POLÍTICA DE PRIVACIDAD

¿QUIÉNES SOMOS?

Somos TUPROTECR®, una marca de Strong Health Care S.R.L, con designación web como: https://www.tuprotecr.com

Política de privacidad

TUPROTECR (“nosotros”, “nuestro”, “nos”) se compromete a tratar los datos personales de forma lícita, justa y transparente conforme a (i) el RGPD de la UE y el Reino Unido, (ii) la Ley de Privacidad del Consumidor de California (CCPA) y su enmienda CPRA, y (iii) la Ley 8968 de Costa Rica. También cumplimos los requisitos de Meta for Developers, Google Ads / Analytics, Klaviyo, TiloPay y CyberSource, de modo que los usuarios de nuestro sitio web TUPROTECR entiendan qué datos recopilamos, por qué, durante cuánto tiempo, con quién los compartimos y qué derechos tienen.

2. Marco jurídico y bases de legitimación

RGPD / UK GDPR: El tratamiento se fundamenta en el consentimiento expreso; la ejecución de un contrato; el cumplimiento de obligaciones legales; o nuestros intereses legítimos, siempre que no prevalezcan los derechos del interesado. Los derechos asociados incluyen acceso, rectificación, supresión, limitación, portabilidad, oposición y exclusión de decisiones automáticas.
CCPA / CPRA: Procesamos datos con “fines comerciales” o como “proveedor de servicios”; no vendemos ni compartimos información salvo que el consumidor no ejerza su derecho de exclusión. Derechos: conocer, eliminar, corregir, excluir la venta o compartición, limitar información personal sensible y no ser discriminado.
Ley costarricense 8968: Exigimos consentimiento informado u otra base legal reconocida (art. 5). La persona puede acceder, rectificar o cancelar sus datos.

Honramos la señal Global Privacy Control (GPC) como exclusión válida en CCPA/CPRA y la propagamos al modo “restricted data processing” de Google Ads.

El Responsable de Protección de Datos (DPO) está disponible en in**@*******cr.com.

3. Información que recopilamos

Identificadores: nombre, dirección postal, correo, teléfono, IP, ID de dispositivo.
Datos comerciales: productos vistos, carrito, historial de compras.
Actividad en Internet: registros, referentes, cookies, interacciones con anuncios.
Tokens de pago: últimos cuatro dígitos de la tarjeta y tokens de TiloPay o CyberSource.
Perfiles de analítica y publicidad: audiencias de Google Analytics, Audiencias Personalizadas de Meta.

Según la CCPA, estos datos encajan en las categorías A–K, incluidas inferencias de marketing.

4. Finalidades del tratamiento y bases legales

Ejecución de contrato
- Ejemplos: cumplir pedidos, gestionar entregas y devoluciones.
- Base legal: RGPD 6.1 b) y “fines comerciales” en CCPA/CPRA.
Analítica y mejora de productos
- Uso de Google Analytics 4, incluidas funciones publicitarias (remarketing, demografía).
- Base legal: consentimiento (UE) o intereses legítimos (estadísticas agregadas).
Comunicaciones de marketing
- Campañas de Klaviyo con enlace obligatorio de baja.
- Base legal: consentimiento; interés legítimo para ofertas a clientes existentes.
Publicidad basada en intereses
- Meta Pixel / Meta Ads y segmentos de datos de Google Ads con opciones de exclusión.
- Base legal: consentimiento (UE), derecho de exclusión (EE. UU.), interés legítimo.
Pagos y prevención de fraude
- Pasarela local TiloPay y tokenización con CyberSource (PCI DSS Nivel 1).
- Base legal: contrato, obligaciones legales (AML) e interés legítimo (prevención de fraude).

Las decisiones automatizadas se limitan al filtrado antifraude y son revisables bajo petición humana.

5. Cookies, píxeles y tecnologías similares

Empleamos cookies propias y de terceros, SDK y balizas web. Las etiquetas no esenciales (por ejemplo, Meta Pixel) permanecen bloqueadas hasta que el usuario otorgue consentimiento a través de nuestro CMP, conforme a las políticas de consentimiento de usuarios de Google y Meta en la UE.

Opciones disponibles:

Ajustar la configuración del navegador o borrar cookies.
Usar el botón Configuración de cookies del sitio.
Enviar la señal GPC, que se atiende automáticamente.
Instalar la extensión de inhabilitación de Google Analytics o visitar la configuración de anuncios de Google o el portal de preferencias de la industria publicitaria para gestionar anuncios personalizados.

6. Divulgación a servicios de terceros

Google Analytics 4: coloca cookies de primera parte y puede combinarlas con cookies publicitarias; incluimos el aviso “Cómo utiliza Google la información…”.
Meta Pixel y Meta Ads: recopilan eventos y hash de identificadores para atribución publicitaria; se exige aviso claro y consentimiento cuando corresponda.
Google Ads y remarketing: detallamos el uso de cookies/ID de dispositivo y ofrecemos opciones de exclusión.
Klaviyo: cada correo incluye un enlace de baja automático conforme a CAN-SPAM.
Pagos: TiloPay procesa CRC/USD y puede establecer cookies antifraude; CyberSource tokeniza tarjetas bajo PCI DSS Nivel 1.

7. Transferencias internacionales

Cuando los datos salen del EEE se amparan en las Cláusulas Contractuales Tipo (Decisión 2021/914) y medidas complementarias.

8. Plazos de conservación de datos

Registros de pedidos y facturas: diez (10) años, para cumplir obligaciones fiscales y contables.
Consentimientos de marketing: hasta que el interesado los revoque más cinco (5) años, como prueba de consentimiento.
Registros de analítica: veintiséis (26) meses; luego se agregan o anonimizan según la configuración de Google Analytics 4.
Tokens de pago: hasta que expire el periodo de contracargo (dieciocho [18] meses) para gestionar reembolsos y fraude.

Si es posible y lícito, anonimizaremos los datos antes del plazo indicado.

9. Medidas de seguridad

Aplicamos cifrado TLS 1.3 en tránsito y AES-256 en reposo, tokenización mediante la bóveda de CyberSource, principio de mínimo privilegio con MFA, pruebas de penetración anuales y evaluaciones de riesgo RGPD art. 32.

10. Toma de decisiones automatizada y perfiles

No adoptamos decisiones exclusivamente automatizadas con efectos legales o significativos. Las puntuaciones de riesgo de fraude pueden revisarse manualmente en un día laborable si el usuario lo solicita.

11. Derechos del interesado y ejercicio

UE/EEE y Reino Unido: acceso, portabilidad, limitación, oposición o supresión mediante in**@*******cr.com; respuesta en 30 días.
California: botón «No vender ni compartir mi información personal» o señal GPC para excluirse; también puede corregir o eliminar datos sin repercusiones.
Costa Rica: acceso, rectificación o cancelación conforme a la Ley 8968 a través del mismo correo.

Verificaremos la identidad según la sensibilidad de los datos solicitados.

12. Eliminación de datos según Meta Developer

Quien haya usado Facebook puede eliminar la aplicación en la configuración de su cuenta («Aplicaciones y sitios web») o escribir a in**@*******cr.com con el asunto «Eliminar datos de Facebook». Activaremos la devolución de llamada de Meta y borraremos la información en un máximo de 30 días.

13. Privacidad de menores

No dirigimos el sitio a menores de 13 años; si detectamos datos de un menor, los eliminaremos de inmediato.

14. Cambios

Los cambios sustanciales se anunciarán mediante banner y correo electrónico con 30 días de antelación; la fecha «Última actualización» se modificará en consecuencia.