Transportbidder

Privacy Policy — User App

Politica de Privacidad — Aplicacion de Usuario

Effective / Vigente: March 13, 2026 Peru Ley 29733 (LPDP) Compliant App: com.tbidder.tbidder_user_app
English

1. Introduction

Transportbidder S.A.C. ("Transportbidder," "we," "us," or "our"), with registered address in Lima, Peru, operates the Transportbidder User mobile application (the "User App") available on Google Play Store and Apple App Store, and the website transportbidder.com (collectively, the "Platform").

This Privacy Policy explains how we collect, use, process, store, share, and protect your personal data when you use the User App to request transportation services, in compliance with:

  • Peru's Personal Data Protection Law No. 29733 (Ley de Proteccion de Datos Personales, "LPDP")
  • Supreme Decree No. 016-2024-JUS (New Regulation, effective March 30, 2025)
  • Supreme Decree No. 003-2013-JUS (Original Regulation)
  • Directorial Resolution No. 019-2013-JUS/DGPDP (Security Directive)
  • Google Play Store Developer Policy and Apple App Store Review Guidelines

By downloading, installing, or using the User App, you acknowledge that you have read, understood, and agree to this Privacy Policy. If you do not agree, please do not use our services.

Legal Basis: Article 2, Section 6 of the Political Constitution of Peru; Ley 29733, Articles 5-18; Supreme Decree 016-2024-JUS, Articles 11-30.

2. Data Controller

The entity responsible for the processing of your personal data is:

Our personal data bank is registered with the Autoridad Nacional de Proteccion de Datos Personales (ANPD), under the Ministry of Justice and Human Rights of Peru, as required by Article 29 of the LPDP.

3. Information We Collect

3.1 Information You Provide Directly

When you create an account or use our services, we collect:

  • Account Registration Data: Full legal name, email address, phone number (with country code), date of birth, gender, profile photograph (selfie).
  • Authentication Data: Password (stored as bcrypt hash, never in plain text), Google account information (if using Google Sign-In), email verification status.
  • Ride Request Data: Pickup address, drop-off destination, preferred route selection, bid/offer amounts, ride notes or special instructions.
  • Communication Data: In-app chat messages with drivers, ride feedback, ratings (1-5 stars), written reviews, support tickets.
  • Payment Information: Wallet balance, transaction history, payment method preferences (cash/online). We do NOT store credit card numbers, CVV codes, or bank account details directly.

3.2 Information Collected Automatically

  • Location Data (GPS): Real-time geographic coordinates when the app is in use. Used to show your position on the map, calculate distances, find nearby drivers, and enable live ride tracking. Location is collected ONLY when you actively use the app (foreground). We do NOT collect background location from the User App.
  • Device Information: Device manufacturer and model, operating system type and version, unique device identifiers (Android ID, IDFV for iOS), screen resolution, language settings.
  • Push Notification Tokens: Firebase Cloud Messaging (FCM) registration tokens for sending ride status updates, driver arrival notifications, and promotional messages.
  • Crash and Performance Data: Crash reports, stack traces, ANR (Application Not Responding) events via Firebase Crashlytics. This helps us fix bugs and improve app stability.
  • Usage Analytics: App open/close events, screens visited, feature usage patterns, ride completion rates. Collected in aggregate form for service improvement.
  • Network Information: IP address, connection type (WiFi/mobile data), carrier name. Used for security monitoring and service optimization.

3.3 Information from Third Parties

  • Google Sign-In: If you authenticate via Google, we receive your Google account name, email address, and profile photo URL. We do NOT access your Google contacts, calendar, Drive, or any other Google services.
  • Google Maps: Route calculations, distance estimates, geocoded addresses, and Estimated Time of Arrival (ETA) data.

3.4 Sensitive Personal Data

Under Peru's LPDP (Article 2, Section 5), sensitive data includes biometric data, health data, racial/ethnic origin, political opinions, religious beliefs, and sexual orientation. We do NOT intentionally collect any sensitive personal data from User App users. The selfie photo you provide during registration is used solely for account identification purposes and is not processed as biometric data.

Legal Basis: LPDP Art. 2 (definitions), Art. 5 (consent principle), Art. 13 (sensitive data); SD 016-2024-JUS Art. 14-16.

