POLÍTICA DE PRIVACIDAD GLOBAL DE DOCUBLOCK
Fecha de entrada en vigor: 1 de diciembre de 2025
PREÁMBULO
El presente Aviso de Privacidad Global (“Aviso”) establece el marco jurídico, técnico y organizacional bajo el cual Docublock Inc. (Delaware, EE. UU.), Docublock Ltd. (Londres, Reino Unido) y Docublock Colombia S.A.S. (Bogotá, Colombia) conjuntamente, “Docublock” tratan Datos Personales en el contexto de sus servicios de firma inmutable, validación de identidad digital, biometría, automatización documental, expedientes probatorios, workflows empresariales, infraestructura blockchain y modelos de inteligencia artificial.
Este Aviso cumple con las principales leyes globales de protección de datos:
GDPR, UK GDPR, ePrivacy, CCPA/CPRA, LGPD, Ley 1581 de Colombia, BIPA/CUBI (biometría),
y con estándares internacionales de seguridad y privacidad: ISO 27001, ISO 27701, SOC 2, NIST CSF.
Al utilizar los Servicios, usted declara que ha leído, entendido y aceptado este Aviso. Este documento forma parte de los Términos y Condiciones de Docublock y es vinculante.
1. Definiciones
Datos Personales: Información que identifica o puede identificar a una persona natural.
Datos Sensibles: Datos biométricos, orientación, salud, información especialmente protegida.
Tratamiento: Cualquier operación realizada sobre Datos Personales.
Responsable: Entidad que determina los fines y medios del tratamiento.
Encargado: Entidad que trata datos por instrucción del Responsable.
Corresponsables: Entidades que determinan conjuntamente fines y medios.
Datos de Identidad Digital: Fotografías, videos, biometría facial, liveness, validación ANI, OCR, señales del dispositivo, patrones de comportamiento y metadatos utilizados para verificar identidad.
Metadatos Técnicos: Logs, timestamps, IP, user-agent, información de dispositivo, auditorías.
Blockchain Artifact: Hash, raíz criptográfica, firma inmutable o sello de tiempo irreversible registrado en blockchain.
IA Docublock: Modelos propios y/o modelos operados bajo estrictos acuerdos de privacidad, usados para validación, prevención de fraude, análisis de patrones y automatización.
Transferencia Internacional: Movimiento de Datos Personales a jurisdicciones fuera del país de origen.
DPIA: Evaluación de Impacto de Privacidad (GDPR Art. 35).
2. Identidad del Responsable
Según su ubicación y la modalidad de uso:
Docublock Inc. — EE. UU.
Docublock Ltd. — Reino Unido
Docublock Colombia S.A.S. — Colombia
Cuando un cliente empresarial integra Docublock en sus procesos (firma, validación de identidad, workflows, formularios), dicho cliente puede actuar como Responsable, y Docublock actuará como Encargado, conforme al MSA/DPA aplicable.
Docublock mantendrá, cuando la ley lo requiera, un Representante en la UE/UK y podrá designar un Delegado de Protección de Datos (DPO) cuyas credenciales se incluirán en este Aviso o serán publicadas en la web de privacidad.
3. Alcance del Aviso
Este Aviso aplica a:
Plataforma web y móvil
Módulo de firma inmutable
Validación de identidad digital
SDKs, APIs y webhooks
Formularios dinámicos
Blocks documentales
Infraestructura blockchain
Modelos de IA operados por Docublock
Clientes empresariales y usuarios finales
Sistemas internos de auditoría, seguridad y monitoreo
4. Datos Personales que Recolectamos
4.1. Datos proporcionados por el Usuario
Identificación (nombre, documento, email, teléfono).
Fotografías y videos.
Biometría facial (vectores cifrados).
Liveness activo/pasivo.
Firma digital/electrónica.
Documentos cargados.
Datos ingresados en formularios.
4.2. Datos tratados como Encargado
Documentos empresariales.
Formularios.
Identidad de firmantes.
Metadatos documentales.
4.3. Datos recolectados automáticamente
Dirección IP.
Tipo de dispositivo.
Navegador.
Logs de auditoría.
Timestamps.
Geolocalización (previo consentimiento explícito).
4.4. Datos obtenidos de terceros
Servicios de validación de identidad.
Registros públicos/autorizados.
APIs del cliente empresarial.
