En VAKA tratamos tus datos personales con el mismo cuidado con el que tratamos los productos que se alquilan en nuestra plataforma: con responsabilidad, transparencia y solo lo necesario para que el servicio funcione. Esta política explica qué recolectamos, por qué, con quién lo compartimos y qué derechos tienes sobre esa información.

1. Quién es responsable de tus datos

VAKA Inc. (en proceso de constitución como LLC en Estados Unidos) es la entidad legal responsable del tratamiento de tus datos personales como Controlador de Datos. Operamos en Honduras y otros países de Latinoamérica donde el servicio esté disponible. La dirección de contacto es privacidad@vakaland.com.

2. Qué información recolectamos

2.1 Información que tú nos das

• Cuenta: nombre, email, contraseña hasheada, número de teléfono.
• Perfil: foto, biografía, ciudad, idiomas, mascotas, escuela, trabajo, año de nacimiento — todo opcional, tú decides qué compartir.
• Verificación de identidad: DNI o pasaporte, selfie en vivo. Esto se procesa via Sumsub y NO se guarda en nuestros servidores; solo el resultado de la verificación (aprobado/rechazado/pendiente).
• Información de pago: datos de tarjeta o cuenta bancaria — se manejan exclusivamente por Stripe y Wise. VAKA nunca ve ni guarda el número completo de tu tarjeta.
• Productos publicados: fotos, descripciones, ubicación aproximada, precios, disponibilidad.
• Mensajes y reseñas: el contenido de los chats con otros vecinos y las reseñas que escribes.

2.2 Información que recolectamos automáticamente

• Datos del dispositivo: tipo de navegador, sistema operativo, idioma, zona horaria.
• Huella digital del dispositivo: identificador único generado por FingerprintJS, usado para anti-fraude.
• Dirección IP: usada para detectar país (geo) y prevenir abuso de la plataforma.
• Datos de uso: páginas que visitas, búsquedas que haces, items que marcas como favoritos, tiempo de sesión.
• Cookies y tecnologías similares: ver Política de Cookies para detalles.
• Ubicación: solo si nos das permiso explícito (mostrar productos cerca de ti). Nunca rastreo continuo en background.

2.3 Información que recibimos de terceros

Si te registras con Google o Apple, recibimos tu nombre y email de esos proveedores. Si Sumsub verifica tu identidad, recibimos el resultado. Si Stripe procesa un pago, recibimos confirmación de la transacción (no los datos de tarjeta).

3. Para qué usamos tu información

• Operar el servicio: autenticarte, mostrarte productos relevantes, procesar reservas y pagos, entregar mensajes entre vecinos.
• Seguridad y prevención de fraude: detectar cuentas sospechosas, bloquear comportamiento abusivo, cumplir obligaciones de KYC y AML.
• Mejorar la plataforma: entender qué funciona y qué no — siempre con datos agregados, nunca exponiendo tu comportamiento individual.
• Comunicación contigo: emails de confirmación de reserva, cambios en términos importantes, soporte. Nunca spam comercial sin que hayas optado expresamente.
• Marketing opt-in: solo si activas las notificaciones de marketing en tus preferencias de cuenta.
• Cumplimiento legal: responder a requerimientos de autoridades competentes con orden judicial válida.

4. Con quién compartimos tu información

VAKA NO vende tus datos personales. Compartimos información solo con los siguientes proveedores de servicios, todos bajo contrato con cláusulas estrictas de protección de datos:

• Supabase (base de datos + autenticación): servidores en US/EU.
• Stripe (procesamiento de pagos): cumple PCI DSS Level 1.
• Wise Business (transferencias y payouts): regulado en US, UK, EU.
• Sumsub (verificación de identidad): procesamiento KYC bajo regulación europea.
• Cloudinary (almacenamiento de imágenes y videos).
• OneSignal (notificaciones push): solo si activas notificaciones.
• Twilio (envío de SMS y WhatsApp para verificación de teléfono).
• FingerprintJS (anti-fraude — huella de dispositivo).
• Vercel (hosting del frontend).

También compartimos información mínima con otros vecinos cuando tienen una transacción contigo: tu nombre, foto, ciudad (no dirección exacta), reseñas y rating. Nunca compartimos tu email, teléfono ni datos de pago con otros vecinos sin tu consentimiento explícito.

5. Transferencias internacionales de datos

Como VAKA opera con proveedores en Estados Unidos y Europa, algunos de tus datos se procesan fuera de tu país de residencia. Todos los proveedores están en jurisdicciones con niveles de protección equivalentes a los exigidos por la legislación local de Honduras y otros países donde operamos, o bajo cláusulas contractuales tipo (SCCs) cuando aplica.

6. Cuánto tiempo guardamos tus datos

• Cuenta activa: mientras tu cuenta esté activa.
• Cuenta cerrada por ti: 30 días para permitir recuperación, después se anonimiza.
• Transacciones financieras: 7 años por requerimiento contable y fiscal.
• Cuenta suspendida por fraude: permanente (hash de identidad) para evitar reincidencia.
• Logs de auditoría: 2 años.

7. Tus derechos como vecino

Tienes derecho a:

• Acceso: pedir una copia de los datos personales que tenemos sobre ti.
• Rectificación: corregir datos inexactos o incompletos. La mayoría los puedes corregir tú mismo desde "Editar perfil".
• Eliminación: solicitar el borrado de tu cuenta. La hacemos efectiva en 30 días, sujeto a obligaciones de retención legal.
• Portabilidad: recibir tus datos en formato estructurado (JSON) para llevártelos a otro servicio.
• Oposición: oponerte al uso de tus datos para marketing en cualquier momento.
• Revocación de consentimiento: revocar permisos que hayas dado (notificaciones, ubicación, etc).
• Reclamo ante autoridad: presentar reclamo ante la autoridad de protección de datos de tu país.

Para ejercer cualquiera de estos derechos escribe a privacidad@vakaland.com desde el email asociado a tu cuenta. Tiempo de respuesta: 30 días.

8. Niños menores de edad

VAKA no está dirigido a menores de 18 años y no recolectamos intencionalmente datos de menores. Si descubres que un menor tiene una cuenta en VAKA, escríbenos a privacidad@vakaland.com para procesar la eliminación inmediata.

9. Seguridad

Todos los datos viajan cifrados con TLS 1.3. Las contraseñas se guardan con bcrypt. La base de datos tiene Row Level Security (RLS) configurada para que solo veas tus propios datos. Los accesos administrativos están restringidos y auditados. En caso de brecha de seguridad que afecte tus datos personales, te notificaremos en menos de 72 horas y a las autoridades competentes según la ley aplicable.

10. Cambios a esta política

Si hacemos cambios sustanciales a esta política, te notificamos por email al menos 30 días antes de que entren en vigor. Los cambios menores (correcciones, claridad) los aplicamos directamente y queda registrado en el campo "Última actualización".