4. Legal Basis for Processing

We process your personal data based on the following legal grounds recognized by Peru's LPDP:

PurposeLegal Basis (LPDP)
Account creation and managementConsent (Art. 5) + Contractual necessity (Art. 14.5)
Ride matching and facilitationContractual necessity (Art. 14.5)
Location tracking during ridesConsent (Art. 5) + Contractual necessity
Payment processingContractual necessity (Art. 14.5)
Push notifications (ride updates)Contractual necessity (Art. 14.5)
Push notifications (promotional)Consent (Art. 5)
Safety and fraud preventionLegitimate interest (Art. 14.10)
Crash reporting and bug fixesLegitimate interest (Art. 14.10)
Legal complianceLegal obligation (Art. 14.1)
Dispute resolutionLegitimate interest (Art. 14.10)

Your consent for data processing is obtained at the time of account registration. You can withdraw consent at any time by deleting your account (see Section 8).

5. How We Use Your Information

5.1 Core Service Delivery

  • Create and manage your user account
  • Display your location on the map and find available drivers nearby
  • Process your ride requests, bids, and counter-offers
  • Match you with drivers based on proximity, availability, and your preferences
  • Enable real-time GPS tracking during rides for safety
  • Facilitate in-app chat communication between you and your driver
  • Process wallet transactions and maintain transaction history
  • Generate ride receipts and trip summaries

5.2 Safety and Security

  • Verify your identity and prevent fraudulent accounts
  • Monitor ride patterns for unusual activity (e.g., impossibly fast rides, GPS spoofing)
  • Enable emergency ride sharing with trusted contacts
  • Maintain an OTP (One-Time Password) verification system for ride start
  • Enforce community guidelines and investigate reported incidents

5.3 Communications

  • Send OTP verification codes via email for account signup and login
  • Send ride status push notifications (driver accepted, driver arrived, ride started, ride completed)
  • Send promotional notifications about new features, discounts, or updates (with your consent)
  • Respond to support requests and complaints

5.4 Improvement and Analytics

  • Analyze aggregated usage patterns to improve app functionality
  • Identify and fix technical issues via crash reports
  • Develop new features based on user behavior trends
  • Conduct internal research and statistical analysis (using de-identified data)

5.5 Legal and Regulatory

  • Comply with Peru's tax, transport, and data protection laws
  • Respond to lawful requests from judicial or administrative authorities
  • Establish, exercise, or defend legal claims
  • Cooperate with ANPD investigations when required

6. Information Sharing and Disclosure

We do NOT sell, rent, or trade your personal data to any third party.

We may share your information with the following categories of recipients, only to the extent necessary:

6.1 Ride Participants (Drivers)

When you request a ride, drivers can see:

  • Your first name and profile photo
  • Pickup and drop-off locations
  • Your offered fare amount
  • Your user rating

Drivers do NOT see your email, phone number (except for in-app call during active ride), date of birth, or full address history.

6.2 Technology Service Providers

ProviderServiceData SharedLocation
Amazon Web Services (AWS)Server hosting, email (SES), file storage (S3)All data stored on platformMumbai, India (ap-south-1)
Google FirebaseAuthentication, push notifications (FCM), crash reporting (Crashlytics)Auth tokens, FCM tokens, crash logsUSA
Google Maps PlatformMaps, geocoding, routing, ETACoordinates, addressesUSA

All service providers are bound by data processing agreements and are required to comply with applicable data protection standards.

6.3 Legal Authorities

We may disclose your data when required by:

  • Peruvian law or regulation
  • Court order or judicial mandate
  • Request from ANPD or INDECOPI
  • Emergency situations involving threat to life or safety

6.4 Business Transfers

In the event of a merger, acquisition, or sale of assets, your personal data may be transferred to the successor entity. You will be notified in advance and given the opportunity to delete your account.

7. International Data Transfers

Your personal data may be transferred to and processed in countries outside Peru, specifically:

  • India (AWS Mumbai): Primary server hosting and database storage
  • United States: Firebase services (Google Cloud), Google Maps API

These transfers are conducted in compliance with Articles 15 and 16 of the LPDP and Articles 59-62 of Supreme Decree 016-2024-JUS. We ensure that:

  • Recipient countries or entities provide an adequate level of data protection
  • Standard contractual clauses or equivalent safeguards are in place
  • Your consent for international transfers is obtained during registration
Legal Basis: LPDP Art. 15-16; SD 016-2024-JUS Art. 59-62.

8. Your Rights (ARCO Rights)

Under Peru's LPDP, you have the following rights known as ARCO rights:

8.1 Right of Access (Acceso)

You may request a copy of all personal data we hold about you, including the purposes of processing, categories of data, recipients, and retention periods. We will respond within 20 business days.

8.2 Right of Rectification (Rectificacion)

You may correct inaccurate or incomplete personal data. You can update your name, email, phone, and profile photo directly in the app. For other corrections, contact us.

8.3 Right of Cancellation (Cancelacion / Deletion)

You may request deletion of your personal data when:

  • The data is no longer necessary for the purpose it was collected
  • You withdraw your consent
  • The data has been unlawfully processed

You can request account deletion through: the app (Settings > Delete Account), our website (Delete Account Page), or by emailing privacy@transportbidder.com.

