Política de Retención de Datos

1. Introducción

1. Propósito y Alcance

1. Principios Generales de Retención

1. Datos de Cuenta

1. Datos Transaccionales y Financieros

1. Datos Bancarios y de Inversión

1. Registros de Comunicación

1. Datos de Análisis y Uso

1. Registros de Seguridad y Auditoría

1. Datos de Conversación de IA

1. Registros de Pago e Impuestos

1. Datos de Soporte y CRM

1. Datos de Marketing y Referidos

1. Respaldo y Recuperación ante Desastres

1. Retenciones Legales y Excepciones

1. Solicitudes de Eliminación de Usuarios

1. Solicitudes de Derechos de Interesados

1. Resumen del Calendario de Retención

1. Cumplimiento y Requisitos Legales

1. Información de Contacto

---

INTRODUCCIÓN

INTRODUCCIÓN

INTRODUCCIÓN

INTRODUCCIÓN

---

PROPÓSITO Y ALCANCE

Propósito:

PROPÓSITO Y ALCANCE

• Garantizar el cumplimiento de los requisitos legales y regulatorios de retención

• Definir períodos de retención claros para diferentes tipos de datos

• Minimizar el almacenamiento de datos para respetar la privacidad del usuario

• Apoyar las operaciones comerciales y la prestación de servicios

• Habilitar los derechos de los interesados (acceso, eliminación, portabilidad)

• Proteger contra riesgos de litigio

Alcance:

Proteger contra riesgos de litigio

• Todos los datos personales procesados por XPlus Finance

• Datos almacenados en sistemas de producción, respaldos y archivos

• Datos procesados por subprocesadores en nuestro nombre

• Todos los tipos de usuarios (cuentas activas, inactivas, eliminadas)

Todos los tipos de usuarios (cuentas activas, inactivas, eliminadas)

• Datos agregados y anonimizados sin identificadores personales

• Registros comerciales internos que no contienen datos personales

• Información pública disponible de fuentes de terceros

---

PRINCIPIOS GENERALES DE RETENCIÓN

Minimización de Datos:

PRINCIPIOS GENERALES DE RETENCIÓN

1. Prestación de Servicios: Proporcionar servicios solicitados a usuarios

1. Obligaciones Legales: Cumplimiento de requisitos fiscales, financieros y regulatorios

1. Intereses Legítimos: Prevención de fraude, seguridad, resolución de disputas

1. Duración del Consentimiento: Mientras el consentimiento permanezca válido (para procesamiento basado en consentimiento)

Criterios de Retención:

Duración del Consentimiento: Mientras el consentimiento permanezca válido (para procesamiento basado en consentimiento)

• Requisitos Legales: Obligaciones de retención estatutarias (ej., 7 años para registros financieros)

• Obligaciones Contractuales: Acuerdos de servicio y contratos comerciales

• Necesidades Operacionales: Procesos comerciales y prestación de servicios

• Expectativas del Usuario: Retención razonable para funcionalidad de cuenta

• Gestión de Riesgos: Litigios, disputas y prevención de fraude

Eliminación Automática:

• Los datos se eliminan automáticamente cuando expiran los períodos de retención

• Los procesos de eliminación automatizados se ejecutan mensualmente

• Revisión manual para excepciones (retenciones legales, disputas activas)

Eliminación Segura:

Revisión manual para excepciones (retenciones legales, disputas activas)

• Eliminación Permanente: Los datos se eliminan de manera irreversible de los sistemas de producción

• Eliminación de Respaldos: Los datos se marcan para eliminación en el próximo ciclo de rotación de respaldo

• Notificación al Subprocesador: Instruimos a los subprocesadores para eliminar datos

• Verificación: La finalización de la eliminación se registra y verifica

---

DATOS DE CUENTA

Datos de Cuenta Activa:

DATOS DE CUENTA

DATOS DE CUENTA

DATOS DE CUENTA

• Requerido para la prestación de servicios mientras la cuenta está activa

• Período de gracia de 30 días permite la recuperación de cuenta si el cierre fue accidental

Período de gracia de 30 días permite la recuperación de cuenta si el cierre fue accidental

