Política de Privacidad
Versión 1.0.0 · Vigente desde el 2026-05-21 · Última revisión: 2026-05-21
1. Responsable del tratamiento
Simple Studio SRL (operando como CineSuite) es el responsable del tratamiento de tus datos personales.
- Domicilio: Santo Domingo, República Dominicana
- Contacto general: soporte@cinesuite.online
- Oficial de Protección de Datos: privacidad@cinesuite.online
2. Marco legal aplicable
Esta política cumple con:
- RGPD (Reglamento UE 2016/679) — para titulares en la Unión Europea
- Ley 172-13 sobre Protección de Datos Personales — República Dominicana
- CCPA (California Consumer Privacy Act) — para residentes de California
3. Datos que recopilamos
Procesamos las siguientes categorías de datos personales:
Datos de identificación
Campos: nombre, email, teléfono, rol en organización
Base legal: Ejecución del contrato (Art. 6.1.b RGPD)
Retención: Mientras la cuenta esté activa + 30 días tras solicitud de borrado
Datos comerciales (clientes y proyectos)
Campos: razón social, RNC/RFC, dirección fiscal, presupuestos, facturas
Base legal: Ejecución del contrato + obligación legal fiscal (Art. 6.1.b y 6.1.c)
Retención: 10 años (obligación fiscal DR/UE)
Datos de uso
Campos: fechas de acceso, acciones realizadas, IP (rate limiting)
Base legal: Interés legítimo — seguridad y mejora del servicio (Art. 6.1.f)
Retención: 12 meses, después anonimizados
Datos de facturación (Stripe)
Campos: últimos 4 dígitos de tarjeta, país de facturación
Base legal: Ejecución del contrato + obligación legal
Retención: Mientras la suscripción esté activa
Los datos completos de tarjeta NUNCA pasan por nuestros servidores — Stripe los procesa directamente.
4. Tus derechos (RGPD Arts. 15–22)
Tienes derecho a:
- Acceder (Art. 15 RGPD): obtener una copia de todos tus datos personales. Descargar mis datos
- Rectificar (Art. 16 RGPD): corregir datos inexactos. Editar mi perfil
- Suprimir (Art. 17 RGPD): solicitar el borrado de tus datos. Borrar mi cuenta
- Portabilidad (Art. 20 RGPD): recibir tus datos en formato JSON (machine-readable)
- Oposición (Art. 21 RGPD): escribe a privacidad@cinesuite.online
Respondemos cualquier solicitud en un máximo de 30 días.
5. Sub-procesadores
Para operar el servicio compartimos datos con los siguientes sub-procesadores, cada uno con un Acuerdo de Procesamiento de Datos (DPA) firmado:
| Proveedor | Finalidad | Ubicación | DPA |
|---|---|---|---|
| Supabase Inc. | Base de datos PostgreSQL + autenticación + almacenamiento | Estados Unidos (us-east-1) — con SCC firmadas | Ver DPA |
| Vercel Inc. | Hosting de la aplicación web + CDN | Estados Unidos / multi-región — con SCC firmadas | Ver DPA |
| Stripe Inc. | Procesamiento de pagos de suscripción | Estados Unidos — con SCC firmadas | Ver DPA |
| Upstash Inc. | Rate limiting (Redis) — sin datos personales identificables | Estados Unidos | Ver DPA |
6. Transferencias internacionales
Tus datos pueden transferirse a Estados Unidos bajo el mecanismo de Standard Contractual Clauses (SCC) de la Comisión Europea. Supabase y Vercel almacenan datos en US bajo SCC firmadas. Datos de UE protegidos al mismo nivel que dentro del Espacio Económico Europeo.
7. Cookies
Estrictamente necesarias (siempre activas)
| Nombre | Finalidad | Duración |
|---|---|---|
sb-*-auth-token | Sesión de autenticación | 30 días |
cs-active-org | Organización activa | 1 año |
cs-consent | Preferencias de consentimiento | 1 año |
Actualmente no usamos cookies de analytics ni marketing. Si en el futuro las añadimos, te pediremos consentimiento explícito.
8. Seguridad
- Datos cifrados en tránsito (TLS 1.3) y en reposo (AES-256, gestionado por Supabase)
- Aislamiento multi-tenant a nivel de base de datos (Row Level Security)
- Control de acceso basado en roles (RBAC) con 4 niveles: owner, admin, editor, viewer
- Audit log append-only de operaciones críticas
- Rate limiting y protección anti-CSRF/XSS en todos los endpoints
9. Cómo presentar una reclamación
Si consideras que hemos vulnerado tus derechos, puedes presentar una reclamación ante:
- Procuraduría Especializada para Crímenes y Delitos de Alta Tecnología (PEDATEC) — República Dominicana (RD)
- AEPD (Agencia Española de Protección de Datos) para residentes UE (UE)
10. Cambios a esta política
Notificaremos cambios significativos por email al menos 30 días antes de su entrada en vigor. La fecha de última revisión siempre estará al inicio de este documento.