English
1. Introduction
This Data Processing Policy ("Policy") provides a detailed and transparent description of all personal data processing activities conducted by Transportbidder S.A.C. ("Transportbidder," "we") in connection with the Transportbidder platform (User App, Driver App, and website).
This Policy is issued in compliance with:
- Ley 29733 — Peru's Personal Data Protection Law (LPDP)
- Supreme Decree 016-2024-JUS — New Regulation (effective March 30, 2025)
- Directorial Resolution 019-2013-JUS/DGPDP — Security Directive
This Policy supplements our Privacy Policies (User and Driver) and should be read together with them.
2. Data Controller Information
| Field | Details |
|---|---|
| Legal Name | Transportbidder S.A.C. |
| Country | Peru |
| Address | Lima, Peru |
| Data Protection Contact | dpo@transportbidder.com |
| Privacy Email | privacy@transportbidder.com |
| Data Bank Registration | Registered with ANPD per LPDP Art. 29 |
3. Categories of Data Subjects
| Category | Description |
|---|---|
| Passengers (Users) | Individuals who use the User App to request transportation services |
| Driver Partners | Independent contractors who use the Driver App to provide transportation services |
| Website Visitors | Individuals who visit transportbidder.com |
| Support Contacts | Individuals who contact us via email for support, complaints, or inquiries |
4. Processing Activities Register
The following table details each processing activity, its purpose, legal basis, data categories involved, and retention period, as required by SD 016-2024-JUS:
4.1 Account Management
| Activity | Purpose | Legal Basis | Data | Retention |
|---|---|---|---|---|
| User registration | Create user account | Consent + Contract | Name, email, phone, DOB, gender, selfie | Account duration + 30 days |
| Driver registration | Create driver account | Consent + Contract | Name, email, phone, DOB, gender, city | Account duration + 30 days |
| Email verification | Verify account ownership | Contract | Email, OTP codes | OTP: 10 minutes; email: account duration |
| Google Sign-In | Alternative authentication | Consent | Google name, email, photo URL | Account duration |
| Profile management | Allow users to update info | Contract | Editable profile fields | Account duration |
| Account deletion | Process data subject deletion requests | Legal obligation (ARCO) | All account data | Deleted within 30 days; backups within 90 days |
4.2 Driver Verification
| Activity | Purpose | Legal Basis | Data | Retention |
|---|---|---|---|---|
| Identity verification | Verify driver identity for safety | Legal obligation + Consent | DNI images, selfie photo | Account duration + 30 days |
| License verification | Verify driving eligibility | Legal obligation | License images, number, expiry | Account duration + 30 days |
| Criminal background | Passenger safety compliance | Explicit written consent (Art. 13) | Criminal record certificate | Account duration + 30 days |
| Vehicle verification | Verify vehicle safety | Contract + Legal obligation | Tarjeta de Propiedad, SOAT, vehicle photos | Account duration + 30 days |
| SOAT monitoring | Ensure valid insurance | Legal obligation | SOAT expiry date | Account duration |
4.3 Ride Operations
| Activity | Purpose | Legal Basis | Data | Retention |
|---|---|---|---|---|
| Ride request processing | Match passengers with drivers | Contract | Pickup/drop-off locations, fare offer, route | 90 days (anonymized after 3 years) |
| Bidding system | Facilitate fare negotiation | Contract | Bid amounts, counter-offers, acceptance | 90 days |
| GPS tracking (foreground) | Show location, calculate routes | Consent + Contract | Real-time coordinates | 90 days after ride |
| GPS tracking (background — Driver only) | Driver visibility while Online | Explicit consent + Contract | Background coordinates | 24 hours (cache only) |
| OTP verification | Confirm correct driver-passenger match | Contract | OTP code | Until ride start (seconds) |
| In-app chat | Ride communication | Contract | Text messages | 90 days after ride |
| Ride completion | Record ride data, generate receipt | Contract | Route taken, duration, distance, fare | 3-5 years (tax/accounting) |
4.4 Financial Processing
| Activity | Purpose | Legal Basis | Data | Retention |
|---|---|---|---|---|
| Wallet management | Platform fee transactions | Contract | Wallet balance, top-ups, deductions | 5 years (financial records) |
| Platform fee calculation | Deduct commission per ride | Contract | Accepted fare, fee percentage, deducted amount | 5 years |
| Transaction history | Financial transparency | Contract + Legal obligation | All wallet transactions | 5 years |
