{"id":"legal-eses-privacy-policy-2026041","type":"PRIVACY_POLICY","version":"2026.05.1","locale":"es-ES","title":"Política de privacidad Aria","content":"# Política de privacidad Aria\n\n**Version 2026.05.1 — es-ES**\n\n> **Borrador para revisión jurídica.** Este documento es una base operativa para Aria y debe ser revisado por abogado colegiado antes de su publicación al público, clientes, empleados o contratistas.\n\n## 1. Quiénes somos, roles y ámbito material\n\nEsta Política describe cómo Aria Tecnologia Ltda., sus filiales, sucesoras o entidades operativas indicadas en el contrato aplicable realiza el tratamiento de datos personales en el marco de sitio web, consola de administración, APIs, app móvil, módulos de campo, integraciones, comunicaciones transaccionales y servicios relacionados de la plataforma Aria.\n\nEn relaciones **B2B**, por regla general el **Cliente (tenant)** es el **responsable** del tratamiento de datos relativos a sus usuarios, empleados, contratistas de campo y clientes finales registrados o supervisados en la plataforma. **Aria** actúa predominantemente como **encargado**, ejecutando tratamientos necesarios para la prestación del servicio contratado, con base en instrucciones compatibles con la ley y la configuración del panel.\n\nAria podrá actuar como **responsable independiente** cuando trate datos para **fines propios**, como facturación, prevención de fraudes, seguridad de la información, cumplimiento legal, relación comercial, mejora de producto de forma agregada o anonimizada cuando sea posible y respuesta a autoridades.\n\n## 2. Categorías de datos personales\n\nSegún los módulos contratados y el uso de la plataforma, podremos tratar, entre otras, las siguientes categorías:\n- **Identificación y registro:** nombre, correo, teléfono, documentos, empresa, función, identificadores de cuenta y de tenant.\n- **Identificación fiscal (prestador — app):** CPF cuando se exija en el registro por la aplicación móvil, tratado de forma normalizada y **único** en la plataforma para evitar cuentas duplicadas de prestador, salvo supuestos legales o contractuales específicos.\n- **Documentos de identificación (envío opcional en el flujo):** imágenes de documento, OCR, metadatos y datos extraídos cuando el prestador opte por enviarlos; no enviarlos no exime de identificadores exigidos por el producto (p. ej., CPF válido).\n- **Autenticación y seguridad:** credenciales, tokens de sesión, registros de acceso, IP, tipo de dispositivo y eventos de seguridad.\n- **Operación de campo y activos:** órdenes de servicio, checklists, firmas, fotos, videos cortos, audio o notas de voz, lecturas de código, geolocalización (incluido segundo plano si está habilitado), geocercas, jornada y fichajes.\n- **Biometría (facial):** plantillas o mediciones **solo** si el Cliente activa la funcionalidad y existe base legal y transparencia hacia los titulares.\n- **Datos financieros de suscripción:** datos necesarios para cobro, documentos fiscales y gestión de planes (vía procesadores de pago cuando aplique).\n- **Comunicaciones:** notificaciones transaccionales, in-app, correo y push.\n- **Telemetría y diagnóstico:** registros técnicos, fallos, rendimiento y métricas de uso para fiabilidad y soporte.\n- **IA e informes:** entradas enviadas a funciones de IA configuradas por el Cliente y resultados mostrados en el producto, dentro de los límites del producto.\n\n## 2.1. Datos faciales y reconocimiento facial (aplicación)\n\nSi el Cliente habilita biometría, fichaje con selfie, checklists faciales o KYC de prestador, la app puede tratar **datos faciales** así:\n- **Recogida:** fotografías con el rostro (selfies de matrícula, fichaje y tareas); **plantillas biométricas** (embeddings) generadas por **CompreFace (FaceMatch)**; metadatos de verificación (similaridad, fecha/hora, motor, auditoría).