• Nombre completo, dirección de correo electrónico, número de teléfono

• Fecha de creación de cuenta, fecha de último inicio de sesión

• Preferencias y configuraciones del usuario

• Información de perfil (campos opcionales)

• Estado de cuenta (activo, suspendido, cerrado)

Estado de cuenta (activo, suspendido, cerrado)

---

Datos de Cuenta Inactiva:

Estado de cuenta (activo, suspendido, cerrado)

Estado de cuenta (activo, suspendido, cerrado)

• Cuentas con Saldo Cero: 24 meses de inactividad, luego se envía aviso de cierre de cuenta

• Cuentas con Saldo: Retenidas indefinidamente hasta que el usuario inicie sesión o solicite el cierre

• Después del Aviso de Cierre: 90 días para responder antes del cierre automático y eliminación de datos

Después del Aviso de Cierre: 90 días para responder antes del cierre automático y eliminación de datos

• Las cuentas con saldo se retienen para proteger los fondos del usuario

• Las cuentas inactivas sin saldos son de bajo valor y aumentan el riesgo de seguridad

Las cuentas inactivas sin saldos son de bajo valor y aumentan el riesgo de seguridad

1. Después de 24 meses de inactividad (cuentas con saldo cero):

• Se envía aviso por correo electrónico advirtiendo del cierre próximo

• Se proporciona período de respuesta de 90 días

1. Si no hay respuesta después de 90 días:

• Cuenta cerrada

• Datos eliminados según calendario de eliminación estándar (30 días después del cierre)

---

Datos de Cuenta Eliminada:

Datos eliminados según calendario de eliminación estándar (30 días después del cierre)

Datos eliminados según calendario de eliminación estándar (30 días después del cierre)

Datos eliminados según calendario de eliminación estándar (30 días después del cierre)

• Registros de transacciones financieras: 7 años (requisito legal)

• Datos de declaración de impuestos: 7 años (requisito del IRS)

• Datos relacionados con fraude/disputas: Hasta 5 años o hasta resolución

• Datos sujetos a retención legal: Duración de la retención

Datos sujetos a retención legal: Duración de la retención

• Permitir la recuperación de cuenta si la eliminación fue accidental

• Oportunidad final para retirar fondos o exportar datos

• Ventana de investigación de fraude

Ventana de investigación de fraude

• Todos los identificadores personales eliminados

• Registros de transacciones anonimizados (cantidades retenidas para contabilidad)

• Eliminación irreversible de sistemas de producción

---

DATOS TRANSACCIONALES Y FINANCIEROS

Historial de Transacciones:

DATOS TRANSACCIONALES Y FINANCIEROS

DATOS TRANSACCIONALES Y FINANCIEROS

DATOS TRANSACCIONALES Y FINANCIEROS

• Requisito del IRS: 7 años para propósitos de auditoría fiscal

• Normas Contables: Principios de Contabilidad Generalmente Aceptados (GAAP)

• Disputas Legales: Estatuto de limitaciones para disputas financieras

Disputas Legales: Estatuto de limitaciones para disputas financieras

• ID de transacción, fecha, cantidad, moneda

• Tipo de transacción (pago, retiro, comisión)

• Método de pago utilizado

• Estado (completado, fallido, reembolsado)

• Cuenta de usuario relacionada (anonimizada después de eliminación de cuenta)

Cuenta de usuario relacionada (anonimizada después de eliminación de cuenta)

• Después de la eliminación de cuenta, los identificadores de usuario se reemplazan con ID de referencia anonimizado

• Las cantidades y tipos de transacciones se retienen para cumplimiento contable y regulatorio

• Los nombres personales e información de contacto se eliminan

---

Registros de Comisiones de Referidos:

Los nombres personales e información de contacto se eliminan

Los nombres personales e información de contacto se eliminan

Los nombres personales e información de contacto se eliminan

• Requisitos de declaración de impuestos (emisión del Formulario 1099-NEC)

• Resolución de disputas de comisiones

• Detección y prevención de fraude

Detección y prevención de fraude

• Relaciones de referidor y referido (anonimizadas después de eliminación de cuenta)

• Cantidades y tasas de comisión

• Fechas y estado de adquisición

• Historial de pagos

• Ajustes y reversiones de comisiones

---

Registros de Suscripción y Facturación:

