Política de Privacidad
Última actualización: 21 de abril de 2026
Efectivo desde: 21 de abril de 2026
1. Introducción e identificación del responsable
Esta Política de Privacidad describe cómo JB Host & Web Design ("VCommunity", "nosotros"), operadora de la plataforma VCommunity bajo Código NAICS 54151, recopila, utiliza, comparte y protege la información personal procesada a través del Servicio. Al usar la Plataforma usted acepta las prácticas descritas aquí. Esta política cumple con la Ley 174-2012 de Puerto Rico (Protección del Consumidor en comercio electrónico) y se informa por estándares internacionales aplicables cuando aplique (CCPA, GDPR).
2. Roles en el tratamiento de datos
Cada comunidad Cliente que usa la Plataforma es el **responsable del tratamiento (data controller)** de los datos personales de sus residentes, propietarios, visitantes, proveedores y terceros relacionados. VCommunity actúa como **encargado del tratamiento (data processor)**, procesando datos exclusivamente según las instrucciones documentadas del Cliente y para los fines de prestación del Servicio. Un Acuerdo de Procesamiento de Datos (DPA) está disponible a solicitud para Clientes que requieran documento formal separado.
3. Categorías de información que recopilamos
Procesamos las siguientes categorías: (a) **datos de identificación**: nombre, correo electrónico, teléfono, número de unidad, rol dentro de la comunidad; (b) **datos de contacto**: dirección de la comunidad, redes sociales institucionales; (c) **datos financieros operativos**: cargos mensuales, pagos realizados, historial de balance (no almacenamos números de tarjetas ni datos bancarios sensibles — ver Sección 6); (d) **contenido generado por el Cliente**: documentos, fotos, comunicaciones internas, actas, solicitudes de mantenimiento, autorizaciones de acceso; (e) **datos técnicos**: dirección IP, user agent, identificadores de sesión, timestamps de acceso; (f) **datos de facturación de la suscripción**: si paga por Stripe, datos procesados directamente por Stripe bajo sus términos.
4. Finalidades y base legal del tratamiento
Usamos la información para: (a) proveer y mantener el Servicio — base legal: ejecución del contrato de suscripción; (b) facilitar comunicación entre la comunidad y sus residentes — ejecución del contrato + instrucciones del Cliente; (c) procesar pagos de la suscripción — ejecución del contrato; (d) cumplimiento legal y regulatorio — obligación legal; (e) seguridad de la Plataforma y detección de fraude — interés legítimo; (f) mejora del Servicio y análisis agregado no identificable — interés legítimo; (g) comunicaciones operativas esenciales al Cliente (notificaciones de seguridad, cambios a los Términos) — ejecución del contrato. **No usamos los datos para publicidad, perfilado comercial, ni venta a terceros.**
5. No vendemos datos personales
VCommunity **no vende, alquila ni comercializa** información personal de Clientes, sus residentes o visitantes. No compartimos datos con redes publicitarias, brokers de datos, ni terceros con fines comerciales no relacionados con la operación del Servicio. Esto aplica independientemente de la jurisdicción del Cliente (incluyendo residentes de California bajo CCPA).
6. Procesamiento de pagos y no almacenamiento de datos financieros sensibles
VCommunity **no almacena** números de tarjetas de crédito, CVV, ni datos bancarios sensibles de cuentas. El procesamiento de pagos ocurre directamente en Stripe (para la suscripción SaaS y para cobros residenciales cuando el Cliente lo activa) o ATH Móvil (cuando el Cliente lo activa para cobros residenciales). Estos procesadores son responsables del cumplimiento PCI-DSS y operan bajo sus propias políticas de privacidad. VCommunity recibe únicamente identificadores opacos (IDs de transacción, últimos 4 dígitos de tarjeta si aplica) para reconciliación operativa.
7. Aislamiento multi-tenant de los datos
Los datos de cada comunidad Cliente están aislados lógicamente dentro de la Plataforma mediante un mecanismo multi-tenant auditable. Ninguna comunidad puede acceder a datos de otra comunidad. Cada consulta a la base de datos es filtrada automáticamente por el identificador de la comunidad activa. Este aislamiento ha sido verificado mediante pruebas automatizadas continuas.
