Política de Privacidad

EvaTeLoCompra es el nombre comercial bajo el que opera Summa Investments LLC, sociedad constituida en el Estado de Florida, EE. UU. (en adelante, “EvaTeLoCompra”, “nosotros” o la “Empresa”), responsable del tratamiento de los datos personales descritos en esta política.

Esta Política aplica a:

• Visitantes del sitio web y de cualquier subdominio asociado.
• Clientes registrados en evatelocompra.com/registro.
• Compradores activos durante transmisiones en vivo, dinámicas o flash sales.
• Destinatarios de envíos internacionales (cuando el remitente es un cliente registrado).
• Personas que se contactan por nuestros canales de soporte (WhatsApp, correo electrónico, chat).

Para asuntos de privacidad puedes escribirnos a info@evatelocompra.com con el asunto “Privacidad” o por WhatsApp.

Recopilamos las siguientes categorías de información:

a) Información que tú nos proporcionas directamente:

• Datos de identificación y contacto: nombre completo, correo electrónico, número de WhatsApp/teléfono celular.
• Datos de envío: dirección, ciudad, país, código postal, datos del destinatario cuando es distinto al titular de la cuenta.
• Datos del casillero: identificador asignado, números de guía (tracking) de tus compras a tiendas terceras.
• Información de soporte: mensajes, capturas y archivos que envías al contactarnos.
• Documentos de identidad o verificación: únicamente cuando son requeridos por la autoridad aduanera del país destino o para validar pedidos de alto riesgo.

b) Información que generamos al usar el servicio:

• Historial de pedidos, picks de live shopping, facturas e identificadores internos (vinculados, no las claves de PayPal en bruto).
• Estados de envío, eventos de tracking, fechas de entrega y notas operativas asociadas a tus cajas.
• Interacciones en lives: likes, comentarios, productos seleccionados y participación en dinámicas.
• Registros de autenticación: códigos OTP utilizados, intentos de inicio de sesión, secretos TOTP cifrados (nunca en texto plano), eventos de sesión.
• Registros de soporte: tickets, conversaciones, resoluciones.

c) Información técnica del dispositivo y navegación:

• Dirección IP, tipo de dispositivo, sistema operativo, navegador, idioma y resolución.
• Identificadores de push (PWA) cuando autorizas notificaciones desde tu dispositivo.
• Páginas visitadas, eventos de uso agregado y estadísticas de rendimiento.
• Señales antifraude (huella de navegador, comportamiento sospechoso, geolocalización aproximada por IP).

d) Información proveniente de terceros:

• Eventos de pago y estados de factura provistos por PayPal.
• Estados de verificación de número y entregabilidad de SMS provistos por Twilio.
• Estados de entrega de correo electrónico provistos por SendGrid.
• Eventos de transporte y rastreo provistos por SUMMA Envíos y otros couriers.
• Datos de la tienda de origen necesarios para identificar tu paquete (por ejemplo, número de tracking del courier interno).

Datos de tarjeta: los pagos se procesan en la pasarela de PayPal, certificada PCI DSS Nivel 1. EvaTeLoCompra no almacena los datos completos de tu tarjeta (PAN, CVV, fecha de vencimiento) en sus servidores. Solo recibimos un token o referencia opaca para asociar la transacción a tu pedido.

Tratamos tus datos personales con las siguientes finalidades:

• Prestación del servicio: crear y mantener tu cuenta, procesar pedidos, generar facturas, gestionar envíos consolidados y dar seguimiento al tracking.
• Comunicaciones operativas: enviarte códigos de verificación (OTP), confirmaciones de pago, alertas de envío, actualizaciones de estado y notificaciones legales relevantes por SMS, correo electrónico, WhatsApp o push.
• Atención al cliente: responder consultas, gestionar disputas, resolver incidencias de pedidos o envíos.
• Cumplimiento legal y aduanero: generar la documentación requerida por autoridades aduaneras, fiscales o de transporte; atender requerimientos de autoridades competentes.
• Prevención de fraude y seguridad: detectar usos sospechosos, proteger cuentas, validar pagos y prevenir abusos de la Plataforma.
• Mejora del producto: entender patrones de uso de forma agregada, depurar errores, optimizar tiempos de carga y experiencia de checkout.
• Marketing personalizado y comunicaciones promocionales: únicamente cuando has dado consentimiento explícito (opt-in) y siempre con derecho a darte de baja en cualquier momento.

