Política de Privacidad — Licitaciones.cr

Fecha de vigencia: [PENDIENTE: completar fecha de publicación] Versión: 1.1 (borrador para revisión legal) Operado por: EasyTech S.A. — Costa Rica Dominio: licitacionescr.net

⚠️ AVISO IMPORTANTE — DOCUMENTO EN BORRADOR

Este documento es un BORRADOR generado como insumo de trabajo y debe ser revisado, ajustado y validado por un abogado o abogada debidamente colegiado(a) en Costa Rica antes de su publicación, entrada en vigor o aplicación. No constituye asesoría legal definitiva. Los apartados marcados como [PENDIENTE] contienen información o trámites reales pendientes de completar (entre otros: la inscripción de bases de datos ante PRODHAB, la cédula jurídica y el domicilio de EasyTech S.A., las regiones de los proveedores de infraestructura, y la implementación efectiva en la plataforma de los mecanismos de consentimiento aquí descritos).

Advertencia de coherencia técnica: Ninguna afirmación de cumplimiento contenida en esta Política debe publicarse mientras el producto no implemente realmente el mecanismo correspondiente. En particular, las declaraciones sobre recolección de consentimiento mediante casilla de aceptación (Sección 7) y sobre canales de ejercicio de derechos (Sección 11) solo pueden afirmarse en presente una vez que la plataforma efectivamente los soporte. Hasta entonces, dichos pasajes se mantienen redactados como compromiso de implementación.

1. Identificación del Responsable del Tratamiento

El responsable del tratamiento de sus datos personales es:

• Razón social: EasyTech S.A.
• Cédula jurídica: [PENDIENTE: insertar número de cédula jurídica]
• Domicilio: [PENDIENTE: insertar domicilio fiscal en Costa Rica]
• Sitio web: https://licitacionescr.net
• Correo de contacto general: [PENDIENTE: confirmar, p. ej. soporte@licitacionescr.net]
• Correo de privacidad / ejercicio de derechos: privacidad@licitacionescr.net [PENDIENTE: confirmar creación del buzón]

EasyTech S.A. opera la plataforma Licitaciones.cr (en adelante, "la Plataforma" o "el Servicio"), una herramienta SaaS de carácter empresarial (B2B) que ayuda a proveedores del Estado a monitorear, gestionar y cotizar licitaciones públicas a partir de información de la contratación administrativa de Costa Rica.

Esta Política de Privacidad se emite conforme a la Ley N.° 8968, "Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales", su Reglamento (Decreto Ejecutivo N.° 37554-JP) y demás normativa costarricense aplicable. Forma parte integral de los Términos y Condiciones del Servicio.

2. Definiciones

Para efectos de esta Política:

• Titular: la persona física a quien se refieren los datos personales.
• Datos personales: cualquier dato relativo a una persona física identificada o identificable.
• Datos de acceso irrestricto: datos personales contenidos en bases de datos de acceso público o de interés público, accesibles a cualquier persona, conforme al artículo 9 de la Ley 8968.
• Tratamiento: cualquier operación o conjunto de operaciones sobre datos personales (recolección, registro, conservación, uso, comunicación, supresión, etc.).
• Responsable: EasyTech S.A., quien decide sobre la finalidad y el contenido del tratamiento.
• Encargado: tercero que trata datos personales por cuenta y según instrucciones del Responsable.
• Tenant / Empresa: entorno aislado de datos correspondiente a la empresa cliente que contrata el Servicio.
• PRODHAB: Agencia de Protección de Datos de los Habitantes.

3. Ámbito de Aplicación

Esta Política aplica a:

1. Los datos personales de los usuarios y clientes de la Plataforma (representantes de empresas proveedoras del Estado que se registran y usan el Servicio). 2. Los datos personales de terceros de fuente pública (funcionarios públicos y proveedores adjudicatarios) contenidos en la información de contratación pública que la Plataforma procesa y presenta, conforme a la Sección 8.

La Plataforma es un servicio dirigido a personas mayores de edad que actúan como representantes de empresas u organizaciones. No está dirigida a menores de edad (ver Sección 14).