Upon deletion request, we will:

  • Delete your account and personal profile within 30 days
  • Anonymize ride history records (retained for 3 years per tax law)
  • Delete FCM tokens immediately
  • Remove your data from active systems and backups within 90 days

8.4 Right of Opposition (Oposicion)

You may object to the processing of your data for:

  • Marketing and promotional purposes
  • Profiling or automated decision-making
  • Any processing based on legitimate interest

8.5 How to Exercise Your Rights

Send your ARCO request to privacy@transportbidder.com with:

  • Your full name and email associated with your account
  • A copy of your national ID (DNI) or passport
  • Clear description of the right you wish to exercise
  • Any supporting documentation

We will respond within 20 business days as required by the LPDP. If you are not satisfied with our response, you may file a complaint with the ANPD:

Autoridad Nacional de Proteccion de Datos Personales (ANPD)
Ministry of Justice and Human Rights of Peru
Website: www.gob.pe/anpd
Email: protecciondedatospersonales@minjus.gob.pe

Legal Basis: LPDP Art. 18-27; SD 016-2024-JUS Art. 31-58.

9. Data Security

We implement comprehensive technical, organizational, and legal measures to protect your data, as required by the LPDP and the Security Directive (Directorial Resolution 019-2013-JUS/DGPDP):

9.1 Technical Measures

  • Encryption in Transit: All data transmission uses HTTPS/TLS 1.2+ encryption
  • Encryption at Rest: Database encryption via AWS RDS encryption
  • Password Security: Passwords hashed using bcrypt with salt rounds (never stored in plain text)
  • Authentication: JWT (JSON Web Tokens) with expiration, stored in device secure storage
  • API Security: Rate limiting, Helmet security headers, CORS policy, input validation and sanitization
  • Infrastructure: AWS VPC isolation, security groups, automated backups

9.2 Organizational Measures

  • Role-based access control (RBAC) for internal systems
  • Principle of least privilege for all team members
  • Regular security audits and vulnerability assessments
  • Employee data protection training
  • Incident response procedures documented and tested

9.3 Security Document

In compliance with Supreme Decree 016-2024-JUS, we maintain a Security Document (Documento de Seguridad) that contains our access management procedures, privilege management policies, and internal data processing guidelines. This document is updated regularly and has a certified date (fecha cierta).

Legal Basis: LPDP Art. 16; SD 016-2024-JUS Art. 33-40; Security Directive (DR 019-2013-JUS/DGPDP).

10. Data Retention

Data CategoryRetention PeriodReason
Account profile dataDuration of account + 30 daysService provision
Ride history (anonymized)3 years after completionTax/accounting obligations (Peru tax law)
Transaction/wallet records5 yearsFinancial record-keeping requirements
Chat messages90 days after ride completionDispute resolution
Location data (ride)90 days after ride completionSafety/dispute resolution
Crash reports180 daysTechnical improvement
FCM tokensUntil account deletion or token refreshPush notifications
Support tickets2 yearsService quality
Security/audit logs2 years minimumSD 016-2024-JUS requirement

After the retention period, data is either securely deleted or anonymized so it can no longer identify you.

11. Data Breach Notification

In accordance with Supreme Decree 016-2024-JUS and Emergency Decree 007-2020 (Digital Trust Framework):

  • If a security incident exposes your personal data, we will notify the ANPD within 48 hours of becoming aware of the breach
  • If the breach poses a risk to your rights, we will notify you directly within 48 hours via email and/or in-app notification
  • If the breach involves the digital environment, we will also notify the National Center for Digital Security (CNSD)
  • Our notification will include: nature of the incident, types of data affected, potential consequences, and remedial measures taken
Legal Basis: SD 016-2024-JUS Art. 41-44; Emergency Decree 007-2020.

12. Children's Privacy

Our services are not directed to individuals under 18 years of age. We do not knowingly collect personal data from minors. If you are a parent or guardian and believe your child has provided personal data to us, please contact us at privacy@transportbidder.com and we will delete such data within 48 hours.

For users between 14 and 18 years of age, parental or guardian consent is required under Article 13 of the LPDP. We do not currently provide a mechanism for parental consent and therefore restrict the service to users 18 years and older.

