InicioLegalPOLÍTICA DE PRIVACIDAD

POLÍTICA DE PRIVACIDAD

Versión 1.0 · Vigente desde 25 de abril de 2026 · Actualizado el 25 de abril de 2026

Documento autónomo y vinculante. Esta Política se complementa con los Términos y Condiciones y con la Política de Cookies de Factú.

Preámbulo — Cuidamos tus datos como si fueran nuestros

En FACTU, S.A. ("Factú", "nosotros") tratamos tus datos personales con seriedad. La presente Política de Privacidad explica, en lenguaje claro, qué datos recopilamos, por qué lo hacemos, con quién los compartimos, durante cuánto tiempo los conservamos y qué derechos tienes sobre ellos.

Esta Política se aplica al sitio web factutech.com, a las aplicaciones móviles de Factú publicadas en App Store, Google Play y Huawei AppGallery, y a todos los servicios prestados por Factú. Cumple con la Ley 81 de 26 de marzo de 2019 sobre Protección de Datos Personales de la República de Panamá, su Decreto Ejecutivo 285 de 28 de mayo de 2021, el Reglamento (UE) 2016/679 (RGPD), la Lei nº 13.709/2018 (LGPD) de Brasil, la California Consumer Privacy Act (CCPA/CPRA) y demás normativa aplicable.

Sección 1

Responsable del tratamiento

Razón social: FACTU, S.A.

Domicilio: RALI Business Center, Torre B, Piso 8, Avenida Balboa, Ciudad de Panamá, República de Panamá.

Contacto general: atencion@factutech.com · +507 6060-6826.

Canal de privacidad y ejercicio de derechos: privacidad@factutech.com.

Factú no ha designado formalmente un Delegado de Protección de Datos (DPO). El canal privacidad@factutech.com cumple la función de punto único de contacto para todo lo relativo a esta Política.

Sección 2

Categorías de datos que tratamos

Tratamos las siguientes categorías de datos personales:

  • Datos de identificación: nombre completo, cédula o pasaporte, fecha de nacimiento, nacionalidad.
  • Datos de contacto: correo electrónico, número de teléfono móvil y fijo, dirección física, identificadores de mensajería (WhatsApp, Telegram).
  • Datos de la cuenta: nombre de usuario, contraseña cifrada, preferencias, historial de uso, registros de auditoría.
  • Datos fiscales y contables: RUC, declaraciones, facturas, comprobantes, recibos, deducciones, montos, cuentas bancarias para devolución.
  • Datos financieros: medios de pago (Factú no almacena el número completo de la tarjeta, solo identificadores tokenizados provistos por la pasarela), historial de cobros.
  • Datos del dispositivo: identificador único, sistema operativo, versión de la app, IP, ubicación aproximada, registros de errores y telemetría.
  • Datos derivados de IA: clasificación, segmentación, alertas, métricas de comportamiento.
  • Datos de marketing: aceptación o rechazo de comunicaciones, intereses, eventos de campaña.
  • Datos de cumplimiento: información KYC, beneficiario final (UBO) para clientes empresa, listas de sanciones (resultado de cribado).
Sección 3

Origen de los datos

Recibimos datos de las siguientes fuentes: (i) directamente del Usuario al registrarse o usar el Servicio; (ii) de Proveedores de Identidad cuando el Usuario inicia sesión con Facebook, Google o Apple, conforme a sus propias políticas; (iii) de fuentes públicas y bases regulatorias para verificación KYC y cumplimiento; (iv) de proveedores de servicios (procesadores de pago, mensajería, analítica) en la medida estrictamente necesaria; (v) de cookies y tecnologías similares conforme a la Política de Cookies.

Sección 4

Finalidades y bases legales del tratamiento

Cada tratamiento que realizamos cuenta con una base legal específica. Las principales finalidades son:

La base "interés legítimo" se aplica únicamente cuando el tratamiento es razonablemente esperable, proporcional y compatible con tus derechos. Realizamos pruebas de ponderación documentadas que están disponibles a solicitud razonada del titular.

FinalidadDatos tratadosBase legal
Crear y administrar la cuentaNombre, correo, teléfono, contraseña, identificadoresEjecución del Contrato (Art. 6.1.b RGPD)
Prestar servicios contables y de devolución de impuestosDatos fiscales, facturas, comprobantes, RUC, datos bancariosEjecución del Contrato + obligación legal contable
Prevención de fraude y blanqueo (KYC)Documento de identidad, beneficiario final, listas de sancionesObligación legal (Ley 23/2015) + interés legítimo
Marketing directo y automatizadoCorreo, teléfono, comportamiento de uso, interesesConsentimiento (Sección 19 del T&C)
Análisis estadístico, mejora del Servicio e IAMétricas agregadas, datos de uso, erroresInterés legítimo + consentimiento
Cumplimiento de obligaciones legales y respuesta a autoridadesToda la información requeridaObligación legal
Notificaciones contractuales y de servicioCorreo, teléfono, dispositivoEjecución del Contrato
Reporte a centrales de riesgo (APC) en caso de moraIdentificación, monto, estado de la deudaConsentimiento (cláusula 11.7 del T&C) + Ley 24/2002
Sección 5

Destinatarios y encargados del tratamiento

Tus datos pueden ser comunicados a:

La lista actualizada y específica de subprocesadores está disponible a solicitud razonada del Usuario, a través de privacidad@factutech.com.