8. Subprocesadores — terceros que procesan datos por nuestra cuenta
VCommunity utiliza los siguientes subprocesadores para operar el Servicio, todos bajo acuerdos que exigen protección razonable de los datos: **Stripe** (Irlanda / EE. UU.) — procesamiento de pagos; **Resend** (EE. UU.) — envío de correos transaccionales; **Sentry** (EE. UU.) — monitoreo de errores técnicos, incluye anonimización de payloads sensibles; **Hetzner Online GmbH** (Alemania) — hosting de la Plataforma; **Cloudflare** (EE. UU.) — protección DDoS y CDN si aplica. La lista se mantiene actualizada; cambios materiales se notifican al Cliente con 30 días de anticipación. El uso de estos subprocesadores puede implicar transferencias internacionales de datos descritas en la Sección 9.
9. Transferencias internacionales
Algunos subprocesadores operan infraestructura fuera de Puerto Rico y Estados Unidos. Específicamente, los datos almacenados en la Plataforma residen primariamente en servidores en Alemania (Hetzner) o en Estados Unidos, según la configuración vigente. Las transferencias internacionales se realizan bajo salvaguardas apropiadas como Standard Contractual Clauses (SCC) de la Comisión Europea cuando aplica, o bajo marcos de adequacy reconocidos. El Cliente consiente a estas transferencias al usar el Servicio.
10. Seguridad — medidas técnicas y organizativas
Implementamos medidas razonables para proteger la información: (a) **encriptación en tránsito** obligatoria vía HTTPS/TLS; (b) **encriptación en reposo** para columnas de datos personales sensibles (teléfono, dirección, WhatsApp) y credenciales de proveedores de pago; (c) **contraseñas** almacenadas con hashing bcrypt; (d) **autenticación de dos factores** (2FA) obligatoria para accesos administrativos a nivel plataforma; (e) **backups automáticos** con retención razonable; (f) **registros de auditoría** (activity log) de acciones sensibles; (g) **actualizaciones de seguridad** regulares; (h) **aislamiento de red** y **rate limiting** en endpoints públicos; (i) **monitoreo** continuo de errores y tráfico sospechoso.
11. Notificación de incidentes de seguridad
En caso de un incidente de seguridad que afecte datos personales, VCommunity notificará al Cliente afectado sin demora irrazonable, conforme a la **Ley 111-2005 de Puerto Rico (Ley de Información al Ciudadano y Protección de su Información Personal)** y demás legislación aplicable. La notificación se hará tan pronto como sea razonable dadas las circunstancias del incidente y las medidas necesarias para determinar su alcance, e incluirá: (a) naturaleza del incidente, (b) categorías y volumen aproximado de datos comprometidos, (c) medidas tomadas para contener y remediar, (d) recomendaciones al Cliente para mitigar riesgos a sus residentes. Cuando la legislación aplicable lo requiera, también notificaremos al Departamento de Asuntos del Consumidor (DACO) u otra autoridad competente.
12. Retención de datos
Retenemos los datos según las siguientes reglas: (a) **datos operativos activos**: mientras la suscripción esté vigente; (b) **logs de auditoría**: mínimo 12 meses, máximo 36 meses; (c) **datos tras cancelación**: disponibles para exportación durante 30 días desde la fecha efectiva de cancelación, luego eliminados permanentemente de los sistemas productivos salvo obligación legal de retención; (d) **backups**: rotación estándar (30-90 días según criticidad); (e) **datos financieros y registros de facturación**: retención mínima 7 años por obligación fiscal y contable.