13. Third-Party Services and SDKs

The User App integrates the following third-party services. Each has its own privacy policy:

ServicePurposePrivacy Policy
Google Maps SDKMaps, navigation, geocodingGoogle Privacy Policy
Firebase AuthenticationUser login, email verificationFirebase Privacy
Firebase Cloud MessagingPush notificationsFirebase Privacy
Firebase CrashlyticsCrash reportingFirebase Privacy
Google Sign-InSocial login optionGoogle Privacy Policy

14. Android and iOS Specific Permissions

14.1 Android Permissions

PermissionPurposeRequired?
ACCESS_FINE_LOCATIONShow your position, find nearby driversYes (core feature)
ACCESS_COARSE_LOCATIONApproximate location fallbackYes
INTERNETNetwork communicationYes
CAMERAProfile photo captureOptional
READ_EXTERNAL_STORAGESelect profile photo from galleryOptional
VIBRATEHaptic feedback for notificationsOptional
POST_NOTIFICATIONSPush notifications (Android 13+)Optional

The User App does NOT request: ACCESS_BACKGROUND_LOCATION, READ_CONTACTS, READ_PHONE_STATE, RECORD_AUDIO, or any other invasive permissions.

14.2 iOS Permissions (Info.plist)

Permission KeyPurposeRequired?
NSLocationWhenInUseUsageDescriptionShow your position while app is openYes
NSCameraUsageDescriptionCapture profile photoOptional
NSPhotoLibraryUsageDescriptionSelect profile photoOptional

The User App does NOT request: NSLocationAlwaysUsageDescription (background location), NSContactsUsageDescription, NSMicrophoneUsageDescription, or any health/fitness permissions.

15. Changes to This Policy

We may update this Privacy Policy periodically. When we make material changes:

  • We will update the "Effective Date" at the top of this page
  • We will notify you via in-app notification and/or email
  • For significant changes affecting your rights, we will request renewed consent
  • The previous version will remain accessible on our website

Continued use of the User App after notification of changes constitutes acceptance of the updated policy.

16. Governing Law and Jurisdiction

This Privacy Policy is governed by the laws of the Republic of Peru. Any disputes arising from this policy shall be subject to the exclusive jurisdiction of the courts of Lima, Peru, without prejudice to your right to file complaints with the ANPD.

17. Contact Us

For any questions, ARCO requests, or concerns about this Privacy Policy:

Supervisory Authority: Autoridad Nacional de Proteccion de Datos Personales (ANPD)
Ministry of Justice and Human Rights, Lima, Peru
www.gob.pe/anpd

Espanol

1. Introduccion

Transportbidder S.A.C. ("Transportbidder," "nosotros," "nos" o "nuestro"), con domicilio en Lima, Peru, opera la aplicacion movil Transportbidder para Usuarios (la "App de Usuario") disponible en Google Play Store y Apple App Store, y el sitio web transportbidder.com (conjuntamente, la "Plataforma").

Esta Politica de Privacidad explica como recopilamos, usamos, procesamos, almacenamos, compartimos y protegemos sus datos personales cuando utiliza la App de Usuario para solicitar servicios de transporte, en cumplimiento con:

  • Ley de Proteccion de Datos Personales N.o 29733 ("LPDP")
  • Decreto Supremo N.o 016-2024-JUS (Nuevo Reglamento, vigente desde el 30 de marzo de 2025)
  • Decreto Supremo N.o 003-2013-JUS (Reglamento Original)
  • Resolucion Directoral N.o 019-2013-JUS/DGPDP (Directiva de Seguridad)
  • Politicas de Google Play Store y Directrices de la App Store de Apple

Al descargar, instalar o usar la App de Usuario, usted reconoce que ha leido, entendido y acepta esta Politica de Privacidad. Si no esta de acuerdo, por favor no utilice nuestros servicios.

Base Legal: Articulo 2, Numeral 6 de la Constitucion Politica del Peru; Ley 29733, Articulos 5-18; DS 016-2024-JUS, Articulos 11-30.

2. Responsable del Tratamiento

La entidad responsable del tratamiento de sus datos personales es:

Nuestro banco de datos personales esta registrado ante la Autoridad Nacional de Proteccion de Datos Personales (ANPD), dependiente del Ministerio de Justicia y Derechos Humanos del Peru, conforme al Articulo 29 de la LPDP.

3. Informacion que Recopilamos

3.1 Informacion que Usted Proporciona Directamente

Cuando crea una cuenta o utiliza nuestros servicios, recopilamos:

  • Datos de Registro: Nombre completo, direccion de correo electronico, numero de telefono (con codigo de pais), fecha de nacimiento, genero, fotografia de perfil (selfie).
  • Datos de Autenticacion: Contrasena (almacenada como hash bcrypt, nunca en texto plano), informacion de cuenta de Google (si usa Google Sign-In), estado de verificacion de correo.
  • Datos de Solicitud de Viaje: Direccion de recogida, destino, seleccion de ruta preferida, montos de oferta/contraoferta, notas o instrucciones especiales.
  • Datos de Comunicacion: Mensajes de chat en la app con conductores, comentarios de viaje, calificaciones (1-5 estrellas), resenas escritas, tickets de soporte.
  • Informacion de Pago: Saldo de billetera, historial de transacciones, preferencias de metodo de pago (efectivo/en linea). NO almacenamos numeros de tarjetas de credito, codigos CVV ni datos bancarios directamente.