  • Empleados y colaboradores de Factú, sujetos a deber de confidencialidad.
  • Contadores Públicos Autorizados aliados, en la medida necesaria para prestar servicios profesionales.
  • Autoridades competentes (DGI, ACODECO, autoridad de protección de datos, tribunales) cuando exista obligación legal.
  • Proveedores de servicios tecnológicos que actúan como encargados del tratamiento, bajo contrato escrito con cláusulas de protección de datos. Las categorías típicas son:
CategoríaProveedores típicosFinalidad / país
Hosting / nubeAWS, Google Cloud o Microsoft AzureAlmacenamiento y cómputo. EE. UU., UE.
Pasarelas de pagoStripe, BAC, Banistmo u otrosProcesamiento de cobros. EE. UU., Panamá.
Mensajería transaccionalSendGrid, Twilio (SMS/WhatsApp), Meta BusinessNotificaciones y comunicaciones. EE. UU., Irlanda.
CRM / marketingHubSpot, Brevo, Mailchimp, Customer.ioAutomatización de campañas. EE. UU., UE.
Analítica de productoGoogle Analytics 4, Mixpanel, AmplitudeMétricas de uso agregadas. EE. UU.
Modelos de IAOpenAI, Anthropic, Google AIProcesamiento, OCR, clasificación. EE. UU., UE.
Atención al clienteIntercom, Zendesk, FreshdeskTickets de soporte. EE. UU., UE.
Antifraude / KYCSumsub, Veriff, OnfidoVerificación de identidad. UE, Reino Unido.
Centrales de riesgoAPC IntelidatReporte de incumplimiento (con consentimiento). Panamá.
Tiendas de aplicacionesApple, Google, HuaweiDistribución de la App. EE. UU., China.
Sección 6

Transferencias internacionales

Algunos de nuestros proveedores se encuentran fuera de Panamá. Cuando transferimos datos personales a otros países, garantizamos que dichas transferencias se realicen mediante uno de los siguientes mecanismos: (i) decisión de adecuación; (ii) cláusulas contractuales tipo (CCT) aprobadas por la Comisión Europea o por la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) de Panamá; (iii) normas corporativas vinculantes; (iv) consentimiento expreso del Usuario; o (v) ejecución del contrato del Usuario, conforme al Art. 36 de la Ley 81/2019, Art. 46 RGPD y Art. 33 LGPD.

Sección 7

Plazos de conservación

Conservamos los datos personales durante el tiempo necesario para las finalidades para las que fueron recogidos y conforme a los plazos legales aplicables:

Vencidos los plazos, los datos se eliminan de forma segura o se anonimizan irreversiblemente.

  • Datos contables, fiscales y de facturación: cinco (5) años a partir de la última transacción, conforme al Código Fiscal de Panamá.
  • Datos KYC y de prevención de blanqueo: cinco (5) años a partir de la finalización de la relación, conforme a la Ley 23 de 2015.
  • Datos del Usuario activo: durante la vigencia de la Cuenta y por hasta doce (12) meses adicionales tras su cancelación.
  • Datos de marketing: hasta que el Usuario retire su consentimiento, más treinta (30) días para la baja efectiva.
  • Logs de seguridad y registros de auditoría: doce (12) meses, salvo investigación en curso.
  • Reportes a centrales de riesgo: conforme a la Ley 24 de 2002 y a la política del buró de crédito.
Sección 8

Tus derechos

Como titular de datos personales tienes derecho a:

Para ejercer cualquier derecho, escribe a privacidad@factutech.com indicando claramente la solicitud y adjuntando un documento que acredite tu identidad. Responderemos dentro del plazo legal aplicable, que en Panamá es de quince (15) días hábiles, en la UE de un (1) mes prorrogable a dos (2) y en Brasil de quince (15) días.

