Política de Privacidad
Política de Privacidad de CoverLine Pro
Última actualización: 7 de mayo de 2026 Versión: 1.1
Cómo ejercer tus derechos (resumen rápido)
| Derecho | Cómo ejercerlo en CoverLine Pro |
|---|---|
| Acceso a tu data | `/settings/privacy` → "Exportar mis datos" — descarga JSON con todo lo que tenemos sobre vos |
| Rectificación | `/settings/profile` para datos personales; el resto editás directo en cada pantalla |
| Eliminación ("right to be forgotten") | `/settings/privacy` → "Eliminar mi cuenta" — soft-delete, hard-delete después de 30 días |
| Portabilidad | El export de datos es JSON estándar transferible a otra plataforma |
| Oposición a marketing | Unsubscribe link en cada email + toggle en `/settings/privacy` |
| Limitación del procesamiento | Email a `privacy@coverlinepro.com` |
| Retiro de consentimiento | Banner de cookies en cualquier momento + email |
| Reclamación ante autoridad | Tu derecho a presentar queja ante la AEPD (España), FTC (USA), AAIP (Argentina), etc |
Tiempo de respuesta: máximo 30 días calendario (15 si la solicitud es urgente bajo CCPA).
1. Quiénes somos
CoverLine Pro ("nosotros", "nuestro", "el Servicio") es una plataforma SaaS para agencias de seguros que operan en EEUU. Esta política explica cómo recolectamos, usamos, compartimos y protegemos información personal.
- Razón social provisoria: CoverLine Pro, LLC (Delaware, EEUU) — pendiente de constitución formal.
- Operación: la administración técnica y comercial es realizada parcialmente desde Argentina por nuestro equipo fundador.
- Contacto Data Protection Officer (DPO): privacy@coverlinepro.com
2. A quién aplica esta política
2.1 Datos de la agencia (nuestros clientes directos)
Cuando una agencia se suscribe a CoverLine Pro, recolectamos datos de los miembros del equipo de la agencia. Para estos datos, somos data controller.
2.2 Datos de los clientes finales (asegurados de la agencia)
Cuando la agencia carga datos de sus clientes finales (asegurados, leads, dependientes), nosotros actuamos como data processor / Business Associate. La agencia es el data controller / Covered Entity y debe contar con la base legal y consentimientos para tratar esos datos.
3. Qué datos recolectamos
3.1 De la agencia y sus usuarios
- Datos de identificación: nombre, email, teléfono, foto de perfil, idioma preferido.
- Datos de cuenta: contraseña hasheada con Argon2, tokens de sesión, MFA secrets.
- Datos de licenciamiento: número de producer license, estados habilitados, vencimientos de Continuing Education y E&O Insurance (cuando los cargás).
- Datos de uso: páginas visitadas, eventos, errores, dirección IP, user agent.
- Datos de facturación: razón social, dirección, NIT/EIN. Los datos de tarjeta no los almacenamos nosotros — los gestiona Paddle.
3.2 De los clientes finales (cargados por la agencia)
- PII básica: nombre completo, fecha de nacimiento, dirección, teléfono, email.
- Identificadores sensibles: SSN, ITIN, número de licencia de conducir, número de pasaporte, EAD, Green Card, visa.
- PHI (Protected Health Information): condiciones médicas, medicaciones, dependientes, datos relevantes para underwriting de pólizas de salud.
- Datos financieros: ingresos declarados, método de pago de prima (sin almacenar el PAN de la tarjeta), historial de cobros y mora.
- Datos de pólizas: carrier, plan, número de póliza, miembros cubiertos, vigencia, prima.
- Comunicaciones: emails, SMS, mensajes WhatsApp, grabaciones de llamadas (cuando la agencia activa la función), transcripciones generadas por IA.
- Documentos: archivos cargados (aplicaciones, EOBs, IDs, comprobantes).