No utilizamos tus datos para finalidades incompatibles con las descritas aquí sin informarte previamente y, cuando la ley lo requiera, sin recabar tu consentimiento.

Tratamos tus datos personales sobre las siguientes bases legales (en la medida en que tu jurisdicción reconozca este concepto):

• Ejecución de contrato: tratar tus datos es necesario para registrarte, procesar tus pedidos, emitir facturas y entregar tus envíos.
• Consentimiento: para comunicaciones de marketing, notificaciones push, cookies no esenciales y solicitudes de geolocalización del dispositivo. Puedes retirarlo en cualquier momento.
• Obligación legal: conservar facturación, atender requerimientos judiciales o administrativos, cumplir normas aduaneras o tributarias del país destino.
• Interés legítimo: prevención de fraude, seguridad de la plataforma, mejora del servicio, defensa frente a reclamos y chargebacks injustificados. Siempre ponderamos este interés frente a tus derechos y libertades.
• Interés vital o requerimiento de autoridad: en circunstancias excepcionales, cuando sea necesario proteger la vida o seguridad de una persona o cumplir una orden válida emitida por autoridad competente.

No vendemos ni alquilamos tus datos personales. Compartimos información únicamente con proveedores que nos ayudan a prestar el servicio, bajo acuerdos contractuales y limitada a lo necesario para su función específica:

• Pagos: PayPal (procesamiento y facturación electrónica).
• Mensajería y verificación: Twilio (SMS, OTP, verificación de número) y WhatsApp Business.
• Correo electrónico: SendGrid (correo transaccional y campañas opt-in).
• Infraestructura y hosting: Vercel (despliegue de la aplicación), AWS S3 y Backblaze B2 (almacenamiento de archivos e imágenes).
• Logística internacional: SUMMA Envíos y otros couriers regionales (recepción, consolidación y transporte de tus cajas).
• Tiendas de origen: Amazon, Burlington, TJ Maxx, Marshalls, SHEIN, Walmart, Nike, Apple y otros minoristas cuando hacemos la compra en tu nombre. Solo les compartimos lo necesario para procesar tu pedido (nombre, dirección de la bodega, método de pago).
• Transmisiones en vivo: TikTok (las interacciones en lives quedan sujetas también a sus propias políticas).
• Cumplimiento PCI DSS: Viking Cloud y plataformas de validación de cumplimiento.
• Analítica: Vercel Analytics con datos agregados, sin identificación personal directa.
• Autoridades competentes: cuando exista una orden judicial, requerimiento administrativo válido o necesidad de proteger derechos legales.
• Asesores profesionales: contadores, auditores y abogados, en estricta confidencialidad.
• Sucesores del negocio: en caso de fusión, adquisición o reorganización corporativa, los datos pueden transferirse a la entidad sucesora bajo las mismas obligaciones de protección.

Cada proveedor solo puede usar tus datos siguiendo nuestras instrucciones y la legislación aplicable, conforme a acuerdos de tratamiento de datos cuando son requeridos.

EvaTeLoCompra opera desde Estados Unidos. Si te encuentras en Colombia, México, Panamá, Costa Rica, Ecuador u otro país de Latinoamérica, debes ser consciente de que tus datos personales se transfieren y procesan en EE. UU. y, eventualmente, en otros países donde residan nuestros proveedores (por ejemplo, sub-procesadores de PayPal, Twilio o SendGrid).

Las leyes de protección de datos en EE. UU. pueden diferir de las de tu país de residencia. Para garantizar un nivel de protección adecuado, aplicamos:

• Acuerdos contractuales de tratamiento con cada proveedor, exigiendo medidas de seguridad equivalentes a las nuestras.
• Cifrado en tránsito (TLS) y, cuando corresponde, en reposo.
• Minimización: enviamos a cada proveedor únicamente los campos necesarios para su función.
• Auditorías y revisiones periódicas a proveedores críticos (pagos, mensajería, logística).

