Política de Privacidad

Vigente desde el 4 de mayo de 2026. Conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador, Registro Oficial Suplemento 459 del 26 de mayo de 2021, y su Reglamento.

0. Aceptación y registro auditable

Al hacer clic en la casilla "Acepto los términos y la política de privacidad" durante el registro con email y contraseña, o al iniciar sesión con Google por primera vez en Quipuy, manifiestas tu consentimiento libre, específico, informado e inequívoco al tratamiento de tus datos personales conforme a esta política.

En cumplimiento del principio de "demostrabilidad del consentimiento" del Art. 7 de la LOPDP, Quipuy registra automáticamente en una bitácora inmutable:

Identificador único de tu cuenta (UUID).
Correo electrónico y nombre.
Dirección IP desde la cual aceptaste.
User-Agent del navegador (tipo de navegador, sistema operativo, dispositivo).
Fecha y hora exactas del consentimiento (timestamp con zona horaria).
Método: signup_email, signup_google o completar_oauth.
Versión específica de los Términos y la Política de Privacidad que aceptaste.

Esta bitácora se almacena en la tabla terms_acceptances, no admite modificación ni eliminación, y está sujeta a las mismas medidas de seguridad descritas en la sección 8. Puedes solicitar copia de tu registro de aceptación en cualquier momento.

Cuando actualicemos los Términos o esta Política, te lo notificaremos al correo registrado con al menos 15 días de anticipación y, si los cambios son sustanciales, solicitaremos una nueva aceptación expresa antes de seguir tratando tus datos bajo las nuevas condiciones.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es Héctor Santiago Oña Sánchez, titular del RUC 1002906426001, operador de Quipuy, con dirección en Otavalo, Ecuador.

Para ejercer cualquier derecho o consultar sobre el tratamiento de tus datos, escríbenos a info@creativeweb.com.ec.

2. Datos que recopilamos

Recopilamos las siguientes categorías de datos personales:

Datos de identificación: nombre completo, email, teléfono, RUC o cédula, razón social, dirección.
Datos de cuenta: contraseña (hasheada con bcrypt, nunca en texto plano), fecha de registro, última conexión, dirección IP, agente de usuario.
Datos contables y tributarios de tu empresa: clientes, proveedores, productos, comprobantes electrónicos, asientos contables, retenciones.
Datos de pago: histórico de pagos, método (PayPhone, transferencia, manual). No almacenamos números completos de tarjetas de crédito ni CVV — esos los procesa directamente el procesador de pagos.
Certificado digital P12: cifrado en reposo con AES-256-GCM. La contraseña de tu certificado nunca se almacena en texto plano.
Datos técnicos: cookies de sesión (httpOnly), logs de actividad para seguridad y auditoría.

3. Finalidades del tratamiento

Tratamos tus datos para las siguientes finalidades:

Prestar el Servicio que contrataste (emitir y firmar comprobantes, llevar contabilidad).
Cumplir las obligaciones legales (envío al SRI, archivo de comprobantes por 7 años).
Procesar pagos de la suscripción y facturarte.
Enviarte notificaciones operativas (factura autorizada, recordatorio de pago).
Mejorar el servicio mediante análisis estadísticos agregados (sin identificación individual).
Atender tus consultas y solicitudes de soporte.
Cumplir con requerimientos de autoridades competentes cuando exista obligación legal.

4. Base legal del tratamiento

El tratamiento de tus datos se basa, según el caso, en:

Ejecución de contrato: para prestarte el Servicio que contrataste (Art. 7, lit. b LOPDP).
Obligación legal: para cumplir normativa tributaria del SRI (Art. 7, lit. d LOPDP).
Consentimiento: para envíos comerciales o newsletter, siempre revocable (Art. 7, lit. a LOPDP).
Interés legítimo: para seguridad del sistema y prevención de fraude (Art. 7, lit. f LOPDP).

5. Conservación de datos

Datos de cuenta activa: mientras tu suscripción esté vigente.
Comprobantes electrónicos y datos contables: 7 años desde la fecha de emisión, conforme al Art. 4 del Reglamento de Comprobantes de Venta y Retención del SRI.
Datos de pago: 5 años para cumplimiento contable propio.
Logs de seguridad: hasta 12 meses desde el evento.

Tras la cancelación de tu cuenta y vencidos los plazos legales, eliminamos o anonimizamos tus datos personales.

