Política de privacidad

Borrador en revisión legal.Esta es una versión preliminar y puede cambiar. Aún no constituye un acuerdo definitivo; está pendiente de revisión por nuestros asesores legales.

Esta política explica qué datos personales tratamos en Yupai, con qué finalidad y bajo qué base legal, así como las medidas de seguridad que aplicamos y los derechos que la ley peruana te reconoce. Yupai es un servicio en beta.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es el titular que opera el servicio Yupai. El tratamiento se realiza conforme a la Ley N° 29733, Ley de Protección de Datos Personales, y su reglamento aprobado por D.S. 003-2013-JUS.

Puedes contactarnos para cualquier asunto relacionado con tus datos personales a través de los canales que indicamos al final de esta política.

VERIFICAR: razón social, RUC, domicilio fiscal del titular del servicio, y el nombre y correo de contacto del responsable o delegado de protección de datos (DPO).

2. Qué datos recopilamos

Recopilamos y tratamos las siguientes categorías de datos, según el uso que hagas del servicio:

Datos de cuenta y de la empresa: nombre, correo electrónico, RUC, razón social, régimen tributario, rol del usuario (dueño, contador o staff) y datos de facturación de la suscripción.
Credenciales de servicios externos: Clave SOL de SUNAT y tokens de tu OSE/PSE de facturación, que almacenamos cifrados y segregados por cliente para conectarnos a esos servicios en tu nombre.
Comprobantes y datos tributarios: comprobantes electrónicos (XML, fotos para OCR, datos del buzón SUNAT), montos, impuestos, registros SIRE (RVIE/RCE) y asientos contables derivados.
Datos de uso y de dispositivo: dirección IP, identificadores de sesión, tipo de navegador y dispositivo, y datos de actividad dentro de la plataforma, recopilados para operar y mejorar el servicio.

VERIFICAR: lista definitiva de categorías de datos recopilados, en especial si se tratan datos sensibles, y el detalle de identificadores capturados por la analítica web.

3. Finalidades del tratamiento

Tratamos tus datos personales para las siguientes finalidades:

Prestar el servicio: capturar comprobantes, calcular impuestos por régimen, generar y conciliar SIRE, y preparar comprobantes para su emisión vía OSE/PSE.
Gestionar tu cuenta, tu suscripción y los cobros del servicio, así como brindarte soporte.
Conectarnos en tu nombre a SUNAT y a tu OSE/PSE usando las credenciales que nos autorizas a usar.
Cumplir obligaciones legales y contables aplicables, y atender requerimientos de autoridades competentes.
Mejorar el servicio, medir su uso, prevenir fraudes y mantener la seguridad de la plataforma.
Enviarte comunicaciones operativas y, cuando corresponda y lo autorices, comunicaciones comerciales.

La responsabilidad tributaria es del contribuyente. Yupai prepara, propone y asiste en el cumplimiento, pero tú revisas y confirmas; no garantizamos resultados ante SUNAT.

4. Base legal y consentimiento

Tratamos tus datos sobre la base de tu consentimiento, de la ejecución del contrato de servicio que aceptas al usar Yupai, del cumplimiento de obligaciones legales y de nuestro interés legítimo en operar y proteger la plataforma, conforme a la Ley N° 29733 y su reglamento.

El consentimiento que prestas es libre, previo, expreso e informado. Puedes retirarlo en cualquier momento; el retiro no afecta la licitud del tratamiento previo ni los tratamientos que tengan otra base legal, como el cumplimiento de obligaciones contables o tributarias.

VERIFICAR: redacción definitiva de las bases legales aplicables a cada finalidad y los textos de consentimiento que se muestran en el alta y al conectar credenciales externas.