4.5. Datos relacionados con blockchain
Docublock almacena únicamente artefactos irreversibles:
hashes,
raíces criptográficas,
timestamps.
Nunca se almacenan documentos completos ni datos personales en texto claro en blockchain.
5. Finalidades del Tratamiento
Tratamos los datos para:
Prestación del servicio.
Validación biométrica y ANI.
Firma digital inmutable.
Prevención de fraude.
Auditoría y trazabilidad.
Cumplimiento legal y regulatorio.
Entrenamiento de IA bajo anonimización/seudonimización.
Seguridad y defensa técnica.
Gestión contractual B2B.
Notificaciones operativas.
6. Bases Legales
Dependiendo de la jurisdicción:
Ejecución del contrato (Art. 6(1)(b) GDPR).
Interés legítimo para seguridad, auditoría y prevención de fraude (Art. 6(1)(f)).
Consentimiento explícito para biometría y geolocalización (Art. 9(2)(a) GDPR).
Obligación legal (KYC/KYB cuando aplique).
Interés público sustancial (seguridad y prevención de fraude, Art. 9(2)(g), cuando aplicable y permitido).
7. Biometría (GDPR / BIPA / CUBI)
Docublock trata biometría exclusivamente para validación de identidad, seguridad y prevención de fraude.
Para usuarios en EE. UU., especialmente Illinois (BIPA) y Texas/California (CUBI/CAL-BIPA), Docublock:
obtiene consentimiento explícito,
elimina datos biométricos después del plazo permitido,
no vende, no comercia y no divulga biometría,
mantiene políticas de retención coherentes con la ley (sección Anexo F).
8. Tratamiento en Blockchain
Los artefactos almacenados en blockchain no pueden modificarse ni eliminarse.
La supresión solo aplica a datos off-chain.
Docublock informa al Usuario y al Cliente que la inmutabilidad es inherente a la tecnología.
9. Inteligencia Artificial y Terceros
Docublock utiliza IA para:
detección de fraude,
validación de identidad,
análisis de patrones,
automatización de documentos y flujos.
9.1. IA de terceros / subprocesadores
Cuando se utilicen modelos externos (OpenAI, Anthropic, AWS Bedrock u otros), Docublock garantiza contractualmente que:
no pueden usar los datos para entrenar modelos generales;
actúan únicamente como Encargados;
aplican cifrado, retención mínima y controles de privacidad equivalentes a SOC 2 e ISO 27001;
las transferencias internacionales cumplen con SCCs/IDTA.
9.2. No decisión automatizada sin intervención humana
Docublock no adopta decisiones jurídicas o contractuales basadas exclusivamente en IA sin supervisión humana, conforme al Art. 22 GDPR.
10. Divulgación de Datos Personales
Podemos divulgar datos a:
proveedores tecnológicos esenciales,
empresas del grupo Docublock,
clientes empresariales (en modo Encargado),
autoridades competentes,
subprocesadores aprobados.
Docublock no vende Datos Personales.
11. Transferencias Internacionales
Se utilizan mecanismos jurídicos válidos:
SCCs (EU)
IDTA (UK)
Cláusulas LGPD Art. 33–36
Contratos de Encargado
Reglas Corporativas Internas (cuando aplique)
Rutas comunes:
UE → UK → USA
Colombia → USA
Brasil → USA
USA → subprocesadores certificados
12. Derechos del Titular
Usted puede solicitar:
acceso
rectificación
supresión
oposición
limitación
portabilidad
revocación del consentimiento
no ser objeto de decisiones automatizadas
Correo: privacy@docublock.co / privacy@docublock.uk
13. Seguridad de la Información
Docublock implementa un marco de seguridad Zero-Trust:
ISO 27001 / ISO 27701
SOC 2
NIST CSF
OWASP ASVS
CIFRADO AES-256, TLS 1.3
Hashing SHA-256 / SHA-3
Segregación de ambientes
Rotación de claves
Monitoreo continuo
MFA
14. Cookies y Tecnologías de Seguimiento
El uso de cookies se regula en la Política de Cookies de Docublock.
El usuario podrá gestionarlas conforme a ePrivacy/GDPR.
15. Retención y Eliminación
Logs: 10 años
Biometría: 6 meses a 2 años (según ley)
Identidad digital: 5–10 años
Formularios y documentos: según contrato + ley aplicable
Blockchain artifacts: permanentes
Tabla completa en Anexo F.
