Políticas de Privacidad

1. Introducción

ING. RAMIREZ CHIROQUE JHONNY & Hijo SAC (en adelante "la Empresa", "nosotros", "nuestro" o "nos") es el responsable del tratamiento de los datos personales que usted proporciona al utilizar la aplicación móvil Hermes (en adelante "la Aplicación").

Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos y protegemos su información personal cuando utiliza nuestra Aplicación de gestión de entregas y logística. Al utilizar Hermes, usted acepta las prácticas descritas en esta política.

2. Información que Recopilamos

2.1. Información Proporcionada Directamente

Recopilamos la siguiente información que usted nos proporciona voluntariamente:

• Información de registro: Nombre completo, DNI/RUC, correo electrónico, número de teléfono
• Información de perfil: Fotografía de perfil, tipo de usuario (conductor, operador, administrador)
• Información del vehículo: Placa, modelo, marca, capacidad de carga (para conductores)
• Información de entregas: Datos de remitentes, destinatarios, direcciones, firmas digitales, fotografías de entrega
• Documentación: Licencia de conducir, SOAT, documentos de transporte (para conductores)
• Información de comunicación: Mensajes, llamadas, notificaciones dentro de la Aplicación

2.2. Información Recopilada Automáticamente

• Datos de ubicación en tiempo real: GPS, coordenadas geográficas, rutas recorridas, velocidad, altitud
• Información del dispositivo: Modelo, sistema operativo, versión, IMEI, identificadores únicos
• Datos de sensores: Acelerómetro, giroscopio (para detección de eventos)
• Datos de uso: Tiempo de conducción, distancias recorridas, entregas realizadas, tiempos de entrega
• Registros técnicos: Dirección IP, logs de actividad, errores de la aplicación
• Información de cámara: Fotografías de paquetes, firmas de recepción, códigos de barras/QR
• Estado de batería y conectividad: Nivel de batería, tipo de conexión (Wi-Fi, datos móviles)

2.3. Información de Terceros

Podemos recibir información de:

• Proveedores de mapas y navegación (Google Maps, OpenStreetMap)
• Sistemas de gestión de almacenes integrados
• Plataformas de comercio electrónico
• Servicios de verificación de identidad

3. Cómo Utilizamos su Información

Utilizamos la información recopilada para los siguientes propósitos:

3.1. Prestación del Servicio de Logística

• Crear y gestionar cuentas de conductores y operadores
• Asignar y gestionar entregas en tiempo real
• Rastrear ubicación de vehículos y paquetes
• Optimizar rutas de entrega
• Calcular tiempos estimados de llegada
• Registrar confirmaciones de entrega (firma digital, fotografías)
• Generar comprobantes y documentación
• Facilitar comunicación entre conductores, operadores y clientes

3.2. Monitoreo y Seguridad

• Monitorear comportamiento de conducción (velocidad, frenadas bruscas)
• Detectar incidentes y situaciones de emergencia
• Prevenir fraudes y usos no autorizados
• Verificar identidad de conductores
• Garantizar la seguridad de mercancías

3.3. Análisis y Optimización

• Analizar eficiencia de rutas y tiempos de entrega
• Generar reportes y estadísticas operativas
• Mejorar algoritmos de asignación de entregas
• Evaluar desempeño de conductores
• Optimizar consumo de combustible y recursos

3.4. Comunicación y Soporte

• Enviar notificaciones sobre entregas y actualizaciones
• Proporcionar soporte técnico y operativo
• Informar sobre cambios en rutas o entregas
• Gestionar reclamaciones y consultas

3.5. Cumplimiento Legal y Regulatorio

• Cumplir con regulaciones de transporte y logística
• Generar documentación fiscal y tributaria
• Responder a requerimientos de autoridades
• Mantener registros de trazabilidad

4. Uso de Datos de Ubicación

Sus datos de ubicación se utilizan para:

• Rastrear en tiempo real la posición de entregas
• Optimizar rutas y calcular ETAs (tiempo estimado de llegada)
• Verificar que las entregas se realicen en las ubicaciones correctas
• Generar historial de rutas recorridas
• Analizar zonas de cobertura y tiempos de entrega
• Detectar desviaciones de ruta o situaciones anómalas

Retención de datos de ubicación: Los datos históricos de ubicación se conservan durante 12 meses para fines de análisis y auditoría, después se anonimizan.

