1. Responsable del tratamiento
LicitaRD (operada como iniciativa colectiva con sede en Santo Domingo, República Dominicana) es el responsable del tratamiento de los datos personales que recolectamos a través de la plataforma licitard.com, sus subdominios y aplicaciones asociadas.
Cumplimos con la Ley No. 172-13 sobre Protección Integral de los Datos Personales de la República Dominicana, promulgada el 13 de diciembre de 2013.
2. Datos que recolectamos
Solo recolectamos los datos estrictamente necesarios para operar el servicio. Específicamente:
2.1 Datos de cuenta
- Nombre completo o razón social
- RNC (Registro Nacional del Contribuyente) — para validar tu empresa contra el RPE de la DGCP
- Email corporativo (usado como identificador único de tu cuenta)
- Número de teléfono / WhatsApp para recibir alertas
- Contraseña (almacenada con hashing Argon2id, nunca en texto plano)
2.2 Datos de perfil de matching
- Categorías UNSPSC que te interesan
- Rangos de monto, regiones, tipos de procedimiento, palabras clave
- Preferencias de notificación (frecuencia WhatsApp/email)
2.3 Datos de uso técnico
- Dirección IP, navegador, sistema operativo
- Fecha y hora de cada login, click y navegación dentro de la plataforma
- Device fingerprint anonimizado (para detección de fraude en programa de referidos)
2.4 Datos de facturación
- Información de método de pago (procesada por Stripe Inc. — LicitaRD NO almacena números de tarjeta completos, solo los últimos 4 dígitos y un token)
- Datos fiscales para emisión de NCF (razón social, RNC, dirección fiscal)
- Historial de pagos y facturas emitidas
2.5 Datos NO recolectados
Para evitar riesgos innecesarios, NO recolectamos: número de cédula, número de pasaporte, datos biométricos, datos de menores, religión, afiliación política, orientación sexual, datos médicos ni cualquier otro dato sensible según la Ley 172-13.
3. Finalidades del tratamiento
Tratamos tus datos exclusivamente para los siguientes fines:
- Operar la cuenta: autenticarte, gestionar tu suscripción, emitir factura NCF, procesar pagos.
- Hacer matching: comparar tu perfil contra licitaciones publicadas en el portal SECP y enviarte alertas relevantes.
- Comunicarnos contigo: notificaciones transaccionales (alertas, password reset, facturación) y, solo con tu consentimiento explícito, comunicaciones de marketing.
- Mejorar el servicio: analizar uso agregado y anónimo para identificar oportunidades de mejora.
- Prevenir fraude: detectar abusos en el programa de referidos, multi-cuentas falsas y actividades sospechosas.
- Cumplir obligaciones legales: conservar facturación según normativa DGII, atender requerimientos de autoridades competentes.
4. Base legal del tratamiento
Bajo la Ley 172-13, tratamos tus datos amparados en las siguientes bases legales:
- Consentimiento (Art. 6, Ley 172-13) — el que prestás al crear la cuenta aceptando estos términos.
- Ejecución de contrato — para entregar el servicio que contrataste.
- Obligación legal — para conservar registros fiscales (DGII) y atender requerimientos de autoridades.
- Interés legítimo — para prevención de fraude y seguridad de la plataforma, evaluado caso por caso de forma proporcional.
5. Plazos de retención
| Tipo de dato | Plazo de retención |
|---|---|
| Datos de cuenta activa | Mientras la cuenta esté vigente |
| Datos tras cancelar la cuenta | 30 días de gracia para reactivar, luego eliminación total |
| Facturación y NCF (obligación DGII) | 10 años |
| Logs técnicos de acceso | 180 días (rotados automáticamente) |
| Datos de fraude detectado | 3 años (para prevenir reincidencia) |
| Cookies analíticas | 13 meses máximo |
6. Destinatarios y transferencias internacionales
Tus datos pueden ser compartidos con los siguientes proveedores que actúan como encargados del tratamiento bajo contratos que garantizan estándares de protección equivalentes a la Ley 172-13:
- Cloudflare Inc. (Estados Unidos) — CDN, DNS, hosting de la landing
- Amazon Web Services Inc. (Estados Unidos, región us-east-1) — envío de email transaccional (SES) y notificaciones
- Stripe Inc. (Estados Unidos) — procesamiento de pagos con tarjeta
- Meta Platforms Inc. (Estados Unidos) — envío de mensajes WhatsApp Business API
- Contabo GmbH (Alemania) — hosting del backend y base de datos
Estas transferencias internacionales se realizan amparadas en el consentimiento expreso del titular y en cláusulas contractuales estándar. NO vendemos, alquilamos ni cedemos tus datos a terceros con fines comerciales.
7. Medidas de seguridad
Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:
- Cifrado TLS 1.3 en todas las comunicaciones (HTTPS forzado, HSTS preload)
- Contraseñas hasheadas con Argon2id (no reversibles)
- Tokens JWT con refresh rotation y revocación de familia ante reuso sospechoso
- Base de datos con cifrado en reposo y backups encriptados
- Roles segregados en Postgres (sin uso de superuser en runtime)
- Auditoría de logs y monitoreo de accesos sospechosos
- Política de acceso mínimo necesario (least privilege)
- Tests de penetración y revisiones de seguridad periódicas
Si detectamos una violación de seguridad que afecte tus datos personales, te notificaremos en un plazo no mayor a 72 horas.
8. Tus derechos (ARCO)
Bajo la Ley 172-13 tienes derecho a:
- Acceso: consultar qué datos tuyos tenemos.
- Rectificación: pedir corrección de datos inexactos o desactualizados.
- Cancelación / supresión: solicitar la eliminación de tus datos (sujeto a obligaciones legales de conservación, especialmente facturación).
- Oposición: oponerte a tratamientos específicos (ej. marketing).
- Portabilidad: recibir tus datos en formato JSON estructurado para transferirlos a otro responsable.
- Limitación: pedir que limitemos el tratamiento en ciertos casos.
- No ser sujeto a decisiones automatizadas que produzcan efectos jurídicos significativos sin intervención humana.
Para ejercer cualquiera de estos derechos, escríbenos a [email protected]. Responderemos dentro de los 10 días hábiles que establece la Ley 172-13. Si no estás conforme con nuestra respuesta, puedes acudir a la autoridad de control competente.
9. Cookies y rastreo
Usamos cookies estrictamente necesarias para autenticación (cookie HttpOnly + Secure + SameSite=Lax con el refresh token) y un conjunto reducido de cookies analíticas. Más detalle en nuestra Política de Cookies.
10. Menores de edad
LicitaRD es un servicio B2B dirigido exclusivamente a empresas y profesionales. No recolectamos datos de personas menores de 18 años conscientemente. Si descubrimos que recolectamos datos de un menor sin autorización, los eliminaremos de inmediato.
11. Cambios a esta política
Podremos actualizar esta Política de Privacidad para reflejar cambios legales, técnicos o de negocio. Cualquier modificación material será comunicada con al menos 30 días de anticipación vía email y aviso destacado en la plataforma.
12. Contacto del responsable de protección de datos
Para cualquier pregunta, ejercicio de derechos o reclamo:
Email: [email protected]
DMARC reportes: [email protected]
Ubicación: Santo Domingo, República Dominicana