3.2 Informacion Recopilada Automaticamente

  • Datos de Ubicacion (GPS): Coordenadas geograficas en tiempo real cuando la aplicacion esta en uso. Se utiliza para mostrar su posicion en el mapa, calcular distancias, encontrar conductores cercanos y habilitar el seguimiento en vivo. La ubicacion se recopila SOLO cuando usa activamente la app (primer plano). NO recopilamos ubicacion en segundo plano de la App de Usuario.
  • Informacion del Dispositivo: Fabricante y modelo del dispositivo, tipo y version del sistema operativo, identificadores unicos (Android ID, IDFV para iOS), resolucion de pantalla, configuracion de idioma.
  • Tokens de Notificaciones Push: Tokens de registro de Firebase Cloud Messaging (FCM) para enviar actualizaciones de estado del viaje, notificaciones de llegada del conductor y mensajes promocionales.
  • Datos de Fallos y Rendimiento: Informes de errores, trazas de pila, eventos ANR via Firebase Crashlytics. Esto nos ayuda a corregir errores y mejorar la estabilidad de la app.
  • Analitica de Uso: Eventos de apertura/cierre de app, pantallas visitadas, patrones de uso de funciones, tasas de completacion de viajes. Recopilados de forma agregada para mejora del servicio.
  • Informacion de Red: Direccion IP, tipo de conexion (WiFi/datos moviles), nombre del operador. Utilizada para monitoreo de seguridad y optimizacion del servicio.

3.3 Informacion de Terceros

  • Google Sign-In: Si se autentica via Google, recibimos su nombre de cuenta, correo electronico y URL de foto de perfil. NO accedemos a sus contactos, calendario, Drive ni ningun otro servicio de Google.
  • Google Maps: Calculos de rutas, estimaciones de distancia, direcciones geocodificadas y datos de Tiempo Estimado de Llegada (ETA).

3.4 Datos Personales Sensibles

Segun la LPDP del Peru (Articulo 2, Numeral 5), los datos sensibles incluyen datos biometricos, datos de salud, origen racial/etnico, opiniones politicas, creencias religiosas y orientacion sexual. NO recopilamos intencionalmente ningun dato personal sensible de los usuarios de la App de Usuario. La foto selfie proporcionada durante el registro se utiliza unicamente para fines de identificacion de cuenta y no se procesa como dato biometrico.

Base Legal: LPDP Art. 2 (definiciones), Art. 5 (principio de consentimiento), Art. 13 (datos sensibles); DS 016-2024-JUS Art. 14-16.

4. Base Legal para el Tratamiento

Tratamos sus datos personales en base a los siguientes fundamentos legales reconocidos por la LPDP:

FinalidadBase Legal (LPDP)
Creacion y gestion de cuentaConsentimiento (Art. 5) + Necesidad contractual (Art. 14.5)
Emparejamiento y facilitacion de viajesNecesidad contractual (Art. 14.5)
Seguimiento de ubicacion durante viajesConsentimiento (Art. 5) + Necesidad contractual
Procesamiento de pagosNecesidad contractual (Art. 14.5)
Notificaciones push (actualizaciones)Necesidad contractual (Art. 14.5)
Notificaciones push (promocionales)Consentimiento (Art. 5)
Seguridad y prevencion de fraudeInteres legitimo (Art. 14.10)
Reportes de errores y correccionesInteres legitimo (Art. 14.10)
Cumplimiento legalObligacion legal (Art. 14.1)
Resolucion de disputasInteres legitimo (Art. 14.10)

Su consentimiento para el tratamiento de datos se obtiene al momento del registro de la cuenta. Puede retirar su consentimiento en cualquier momento eliminando su cuenta (ver Seccion 8).

