Política de Privacidad

Fecha de entrada en vigor: 25/04/2025

1) Responsable, alcance y marco contractual

EFY TECHNOLOGIES, S.A. DE C.V. en adelante “EFY” es responsable del tratamiento de datos personales recabados a través de la plataforma EFY Esta Política complementa y se integra a los TyC.

Cuando abandones el dominio de EFY (p. ej., CORECREDIT en Panamá, CORESOFT en Colombia, Zenus Bank en Puerto Rico, custodios y proveedores de liquidez), esos terceros actúan como responsables independientes bajo sus propias políticas. (Véase tabla y §8-§11).

2) Principios de tratamiento y fundamentos normativos

Aplicamos licitud, lealtad, transparencia, minimización, limitación de finalidad, exactitud, integridad/confidencialidad y responsabilidad proactiva (accountability). En la UE/EEE, cumplimos la información exigida por GDPR art. 13/14; fuera de la UE adaptamos derechos equivalentes (CPRA/CCPA, LGPD, etc.).

Base legal (marcos principales):

Ejecución de contrato (prestación de servicios de plataforma)
Obligación legal (KYC/AML, sanciones, Travel Rule/TFR)
Interés legítimo (seguridad, prevención de fraude, calidad)
Consentimiento (marketing, cookies no esenciales)

3) Qué datos tratamos (categorías)

Categoría
Ejemplos
Origen
Identificación y verificación
Nombre, nacionalidad, documento, biometría (cuando aplique), selfie/video-KYC
Directo; proveedores KYC
Contacto
Email, teléfono, dirección (cuando aplique)
Directo
Perfil/eligibilidad
Idoneidad, estado de inversionista, formularios de DD
Directo
Transaccional
Depósitos/retiros en rampa, métodos de pago, referencias
Directo; PSP
On-chain
Direcciones, hashes, red, timestamps
Blockchains públicas
Técnico-digital
IP, device ID, logs, cookies, métricas de uso
Navegación
Riesgo/compliance
Screening sanciones/PEP, risk score, señales antifraude
Proveedores de riesgo

Minimizamos datos y restringimos uso a finalidades declaradas; proveemos información clara al momento de la recolección conforme GDPR art. 13.

4) Para qué los usamos (finalidades ↔ bases legales)

Finalidad
Base legal
Detalle
Apertura y operación de cuenta; Wallet; Ramps; RFQ
Contrato
Provisión de servicios núcleo
KYC/AML, sanciones, Travel Rule
Ley
Licenciamiento/registro VASP y TFR (UE2023/1113)
Seguridad y prevención de fraude
Interés legítimo
Señales de riesgo, device fingerprinting
Soporte y atención
Contrato/Interés legítimo
Tickets, auditoría de calidad
Marketing/Comunicaciones
Consentimiento
Opt-in; derecho a revocar
Analítica de producto
Interéslegítimo/Consentimiento
Cookies analíticas; medición

Travel Rule y TFR (UE): obtenemos, conservamos y transmitimos información del originador y beneficiario cuando aplica, conforme FATF Rec. 16 y Reg. (UE) 2023/1113.

5) Tabla de flujos de datos y terceros (alto nivel)

Módulo/Flujo
Tercero involucrado
Rol de EFY
Rol del tercero
Dominio/política aplicable
CORECREDIT (Panamá) inversión
CORECREDIT S.A.
Enlace/Referidor
Responsable
Política CORECRED IT
CORESOFT (Colombia) factoring/confirming
CORESOFT S.A.
Enlace/Referidor
Responsable
Política CORESOFT
Zenus Bank (PR) cuentas fíat
Zenus Bank
Project manager/Interme diario de producto
Responsable
Política del banco
Custodia (si aplica)
Custodio externo
Interfaz
Encargado/Responsable según contrato
Política del custodio
PSPs / Ramps
Pasarelas pago
Integrador
Encargado/Responsable
Política PSP
RFQ
Proveedores de liquidez
Enrutador de solicitudes
Contraparte/liquidador
Políticas de LP

Nota: EFY no capta depósitos bancarios ni asume rol de entidad financiera salvo lo permitido por su licencia específica; los servicios de terceros se rigen por sus términos. (Ver TyC, Cláusula 6.X).

6) Cookies y tecnologías similares

Clasificamos cookies en esenciales, funcionales y analíticas/publicitarias (éstas últimas sólo con consentimiento). Ofrecemos panel de preferencias y opciones de opt-out.