13. Derechos de los titulares de datos
Bajo la Ley 174 de Puerto Rico y estándares internacionales aplicables, los titulares de datos (residentes, usuarios) tienen derecho a: (a) **acceso** — solicitar qué datos tenemos sobre ellos; (b) **rectificación** — corregir datos incorrectos o desactualizados; (c) **eliminación** — solicitar eliminación de sus datos cuando sea legalmente posible; (d) **portabilidad** — recibir sus datos en formato estructurado y legible por máquina (CSV/JSON); (e) **oposición** — oponerse a ciertos tratamientos; (f) **limitación** — solicitar restricción temporal del tratamiento. **Cómo ejercerlos**: el titular debe dirigirse primero al administrador de su comunidad, que es el responsable del tratamiento. Si la solicitud afecta la Plataforma misma o no puede resolverse a nivel comunidad, contacte directamente a VCommunity en info@jbhostdesign.com. Las solicitudes se responden en un plazo razonable, no mayor a 30 días.
14. Menores de edad
La Plataforma no está diseñada para uso directo por menores de 18 años como usuarios administrativos. Los administradores de comunidades pueden incluir menores como residentes asociados a una unidad, pero esta información es ingresada por el Cliente bajo su responsabilidad y con el consentimiento de los padres, tutores legales o representantes autorizados, conforme al Children's Online Privacy Protection Act (COPPA, federal, para menores de 13) y a la legislación aplicable de Puerto Rico. VCommunity no recolecta activamente datos de menores de edad y no permite que menores se registren directamente como usuarios administrativos.
15. Cookies y tecnologías similares
Utilizamos cookies estrictamente necesarias para el funcionamiento de la Plataforma: (a) **cookies de sesión** para autenticación; (b) **cookies de preferencia** para el idioma y configuración de la interfaz; (c) **token CSRF** para seguridad anti-falsificación; (d) **cookies técnicas del proveedor de hosting/CDN** (Cloudflare cuando aplique). No usamos cookies de publicidad, tracking de terceros, ni analytics invasivos. Sentry puede establecer un identificador técnico por sesión para agrupar errores; este no es usado para tracking comercial.
16. Cumplimiento con CCPA (residentes de California)
Si un residente o usuario es residente del estado de California, EE. UU., tiene derechos adicionales bajo la California Consumer Privacy Act (CCPA) incluyendo el derecho a conocer, el derecho a la eliminación, y el derecho a no ser discriminado por ejercer sus derechos. Reiteramos que no vendemos información personal en el sentido de la CCPA. Para ejercer derechos CCPA, contacte al administrador de su comunidad o directamente a VCommunity.
17. Cumplimiento con GDPR (residentes de la Unión Europea)
Si un usuario es residente en el Espacio Económico Europeo (EEE), tiene los derechos adicionales establecidos bajo el Reglamento General de Protección de Datos (GDPR), incluyendo el derecho a presentar una reclamación ante una autoridad de protección de datos. Para estos usuarios, el administrador de su comunidad actúa como responsable del tratamiento (controller) y VCommunity como encargado (processor), bajo las condiciones descritas en esta política y el DPA correspondiente.
18. Cambios a esta Política
Esta Política puede actualizarse periódicamente para reflejar cambios en el Servicio, normativa aplicable o mejores prácticas. Los cambios materiales se notificarán al administrador de cada comunidad por correo electrónico y se publicarán con al menos 30 días de anticipación. Los cambios entran en vigor en la fecha indicada. El uso continuado del Servicio tras dicha fecha constituye aceptación de la política actualizada.
19. Autoridades de control y quejas
En Puerto Rico, el usuario puede presentar quejas relacionadas con la protección de datos o prácticas comerciales ante el **Departamento de Asuntos del Consumidor (DACO)** o, según aplique, ante el **Departamento de Justicia de Puerto Rico**. Los usuarios en la UE pueden contactar a la autoridad de protección de datos de su país. Animamos a los usuarios a contactarnos primero para resolver inquietudes.
20. Contacto y Oficial de Privacidad
Para cualquier consulta, solicitud de ejercicio de derechos, solicitud de copia del DPA, o reporte de incidente: **Correo**: info@jbhostdesign.com · **Teléfono**: (787) 239-5227 · **Entidad**: JB Host & Web Design, Puerto Rico. Dirigimos las consultas de privacidad directamente. Si el volumen del Servicio requiere designación formal de Data Protection Officer, lo comunicaremos en esta sección.