Politica de Privacidad

1. Introduccion e Identificacion del Controlador

ChatSense ("nosotros", "nuestro" o "Plataforma") es una plataforma omnicanal de atencion al cliente y CRM conversacional que integra canales como WhatsApp, Instagram, Messenger, Telegram, TikTok y Email, con recursos de inteligencia artificial, automatizaciones y gestion de relaciones.

Esta Politica de Privacidad describe como recopilamos, usamos, almacenamos, compartimos y protegemos los datos personales tratados en nuestra plataforma, en conformidad con la Ley General de Proteccion de Datos de Brasil (Ley n. 13.709/2018 — LGPD), el Reglamento General de Proteccion de Datos de la Union Europea (GDPR), la California Consumer Privacy Act (CCPA/CPRA) y demas legislaciones aplicables.

Controlador de Datos

Omega Capital Holding Gestao e Participacoes Empresariais Ltda
CNPJ: 58.557.020/0001-48
Direccion: Sao Paulo, SP, Brasil

En relacion con los datos de los usuarios administrativos (miembros del equipo, gestores), Omega Capital Holding actua como Controlador conforme a la LGPD y Data Controller conforme al GDPR.

En relacion con los datos de clientes finales (contactos, consumidores) que son ingresados, recibidos o tratados por nuestros clientes a traves de la Plataforma, Omega Capital Holding actua como Operador (LGPD) / Data Processor (GDPR), siendo el cliente de la Plataforma el Controlador de dichos datos.

Encargado de Proteccion de Datos (DPO)

Correo electronico: privacidade@chatsense.app

2. Definiciones

A los efectos de esta Politica, se aplican las siguientes definiciones, en conformidad con el articulo 5 de la LGPD y los articulos 4 y 9 del GDPR:

• Dato Personal — cualquier informacion relacionada con una persona natural identificada o identificable (LGPD art. 5, I / GDPR art. 4(1)).
• Dato Personal Sensible — dato personal sobre origen racial o etnico, conviccion religiosa, opinion politica, afiliacion sindical, dato referente a la salud, vida sexual, dato genetico o biometrico, cuando este vinculado a una persona natural (LGPD art. 5, II / GDPR art. 9).
• Titular — persona natural a la que se refieren los datos personales objeto de tratamiento (LGPD art. 5, V / GDPR: "Data Subject").
• Controlador — persona natural o juridica a quien competen las decisiones referentes al tratamiento de datos personales (LGPD art. 5, VI / GDPR: "Data Controller").
• Operador — persona natural o juridica que realiza el tratamiento de datos personales en nombre del Controlador (LGPD art. 5, VII / GDPR: "Data Processor").
• Tratamiento — toda operacion realizada con datos personales, incluyendo recopilacion, produccion, recepcion, clasificacion, utilizacion, acceso, reproduccion, transmision, distribucion, procesamiento, archivamiento, almacenamiento, eliminacion, evaluacion, control, modificacion, comunicacion, transferencia, difusion o extraccion (LGPD art. 5, X / GDPR: "Processing").
• Consentimiento — manifestacion libre, informada e inequivoca por la cual el titular acepta el tratamiento de sus datos personales para una finalidad determinada (LGPD art. 5, XII / GDPR art. 4(11)).
• ANPD — Autoridad Nacional de Proteccion de Datos de Brasil, organo de la administracion publica responsable de velar, implementar y fiscalizar el cumplimiento de la LGPD (LGPD art. 5, XIX).
• Sub-procesador — tercero contratado por el Operador para realizar actividades especificas de tratamiento de datos personales en nombre del Controlador (GDPR: "Sub-processor").

3. Datos Recopilados

3.1 Datos de Registro (Usuarios Administrativos)

• Nombre completo, direccion de correo electronico y telefono
• Contrasena (almacenada como hash Argon2id — nunca en texto plano)
• Avatar/foto de perfil
• Rol (role) y permisos en la organizacion
• Configuracion de preferencias (idioma, tema, notificaciones)

3.2 Datos de Contactos / Clientes Finales

• Nombre, telefono y direccion de correo electronico
• Contenido de mensajes intercambiados a traves de los canales integrados
• Medios enviados o recibidos (imagenes, audios, videos, documentos)
• Datos de ubicacion (cuando son compartidos voluntariamente por el contacto)
• Campos de CRM: empresa (company), cargo (job_title), documento (CPF/CNPJ), fecha de nacimiento (birth_date)
• Tags, notas y campos personalizados asignados por el operador

