Política de Privacidad y tratamiento de datos.

1.1 Datos del responsable

El responsable del tratamiento de los datos personales recolectados a través de la plataforma Rapix es:

1.2 Datos de contacto para asuntos de protección de datos

El titular podrá dirigir cualquier comunicación relativa al tratamiento de sus datos personales, así como ejercer los derechos reconocidos en la sección 12, al correo electrónico devrelex@gmail.com, indicando expresamente en el asunto la materia objeto de su solicitud.

La presente política regula el tratamiento de los datos personales que el responsable lleva a cabo en el marco de la prestación de los servicios de coordinación logística y de gestión de entregas a domicilio ofrecidos a través de la plataforma Rapix, incluyendo el sitio web, las aplicaciones móviles para vendedores, repartidores y clientes, así como la consola administrativa.

Resulta aplicable a toda persona natural cuyos datos personales sean tratados por el responsable, ya sea por su condición de usuario registrado, de receptor de un pedido (cliente final), de visitante del sitio web o de cualquier otro tercero cuyos datos sean comunicados al responsable en el curso de la operación.

Para los efectos del presente documento, los términos siguientes tendrán el significado que se les atribuye a continuación:

• Titular de los datos: persona natural cuyos datos personales son objeto de tratamiento.
• Responsable del tratamiento: persona natural o jurídica que determina los fines y los medios del tratamiento. Para esta política, Reynaldo Alexander Ruiz Rosales.
• Encargado del tratamiento: persona natural o jurídica que trata datos personales por cuenta del responsable.
• Tratamiento: cualquier operación o conjunto de operaciones efectuadas sobre datos personales, automatizadas o no.
• Dato personal: toda información concerniente a una persona natural identificada o identificable.
• Dato sensible: aquel que revele origen racial, opiniones políticas, convicciones religiosas, datos genéticos, de salud, o de orientación sexual.
• Consentimiento: manifestación libre, específica, informada e inequívoca por la que el titular acepta el tratamiento.
• Brecha de seguridad: incidente que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

En el ejercicio de su actividad, el responsable trata las categorías de datos personales que se detallan a continuación, recolectados directamente del titular, generados durante el uso de la plataforma o comunicados por terceros legítimamente autorizados.

4.1 Datos comunes a todos los titulares

• Nombres y apellidos completos.
• Dirección de correo electrónico (con carácter único).
• Número de teléfono móvil (con carácter único).
• Contraseña de acceso, almacenada de forma irreversible mediante hash (algoritmo bcrypt, factor de costo mínimo 12).
• Imagen de perfil, cuando sea provista voluntariamente.
• Datos de auditoría: dirección IP, agente de usuario, fecha/hora de inicios de sesión, identificador del dispositivo.
• Token de notificaciones push (Firebase Cloud Messaging) cuando instale la app móvil.

4.2 Datos específicos del Vendedor

• Denominación comercial del negocio.
• NIT o documento equivalente, cuando sea provisto.
• Dirección física del establecimiento.
• Coordenadas geográficas (latitud y longitud) del establecimiento.
• Logotipo del negocio, cuando sea provisto.
• Datos relativos al saldo de paquetes prepagados, límite de crédito y consumo de envíos.

4.3 Datos específicos del Repartidor

• Tipo y características del vehículo.
• Número de placa de circulación, cuando aplique.
• Número del DUI u otro documento equivalente.
• Teléfono de contacto en caso de emergencia.
• Datos de ubicación en tiempo real durante la prestación del servicio.
• Calificación operativa y historial de entregas y cierres financieros.

4.4 Datos específicos del Cliente Final

• Nombre completo, número de teléfono y, en su caso, correo electrónico.
• Dirección física de entrega.
• Información sobre el pedido recibido.

4.5 Datos operativos generados durante el servicio

• Fotografías de paquetes capturadas en el momento de la entrega.
• Firma manuscrita digital del Cliente Final, capturada en pantalla táctil.
• Imagen del comprobante del cierre financiero diario del Repartidor.
• Registros de cambios de estado del pedido con marcas temporales y ubicación.
• Registros de auditoría de operaciones administrativas.

