Información Legal

1. ¿Quiénes somos?

RaiSecure es un servicio de control parental educativo desarrollado y operado por Arboreal France SAS.

• SIREN: 912 621 786 000 17
• Domicilio social: 45 Rue Wauthier, 78100 Saint-Germain-en-Laye, Francia
• Representante legal: Nikolas Castanier
• Contacto general: contact@raisecure.com

Como responsable del tratamiento de datos, Arboreal France se compromete a respetar el RGPD europeo, la COPPA estadounidense, la Ley 1581 de 2012 (Habeas Data) en Colombia y toda legislación aplicable en los países donde operamos.

2. ¿A quién se dirige RaiSecure?

El servicio está destinado exclusivamente a padres y tutores legales que desean acompañar el uso digital de sus hijos de manera educativa y consciente.

Los menores no pueden crear una cuenta RaiSecure por sí mismos. Solo los adultos de 18 años o más pueden registrarse y configurar el servicio.

3. ¿Qué datos recopilamos?

3.1 Datos de los padres

Recopilamos la información necesaria para la creación de la cuenta y el funcionamiento del servicio:

• Dirección de correo electrónico (obligatorio)
• Nombre, apellido (opcional)
• Dirección IP de conexión e identificador único del dispositivo
• Fechas y horarios de conexión
• Parámetros configurados (límites de uso, zonas seguras, filtros web)

3.2 Datos del menor

Estos datos se recopilan únicamente después del consentimiento parental explícito y verificable:

• Identificador único pseudonimizado del menor y edad o rango de edad
• Identificador único del dispositivo del menor (Device ID)
• Lista de aplicaciones instaladas, duración de uso agregada por aplicación, número de aperturas
• Localización basada en la red móvil y WiFi (precisión: 50 a 200 metros según la zona) y horarios de entrada/salida de las zonas definidas por el padre (si la funcionalidad «zonas seguras» está activada)
• Dominios web visitados y direcciones IP de los sitios (si el filtrado web mediante VPN está activado)

3.3 Datos que NUNCA recopilamos

Garantizamos que nunca recopilamos:

• ✗ Contenido de mensajes (SMS, WhatsApp, Telegram, correos electrónicos)
• ✗ Fotos, videos o archivos personales
• ✗ Contraseñas, credenciales de acceso, datos bancarios
• ✗ Datos biométricos (huellas dactilares, reconocimiento facial)
• ✗ Datos de salud
• ✗ Localización GPS continua en tiempo real
• ✗ Historial completo de navegación (únicamente dominios si el filtrado está activado)
• ✗ Contactos, registros detallados de llamadas y contenidos de SMS

4. ¿Por qué recopilamos estos datos?

Los datos se recopilan exclusivamente para:

• Proporcionar y personalizar el servicio: creación de cuenta, configuración de límites de uso, sincronización multi-dispositivo, notificaciones educativas
• Acompañar al menor en su uso digital: seguimiento del tiempo de pantalla, alertas de exceso, identificación de las aplicaciones más utilizadas, filtrado web y zonas seguras
• Asegurar y mantener la aplicación: detección de fraudes, prevención de accesos no autorizados, análisis de usos agregados y anonimizados para mejorar el servicio
• Cumplir con nuestras obligaciones legales: responder a las autoridades competentes bajo orden judicial, obligaciones contables y fiscales

Nunca vendemos ni compartimos sus datos con fines comerciales, publicitarios o de marketing.

5. Base legal de los tratamientos

Nuestros tratamientos de datos se fundamentan en las siguientes bases legales (conforme al RGPD):

• Consentimiento parental explícito (artículo 6.1.a del RGPD) para los datos del menor, la geolocalización, la VPN y las notificaciones opcionales. El consentimiento puede retirarse en cualquier momento a través de la aplicación.
• Ejecución del contrato (artículo 6.1.b) para la creación de la cuenta parental y el uso de las funciones básicas del servicio.
• Obligaciones legales (artículo 6.1.c), especialmente contables, fiscales o para responder a solicitudes legítimas de las autoridades.
• Interés legítimo (artículo 6.1.f) para asegurar y mejorar nuestros servicios. Este motivo nunca prevalece sobre sus derechos y libertades fundamentales.

6. Protección reforzada de los datos de menores

RaiSecure aplica los estándares más estrictos en materia de protección infantil:

6.1 Edad mínima y creación de cuenta

• Solo los adultos (18 años o más) pueden crear una cuenta RaiSecure.
• Los menores nunca crean una cuenta y no tienen acceso directo a la interfaz de gestión.

6.2 Consentimiento parental verificable

• Antes de cualquier recopilación de datos relativos al menor, mostramos un resumen claro y completo de los datos recopilados, las finalidades y los plazos de conservación.
• El padre debe marcar una casilla confirmando que es tutor legal y consiente explícitamente la recopilación de datos del menor.

6.3 Funcionalidades opcionales

• La localización («zonas seguras») y el filtrado web mediante VPN requieren un consentimiento separado y distinto.
• Una notificación permanente visible en el dispositivo del menor indica claramente que estas funciones están activas.

6.4 Transparencia familiar

• Recomendamos encarecidamente informar al menor sobre el uso de RaiSecure y fomentar el diálogo familiar sobre el uso digital.
• La aplicación es visible en el dispositivo del menor (no está oculta ni disfrazada).

6.5 Minimización de datos

• Recopilamos únicamente lo que es estrictamente necesario para el control parental educativo.
• Sin perfilado comportamental, sin publicidad dirigida, sin reventa de datos.