16. Riesgos Residuales
El Usuario comprende que:
ningún sistema es invulnerable,
blockchain no permite eliminación,
la supresión aplica solo a datos off-chain,
el Cliente es responsable del contenido cargado,
Docublock no valida la veracidad de los documentos cargados.
17. Menores de Edad
No permitimos el uso sin autorización verificable.
Eliminaremos datos detectados de menores sin consentimiento válido.
18. Cambios al Aviso
Podremos actualizar este Aviso y publicaremos la versión vigente en:
https://docublock.co/privacy
19. Datos de Contacto
Docublock Inc. — New York, USA
privacy@docublock.uk
Docublock Ltd. — London, UK
Docublock Colombia S.A.S. — Bogotá, Colombia
20. ANEXOS
Docublock podrá tratar datos personales bajo las siguientes bases legales:
A1. Base legal del tratamiento (Art. 6 GDPR)
Docublock podrá tratar datos personales bajo las siguientes bases legales:
Ejecución de un contrato – Art. 6(1)(b)
Para prestar los Servicios (firma inmutable, validación de identidad, creación de expedientes, workflows, formularios dinámicos).
Interés legítimo – Art. 6(1)(f)
Para seguridad, prevención de fraude, auditoría, trazabilidad y defensa judicial.
Consentimiento – Art. 6(1)(a)
Para tratamientos que requieran consentimiento explícito (ej. biometría, geolocalización, cookies analíticas).
Obligación legal – Art. 6(1)(c)
Cuando existan regulaciones aplicables (KYC/KYB, retención de ciertos registros).
A2. Bases legales para Datos Sensibles (Art. 9 GDPR)
Docublock trata datos biométricos con consentimiento explícito, bajo:
Art. 9(2)(a) – Consentimiento explícito del interesado.
Art. 9(2)(g) – Interés público sustancial (prevención de fraude), cuando la ley local lo permita.
Docublock no utiliza datos biométricos para identificación masiva, marketing, perfilamiento comercial ni entrenamiento de modelos generales.
A3. Derechos del interesado (Art. 12–22 GDPR)
Los Usuarios pueden ejercer:
Acceso
Rectificación
Supresión
Portabilidad
Limitación
Oposición
Retiro del consentimiento
Solicitar intervención humana (Art. 22)
Los derechos se gestionan a través de:
privacy@docublock.co
A4. Delegado y Representante en la UE
Docublock podrá designar:
Representante UE conforme a Art. 27.
DPO cuando el volumen o la naturaleza del tratamiento lo requiera.
Sus datos serán publicados en la web de Docublock.
A5. Transferencias internacionales (Art. 44–49 GDPR)
Docublock utiliza:
SCCs (2021)
IDTA / Addendum UK
Cláusulas contractuales LGPD
Adequacy Decisions cuando aplican
Antes de transferir datos fuera de la UE, Docublock realiza una Transfer Impact Assessment (TIA).
A6. DPIA (Art. 35)
Docublock podrá realizar una Evaluación de Impacto de Privacidad, especialmente en:
biometría,
IA,
prevención de fraude,
blockchain,
validación documental.
La plantilla oficial está incluida en el Anexo H.
A7. Subprocesadores
Docublock mantiene una lista actualizada de subprocesadores:
infraestructura,
biometría,
IA,
correo,
seguridad,
análisis.
Todos cumplen GDPR + SCCs.
ANEXO B — UK GDPR (Reino Unido)
Tras el Brexit, Docublock cumple con:
UK GDPR
Data Protection Act 2018
ICO guidance
Transferencias bajo UK GDPR
Se utilizan:
IDTA (International Data Transfer Agreement)
UK Addendum a SCCs
Derechos del interesado
Equivalentes al GDPR de la UE, administrados a través de los mismos canales.
ICO Supervisory Authority
Docublock reconoce la autoridad de la ICO cuando trate datos de residentes del Reino Unido.
ANEXO C — LGPD (BRASIL)
C1. Bases legales (Art. 7 y 11 LGPD)
Para datos personales:
Ejecución del contrato
Cumplimiento legal
Interés legítimo
Consentimiento
Para datos sensibles (incluyendo biometría):
Consentimiento
Cumplimiento legal
Prevención de fraude y seguridad
C2. Derechos del titular (Art. 18)
Incluyen:
Confirmación
Acceso
Rectificación
Anonimización
Eliminación
Portabilidad
Revocación
Información sobre uso compartido
Plazo de respuesta: 15 días.