6. Destinatarios y transferencias internacionales

Quipuy comparte datos personales sólo con los procesadores estrictamente necesarios para prestar el Servicio. Todos están obligados contractualmente a tratarlos con confidencialidad y conforme a la LOPDP:

Supabase Inc. (Estados Unidos) — base de datos, autenticación y almacenamiento. Cumple SOC 2 Type 2.
Vercel Inc. (Estados Unidos) — hosting y entrega de la aplicación. Cumple SOC 2 Type 2.
Resend, Inc. (Estados Unidos) — envío de correos transaccionales (factura autorizada al cliente).
PayPhone S.A. (Ecuador) — procesamiento de pagos de suscripciones.
Google LLC (Estados Unidos) — autenticación con Google OAuth (sólo si el usuario lo elige) y reCAPTCHA si aplica.
Servicio de Rentas Internas (SRI) (Ecuador) — envío de comprobantes electrónicos para autorización tributaria, conforme normativa vigente.

Las transferencias internacionales se realizan sólo a países o proveedores que ofrezcan un nivel adecuado de protección, o con cláusulas contractuales tipo (CCT) que aseguren el cumplimiento de la LOPDP, conforme al Art. 56 de la Ley.

7. Tus derechos (Derechos ARCO + portabilidad y oposición)

Conforme a la LOPDP, tienes derecho a:

Acceso: conocer qué datos tuyos tratamos y con qué finalidad.
Rectificación: corregir datos inexactos o incompletos.
Cancelación / Eliminación: solicitar la eliminación de tus datos cuando ya no sean necesarios. Sujeto a los plazos legales tributarios.
Oposición: oponerte al tratamiento por motivos legítimos (excepto cuando es obligación legal).
Portabilidad: recibir tus datos en formato estructurado y de uso común (JSON / Excel).
No ser objeto de decisiones automatizadas que produzcan efectos jurídicos sin intervención humana significativa.
Suspensión del tratamiento mientras se resuelve una solicitud de rectificación u oposición.

Para ejercer cualquiera de estos derechos, escríbenos a info@creativeweb.com.ec indicando claramente el derecho que ejerces. Responderemos en un plazo máximo de 15 días hábiles conforme al Art. 14 de la LOPDP.

Si consideras que no hemos atendido adecuadamente tu solicitud, puedes presentar una denuncia ante la Superintendencia de Protección de Datos Personales del Ecuador.

8. Seguridad de la información

Implementamos medidas técnicas y organizativas razonables para proteger tus datos:

Cifrado TLS 1.2+ en todas las comunicaciones.
Cifrado AES-256-GCM para certificados P12 en reposo.
Hashing bcrypt para contraseñas.
Row Level Security (RLS) en la base de datos para aislar datos entre empresas.
Registro de auditoría de operaciones críticas (asientos, suscripciones, accesos).
Backups diarios con retención mínima de 7 días.
Acceso restringido a datos por personal autorizado, bajo acuerdo de confidencialidad.

Ningún sistema es 100% seguro. Si ocurriera una vulneración de datos personales que comprometa tus derechos o libertades, lo notificaremos a la autoridad de protección de datos en un plazo de 72 horas y a los afectados sin dilación injustificada, conforme al Art. 43 de la LOPDP.

9. Cookies

Usamos cookies estrictamente necesarias para el funcionamiento del Servicio:

Cookies de sesión (httpOnly): para mantenerte autenticado.
Cookie de empresa activa (libmay_active_company): recuerda la empresa que tienes seleccionada cuando administras múltiples empresas.
Cookie técnica de actividad (libmay_act_ping): para registrar actividad agregada cada 15 min, sin contenido personal.

No utilizamos cookies de publicidad ni de seguimiento de terceros sin tu consentimiento.

10. Menores de edad

El Servicio está destinado a personas mayores de 18 años o personas jurídicas. No recopilamos intencionalmente datos de menores de edad. Si detectamos que un menor se ha registrado, eliminaremos su cuenta y datos asociados.

11. Cambios en esta política

Podemos actualizar esta Política de Privacidad cuando sea necesario. Los cambios sustanciales se notificarán al correo registrado con al menos 15 días de anticipación. La fecha de vigencia se actualizará en la parte superior del documento.

12. Contacto y delegado de protección de datos

Para cualquier consulta sobre privacidad, ejercer tus derechos o reportar incidentes, escribe a:

Correo: info@creativeweb.com.ec
WhatsApp: +593 99 917 4980
Dirección: Otavalo, Imbabura, Ecuador