5.1 Recolección directa del titular

La principal fuente es el propio titular, quien proporciona sus datos voluntariamente al registrarse, actualizar su perfil, crear un pedido o interactuar con los formularios habilitados.

5.2 Recolección automática durante el uso de la plataforma

Determinados datos son recolectados automáticamente: datos de auditoría (IP, user-agent), ubicación geográfica del Repartidor durante operación, registros de cambios de estado de pedidos y marcas temporales.

5.3 Recolección a través de terceros

Los datos personales del Cliente Final pueden ser comunicados al responsable por parte del Vendedor que crea el pedido. El Vendedor declara contar con autorización suficiente del Cliente Final para comunicar sus datos al responsable.

6.1 Finalidades primarias

Esenciales para la prestación del servicio:

• Permitir el registro, autenticación y acceso del titular.
• Ejecutar la prestación del servicio: creación, asignación, recolección, transporte y entrega de pedidos.
• Gestionar el cobro de tarifas, consumo de paquetes y cierres financieros.
• Comunicar al titular el estado de sus pedidos (push, WhatsApp, correo).
• Optimizar rutas y asignación de Repartidores mediante servicios cartográficos.
• Acreditar la entrega mediante fotografía y firma.
• Atender consultas, reclamaciones y solicitudes.
• Cumplir obligaciones legales y reglamentarias.

6.2 Finalidades secundarias

• Análisis estadístico agregado y disociado de la operación.
• Prevención, detección e investigación de fraudes.
• Mejora continua de algoritmos de asignación y predicción.
• Auditoría interna y aseguramiento de la calidad.
• Defensa de derechos en sede judicial o administrativa.

7.1 Ejecución contractual

Principal base legítima: la ejecución del contrato de prestación de servicios y la aplicación de medidas precontractuales. Sin el tratamiento de los datos necesarios, no es posible la prestación del servicio.

7.2 Consentimiento expreso del titular

Para finalidades que excedan la ejecución contractual (comunicaciones comerciales, geolocalización en segundo plano), el tratamiento se sustenta en el consentimiento libre, previo, expreso, informado e inequívoco.

7.3 Interés legítimo del responsable

Prevención del fraude, mejora del servicio mediante análisis agregados y defensa de derechos en sede judicial, previa ponderación con los derechos del titular.

7.4 Cumplimiento de obligaciones legales

La conservación de datos contables, fiscales y de auditoría durante los plazos legalmente exigidos.

8.1 Encargados del tratamiento

Para la prestación del servicio el responsable se vale de proveedores tecnológicos que actúan como encargados del tratamiento, regulados contractualmente para garantizar confidencialidad y seguridad:

8.2 Cesión a autoridades competentes

El responsable comunicará datos personales a autoridades judiciales, fiscales o administrativas cuando exista obligación legal o cuando la comunicación resulte necesaria para investigar un delito, defender derechos del responsable o proteger derechos de terceros.

8.3 Transferencias internacionales

Algunos encargados procesan datos fuera del territorio salvadoreño, en particular en EE.UU. y la Unión Europea. El titular, al aceptar esta política, presta consentimiento expreso para tales transferencias, sin perjuicio de las medidas razonables que adopte el responsable para garantizar estándares de protección equivalentes.

9.1 Datos del Repartidor

La app móvil del Repartidor recolecta ubicación geográfica de forma continua en segundo plano mientras existan pedidos activos asignados. Finalidades: asignación óptima de rutas, supervisión operativa, comunicación del avance al Cliente Final. La activación requiere consentimiento expreso durante la instalación.

9.2 Datos del Vendedor

Se recolecta y almacena la ubicación del establecimiento con carácter estático, sin seguimiento en tiempo real. Se utiliza exclusivamente para determinar zona de origen y calcular distancias y tiempos.

9.3 Datos del Cliente Final

El responsable no recolecta ni rastrea la ubicación del Cliente Final. El Cliente puede visualizar la ubicación del Repartidor mediante un enlace público de seguimiento, sin que ello implique recolección de su propia ubicación.