C3. Transferencias internacionales (Art. 33–36)
Permitidas mediante:
cláusulas contractuales,
garantías adecuadas,
consentimiento,
normas corporativas.
ANEXO D — CCPA/CPRA (California, EE. UU.)
Docublock actúa como:
Business (cuando ofrece servicios directamente al usuario), y/o
Service Provider (cuando el cliente empresarial es el responsable).
Derechos del consumidor (California)
Derecho a saber
Derecho a borrar
Derecho a corregir
Derecho a optar por “Do Not Sell / Do Not Share”
Derecho a limitar el uso de datos sensibles
Docublock no vende datos personales según la definición de la CCPA.
ANEXO E — COLOMBIA (Ley 1581 / Decreto 1377 / SIC)
E1. Responsable local
Docublock Colombia S.A.S.
E2. Derechos del titular
Conocer
Actualizar
Rectificar
Suprimir
Revocar
Presentar quejas ante la SIC
E3. Procedimiento
Respuestas dentro de los términos establecidos:
Consultas: 10 días
Reclamos: 15 días prorrogables
ANEXO F — TABLA GLOBAL DE RETENCIÓN DE DATOS
| **Categoría** | **Retención** | **Base Legal / Técnica** |
| --------------------------- | --------------------------------- | --------------------------- |
| Logs técnicos | 10 años | Seguridad / auditoría |
| Artefactos blockchain | Permanente | Inmutabilidad técnica |
| Identidad digital | 5–10 años | Contrato / defensa judicial |
| Formularios | 5 años | Contrato |
| Documentos | Según contrato + obligación legal | Legal |
| Biometría | 6–24 meses | Consentimiento / seguridad |
| Información contractual B2B | Vigencia + 10 años | Obligación legal |
| **Categoría** | **Retención** | **Base Legal / Técnica** |
| --------------------------- | --------------------------------- | --------------------------- |
| Logs técnicos | 10 años | Seguridad / auditoría |
| Artefactos blockchain | Permanente | Inmutabilidad técnica |
| Identidad digital | 5–10 años | Contrato / defensa judicial |
| Formularios | 5 años | Contrato |
| Documentos | Según contrato + obligación legal | Legal |
| Biometría | 6–24 meses | Consentimiento / seguridad |
| Información contractual B2B | Vigencia + 10 años | Obligación legal |
La eliminación siempre aplica solo a datos off-chain, nunca a blockchain artifacts.
ANEXO G — MAPAS DE FLUJOS INTERNACIONALES (GDPR Art. 30)
G1. Flujos Operativos
UE → UK → USA
Colombia → USA
Brasil → USA
USA → subprocesadores autorizados
USA ↔ UE (SCCs)
USA ↔ UK (IDTA)
G2. Categorías de datos transferidos
Identidad
Biometría (cifrada)
Documentos
Formularios
Logs y metadatos
Evidencia técnica
G3. Medidas de seguridad
cifrado en tránsito y reposo
minimización
acceso con MFA
segmentación
monitoreo continuo
ANEXO H — PLANTILLA DPIA (Evaluación de Impacto)
Esta plantilla incluye:
H1. Descripción del tratamiento
actividades
categorías de datos
actores involucrados
tecnologías usadas
H2. Análisis de necesidad y proporcionalidad
justificación jurídica
relación con finalidades
H3. Evaluación de riesgos
probabilidad × impacto
riesgos para los derechos del titular
H4. Medidas de mitigación
seguridad técnica
seguridad organizacional
gobernanza
H5. Validación
revisión interna
intervención del DPO
registro de decisiones
ANEXO I — CONTROLES ISO 27701 / SOC 2
I1. Controles ISO 27701 (PII Controller / Processor)
Política de protección de datos
Minimización
Limitación de propósito
Retención
Transparencia
Gobernanza y accountability
Gestión de riesgos
Auditorías y controles
ANEXO I — CONTROLES ISO 27701 / SOC 2
I1. Controles ISO 27701 (PII Controller / Processor)
Política de protección de datos
Minimización
Limitación de propósito
Retención
Transparencia
Gobernanza y accountability
Gestión de riesgos
Auditorías y controles
Fecha de entrada en vigor: 1 de diciembre de 2025
PREÁMBULO
El presente Aviso de Privacidad Global (“Aviso”) establece el marco jurídico, técnico y organizacional bajo el cual Docublock Inc. (Delaware, EE. UU.), Docublock Ltd. (Londres, Reino Unido) y Docublock Colombia S.A.S. (Bogotá, Colombia) conjuntamente, “Docublock” tratan Datos Personales en el contexto de sus servicios de firma inmutable, validación de identidad digital, biometría, automatización documental, expedientes probatorios, workflows empresariales, infraestructura blockchain y modelos de inteligencia artificial.