4. Cómo usamos los datos
Usamos los datos exclusivamente para:
- Operar el Servicio: mostrar información en la app, ejecutar automaciones que vos configurás, generar reportes, hacer backups.
- Soporte al cliente: atender tickets, resolver incidencias.
- Mejora del producto: análisis agregado y anonimizado de uso.
- Comunicaciones operativas: notificar caídas, cambios de términos, alertas de seguridad.
- Comunicaciones de marketing al usuario de la agencia (no al cliente final), siempre con opt-out funcional.
- Cumplimiento legal: responder a citaciones, requerimientos regulatorios, y proteger derechos legítimos.
Lo que NO hacemos:
- No vendemos tus datos ni los datos de tus clientes finales.
- No los usamos para perfilamiento publicitario fuera del Servicio.
- No los compartimos con aseguradoras u otros agentes salvo que vos lo configures explícitamente.
5. Con quién compartimos datos (Subprocesadores)
Los subprocesadores son proveedores que procesan datos en nuestro nombre. Mantenemos un acuerdo de procesamiento con cada uno y, cuando aplica, un Business Associate Agreement (BAA).
| Subprocesador | Propósito | Datos | BAA / DPA |
|---|---|---|---|
| Paddle.com Inc. | Procesamiento de pagos (Merchant of Record) | Datos de facturación | DPA firmado |
| Amazon Web Services (AWS) | Hosting principal | Todos los datos del Servicio | BAA firmado |
| Cloudflare R2 | Almacenamiento de archivos | Documentos, grabaciones | BAA pendiente |
| Twilio | Llamadas de voz, SMS, grabaciones | Datos de comunicaciones | BAA disponible |
| Meta Platforms (WhatsApp Business API) | Mensajería WhatsApp | Mensajes, contactos | DPA firmado |
| SendGrid (Twilio) | Emails transaccionales | Emails operativos | BAA disponible |
| OpenAI | Funciones de IA (transcripción, sugerencias) | Texto / audio sin SSN | DPA firmado, no entrenamiento con tus datos |
| Sentry | Monitoreo de errores | Logs, stack traces (PII redactada) | DPA firmado |
| Microsoft Clarity | Heatmaps y session recordings | Solo dashboard de la agencia, con masking obligatorio de PII | DPA firmado |
| Google Workspace | Email corporativo, docs internos | Comunicaciones internas | DPA firmado |
La lista actualizada y mecanismo de opt-out de Microsoft Clarity están en https://coverlinepro.com/legal/subprocessors.
6. Cómo protegemos los datos
6.1 Salvaguardas técnicas
- Encriptación en tránsito: TLS 1.2+ en todas las conexiones.
- Encriptación en reposo: AES-256 a nivel de almacenamiento.
- Encriptación a nivel de campo: AES-256-GCM para SSN, ITIN y documentos migratorios; las llaves se rotan por tenant.
- Aislamiento multi-tenant: Row-Level Security (RLS) en PostgreSQL — cada agencia ve solo sus datos.
- Autenticación: contraseñas con Argon2, MFA disponible y obligatoria para roles administrativos.
- Controles de acceso: principio de mínimo privilegio, RBAC por rol, audit log inmutable.
- Monitoreo: SIEM con alertas, logs retenidos 6 años para cumplimiento HIPAA Security Rule.
6.2 Salvaguardas administrativas
- Programa de seguridad escrito (Written Information Security Program) bajo GLBA Safeguards Rule.
- Capacitación obligatoria del equipo en privacidad y manejo de PHI.
- Background checks para personal con acceso a producción.
- Plan de respuesta a incidentes documentado y probado.
6.3 Salvaguardas físicas
- Hosting en datacenters certificados (AWS).
- Sin servidores on-premise con datos de clientes.
7. Cumplimiento HIPAA
Cuando la agencia maneja datos de pólizas de salud, ésta actúa como Covered Entity y CoverLine Pro como Business Associate.
- Firmamos Business Associate Agreement (BAA) con cada agencia que procese PHI. El BAA está disponible bajo solicitud a legal@coverlinepro.com.