10.1 Plazos generales

Los datos se conservan durante el tiempo estrictamente necesario para el cumplimiento de las finalidades, lo cual comprende, por regla general, toda la duración de la relación contractual.

10.2 Datos contables y fiscales

Los datos incorporados a documentos contables, fiscales o de facturación se conservan durante los plazos exigidos por el Código Tributario, con un plazo no inferior a diez (10) años contados desde la finalización del ejercicio fiscal correspondiente.

10.3 Datos de auditoría y seguridad

Logs de acceso y registros de auditoría se conservan durante veinticuatro (24) meses desde su generación, sin perjuicio de plazos mayores cuando resulten de obligación legal o requerimiento judicial.

10.4 Datos tras la terminación de la cuenta

Una vez extinguida la relación, el responsable procederá a la supresión o anonimización irreversible de los datos personales, salvo aquellos cuya conservación resulte obligatoria conforme a las cláusulas anteriores. La cuenta se marca como inactiva y sus credenciales se inutilizan.

11.1 Asignación algorítmica de Repartidores

El responsable utiliza procedimientos automatizados para asignar pedidos a Repartidores en función de zona, disponibilidad y calificación operativa, sin intervención humana directa en cada asignación particular. El titular tiene derecho a solicitar revisión humana cuando considere que le ha causado un perjuicio significativo.

11.2 Cálculo automático de tarifas y consumo prepago

El responsable determina automáticamente la tarifa aplicable y, en su caso, descuenta de manera automática un envío del paquete prepago activo del Vendedor en orden cronológico de antigüedad (FIFO).

11.3 Derecho a la intervención humana

El titular tiene derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente, y a obtener intervención humana, expresar su punto de vista e impugnar la decisión, mediante solicitud al correo señalado en 1.2.

El titular tiene reconocidos, sin coste alguno, los siguientes derechos sobre sus datos personales:

Adicionalmente, el titular puede retirar su consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento previo a su retirada. El retiro del consentimiento podrá implicar la imposibilidad de continuar prestando el servicio.

El titular podrá ejercer cualquiera de los derechos reconocidos en la sección 12 mediante comunicación escrita dirigida al correo devrelex@gmail.com, cumpliendo los siguientes requisitos:

1. Identificarse plenamente mediante documento que acredite su identidad.
2. Indicar claramente el derecho que pretende ejercer y los datos sobre los cuales recae la solicitud.
3. Adjuntar la documentación que sustente la solicitud.
4. Señalar un medio de contacto válido para la notificación de respuesta.

El responsable atenderá la solicitud dentro del plazo de diez (10) días hábiles contados desde la recepción. Tal plazo podrá ampliarse justificadamente hasta veinte (20) días hábiles cuando la complejidad o el número de solicitudes pendientes lo requiera, notificando la ampliación dentro del plazo original.

El ejercicio de los derechos es gratuito. No obstante, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente por su carácter repetitivo, el responsable podrá negarse a actuar o cobrar un canon razonable en función de los costes administrativos.

El acceso a la plataforma se encuentra restringido a personas que hayan cumplido los dieciocho (18) años. Excepcionalmente, podrán registrarse personas a partir de los dieciséis (16) años cumplidos, siempre que cuenten con consentimiento expreso, previo y documentado del padre, madre o tutor legal, quien asumirá responsabilidad solidaria por las obligaciones derivadas del uso de la cuenta.

El padre, madre o tutor legal de un menor inscrito podrá, en cualquier momento, solicitar al responsable la supresión de los datos personales del menor, sin que sea necesaria justificación alguna.

El responsable ha implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

15.1 Medidas técnicas

• Almacenamiento de contraseñas mediante bcrypt con factor de costo mínimo 12.
• Autenticación basada en JSON Web Tokens (JWT) con vigencia limitada y mecanismo de refresco controlado.
• Cifrado de comunicaciones mediante TLS 1.2 o superior.
• Almacenamiento de imágenes y comprobantes en MinIO con políticas restrictivas y URLs firmadas temporales.
• Almacenamiento seguro de tokens en dispositivos móviles mediante flutter_secure_storage.
• Registro de auditoría de operaciones sensibles.
• Rate limiting para mitigar ataques de fuerza bruta y denegación de servicio.