\n- **No recogemos:** plantillas de **Face ID** / **Touch ID** del dispositivo. La detección facial en tiempo real (ML Kit) solo orienta el encuadre y **no** guarda plantillas locales.\n- **Finalidades:** identidad en fichaje; presencia en OS/checklists; KYC; prevención de fraude y auditoría. **Sin** publicidad ni venta de datos.\n- **Compartición:** empresa contratante (tenant); servidores Lansolver; suboperador **CompreFace**; **OpenAI Vision** opcional solo para calidad de selfie en el alta.\n- **Retención:** referencias mientras la cuenta esté activa; supresión/anonimización al cierre; evidencias según obligaciones del Cliente. **dpo@lansolver.com** o baja en la app.\n- **Base legal y aviso:** dato sensible (LGPD art. 11); consentimiento y/o contrato/interés legítimo. Aviso in-app **BIOMETRIC_NOTICE** cuando corresponda.\n\n## 3. Datos sensibles y salud ocupacional\n\nDeterminados formularios o flujos pueden capturar **datos sensibles** (incluidos, en algunos escenarios, datos de salud o seguridad ocupacional) **por decisión y configuración del Cliente**. En esos casos, el Cliente es responsable de informar a los titulares, aplicar bases legales aplicables (incluidas hipótesis del art. 11 de la LGPD), minimización y plazos de retención. Aria limita el acceso interno a lo estrictamente necesario y exige segregación lógica entre tenants.\n\n## 4. Finalidades del tratamiento\n\nTratamos datos para aprovisionar y operar la plataforma; autenticar usuarios; registrar y validar prestadores en la aplicación (incluida la unicidad del CPF y los flujos de onboarding); sincronizar datos offline; acreditar la ejecución de servicios; prevenir fraudes y abusos; enviar comunicaciones operacionales; prestar soporte; ejecutar contratos; facturar; cumplir órdenes legales o regulatorias; auditar y defender derechos; mejorar rendimiento, estabilidad y seguridad; y, cuando aplique, habilitar localización, biometría, IA e integraciones autorizadas por el Cliente.\n\n## 5. Bases legales (LGPD y equivalencias)\n\nSegún el papel (responsable/encargado) y el contexto, pueden aplicarse hipótesis del art. 7º de la LGPD, incluidas ejecución de contrato; obligación legal; ejercicio regular de derechos; protección de la vida; tutela de la salud; interés legítimo (con balance); protección al crédito; y consentimiento cuando sea exigido. Para **datos sensibles**, aplica el art. 11º de la LGPD. Si hay titulares en la Unión Europea, pueden aplicarse bases del RGPD de forma complementaria, sin perjuicio de la ley brasileña aplicable al contrato.\n\n## 6. Cookies y tecnologías similares\n\nLos sitios y aplicaciones web pueden usar cookies, almacenamiento local y tecnologías similares según la **Política de Cookies** publicada aparte. Las cookies no estrictamente necesarias siguen la configuración de consentimiento disponible en la interfaz pública o en el flujo de onboarding, según implementación.\n\n## 7. Destinatarios, cesiones y suboperadores\n\nPodemos compartir datos con **suboperadores** y proveedores que apoyan infraestructura (nube, base de datos, CDN), mapas, notificaciones push, correo, almacenamiento de objetos, pagos, firma electrónica, biometría (si está habilitada), IA, observabilidad y soporte. Exigimos cláusulas de protección de datos y segregación. **No vendemos** datos personales en el sentido de venta onerosa para marketing independiente de terceros. Podemos revelar datos a **autoridades** por proceso legal válido o para defensa de derechos en procedimiento.\n\n## 8. Transferencias internacionales\n\nParte de la infraestructura o suboperadores puede estar **fuera de Brasil**. Cuando haya transferencia internacional, adoptamos instrumentos y medidas compatibles con la LGPD (incluidas cláusulas tipo, evaluación de riesgo y garantías técnicas). Cuando aplique el RGPD, observamos requisitos equivalentes de transferencia.