Este Aviso cumple con las principales leyes globales de protección de datos:
GDPR, UK GDPR, ePrivacy, CCPA/CPRA, LGPD, Ley 1581 de Colombia, BIPA/CUBI (biometría),
y con estándares internacionales de seguridad y privacidad: ISO 27001, ISO 27701, SOC 2, NIST CSF.
Al utilizar los Servicios, usted declara que ha leído, entendido y aceptado este Aviso. Este documento forma parte de los Términos y Condiciones de Docublock y es vinculante.
1. Definiciones
Datos Personales: Información que identifica o puede identificar a una persona natural.
Datos Sensibles: Datos biométricos, orientación, salud, información especialmente protegida.
Tratamiento: Cualquier operación realizada sobre Datos Personales.
Responsable: Entidad que determina los fines y medios del tratamiento.
Encargado: Entidad que trata datos por instrucción del Responsable.
Corresponsables: Entidades que determinan conjuntamente fines y medios.
Datos de Identidad Digital: Fotografías, videos, biometría facial, liveness, validación ANI, OCR, señales del dispositivo, patrones de comportamiento y metadatos utilizados para verificar identidad.
Metadatos Técnicos: Logs, timestamps, IP, user-agent, información de dispositivo, auditorías.
Blockchain Artifact: Hash, raíz criptográfica, firma inmutable o sello de tiempo irreversible registrado en blockchain.
IA Docublock: Modelos propios y/o modelos operados bajo estrictos acuerdos de privacidad, usados para validación, prevención de fraude, análisis de patrones y automatización.
Transferencia Internacional: Movimiento de Datos Personales a jurisdicciones fuera del país de origen.
DPIA: Evaluación de Impacto de Privacidad (GDPR Art. 35).
2. Identidad del Responsable
Según su ubicación y la modalidad de uso:
Docublock Inc. — EE. UU.
Docublock Ltd. — Reino Unido
Docublock Colombia S.A.S. — Colombia
Cuando un cliente empresarial integra Docublock en sus procesos (firma, validación de identidad, workflows, formularios), dicho cliente puede actuar como Responsable, y Docublock actuará como Encargado, conforme al MSA/DPA aplicable.
Docublock mantendrá, cuando la ley lo requiera, un Representante en la UE/UK y podrá designar un Delegado de Protección de Datos (DPO) cuyas credenciales se incluirán en este Aviso o serán publicadas en la web de privacidad.
3. Alcance del Aviso
Este Aviso aplica a:
Plataforma web y móvil
Módulo de firma inmutable
Validación de identidad digital
SDKs, APIs y webhooks
Formularios dinámicos
Blocks documentales
Infraestructura blockchain
Modelos de IA operados por Docublock
Clientes empresariales y usuarios finales
Sistemas internos de auditoría, seguridad y monitoreo
4. Datos Personales que Recolectamos
4.1. Datos proporcionados por el Usuario
Identificación (nombre, documento, email, teléfono).
Fotografías y videos.
Biometría facial (vectores cifrados).
Liveness activo/pasivo.
Firma digital/electrónica.
Documentos cargados.
Datos ingresados en formularios.
4.2. Datos tratados como Encargado
Documentos empresariales.
Formularios.
Identidad de firmantes.
Metadatos documentales.
4.3. Datos recolectados automáticamente
Dirección IP.
Tipo de dispositivo.
Navegador.
Logs de auditoría.
Timestamps.
Geolocalización (previo consentimiento explícito).
4.4. Datos obtenidos de terceros
Servicios de validación de identidad.
Registros públicos/autorizados.
APIs del cliente empresarial.