Ajustes y reversiones de comisiones

Ajustes y reversiones de comisiones

Ajustes y reversiones de comisiones

• Requisitos de declaración de impuestos y auditoría

• Cumplimiento de normas contables

• Resolución de reembolsos y disputas

Resolución de reembolsos y disputas

• Detalles y precios de planes de suscripción

• Fechas y cantidades de facturación

• Método de pago utilizado (solo últimos 4 dígitos)

• Facturas y recibos

• Registros de reembolsos y contracargos

---

DATOS BANCARIOS Y DE INVERSIÓN

Datos de Conexión de Cuenta Bancaria (Plaid - Próximamente):

DATOS BANCARIOS Y DE INVERSIÓN

DATOS BANCARIOS Y DE INVERSIÓN

• Conexiones Activas: Duración de la conexión

• Después de Desconexión: 90 días, luego eliminación

• Historial de Transacciones: Las transacciones importadas se tratan como datos generados por el usuario (retenidas hasta eliminación de cuenta + 30 días)

Historial de Transacciones: Las transacciones importadas se tratan como datos generados por el usuario (retenidas hasta eliminación de cuenta + 30 días)

• La retención corta después de la desconexión permite la reconexión sin reautenticación

• Las transacciones importadas pertenecen al usuario y siguen la retención de datos de cuenta

Las transacciones importadas pertenecen al usuario y siguen la retención de datos de cuenta

• Nombres de cuentas bancarias e institución

• Números de cuenta (cifrados, últimos 4 dígitos visibles)

• Tipos de cuenta (cheques, ahorros, crédito)

• Estado de conexión y fecha de última sincronización

• Datos de transacciones importadas (transacciones financieras del usuario)

Datos de transacciones importadas (transacciones financieras del usuario)

• Al desconectar, se instruye a Plaid para eliminar datos

• Nuestro caché de datos de Plaid se elimina después de 90 días

• Las transacciones importadas por el usuario permanecen hasta la eliminación de cuenta

---

Datos de Cartera de Inversiones:

Las transacciones importadas por el usuario permanecen hasta la eliminación de cuenta

Las transacciones importadas por el usuario permanecen hasta la eliminación de cuenta

• Cuentas Activas: Duración de la cuenta

• Después de Eliminación de Cuenta: 30 días (período de gracia), luego eliminación

Después de Eliminación de Cuenta: 30 días (período de gracia), luego eliminación

• Datos generados por el usuario para seguimiento personal

• Sin requisito de retención legal (no son cuentas de corretaje reales)

Sin requisito de retención legal (no son cuentas de corretaje reales)

• Símbolos y cantidades de acciones

• Precios y fechas de compra (ingresados por el usuario)

• Tenencias de criptomonedas y direcciones de billetera

• Cálculos de rendimiento de cartera

• Listas de seguimiento y alertas

Listas de seguimiento y alertas

---

REGISTROS DE COMUNICACIÓN

Comunicaciones por Correo Electrónico:

REGISTROS DE COMUNICACIÓN

REGISTROS DE COMUNICACIÓN

• Correos Electrónicos Transaccionales: 3 años

• Correos Electrónicos de Marketing: Hasta que el usuario se dé de baja o elimine la cuenta

• Correos Electrónicos de Soporte: 3 años (ver sección de Datos de Soporte)

Correos Electrónicos de Soporte: 3 años (ver sección de Datos de Soporte)

• Pista de auditoría para acciones de cuenta

• Resolución de disputas

• Cumplimiento con regulaciones de correo electrónico (CAN-SPAM, RGPD)

Cumplimiento con regulaciones de correo electrónico (CAN-SPAM, RGPD)

• Direcciones de correo electrónico (para/de)

• Contenido y archivos adjuntos de correo electrónico

• Fechas de envío y estado de entrega

• Datos de seguimiento de apertura y clics (si están habilitados)

Datos de seguimiento de apertura y clics (si están habilitados)

Datos de seguimiento de apertura y clics (si están habilitados)

---

Registros de SMS:

Datos de seguimiento de apertura y clics (si están habilitados)