4. Datos Personales que Recopilamos

4.1. Datos de usuarios y clientes

Al registrarse y usar la Plataforma, tratamos:

• Datos de identificación y cuenta: nombre, correo electrónico y contraseña. La contraseña se gestiona mediante el sistema de autenticación Better Auth y nunca se almacena ni se trata en claro: se conserva únicamente su resultado cifrado (hash). EasyTech no tiene acceso a su contraseña en texto legible.
• Datos de la empresa / tenant: razón social, cédula jurídica, correo, teléfono y dirección de la empresa cliente.
• Datos de uso del Servicio: perfiles de negocio, búsquedas guardadas, pipeline de ofertas y cotizaciones que usted genera en la Plataforma.
• Datos de facturación tokenizados: un token de cobro recurrente y datos identificativos de la tarjeta (marca y últimos 4 dígitos), generados y procesados por Tilopay. La Plataforma NO almacena el número completo de la tarjeta (PAN). El consentimiento para el cobro automático recurrente asociado a este token se rige por los Términos y Condiciones y por la Sección 9.
• Datos técnicos y de analítica: dirección IP de sesión, registros de acceso, y eventos de navegación/conversión en superficies públicas recopilados por nuestra analítica propia ("pulse"), de carácter agregado. Ver Sección 12.
• Evidencia de consentimiento: cuando el mecanismo de aceptación descrito en la Sección 7 esté implementado, conservaremos la fecha y hora (timestamp), la versión del documento aceptado y la dirección IP al momento de aceptar esta Política y los Términos y Condiciones.

4.2. Datos personales de terceros de fuente pública

La Plataforma procesa y presenta información de contratación pública que puede incluir datos personales de acceso público de terceros (nombres de funcionarios públicos asociados a un cartel, y nombres y/o cédulas de proveedores adjudicatarios). El tratamiento de estos datos —incluida su agregación con fines de inteligencia de mercado— se rige por la Sección 8.

4.3. Datos sensibles

EasyTech no recaba intencionalmente datos sensibles de sus usuarios (artículo 9 de la Ley 8968: origen racial o étnico, opiniones políticas, convicciones religiosas, salud, vida sexual, etc.). Le solicitamos no aportar este tipo de datos a través de la Plataforma.

5. Finalidades y Base de Legitimación del Tratamiento

Tratamos sus datos para finalidades determinadas, explícitas y legítimas. Para cada finalidad existe una base de legitimación:

| # | Finalidad | Datos | Base de legitimación | |---|-----------|-------|----------------------| | (a) | Autenticación, creación y operación de la cuenta y del Servicio | Identificación, cuenta, empresa, datos de uso | Ejecución del contrato de suscripción y consentimiento (art. 5 Ley 8968) | | (b) | Facturación y cobro recurrente de la suscripción | Datos de facturación tokenizados | Ejecución del contrato, consentimiento expreso para el cobro recurrente y obligaciones legales/fiscales | | (c) | Monitoreo, gestión y cotización de licitaciones | Perfiles, búsquedas, pipeline, cotizaciones | Ejecución del contrato y consentimiento | | (d) | Analítica propia agregada (pulse) en superficies públicas | Datos técnicos/eventos | Consentimiento del usuario y, de forma complementaria, interés legítimo en mejorar el Servicio; datos tratados de forma agregada, no se venden a terceros | | (e) | Comunicaciones operativas y transaccionales (avisos de cuenta, cobros, recordatorios de renovación, soporte) | Identificación y contacto | Ejecución del contrato | | (f) | Comunicaciones comerciales / marketing (opcional) | Contacto | Consentimiento separado y opcional, revocable en cualquier momento | | (g) | Tratamiento y agregación de datos de contratación de fuente pública | Ver Sección 8 | Principio de publicidad de la contratación pública (Ley 9986) y régimen de datos de acceso irrestricto (arts. 5 y 9 Ley 8968) |

No utilizaremos sus datos para finalidades incompatibles con las aquí declaradas, conforme al principio de finalidad y minimización (art. 6 Ley 8968).

[PENDIENTE: validación legal] El encaje de la analítica "pulse" como interés legítimo debe validarse por especialista, dado que la Ley 8968 privilegia el consentimiento. Mientras no se confirme, esta Política la trata como sujeta principalmente a consentimiento del usuario; en superficies públicas sin sesión, limitarse a eventos estrictamente agregados y no identificables.