4.5. Datos relacionados con blockchain
Docublock almacena únicamente artefactos irreversibles:
hashes,
raíces criptográficas,
timestamps.
Nunca se almacenan documentos completos ni datos personales en texto claro en blockchain.
5. Finalidades del Tratamiento
Tratamos los datos para:
Prestación del servicio.
Validación biométrica y ANI.
Firma digital inmutable.
Prevención de fraude.
Auditoría y trazabilidad.
Cumplimiento legal y regulatorio.
Entrenamiento de IA bajo anonimización/seudonimización.
Seguridad y defensa técnica.
Gestión contractual B2B.
Notificaciones operativas.
6. Bases Legales
Dependiendo de la jurisdicción:
Ejecución del contrato (Art. 6(1)(b) GDPR).
Interés legítimo para seguridad, auditoría y prevención de fraude (Art. 6(1)(f)).
Consentimiento explícito para biometría y geolocalización (Art. 9(2)(a) GDPR).
Obligación legal (KYC/KYB cuando aplique).
Interés público sustancial (seguridad y prevención de fraude, Art. 9(2)(g), cuando aplicable y permitido).
7. Biometría (GDPR / BIPA / CUBI)
Docublock trata biometría exclusivamente para validación de identidad, seguridad y prevención de fraude.
Para usuarios en EE. UU., especialmente Illinois (BIPA) y Texas/California (CUBI/CAL-BIPA), Docublock:
obtiene consentimiento explícito,
elimina datos biométricos después del plazo permitido,
no vende, no comercia y no divulga biometría,
mantiene políticas de retención coherentes con la ley (sección Anexo F).
8. Tratamiento en Blockchain
Los artefactos almacenados en blockchain no pueden modificarse ni eliminarse.
La supresión solo aplica a datos off-chain.
Docublock informa al Usuario y al Cliente que la inmutabilidad es inherente a la tecnología.
9. Inteligencia Artificial y Terceros
Docublock utiliza IA para:
detección de fraude,
validación de identidad,
análisis de patrones,
automatización de documentos y flujos.
9.1. IA de terceros / subprocesadores
Cuando se utilicen modelos externos (OpenAI, Anthropic, AWS Bedrock u otros), Docublock garantiza contractualmente que:
no pueden usar los datos para entrenar modelos generales;
actúan únicamente como Encargados;
aplican cifrado, retención mínima y controles de privacidad equivalentes a SOC 2 e ISO 27001;
las transferencias internacionales cumplen con SCCs/IDTA.
9.2. No decisión automatizada sin intervención humana
Docublock no adopta decisiones jurídicas o contractuales basadas exclusivamente en IA sin supervisión humana, conforme al Art. 22 GDPR.
10. Divulgación de Datos Personales
Podemos divulgar datos a:
proveedores tecnológicos esenciales,
empresas del grupo Docublock,
clientes empresariales (en modo Encargado),
autoridades competentes,
subprocesadores aprobados.
Docublock no vende Datos Personales.
11. Transferencias Internacionales
Se utilizan mecanismos jurídicos válidos:
SCCs (EU)
IDTA (UK)
Cláusulas LGPD Art. 33–36
Contratos de Encargado
Reglas Corporativas Internas (cuando aplique)
Rutas comunes:
UE → UK → USA
Colombia → USA
Brasil → USA
USA → subprocesadores certificados
12. Derechos del Titular
Usted puede solicitar:
acceso
rectificación
supresión
oposición
limitación
portabilidad
revocación del consentimiento
no ser objeto de decisiones automatizadas
Correo: privacy@docublock.co / privacy@docublock.uk
13. Seguridad de la Información
Docublock implementa un marco de seguridad Zero-Trust:
ISO 27001 / ISO 27701
SOC 2
NIST CSF
OWASP ASVS
CIFRADO AES-256, TLS 1.3
Hashing SHA-256 / SHA-3
Segregación de ambientes
Rotación de claves
Monitoreo continuo
MFA
14. Cookies y Tecnologías de Seguimiento
El uso de cookies se regula en la Política de Cookies de Docublock.
El usuario podrá gestionarlas conforme a ePrivacy/GDPR.
15. Retención y Eliminación
Logs: 10 años
Biometría: 6 meses a 2 años (según ley)
Identidad digital: 5–10 años
Formularios y documentos: según contrato + ley aplicable
Blockchain artifacts: permanentes
Tabla completa en Anexo F.