3.3 Datos de Conversaciones

• Contenido textual y de medios de los mensajes
• Plataforma de origen (WhatsApp, Instagram, Messenger, Telegram, TikTok, Email, Widget)
• Timestamps (fecha y hora de envio, entrega y lectura)
• Agente asignado y estado del bot (activo, pausado, handoff)
• Evaluaciones CSAT y datos de encuestas de satisfaccion
• Clasificacion de sentimiento y tags automaticas (generadas por IA)

3.4 Datos de Medios

• Imagenes, audios, videos y documentos enviados/recibidos en las conversaciones
• Almacenamiento en object storage compatible con S3 (MinIO self-hosted)
• Metadatos de medios (tipo MIME, tamano, dimensiones)

3.5 Datos de CRM

• Empresas: nombre, documento (CNPJ/CPF), direccion, telefono, sitio web
• Negocios (Deals): titulo, valor, etapa, fecha de cierre
• Actividades de negocios: notas, llamadas, reuniones, correos electronicos, tareas

3.6 Datos de Campanas

• Lista de destinatarios y segmentacion
• Estado de entrega (enviado, entregado, leido, fallido)
• Registros de opt-out y cancelacion de suscripcion

3.7 Datos de Navegacion (Visitantes del Widget)

• Direccion IP (anonimizada despues del procesamiento)
• User-agent del navegador
• URL de referencia (referrer)
• Identificador de sesion del widget

3.8 Datos del Marketplace

• Aplicaciones instaladas y sus configuraciones
• Datos de integracion con aplicaciones de terceros

3.9 Datos de Pago

• Procesados integramente por los proveedores Asaas (Brasil) y Stripe (internacional)
• No almacenamos numeros de tarjeta de credito, CVV ni datos completos de pago
• Retenemos unicamente: identificador de la suscripcion, plan contratado, estado del pago e historial de facturas

4. Bases Legales para el Tratamiento

Cada categoria de dato personal es tratada con base en una o mas hipotesis legales previstas en el articulo 7 de la LGPD y el articulo 6(1) del GDPR:

4.1 Ejecucion de Contrato (LGPD art. 7, V / GDPR art. 6(1)(b))

• Datos de registro y cuenta — necesarios para la creacion y mantenimiento de la cuenta
• Datos de conversaciones y mensajes — necesarios para la prestacion del servicio de atencion
• Datos de CRM — necesarios para la gestion de la relacion con los clientes
• Datos de canales — necesarios para la integracion y operacion de los canales de comunicacion

4.2 Consentimiento (LGPD art. 7, I / GDPR art. 6(1)(a))

• Envio de comunicaciones de marketing y campanas
• Uso de cookies no esenciales (cuando corresponda)
• Procesamiento de datos de clientes finales en campanas salientes

4.3 Interes Legitimo (LGPD art. 7, IX / GDPR art. 6(1)(f))

• Analisis agregados y anonimos para la mejora del servicio
• Deteccion y prevencion de fraudes y abusos
• Seguridad de la plataforma y proteccion contra amenazas
• Generacion de reportes de desempeno operacional

4.4 Obligacion Legal (LGPD art. 7, II / GDPR art. 6(1)(c))

• Registros fiscales y de facturacion — retencion obligatoria de 5 anos
• Registros de auditoria — conformidad con el Marco Civil da Internet
• Atencion a requerimientos judiciales y de autoridades competentes

5. Finalidad del Uso de los Datos

Utilizamos los datos personales recopilados exclusivamente para las siguientes finalidades:

• Prestacion del servicio — operar la plataforma de atencion, incluyendo envio y recepcion de mensajes, gestion de conversaciones y enrutamiento a agentes
• Procesamiento por IA — generar respuestas automatizadas, clasificar mensajes, analizar sentimientos y proporcionar sugerencias de respuesta (detallado en la Seccion 6)
• Analisis y reportes — producir metricas de desempeno, reportes de atencion y analisis de satisfaccion de forma agregada y anonima
• Seguridad — autenticacion de usuarios, verificacion de identidad, proteccion contra acceso no autorizado y deteccion de anomalias
• Prevencion de fraudes — monitoreo de actividades sospechosas, rate limiting y control de abuso
• Conformidad legal — cumplimiento de obligaciones regulatorias, fiscales y de auditoria
• Soporte al cliente — atencion a solicitudes, resolucion de problemas tecnicos y comunicacion operacional
• Mejora continua — perfeccionamiento de funcionalidades con base en datos agregados y anonimos

No vendemos, alquilamos ni comercializamos datos personales para ninguno fin.