4.5 Safety and Security
| Activity | Purpose | Legal Basis | Data | Retention |
|---|---|---|---|---|
| Fraud detection | Prevent platform abuse | Legitimate interest | Ride patterns, GPS data, device IDs | 2 years |
| Incident investigation | Resolve safety complaints | Legitimate interest + Legal obligation | Ride data, chat logs, GPS records | 2 years or as required by law |
| Access logging | Security audit trail | Legal obligation (SD 016-2024-JUS) | Login events, IP, device, timestamp | 2 years minimum |
| Rate limiting | API security | Legitimate interest | IP address, request count | 24 hours |
4.6 Communications
| Activity | Purpose | Legal Basis | Data | Retention |
|---|---|---|---|---|
| Push notifications (ride) | Ride status updates | Contract | FCM token, notification content | FCM token: until refresh/deletion |
| Push notifications (promo) | Marketing and announcements | Consent | FCM token, notification content | FCM token: until refresh/deletion |
| Email communications | OTP, receipts, support | Contract | Email address, email content | 2 years |
| Support tickets | Customer support | Contract | Name, email, issue details | 2 years |
4.7 Analytics and Improvement
| Activity | Purpose | Legal Basis | Data | Retention |
|---|---|---|---|---|
| Crash reporting | App stability improvement | Legitimate interest | Crash logs, device info, stack traces | 180 days |
| Usage analytics | Service improvement | Legitimate interest | Aggregated usage patterns (de-identified) | Indefinite (de-identified) |
| Rating aggregation | Quality metrics | Contract + Legitimate interest | Ratings, feedback text | Account duration |
5. Third-Party Data Processors
We share personal data with the following third-party processors, each bound by data processing agreements:
| Processor | Service | Data Processed | Location | Safeguards |
|---|---|---|---|---|
| Amazon Web Services (AWS) | Cloud hosting, database (RDS), file storage (S3), email (SES) | All platform data | Mumbai, India (ap-south-1) | AWS DPA, ISO 27001, SOC 2 |
| Google Firebase | Authentication, push notifications (FCM), crash reporting (Crashlytics) | Auth tokens, FCM tokens, crash data | United States | Google Cloud DPA, ISO 27001 |
| Google Maps Platform | Geocoding, routing, ETA calculation, map rendering | Coordinates, addresses | United States | Google Cloud DPA |
| Redis (Local) | In-memory caching for driver location and session data | Driver coordinates, session tokens | Same server (Mumbai) | Local instance, no external transfer |
All processors comply with LPDP Art. 37 (data processor obligations) and SD 016-2024-JUS Art. 63-67.
6. International Data Transfers
Personal data is transferred to the following jurisdictions:
| Destination | Purpose | Mechanism |
|---|---|---|
| India (AWS Mumbai) | Primary hosting, database, document storage | Standard contractual clauses (AWS DPA) |
| United States (Google) | Firebase services, Google Maps | Standard contractual clauses (Google DPA) |
These transfers are authorized under LPDP Art. 15-16 and SD 016-2024-JUS Art. 59-62 based on:
- Data subject consent obtained during registration
- Contractual necessity for service provision
- Adequate safeguards through data processing agreements with internationally recognized standards
7. Data Security Measures
7.1 Technical Measures
| Measure | Implementation |
|---|---|
| Encryption in transit | HTTPS/TLS 1.2+ for all API and web traffic |
| Encryption at rest | AWS RDS encryption, S3 server-side encryption (AES-256) |
| Password security | Bcrypt hashing with salt (never stored in plaintext) |
| Authentication | JWT with expiration, stored in device secure storage |
| API protection | Rate limiting (express-rate-limit), Helmet security headers, CORS policy |
| Input validation | Server-side validation and sanitization of all inputs |
| Network isolation | AWS VPC with security groups, private subnets for database |
| Automated backups | Daily automated RDS snapshots, retained for 7 days |
| Monitoring | CloudWatch metrics and alerts for anomalous activity |
7.2 Organizational Measures
- Role-Based Access Control (RBAC) for all internal systems
- Principle of least privilege — team members access only data necessary for their role
- Data protection training for all team members with access to personal data
- Documented incident response procedures, tested regularly
- Regular security audits and vulnerability assessments
- Secure development practices (code review, dependency scanning)
7.3 Security Document