6. Carácter Facultativo u Obligatorio de los Datos

Los datos requeridos para crear la cuenta y prestar el Servicio (nombre, correo, contraseña y datos de la empresa) son obligatorios: sin ellos no es posible brindar el Servicio. Los datos para finalidades de marketing son facultativos y dependen de su consentimiento separado. La negativa a aportar datos opcionales no afecta la prestación del Servicio contratado.

7. Consentimiento Informado

El consentimiento del titular para el tratamiento descrito en esta Política se recaba en el momento del registro mediante una casilla de aceptación separada y no premarcada que vincula a esta Política de Privacidad y a los Términos y Condiciones, conforme al artículo 5 de la Ley 8968 y al artículo 5 de su Reglamento. Dicho consentimiento debe ser libre, específico, inequívoco e informado. La misma casilla recoge, de forma informada, el consentimiento para la transferencia internacional de datos descrita en la Sección 10.

Conservamos evidencia de su consentimiento (fecha y hora, versión del documento e IP). Ante cambios sustanciales en esta Política, le notificaremos y, cuando corresponda, le solicitaremos nuevamente su aceptación. Cada versión del documento se identifica con número y fecha (ver Sección 18).

[PENDIENTE / HUECO DE PRODUCTO — CRÍTICO] Al momento de redactar esta versión, el formulario de registro de la Plataforma no incorpora todavía la casilla de aceptación no premarcada ni la persistencia de la evidencia (timestamp, versión, IP) aquí descritas. Esta Sección no debe publicarse en presente, ni afirmarse que el consentimiento se recoge, hasta que dicho mecanismo esté efectivamente implementado en el flujo de registro y se almacene la evidencia. Publicar lo contrario constituiría una declaración falsa de cumplimiento. Requisitos mínimos de la implementación: (i) casilla separada y no premarcada; (ii) enlaces visibles a esta Política y a los Términos y Condiciones; (iii) bloqueo del envío del formulario si la casilla no se marca; (iv) registro auditable de timestamp, versión del documento e IP en una tabla de consentimiento.

8. Tratamiento de Datos Personales de Acceso Público de Terceros

8.1. Origen de los datos

La Plataforma incorpora información de contratación pública obtenida de fuentes públicas y de acceso irrestricto del Estado costarricense, principalmente:

• El Observatorio de Compra Pública de la Contraloría General de la República (CGR) (datos abiertos publicados).
• Los datos abiertos y endpoints públicos del Sistema Integrado de Compras Públicas (SICOP).
• Documentos públicos del pliego/cartel servidos desde el almacenamiento oficial del propio SICOP.

Esta información incluye nombres de instituciones, números de procedimiento, montos, plazos y datos personales de acceso público (nombres de funcionarios públicos vinculados al cartel y nombres/cédulas de proveedores adjudicatarios).

8.2. Base de legitimación

Estos datos se tratan sin necesidad de consentimiento del titular por tratarse de datos de acceso irrestricto contenidos en fuentes de acceso público y de interés público, al amparo del artículo 5 (excepción) y el artículo 9 de la Ley 8968, en concordancia con el principio de publicidad y transparencia de la contratación pública (Ley N.° 9986, Ley General de Contratación Pública).