Datos de seguimiento de apertura y clics (si están habilitados)

Datos de seguimiento de apertura y clics (si están habilitados)

• Pista de auditoría de seguridad

• Investigación de apropiación de cuenta

• Cumplimiento con regulaciones de telecomunicaciones

Cumplimiento con regulaciones de telecomunicaciones

• Números de teléfono (para)

• Contenido de mensajes (códigos 2FA, alertas)

• Fechas de envío y estado de entrega

• Información del operador

Información del operador

Información del operador

---

Notificaciones Push:

Información del operador

Información del operador

Información del operador

• Seguimiento de participación temporal

• Sin necesidad de retención a largo plazo

Sin necesidad de retención a largo plazo

• Tokens de dispositivo

• Contenido de notificación

• Estado de envío y entrega

• Métricas de participación (abierto, descartado)

Métricas de participación (abierto, descartado)

Métricas de participación (abierto, descartado)

---

DATOS DE ANÁLISIS Y USO

Análisis de Uso:

DATOS DE ANÁLISIS Y USO

DATOS DE ANÁLISIS Y USO

DATOS DE ANÁLISIS Y USO

• Mejora y optimización del producto

• Comprender patrones de comportamiento del usuario

• Artículo 89 del RGPD (investigación y estadísticas)

Artículo 89 del RGPD (investigación y estadísticas)

• IDs de usuario (seudonimizados)

• Páginas visitadas y características utilizadas

• Duración y frecuencia de sesión

• Información de dispositivo y navegador

• Direcciones IP (anonimizadas a nivel de ciudad)

Direcciones IP (anonimizadas a nivel de ciudad)

Direcciones IP (anonimizadas a nivel de ciudad)

• Direcciones IP anonimizadas (último octeto eliminado)

• IDs de usuario seudonimizados (no vinculados directamente a cuentas sin controles de acceso)

IDs de usuario seudonimizados (no vinculados directamente a cuentas sin controles de acceso)

---

Datos de Cookies:

IDs de usuario seudonimizados (no vinculados directamente a cuentas sin controles de acceso)

IDs de usuario seudonimizados (no vinculados directamente a cuentas sin controles de acceso)

IDs de usuario seudonimizados (no vinculados directamente a cuentas sin controles de acceso)

• Cookies Esenciales: Duración de sesión o hasta 1 año

• Cookies de Análisis: 26 meses

• Cookies de Preferencias: 1 año

• Cookies de Marketing: Actualmente no utilizadas

Cookies de Marketing: Actualmente no utilizadas

• Cookies esenciales requeridas para funcionalidad del servicio

• Cookies de análisis cumplen con retención estándar del RGPD

• Cookies de preferencias mejoran la experiencia del usuario

Cookies de preferencias mejoran la experiencia del usuario

• Los usuarios pueden borrar cookies a través de la configuración del navegador

• El consentimiento de cookies se puede retirar en Configuración de Cuenta

---

REGISTROS DE SEGURIDAD Y AUDITORÍA

Registros de Seguridad:

REGISTROS DE SEGURIDAD Y AUDITORÍA

REGISTROS DE SEGURIDAD Y AUDITORÍA

REGISTROS DE SEGURIDAD Y AUDITORÍA

• Artículo 30 del RGPD (registro de actividades de procesamiento)

• Investigación de incidentes de seguridad

• Detección y prevención de fraude

• Auditorías de cumplimiento

Auditorías de cumplimiento

• Marcas de tiempo de inicio de sesión y direcciones IP

• Éxito/fallo de autenticación

• Eventos de autenticación multifactor

• Eventos de cambio de contraseña

• Creación y terminación de sesión

• Alertas de actividad sospechosa

Alertas de actividad sospechosa

• Acceso restringido (equipo de seguridad, oficiales de cumplimiento)

• Almacenamiento cifrado

• Registro a prueba de manipulación

Registro a prueba de manipulación

---

Registros de Auditoría:

Registro a prueba de manipulación

Registro a prueba de manipulación

Registro a prueba de manipulación

• Cumplimiento regulatorio (SOX, Artículo 30 del RGPD)