- Aplicamos las salvaguardas exigidas por la HIPAA Security Rule (45 CFR Part 164 Subpart C).
- Notificamos brechas de PHI a la agencia sin demora innecesaria y dentro de 60 días, bajo la Breach Notification Rule.
- Si la agencia no firma BAA, se compromete a no cargar PHI en la plataforma.
8. Cumplimiento GLBA (Gramm-Leach-Bliley Act)
Como el Servicio procesa información financiera no pública (NPI) de seguros, cumplimos con la GLBA Safeguards Rule (16 CFR Part 314, actualizada en 2023):
- Qualified Individual designado para supervisar el programa de seguridad.
- Evaluaciones de riesgo periódicas.
- Controles de acceso, MFA, encriptación, monitoreo continuo.
- Plan de respuesta a incidentes.
- Reporte anual al órgano de gobierno.
- Privacy Notice disponible y mecanismo de opt-out.
9. Derechos del usuario
9.1 Derechos generales
Cualquier persona cuyos datos procesamos puede ejercer:
- Acceso: saber qué datos tenemos sobre vos.
- Rectificación: corregir datos inexactos.
- Eliminación: solicitar la eliminación (sujeto a retención legal — ver Sección 10).
- Portabilidad: recibir tus datos en formato estructurado y legible (CSV/JSON).
- Oposición: oponerte a usos específicos (ej. marketing).
Para ejercer estos derechos: privacy@coverlinepro.com. Respondemos en 30 días.
9.2 Residentes de California (CCPA / CPRA)
Si sos residente de California, tenés derechos adicionales bajo la California Consumer Privacy Act (CCPA) y la California Privacy Rights Act (CPRA):
- Saber categorías y propósitos del tratamiento.
- No discriminación por ejercer derechos.
- Limitar el uso de datos sensibles (sensitive personal information).
- Opt-out de "venta" o "compartición" de datos (no aplicamos venta).
Mecanismo: privacy@coverlinepro.com o el botón "Do Not Sell or Share My Personal Information" en el footer.
9.3 Residentes de Nueva York (SHIELD Act)
Si sos residente de NY, aplicamos las salvaguardas razonables exigidas por el NY SHIELD Act y notificamos brechas según los plazos establecidos.
9.4 Otros estados
Aplicamos salvaguardas equivalentes a los marcos de Virginia CDPA, Colorado Privacy Act, Texas Data Privacy and Security Act (2024) y Florida Digital Bill of Rights (2023) según corresponda al residente.
9.5 Solicitudes desde la agencia (Data Subject Requests del cliente final)
Cuando un cliente final de la agencia solicita acceso/eliminación, la agencia es la responsable de procesar la solicitud y CoverLine Pro la asiste con las herramientas técnicas (export, eliminación selectiva).
10. Retención de datos
| Tipo de dato | Retención |
|---|---|
| Datos de la cuenta de agencia activa | Mientras la suscripción esté vigente |
| Datos de clientes finales (workspace activo) | Definido por la agencia, hasta 7 años por defecto |
| Cuenta cancelada — período de gracia | 30 días (acceso a exportar) |
| Cuenta cancelada — soft delete | Días 31 a 90 |
| Cuenta cancelada — hard delete | A partir del día 91 (destrucción criptográfica) |
| Logs de auditoría con PHI | 6 años (HIPAA Security Rule) |
| Logs de seguridad sin PHI | 12 meses |
| Registros financieros / facturación | 7 años (IRS + leyes estatales de seguros) |
| Grabaciones de llamadas | Definido por la agencia, máximo 3 años por defecto |
| Tickets de soporte | 3 años |
| Backups | 30 días en rotación |
Detalle ampliado en `docs/legal/q12-data-retention.md`.
11. Cookies y tecnologías similares
Usamos cookies y tecnologías similares para:
- Esenciales: sesión, autenticación, MFA, preferencias de idioma. No se pueden desactivar.
