Política de privacidad

Vico es un servicio de check-in digital y virtual counter operado por Zentia Labs LLC, que permite a las empresas de alquiler de vehículos digitalizar el proceso de recogida, verificación de identidad y firma de contratos.

La empresa de alquiler que integra Vico en su operativa es la responsable principal del tratamiento de los datos personales de sus clientes finales (viajeros). Zentia Labs actúa como encargado del tratamiento de esos datos, siguiendo instrucciones documentadas del cliente y el acuerdo de tratamiento aplicable.

Zentia Labs actúa como responsable propio para los datos de marketing B2B, alta de cuentas de cliente, soporte, facturación, seguridad y uso de sus propias webs y portales administrativos.

Zentia Labs LLC trata los datos personales objeto de esta política desde las siguientes ubicaciones:

• Estados Unidos de América: domicilio social de Zentia Labs y ubicación principal de los subprocesadores de infraestructura cloud, almacenamiento y modelos de IA.
• España: personal autorizado de Zentia Labs (producto, ingeniería, soporte).
• Colombia: personal autorizado de Zentia Labs (producto, ingeniería, soporte).

Al aceptar nuestros términos, el cliente autoriza expresamente estas ubicaciones de tratamiento y se compromete a reflejarlas en la información que facilite a sus clientes finales cuando la normativa aplicable lo requiera. Las salvaguardas para transferencias internacionales se detallan en la sección correspondiente.

• Datos de identificación: fotos del documento nacional de identidad, pasaporte o documento equivalente; fotografía del permiso de conducir.
• Datos biométricos: selfies con detección de vivacidad, puntuaciones biométricas de liveness y coincidencia facial. Estos datos constituyen categorías especiales de datos personales (Art. 9 RGPD).
• Datos de inspección del vehículo: fotografías de daños del vehículo realizadas durante el check-in y check-out.
• Datos de firma electrónica: trazos, marcas temporales, hash del documento y datos asociados al proceso de firma del contrato de alquiler.
• Datos de pago: pre-autorizaciones y cargos procesados a través de Stripe; Zentia Labs no almacena los números completos de tarjeta.
• Datos del contrato de alquiler: nombre, fechas, vehículo asignado, condiciones, extras y demás datos incluidos en el contrato generado.
• Datos de cuenta del cliente (B2B): usuarios, roles, credenciales, configuración, datos de facturación e identificadores fiscales.
• Datos técnicos y de uso: IP, navegador, dispositivo, logs, eventos de seguridad y analítica del producto.

• Verificación de identidad (KYC): validar la identidad del viajero comparando el documento de identidad, la selfie y la detección biométrica de vivacidad.
• Generación y firma electrónica de contratos de alquiler.
• Inspección fotográfica de daños del vehículo en la recogida y devolución.
• Cobros y pre-autorizaciones de pago por cuenta del cliente.
• Integración con el sistema de gestión de reservas (RMS) del cliente.
• Prestar la tecnología contratada, alojar la infraestructura y mantener la seguridad del servicio.
• Administrar cuentas de cliente, soporte, facturación y cumplimiento de obligaciones legales y fiscales.

• Ejecución del contrato: el tratamiento de los datos del viajero es necesario para ejecutar el proceso de check-in digital y formalizar el contrato de alquiler solicitado.
• Obligación legal: conservación de datos contractuales, contables y fiscales conforme a la normativa aplicable.
• Interés legítimo: seguridad, prevención de fraude, mejora del producto, gestión de la relación B2B con clientes y comunicaciones profesionales razonables.
• Consentimiento explícito del interesado (Art. 9.2.a RGPD): para el tratamiento de datos biométricos derivados de la detección de vivacidad. El viajero presta consentimiento explícito antes de iniciar el proceso de verificación biométrica. Este consentimiento es libre, específico, informado y revocable.
• El cliente (empresa de alquiler) actúa como responsable del tratamiento de los datos de sus clientes finales. Zentia Labs actúa como encargado del tratamiento conforme a instrucciones documentadas y al acuerdo de tratamiento por cuenta.

Para la prestación del servicio Zentia Labs se apoya en proveedores y subprocesadores pertenecientes a las siguientes categorías tecnológicas estándar, cuyo uso el cliente autoriza al aceptar nuestros términos: infraestructura cloud y hosting, almacenamiento, KYC y biometría, pasarelas y proveedores de pago, correo transaccional, CRM y email marketing, analítica y observabilidad.

• La empresa de alquiler que utiliza Vico (responsable del tratamiento): recibe los datos de check-in, los resultados de verificación KYC, los contratos firmados, fotos de daños y datos de pago de sus propios clientes.
• Stripe: procesamiento de pagos y pre-autorizaciones.
• Google Cloud Platform: infraestructura, cómputo y almacenamiento.
• Upstash: cache y almacenamiento en tiempo real (Redis).
• Resend: email transaccional (confirmaciones, notificaciones).
• Brevo: CRM y email de marketing B2B dirigido a clientes.
• Asesores profesionales y autoridades públicas cuando exista una obligación legal, una necesidad de defensa o un requerimiento válido.

Zentia Labs notificará con antelación razonable cualquier cambio material de subprocesadores con impacto en el tratamiento de datos personales; el cliente podrá oponerse por motivos razonables y justificados. Zentia Labs no vende datos personales y no utiliza WhatsApp Business ni integraciones de mensajería conversacional en Vico.

