial, si es factible) o canalizaremos su proceso para que sea completamente manual.
En todos los casos, nuestros desarrollos de IA se someten a pruebas y evaluaciones de sesgo para asegurar que no discriminan por razones ilegítimas (raza, género, etc.). Si detectáramos algún sesgo, ajustaremos el sistema. Además, cumplimos con cualquier requisito sectorial en esta materia (por ejemplo, algunas normativas financieras exigen notificar si se usó IA en la evaluación de un cliente).
12. Medidas de Seguridad Técnicas y Organizativas
La seguridad de la información es fundamental para NeoCheck, dado que manejamos datos personales sensibles y facilitamos transacciones de confianza. Hemos implementado una serie de medidas de seguridad, tanto técnicas como organizativas, para proteger los datos personales contra acceso no autorizado, uso indebido, pérdida, alteración o destrucción. A alto nivel, nuestras medidas incluyen:
Cifrado de datos: Los datos personales sensibles (identificaciones, biometría, documentos) se almacenan cifrados en nuestros servidores y bases de datos. Utilizamos algoritmos de cifrado fuertes (p.ej., AES-256) para datos en reposo, y protocolos TLS 1.2+ para la transmisión de datos a través de redes, evitando intercepciones.
Control de accesos estrictos: Solo el personal autorizado de NeoCheck, que necesite acceder a los datos para sus funciones (ej. equipo de soporte, técnicos de validación), puede hacerlo, y siempre mediante autenticación robusta (uso de credenciales seguras, doble factor de autenticación, etc.). Mantenemos registros (logs) de los accesos a datos personales, de modo que cualquier acceso queda trazado para auditoría. Cada empleado tiene un perfil de permisos limitado bajo el principio de mínimo privilegio. Todos los accesos de terceros sub-procesadores igualmente están controlados y registrados.
Formación y confidencialidad del personal: Todo nuestro equipo recibe capacitación periódica en buenas prácticas de seguridad y protección de datos, para asegurar que conocen sus obligaciones legales y éticas. Han firmado acuerdos de confidencialidad estrictos. Aquellas personas involucradas en el tratamiento de datos personales asumen el deber de secreto que persiste incluso después de terminar su relación con NeoCheck.
Firewall, monitoreo y prevención de intrusiones: Nuestra infraestructura de TI está protegida por firewalls perimetrales y sistemas de detección/prevención de intrusos (IDS/IPS) que monitorean el tráfico malicioso. Realizamos tests de penetración y auditorías de seguridad regularmente a nuestras aplicaciones para identificar y subsanar vulnerabilidades.
Respaldo y recuperación ante desastres: Mantenemos copias de seguridad cifradas de la información crítica en entornos separados, para poder recuperarla en caso de incidentes (p. ej., fallo de hardware, ataque ransomware). Estas copias siguen políticas de retención seguras y sólo son accesibles por personal autorizado. En caso de desastre, tenemos planes de contingencia para restablecer servicios lo antes posible.
Medidas específicas para datos biométricos: Reconociendo la sensibilidad de los datos biométricos, aplicamos protección reforzada: estos datos se almacenan cifrados independientemente, y en muchos casos, tras completar la verificación biométrica, el dato crudo (como la imagen facial) se elimina conservándose solo la plantilla biométrica o resultado hash necesario para evidencia. Además, nuestras aplicaciones de captura biométrica incorporan técnicas anti-manipulación (p. ej., liveness para evitar uso de fotos) para asegurar la integridad desde la recolección.
Evaluaciones de Impacto en Privacidad (DPIA/EIPD): Para las actividades de alto riesgo (como tratamiento masivo de datos biométricos), realizamos Evaluaciones de Impacto en Protección de Datos antes de implementarlas, identificando riesgos y aplicando medidas mitigadoras según recomienda el RGPD (Art. 35). Esto nos permite afinar la seguridad y privacidad desde el diseño (privacy by design).
Enfoque de Zero-Trust y segmentación de redes: Operamos bajo el principio de “nunca confiar, siempre verificar”. Las distintas partes de nuestra plataforma se comunican de forma autenticada y segmentamos las redes de datos para que, por ejemplo, la base de datos de producción no sea accesible desde internet pública directamente, solo a través de capas intermedias y autenticadas.
Registro de incidentes y respuesta a brechas: Contamos con un procedimiento interno de gestión de incidentes de seguridad. Si detectáramos una violación de seguridad que afecte significativamente los datos personales (brecha de datos), activaremos de inmediato el protocolo de contención, evaluaremos su alcance y notificaremos a las autoridades correspondientes en el plazo establecido (por ejemplo, 72 horas según RGPD, en caso aplicable), así como a los titulares afectados cuando el incidente pudiera acarrearles un alto riesgo. Documentaremos todo incidente, las medidas correctivas tomadas y, por supuesto, buscaremos evitar su recurrencia.
Estas medidas se revisan y actualizan periódicamente en función de la evolución de amenazas y las recomendaciones de estándares internacionales de seguridad (ISO 27001, NIST, etc.). Aunque ninguna transmisión por internet o sistema de almacenamiento es 100% invulnerable, en NeoCheck nos esforzamos por aplicar un nivel de seguridad acorde a la naturaleza de los datos que tratamos y el riesgo potencial.