5. Encargados y subprocesadores

Para prestar el servicio nos apoyamos en proveedores que tratan datos por cuenta nuestra (encargados de tratamiento), bajo contrato y con obligaciones de confidencialidad y seguridad. Entre ellos pueden encontrarse:

Infraestructura en la nube (p. ej. AWS).
CDN y seguridad de borde (p. ej. Cloudflare).
Envío de correo electrónico (p. ej. Amazon SES) y mensajería (p. ej. WhatsApp).
OSE/PSE de facturación electrónica (p. ej. Nubefact).
Procesadores de pago (p. ej. Niubiz, Izipay, Culqi, Mercado Pago, Yape/Plin).
Analítica web (p. ej. Google Analytics 4).

VERIFICAR: lista de encargados y subprocesadores está sujeta a cambios. Debe confirmarse el listado vigente, la ubicación de cada proveedor y la existencia del contrato de encargo correspondiente.

6. Transferencias internacionales

Algunos de nuestros proveedores pueden tratar o almacenar datos fuera del Perú. En esos casos adoptamos las garantías y los flujos transfronterizos exigidos por la Ley N° 29733 y su reglamento para proteger tus datos personales.

VERIFICAR: países de destino, proveedores que implican transferencia internacional y las garantías o mecanismos de flujo transfronterizo aplicables conforme a la normativa peruana.

7. Plazo de conservación

Conservamos tus datos personales mientras tu cuenta esté activa y por el tiempo necesario para cumplir las finalidades descritas. Tras la baja, conservamos cierta información durante los plazos que exijan las obligaciones legales, contables y tributarias aplicables, y luego la eliminamos o anonimizamos de forma segura.

VERIFICAR: plazos exactos de conservación por categoría de dato y los periodos de retención legal aplicables a comprobantes y datos contables/tributarios.

8. Medidas de seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos. Entre otras:

Cifrado en tránsito mediante TLS.
Almacenamiento de objetos (XML, CDR, PDF, originales) en S3 con cifrado gestionado por KMS.
Cifrado de columnas sensibles y de las credenciales externas (Clave SOL, token OSE), segregadas por cliente.
Aislamiento de datos entre clientes mediante Row-Level Security (RLS) en la base de datos.
Copias de seguridad con recuperación a un punto en el tiempo (PITR).
El personal de Yupai no accede a los datos de tu cuenta, salvo impersonación con tu consentimiento explícito, acotada y registrada en un log inmutable.

Ningún sistema es completamente infalible. Trabajamos para mantener un nivel de seguridad adecuado al riesgo del tratamiento.

9. Tus derechos y cómo ejercerlos

Como titular de los datos, la Ley N° 29733 te reconoce los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO), además del derecho a revocar tu consentimiento.

Acceso: conocer qué datos tuyos tratamos y con qué finalidad.
Rectificación: corregir datos inexactos o incompletos.
Cancelación: solicitar la supresión de tus datos cuando proceda.
Oposición: oponerte al tratamiento por motivos legítimos.

Para ejercer estos derechos puedes contactarnos por los canales de atención que ponemos a tu disposición. Atenderemos tu solicitud dentro de los plazos que establece la normativa peruana. Si consideras que tus derechos no han sido atendidos, puedes acudir a la Autoridad Nacional de Protección de Datos Personales.

VERIFICAR: canal oficial para ejercer derechos ARCO (correo, formulario o dirección), los plazos de respuesta y los requisitos de identificación del solicitante.

Menores de edad: el servicio está dirigido a empresas y profesionales, y no a menores de edad. No recopilamos datos de menores de forma consciente.

Cambios: podemos actualizar esta política. Publicaremos la versión vigente con su fecha de actualización y, cuando el cambio sea relevante, te lo comunicaremos.

Contacto: si tienes preguntas sobre esta política o sobre el tratamiento de tus datos, escríbenos a través de nuestros canales de atención.

VERIFICAR: dirección de contacto definitiva para asuntos de privacidad y el procedimiento de notificación de cambios a los usuarios.

¿Tienes dudas sobre este documento? Escríbenos