6. Procesamiento por Inteligencia Artificial

ChatSense utiliza modelos de inteligencia artificial para mejorar la atencion al cliente. Esta seccion describe de forma transparente como los datos son procesados por sistemas de IA.

6.1 Datos Enviados a Proveedores de LLM

Para generar respuestas automatizadas y asistir a agentes humanos, los siguientes datos pueden ser enviados a proveedores de modelos de lenguaje (Google Gemini, OpenAI):

• Historial de mensajes de la conversacion en curso
• Contenido de la base de conocimiento relevante (chunks de RAG)
• Prompts de sistema configurados por el administrador (instrucciones del agente de IA)

6.2 Uso Exclusivo para Inferencia

Los datos enviados a los proveedores de IA son utilizados exclusivamente para inferencia (generacion de respuestas) y NO son utilizados para el entrenamiento de los modelos de lenguaje. Los contratos con Google y OpenAI garantizan que los datos enviados a traves de la API no son utilizados para mejorar ni entrenar sus modelos.

6.3 Embeddings y Busqueda Vectorial

Los embeddings (vectores numericos) generados a partir de documentos de la base de conocimiento son almacenados localmente en nuestra base de datos PostgreSQL con la extension pgvector. Los embeddings no se comparten con terceros despues de su generacion.

6.4 Decisiones Automatizadas

ChatSense puede tomar las siguientes decisiones de forma automatizada:

• Analisis de sentimiento — clasificacion del tono del mensaje (positivo, neutro, negativo)
• Auto-tagging — asignacion automatica de tags basada en el contenido de la conversacion
• Clasificacion de prioridad — determinacion de la urgencia de la atencion
• Enrutamiento inteligente — direccionamiento de la conversacion al agente o equipo mas adecuado

En conformidad con el articulo 20 de la LGPD y el articulo 22 del GDPR, el titular tiene derecho a solicitar la revision humana de decisiones tomadas exclusivamente con base en tratamiento automatizado que afecten sus intereses, incluyendo decisiones destinadas a definir su perfil personal, profesional, de consumo o de credito.

6.5 Contexto RAG (Retrieval-Augmented Generation)

Cuando el agente de IA responde a un mensaje, fragmentos relevantes de la base de conocimiento (knowledge base) son recuperados mediante busqueda vectorial e inyectados en el prompt enviado al modelo. Solo los fragmentos relevantes son compartidos — no la base completa.

6.6 Transcripcion de Audio (STT)

Los archivos de audio recibidos en las conversaciones pueden ser enviados a los servicios de transcripcion de Google o OpenAI para su conversion a texto. El audio es procesado exclusivamente con fines de transcripcion y no es retenido por los proveedores despues del procesamiento.

6.7 Analisis de Imagenes

Las imagenes recibidas en las conversaciones pueden ser enviadas a Google Vision API exclusivamente para la generacion de una descripcion textual del contenido, permitiendo que el agente de IA comprenda el contexto visual. Las imagenes no son retenidas por el proveedor despues del procesamiento.

7. Comparticion de Datos

Compartimos datos personales unicamente con los sub-procesadores estrictamente necesarios para la operacion del servicio, conforme se detalla a continuacion:

7.1 Sub-procesadores

• Google Cloud (Gemini API) — inferencia de IA, generacion de respuestas, transcripcion de audio y analisis de imagenes
• OpenAI — generacion de embeddings para busqueda vectorial en la base de conocimiento
• Meta Platforms — entrega de mensajes a traves de WhatsApp Business API, Instagram Direct y Facebook Messenger
• Telegram — entrega de mensajes a traves de Telegram Bot API
• TikTok — entrega de mensajes a traves de TikTok Business API
• Stripe — procesamiento de pagos internacionales (tarjeta de credito)
• Asaas — procesamiento de pagos en Brasil (PIX, boleto bancario, tarjeta de credito)
• MinIO / S3 — almacenamiento de objetos (medios) en infraestructura self-hosted
• Servidores SMTP del cliente — entrega de correos electronicos cuando el canal de email es configurado por el propio cliente
• Endpoints de webhook del cliente — envio de datos a URLs configuradas por el cliente en acciones de automatizacion

7.2 Compromiso de No Comercializacion

No vendemos, alquilamos, intercambiamos ni comercializamos datos personales con terceros para ningun fin, incluyendo marketing, publicidad o perfilamiento comportamental.