\n\n## 9. Retención y eliminación\n\nConservamos datos el tiempo necesario para las finalidades descritas, obligaciones legales, resolución de litigios y defensa de derechos. Los plazos específicos por categoría (p. ej., telemetría bruta de ubicación vs. evidencias legales) figuran en la **Política de Retención de Datos**. Al terminar el contrato, procederemos a la eliminación, anonimización o devolución según el acuerdo e instrucciones documentadas del Cliente, con salvedad de excepciones legales.\n\n## 10. Derechos de los titulares y canales de contacto\n\nConforme a la LGPD, los titulares pueden solicitar confirmación de tratamiento, acceso, rectificación, anonimización, bloqueo o eliminación, portabilidad (cuando proceda), información sobre comparticiones, información sobre la posibilidad de no otorgar consentimiento y sus consecuencias, revocación del consentimiento y revisión de decisiones automatizadas (cuando corresponda). En contexto **B2B**, muchas solicitudes deben ser atendidas por el **Cliente responsable**; Aria prestará apoyo razonable al Cliente dentro de los plazos legales. Canal Aria: **dpo@lansolver.com**. Los titulares también pueden contactar a la **Autoridad Nacional de Protección de Datos (ANPD)** según la ley.\n\n## 11. Seguridad e incidentes\n\nImplementamos medidas técnicas y organizativas proporcionales al riesgo, incluida segregación lógica por tenant, controles de acceso, registro de eventos, cifrado en tránsito, prácticas de desarrollo seguro, copias de seguridad y monitorización. Si ocurre un incidente relevante que involucre datos del Cliente, notificaremos al Cliente según ley y contrato, con información razonablemente disponible para apoyar las obligaciones del responsable frente a titulares y autoridades.\n\n## 12. Tratamiento automatizado, perfilado e IA\n\nLa IA o reglas automatizadas pueden sugerir rutas, pre-rellenar campos, clasificar riesgo operativo o ayudar en la triage, **según configuración del producto**. Las decisiones con efecto jurídico o equivalente significativo observarán las salvaguardas legales aplicables, incluida transparencia y, cuando se exija, revisión humana o información de alto nivel sobre la lógica. El Cliente debe evaluar impactos en sus empleados, contratistas y clientes finales al habilitar tales funciones.\n\n## 13. Niños y adolescentes\n\nLa plataforma **no está dirigida** a menores de 16 años como público objetivo. Los Clientes no deben registrar datos de menores sin base legal específica, consentimiento asistido cuando se exija y políticas internas adecuadas.\n\n## 14. Cambios de esta Política\n\nPodemos actualizar esta Política para reflejar cambios legales, de producto o de riesgo. Los cambios **relevantes** se comunicarán por medios razonables (incluido panel, correo institucional o flujos de consentimiento en la app). Las versiones publicadas podrán exigir registro de aceptación cuando la naturaleza del cambio lo exija, según la configuración de compliance del entorno.\n\n---\n\n**Contacto jurídico y privacidad:** dpo@lansolver.com","isActive":true,"publishedAt":"2026-05-20T11:18:52.916Z","effectiveFrom":"2026-05-06T00:00:00.000Z","reviewStatus":"PUBLISHED","reviewedBy":"compliance-script@lansolver.com","reviewedAt":"2026-05-20T11:18:52.916Z","archivedAt":null,"changeSummary":"v2026.05.2: sección dedicada a datos faciales (recogida, CompreFace, retención, Face ID); v2026.05.1: CPF prestador; v2026.04.2 LGPD B2B.","audience":"ALL","platform":"ALL","jurisdiction":"BR","legalBasis":"LGPD","requiresAcceptance":true,"blocking":true,"createdBy":"admin@lansolver.com","tenantId":null,"sectorCode":null,"createdAt":"2026-05-07T16:28:35.299Z","updatedAt":"2026-05-20T11:18:52.917Z"}