In compliance with SD 016-2024-JUS Art. 33-40, we maintain a Security Document (Documento de Seguridad) with certified date (fecha cierta) that contains:
- Access management procedures
- Privilege management policies
- Internal data processing guidelines
- Incident response procedures
- Backup and recovery procedures
- Data retention and deletion schedules
8. Data Breach Procedures
Per SD 016-2024-JUS Art. 41-44 and Emergency Decree 007-2020:
8.1 Detection and Assessment
- Continuous monitoring for unauthorized access or data exposure
- Immediate assessment of scope, severity, and affected data subjects upon detection
8.2 Notification
| Recipient | Timeframe | Content |
|---|---|---|
| ANPD | Within 48 hours of discovery | Nature of incident, data types, number of affected persons, potential consequences, remedial measures |
| Affected Data Subjects | Within 48 hours (if rights at risk) | Nature of incident, data affected, recommendations for protection, our contact details |
| CNSD (National Center for Digital Security) | Within 48 hours (digital incidents) | Technical details per Emergency Decree 007-2020 |
8.3 Remediation
- Contain the breach immediately
- Preserve evidence for investigation
- Implement fixes to prevent recurrence
- Document the incident, response, and lessons learned
- Update Security Document as needed
9. Data Subject Rights (ARCO)
Data subjects may exercise the following rights per LPDP Art. 18-27:
| Right | Description | Response Time |
|---|---|---|
| Access (Acceso) | Obtain a copy of all personal data held | 20 business days |
| Rectification (Rectificacion) | Correct inaccurate or incomplete data | 10 business days |
| Cancellation (Cancelacion) | Request deletion or anonymization of data | 10 business days to acknowledge; 30 days to execute |
| Opposition (Oposicion) | Object to specific processing activities | 10 business days |
Requests should be sent to privacy@transportbidder.com with identification documentation (DNI/passport copy).
If not satisfied, data subjects may file complaints with the ANPD: www.gob.pe/anpd
10. Data Protection Impact Assessments
We conduct Data Protection Impact Assessments (DPIAs) for high-risk processing activities as recommended by SD 016-2024-JUS, including:
- Background location tracking of Driver Partners
- Criminal background check processing (sensitive data)
- International data transfers
- New features involving personal data processing
DPIA results inform our security measures and processing decisions. Summaries are available upon request to the ANPD.
11. Automated Decision-Making
We use limited automated processing:
- Ride matching: Algorithm matches passengers with nearby available drivers based on location, rating, and acceptance patterns. This is not solely automated — drivers choose whether to accept.
- Fair price estimate: Calculated using distance, time, and market factors. This is a reference only and does not determine the final fare.
- SOAT expiry check: Automated system blocks Online access if SOAT is expired. This is a safety-critical automation required by transport regulations.
No decisions with significant legal effects on data subjects are made solely by automated means. You have the right to request human review of any automated decision.
12. Data Minimization
We adhere to the data minimization principle (LPDP Art. 6):
- We collect only data that is necessary, relevant, and proportionate for the stated purposes
- Background location for drivers is collected only while Online — stops when Offline
- User App does NOT collect background location
- We do NOT collect: browsing history, contact lists, call logs, SMS messages, health data, or biometric data
- Chat messages are retained for only 90 days after ride completion
- Crash reports are anonymized after 180 days
13. Policy Updates
This Policy is reviewed and updated annually, or sooner when significant changes occur in processing activities, legal requirements, or technology. Updates are posted on our website with an updated effective date and notified via email to registered users.
14. Contact
- Data Protection: dpo@transportbidder.com
- Privacy: privacy@transportbidder.com
- General: contact@transportbidder.com
ANPD: Ministerio de Justicia y Derechos Humanos
www.gob.pe/anpd | protecciondedatospersonales@minjus.gob.pe
Espanol
1. Introduccion
Esta Politica de Tratamiento de Datos ("Politica") proporciona una descripcion detallada y transparente de todas las actividades de tratamiento de datos personales realizadas por Transportbidder S.A.C. ("Transportbidder," "nosotros") en relacion con la plataforma Transportbidder (App de Usuario, App de Conductor y sitio web).
