Esta política describe cómo Kalok Pass(en adelante “Kalok”) recolecta, usa, almacena y protege tus datos personales, en cumplimiento de la Ley 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales de Costa Rica y su Reglamento.
1. Datos que recolectamos
Recolectamos datos en estas categorías:
- Identificación y perfil: nombre completo, correo, teléfono, nombre de usuario, avatar, banner, biografía y enlaces que decidás agregar (sitio web, Instagram).
- Pagos: Kalok NO almacena números de tarjeta. La pasarela Tilopay procesa los datos de pago (tarjeta de crédito o débito, incluidas cuotas Tasa Cero). De cada compra conservamos el método de pago, el identificador de la transacción de Tilopay y el monto; nunca el número de tarjeta ni el CVV.
- KYC del organizador (solo si solicitás rol ORGANIZER): cédula, foto de cédula frente y reverso, selfie con cédula, datos bancarios. Estos datos se almacenan cifrados y acceden solo el equipo de verificación de Kalok.
- Eventos y tickets: historial de compras, tickets, transferencias, reventas, asistencias.
- Uso del servicio: páginas visitadas, eventos buscados, posts que interactuás. Usamos PostHog para analytics agregados.
- Datos técnicos: IP, user-agent, idioma, errores (vía Sentry).
- Comunicaciones: emails que te enviamos, contenido que publicás en el feed social (posts, comentarios, likes), mensajes directos entre usuarios, reseñas, reportes que hagas y conversaciones con soporte.
2. Para qué usamos tus datos
- Procesar tu registro y autenticación.
- Procesar compras y enviar tus tickets.
- Notificarte sobre el evento (recordatorios, cambios, cancelaciones) vía email y push.
- Liquidar pagos al organizador (en el caso del KYC).
- Detectar y prevenir fraude, abuso, scraping y spam.
- Mejorar el producto (analytics agregados, A/B testing).
- Cumplir con obligaciones legales (auditoría tributaria, requerimientos judiciales).
3. Base legal del tratamiento
Tratamos tus datos con base en (a) tu consentimiento informado al registrarte, (b) la ejecución del contrato implícito al comprar un ticket, (c) el interés legítimo de Kalok para prevenir fraude y mejorar el servicio, y (d) obligaciones legales (factura electrónica, auditoría, denuncias).
4. Con quién compartimos
Compartimos datos solo con:
- Tilopay (procesador de pagos, Costa Rica) — para cobros, devoluciones y prevención de fraude.
- Supabase (base de datos PostgreSQL, AWS us-east-1) — almacenamiento principal de la cuenta.
- Resend (envío de email transaccional, EU/US) — confirmaciones, recordatorios, notificaciones.
- Cloudinary (US) — almacenamiento de imágenes (avatar, banners, fotos de cédula del KYC en folder privado).
- Firebase Cloud Messaging (Google, US) — push notifications.
- Sentry (US) — errores y diagnóstico técnico. Los payloads se scrubean para ocultar tokens y contraseñas.
- PostHog (EU) — analytics de producto.
- Upstash Redis (US) — cache y rate limiting.
- Organizadores del evento — reciben tu nombre y email cuando comprás un ticket suyo, para enviar recordatorios. NO reciben datos de tarjeta.
- Autoridades competentes — si lo exige una orden judicial o requerimiento administrativo válido.
Nunca vendemos tus datos a terceros para marketing.
5. Transferencias internacionales
Algunos de los proveedores listados arriba están fuera de Costa Rica (US, EU). Estas transferencias están amparadas en (a) tu consentimiento al aceptar esta política y (b) la necesidad operativa del servicio. Los proveedores cumplen estándares equivalentes (GDPR / SOC2 / ISO 27001).
6. Retención de datos
- Datos de cuenta: mientras tu cuenta esté activa. Si la cerrás, los conservamos 5 años más por obligaciones tributarias y antifraude.
- Datos de compra: 5 años (Código de Comercio CR).
- Documentos KYC del organizador: mientras el organizador esté activo, más 5 años por obligación contable.
- Logs técnicos: 90 días.
7. Tus derechos (Ley 8968)
Como titular de datos en Costa Rica tenés derecho a:
- Acceso: pedirnos copia de los datos que tenemos sobre vos.
- Rectificación: corregir datos incorrectos o desactualizados.
- Eliminación: borrar tu cuenta y datos asociados (sujeto a obligaciones de retención legal).
- Oposición: oponerte a usos específicos como push notifications, marketing por email.
- Portabilidad: recibir tus datos en formato estructurado para llevarlos a otro servicio.
Ejercé estos derechos escribiendo a privacidad@kalokpass.com. Respondemos en máximo 5 días hábiles. Si la respuesta no te satisface, podés acudir a la PRODHAB (Agencia de Protección de Datos de los Habitantes de Costa Rica).
8. Seguridad
Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito (TLS), cifrado en reposo para Postgres y Cloudinary, autenticación con tokens de corta duración (JWT + MFA opcional), scrubbing de PII en logs, rate limiting, y auditoría continua de accesos. Ningún sistema es 100% seguro — si detectás algo, escribinos a security@kalokpass.com.
9. Menores de edad
Aceptamos menores desde los 13 años para crear cuenta, pero los menores de 18 necesitan autorización del responsable legal para realizar compras. No recolectamos datos a sabiendas de menores de 13.
10. Cookies
Usamos cookies estrictamente necesarias para autenticación (sesión Supabase, JWT), preferencias del usuario (tema, idioma), y analytics (PostHog con consentimiento). No usamos cookies de publicidad de terceros.
11. Cambios a esta política
Anunciaremos cambios materiales por email con al menos 15 días de anticipación. Cambios menores (precisiones, datos de contacto) se publican directamente con nueva fecha de actualización.
12. Contacto
Responsable del tratamiento: Kalok Pass, Costa Rica.
Email del oficial de privacidad: privacidad@kalokpass.com