15.2 Medidas organizativas

• Control de acceso basado en roles con principio de mínimo privilegio.
• Procedimientos internos de revisión y aprobación de cambios sobre datos personales.
• Compromisos contractuales de confidencialidad con todo proveedor o colaborador.
• Auditoría periódica de accesos administrativos y operaciones de mayor sensibilidad.

15.3 Notificación de brechas de seguridad

En caso de brecha de seguridad que afecte a los datos personales del titular y entrañe un riesgo para sus derechos, el responsable notificará al titular afectado y a la autoridad de control competente dentro de los plazos previstos en la legislación y, en cualquier caso, sin dilación indebida.

16.1 Cookies en el sitio web

El sitio web institucional de Rapix no utiliza cookies de seguimiento, cookies publicitarias ni tecnologías de rastreo entre sitios. Tampoco incorpora píxeles de seguimiento, herramientas de analítica de terceros ni mecanismos de fingerprinting.

16.2 Identificadores y tokens en aplicaciones móviles

Las aplicaciones móviles utilizan identificadores estrictamente necesarios:

• Tokens JWT, almacenados en el módulo seguro del dispositivo, para identificar al titular y mantener la sesión.
• Tokens de notificaciones push emitidos por Firebase Cloud Messaging, para dirigir notificaciones al dispositivo correcto.

Estos identificadores no son cookies en sentido técnico y se utilizan exclusivamente con finalidad funcional. No se emplean para fines publicitarios ni de análisis de comportamiento.

El responsable enviará al titular comunicaciones electrónicas (push, WhatsApp, correo) con las siguientes finalidades:

• Comunicaciones transaccionales: necesarias para el servicio (confirmación, asignación, cambios de estado, alertas). Son inherentes al servicio y no pueden desactivarse sin afectar su funcionamiento.
• Comunicaciones de servicio: cambios sustanciales en Términos, Política de Privacidad o avisos de seguridad. Tienen carácter informativo necesario.
• Comunicaciones comerciales o promocionales: requieren consentimiento expreso, separado y específico, prestado mediante opt-in y revocable en cualquier momento.

El responsable podrá modificar esta política cuando resulte necesario para adaptarla a cambios en la legislación aplicable, en las características del servicio, en la operación de los encargados, o por otras razones legítimas.

Las modificaciones se notificarán por los canales electrónicos registrados y se publicarán en el sitio con la nueva versión y fecha de entrada en vigor. Salvo causa justificada, las modificaciones entrarán en vigor transcurridos quince (15) días calendario desde su notificación. Durante ese plazo, el titular podrá manifestar disconformidad solicitando la baja de su cuenta.

Esta Política de Privacidad y todo tratamiento que se realice se rigen por las leyes de la República de El Salvador, en particular por la Ley de Protección de Datos Personales y sus reglamentos.

Sin perjuicio de la facultad del titular de acudir a la jurisdicción ordinaria, podrá presentar reclamación ante la autoridad de control en materia de protección de datos personales con competencia en el territorio nacional.

Para cualquier controversia, las partes se someten a la jurisdicción exclusiva de los tribunales competentes de San Salvador, con renuncia expresa a cualquier otro fuero.

Al registrarse en la plataforma, utilizar cualquiera de sus aplicaciones o continuar utilizándolas tras la entrada en vigor de una nueva versión, el titular manifiesta libre, expresa, informada e inequívocamente su aceptación íntegra de las disposiciones aquí contenidas, así como de los Términos y Condiciones que la complementan.

En caso de no estar de acuerdo, el titular deberá abstenerse de registrarse o de continuar utilizando la plataforma.

Para cualquier asunto relacionado con esta Política de Privacidad, ejercicio de derechos o consultas en materia de protección de datos, el titular podrá dirigirse al siguiente medio único de contacto: