01Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través de kbppay.es y de la aplicación de pagos es:
| Denominación social | KBPPAY tipo societario |
|---|---|
| NIF / CIF | B-XXXXXXXX |
| Domicilio | calle, número, CP, Madrid, España |
| Correo del DPO | dpo@kbppay.es |
| Registro Banco de España | nº autorización EDP |
Hemos designado un Delegado de Protección de Datos (DPO) con quien puedes contactar para cualquier consulta relacionada con tus datos personales.
02Categorías de datos tratados
En función del servicio utilizado, KBPPAY puede tratar las siguientes categorías de datos:
Datos identificativos
- Nombre y apellidos, fecha de nacimiento, nacionalidad.
- Número de documento de identidad (DNI, NIE, pasaporte) y, en su caso, imagen del mismo.
- Selfie / imagen facial para verificación biométrica de identidad (KYC).
- Dirección postal completa.
Datos de contacto
- Correo electrónico y número de teléfono móvil.
Datos económicos y de transacción
- IBAN o tarjeta bancaria utilizada para fondear las operaciones.
- Datos del beneficiario en Venezuela (nombre, documento, banco, cuenta).
- Histórico de operaciones, importe, divisa, fecha y estado.
- Origen de los fondos cuando sea legalmente exigible.
Datos de uso y conexión
- Dirección IP, identificador de dispositivo, sistema operativo, navegador.
- Registros de acceso, fecha y hora de cada sesión, geolocalización aproximada por IP.
- Interacciones con la web y la app (analítica de producto).
Datos para prevención del fraude y AML
- Resultados de comprobaciones contra listas de sanciones, PEP y bases de datos de fraude.
- Información declarada sobre origen de fondos y propósito de la operación.
- Indicadores de riesgo derivados de la monitorización transaccional.
03Finalidades del tratamiento
KBPPAY trata tus datos para las siguientes finalidades, todas ellas legítimas y proporcionadas:
- Prestación del servicio de pago. Abrir y gestionar tu cuenta, ejecutar las órdenes de envío de dinero y atender el servicio post-contratación.
- Verificación de identidad (KYC). Confirmar que eres quien dices ser y que cumples los requisitos de admisión al servicio.
- Prevención del blanqueo de capitales y financiación del terrorismo. Cumplir las obligaciones legales derivadas de la Ley 10/2010 y su normativa de desarrollo.
- Prevención del fraude. Detectar operaciones sospechosas, suplantaciones de identidad y uso indebido del servicio.
- Atención al cliente. Gestionar tus consultas, reclamaciones y solicitudes.
- Cumplimiento normativo y contable. Conservar los registros exigidos por la normativa fiscal, mercantil y de pagos.
- Mejora del servicio. Análisis estadísticos agregados y métricas de producto, con datos seudonimizados cuando sea posible.
- Comunicaciones comerciales. Envío de información sobre nuevos productos y promociones, sólo si has dado consentimiento expreso y revocable en cualquier momento.
04Bases jurídicas del tratamiento
Cada finalidad descansa sobre una base jurídica válida conforme al artículo 6 del RGPD:
| Prestación del servicio · KYC | Ejecución de un contrato (art. 6.1.b RGPD). |
|---|---|
| AML / prevención del blanqueo | Cumplimiento de obligación legal (art. 6.1.c RGPD) — Ley 10/2010. |
| Prevención del fraude | Interés legítimo del responsable y de los usuarios (art. 6.1.f RGPD). |
| Atención al cliente | Ejecución contractual y, en su caso, consentimiento del interesado. |
| Comunicaciones comerciales | Consentimiento expreso del interesado (art. 6.1.a RGPD), revocable en cualquier momento. |
| Conservación contable y fiscal | Cumplimiento de obligación legal (art. 6.1.c RGPD). |
| Analítica de producto | Interés legítimo o consentimiento, según la naturaleza del dato. |
05Plazos de conservación
Conservamos los datos sólo durante el tiempo necesario para cumplir las finalidades para las que fueron recabados y para atender las obligaciones legales aplicables:
- Datos de cuenta y operaciones: durante la vigencia de la relación contractual y, una vez extinguida, durante 10 años conforme al art. 25 de la Ley 10/2010 de prevención del blanqueo.
- Registros de KYC e identificación: 10 años desde la finalización de la relación de negocio.
- Datos contables y fiscales: mínimo 6 años (Código de Comercio) y los plazos exigidos por la normativa tributaria.
- Registros de comunicaciones y soporte: hasta 5 años desde la última interacción.
- Datos de marketing: hasta que retires el consentimiento.
- Cookies: según se detalla en la Política de cookies.
Transcurridos los plazos legales, los datos se suprimen o anonimizan irreversiblemente.