Esta Politica se emite en cumplimiento con:
- Ley 29733 — Ley de Proteccion de Datos Personales (LPDP)
- Decreto Supremo 016-2024-JUS — Nuevo Reglamento (vigente desde el 30 de marzo de 2025)
- Resolucion Directoral 019-2013-JUS/DGPDP — Directiva de Seguridad
Esta Politica complementa nuestras Politicas de Privacidad (Usuario y Conductor) y debe leerse conjuntamente con ellas.
2. Informacion del Responsable del Tratamiento
| Campo | Detalles |
|---|---|
| Razon Social | Transportbidder S.A.C. |
| Pais | Peru |
| Direccion | Lima, Peru |
| Contacto de Proteccion de Datos | dpo@transportbidder.com |
| Correo de Privacidad | privacy@transportbidder.com |
| Registro de Banco de Datos | Registrado ante la ANPD segun Art. 29 LPDP |
3. Categorias de Titulares de Datos
| Categoria | Descripcion |
|---|---|
| Pasajeros (Usuarios) | Personas que usan la App de Usuario para solicitar servicios de transporte |
| Socios Conductores | Contratistas independientes que usan la App de Conductor para prestar servicios de transporte |
| Visitantes del Sitio Web | Personas que visitan transportbidder.com |
| Contactos de Soporte | Personas que nos contactan por correo para soporte, quejas o consultas |
4. Registro de Actividades de Tratamiento
La siguiente tabla detalla cada actividad de tratamiento, su finalidad, base legal, categorias de datos involucrados y periodo de retencion, conforme al DS 016-2024-JUS:
4.1 Gestion de Cuentas
| Actividad | Finalidad | Base Legal | Datos | Retencion |
|---|---|---|---|---|
| Registro de usuario | Crear cuenta de usuario | Consentimiento + Contrato | Nombre, correo, telefono, fecha nacimiento, genero, selfie | Duracion de cuenta + 30 dias |
| Registro de conductor | Crear cuenta de conductor | Consentimiento + Contrato | Nombre, correo, telefono, fecha nacimiento, genero, ciudad | Duracion de cuenta + 30 dias |
| Verificacion de correo | Verificar titularidad de cuenta | Contrato | Correo, codigos OTP | OTP: 10 minutos; correo: duracion de cuenta |
| Google Sign-In | Autenticacion alternativa | Consentimiento | Nombre Google, correo, URL de foto | Duracion de cuenta |
| Gestion de perfil | Permitir actualizacion de informacion | Contrato | Campos editables del perfil | Duracion de cuenta |
| Eliminacion de cuenta | Procesar solicitudes de eliminacion ARCO | Obligacion legal (ARCO) | Todos los datos de cuenta | Eliminados en 30 dias; respaldos en 90 dias |
4.2 Verificacion de Conductores
| Actividad | Finalidad | Base Legal | Datos | Retencion |
|---|---|---|---|---|
| Verificacion de identidad | Verificar identidad por seguridad | Obligacion legal + Consentimiento | Imagenes DNI, foto selfie | Duracion de cuenta + 30 dias |
| Verificacion de licencia | Verificar elegibilidad para conducir | Obligacion legal | Imagenes de licencia, numero, vencimiento | Duracion de cuenta + 30 dias |
| Antecedentes penales | Cumplimiento de seguridad del pasajero | Consentimiento explicito escrito (Art. 13) | Certificado de antecedentes | Duracion de cuenta + 30 dias |
| Verificacion vehicular | Verificar seguridad del vehiculo | Contrato + Obligacion legal | Tarjeta de Propiedad, SOAT, fotos | Duracion de cuenta + 30 dias |
| Monitoreo de SOAT | Asegurar seguro vigente | Obligacion legal | Fecha de vencimiento del SOAT | Duracion de cuenta |
4.3 Operaciones de Viaje
| Actividad | Finalidad | Base Legal | Datos | Retencion |
|---|---|---|---|---|
| Procesamiento de solicitudes | Emparejar pasajeros con conductores | Contrato | Ubicaciones, oferta de tarifa, ruta | 90 dias (anonimizado despues de 3 anos) |
| Sistema de licitacion | Facilitar negociacion de tarifa | Contrato | Montos de oferta, contraofertas, aceptacion | 90 dias |