• Requisitos de auditoría interna

• Rendición de cuentas y transparencia

Rendición de cuentas y transparencia

• Acciones de usuario administrativo

• Acceso y modificaciones de datos

• Cambios de configuración del sistema

• Consultas de base de datos (administrativas)

• Registros de acceso a API (endpoints administrativos)

Registros de acceso a API (endpoints administrativos)

---

DATOS DE CONVERSACIÓN DE IA

Conversaciones del Asistente de IA:

DATOS DE CONVERSACIÓN DE IA

DATOS DE CONVERSACIÓN DE IA

DATOS DE CONVERSACIÓN DE IA

• Retención a corto plazo para continuidad de conversación y mejora de calidad

• Balance entre funcionalidad y privacidad

• Minimizar retención de datos sensibles

Minimizar retención de datos sensibles

• Solicitudes y preguntas de usuarios

• Respuestas generadas por IA

• Marcas de tiempo de conversación

• ID de usuario (para hilo de conversación)

ID de usuario (para hilo de conversación)

• No enviamos información personal sensible (SSN, contraseñas, números de cuenta bancaria completos) a IA

• Los datos financieros se anonimizan o generalizan antes del procesamiento

Los datos financieros se anonimizan o generalizan antes del procesamiento

• Base de datos de XPlus Finance (historial de conversación para acceso del usuario)

• OpenAI (solicitudes de API, retención de 30 días según política de OpenAI)

OpenAI (solicitudes de API, retención de 30 días según política de OpenAI)

• Eliminación automática después de 90 días de nuestra base de datos

• OpenAI elimina datos de API después de 30 días (según su política)

• El usuario puede eliminar el historial de conversación manualmente en cualquier momento

---

REGISTROS DE PAGO E IMPUESTOS

Información de Método de Pago:

REGISTROS DE PAGO E IMPUESTOS

REGISTROS DE PAGO E IMPUESTOS

• Métodos de Pago Activos: Duración del uso

• Después de Eliminación/Vencimiento: Eliminación inmediata de nuestra base de datos (Stripe retiene según su política)

Después de Eliminación/Vencimiento: Eliminación inmediata de nuestra base de datos (Stripe retiene según su política)

• Minimizar retención de datos financieros sensibles

• Stripe cumple con PCI DSS y maneja almacenamiento seguro

Stripe cumple con PCI DSS y maneja almacenamiento seguro

• Últimos 4 dígitos de tarjeta/número de cuenta

• Fechas de vencimiento

• Direcciones de facturación

• Tokens de método de pago (IDs de Stripe)

Tokens de método de pago (IDs de Stripe)

Tokens de método de pago (IDs de Stripe)

---

Registros de Declaración de Impuestos:

Tokens de método de pago (IDs de Stripe)

Tokens de método de pago (IDs de Stripe)

Tokens de método de pago (IDs de Stripe)

• Requisito del IRS: Retener registros fiscales durante 7 años

• Defensa de auditoría

• Soporte de declaración enmendada

Soporte de declaración enmendada

• Números de Identificación Fiscal (SSN, EIN)

• Resúmenes de ganancias del año fiscal

• Registros de retención (si aplica)

• Formularios presentados y confirmaciones de presentación

Formularios presentados y confirmaciones de presentación

• Almacenamiento cifrado (AES-256)

• Acceso restringido a equipos de finanzas y cumplimiento

• Auditorías de seguridad regulares

Auditorías de seguridad regulares

---

Registros de Contracargos y Disputas:

Auditorías de seguridad regulares

Auditorías de seguridad regulares

Auditorías de seguridad regulares

• Análisis de patrones de fraude

• Preservación de evidencia de disputas

• Gestión de riesgos

Gestión de riesgos

• Detalles y resultados de disputas

• Evidencia de soporte y documentación

• Comunicación con procesadores de pago

• Notas de investigación de fraude

Notas de investigación de fraude

---

DATOS DE SOPORTE Y CRM

Tickets de Soporte al Cliente:

DATOS DE SOPORTE Y CRM

DATOS DE SOPORTE Y CRM

DATOS DE SOPORTE Y CRM

• Aseguramiento de calidad y capacitación

• Identificación de patrones para mejora del producto

• Rendición de cuentas y transparencia

Rendición de cuentas y transparencia

• Preguntas y problemas de usuarios

• Respuestas de agentes de soporte

• Estado y resolución del ticket

• Archivos adjuntos y capturas de pantalla (si se proporcionan)