5. Como Usamos su Informacion

5.1 Prestacion del Servicio Principal

  • Crear y gestionar su cuenta de usuario
  • Mostrar su ubicacion en el mapa y encontrar conductores disponibles cercanos
  • Procesar sus solicitudes de viaje, ofertas y contraofertas
  • Emparejarlo con conductores segun proximidad, disponibilidad y sus preferencias
  • Habilitar el seguimiento GPS en tiempo real durante los viajes por seguridad
  • Facilitar la comunicacion por chat en la app entre usted y su conductor
  • Procesar transacciones de billetera y mantener el historial de transacciones
  • Generar recibos de viaje y resumenes del trayecto

5.2 Seguridad y Proteccion

  • Verificar su identidad y prevenir cuentas fraudulentas
  • Monitorear patrones de viaje para detectar actividad inusual (ej., viajes imposiblemente rapidos, suplantacion GPS)
  • Habilitar el compartir viaje de emergencia con contactos de confianza
  • Mantener un sistema de verificacion OTP (Contrasena de Un Solo Uso) para el inicio del viaje
  • Hacer cumplir las guias de la comunidad e investigar incidentes reportados

5.3 Comunicaciones

  • Enviar codigos de verificacion OTP por correo electronico para registro e inicio de sesion
  • Enviar notificaciones push sobre el estado del viaje (conductor acepto, conductor llego, viaje iniciado, viaje completado)
  • Enviar notificaciones promocionales sobre nuevas funciones, descuentos o actualizaciones (con su consentimiento)
  • Responder a solicitudes de soporte y quejas

5.4 Mejora y Analitica

  • Analizar patrones de uso agregados para mejorar la funcionalidad de la app
  • Identificar y corregir problemas tecnicos mediante reportes de errores
  • Desarrollar nuevas funciones basadas en tendencias de comportamiento del usuario
  • Realizar investigacion interna y analisis estadistico (usando datos desidentificados)

5.5 Legal y Regulatorio

  • Cumplir con las leyes tributarias, de transporte y de proteccion de datos del Peru
  • Responder a solicitudes legitimas de autoridades judiciales o administrativas
  • Establecer, ejercer o defender reclamaciones legales
  • Cooperar con investigaciones de la ANPD cuando sea requerido

6. Comparticion y Divulgacion de Informacion

NO vendemos, alquilamos ni comercializamos sus datos personales a ningun tercero.

Podemos compartir su informacion con las siguientes categorias de destinatarios, solo en la medida necesaria:

6.1 Participantes del Viaje (Conductores)

Cuando solicita un viaje, los conductores pueden ver:

  • Su nombre y foto de perfil
  • Ubicaciones de recogida y destino
  • Su monto de tarifa ofrecido
  • Su calificacion de usuario

Los conductores NO ven su correo electronico, numero de telefono (excepto para llamada en la app durante un viaje activo), fecha de nacimiento ni historial completo de direcciones.

6.2 Proveedores de Servicios Tecnologicos

ProveedorServicioDatos CompartidosUbicacion
Amazon Web Services (AWS)Alojamiento, correo (SES), almacenamiento (S3)Todos los datos de la plataformaMumbai, India (ap-south-1)
Google FirebaseAutenticacion, notificaciones (FCM), reportes de fallos (Crashlytics)Tokens auth, tokens FCM, logs de fallosEE.UU.
Google Maps PlatformMapas, geocodificacion, rutas, ETACoordenadas, direccionesEE.UU.

Todos los proveedores de servicios estan vinculados por acuerdos de tratamiento de datos y deben cumplir con los estandares de proteccion de datos aplicables.

6.3 Autoridades Legales

Podemos divulgar sus datos cuando sea requerido por:

  • Ley o regulacion peruana
  • Orden judicial o mandato judicial
  • Solicitud de la ANPD o INDECOPI
  • Situaciones de emergencia que involucren amenaza a la vida o seguridad

6.4 Transferencias Empresariales

En caso de fusion, adquisicion o venta de activos, sus datos personales pueden transferirse a la entidad sucesora. Se le notificara con antelacion y se le dara la oportunidad de eliminar su cuenta.

7. Transferencias Internacionales de Datos

Sus datos personales pueden ser transferidos y procesados en paises fuera del Peru, especificamente:

  • India (AWS Mumbai): Alojamiento principal del servidor y almacenamiento de base de datos
  • Estados Unidos: Servicios de Firebase (Google Cloud), API de Google Maps

Estas transferencias se realizan en cumplimiento de los Articulos 15 y 16 de la LPDP y los Articulos 59-62 del DS 016-2024-JUS. Aseguramos que:

  • Los paises o entidades receptoras proporcionan un nivel adecuado de proteccion de datos
  • Se implementan clausulas contractuales tipo u otras garantias equivalentes
  • Su consentimiento para transferencias internacionales se obtiene durante el registro
Base Legal: LPDP Art. 15-16; DS 016-2024-JUS Art. 59-62.

8. Sus Derechos (Derechos ARCO)

Bajo la LPDP del Peru, usted tiene los siguientes derechos conocidos como derechos ARCO:

8.1 Derecho de Acceso

Puede solicitar una copia de todos los datos personales que tenemos sobre usted, incluyendo las finalidades del tratamiento, categorias de datos, destinatarios y periodos de retencion. Responderemos dentro de 20 dias habiles.