| Seguimiento GPS (primer plano) | Mostrar ubicacion, calcular rutas | Consentimiento + Contrato | Coordenadas en tiempo real | 90 dias despues del viaje |
| Seguimiento GPS (segundo plano — solo Conductor) | Visibilidad del conductor En Linea | Consentimiento explicito + Contrato | Coordenadas en segundo plano | 24 horas (solo cache) |
| Verificacion OTP | Confirmar emparejamiento correcto | Contrato | Codigo OTP | Hasta inicio del viaje (segundos) |
| Chat en la app | Comunicacion del viaje | Contrato | Mensajes de texto | 90 dias despues del viaje |
| Finalizacion de viaje | Registrar datos, generar recibo | Contrato | Ruta tomada, duracion, distancia, tarifa | 3-5 anos (tributario/contable) |
4.4 Procesamiento Financiero
| Actividad | Finalidad | Base Legal | Datos | Retencion |
|---|---|---|---|---|
| Gestion de billetera | Transacciones de comision | Contrato | Saldo, recargas, deducciones | 5 anos (registros financieros) |
| Calculo de comision | Deducir comision por viaje | Contrato | Tarifa aceptada, porcentaje, monto deducido | 5 anos |
| Historial de transacciones | Transparencia financiera | Contrato + Obligacion legal | Todas las transacciones de billetera | 5 anos |
4.5 Seguridad y Proteccion
| Actividad | Finalidad | Base Legal | Datos | Retencion |
|---|---|---|---|---|
| Deteccion de fraude | Prevenir abuso de plataforma | Interes legitimo | Patrones de viaje, GPS, IDs de dispositivo | 2 anos |
| Investigacion de incidentes | Resolver quejas de seguridad | Interes legitimo + Obligacion legal | Datos de viaje, chat, registros GPS | 2 anos o segun requiera la ley |
| Registro de accesos | Pista de auditoria de seguridad | Obligacion legal (DS 016-2024-JUS) | Eventos de login, IP, dispositivo, timestamp | 2 anos minimo |
| Limitacion de tasa | Seguridad API | Interes legitimo | Direccion IP, conteo de solicitudes | 24 horas |
4.6 Comunicaciones
| Actividad | Finalidad | Base Legal | Datos | Retencion |
|---|---|---|---|---|
| Notificaciones push (viaje) | Actualizaciones de estado | Contrato | Token FCM, contenido | Token: hasta actualizacion/eliminacion |
| Notificaciones push (promo) | Marketing y anuncios | Consentimiento | Token FCM, contenido | Token: hasta actualizacion/eliminacion |
| Comunicaciones por correo | OTP, recibos, soporte | Contrato | Direccion de correo, contenido | 2 anos |
| Tickets de soporte | Atencion al cliente | Contrato | Nombre, correo, detalles del problema | 2 anos |
4.7 Analitica y Mejora
| Actividad | Finalidad | Base Legal | Datos | Retencion |
|---|---|---|---|---|
| Reportes de fallos | Mejora de estabilidad de la app | Interes legitimo | Logs de fallos, info de dispositivo, trazas | 180 dias |
| Analitica de uso | Mejora del servicio | Interes legitimo | Patrones de uso agregados (desidentificados) | Indefinido (desidentificado) |
| Agregacion de calificaciones | Metricas de calidad | Contrato + Interes legitimo | Calificaciones, texto de comentarios | Duracion de cuenta |
5. Encargados del Tratamiento (Terceros)
| Encargado | Servicio | Datos Procesados | Ubicacion | Garantias |
|---|---|---|---|---|
| Amazon Web Services (AWS) | Alojamiento, BD (RDS), almacenamiento (S3), correo (SES) | Todos los datos de la plataforma | Mumbai, India (ap-south-1) | AWS DPA, ISO 27001, SOC 2 |
| Google Firebase | Autenticacion, push (FCM), fallos (Crashlytics) | Tokens auth, tokens FCM, datos de fallos | Estados Unidos | Google Cloud DPA, ISO 27001 |
| Google Maps Platform | Geocodificacion, rutas, ETA, mapas | Coordenadas, direcciones | Estados Unidos | Google Cloud DPA |
| Redis (Local) | Cache en memoria para ubicacion de conductores y sesiones | Coordenadas de conductores, tokens de sesion | Mismo servidor (Mumbai) | Instancia local, sin transferencia externa |
Todos los encargados cumplen con LPDP Art. 37 y DS 016-2024-JUS Art. 63-67.