• Marcas de tiempo de comunicación

Marcas de tiempo de comunicación

---

Datos de CRM (Gestión de Relaciones con Clientes):

Marcas de tiempo de comunicación

Marcas de tiempo de comunicación

• Usuarios Activos: Duración de la cuenta

• Después de Eliminación de Cuenta: 90 días, luego eliminación

Después de Eliminación de Cuenta: 90 días, luego eliminación

• Prestación de servicio personalizado

• Continuidad de relación

• Retención moderada después de eliminación de cuenta para soporte de reactivación potencial

Retención moderada después de eliminación de cuenta para soporte de reactivación potencial

• Preferencias de comunicación del usuario

• Historial de interacción del servicio

• Notas de soporte o gestión de cuentas

• Etapa y estado de relación

Etapa y estado de relación

---

DATOS DE MARKETING Y REFERIDOS

Datos del Programa de Referidos:

DATOS DE MARKETING Y REFERIDOS

DATOS DE MARKETING Y REFERIDOS

• Referidos Activos: Duración de la relación + 30 días después de eliminación de cuenta de referido

• Registros de Comisiones: 7 años (ver sección de Datos Transaccionales)

Registros de Comisiones: 7 años (ver sección de Datos Transaccionales)

• Seguimiento de relaciones para cálculo de comisiones

• Prevención de fraude (detección de abuso de referidos)

• Declaración de impuestos (comisiones pagadas)

Declaración de impuestos (comisiones pagadas)

• Relaciones de referidor-referido

• Códigos de referido y enlaces de seguimiento

• Fuente y campaña de referido

• Fechas de conversión y estado

Fechas de conversión y estado

• Después de eliminación de cuenta, los identificadores personales se reemplazan con referencias anonimizadas

• La estructura de relación se retiene para análisis (sin datos personales)

La estructura de relación se retiene para análisis (sin datos personales)

---

Datos de Campañas de Marketing:

La estructura de relación se retiene para análisis (sin datos personales)

La estructura de relación se retiene para análisis (sin datos personales)

• Preferencias Activas: Duración de la cuenta

• Registros de Exclusión: Permanente (retención indefinida)

Registros de Exclusión: Permanente (retención indefinida)

• Respetar preferencias de marketing

• Cumplir con CAN-SPAM y RGPD

• Prevenir readición a listas de marketing

Prevenir readición a listas de marketing

• NUNCA SE ELIMINAN - Requerido por ley para prevenir marketing no deseado

• Incluso después de eliminación de cuenta, el estado de exclusión se retiene

Incluso después de eliminación de cuenta, el estado de exclusión se retiene

---

RESPALDO Y RECUPERACIÓN ANTE DESASTRES

Retención de Respaldos:

RESPALDO Y RECUPERACIÓN ANTE DESASTRES

RESPALDO Y RECUPERACIÓN ANTE DESASTRES

• Respaldos Diarios: 30 días

• Respaldos Semanales: 12 semanas (3 meses)

• Respaldos Mensuales: 12 meses

Respaldos Mensuales: 12 meses

• Continuidad del negocio y recuperación ante desastres

• Protección contra pérdida de datos por fallas del sistema

• Cumplimiento con mejores prácticas de respaldo

Cumplimiento con mejores prácticas de respaldo

• Copia completa de todos los datos de usuarios (a la fecha del respaldo)

• Incluye datos que pueden haber sido eliminados de producción desde el respaldo

Incluye datos que pueden haber sido eliminados de producción desde el respaldo

• Los datos eliminados de producción se marcan para eliminación

• Los datos eliminados se eliminan de los respaldos durante el próximo ciclo de rotación

• Máximo: 12 meses para que los datos eliminados se purguen de todos los respaldos

Máximo: 12 meses para que los datos eliminados se purguen de todos los respaldos

• El usuario elimina la cuenta el 1 de enero

• Los datos de producción se eliminan el 31 de enero (período de gracia de 30 días)

• Los datos pueden persistir en respaldos mensuales hasta enero del año siguiente

