Política de Privacidad

1. Responsable del tratamiento

El responsable es Foundster Corporate Services FZCO, IFZA Business Park – DDP, Building A1, Dubai Silicon Oasis, Emiratos Árabes Unidos. Licencia n.º 41494 emitida por la Dubai Integrated Economic Zones Authority (DIEZ). Contacto: support@foundster.com.

2. Categorías de datos tratados

• Datos de identificación y contacto: nombre, e-mail, teléfono, nacionalidad, país de residencia.
• Datos de onboarding y KYC: pasaporte, Emirates ID, comprobante de domicilio, firmas, titulares reales — obligatorio bajo AML/KYC EAU.
• Datos de cuenta y uso: credenciales (hash), metadatos de dispositivo/navegador, IP, páginas visitadas, acciones en CompanyCockpit.
• Datos de pago: procesados por Stripe; Foundster no almacena números completos de tarjeta.
• Datos de afiliación / tracking: click IDs, cookies de atribución, eventos de conversión.
• Contenido voluntario: chats con Foundster AI, e-mails de soporte, formularios de contacto.

3. Finalidades y bases jurídicas

• Prestar los Servicios — ejecución del contrato.
• Cumplimiento de obligaciones legales (AML/CFT EAU, fiscalidad, registro) — obligación legal.
• Mejorar la plataforma, prevenir fraude y mantener seguridad — interés legítimo.
• Comunicaciones transaccionales y (con consentimiento) marketing — consentimiento.
• Programa de afiliados — ejecución del contrato e interés legítimo en atribución justa.

3a. Herramienta Tax Check (foundster.com/tax-check)

Tax Check es una herramienta gratuita y anónima que produce un análisis personalizado de relocalización fiscal a los EAU. El flujo de datos difiere del resto de Servicios:

• Respuestas del formulario: procesadas en memoria para ejecutar el motor de reglas y el narrador de IA. No se almacenan en base de datos. Base jurídica: art. 6(1)(b) RGPD / PDPL art. 5(2).
• Notas de contexto opcionales: filtradas contra prompt-injection, enviadas a Google Gemini AI (Bélgica/UE) durante la generación del informe, luego descartadas.
• Informe generado: almacenado bajo un token firmado con HMAC durante máximo 30 minutos hasta que lo desbloquees con tu email. Borrado en 60 minutos tras desbloqueo o caducidad.
• Email y nombre (solo tras envío explícito del formulario): almacenados para entregar el informe y — si marcaste la casilla opcional de marketing — para actualizaciones ocasionales. Base jurídica: consentimiento.
• Hash anónimo de IP: hash SHA-256 mantenido 24h en memoria para limitar la tasa (máx. 3 chequeos por IP/día). La IP en bruto no se almacena.
• Seguimiento de marketing: solo con consentimiento. Máximo tres correos de seguimiento. Cancelación con un clic.
• Derecho de supresión: escribe a support@foundster.com — eliminamos tu Tax Check Lead en 30 días.

4. Cookies, almacenamiento local y seguimiento

Usamos cookies estrictamente necesarias para autenticación, idioma, atribución de socios y la sesión del asistente de pedido. Están exentas del requisito de consentimiento (Considerando 30 RGPD / art. 5(3) segunda frase de la Directiva ePrivacy) porque el sitio no funciona sin ellas.

Con tu consentimiento explícito, también cargamos Google Analytics 4 (operado por Google Ireland Ltd. como corresponsable / Google LLC) para entender el uso agregado de foundster.com. Ejecutamos Analytics en Google Consent Mode v2 con estado predeterminado `denied` — ninguna solicitud de Analytics sale de tu navegador hasta que pulses «Aceptar» en el banner. La IP se anonimiza (`anonymize_ip`) y Google Signals y la personalización publicitaria están desactivados. Base legal: tu consentimiento (art. 6(1)(a) RGPD / art. 4(1) PDPL). Puedes retirar el consentimiento en cualquier momento desde Configuración de cookies en el pie de página o borrando las cookies en tu navegador.

• `foundster_consent_v2` (necesaria, la establecemos nosotros) — recuerda tu elección (`granted` / `denied`); 12 meses.
• `_ga` (analítica, solo con consentimiento) — distingue usuarios para Google Analytics; 24 meses.
• `_ga_<container-id>` (analítica, solo con consentimiento) — estado de sesión de Google Analytics; 24 meses.
• Almacenamiento local — idioma, atribución de socios (365 días), borrador del pedido. Ningún tercero lee este almacenamiento.

5. Destinatarios y encargados

• Stripe — procesamiento de pagos (Irlanda/EE. UU.).
• Google Cloud / Google AI (Gemini API) — asistente de IA, narrador de Tax Check e infraestructura (Bélgica/EE. UU.).
• Google Ireland Ltd. / Google LLC — Google Analytics 4 (Irlanda/EE. UU.), solo tras tu consentimiento a la analítica.
• Mailgun (Sinch) — entrega de email transaccional (Irlanda/EE. UU.) para informes de Tax Check y confirmaciones de pedido.
• Replit, Inc. — hosting (EE. UU.).
• Herramientas de soporte bajo contratos de encargo.
• No vendemos tus datos personales.

6. Transferencias internacionales

Los datos pueden tratarse fuera de los EAU (especialmente UE/EE. UU.). Para las transferencias utilizamos Cláusulas Contractuales Tipo, decisiones de adecuación o — conforme al art. 22 PDPL — garantías equivalentes. Copia disponible bajo solicitud.

7. Plazos de conservación

Conservamos los datos solo durante el tiempo necesario para los fines indicados y para cumplir los plazos legales EAU (normalmente hasta 5 años tras el fin de la relación comercial).

8. Tus derechos

Bajo PDPL y (cuando aplique) RGPD tienes derecho a acceso, rectificación, supresión, limitación, oposición, retirada del consentimiento y portabilidad. Puedes reclamar ante la UAE Data Office o tu autoridad local. Escribe a support@foundster.com.

9. Seguridad

Aplicamos medidas técnicas y organizativas apropiadas: TLS 1.3 en tránsito, AES-256 en reposo, accesos por rol, auditoría y mínimo privilegio.

10. Cambios en esta política

Actualizamos esta política cuando cambian nuestras prácticas. Los cambios sustanciales se comunican por e-mail o aviso in-app.