8.2 Derecho de Rectificacion

Puede corregir datos personales inexactos o incompletos. Puede actualizar su nombre, correo, telefono y foto de perfil directamente en la app. Para otras correcciones, contactenos.

8.3 Derecho de Cancelacion (Supresion)

Puede solicitar la eliminacion de sus datos personales cuando:

  • Los datos ya no son necesarios para la finalidad para la que fueron recopilados
  • Retira su consentimiento
  • Los datos han sido tratados ilicitamente

Puede solicitar la eliminacion de su cuenta a traves de: la app (Configuracion > Eliminar Cuenta), nuestro sitio web (Pagina de Eliminacion de Cuenta), o enviando un correo a privacy@transportbidder.com.

Tras la solicitud de eliminacion:

  • Eliminaremos su cuenta y perfil personal dentro de 30 dias
  • Anonimizaremos los registros de historial de viajes (retenidos 3 anos por ley tributaria)
  • Eliminaremos los tokens FCM inmediatamente
  • Eliminaremos sus datos de sistemas activos y respaldos dentro de 90 dias

8.4 Derecho de Oposicion

Puede oponerse al tratamiento de sus datos para:

  • Fines de marketing y promocionales
  • Elaboracion de perfiles o toma de decisiones automatizada
  • Cualquier tratamiento basado en interes legitimo

8.5 Como Ejercer sus Derechos

Envie su solicitud ARCO a privacy@transportbidder.com con:

  • Su nombre completo y correo asociado a su cuenta
  • Copia de su DNI o pasaporte
  • Descripcion clara del derecho que desea ejercer
  • Documentacion de respaldo

Responderemos dentro de 20 dias habiles conforme a la LPDP. Si no esta satisfecho con nuestra respuesta, puede presentar una queja ante la ANPD:

Autoridad Nacional de Proteccion de Datos Personales (ANPD)
Ministerio de Justicia y Derechos Humanos del Peru
Sitio web: www.gob.pe/anpd
Correo: protecciondedatospersonales@minjus.gob.pe

Base Legal: LPDP Art. 18-27; DS 016-2024-JUS Art. 31-58.

9. Seguridad de los Datos

Implementamos medidas tecnicas, organizativas y legales integrales para proteger sus datos, conforme a la LPDP y la Directiva de Seguridad (RD 019-2013-JUS/DGPDP):

9.1 Medidas Tecnicas

  • Cifrado en Transito: Toda transmision de datos utiliza cifrado HTTPS/TLS 1.2+
  • Cifrado en Reposo: Cifrado de base de datos via AWS RDS
  • Seguridad de Contrasenas: Contrasenas hasheadas con bcrypt y salt (nunca en texto plano)
  • Autenticacion: JWT (JSON Web Tokens) con expiracion, almacenados en almacenamiento seguro del dispositivo
  • Seguridad API: Limitacion de tasa, cabeceras de seguridad Helmet, politica CORS, validacion y saneamiento de entradas
  • Infraestructura: Aislamiento VPC de AWS, grupos de seguridad, copias de seguridad automatizadas

9.2 Medidas Organizativas

  • Control de acceso basado en roles (RBAC) para sistemas internos
  • Principio de minimo privilegio para todos los miembros del equipo
  • Auditorias de seguridad regulares y evaluaciones de vulnerabilidades
  • Capacitacion en proteccion de datos para empleados
  • Procedimientos de respuesta a incidentes documentados y probados

9.3 Documento de Seguridad

En cumplimiento del DS 016-2024-JUS, mantenemos un Documento de Seguridad que contiene nuestros procedimientos de gestion de acceso, politicas de gestion de privilegios y directrices internas de tratamiento de datos. Este documento se actualiza regularmente y tiene fecha cierta.

Base Legal: LPDP Art. 16; DS 016-2024-JUS Art. 33-40; Directiva de Seguridad (RD 019-2013-JUS/DGPDP).

10. Retencion de Datos

Categoria de DatosPeriodo de RetencionRazon
Datos de perfil de cuentaDuracion de la cuenta + 30 diasPrestacion del servicio
Historial de viajes (anonimizado)3 anos despues de completadoObligaciones tributarias/contables
Registros de transacciones/billetera5 anosRequisitos de registros financieros
Mensajes de chat90 dias despues de completar viajeResolucion de disputas
Datos de ubicacion (viaje)90 dias despues de completar viajeSeguridad/resolucion de disputas
Reportes de fallos180 diasMejora tecnica
Tokens FCMHasta eliminacion de cuenta o actualizacionNotificaciones push
Tickets de soporte2 anosCalidad del servicio
Logs de seguridad/auditoria2 anos minimoRequisito del DS 016-2024-JUS

Despues del periodo de retencion, los datos se eliminan de forma segura o se anonimizan para que no puedan identificarlo.