06Destinatarios y encargados del tratamiento
Para prestar el servicio, KBPPAY comparte tus datos —en la medida estrictamente necesaria— con los siguientes destinatarios:
- Banco de España y SEPBLAC y otras autoridades supervisoras o judiciales cuando exista obligación legal.
- Entidades bancarias colaboradoras en España y Venezuela para ejecutar el envío.
- Proveedores de KYC y comprobaciones AML (verificación documental, biometría facial, screening contra listas de sanciones y PEP). listado por contrato
- Proveedores de infraestructura (hosting cloud, comunicaciones, monitorización). listado
- Proveedores de soporte y CRM. listado
- Asesores externos (auditoría, fiscal, legal) bajo deber de confidencialidad.
Con todos los encargados de tratamiento se firma el correspondiente contrato de encargo del tratamiento (art. 28 RGPD) que regula sus obligaciones.
07Transferencias internacionales
El servicio implica, por su naturaleza, transferencia de datos entre España y Venezuela. Adicionalmente, algunos de nuestros proveedores tecnológicos pueden tratar datos en países fuera del Espacio Económico Europeo.
En esos casos, KBPPAY garantiza la legalidad de la transferencia mediante alguno de los mecanismos previstos en el RGPD:
- Decisión de adecuación de la Comisión Europea, cuando exista para el país de destino.
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea.
- Garantías adicionales técnicas y organizativas cuando sea necesario tras una evaluación de impacto de la transferencia (Transfer Impact Assessment).
- Consentimiento explícito del interesado, debidamente informado, en supuestos excepcionales.
Venezuela no cuenta con decisión de adecuación de la Comisión Europea. Las transferencias necesarias para ejecutar tu orden de pago se amparan en el art. 49.1.b del RGPD (ejecución del contrato a tu solicitud).
08Decisiones automatizadas y elaboración de perfiles
Para prevenir el fraude y cumplir las obligaciones AML, KBPPAY aplica reglas y modelos automatizados que pueden, en determinados supuestos, bloquear operaciones o solicitar verificaciones adicionales.
Cuando una decisión automatizada produzca efectos jurídicos significativos sobre ti, tienes derecho a:
- Solicitar intervención humana por parte de un agente de KBPPAY.
- Expresar tu punto de vista sobre la decisión.
- Impugnar la decisión.
Puedes ejercer estos derechos escribiendo a dpo@kbppay.es.
09Derechos del interesado
El RGPD te reconoce los siguientes derechos sobre tus datos personales:
- Acceso: obtener confirmación de si estamos tratando tus datos y, en su caso, una copia.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido"): eliminar tus datos cuando concurra alguno de los supuestos del art. 17 RGPD.
- Limitación del tratamiento: suspender el tratamiento mientras se verifica una incidencia.
- Portabilidad: recibir tus datos en formato estructurado y legible, o transmitirlos a otro responsable.
- Oposición: oponerte al tratamiento basado en interés legítimo o en marketing directo.
- Revocación del consentimiento en cualquier momento, sin efecto retroactivo.
- No ser objeto de decisiones automatizadas con efectos significativos (véase sección 8).
Para ejercer estos derechos puedes escribir a dpo@kbppay.es aportando copia de tu documento de identidad. Responderemos en el plazo máximo de un mes desde la recepción de la solicitud.
10Medidas de seguridad
KBPPAY aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD), entre otras:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Control de acceso por roles, autenticación reforzada (MFA) para el personal autorizado.
- Segregación de entornos y registros de auditoría inmutables.
- Procedimientos formales de gestión de incidentes y notificación a la autoridad de control en un máximo de 72 horas si hubiera violación que comporte riesgo para los derechos del usuario.
- Formación periódica del equipo en privacidad y seguridad.
- Evaluaciones de impacto (DPIA) cuando los tratamientos presenten un riesgo elevado.
- Auditorías externas periódicas. marco SOC2 / ISO 27001 según roadmap
11Menores de edad
El servicio de KBPPAY no está dirigido a menores de edad. Sólo aceptamos como usuarios a personas físicas mayores de 18 años con plena capacidad de obrar.
Si detectamos que se ha abierto una cuenta utilizando datos de un menor, procederemos a su cierre inmediato y a la supresión de los datos asociados, salvo obligación legal de conservación.
12Reclamación ante la AEPD
Sin perjuicio de cualquier otro recurso administrativo o judicial, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos si consideras que el tratamiento de tus datos personales vulnera la normativa aplicable:
- C/ Jorge Juan 6, 28001 Madrid.
- Sede electrónica: www.aepd.es.
Antes de hacerlo, te invitamos a contactar con nuestro DPO en dpo@kbppay.es para intentar resolver tu consulta directamente.