5. Base Legal para el Tratamiento de Datos

Procesamos sus datos personales bajo las siguientes bases legales:

• Ejecución de contrato: Para proporcionar servicios de logística y entrega
• Consentimiento explícito: Para rastreo de ubicación continua y uso de cámara
• Interés legítimo: Para prevenir fraudes, mejorar servicios y garantizar seguridad
• Obligación legal: Para cumplir con regulaciones de transporte y normativas fiscales

6. Marco Legal y Normativo Internacional

6.1. Marco Legal Peruano - Legislación Nacional

📜 Ley N° 29733 - Ley de Protección de Datos Personales (LPDP)

Promulgada: 3 de julio de 2011

Reglamento: Decreto Supremo N° 003-2013-JUS (22 de marzo de 2013)

Autoridad de Control: Dirección General de Protección de Datos Personales - Ministerio de Justicia y Derechos Humanos

🚚 Ley N° 29380 - Ley de Transporte Terrestre y Regulaciones del MTC

Ministerio de Transportes y Comunicaciones (MTC)

Reglamento Nacional: Decreto Supremo N° 017-2009-MTC

📋 Ley N° 30096 - Ley de Delitos Informáticos

Vigencia: Desde el 22 de octubre de 2013

Penaliza acceso ilícito a sistemas informáticos, interceptación de datos, fraude informático y suplantación de identidad digital.

Nuestro cumplimiento: Implementamos controles de acceso, auditorías de seguridad y protocolos contra intrusiones.

💼 Decreto Legislativo N° 1246 - Ley del Sistema Nacional de Programación Multianual

Cumplimiento de estándares de seguridad digital para sistemas que gestionan información de servicios públicos.

🔐 Directiva N° 004-2016-PCM/ONGEI - Seguridad de la Información

Lineamientos para implementar controles de seguridad en sistemas de información del Estado y privados que interactúan con entidades públicas.

6.2. Unión Europea - GDPR (Aplicable a usuarios europeos)

🇪🇺 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo

Fecha de Aplicación: 25 de mayo de 2018

Alcance Territorial: Protección de personas físicas en la UE, independientemente de dónde se procesen sus datos

Sanciones: Hasta €20 millones o 4% del volumen de negocio anual global

📱 Directiva ePrivacy (Directiva 2002/58/CE - Modificada)

Protección adicional para comunicaciones electrónicas y datos de ubicación en dispositivos móviles.

• Consentimiento previo para almacenar información en dispositivo
• Consentimiento específico para procesamiento de datos de ubicación
• Información clara sobre quién accede a datos de ubicación y para qué

6.3. América Latina - Legislación Regional

🇧🇷 Brasil - LGPD (Lei Geral de Proteção de Dados Pessoais)

Ley N° 13.709 de 14 de agosto de 2018

Vigencia: 18 de septiembre de 2020

Autoridad: ANPD (Autoridade Nacional de Proteção de Dados)

Sanciones: Hasta R$ 50 millones por infracción

Restricciones LGPD:

• 🚫 Prohibido tratamiento de datos sensibles sin consentimiento específico o base legal clara
• 🚫 Prohibido compartir datos de ubicación con terceros sin consentimiento del conductor
• 🚫 Prohibido tomar decisiones automatizadas discriminatorias sobre conductores
• ✓ Obligatorio permitir revisión de decisiones automatizadas
• ✓ Obligatorio mantener registro de operaciones de tratamiento

🇦🇷 Argentina - Ley 25.326 de Protección de Datos Personales

Vigencia: 4 de noviembre de 2000

Autoridad: AAIP (Agencia de Acceso a la Información Pública)