8. Transferencia Internacional de Datos

Debido al uso de sub-procesadores internacionales, los datos personales pueden ser transferidos a paises fuera de Brasil y del Espacio Economico Europeo (EEE), particularmente a los Estados Unidos (Google, OpenAI, Meta, Stripe).

Estas transferencias se realizan con las siguientes salvaguardas:

• Clausulas Contractuales Estandar (SCCs) — conforme aprobadas por la Comision Europea y reconocidas por la ANPD, garantizando un nivel adecuado de proteccion
• Decisiones de adecuacion — cuando el pais de destino cuenta con una decision de adecuacion reconocida por la autoridad competente
• Terminos contractuales especificos — contratos con sub-procesadores incluyen obligaciones de proteccion de datos equivalentes a las previstas en la LGPD y el GDPR
• Data Processing Agreements (DPAs) — acuerdos de procesamiento de datos celebrados con todos los sub-procesadores relevantes

Las transferencias internacionales observan lo dispuesto en el articulo 33 de la LGPD y en el Capitulo V (articulos 44 a 49) del GDPR.

9. Almacenamiento y Seguridad

Adoptamos medidas tecnicas y organizacionales robustas para proteger los datos personales contra acceso no autorizado, perdida, alteracion o destruccion:

9.1 Cifrado

• En reposo — tokens de canales, credenciales y secretos cifrados con AES-256-GCM
• Contrasenas — hash Argon2id con salt unico por usuario (nunca almacenadas en texto plano)
• En transito — TLS 1.2/1.3 obligatorio para todas las comunicaciones, con soporte para HTTP/3 (QUIC)

9.2 Aislamiento Multi-tenant

• Row-Level Security (RLS) — aislamiento a nivel de base de datos PostgreSQL, garantizando que cada organizacion acceda exclusivamente a sus datos
• Cada consulta a la base de datos esta contextualizada con el identificador de la organizacion

9.3 Autenticacion y Control de Acceso

• Autenticacion mediante JWT con tokens de corta duracion + refresh tokens
• Soporte para autenticacion de dos factores (MFA/TOTP)
• Control de acceso basado en roles (RBAC) con permisos granulares
• Single Sign-On (SSO) a traves de OIDC para organizaciones enterprise

9.4 Proteccion de Infraestructura

• Proteccion SSRF — bloqueo de solicitudes a rangos de IP privadas (RFC 1918, loopback, ULA) en webhooks y automatizaciones
• Rate limiting — control de tasa de solicitudes por IP y por cuenta
• Registros de auditoria completos — todas las acciones registradas con IP, user-agent y timestamp
• DragonflyDB para cache y sesiones — sin datos personales persistentes
• Infraestructura Kubernetes con Envoy Gateway, HSTS y headers CSP
• Verificacion HMAC-SHA256 en webhooks inbound para garantizar autenticidad

10. Retencion de Datos

Los datos personales son retenidos por el periodo estrictamente necesario para las finalidades descritas en esta Politica, observando los siguientes plazos:

• Mensajes y conversaciones — mantenidos durante la vigencia de la cuenta, mas 30 dias despues de la eliminacion de la cuenta para posibilitar la recuperacion
• Medios (imagenes, audios, videos, documentos) — periodo configurable por organizacion (parametro media_retention_days); por defecto: retencion por tiempo indefinido durante la vigencia de la cuenta
• Registros de auditoria — 12 meses, en conformidad con el Marco Civil da Internet
• Datos de facturacion y fiscales — 5 anos, conforme obligacion legal tributaria
• Datos de cuenta — 30 dias despues de la solicitud de eliminacion de la cuenta
• Datos originados de Meta — hasta 90 dias despues de la desconexion del canal, segun los requisitos de la Plataforma Meta
• Respaldos — rotacion automatica cada 30 dias

Despues de los plazos de retencion, los datos son eliminados de forma segura e irreversible, incluyendo respaldos que contengan dichos datos dentro del ciclo de rotacion.