7) Derechos de los titulares y procedimiento (SLA)

Derechos (varían por jurisdicción): acceso, rectificación, supresión (cuando aplique), oposición, restricción, portabilidad, revocación de consentimiento e impugnación de decisiones automatizadas.

Procedimiento estándar (global):

Paso
Acción
Responsable
SLA objetivo
1
Recepción de solicitud (canal privacidad/DPO)
EFY
D+0
2
Verificación de identidad (KBA/KYC light)
EFY
D+2
3
Política COREEvaluación de aplicabilidad legalSOFT
DPO/Legal
D+7
4
Recolección y preparación de respuesta
Data Ops/IT
D+20
5
Entrega y cierre
DPO
D+30 (GDPR); hasta 45 días (CPRA)

Cuando la respuesta implique datos manejados por terceros responsables (p. ej., Zenus Bank, CORECREDIT, CORESOFT), te redirigiremos a sus canales.

8) Transferencias internacionales y mecanismos de garantía

Podemos transferir datos a proveedores en múltiples países. Aplicamos SCCs (cláusulas contractuales tipo), medidas complementarias (cifrado, control de acceso) y, cuando corresponda, adherencia al EU-US Data Privacy Framework para receptores certificados.

9) Seguridad (controles y gobierno)

Controles técnicos y organizativos: cifrado en tránsito/rep., segregación de entornos, gestión de identidades/roles, hardening e infra as code, pruebas de seguridad, monitoring, SIEM, zero trust progresivo y retención limitada de logs. “Privacy by design & by default”. (Buenas prácticas reflejadas en portales de privacidad líderes del sector).

10) Conservación y data minimization

Tipo de dato
Plazo base
Fundamento
KYC/AML
5–10 años según normativa local
Obligación legal
Registros transaccionales (on/off-ramp)
5–10 años
Fiscal/compliance
Tickets de soporte
2 años
Defensa de reclamaciones
Logs técnicos
6–18 meses
Seguridad/diagnóstico
Marketing
Hasta revocación
Consentimiento

Los plazos pueden ajustarse por exigencias regulatorias o defensas legales.

11) Decisiones automatizadas y perfilado

Modelos/heurísticas para fraude, abuso de promociones, elusión de geobloqueos y riesgo transaccional on-chain. Si una decisión te afecta significativamente, podrás solicitar revisión humana, expresar tu punto de vista e impugnar (alineado a marcos como GDPR/CPRA).

12) Particularidades por jurisdicción (resumen operativo)

UE/EEE y MiCA/TFR: para VASPs y emisores relevantes, cumplimos MiCA (Reg. 2023/1114) e información de transferencias de criptoactivos (Reg. 2023/1113).
Estándares FATF: Travel Rule y supervisión/licenciamiento de VASPs conforme FATF (y actualización 2025).
• California (CPRA/CCPA): periodos de respuesta, categorías y derechos expandidos (opt-out de venta/compartición, limit use of sensitive PI).
• El Salvador: servicios cripto ajustados a la normativa vigente (incl. Ley Bitcoin, según corresponda).
• Puerto Rico (Zenus Bank): el banco es responsable del tratamiento en sus productos; EFY funge sólo como intermediario de producto, sin captar depósitos ni crear relación banco-cliente. (Ver TyC 6.X).
• Panamá/Colombia: para productos ofrecidos por CORECREDIT/CORESOFT, las políticas de dichos terceros prevalecen en su dominio.

13) Incidentes y notificación de brechas (procedimiento)

Paso
Descripción
Tiempo objetivo
Detección
Alertas SIEM/IDS, reporte interno o de tercero
Inmediato
Contención
Aislamiento de sistemas/credenciales; kill-switch de integraciones
< 4 h
Evaluación
Alcance, categorías de datos, población afectada, jurisdicciones
< 24 h
Notificación
Autoridad/usuarios según umbral legal (GDPR/otras)
Según ley (p. ej., 72 h GDPR)
Remediación
Parches, rotación secretos, forensics, post-mortem
< 14 días
Mejora
Lecciones aprendidas, endurecimiento y monitoreo
Continuo

14) Menores de edad

Los servicios no están dirigidos a menores. Si crees que un menor aportó datos, contáctanos para gestionar su supresión conforme ley.

15) Marketing y preferencias

Enviamos comunicaciones de marketing sólo con tu consentimiento (o base legal aplicable). Puedes retirarlo en cualquier momento.