11. Notificacion de Brechas de Seguridad

De acuerdo con el DS 016-2024-JUS y el Decreto de Urgencia 007-2020 (Marco de Confianza Digital):

  • Si un incidente de seguridad expone sus datos personales, notificaremos a la ANPD dentro de 48 horas desde que tengamos conocimiento de la brecha
  • Si la brecha representa un riesgo para sus derechos, le notificaremos directamente dentro de 48 horas por correo electronico y/o notificacion en la app
  • Si la brecha involucra el entorno digital, tambien notificaremos al Centro Nacional de Seguridad Digital (CNSD)
  • Nuestra notificacion incluira: naturaleza del incidente, tipos de datos afectados, consecuencias potenciales y medidas correctivas adoptadas
Base Legal: DS 016-2024-JUS Art. 41-44; DU 007-2020.

12. Privacidad de Menores

Nuestros servicios no estan dirigidos a menores de 18 anos. No recopilamos intencionalmente datos personales de menores. Si usted es padre o tutor y cree que su hijo ha proporcionado datos personales, contactenos a privacy@transportbidder.com y eliminaremos dichos datos dentro de 48 horas.

Para usuarios entre 14 y 18 anos, se requiere consentimiento de los padres o tutores segun el Articulo 13 de la LPDP. Actualmente no proporcionamos un mecanismo de consentimiento parental y por lo tanto restringimos el servicio a usuarios mayores de 18 anos.

13. Servicios de Terceros y SDKs

La App de Usuario integra los siguientes servicios de terceros. Cada uno tiene su propia politica de privacidad:

ServicioPropositoPolitica de Privacidad
Google Maps SDKMapas, navegacion, geocodificacionPolitica de Google
Firebase AuthenticationInicio de sesion, verificacion de correoPrivacidad Firebase
Firebase Cloud MessagingNotificaciones pushPrivacidad Firebase
Firebase CrashlyticsReportes de fallosPrivacidad Firebase
Google Sign-InOpcion de inicio de sesion socialPolitica de Google

14. Permisos Especificos de Android e iOS

14.1 Permisos de Android

PermisoPropositoRequerido?
ACCESS_FINE_LOCATIONMostrar posicion, encontrar conductoresSi (funcion principal)
ACCESS_COARSE_LOCATIONUbicacion aproximada como respaldoSi
INTERNETComunicacion de redSi
CAMERACaptura de foto de perfilOpcional
READ_EXTERNAL_STORAGESeleccionar foto de galeriaOpcional
VIBRATERetroalimentacion hapticaOpcional
POST_NOTIFICATIONSNotificaciones push (Android 13+)Opcional

La App de Usuario NO solicita: ACCESS_BACKGROUND_LOCATION, READ_CONTACTS, READ_PHONE_STATE, RECORD_AUDIO ni ningun otro permiso invasivo.

14.2 Permisos de iOS (Info.plist)

Clave de PermisoPropositoRequerido?
NSLocationWhenInUseUsageDescriptionMostrar posicion mientras la app esta abiertaSi
NSCameraUsageDescriptionCapturar foto de perfilOpcional
NSPhotoLibraryUsageDescriptionSeleccionar foto de perfilOpcional

La App de Usuario NO solicita: NSLocationAlwaysUsageDescription (ubicacion en segundo plano), NSContactsUsageDescription, NSMicrophoneUsageDescription ni ningun permiso de salud/fitness.

15. Cambios a esta Politica

Podemos actualizar esta Politica de Privacidad periodicamente. Cuando realicemos cambios materiales:

  • Actualizaremos la "Fecha de Vigencia" en la parte superior de esta pagina
  • Le notificaremos mediante notificacion en la app y/o correo electronico
  • Para cambios significativos que afecten sus derechos, solicitaremos consentimiento renovado
  • La version anterior permanecera accesible en nuestro sitio web

El uso continuado de la App de Usuario despues de la notificacion de cambios constituye la aceptacion de la politica actualizada.

16. Ley Aplicable y Jurisdiccion

Esta Politica de Privacidad se rige por las leyes de la Republica del Peru. Cualquier disputa derivada de esta politica estara sujeta a la jurisdiccion exclusiva de los tribunales de Lima, Peru, sin perjuicio de su derecho a presentar quejas ante la ANPD.

17. Contactenos

Para cualquier consulta, solicitud ARCO o inquietud sobre esta Politica de Privacidad:

Autoridad Supervisora: Autoridad Nacional de Proteccion de Datos Personales (ANPD)
Ministerio de Justicia y Derechos Humanos, Lima, Peru
www.gob.pe/anpd