7. Plazo de conservación de los datos

Aplicamos estrictamente el principio de limitación de la conservación:

7.1 Datos del padre

• Conservados durante el uso activo del servicio.
• Eliminados 30 días después del cierre definitivo de la cuenta.
• Registros de conexión conservados 90 días máximo por razones de seguridad.

7.2 Datos del menor

• Uso de aplicaciones: conservado 90 días móviles.
• Localización (zonas seguras): conservada 30 días.
• Historial de navegación (filtrado web): conservado 7 días.
• Parámetros de control parental: conservados mientras la funcionalidad esté activa.

7.3 Copias de seguridad

Backups conservados 180 días máximo, luego eliminación definitiva o anonimización completa.

7.4 Datos legales

Datos de facturación y documentos contables: conservados según las obligaciones legales vigentes (generalmente 10 años).

8. ¿Quién tiene acceso a sus datos?

8.1 Personal y subcontratistas

El acceso a los datos está estrictamente limitado:

• Los equipos técnicos y de soporte acceden únicamente a datos pseudonimizados estrictamente necesarios para sus funciones, bajo compromiso contractual de confidencialidad.
• Nuestros subcontratistas (alojamiento en la nube, notificaciones push, analytics anonimizados) están certificados y vinculados por acuerdos de tratamiento conformes al RGPD (Data Processing Agreements).
• La lista completa de subcontratistas está disponible previa solicitud a privacy@raisecure.com.
• Ningún dato se vende a anunciantes, intermediarios de datos o terceros comerciales.

8.2 Autoridades competentes

Solo divulgaremos datos a las autoridades (policía, justicia, administraciones) bajo orden judicial válida u obligación legal comprobada.

En ese caso:

• Limitamos la comunicación a lo estrictamente necesario.
• Informamos a los usuarios afectados, salvo prohibición legal formal.

8.3 Compartir con terceros

RaiSecure no vende, alquila ni comparte sus datos personales con fines comerciales.

Compartimos únicamente con:

• Nuestros subcontratistas técnicos (alojamiento, notificaciones) vinculados por contrato RGPD
• Las autoridades competentes bajo orden judicial

Lista completa de subcontratistas disponible previa solicitud a privacy@raisecure.com.

9. Alojamiento y transferencias internacionales de datos

9.1 Ubicación de los servidores

• Servidores principales: Unión Europea (Francia, Alemania)
• Servidores secundarios previstos en 2026: Colombia (únicamente para usuarios colombianos, con el fin de reducir la latencia y respetar las leyes locales)

9.2 Garantías RGPD

• Para cualquier transferencia de datos fuera de la UE, aplicamos las cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea.
• Realizamos evaluaciones de impacto (DPIA) antes de cualquier transferencia internacional.
• Bajo solicitud, podemos configurar un alojamiento 100% Unión Europea.

9.3 Países excluidos

Sin transferencias hacia países no seguros, bajo embargo o sin marco jurídico de protección de datos.

10. Medidas de seguridad

10.1 Medidas técnicas

10.2 Medidas organizativas

• Formaciones regulares en seguridad y protección de datos para todos los equipos.
• Políticas estrictas de gestión de accesos (principio de mínimo privilegio).
• Revisiones trimestrales de los derechos de acceso.
• Procedimiento de gestión de incidentes de seguridad y plan de recuperación de actividad (PRA/PCA).
• Auditorías internas y externas (conformidad RGPD, pruebas de penetración).
• Cláusulas de confidencialidad estrictas en todos los contratos laborales y de subcontratación.

10.3 Respuesta a incidentes de seguridad

En caso de violación de datos personales (data breach), seguimos un procedimiento estricto:

1. Detección y contención (0–2 horas): aislamiento inmediato de los sistemas afectados, preservación de pruebas.
2. Evaluación del impacto (2–24 horas): identificación de los datos afectados, personas concernidas y nivel de riesgo.
3. Notificación obligatoria:
   • Notificación a la CNIL (Francia), a la SIC (Colombia) o a la autoridad competente en 72 horas.
   • Notificación directa a los usuarios afectados si el riesgo para sus derechos y libertades es elevado.
4. Remediación: corrección de la vulnerabilidad, análisis post-incidente (post-mortem), actualización de los procedimientos de seguridad.

11. Sus derechos como usuario

Conforme al RGPD y a las leyes locales aplicables (Habeas Data en Colombia, etc.), usted dispone de los siguientes derechos:

• Derecho de acceso: obtener confirmación de que tratamos sus datos y recibir una copia completa.
• Derecho de rectificación: corregir datos inexactos o incompletos.
• Derecho de supresión («derecho al olvido»): solicitar la eliminación definitiva de sus datos.
• Derecho a la limitación del tratamiento: suspender temporalmente un tratamiento en caso de impugnación o verificación.
• Derecho de oposición: oponerse a un tratamiento basado en nuestro interés legítimo o con fines de prospección.
• Derecho a la portabilidad: recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable del tratamiento.
• Derecho a retirar su consentimiento: aplicable a tratamientos basados en el consentimiento (geolocalización, VPN, notificaciones). La retirada no afecta la licitud de los tratamientos anteriores.
• Derecho a definir directivas post-mortem: definir el destino de sus datos después de su fallecimiento.
• Derecho a presentar una reclamación: ante la CNIL (Francia), la SIC (Colombia) o la autoridad de protección de datos competente en su país.