16) Canales de contacto (Responsable y DPO)

Responsable: EFY TECHNOLOGIES, S.A. DE C.V.
Correo DPO / Privacidad: supportsupport@efy.finance
Soporte: +57 310 2048554

ANEXOS

Anexo A — Mapa de datos y minimización (por módulo)

Módulo
Datos mínimos
Opcionales (consent.)
No recolectados
Wallet (nocustodial)
Email, logs técnicos
Teléfono (2FA)
Claves/semillas
Wallet (custodio externo)
KYC/AML, doc. identidad, risk flags
Datos perfilamiento
Semillas
EFYRamps
KYC, método pago, referencia bancaria
Geolocalización exacta
N/A
RFQ
Direcciones on-chain, montos, timestamps
Historial preferencia
N/A
Enlaces/terceros
Mínimos de navegación
Datos internos del tercero

Anexo B — Procedimiento de derechos (detalle operativo)

1. Recepción en canal DPO → 2) Validación identidad (KBA) → 3) Evaluación marco legal aplicable → 4) Extracción y revisión (seguridad/legales) → 5) Entrega segura (portal o cifrado) → 6) Archivo y registro de métricas.

Anexo C — Retención (matriz ampliada)

Dato
Plazo
Excepción
Identificación KYC
10 años máx. (si ley local lo exige)
Requerimientos superiores locales
Sanciones/PEP
Vigencia + 10 años
Litigios
On-chain metadata
5 años
Investigación de fraude
Crash logs/telemetría
6–12 meses
Incidentes críticos

Anexo D — Cookies (catálogo)

Tipo
Ejemplos
Control
Esenciales
Sesión, CSRF
Siempre activas
Funcionales
Idioma, recordatorios
Opt-in/out
Analíticas
Métricas de uso
Consentimiento
Publicitarias
Retargeting
Consentimiento

Anexo E — Puente con TyC (Cláusula 6.X)

• Enlaces a CORECREDIT/CORESOFT/Zenus Bank/custodios/LPs son externos; EFY no respalda ni garantiza sus tratamientos.
Wallet: en no-custodial, EFY no tiene acceso a claves; en custodial, rigen los términos del custodio.
RFQ: cotizaciones indicativas, sujetas a latencia y slippage; geo-restricciones (incluida Bolivia) aplican.
Asociación en Bolivia: sólo cubre operaciones expresamente descritas en la asociación; lo demás se rige por términos del banco asociado (prevalecen sobre comunicaciones generales de EFY).

Anexo F — Glosario

Datos personales: Cualquier información relativa a una persona identificada o identificable.
DPO: Data Protection Officer.
KYC/AML: Conoce a tu cliente / Antilavado de dinero.
PEP: Persona expuesta políticamente.
Travel Rule (FATF Rec. 16): Obligación de transmitir/retener datos de originador/beneficiario en transferencias de fondos y, bajo TFR, de criptoactivos.
MiCA: Reglamento de Mercados de Criptoactivos de la UE (2023/1114).
TFR: Reglamento (UE) 2023/1113 sobre información que acompaña las transferencias de fondos y criptoactivos.
DPF: Marco de Privacidad de Datos UE-EE. UU. (adecuación 2023).
SCCs: Cláusulas Contractuales Tipo para transferencias internacionales de datos (UE).
VASP: Virtual Asset Service Provider (FATF).

Anexo G — Cambios y control de versiones

Versión: 1.0
Fecha: 11.04.2025
Cambio clave: Publicación inicial
Responsable: DPO

EFY
EFY Card 
EFY Corporate
Acceso a Plataforma 
Ingresar a tu cuenta 
App Android
App iOS
Acceso Corporativo
Nosotros
Nuestra Historia 
Contáctanos
Email
WhatsApp
Legal y Regulación
Política de Privacidad 
Términos y Condiciones 
Política AML - KYC
© 2025 Efinti. All right Reserved
Powered by Efinti
EFY Technologies S.A. de C.V. es una sociedad anónima de capital variable, debidamente constituida y registrada en El Salvador. Autorizada por la Comisión Nacional de Activos Digitales (CNAD) como Proveedor de Servicios de Activos Digitales (Licencia PSAD-0042). Todos los servicios cumplen con las políticas de prevención de lavado de dinero, financiamiento al terrorismo y protección de datos aplicables.