11. Derechos de los Titulares

Respetamos los derechos de los titulares de datos personales conforme lo previsto en las legislaciones aplicables. A continuacion detallamos los derechos por jurisdiccion:

11.1 LGPD (Ley n. 13.709/2018 — art. 18)

• Confirmacion — confirmar la existencia de tratamiento de sus datos
• Acceso — obtener copia de los datos personales que tratamos
• Correccion — solicitar la correccion de datos incompletos, inexactos o desactualizados
• Anonimizacion, bloqueo o eliminacion — de datos innecesarios, excesivos o tratados en disconformidad
• Portabilidad — recibir sus datos en formato estructurado e interoperable
• Eliminacion — solicitar la exclusion de datos tratados con base en el consentimiento
• Informacion sobre comparticion — conocer con cuales entidades sus datos son compartidos
• Informacion sobre no consentimiento — ser informado sobre las consecuencias de no otorgar consentimiento
• Revocacion del consentimiento — retirar el consentimiento en cualquier momento, sin comprometer el tratamiento realizado anteriormente

11.2 GDPR (Reglamento UE 2016/679 — arts. 15 a 22)

• Right of access (art. 15) — obtener confirmacion y copia de los datos personales tratados
• Right to rectification (art. 16) — correccion de datos inexactos
• Right to erasure (art. 17) — eliminacion de datos ("derecho al olvido")
• Right to restriction (art. 18) — restriccion del tratamiento en determinadas circunstancias
• Right to data portability (art. 20) — recibir datos en formato legible por maquina
• Right to object (art. 21) — oponerse al tratamiento basado en interes legitimo
• Rights related to automated decision-making (art. 22) — no ser sometido a decisiones exclusivamente automatizadas con efectos significativos, y solicitar revision humana

11.3 CCPA/CPRA (California, EE.UU.)

• Right to know — conocer cuales datos personales son recopilados, usados y compartidos
• Right to delete — solicitar la eliminacion de datos personales
• Right to opt-out of sale — nosotros NO vendemos datos personales; este derecho se satisface automaticamente
• Right to non-discrimination — no sufrir discriminacion por ejercer derechos de privacidad
• Right to limit use of sensitive data — limitar el uso y la divulgacion de datos personales sensibles

11.4 Como Ejercer sus Derechos

• Correo electronico — envie su solicitud a privacidade@chatsense.app
• Configuracion de la plataforma — utilice las opciones de privacidad disponibles en la configuracion de su cuenta
• API — endpoints dedicados para exportacion (/contacts/:id/gdpr-export) y eliminacion (/contacts/:id/gdpr-erase) de datos de contactos

11.5 Plazos de Respuesta

• LGPD — hasta 15 dias habiles a partir de la confirmacion de identidad del titular
• GDPR — hasta 30 dias corridos, prorrogables por 60 dias mas en casos complejos
• CCPA/CPRA — hasta 45 dias corridos, prorrogables por 45 dias mas mediante notificacion

12. Cookies y Tecnologias de Rastreo

Utilizamos exclusivamente cookies estrictamente necesarias para el funcionamiento de la plataforma:

• Cookie de sesion JWT — autenticacion del usuario en la plataforma (expiracion segun la configuracion de sesion)
• Preferencia de tema — almacenamiento local de la eleccion de tema claro/oscuro
• Sesion del widget — identificacion del visitante en sesiones del chat widget integrable (cookie de primera parte)

No utilizamos cookies de rastreo, analytics, publicidad ni de terceros. No participamos en redes de publicidad comportamental y no realizamos cross-site tracking.

Para informacion detallada sobre cookies especificas, consulte nuestra Politica de Cookies disponible en la plataforma.

13. Menores de Edad

ChatSense es una plataforma B2B destinada a empresas y profesionales. Nuestros servicios no estan dirigidos a menores de 18 anos.

No recopilamos intencionalmente datos personales de ninos o adolescentes. En conformidad con el articulo 14 de la LGPD, en caso de que identifiquemos que datos de menores fueron recopilados sin el consentimiento especifico de uno de los padres o responsable legal, procederemos a la eliminacion inmediata de dichos datos.

En relacion con el COPPA (Children's Online Privacy Protection Act — EE.UU.), no recopilamos intencionalmente informacion personal de ninos menores de 13 anos. Si usted considera que datos de un menor fueron proporcionados a nuestra plataforma, comuniquese inmediatamente por correo electronico a privacidade@chatsense.app.

14. Modificaciones a la Politica

Esta Politica de Privacidad puede ser actualizada periodicamente para reflejar cambios en nuestras practicas, servicios o exigencias legales.