También exigimos contractualmente a nuestros proveedores y subencargados que implementen medidas de seguridad equivalentes. Antes de contratar a un proveedor que tratará datos personales, evaluamos sus políticas de seguridad.
Si usted tiene conocimiento o sospecha de alguna vulnerabilidad o incidente relacionado con la seguridad de sus datos con NeoCheck (por ejemplo, si cree que su cuenta ha sido comprometida), por favor notifíquenos de inmediato a través de los canales de contacto de seguridad (por ejemplo, el mismo correo privacy@neocheck.com o los medios de soporte) para tomar acciones inmediatas.
13. Conservación de los Datos
NeoCheck conservará sus datos personales únicamente durante el tiempo que sea necesario para cumplir las finalidades para las cuales fueron recopilados, o para cumplir con obligaciones legales aplicables. Esto se alinea con el principio de limitación del plazo de conservación. A continuación explicamos criterios de retención típicos:
Datos de verificación de identidad (KYC): En general, los datos recabados para verificar su identidad en un onboarding o trámite se conservan mientras dure la relación necesaria para ese trámite. Si somos proveedor de un banco, por ejemplo, entregamos los datos verificados al banco y podemos eliminarlos de nuestros sistemas después de un periodo corto (salvo evidencias mínimas). No obstante, a menudo existen leyes (ej. antilavado de dinero) que exigen conservar la constancia de la identificación por al menos 5 años. Así, usualmente mantendremos una copia segura de la evidencia de verificación (documentos, fotos) por ese lapso de 5 años, a fin de asistir a nuestro cliente a cumplir su obligación legal y para eventuales auditorías o requerimientos de autoridades. Pasado ese tiempo, procedemos a la supresión segura.
Datos de firma electrónica y transacciones eIDAS: Para firmar un documento, generamos evidencias (certificados, sellos de tiempo, logs). Muchos marcos legales (como el Código de Comercio, normas eIDAS, etc.) sugieren conservar esas evidencias por largos periodos, dado que un contrato firmado puede disputarse años después. NeoCheck usualmente retiene los registros de firmas electrónicas avanzadas por un mínimo de 5 a 10 años, dependiendo de la prescripción de acciones legales en la materia contractual correspondiente, y atendiendo también a guías de entidades de certificación. Si se trata de un servicio cualificado, podríamos extender la conservación hasta 15 años que es un plazo frecuente de archivo para prestadores cualificados. Estos datos se archivan con alto nivel de seguridad y acceso restringido.
Datos de cuenta de usuario: Si usted tiene una cuenta registrada con NeoCheck (por ejemplo, si es un cliente directo), mantendremos sus datos de perfil mientras la cuenta esté activa. Si decide cerrar la cuenta, eliminaremos o anonimizaremos sus datos dentro de un plazo razonable tras la solicitud, salvo datos que debamos mantener por razones legales (facturación, historiales de transacción para evitar fraude, etc.).
Datos de contacto comercial: Si usted es un contacto de negocio (no un usuario final), conservaremos sus datos mientras dure nuestra relación comercial o hasta que nos pida eliminarlos (o se oponga al tratamiento). En todo caso, periódicamente purgamos contactos inactivos.
Registros técnicos y logs: Los registros de actividad del sistema (logs de servidor, registros de acceso) se conservan típicamente por periodos de entre 6 meses y 1 año para propósitos de seguridad y auditoría, salvo que un log específico deba guardarse más por evidenciar un consentimiento o transacción (en cuyo caso se archiva como evidencia asociada al proceso).
Plazos legales específicos: Si una ley local nos exige un periodo concreto, lo acataremos. Por ejemplo, en México, la normativa fiscal pide conservar comprobantes de transacciones 5 años; en Colombia, la norma contable pide 10 años para documentos contables; en Perú, la ley de firmas digitales sugiere guardar certificados al menos durante su vigencia y después archivarlos. Siempre consultamos las obligaciones sectoriales.
Bloqueo previo a supresión (México y otros): Como mencionamos, la LFPDPPP nueva requiere bloquear datos antes de su supresión. Esto significa que, una vez cumplida la finalidad o vencido el plazo de conservación, moveremos los datos a un estado inactivo/no accesible a usuarios operativos, manteniéndolos solo por el tiempo adicional necesario para su eliminación segura o para cumplir retenciones remanentes. Durante el bloqueo, los datos están protegidos y fuera de uso. Luego se eliminan definitivamente de forma segura (borrado de bases de datos, sobrescritura de backups, etc.).
Cuando eliminamos datos, procuramos que sea una eliminación segura e irrecuperable. Por ejemplo, borrado criptográfico de discos o destrucción física de medios cuando corresponda.
En caso de que anonimicemos datos (removiendo identificadores personales de modo irreversible), podremos conservar y usar esa información anonimizada indefinidamente sin previo aviso, ya que ya no constituirá dato personal (por ejemplo, podríamos querer conservar estadísticas anónimas de cuántas verificaciones se hicieron, tasas de éxito, etc., sin datos identificatorios).