Decreto Reglamentario: 1558/2001

🇨🇴 Colombia - Ley 1581 de 2012 (Ley de Habeas Data)

Decreto Reglamentario: 1377/2013

Autoridad: Superintendencia de Industria y Comercio (SIC)

🇲🇽 México - Ley Federal de Protección de Datos Personales en Posesión de Particulares

Publicación: 5 de julio de 2010

Autoridad: INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales)

🇨🇱 Chile - Ley 19.628 sobre Protección de la Vida Privada

Vigencia: 28 de agosto de 1999 (Modificada por Ley 21.096 de 2018)

Protección de datos de carácter personal en bancos de datos y registros públicos y privados.

6.4. Estados Unidos - Regulaciones Federales y Estatales

🇺🇸 CCPA - California Consumer Privacy Act

Ley AB-375, aprobada: 28 de junio de 2018

Vigencia: 1 de enero de 2020

Actualización: CPRA (California Privacy Rights Act) desde enero 2023

Autoridad: California Privacy Protection Agency (CPPA)

Sanciones: Hasta $7,500 USD por violación intencional

Restricciones CCPA/CPRA:

• 🚫 Prohibido vender datos de ubicación de menores de 16 años sin opt-in
• 🚫 Prohibido retener datos personales más tiempo del necesario
• ✓ Obligatorio divulgar categorías de información personal recopilada
• ✓ Obligatorio implementar métodos razonables de verificación de identidad
• ✓ Obligatorio responder a solicitudes verificables en 45 días

📍 Regulaciones de Geolocalización - FTC Guidelines

Comisión Federal de Comercio (FTC)

Guía: "Mobile Privacy Disclosures: Building Trust Through Transparency" (2013)

🚛 FMCSA - Federal Motor Carrier Safety Administration

Si operamos con transportistas en EE.UU., cumplimos con:

• ELD Mandate (49 CFR Part 395): Registro electrónico de horas de servicio
• Protección de información del conductor: Límites en uso de datos de conducción

🔒 FTC Act Section 5 - Unfair or Deceptive Practices

Prohibición de prácticas engañosas o injustas en privacidad y seguridad de datos.

6.5. Normas Internacionales ISO de Seguridad

🔐 ISO/IEC 27001:2013 - Sistemas de Gestión de Seguridad de la Información (SGSI)

Organización: ISO (International Organization for Standardization)

Última versión: ISO/IEC 27001:2022

📋 ISO/IEC 27002:2022 - Código de Prácticas para Controles de Seguridad

Guía de implementación de controles de seguridad de información. Aplicamos 93 controles organizacionales, de personas, físicos y tecnológicos.

🔒 ISO/IEC 27701:2019 - Extensión para Gestión de Privacidad (PIMS)

Privacy Information Management System

Extensión de ISO 27001/27002 específica para gestión de Información de Identificación Personal (PII).

• Controles adicionales para responsables del tratamiento (controllers)
• Controles para encargados del tratamiento (processors)
• Mapeo directo con GDPR, CCPA y otras regulaciones

☁️ ISO/IEC 27017:2015 - Controles de Seguridad en Cloud

Controles de seguridad específicos para servicios en la nube (IaaS, PaaS, SaaS).

Aplicado en: Nuestros servicios en AWS y Google Cloud Platform.

🔐 ISO/IEC 27018:2019 - Protección de PII en Nubes Públicas

Código de prácticas para protección de datos personales en nubes públicas como proveedor de servicios.