En caso de modificaciones sustanciales, nos comprometemos a:

• Notificar con 15 dias de anticipacion antes de la entrada en vigor de las modificaciones
• Enviar comunicacion por correo electronico a los administradores de todas las organizaciones activas
• Mostrar un banner informativo dentro de la plataforma durante el periodo de transicion
• Mantener el historial de versiones de esta Politica accesible a los titulares

El uso continuado de la plataforma despues del periodo de notificacion constituye la aceptacion de las modificaciones. En caso de desacuerdo con las modificaciones, usted podra solicitar la eliminacion de su cuenta y datos antes de la entrada en vigor de la nueva version.

15. Contacto y Encargado (DPO)

Para dudas, solicitudes de ejercicio de derechos o reclamaciones relacionadas con el tratamiento de datos personales, comuniquese con:

Omega Capital Holding Gestao e Participacoes Empresariais Ltda
CNPJ: 58.557.020/0001-48
Direccion: Sao Paulo, SP, Brasil

Encargado de Proteccion de Datos (DPO)
Correo electronico: privacidade@chatsense.app

En caso de que considere que el tratamiento de sus datos personales viola la legislacion aplicable, usted tiene el derecho de presentar una reclamacion ante la autoridad de proteccion de datos competente:

• Brasil — Autoridad Nacional de Proteccion de Datos (ANPD): www.gov.br/anpd
• Union Europea — Autoridad supervisora del Estado miembro donde reside el titular
• California (EE.UU.) — California Privacy Protection Agency (CPPA)

16. Addenda Jurisdiccional

Los siguientes complementos se aplican segun la jurisdiccion del titular de datos:

16.1 CCPA/CPRA — California Consumer Privacy Act

Para residentes del estado de California (EE.UU.), informamos adicionalmente:

• Categorias de informacion personal recopilada: identificadores (nombre, correo electronico, telefono), datos comerciales (historial de transacciones), actividad en internet (registros de acceso, interacciones con la plataforma), datos profesionales (cargo, empresa)
• Finalidades de recopilacion: prestacion del servicio, seguridad, conformidad legal, mejora del servicio (conforme detallado en la Seccion 5)
• Venta o comparticion: NO vendemos ni compartimos informacion personal para publicidad comportamental entre contextos (cross-context behavioral advertising)
• Derechos del consumidor: derecho a conocer, eliminar, corregir, opt-out de venta (no aplicable — no vendemos datos) y no discriminacion
• Metodos de solicitud: correo electronico a privacidade@chatsense.app o a traves de la configuracion de la plataforma

16.2 GDPR — Reglamento General de Proteccion de Datos

Para titulares de datos en el Espacio Economico Europeo (EEE), Reino Unido y Suiza:

• Bases legales por actividad de tratamiento: conforme el mapeo detallado en la Seccion 4 de esta Politica
• Transferencias a paises terceros: los datos pueden ser transferidos a los EE.UU. (Google, OpenAI, Meta, Stripe) con base en Clausulas Contractuales Estandar (SCCs) y medidas complementarias adecuadas
• Designacion del DPO: el Encargado de Proteccion de Datos puede ser contactado en privacidade@chatsense.app
• Autoridad supervisora: los titulares tienen el derecho de presentar una reclamacion ante la autoridad de proteccion de datos del Estado miembro donde residen, trabajan o donde ocurrio la presunta infraccion
• Data Protection Impact Assessment (DPIA): realizamos DPIAs para actividades de tratamiento de alto riesgo, incluyendo procesamiento por IA y decisiones automatizadas

16.3 APPI — Act on the Protection of Personal Information (Japon)

Para titulares de datos en Japon:

• Operador de negocios que trata informacion personal: Omega Capital Holding Gestao e Participacoes Empresariais Ltda actua como Handling Business Operator conforme a la APPI
• Notificacion de finalidad de uso: las finalidades de uso de los datos personales estan descritas en la Seccion 5 de esta Politica, y el titular sera notificado de cualquier modificacion
• Transferencias transfronterizas: los datos personales pueden ser transferidos a paises fuera de Japon (Brasil, EE.UU.). Estas transferencias se realizan con base en acuerdos contractuales que garantizan un nivel equivalente de proteccion, conforme lo exigido por la APPI y las orientaciones de la PPC (Personal Information Protection Commission)
• Derechos del titular: derecho a solicitar divulgacion, correccion, suspension de uso y eliminacion de datos retenidos, conforme lo previsto en la APPI