1. Identidad del responsable
UPGRADE-EC S.A.S. (en adelante, “Tapstar” o “nosotros”) es responsable del tratamiento de los datos personales recolectados a través del sitio https://tapstar.ec y de los dispositivos Tapstar.
- Razón social: UPGRADE-EC S.A.S.
- RUC: 0993396918001
- Domicilio: Sucre 217, Guayaquil, Ecuador
- Correo de privacidad: [email protected]
- Correo general: [email protected]
- WhatsApp: +593 99 273 2361
Esta Política de Privacidad describe cómo Tapstar recolecta, usa, comparte y protege los datos personales, en cumplimiento de la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP) y normativa complementaria emitida por la Superintendencia de Protección de Datos Personales (SPDP).
2. Doble rol de Tapstar en el tratamiento de datos
Tapstar actúa bajo dos roles diferenciados según el tipo de datos:
a) Como Responsable de Tratamiento
Tapstar es Responsable respecto a los datos personales que recolecta directamente de las personas que:
- Visitan el sitio https://tapstar.ec
- Compran productos Tapstar
- Crean una cuenta y usan el panel
- Se comunican con Tapstar por cualquier canal (correo, WhatsApp, formulario web)
En este rol, Tapstar decide las finalidades y los medios del tratamiento.
b) Como Encargado de Tratamiento
Tapstar actúa como Encargado respecto a los datos personales de los usuarios finales que interactúan con los dispositivos Tapstar en establecimientos de los clientes comerciales. En este rol:
- El cliente comercial (negocio que adquiere Tapstar) es el Responsable frente a sus usuarios finales
- Tapstar procesa los datos en nombre y por cuenta del cliente comercial
- El cliente comercial define las finalidades del tratamiento y se obliga a informar adecuadamente a sus usuarios finales
Esta separación de roles está formalizada en los Términos y Condiciones y, cuando corresponde, en acuerdos específicos entre Tapstar y cada cliente comercial.
3. Datos personales que tratamos
3.1. Datos de visitantes del sitio web
Cuando navega en https://tapstar.ec, podemos recolectar:
- Dirección IP
- Tipo de navegador, sistema operativo, dispositivo
- Páginas visitadas, tiempo de permanencia
- Origen del tráfico (referrer)
- Datos derivados de cookies (ver Política de Cookies)
3.2. Datos del cliente comprador
Cuando una persona o empresa compra productos Tapstar:
- Nombre y apellidos o razón social
- Número de RUC o cédula de identidad
- Dirección de facturación y entrega
- Correo electrónico
- Número de teléfono
- Datos de pago (procesados directamente por el procesador de pago, ver sección 6)
- Historial de pedidos
- Comunicaciones con Tapstar
3.3. Datos de uso del panel
El acceso al panel de Tapstar se realiza exclusivamente mediante autenticación con cuenta de Google (Google OAuth 2.0). Tapstar no maneja contraseñas tradicionales ni códigos OTP.
Cuando un cliente usa el panel, tratamos los siguientes datos:
- Identificador de cuenta Google asociado (Google ID)
- Correo electrónico de la cuenta Google
- Nombre y avatar provistos por Google
- Configuraciones del dispositivo
- Logs de actividad y accesos
- Estadísticas de uso
Tapstar no almacena la contraseña de Google del cliente en ningún momento. La autenticación es responsabilidad de Google y se rige por la política de privacidad de Google.
3.4. Datos recolectados a través del dispositivo
El dispositivo Tapstar opera en un dominio separado del sitio público https://tapstar.ec. Esta separación técnica significa que las cookies, identificadores y mecanismos de seguimiento del sitio público no se aplican al flujo del dispositivo.