Además de los tratamientos descritos en las finalidades anteriores, Zentia Labs podrá tratar datos agregados, anonimizados o seudonimizados derivados del uso del servicio para las siguientes finalidades adicionales:

• Prestación y mejora técnica del servicio: depuración, rendimiento, fiabilidad y calidad de respuesta.
• Entrenamiento y evaluación interna de los modelos de inteligencia artificial utilizados por el servicio, así como ajuste de prompts, instrucciones y heurísticas.
• Análisis estadísticos agregados del sector de alquiler de vehículos (por ejemplo, métricas de demanda, sentimiento, tipologías de consulta) que no permitan identificar a personas físicas concretas.
• Desarrollo de nuevas funcionalidades y servicios adyacentes que puedan beneficiar a los clientes existentes y a clientes futuros.

En ningún caso usamos contenido conversacional identificable de clientes finales para entrenar modelos de inteligencia artificial de proveedores terceros con fines distintos de la prestación del servicio contratado. Cuando se utilicen modelos de proveedores externos (subencargados), se aplican los acuerdos contractuales y políticas de uso de esos proveedores, que prohíben el uso de datos del cliente para entrenamiento de modelos propios del proveedor salvo opt-in expreso.

La prestación del servicio implica el tratamiento de datos personales en el triángulo Estados Unidos – España – Colombia, en los términos descritos en la sección "Ubicaciones de tratamiento". Adicionalmente, determinados subprocesadores pueden operar desde otros países fuera del Espacio Económico Europeo.

Para legitimar estas transferencias internacionales aplicamos las salvaguardas reconocidas por la normativa aplicable, en particular:

• Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea mediante Decisión (UE) 2021/914, Módulo 2 (Responsable a Encargado), para las transferencias desde España o cualquier otro país del EEE hacia Estados Unidos y Colombia.
• Cláusulas contractuales modelo publicadas por la Superintendencia de Industria y Comercio (SIC) de Colombia para transferencias internacionales desde Colombia.
• Régimen estadounidense aplicable a Zentia Labs LLC como sociedad constituida en el Estado de Wyoming, incluyendo las obligaciones contractuales asumidas en el acuerdo de tratamiento.
• Decisiones de adecuación, certificaciones reconocidas o medidas técnicas complementarias razonables cuando resulten aplicables.

El acuerdo de tratamiento (DPA) incorporado a los términos del servicio constituye, por sí mismo, el mecanismo contractual de salvaguarda de las transferencias entre el cliente y Zentia Labs, al incorporar las obligaciones, garantías y derechos equivalentes a los previstos en las salvaguardas anteriores. Para las transferencias adicionales hacia subprocesadores, Zentia Labs se apoya en los DPA y cláusulas de transferencia publicados por dichos proveedores.

• Datos biométricos y de KYC (selfies, liveness, puntuaciones): según la regulación aplicable y la configuración definida por el cliente; eliminados una vez completada la verificación salvo que la normativa exija un período de conservación mayor.
• Fotos de documento de identidad y licencia de conducir: durante la vigencia del contrato de alquiler y el período de reclamación definido por el cliente.
• Fotos de daños del vehículo: durante la vigencia del contrato de alquiler más el período de reclamación configurado por el cliente.
• Datos de firma electrónica y contrato: mientras exista relación comercial con el cliente y después durante los plazos legales de conservación.
• Datos de facturación y contabilidad: 6 años conforme a la normativa fiscal aplicable.
• Datos de cuenta del cliente: mientras exista relación comercial y después durante los plazos legales.
• Logs de seguridad y acceso: normalmente hasta 12 meses, salvo necesidad de investigación.
• Datos derivados del uso del servicio en formato agregado, anonimizado o seudonimizado: podrán conservarse durante un máximo de 24 meses adicionales a efectos de mejora del servicio y defensa de reclamaciones.

• Aplicamos medidas técnicas y organizativas reforzadas dada la naturaleza sensible de los datos biométricos, incluyendo cifrado en tránsito y en reposo, controles de acceso basados en roles y principio de mínimo privilegio.
• El acceso interno a datos se limita al personal autorizado con necesidad funcional y sujeto a deberes de confidencialidad.
• Los datos biométricos de liveness se procesan de forma aislada y se eliminan conforme a la política de retención configurada.
• La relación de tratamiento por cuenta respecto de datos operativos del cliente se regula mediante contrato y acuerdo de tratamiento, junto con la gestión de subencargados y medidas de seguridad aplicables.

Puedes ejercer, cuando proceda, los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. Puedes retirar el consentimiento prestado para el tratamiento biométrico en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior.

Si la solicitud se refiere a datos de un viajero captados a través de Vico, la vía principal debe ser la empresa de alquiler como responsable del tratamiento. No obstante, los interesados podrán dirigir sus solicitudes también de forma subsidiaria a Zentia Labs; en este caso, trasladaremos la solicitud al cliente sin demora injustificada y colaboraremos en su resolución conforme a nuestro papel de encargado del tratamiento.

• Solicitudes sobre cuentas de cliente, facturación, soporte o uso de nuestras webs: contacta con nosotros en privacy@virtual-counter.com.
• Solicitudes sobre datos de check-in, KYC, contrato o daños como viajero: contacta primero con la empresa de alquiler donde realizaste el check-in.

Podemos actualizar esta política para reflejar cambios legales, técnicos o de producto. Publicaremos la versión vigente en esta página e indicaremos la fecha de última actualización.