16. Riesgos Residuales
El Usuario comprende que:
ningún sistema es invulnerable,
blockchain no permite eliminación,
la supresión aplica solo a datos off-chain,
el Cliente es responsable del contenido cargado,
Docublock no valida la veracidad de los documentos cargados.
17. Menores de Edad
No permitimos el uso sin autorización verificable.
Eliminaremos datos detectados de menores sin consentimiento válido.
18. Cambios al Aviso
Podremos actualizar este Aviso y publicaremos la versión vigente en:
https://docublock.co/privacy
19. Datos de Contacto
Docublock Inc. — New York, USA
privacy@docublock.uk
Docublock Ltd. — London, UK
Docublock Colombia S.A.S. — Bogotá, Colombia
20. ANEXOS
Docublock podrá tratar datos personales bajo las siguientes bases legales:
A1. Base legal del tratamiento (Art. 6 GDPR)
Docublock podrá tratar datos personales bajo las siguientes bases legales:
Ejecución de un contrato – Art. 6(1)(b)
Para prestar los Servicios (firma inmutable, validación de identidad, creación de expedientes, workflows, formularios dinámicos).
Interés legítimo – Art. 6(1)(f)
Para seguridad, prevención de fraude, auditoría, trazabilidad y defensa judicial.
Consentimiento – Art. 6(1)(a)
Para tratamientos que requieran consentimiento explícito (ej. biometría, geolocalización, cookies analíticas).
Obligación legal – Art. 6(1)(c)
Cuando existan regulaciones aplicables (KYC/KYB, retención de ciertos registros).
A2. Bases legales para Datos Sensibles (Art. 9 GDPR)
Docublock trata datos biométricos con consentimiento explícito, bajo:
Art. 9(2)(a) – Consentimiento explícito del interesado.
Art. 9(2)(g) – Interés público sustancial (prevención de fraude), cuando la ley local lo permita.
Docublock no utiliza datos biométricos para identificación masiva, marketing, perfilamiento comercial ni entrenamiento de modelos generales.
A3. Derechos del interesado (Art. 12–22 GDPR)
Los Usuarios pueden ejercer:
Acceso
Rectificación
Supresión
Portabilidad
Limitación
Oposición
Retiro del consentimiento
Solicitar intervención humana (Art. 22)
Los derechos se gestionan a través de:
privacy@docublock.co
A4. Delegado y Representante en la UE
Docublock podrá designar:
Representante UE conforme a Art. 27.
DPO cuando el volumen o la naturaleza del tratamiento lo requiera.
Sus datos serán publicados en la web de Docublock.
A5. Transferencias internacionales (Art. 44–49 GDPR)
Docublock utiliza:
SCCs (2021)
IDTA / Addendum UK
Cláusulas contractuales LGPD
Adequacy Decisions cuando aplican
Antes de transferir datos fuera de la UE, Docublock realiza una Transfer Impact Assessment (TIA).
A6. DPIA (Art. 35)
Docublock podrá realizar una Evaluación de Impacto de Privacidad, especialmente en:
biometría,
IA,
prevención de fraude,
blockchain,
validación documental.
La plantilla oficial está incluida en el Anexo H.
A7. Subprocesadores
Docublock mantiene una lista actualizada de subprocesadores:
infraestructura,
biometría,
IA,
correo,
seguridad,
análisis.
Todos cumplen GDPR + SCCs.
ANEXO B — UK GDPR (Reino Unido)
Tras el Brexit, Docublock cumple con:
UK GDPR
Data Protection Act 2018
ICO guidance
Transferencias bajo UK GDPR
Se utilizan:
IDTA (International Data Transfer Agreement)
UK Addendum a SCCs
Derechos del interesado
Equivalentes al GDPR de la UE, administrados a través de los mismos canales.
ICO Supervisory Authority
Docublock reconoce la autoridad de la ICO cuando trate datos de residentes del Reino Unido.
ANEXO C — LGPD (BRASIL)
C1. Bases legales (Art. 7 y 11 LGPD)
Para datos personales:
Ejecución del contrato
Cumplimiento legal
Interés legítimo
Consentimiento
Para datos sensibles (incluyendo biometría):
Consentimiento
Cumplimiento legal
Prevención de fraude y seguridad
C2. Derechos del titular (Art. 18)
Incluyen:
Confirmación
Acceso
Rectificación
Anonimización
Eliminación
Portabilidad
Revocación
Información sobre uso compartido
Plazo de respuesta: 15 días.