8.3. Finalidad y límites del tratamiento

• La finalidad del tratamiento de estos datos es la información, monitoreo y gestión de licitaciones públicas y la elaboración de inteligencia de precios y de mercado de la contratación pública (por ejemplo, estadísticas de adjudicaciones, conteo de proveedores participantes por procedimiento y referencias de precios de mercado). Esta finalidad es compatible con la finalidad de transparencia de la fuente de origen.
• Distinción importante (agregación estadística vs. perfil de la persona): la Plataforma realiza agregación estadística y de mercado a partir de datos de adjudicaciones públicas (incluida la asociación cédula–nombre del proveedor y el conteo de proveedores por procedimiento) con fines de inteligencia de contratación. No elaboramos perfiles de comportamiento privado, scoring crediticio, ni segmentaciones lesivas de personas físicas, ni inferimos información ajena al ámbito de la contratación pública. La agregación se limita a datos que ya constan, de forma pública e irrestricta, en los registros de adjudicación del Estado.
• Reflejamos fielmente la fuente pública (regla de no inventar datos: los campos sin fuente verificada quedan marcados como no disponibles, nunca se sustituyen por datos aproximados) y mantenemos trazabilidad del origen.
• Distinguimos entre funcionario público (dato vinculado al ejercicio del cargo, con mayor exposición legítima) y persona física proveedora (cuya cédula es un identificador más sensible). Minimizamos la exposición pública de cédulas de personas físicas: las mostramos únicamente en el contexto del procedimiento de contratación correspondiente y dentro del entorno autenticado del Servicio, y valoramos su enmascaramiento en superficies públicas e indexables (SEO). [PENDIENTE: confirmar la implementación efectiva del enmascaramiento de cédulas de personas físicas en superficies públicas.]

8.4. Derechos de los terceros

Las personas cuyos datos de fuente pública aparezcan en la Plataforma pueden ejercer sus derechos de rectificación y oposición a través del canal indicado en la Sección 11. Si la fuente oficial corrige o suprime un dato, actualizaremos o desindexaremos la información correspondiente. EasyTech no responde por la exactitud del dato original publicado por el Estado.

9. Pagos y Tokenización

La suscripción se cobra a través de Tilopay, procesador de pagos domiciliado en Costa Rica y certificado PCI-DSS, quien actúa como encargado del tratamiento de los datos de pago.

• La Plataforma NO almacena el número completo de la tarjeta (PAN). Conserva únicamente un token de cobro recurrente y datos identificativos (marca y últimos 4 dígitos) para reconocer el medio de pago.
• El procesamiento bajo el estándar PCI-DSS lo realiza Tilopay.
• El cobro automático recurrente asociado al token (mensual o anual) requiere su autorización expresa e inequívoca en el momento de la contratación, conforme se detalla en los Términos y Condiciones. Usted podrá cancelar la suscripción y detener las renovaciones según el procedimiento previsto en los Términos y Condiciones. [PENDIENTE / HUECO DE PRODUCTO: el mecanismo de cancelación self-service debe estar efectivamente implementado antes de afirmar su disponibilidad.]
• Los precios se expresan en dólares de los Estados Unidos (USD); el monto en colones, cuando aplique, lo determina el banco emisor de la tarjeta según su tipo de cambio. [PENDIENTE FISCAL: confirmar el tratamiento del IVA aplicable a la suscripción y su reflejo en la facturación; ver Términos y Condiciones.]

10. Encargados del Tratamiento y Transferencias Internacionales

10.1. Encargados del tratamiento

Para prestar el Servicio, EasyTech recurre a proveedores que tratan datos por su cuenta y bajo sus instrucciones, sujetos a deberes de confidencialidad y seguridad (arts. 11 y 13 Ley 8968):

| Encargado | Función | Ubicación | |-----------|---------|-----------| | Neon | Base de datos (PostgreSQL) | Servidores en el extranjero (EE. UU.) [PENDIENTE: confirmar región exacta] | | Vercel | Hosting / cómputo de la aplicación | Servidores en el extranjero (EE. UU.) [PENDIENTE: confirmar región exacta] | | Tilopay | Procesamiento de pagos (PCI-DSS) | Costa Rica | | Proveedor de correo transaccional | Envío de comunicaciones operativas | [PENDIENTE: confirmar si existe este proveedor y su ubicación; si no aplica, eliminar esta fila] | | Analítica "pulse" (EasyTech) | Analítica propia agregada | Intra-grupo EasyTech |

EasyTech procura suscribir o aceptar con cada encargado un acuerdo de tratamiento de datos (DPA) con garantías de seguridad equivalentes. [PENDIENTE: confirmar la existencia y firma de DPA con cada encargado realmente utilizado.]

10.2. Transferencia internacional de datos

Al usar el Servicio, usted reconoce y consiente que parte de sus datos personales se aloja y procesa en servidores ubicados fuera de Costa Rica (Estados Unidos), a través de los proveedores Neon y Vercel, conforme al artículo 14 de la Ley 8968 y a los artículos 40 a 42 de su Reglamento. EasyTech exige a dichos encargados garantías contractuales de seguridad.