Si tiene dudas sobre cuánto tiempo guardamos un tipo específico de dato, puede consultarnos. También, como titular, usted tiene derecho en ciertos casos a solicitar la supresión de sus datos antes del plazo general, lo cual consideraremos conforme a lo explicado en derechos (sección 9).
14. Delegado de Protección de Datos y Contacto
NeoCheck ha nombrado (cuando la ley lo exige o de forma voluntaria) un Delegado de Protección de Datos (Data Protection Officer, DPO) encargado de supervisar el cumplimiento de esta política y de la normativa de privacidad en nuestras operaciones. El DPO actúa como punto de contacto interno y ante las autoridades de control para cualquier asunto relacionado con datos personales.
Datos de Contacto del DPO: Puede contactar a nuestro DPO escribiendo al correo electrónico dpo@neocheck.com. Por favor, indique en el asunto que se trata de una consulta de privacidad o dirigida al Delegado de Protección de Datos. También puede dirigir comunicaciones por escrito a la dirección postal de NeoCheck en España, señalando “Att: Delegado de Protección de Datos”. (En países donde se requiere un representante local o DPO local, proporcionaremos los datos de contacto correspondientes aquí una vez designados; por ejemplo, si la ANPD de Brasil requiere un encarregado local, comunicaremos su contacto.)
El DPO de NeoCheck tiene las funciones de: informar y asesorar a la empresa y empleados sobre sus obligaciones en materia de protección de datos, supervisar la implementación de esta política, concienciar y capacitar al personal, y cooperar con las autoridades de control. Usted puede recurrir al DPO para cualquier cuestión relativa al tratamiento de sus datos personales y el ejercicio de sus derechos. Por ejemplo, si cree que no hemos atendido bien una solicitud suya, el DPO puede intervenir para mediar y resolver la situación.
Además del DPO, tenemos un Equipo de Privacidad y Seguridad que apoya estas labores en las diferentes regiones. En algunos países, podríamos tener un contacto designado localmente: por ejemplo, un Oficial de Privacidad en México, o un Encarregado no Brasil. Estos roles, de existir, serán anunciados en nuestras comunicaciones locales o en adendas a esta política para cada país.
15. Actualizaciones de esta Política
Esta Política de Privacidad podrá ser modificada o actualizada en el futuro, por diversos motivos: cambios en nuestros procesos de negocio, implementación de nuevas tecnologías, cambios en la legislación aplicable o requerimientos de autoridades, o simplemente para mejorar la claridad en la información proporcionada.
Nos comprometemos a que cualquier cambio sustancial a esta política será debidamente notificado a los usuarios y clientes, de acuerdo con las exigencias legales de cada jurisdicción. Por ejemplo:
En nuestra página web oficial (y dentro de las interfaces de nuestros servicios) publicaremos la versión vigente de la política con la fecha de última actualización claramente indicada al inicio. Le recomendamos revisar periódicamente esta sección para estar al tanto de posibles cambios.
Si realizamos cambios importantes que afecten las condiciones bajo las cuales se tratan sus datos (por ejemplo, si agregamos nuevas finalidades, o cambiamos la forma en que compartimos datos), le enviaremos una notificación activa. Esto puede ser un correo electrónico a la dirección que tengamos registrada, o un aviso emergente cuando use nuevamente el servicio, solicitándole que confirme que está al tanto de la nueva política, en la medida que la ley así lo requiera (ciertos países exigen recabar de nuevo el consentimiento para cambios en las finalidades pactadas).
Mantendremos un historial de versiones anteriores de la política a disposición, para referencia, por si desea consultar las diferencias. En caso de cambios menores o editoriales que no afecten sus derechos, es posible que sólo actualicemos la fecha sin notificación explícita, pero siempre podrá ver el registro de qué se modificó en la sección de historial.
Si tras la actualización de la política usted continúa utilizando los servicios de NeoCheck, entenderemos que reconoce y (en su caso) acepta los términos revisados. No obstante, si algún cambio requiriera su consentimiento (por ejemplo, una nueva finalidad secundaria), le solicitaremos ese consentimiento de forma explícita.
En el improbable caso de que NeoCheck necesitara tratar sus datos para un nuevo propósito no previsto originalmente, y no hubiera base legal que lo ampare sin su consentimiento, nos comunicaremos con usted para ofrecerle la posibilidad de optar voluntariamente por ese nuevo tratamiento.
Nuestra intención es ser lo más transparentes posible con la evolución de nuestras prácticas de privacidad, honrando la confianza que deposita en nosotros para manejar información personal.
Contacto final: Si tiene preguntas o comentarios sobre esta Política de Privacidad o sobre cómo NeoCheck trata sus datos personales, no dude en contactarnos a través de dpo@neocheck.com. Estamos aquí para ayudarle y atender cualquier inquietud relacionada con la privacidad y seguridad de su información.
NeoCheck agradece su confianza. Seguiremos trabajando para brindarle servicios digitales seguros, eficientes y conformes a las normativas de protección de datos en todo momento. Su privacidad es nuestra prioridad.