Al registrarte y usar el servicio, reconoces y aceptas estas transferencias internacionales como parte necesaria de la prestación.

Usamos cookies y tecnologías similares (localStorage, sessionStorage, tokens push) para distintos fines. Las clasificamos así:

• Esenciales (siempre activas): autenticación, mantenimiento de sesión (cookie evate_session), protección contra CSRF, almacenamiento del PIN de admin (cuando aplica) y preservación del carrito durante el checkout. Sin estas cookies el servicio no funciona.
• Funcionales: recordar tu preferencia de idioma, tema (claro/oscuro) y configuraciones de la interfaz.
• Analíticas agregadas: métricas de rendimiento y uso vía Vercel Analytics, sin identificarte personalmente.
• Notificaciones push (opt-in): tokens otorgados por tu navegador o sistema operativo cuando aceptas recibir alertas de la PWA.

Puedes desactivar o eliminar las cookies desde la configuración de tu navegador. Ten en cuenta que algunas funcionalidades esenciales dejarán de operar si las bloqueas (especialmente las de autenticación y compras). No utilizamos cookies publicitarias de terceros ni vendemos identificadores publicitarios.

Conservamos tus datos personales solo durante el tiempo necesario para cumplir las finalidades para las que fueron recopilados o por el tiempo que exige la ley aplicable. Como referencia general:

• Cuenta activa: mientras mantengas tu cuenta abierta o exista actividad en los últimos 24 meses.
• Facturación y registros contables: al menos cinco (5) años, conforme a la normativa fiscal y contable de EE. UU.
• Soporte y disputas: hasta cuatro (4) años después del cierre del ticket o de la resolución de la disputa.
• Datos de envío y aduana: mientras se requieran para responder ante autoridades de transporte/aduana del país destino y por los plazos que dichas autoridades exigen.
• Logs de seguridad y antifraude: entre 12 y 24 meses, salvo incidentes que justifiquen mayor conservación.

Los detalles operativos se encuentran en nuestra Política de Retención de Datos. Tras los plazos aplicables, eliminamos o anonimizamos la información de forma irreversible.

Implementamos medidas técnicas y organizativas razonables para proteger tu información personal frente a accesos no autorizados, pérdida, alteración o divulgación indebida:

• Cifrado en tránsito: todo el tráfico hacia la Plataforma viaja sobre HTTPS/TLS.
• Cumplimiento PCI DSS: los datos de tarjeta nunca tocan nuestros servidores; viajan cifrados directamente a PayPal, certificado PCI DSS Nivel 1.
• Autenticación robusta: JWT con expiración, OTP por SMS, TOTP para 2FA, verificación de email y PIN de administración con comparación en tiempo constante (timing-safe).
• Cifrado de secretos: las semillas TOTP, tokens de servicios externos y otros secretos sensibles se guardan cifrados; nunca en texto plano.
• Control de acceso interno: acceso restringido por roles, membresía por tenant, auditoría de eventos administrativos.
• Monitoreo y antifraude: detección de patrones anómalos, límites de tasa por endpoint, validación HMAC en webhooks (SummaEnvíos, PayPal).
• Respuesta a incidentes: contamos con procedimientos internos para investigar y notificar incidentes de seguridad cuando sea exigido por la ley.

Pese a estas medidas, ningún sistema es 100% seguro. Si sospechas un acceso no autorizado a tu cuenta, escríbenos de inmediato.