Cuando un usuario final interactúa con un dispositivo Tapstar, el tratamiento de datos se organiza en tres capas con grados crecientes de identificabilidad:
a) Datos no personales (analítica agregada)
Tapstar mantiene estadísticas agregadas por dispositivo Tapstar y por período mensual sobre:
- Tipo de dispositivo móvil utilizado (modelo aproximado)
- Sistema operativo y versión mayor
- Operador móvil (carrier) inferido a partir de la dirección IP
Estos atributos se procesan en memoria al recibir cada interacción, incrementan contadores agregados, y los registros individuales no se persisten. Lo que se almacena son únicamente conteos agregados, sin posibilidad de re-identificación.
b) Datos personales recolectados solo en casos de abuso
Tapstar no almacena la dirección IP del usuario final en condiciones normales de uso. La dirección IP se utiliza únicamente en memoria volátil para:
- Verificar límites de uso razonables (rate limiting)
- Detectar patrones automatizados de fraude o manipulación
Cuando el sistema detecta patrones que sugieren abuso (por ejemplo, una IP que genera un número inusualmente alto de interacciones en un corto período de tiempo), la dirección IP y los metadatos asociados al evento se persisten con el propósito específico de investigación de fraude y posible justificación frente al cliente comercial Responsable.
Este tratamiento se basa en el interés legítimo de Tapstar y del cliente comercial en prevenir fraude, manipulación de reseñas y abuso de la plataforma. Los registros de IP así persistidos se conservan por un máximo de 90 días.
c) Datos personales proporcionados voluntariamente por el usuario final
Solo se tratan como datos personales aquellos que el usuario final decide compartir activamente:
- Texto del feedback privado, cuando elige escribirlo
- Correo electrónico de contacto, cuando lo proporciona de forma opcional para recibir respuesta del negocio
El usuario final puede usar el dispositivo sin proporcionar feedback ni correo.
Tapstar procesa todos los datos descritos en esta sección como Encargado del cliente comercial, conforme al modelo establecido en la sección 2.
4. Finalidades del tratamiento
4.1. Finalidades como Responsable
- Procesar pedidos y entregar productos: gestionar la compraventa, facturación, envío y postventa.
- Operar el panel: permitir acceso, configuración y consulta de estadísticas.
- Soporte y atención al cliente: responder consultas, gestionar garantías, atender reclamos.
- Cumplir obligaciones legales y tributarias: emisión de facturas electrónicas, retención de información tributaria, atención a requerimientos de autoridades competentes.
- Comunicaciones operativas: notificaciones sobre el estado del pedido, cambios en los términos, alertas de seguridad.
- Marketing y comunicaciones comerciales (solo con consentimiento separado): envío de novedades, promociones, contenidos educativos sobre Tapstar.
- Mejora del producto y análisis estadístico: usar datos agregados y anonimizados para mejorar el sitio, los productos y los servicios.
- Seguridad y prevención de fraude: detectar y prevenir abuso, fraude o uso indebido del sitio y los dispositivos.
4.2. Finalidades como Encargado
Las finalidades del tratamiento de los datos de usuarios finales son las que define cada cliente comercial Responsable. En general:
- Recibir y registrar calificaciones de la experiencia del cliente final con el negocio
- Recibir feedback privado del cliente final dirigido al negocio
- Facilitar la opción de dejar reseñas públicas en Google Maps
- Generar estadísticas para el negocio cliente
5. Bases legales del tratamiento
Tapstar trata los datos personales bajo las siguientes bases legales previstas en la LOPDP:
- Ejecución de un contrato: tratamiento necesario para cumplir con la compraventa y prestación del servicio.
- Consentimiento del titular: para envío de comunicaciones de marketing, uso de cookies no esenciales, y otros tratamientos no necesarios para la ejecución del contrato.
- Obligación legal: para cumplir obligaciones tributarias, contables y administrativas.
- Interés legítimo: para mejorar el producto, prevenir fraude (incluida la detección de patrones de abuso en el uso de dispositivos Tapstar), justificar acciones frente al cliente comercial Responsable, y mantener la seguridad de la plataforma, siempre que dicho interés no sea desproporcionado respecto a los derechos del titular.
- Mandato del Responsable (en el rol de Encargado): para procesar datos de usuarios finales en nombre del cliente comercial.
6. Destinatarios de los datos
Tapstar comparte datos personales únicamente con los siguientes terceros, en la medida estrictamente necesaria para los fines descritos:
6.1. Procesadores y proveedores de servicios
| Tercero | Función | Ubicación |
|---|---|---|
| Hetzner Online GmbH | Hosting de servidores | Alemania |
| Cloudflare, Inc. | Proxy, CDN, protección contra abuso | Global |
| Google LLC (Google Analytics) | Analítica de uso del sitio | Global |
| Google LLC (Google OAuth) | Autenticación del panel | Global |
| Meta Platforms, Inc. (Meta Pixel) | Medición de campañas publicitarias | Global |
| Brevo SAS | Envío de correos transaccionales y de marketing | Francia / Unión Europea |
| WhatsApp Cloud API (Meta) | Mensajería de soporte y ventas | Global |
| PayPhone | Procesamiento de pagos con tarjeta | Ecuador |
| Servientrega | Logística de entrega de productos | Ecuador |
Cada uno de estos terceros opera bajo sus propias políticas de privacidad y bajo acuerdos contractuales que les obligan a tratar los datos exclusivamente para los fines acordados con Tapstar.
6.2. Autoridades competentes
Tapstar puede compartir datos personales con autoridades competentes cuando exista una obligación legal, una orden judicial, o un requerimiento administrativo válido (por ejemplo, Servicio de Rentas Internas, Superintendencia de Protección de Datos Personales, jueces, fiscales).
6.3. En operaciones corporativas
En caso de fusión, adquisición, reestructuración o venta de activos de UPGRADE-EC S.A.S., los datos podrían ser transferidos al nuevo titular, sujeto a las obligaciones de protección equivalentes y previa notificación a los titulares cuando la ley lo exija.
7. Transferencias internacionales de datos
Algunos de los proveedores listados en la sección 6 procesan datos fuera del Ecuador, en particular en la Unión Europea (Hetzner en Alemania, Brevo en Francia) y en otros países donde operan los servicios globales de Cloudflare, Google y Meta.
Tapstar realiza estas transferencias bajo las siguientes garantías:
-
Acuerdo de tratamiento con Hetzner Online GmbH: Tapstar mantiene con Hetzner un acuerdo de tratamiento de datos conforme al Reglamento General de Protección de Datos (GDPR) de la Unión Europea, considerado equivalente o superior al estándar ecuatoriano y compatible con las obligaciones impuestas por la LOPDP. Hetzner aplica medidas técnicas y organizativas reforzadas, incluyendo cifrado, control de accesos, y políticas de seguridad documentadas.
-
Otros proveedores en la Unión Europea: Brevo SAS, con sede en Francia, opera bajo el GDPR. Aplican las mismas garantías de equivalencia respecto al marco ecuatoriano.
-
Cláusulas contractuales tipo y mecanismos equivalentes: para transferencias a proveedores globales como Cloudflare, Google y Meta, los datos se procesan bajo cláusulas contractuales tipo aprobadas internacionalmente, programas de privacidad reconocidos, y mecanismos equivalentes que garantizan un nivel de protección adecuado.
-
Consentimiento del titular: cuando aplica, se obtiene consentimiento previo e informado para tratamientos específicos.
8. Plazos de conservación
Tapstar conserva los datos personales solo durante el tiempo necesario para cumplir las finalidades descritas, y de acuerdo con los plazos legales aplicables:
| Tipo de dato | Plazo de conservación |
|---|---|
| Datos de facturación y tributarios | 7 años (obligación tributaria) |
| Datos de cuenta del cliente y panel | Mientras la cuenta esté activa, más 2 años desde su baja |
| Datos de pedidos y entregas | 7 años (obligación tributaria) |
| Comunicaciones de soporte | 2 años desde el último contacto |
| Estadísticas agregadas de uso del dispositivo (tipo de dispositivo, OS, carrier) | Indefinido (no constituyen datos personales) |
| Dirección IP en condiciones normales de uso | No se almacena (uso solo en memoria) |
| Dirección IP en eventos de abuso detectado | 90 días desde la detección |
| Feedback privado de usuarios finales (texto) | 90 días desde su recepción, salvo instrucción distinta del cliente comercial Responsable |
| Correo electrónico opcional del usuario final | 90 días desde su recepción, salvo instrucción distinta del cliente comercial Responsable |
| Logs técnicos y de seguridad | 12 meses |
| Cookies de analítica y marketing del sitio público | Según se indica en la Política de Cookies |
Cumplidos los plazos, los datos son eliminados o anonimizados de forma irreversible.
9. Decisiones automatizadas
Tapstar informa que el dispositivo realiza una decisión automatizada durante la interacción del usuario final:
- Cuando el usuario final selecciona una calificación, el sistema determina automáticamente la siguiente pantalla que verá (opción de dejar reseña pública en Google o opción de enviar feedback privado al negocio).
- Esta decisión se basa exclusivamente en la calificación seleccionada por el usuario final.
- El usuario final puede en todo caso elegir voluntariamente cualquiera de las opciones presentadas.
- Esta decisión no produce efectos legales ni afecta significativamente al usuario final, pues se limita a presentar opciones de comunicación.
El titular tiene derecho a no estar sujeto a decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o le afecten significativamente. En caso de duda o solicitud, puede contactarnos en [email protected].
10. Derechos del titular
De conformidad con la LOPDP, todo titular de datos personales tiene los siguientes derechos:
- Acceso: conocer qué datos personales suyos trata Tapstar.
- Rectificación: solicitar la corrección de datos inexactos o incompletos.
- Supresión / Eliminación: solicitar la eliminación de datos cuando ya no sean necesarios, o cuando se hayan tratado ilícitamente.
- Oposición: oponerse al tratamiento por motivos legítimos, salvo cuando el tratamiento esté basado en obligación legal.
- Portabilidad: recibir los datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable cuando sea técnicamente posible.
- Limitación del tratamiento: solicitar que el tratamiento se restrinja en ciertos casos.
- A no ser objeto de decisiones automatizadas que produzcan efectos jurídicos o le afecten significativamente.
- A revocar el consentimiento otorgado, sin afectar la licitud del tratamiento previo a la revocación.
Cómo ejercer estos derechos
El titular puede ejercer estos derechos enviando un correo a [email protected] indicando:
- Nombre completo y documento de identidad
- Derecho que ejerce y descripción de la solicitud
- Información que permita identificar los datos a los que se refiere
- Dirección o medio para recibir la respuesta
Tapstar responderá en un plazo máximo de 15 días contados desde la recepción de la solicitud, prorrogables por causas justificadas que se comunicarán al titular.
Para usuarios finales de dispositivos Tapstar
Los usuarios finales cuyos datos hayan sido recolectados mediante un dispositivo Tapstar instalado en un negocio cliente deben ejercer sus derechos directamente ante dicho negocio, que es el Responsable de Tratamiento. Tapstar, como Encargado, colaborará con el cliente comercial para atender la solicitud, pero no responderá directamente al usuario final salvo cuando la ley lo exija.
Derecho de queja ante la autoridad
Si el titular considera que su solicitud no ha sido atendida adecuadamente, tiene derecho a presentar una queja ante la Superintendencia de Protección de Datos Personales (SPDP) del Ecuador.
- Sitio web: https://spdp.gob.ec
- Esta queja puede presentarse sin necesidad de agotar instancia previa con Tapstar, aunque recomendamos contactarnos primero para resolver el asunto directamente.
11. Seguridad de los datos
Tapstar implementa medidas técnicas, organizativas y administrativas razonables para proteger los datos personales contra el acceso no autorizado, la pérdida, la destrucción, la alteración o la divulgación indebida. Entre otras:
- Minimización de datos del dispositivo: las interacciones con dispositivos Tapstar generan únicamente estadísticas agregadas; los atributos individuales (tipo de dispositivo, OS, carrier) se procesan en memoria y no se persisten como registros identificables
- No persistencia de IP en uso normal: la dirección IP del usuario final no se almacena en condiciones normales de uso; solo se conserva cuando se detecta abuso, por un máximo de 90 días
- Separación de dominios: el flujo del dispositivo opera en dominio separado del sitio público, sin compartir cookies ni identificadores de seguimiento
- Recolección opcional: el correo electrónico del usuario final del dispositivo es opcional, no obligatorio
- Cifrado en tránsito (HTTPS/TLS) para todas las comunicaciones del sitio y el panel
- Almacenamiento cifrado en reposo para datos sensibles
- Control de acceso basado en roles dentro del equipo de Tapstar
- Limitación de acceso a feedback privado al cliente comercial Responsable
- Acceso a registros de IPs por eventos de abuso restringido al equipo administrativo de Tapstar
- Registro de accesos y operaciones críticas
- Backups periódicos con cifrado
- Protección contra bots y abuso mediante Cloudflare
- Procedimientos internos de respuesta a incidentes
Ninguna medida de seguridad es infalible. En caso de un incidente que afecte datos personales, Tapstar notificará a la SPDP y a los titulares afectados conforme a los plazos y procedimientos previstos en la LOPDP.
12. Datos de menores de edad
Tapstar no dirige sus productos ni el sitio https://tapstar.ec a menores de 18 años, ni recolecta intencionalmente datos de menores. Si Tapstar identifica que ha recolectado datos de un menor sin el consentimiento de quien ejerza la patria potestad o representación legal, procederá a eliminarlos.
En el caso del uso de dispositivos Tapstar en negocios cliente, la responsabilidad de no solicitar interacciones a menores recae sobre el negocio cliente Responsable.
13. Datos sensibles
Tapstar no solicita ni busca recolectar datos sensibles (datos de salud, origen étnico, opiniones políticas, religión, vida sexual, etc.). Sin embargo, el feedback privado de usuarios finales podría contener referencias a datos sensibles cuando el establecimiento Responsable corresponde a sectores como salud, estética o bienestar.
En esos casos:
- Tapstar trata el feedback privado con medidas reforzadas (cifrado, acceso restringido, retención corta)
- El cliente comercial Responsable es quien define las finalidades y se obliga a informar adecuadamente a sus usuarios finales sobre el tratamiento de datos sensibles
- Tapstar no usa contenido de feedback privado para fines distintos a la entrega del servicio al cliente comercial
14. Cookies y tecnologías similares
El sitio público https://tapstar.ec utiliza cookies y tecnologías similares. El detalle del uso, finalidades y opciones de gestión se encuentra en la Política de Cookies disponible en https://tapstar.ec/cookies.
El flujo del dispositivo Tapstar opera en un dominio separado y no instala cookies de seguimiento. Los datos que se recolectan durante la interacción del usuario final se procesan conforme a la sección 3.4 de esta política: estadísticas agregadas no identificables, persistencia de IP únicamente en eventos de abuso detectado, y datos personales solo cuando el usuario los proporciona voluntariamente.
15. Cambios a esta política
Tapstar puede actualizar esta Política de Privacidad para reflejar cambios legales, operativos o de los servicios. Las versiones actualizadas se publican en https://tapstar.ec/privacidad con su fecha correspondiente.
Cuando los cambios sean sustanciales (por ejemplo, nuevas finalidades o nuevos destinatarios), Tapstar notificará a los titulares por los medios de contacto registrados, antes de que los cambios entren en vigor.
16. Contacto
Para cualquier consulta, solicitud o reclamo relacionado con el tratamiento de datos personales:
- Correo de privacidad: [email protected]
- Correo general: [email protected]
- WhatsApp: +593 99 273 2361
- Dirección: Sucre 217, Guayaquil, Ecuador
UPGRADE-EC S.A.S. | RUC 0993396918001 | Sucre 217, Guayaquil, Ecuador