- Analíticas: Microsoft Clarity (heatmaps, session recordings) con masking obligatorio de PII activado por defecto.
- Funcionales: recordar estado de la UI (sidebar colapsado, tema oscuro).
Microsoft Clarity en particular:
- Solo se aplica a los usuarios de la agencia (administradores y agentes), no al portal del cliente final.
- Configurado con `data-clarity-mask-text="True"` en todos los campos que pueden contener PII (nombres, SSN, direcciones).
- Las grabaciones se retienen por máximo 30 días.
Podés gestionar cookies desde el banner de consentimiento o en Configuración → Privacidad.
12. Menores
CoverLine Pro no está destinado a menores de 13 años. No recolectamos a sabiendas datos de menores como usuarios del Servicio.
Excepción: los dependientes de un asegurado pueden ser menores (hijos cubiertos por una póliza de salud). En esos casos, el dato del menor lo ingresa el adulto responsable y se trata con las protecciones reforzadas exigidas por COPPA y leyes estatales aplicables. La agencia es responsable de obtener el consentimiento parental cuando aplique.
13. Transferencias internacionales
CoverLine Pro tiene parte de su equipo operando desde Argentina (administración, soporte, ingeniería). Esto significa que personal autorizado en Argentina puede acceder a datos almacenados en EEUU para fines operativos.
Salvaguardas aplicadas:
- Acceso únicamente a través de VPN corporativa con MFA.
- Audit log de cada acceso.
- Acuerdos de confidencialidad y procesamiento con cada miembro del equipo.
- Argentina está reconocida por la Comisión Europea como país con nivel adecuado de protección (relevante si en el futuro hay clientes con datos de residentes UE).
- Standard Contractual Clauses (SCC) cuando aplique.
Datos en reposo: principalmente en regiones AWS US-East-1 y US-East-2. No se replican a regiones fuera de EEUU sin tu autorización.
14. Brechas de seguridad
Si detectamos una brecha que afecte datos personales:
- Investigación inmediata y contención.
- Notificación a las agencias afectadas dentro de 72 horas del descubrimiento, con la información disponible en ese momento.
- Notificación a reguladores según los plazos aplicables (HHS bajo HIPAA en 60 días; reguladores estatales según ley local).
- Notificación a personas afectadas sin demora innecesaria si la brecha implica riesgo significativo.
- Reporte post-mortem con causa raíz y medidas correctivas.
15. Contacto
- Data Protection Officer (DPO): privacy@coverlinepro.com
- Solicitudes de derechos del titular: privacy@coverlinepro.com
- Reportes de seguridad / brechas: security@coverlinepro.com
- Cuestiones legales: legal@coverlinepro.com
16. Cambios a esta política
Podemos actualizar esta política. Los cambios materiales se notifican con 30 días de antelación por email y banner en la app. La fecha de "última actualización" en el encabezado refleja la versión vigente.
Referencias normativas relevantes:
- Health Insurance Portability and Accountability Act of 1996 (HIPAA), Pub. L. 104-191
- Health Information Technology for Economic and Clinical Health Act of 2009 (HITECH)
- Gramm-Leach-Bliley Act of 1999 (GLBA), Pub. L. 106-102; FTC Safeguards Rule actualizada 2023 (16 CFR Part 314)
- California Consumer Privacy Act of 2018 (CCPA) y California Privacy Rights Act of 2020 (CPRA)
- New York SHIELD Act of 2019
- Virginia Consumer Data Protection Act of 2021 (VCDPA)
- Colorado Privacy Act of 2021 (CPA)
- Texas Data Privacy and Security Act of 2024
- Florida Digital Bill of Rights of 2023
- Children's Online Privacy Protection Act of 1998 (COPPA), 15 U.S.C. §§ 6501-6506
- Telephone Consumer Protection Act of 1991 (TCPA), 47 U.S.C. § 227
- CAN-SPAM Act of 2003, 15 U.S.C. §§ 7701-7713