El consentimiento informado para esta transferencia internacional se recaba mediante la misma casilla de aceptación del registro (Sección 7). En consecuencia, esta transferencia solo cuenta con base de legitimación válida una vez que dicha casilla esté efectivamente implementada y se almacene la evidencia correspondiente. [PENDIENTE: confirmar la ubicación exacta de los centros de datos para declararla con precisión y asegurar que el consentimiento de transferencia se recoge en el flujo de registro.]

11. Derechos del Titular (ARCO) y Cómo Ejercerlos

Usted tiene derecho a (art. 7 Ley 8968):

• Acceso: conocer qué datos suyos tratamos.
• Rectificación: corregir datos inexactos o desactualizados.
• Cancelación / supresión: solicitar la eliminación de sus datos cuando proceda.
• Oposición: oponerse al tratamiento por motivos legítimos.

Cómo ejercerlos:

1. Envíe su solicitud al correo privacidad@licitacionescr.net [PENDIENTE: confirmar buzón], identificándose y describiendo el derecho que desea ejercer. 2. Atenderemos su solicitud dentro del plazo de cinco (5) días hábiles que establece el artículo 7 de la Ley 8968. [PENDIENTE: validar este plazo y los específicos de cada derecho contra los artículos 33 y siguientes del Reglamento vigente, por si difieren.] 3. Cuando esté disponible, dispondrá adicionalmente de autoservicio en su perfil para rectificar datos y para solicitar la exportación o eliminación de su cuenta. [PENDIENTE: confirmar que el autoservicio de rectificación/exportación/eliminación está efectivamente implementado antes de afirmar su disponibilidad.]

Algunas solicitudes pueden estar sujetas a las excepciones del artículo 8 de la Ley 8968 (p. ej., obligaciones legales de conservación). Si considera que su derecho no fue debidamente atendido, puede acudir a la Agencia de Protección de Datos de los Habitantes (PRODHAB) como autoridad de control.

12. Cookies y Tecnologías de Seguimiento

La Plataforma utiliza una analítica propia ("pulse") en sus superficies públicas, que registra eventos de página y de conversión con carácter agregado. No vendemos ni cedemos estos datos a terceros con fines publicitarios. Empleamos también cookies técnicas necesarias para la autenticación y el funcionamiento del Servicio. Usted puede gestionar las cookies desde la configuración de su navegador; deshabilitar las cookies técnicas puede afectar el funcionamiento del Servicio.

13. Plazos de Conservación y Supresión

Conservamos sus datos personales mientras su cuenta esté activa y durante el tiempo necesario para cumplir las finalidades descritas. Tras la baja de la cuenta:

• Suprimimos o anonimizamos los datos que ya no sean necesarios.
• Conservamos durante los plazos legalmente exigidos aquellos datos sujetos a obligaciones de conservación fiscales y contables (Código de Comercio y normativa tributaria) y la evidencia de consentimiento mientras pueda ser necesaria para acreditar la licitud del tratamiento.

Los datos de contratación de fuente pública (Sección 8) se conservan mientras mantengan utilidad informativa y se actualizan conforme a la fuente oficial.

[PENDIENTE: validación legal/fiscal] Fijar plazos numéricos concretos de conservación y supresión por categoría de dato (p. ej., datos contables 5 años por normativa tributaria; evidencia de consentimiento mientras dure la relación más el plazo de prescripción aplicable). El presente apartado queda en términos generales hasta su validación.

14. Menores de Edad

El Servicio se dirige a personas mayores de edad que actúan como representantes de empresas u organizaciones. EasyTech no recaba intencionalmente datos de menores de edad. Si detectamos que hemos tratado datos de un menor sin la debida autorización, procederemos a su supresión.

15. Seguridad de los Datos

EasyTech adopta medidas técnicas y organizativas razonables y proporcionales para proteger la confidencialidad, integridad y disponibilidad de los datos (arts. 10 y 11 Ley 8968), entre ellas:

• Cifrado en tránsito (HTTPS) en licitacionescr.net.
• Hashing de contraseñas mediante Better Auth (nunca se almacenan en claro).
• Aislamiento multi-tenant, de modo que los datos de cada empresa están separados de los de otras.
• Tokenización de los medios de pago vía Tilopay (no se almacena el PAN).
• Control de accesos por roles (p. ej., Propietario, Administrador, Editor, Visor).
• Registros de auditoría de eventos relevantes.