En la medida que la legislación de tu país lo permita, puedes ejercer los siguientes derechos sobre tus datos personales:

• Acceso: obtener una copia de los datos personales que tenemos sobre ti y conocer las finalidades de su tratamiento.
• Rectificación: corregir información inexacta o incompleta.
• Supresión (“derecho al olvido”): solicitar el borrado de tus datos cuando ya no sean necesarios o retires tu consentimiento, con las salvedades legales aplicables (por ejemplo, deberes contables o fiscales).
• Oposición y limitación: oponerte al tratamiento basado en interés legítimo o solicitar su limitación mientras se resuelve una controversia sobre los datos.
• Portabilidad: recibir en un formato estructurado los datos que nos entregaste y, cuando sea técnicamente posible, transmitirlos a otro responsable.
• Retirar consentimiento: retirar en cualquier momento el consentimiento previamente otorgado (por ejemplo, para marketing), sin que ello afecte la licitud del tratamiento previo.
• No discriminación: no recibirás un trato desfavorable por ejercer tus derechos.
• Reclamación ante autoridad: presentar una queja ante la autoridad de protección de datos de tu país de residencia (por ejemplo, la SIC en Colombia o el INAI en México).

Cómo ejercerlos: envíanos un correo a info@evatelocompra.com con el asunto “Privacidad” o escríbenos por WhatsApp, indicando tu nombre completo, el correo o WhatsApp asociado a tu cuenta y el derecho que deseas ejercer. Podemos solicitar verificación adicional para confirmar tu identidad. Responderemos en un plazo razonable, normalmente dentro de los treinta (30) días calendario siguientes, y nunca más allá de los plazos exigidos por la ley aplicable.

Distinguimos entre dos tipos de comunicaciones, con tratamientos distintos:

• Comunicaciones operativas (transaccionales): códigos OTP, confirmaciones de pago, recordatorios de pago, alertas de envío, cambios de estado, notificaciones legales. Son parte esencial del servicio y no son opcionales mientras tengas cuenta activa.
• Comunicaciones de marketing (promocionales): avisos de lives, lanzamientos, dinámicas, promociones. Solo las enviamos con tu consentimiento explícito (opt-in).

Puedes retirar tu consentimiento de marketing en cualquier momento, sin afectar tu cuenta ni los pedidos en curso:

• Responder STOP al SMS.
• Responder BAJA al WhatsApp.
• Usar el enlace de cancelación de suscripción en cualquier correo electrónico.
• Escribirnos a info@evatelocompra.com.

Las tarifas estándar de mensajería de tu operador móvil pueden aplicar; EvaTeLoCompra no cobra por estas notificaciones.

Empleamos sistemas automatizados, incluyendo reglas y modelos básicos, para:

• Detectar actividad sospechosa de fraude (intentos repetidos de pago fallidos, chargebacks, suplantación, vectores de scraping).
• Priorizar la cola de procesamiento de pedidos y envíos.
• Mostrarte contenido relevante dentro de la Plataforma (por ejemplo, lives o productos sugeridos).

Estas decisiones automatizadas no producen efectos jurídicos significativos sobre ti de forma irreversible: cuando una alerta antifraude bloquea o pausa una cuenta o un pedido, se realiza una revisión humana antes de tomar cualquier medida definitiva. Si consideras que una decisión automatizada te ha afectado de forma indebida, puedes solicitar revisión escribiéndonos por los canales indicados en esta política.

No utilizamos tus datos personales para entrenar modelos de IA de terceros sin tu consentimiento explícito.

El servicio no está dirigido a menores de 18 años y no permitimos su uso por menores ni la creación intencional de cuentas a su nombre. Si llegaras a tener conocimiento de que un menor ha proporcionado datos personales a EvaTeLoCompra, escríbenos de inmediato para proceder a su eliminación.

Adicionalmente, si tienes menos de 18 años, no debes registrarte ni usar la Plataforma; los padres, madres o tutores legales pueden ejercer los derechos de privacidad descritos en la sección 10 en nombre del menor.

Podemos actualizar esta Política para reflejar cambios en el servicio, en nuestros proveedores o en la legislación aplicable. Los cambios materiales se notificarán con razonable antelación mediante aviso en la Plataforma y/o correo electrónico a la dirección registrada. La fecha de “Última actualización” en el encabezado refleja siempre la versión vigente.

Para cualquier consulta sobre privacidad, ejercicio de derechos o reportes de incidentes:

💖 Gracias por confiar en EvaTeLoCompra. Tu privacidad y seguridad son nuestra prioridad.