C3. Transferencias internacionales (Art. 33–36)
Permitidas mediante:
cláusulas contractuales,
garantías adecuadas,
consentimiento,
normas corporativas.
ANEXO D — CCPA/CPRA (California, EE. UU.)
Docublock actúa como:
Business (cuando ofrece servicios directamente al usuario), y/o
Service Provider (cuando el cliente empresarial es el responsable).
Derechos del consumidor (California)
Derecho a saber
Derecho a borrar
Derecho a corregir
Derecho a optar por “Do Not Sell / Do Not Share”
Derecho a limitar el uso de datos sensibles
Docublock no vende datos personales según la definición de la CCPA.
ANEXO E — COLOMBIA (Ley 1581 / Decreto 1377 / SIC)
E1. Responsable local
Docublock Colombia S.A.S.
E2. Derechos del titular
Conocer
Actualizar
Rectificar
Suprimir
Revocar
Presentar quejas ante la SIC
E3. Procedimiento
Respuestas dentro de los términos establecidos:
Consultas: 10 días
Reclamos: 15 días prorrogables
ANEXO F — TABLA GLOBAL DE RETENCIÓN DE DATOS
| **Categoría** | **Retención** | **Base Legal / Técnica** |
| --------------------------- | --------------------------------- | --------------------------- |
| Logs técnicos | 10 años | Seguridad / auditoría |
| Artefactos blockchain | Permanente | Inmutabilidad técnica |
| Identidad digital | 5–10 años | Contrato / defensa judicial |
| Formularios | 5 años | Contrato |
| Documentos | Según contrato + obligación legal | Legal |
| Biometría | 6–24 meses | Consentimiento / seguridad |
| Información contractual B2B | Vigencia + 10 años | Obligación legal |
| **Categoría** | **Retención** | **Base Legal / Técnica** |
| --------------------------- | --------------------------------- | --------------------------- |
| Logs técnicos | 10 años | Seguridad / auditoría |
| Artefactos blockchain | Permanente | Inmutabilidad técnica |
| Identidad digital | 5–10 años | Contrato / defensa judicial |
| Formularios | 5 años | Contrato |
| Documentos | Según contrato + obligación legal | Legal |
| Biometría | 6–24 meses | Consentimiento / seguridad |
| Información contractual B2B | Vigencia + 10 años | Obligación legal |
La eliminación siempre aplica solo a datos off-chain, nunca a blockchain artifacts.
ANEXO G — MAPAS DE FLUJOS INTERNACIONALES (GDPR Art. 30)
G1. Flujos Operativos
UE → UK → USA
Colombia → USA
Brasil → USA
USA → subprocesadores autorizados
USA ↔ UE (SCCs)
USA ↔ UK (IDTA)
G2. Categorías de datos transferidos
Identidad
Biometría (cifrada)
Documentos
Formularios
Logs y metadatos
Evidencia técnica
G3. Medidas de seguridad
cifrado en tránsito y reposo
minimización
acceso con MFA
segmentación
monitoreo continuo
ANEXO H — PLANTILLA DPIA (Evaluación de Impacto)
Esta plantilla incluye:
H1. Descripción del tratamiento
actividades
categorías de datos
actores involucrados
tecnologías usadas
H2. Análisis de necesidad y proporcionalidad
justificación jurídica
relación con finalidades
H3. Evaluación de riesgos
probabilidad × impacto
riesgos para los derechos del titular
H4. Medidas de mitigación
seguridad técnica
seguridad organizacional
gobernanza
H5. Validación
revisión interna
intervención del DPO
registro de decisiones
ANEXO I — CONTROLES ISO 27701 / SOC 2
I1. Controles ISO 27701 (PII Controller / Processor)
Política de protección de datos
Minimización
Limitación de propósito
Retención
Transparencia
Gobernanza y accountability
Gestión de riesgos
Auditorías y controles
ANEXO I — CONTROLES ISO 27701 / SOC 2
I1. Controles ISO 27701 (PII Controller / Processor)
Política de protección de datos
Minimización
Limitación de propósito
Retención
Transparencia
Gobernanza y accountability
Gestión de riesgos
Auditorías y controles