Contamos con un protocolo de actuación ante incidentes de seguridad. Ante una brecha relevante, valoraremos la notificación a los titulares afectados y a PRODHAB conforme a la normativa. Por seguridad, no divulgamos detalles técnicos que puedan facilitar ataques.

Usted es responsable de custodiar sus credenciales y de notificarnos cualquier uso no autorizado de su cuenta.

16. Inscripción ante PRODHAB

EasyTech S.A. se encuentra evaluando y/o tramitando la inscripción de su(s) base(s) de datos de carácter personal ante la Agencia de Protección de Datos de los Habitantes (PRODHAB), conforme a los artículos 21 y 22 de la Ley 8968 y el Título IV de su Reglamento. Estado actual: en proceso de inscripción.

[PENDIENTE / TRÁMITE REAL — ALTO] Iniciar, antes del inicio de la operación comercial, la inscripción de la base de datos de usuarios/clientes ante PRODHAB y, previa asesoría legal especializada, valorar el alcance de la inscripción respecto de la base de datos de terceros de fuente pública (incluida la finalidad de inteligencia de mercado de la Sección 8). Una vez tramitada, insertar aquí el número de inscripción. No debe inventarse ni anticiparse un número de inscripción. Mientras tanto, mantener el estado declarado como "en proceso de inscripción".

17. Calidad y Exactitud de los Datos de Licitaciones

Los datos de carteles, montos, plazos y adjudicatarios que muestra la Plataforma reflejan la fuente pública oficial (SICOP / CGR) y pueden contener errores, desfases o campos no disponibles propios del origen estatal (la fuente del Observatorio puede presentar atrasos de semanas; ciertas fechas se derivan y algunos estados se aproximan). EasyTech aplica la regla de no inventar datos (los campos sin fuente verificada se marcan como no disponibles) y no responde por la exactitud del dato original publicado por el Estado. La fuente oficial y vinculante es siempre SICOP; el usuario debe verificar la información en la fuente oficial antes de tomar decisiones o presentar ofertas. EasyTech no responde por la pérdida de una licitación u oportunidad derivada de un dato desfasado, incompleto o no disponible mostrado por la Plataforma.

18. Modificaciones a esta Política

EasyTech podrá actualizar esta Política para reflejar cambios legales, técnicos u operativos. Publicaremos la versión vigente con su número y fecha. Ante cambios sustanciales, lo notificaremos por un medio idóneo y, cuando corresponda, solicitaremos nuevamente su aceptación. El uso continuado del Servicio tras la entrada en vigor de una nueva versión implica su conocimiento; los tratamientos que requieran consentimiento se sujetan a la re-aceptación.

19. Ley Aplicable y Jurisdicción

Esta Política se rige por las leyes de la República de Costa Rica, en particular la Ley N.° 8968 y su Reglamento (Decreto N.° 37554-JP), y se interpreta conforme al ordenamiento costarricense. La autoridad de control en materia de protección de datos es la Agencia de Protección de Datos de los Habitantes (PRODHAB).

20. Contacto

Para consultas, reclamos o el ejercicio de sus derechos en materia de privacidad:

• Responsable: EasyTech S.A. — cédula jurídica [PENDIENTE]
• Domicilio: [PENDIENTE]
• Correo de privacidad: privacidad@licitacionescr.net [PENDIENTE: confirmar buzón]
• Autoridad de control: Agencia de Protección de Datos de los Habitantes (PRODHAB)

Recordatorio final: Este documento es un BORRADOR y debe ser revisado y validado por un(a) abogado(a) colegiado(a) en Costa Rica antes de su publicación y uso. Asimismo, las afirmaciones de cumplimiento que dependen de funcionalidad del producto (consentimiento en el registro, cancelación de suscripción, autoservicio de derechos ARCO, enmascaramiento de cédulas) no deben publicarse en presente hasta que dichas funcionalidades estén efectivamente implementadas.