• Consentimiento para procesamiento de PII
• Control sobre datos personales
• Transparencia en subprocesadores
• Notificación de brechas de seguridad
• Retorno/eliminación de PII al terminar contrato

6.6. Estándares Específicos de Aplicaciones Móviles

📱 OWASP Mobile Application Security Verification Standard (MASVS)

Organización: OWASP (Open Web Application Security Project)

Nivel de seguridad: MASVS-L2 (Aplicaciones que manejan datos sensibles)

🛡️ OWASP Mobile Top 10 (2024)

Mitigación de las 10 vulnerabilidades más críticas en aplicaciones móviles:

• M1: Uso inadecuado de credenciales → Rotación de API keys, no hardcoding
• M2: Suministro de cadena inseguro → Verificación de dependencias
• M3: Autenticación/Autorización insegura → OAuth 2.0, biometría
• M4: Validación de entrada insuficiente → Sanitización, validación servidor
• M5: Comunicación insegura → TLS obligatorio, certificate pinning
• M6: Configuración de privacidad inadecuada → Permisos granulares
• M7: Binary patching insuficiente → Ofuscación, detección de tampering
• M8: Configuración de seguridad incorrecta → Hardening, mínimo privilegio
• M9: Almacenamiento de datos inseguro → Cifrado local, no datos sensibles
• M10: Criptografía insuficiente → Algoritmos modernos, gestión claves

🔒 NIST Cybersecurity Framework (CSF)

Instituto: National Institute of Standards and Technology (USA)

Versión: NIST CSF 2.0 (2024)

🔐 NIST SP 800-53 Rev. 5 - Controles de Seguridad y Privacidad

Catálogo completo de controles de seguridad para sistemas de información federales (aplicable al sector privado).

6.7. Estándares de Industria de Pagos

💳 PCI DSS v4.0 - Payment Card Industry Data Security Standard

Consejo: PCI Security Standards Council

Vigencia v4.0: Marzo 2024

Aplicabilidad: Si Hermes procesa pagos con tarjeta contra entrega

6.8. Regulaciones de Transporte y Logística

🚛 Reglamento (CE) N° 561/2006 - Tiempos de Conducción (UE)

Control de tiempos de conducción y descanso para conductores en la Unión Europea.

• Máximo 9 horas de conducción diaria (extensible a 10 horas dos veces por semana)
• Descanso de 45 minutos después de 4.5 horas de conducción
• Registro automático de tiempos mediante tacógrafo digital

📋 Reglamento (UE) N° 165/2014 - Tacógrafos Digitales

Registro y almacenamiento de datos de conducción y descanso.

Hermes funciona como: Sistema complementario de registro de rutas (no reemplaza tacógrafo legal).

6.9. Tabla Comparativa de Restricciones por Jurisdicción

6.10. Oficial de Protección de Datos y Cumplimiento

6.11. Auditorías y Certificaciones

7. Compartir su Información

Compartimos su información en las siguientes circunstancias:

6.1. Con Clientes y Remitentes

Compartimos información limitada para facilitar entregas:

• Nombre del conductor
• Ubicación en tiempo real del vehículo
• Fotografía de perfil
• Placa del vehículo
• Tiempo estimado de llegada

6.2. Con Proveedores de Servicios

• Servicios de mapas y navegación (Google Maps API)
• Servicios de almacenamiento en la nube
• Plataformas de mensajería y notificaciones
• Servicios de análisis y métricas
• Proveedores de verificación de identidad

6.3. Con Empresas Clientes

Si trabaja para una empresa que utiliza Hermes, compartimos:

• Datos de rendimiento y entregas realizadas
• Historial de rutas
• Registros de actividad
• Métricas de desempeño

6.4. Requisitos Legales

Compartimos datos cuando sea legalmente requerido:

• Autoridades de transporte y tránsito
• Autoridades fiscales (SUNAT)
• Órdenes judiciales
• Investigaciones de accidentes o delitos

7. Seguridad de los Datos

Implementamos medidas robustas de seguridad específicas para datos de logística:

• Encriptación de extremo a extremo: Para ubicación y datos sensibles
• Autenticación biométrica: Disponible para acceso a la aplicación
• Tokens de sesión: Con expiración automática
• Auditoría de accesos: Registro de quién accede a qué información
• Servidores seguros: Certificados ISO 27001
• Monitoreo 24/7: Detección de accesos no autorizados
• Protocolo de respuesta a incidentes: Plan de acción ante brechas de seguridad

8. Retención de Datos

Conservamos diferentes tipos de datos por períodos específicos:

• Datos de cuenta: Mientras su cuenta esté activa
• Datos de entregas: 10 años (obligación legal contable)
• Datos de ubicación: 12 meses (luego anonimizados)
• Fotografías de entrega: 5 años (evidencia de entrega)
• Logs técnicos: 6 meses
• Datos de facturación: 10 años (obligación fiscal)

9. Sus Derechos

Usted tiene los siguientes derechos sobre sus datos personales:

Para ejercer sus derechos: Envíe solicitud a privacidad@npssac.com.pe con asunto "Solicitud ARCO - Hermes"

Plazo de respuesta: Máximo 20 días hábiles

10. Permisos de la Aplicación

Hermes solicita los siguientes permisos en su dispositivo:

Permisos Obligatorios:

• 📍 Ubicación (GPS): Rastreo en tiempo real de entregas
• 📷 Cámara: Fotografías de paquetes y firmas digitales
• 📞 Teléfono: Llamadas a clientes/operadores
• 🌐 Internet: Sincronización de datos
• 💾 Almacenamiento: Guardar fotografías temporalmente

Permisos Opcionales:

• 🔔 Notificaciones: Alertas de nuevas entregas
• 📱 Contactos: Facilitar búsqueda de destinatarios
• 🎤 Micrófono: Notas de voz (opcional)

Gestión de permisos: Puede modificar permisos en Configuración > Aplicaciones > Hermes, pero algunos son necesarios para el funcionamiento.

11. Privacidad para Conductores

12. Cookies y Tecnologías de Rastreo

Hermes utiliza las siguientes tecnologías:

• Tokens de sesión: Para mantener sesión activa y segura
• Caché local: Para funcionamiento offline parcial
• Identificadores de dispositivo: Para reconocer su dispositivo
• SDK de mapas: Google Maps SDK para navegación
• Analytics: Para análisis de uso y mejoras
• Crash reporting: Para detectar y corregir errores

13. Privacidad de Menores

Hermes está dirigida exclusivamente a usuarios mayores de 18 años con licencia de conducir vigente (para conductores) o autorización empresarial (para operadores). No recopilamos datos de menores.

14. Transferencias Internacionales

Sus datos pueden ser almacenados en servidores ubicados en Estados Unidos o Europa (AWS, Google Cloud). Garantizamos que estas transferencias cumplen con cláusulas contractuales estándar aprobadas y medidas de seguridad adecuadas.

15. Modo Offline

Hermes puede funcionar parcialmente sin conexión. Los datos recopilados offline se sincronizan automáticamente cuando recupere conectividad. Durante este período, los datos se almacenan localmente de forma encriptada en su dispositivo.

16. Cambios a esta Política

Notificaremos cambios significativos mediante:

• Notificación push en la Aplicación
• Correo electrónico registrado
• Alerta al iniciar sesión
• Publicación en www.npssac.com.pe

Los cambios entran en vigor 15 días después de la notificación.

17. Enlaces y Servicios de Terceros

Hermes se integra con servicios de terceros:

• Google Maps: Sujeto a Política de Google
• WhatsApp Business API: Para notificaciones a clientes
• Procesadores de pago: Para pagos contra entrega

Le recomendamos revisar las políticas de privacidad de estos servicios.

18. Incidentes de Seguridad

En caso de brecha de seguridad que afecte sus datos personales, le notificaremos dentro de las 72 horas siguientes, indicando:

• Naturaleza del incidente
• Datos potencialmente afectados
• Medidas tomadas
• Recomendaciones de seguridad

19. Contacto y Reclamaciones

20. Consentimiento y Aceptación

Al instalar y utilizar Hermes, especialmente al otorgar permisos de ubicación y cámara, usted:

• Reconoce haber leído y entendido esta Política de Privacidad
• Acepta el tratamiento de sus datos personales según lo descrito
• Consiente el rastreo de ubicación en tiempo real
• Autoriza el uso de fotografías para verificación de entregas
• Comprende que puede revocar su consentimiento en cualquier momento