RB
✦ Política de privacidad

Tus datos. En claro.

Recopilamos solo lo que el servicio necesita para funcionar. Sin publicidad de terceros, sin venta de datos, sin rastreadores ocultos.

Última actualización: 31 de mayo de 2026.

1. Quiénes somos

RomBa es una plataforma de entrega confiable de productos duty-free por un fiel que ya vuela tu ruta. Esta política describe qué datos personales tratamos, para qué fines y con quién los compartimos.

Responsable del tratamiento: HAKOBI-TECH LTD, operaciones en los Emiratos Árabes Unidos. Contacto de privacidad: privacy@rodstvennik.org.

2. Qué datos recopilamos

Contacto: nombre del pasaporte (KYC), correo a través de Stripe Customer. Datos de pago: el número de tarjeta, caducidad y CVC son tratados por Stripe — solo recibimos un token y los 4 últimos dígitos; el historial de pedidos y pagos permanece con nosotros. Documento de identidad: un hash SHA-256 con sal del pasaporte se calcula en el dispositivo tras leer el chip NFC ICAO eMRTD; la imagen del pasaporte nunca sale del dispositivo.

Ubicación: coordenadas precisas en el momento de confirmar que estás en un hub duty-free o en el punto de entrega (geofence de 30–45 km alrededor del aeropuerto). Contenido del usuario: fotos de recibos y artículos (OCULAR), señales de audio ultrasónico cortas (ECHO) para probar copresencia física. Identificadores: device_id de hardware, cuenta Stripe, IDs de transacción. Historial de compras: tus pedidos, rutas, estados, propinas. Uso y diagnóstico: métricas anonimizadas y reportes de fallos vía servicios del sistema Apple/Google.

3. Por qué los recopilamos

Para que el servicio funcione: emparejarte con un fiel en tu ruta, crear el pedido y el pago, emitir una tarjeta virtual Stripe Issuing por pedido para comprar en el duty-free, completar la entrega OCULAR.

Para mantener seguras a ambas partes: KYC bilateral, antifraude, escrow de pago, registro de entrega inalterable. Para cumplir la ley: obligaciones fiscales y aduaneras, controles AML, respuestas a requerimientos legales. Para mejorar el producto: analíticas agregadas y reportes de fallos — siempre sobre datos anonimizados.

4. Con quién compartimos

Stripe Payments Europe Ltd — pagos, escrow, emisión de tarjetas virtuales, pagos a fieles vía Stripe Connect. Stripe es responsable independiente del tratamiento para operaciones de pago: stripe.com/privacy. Apple y Google — servicios del sistema (notificaciones push, reportes de fallos).

Anthropic PBC — si usas el asistente IA en la app, sus mensajes se envían a Anthropic vía la API de Claude; Anthropic no usa tus solicitudes para entrenar modelos. Autoridades — divulgaremos datos solo ante un requerimiento legal y, cuando esté permitido, te lo notificaremos. Nunca vendemos tus datos a redes publicitarias, brokers o terceros con fines de perfilado de marketing.

5. Dónde y cuánto tiempo los conservamos

Almacenamiento principal: servidores en la UE. Stripe trata datos en infraestructura UE/EE. UU. bajo las Cláusulas Contractuales Tipo de la UE (CCT). TLS 1.3 en tránsito, AES-256 en reposo.

Perfil: mientras esté activo + 30 días. Contratos de entrega firmados: 7 años (contable/fiscal). Registros de pago: 10 años (AML/PSD2). Audio ECHO y fotos OCULAR: 90 días tras el cierre del pedido, luego borrado automático. Métricas y logs: 12 meses identificables, después anonimizados.

6. Tus derechos

Si estás en la UE/Reino Unido/Suiza, tienes derechos RGPD: acceso, rectificación, supresión, limitación, portabilidad, oposición, retirada del consentimiento. Si estás en California, tienes derechos CCPA/CPRA: conocer, eliminar, corregir, no discriminación. No vendemos ni compartimos tus datos para publicidad dirigida — consulta nuestra página de opciones de privacidad.

Para ejercer un derecho escribe a privacy@rodstvennik.org. La mayoría de solicitudes se responden en 30 días. Si no estás satisfecho, tienes derecho a presentar una reclamación ante la autoridad de protección de datos de tu país.

7. Cómo protegemos tus datos

Escrow de pago: el dinero del cliente permanece en Stripe hasta la firma de la entrega; el fiel no tiene acceso al saldo del cliente. Tarjeta virtual por pedido: tarjeta Stripe Issuing de un solo uso, 5 minutos en caja, nunca vinculada a tu cuenta bancaria.

Entrega ultrasónica OCULAR: la prueba de encuentro es una señal ultrasónica física — los engaños a distancia son matemáticamente imposibles. KYC bilateral: pasaporte (NFC u OCR), Face ID, biometría conductual; solo guardamos un hash con sal del pasaporte. Claves protegidas por hardware — Secure Enclave / StrongBox.

8. Edad, cambios, contacto

El servicio es para usuarios de 17 años o más — el catálogo incluye alcohol y tabaco. No recopilamos datos de menores de forma consciente; si algún dato así llega a nosotros, dínoslo y lo borraremos en un plazo de 7 días.

Los cambios sustanciales se anuncian en la app al menos 30 días antes de su entrada en vigor. La fecha de la última actualización está al principio de esta página. Continuar usando el servicio tras un cambio implica aceptar la nueva versión.

¿Preguntas de privacidad?

Escríbenos — respondemos en 5 días laborables. Para solicitudes urgentes, etiqueta tu correo con [URGENT].

[email protected]