• Todos los respaldos que contienen datos se purgan completamente para enero del próximo año

Todos los respaldos que contienen datos se purgan completamente para enero del próximo año

• Respaldos cifrados (AES-256)

• Almacenados en ubicaciones geográficamente separadas

• Acceso restringido al equipo de infraestructura

---

RETENCIONES LEGALES Y EXCEPCIONES

Definición de Retención Legal:

RETENCIONES LEGALES Y EXCEPCIONES

• Litigio pendiente o activo

• Investigaciones gubernamentales o citaciones

• Auditorías o consultas regulatorias

• Investigaciones internas (fraude, violaciones de políticas)

Proceso de Retención Legal:

Investigaciones internas (fraude, violaciones de políticas)

1. El equipo legal o de cumplimiento identifica la necesidad de retención

1. Se marcan cuentas de usuario específicas o categorías de datos

1. Los procesos de eliminación automatizados se suspenden para datos marcados

1. La retención se documenta con razón y fecha

1. Revisión regular para determinar si se puede levantar la retención

Revisión regular para determinar si se puede levantar la retención

• Hasta que concluya el litigio/investigación

• Hasta que se satisfaga el requisito regulatorio

• Hasta que se complete la investigación interna y se agoten todas las apelaciones

Hasta que se complete la investigación interna y se agoten todas las apelaciones

• Podemos estar prohibidos de notificar a los usuarios sobre retenciones legales (ej., investigación activa)

• Cuando sea legalmente permisible, se informa a los usuarios sobre retenciones que afectan sus datos

Cuando sea legalmente permisible, se informa a los usuarios sobre retenciones que afectan sus datos

• Los períodos de retención normales se reanudan

• Los datos se eliminan según el calendario estándar

• Si el período de retención ha expirado durante la retención, eliminación inmediata (después de breve período de revisión)

---

Excepciones a la Eliminación:

Si el período de retención ha expirado durante la retención, eliminación inmediata (después de breve período de revisión)

1. Disputa Legal Activa: El usuario es parte de demanda o arbitraje con XPlus Finance

1. Investigación de Fraude: La cuenta está bajo investigación por fraude o abuso

1. Deuda Pendiente: El usuario debe dinero a XPlus Finance (ej., deuda de contracargo)

1. Solicitud Regulatoria: El gobierno o regulador ha solicitado preservación de datos

Solicitud Regulatoria: El gobierno o regulador ha solicitado preservación de datos

• Los usuarios pueden solicitar información sobre retenciones legales que afectan sus datos

• Las objeciones a retenciones legales se pueden presentar (revisadas caso por caso)

---

SOLICITUDES DE ELIMINACIÓN DE USUARIOS

Derecho a Eliminación (Artículo 17 del RGPD, CCPA):

SOLICITUDES DE ELIMINACIÓN DE USUARIOS

Proceso de Solicitud de Eliminación:

SOLICITUDES DE ELIMINACIÓN DE USUARIOS

1. Enviar correo electrónico a [email protected] con asunto "Solicitud de Eliminación de Datos"

1. Verificar identidad (por seguridad)

1. Especificar alcance (eliminación completa de cuenta o datos específicos)

1. Reconocer comprensión de consecuencias (cierre de cuenta, pérdida de datos)

Reconocer comprensión de consecuencias (cierre de cuenta, pérdida de datos)

• Verificación por correo electrónico (enviado al correo electrónico registrado)

• O iniciar sesión en la cuenta y enviar solicitud de eliminación a través de Configuración de Cuenta

O iniciar sesión en la cuenta y enviar solicitud de eliminación a través de Configuración de Cuenta

• Verificación: 1-3 días hábiles

• Ejecución de eliminación: 30 días (período de gracia)

• Confirmación: Correo electrónico enviado al completar

Qué se Elimina:

Confirmación: Correo electrónico enviado al completar

• Perfil de usuario e información de cuenta

• Preferencias y configuraciones

• Archivos y documentos cargados

• Datos en caché y sesiones

Datos en caché y sesiones

• Registros de transacciones (anonimizados, retenidos durante 7 años según requisito legal)

• Datos de declaración de impuestos (anonimizados, retenidos durante 7 años)

• Análisis agregados (sin identificadores personales)

Análisis agregados (sin identificadores personales)

• Datos sujetos a retención legal

• Registros de investigación de fraude (hasta 5 años)

• Registros de exclusión (permanentemente, para honrar la exclusión)

Período de Gracia de 30 Días:

• Propósito: Permitir recuperación de cuenta si la eliminación fue accidental

• Acciones del Usuario Durante el Período de Gracia:

• Cancelar solicitud de eliminación

• Exportar datos una última vez

• Retirar fondos restantes

• Después del Período de Gracia:

• La eliminación es irreversible

• La cuenta no puede ser recuperada

---

SOLICITUDES DE DERECHOS DE INTERESADOS

Solicitudes del RGPD y CCPA:

SOLICITUDES DE DERECHOS DE INTERESADOS

• Solicitud de Acceso: Copia de todos los datos personales que poseemos

• Solicitud de Portabilidad: Exportación legible por máquina de datos

• Solicitud de Rectificación: Corrección de datos inexactos

• Solicitud de Eliminación: (Ver Sección 16)

• Solicitud de Objeción: Objetar actividades de procesamiento específicas

• Solicitud de Restricción: Limitar cómo procesamos datos

Solicitud de Restricción: Limitar cómo procesamos datos

1. Enviar solicitud a [email protected]

1. Verificar identidad

1. Respondemos dentro de 30 días (RGPD) o 45 días (CCPA)

1. Proporcionar datos solicitados o explicación si se deniega la solicitud

Retención de Documentación:

Proporcionar datos solicitados o explicación si se deniega la solicitud

• Período de Retención: 3 años desde la fecha de finalización

• Propósito: Demostrar cumplimiento, pista de auditoría, resolución de disputas

Propósito: Demostrar cumplimiento, pista de auditoría, resolución de disputas

• Detalles de solicitud (tipo, fecha, solicitante)

• Registros de verificación

• Acciones tomadas (datos proporcionados, eliminados, corregidos)

• Correspondencia con usuario

• Razones de denegación (si aplica)

Razones de denegación (si aplica)

---

RESUMEN DEL CALENDARIO DE RETENCIÓN

---

CUMPLIMIENTO Y REQUISITOS LEGALES

Marco Regulatorio:

CUMPLIMIENTO Y REQUISITOS LEGALES

• RGPD: Artículo 5(1)(e) limitación de almacenamiento, Artículo 30 mantenimiento de registros

• CCPA: Requisitos de transparencia de retención de datos

• Regulaciones del IRS: Retención de 7 años para registros fiscales

• GAAP: Normas contables para registros financieros

• SOX: Requisitos de pista de auditoría de Sarbanes-Oxley (si aplica)

• Ley de Secreto Bancario (BSA): Requisitos de mantenimiento de registros AML

• Leyes Estatales: Leyes de notificación de brechas de datos y retención

Revisión Regular:

Leyes Estatales: Leyes de notificación de brechas de datos y retención

• Anualmente: Revisión y actualizaciones completas

• Según Necesidad: Cuando cambian las leyes o se introducen nuevos tipos de datos

• Impulsado por Auditoría: Después de auditorías de cumplimiento o orientación regulatoria

---

INFORMACIÓN DE CONTACTO

INFORMACIÓN DE CONTACTO

• Correo Electrónico: [email protected]

• Asunto: "Consulta sobre Retención de Datos"

Asunto: "Consulta sobre Retención de Datos"

• Correo Electrónico: [email protected]

• Asunto: "Solicitud de Eliminación de Datos"

Asunto: "Solicitud de Eliminación de Datos"

• Correo Electrónico: [email protected]

• Consulte la Política de Privacidad para información completa

Consulte la Política de Privacidad para información completa

Consulte la Política de Privacidad para información completa

Consulte la Política de Privacidad para información completa

Consulte la Política de Privacidad para información completa

---

Consulte la Política de Privacidad para información completa

Consulte la Política de Privacidad para información completa

Consulte la Política de Privacidad para información completa

• Política de Privacidad

• Lista de Subprocesadores

• Términos de Servicio

• Política de Seguridad

---

Política de Seguridad