  • Acceso: saber si tratamos tus datos y obtener una copia.
  • Rectificación: corregir datos inexactos o incompletos.
  • Cancelación o supresión: eliminar tus datos cuando ya no sean necesarios.
  • Oposición: oponerte a tratamientos basados en interés legítimo o marketing directo.
  • Portabilidad: recibir tus datos en formato estructurado y de uso común.
  • Limitación: solicitar la suspensión temporal del tratamiento mientras se resuelve un reclamo.
  • Revocación del consentimiento: en cualquier momento, sin afectar la licitud del tratamiento previo.
  • Decisiones automatizadas: solicitar intervención humana, expresar tu punto de vista e impugnar decisiones automatizadas significativas (Sección 17 del T&C).
  • Reclamación ante la autoridad: si consideras que tus derechos no han sido atendidos, puedes acudir a la ANTAI en Panamá, a la AEPD u otra autoridad de control en la UE/EEE, a la ANPD en Brasil, o a la Attorney General de California.
Sección 9

Medidas de seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger los datos personales frente a accesos no autorizados, alteración, pérdida o divulgación, incluyendo cifrado en tránsito (TLS 1.2 o superior) y en reposo, control de accesos por roles, autenticación multifactor para personal interno, registros de auditoría, copias de seguridad cifradas, segmentación de redes y procedimientos de respuesta ante incidentes. Ningún sistema es absolutamente seguro y mantenemos un programa de mejora continua.

Brechas de seguridad: en caso de incidente que afecte tus datos personales con riesgo significativo, te lo notificaremos sin demora indebida y comunicaremos a la autoridad competente en los plazos legales (en la UE, dentro de las 72 horas, conforme al Art. 33 RGPD; en Panamá, conforme a la Ley 81).

Sección 10

Menores de edad

El Servicio no está dirigido a menores de 18 años. No recopilamos intencionadamente datos de menores. Si detectamos datos de un menor sin consentimiento parental cuando éste sea exigible, los eliminaremos de forma diligente. Si eres padre, madre o tutor y crees que tu hijo/a nos ha proporcionado datos, contacta privacidad@factutech.com.

Sección 11

Inteligencia artificial y decisiones automatizadas

Factú utiliza Tecnologías de IA (machine learning, modelos predictivos, modelos generativos, OCR, RPA) para automatizar trámites, generar estimaciones, prevenir fraude y personalizar comunicaciones, conforme a la Sección 17 del T&C. Cuando una decisión automatizada produzca efectos jurídicos o significativos sobre el Usuario, este tendrá derecho a información significativa sobre la lógica aplicada, intervención humana, expresar su punto de vista e impugnar la decisión, conforme al Art. 22 RGPD, Art. 20 LGPD y disposiciones equivalentes de la Ley 81 de 2019.

Cuando entrenamos o evaluamos modelos de IA con datos del Usuario, lo hacemos preferentemente con datos agregados, anonimizados o seudonimizados. No utilizamos los datos del Usuario para entrenar modelos de IA generales de terceros sin consentimiento expreso.

Sección 12

Cookies y tecnologías similares

El sitio web factutech.com utiliza cookies y tecnologías similares (storage local, pixeles, SDKs móviles). El detalle, la base legal y los mecanismos de gestión se describen en la Política de Cookies, documento separado y vinculante.

Sección 13

Marketing directo

Cuando hayas otorgado tu consentimiento conforme a la Sección 19 del T&C, podremos enviarte comunicaciones comerciales por correo, SMS, WhatsApp, llamada y otros canales. Puedes darte de baja en cualquier momento mediante: enlace de baja en cada email, palabra STOP/BAJA en SMS o WhatsApp, o solicitud a privacidad@factutech.com. La baja surtirá efectos en un plazo máximo de diez (10) días hábiles.

Sección 14

Disposiciones específicas por jurisdicción

Las siguientes disposiciones complementan la Política según la jurisdicción del Usuario:

UE / EEE / Reino Unido (RGPD y UK GDPR)

Factú actúa como Responsable del Tratamiento. Las autoridades de control competentes son las autoridades nacionales de protección de datos del Estado miembro de residencia, así como la ICO en el Reino Unido. Los Usuarios pueden presentar reclamaciones ante dichas autoridades.

Brasil (LGPD)

Factú actúa como Controlador. Los Usuarios brasileños pueden presentar reclamaciones ante la Autoridade Nacional de Proteção de Dados (ANPD).

California (CCPA / CPRA)

Los residentes de California tienen derecho a: (i) saber qué información personal se recopila; (ii) acceso, supresión y rectificación; (iii) portabilidad; (iv) opt-out de venta o intercambio (Factú no vende ni comparte información personal con fines de publicidad conductual cruzada salvo consentimiento expreso); (v) limitar el uso de información personal sensible; (vi) no ser objeto de discriminación. Para ejercer estos derechos, escribe a privacidad@factutech.com o llama al +507 6060-6826.

Sección 15

Cambios a esta Política

Podemos modificar esta Política para reflejar cambios legales, operativos o tecnológicos. Las modificaciones materiales se comunicarán con un preaviso mínimo de treinta (30) días naturales mediante correo electrónico o aviso destacado en factutech.com. Mantendremos un archivo histórico accesible a solicitud.

Sección 16

Contacto

Cualquier consulta, ejercicio de derechos o reclamación relacionada con esta Política puede dirigirse a:

FACTU, S.A. — Privacidad

RALI Business Center, Torre B, Piso 8, Avenida Balboa, Ciudad de Panamá.

privacidad@factutech.com · atencion@factutech.com · +507 6060-6826 · factutech.com