6. Transferencias Internacionales de Datos
| Destino | Finalidad | Mecanismo |
|---|---|---|
| India (AWS Mumbai) | Alojamiento principal, BD, almacenamiento de documentos | Clausulas contractuales tipo (AWS DPA) |
| Estados Unidos (Google) | Servicios Firebase, Google Maps | Clausulas contractuales tipo (Google DPA) |
Estas transferencias estan autorizadas bajo LPDP Art. 15-16 y DS 016-2024-JUS Art. 59-62 basadas en:
- Consentimiento del titular obtenido durante el registro
- Necesidad contractual para la prestacion del servicio
- Garantias adecuadas mediante acuerdos de tratamiento de datos con estandares internacionales reconocidos
7. Medidas de Seguridad de Datos
7.1 Medidas Tecnicas
| Medida | Implementacion |
|---|---|
| Cifrado en transito | HTTPS/TLS 1.2+ para todo trafico API y web |
| Cifrado en reposo | Cifrado AWS RDS, cifrado S3 del lado del servidor (AES-256) |
| Seguridad de contrasenas | Hash bcrypt con sal (nunca en texto plano) |
| Autenticacion | JWT con expiracion, almacenado en almacenamiento seguro del dispositivo |
| Proteccion API | Limitacion de tasa, cabeceras Helmet, politica CORS |
| Validacion de entradas | Validacion y saneamiento del lado del servidor |
| Aislamiento de red | AWS VPC con grupos de seguridad, subredes privadas para BD |
| Respaldos automatizados | Snapshots RDS diarios, retenidos 7 dias |
| Monitoreo | Metricas y alertas CloudWatch para actividad anomala |
7.2 Medidas Organizativas
- Control de acceso basado en roles (RBAC) para todos los sistemas internos
- Principio de minimo privilegio
- Capacitacion en proteccion de datos para todo el personal con acceso a datos personales
- Procedimientos documentados de respuesta a incidentes, probados regularmente
- Auditorias de seguridad regulares y evaluaciones de vulnerabilidades
- Practicas de desarrollo seguro (revision de codigo, escaneo de dependencias)
7.3 Documento de Seguridad
En cumplimiento del DS 016-2024-JUS Art. 33-40, mantenemos un Documento de Seguridad con fecha cierta que contiene:
- Procedimientos de gestion de acceso
- Politicas de gestion de privilegios
- Directrices internas de tratamiento de datos
- Procedimientos de respuesta a incidentes
- Procedimientos de respaldo y recuperacion
- Cronogramas de retencion y eliminacion de datos
8. Procedimientos de Brecha de Datos
Segun DS 016-2024-JUS Art. 41-44 y DU 007-2020:
8.1 Deteccion y Evaluacion
- Monitoreo continuo para accesos no autorizados o exposicion de datos
- Evaluacion inmediata de alcance, severidad y titulares afectados al detectar
8.2 Notificacion
| Destinatario | Plazo | Contenido |
|---|---|---|
| ANPD | Dentro de 48 horas del descubrimiento | Naturaleza, tipos de datos, numero de afectados, consecuencias, medidas correctivas |
| Titulares Afectados | Dentro de 48 horas (si hay riesgo) | Naturaleza, datos afectados, recomendaciones, nuestro contacto |
| CNSD | Dentro de 48 horas (incidentes digitales) | Detalles tecnicos segun DU 007-2020 |
8.3 Remediacion
- Contener la brecha inmediatamente
- Preservar evidencia para investigacion
- Implementar correcciones para prevenir recurrencia
- Documentar el incidente, respuesta y lecciones aprendidas
- Actualizar el Documento de Seguridad segun sea necesario
9. Derechos del Titular (ARCO)
| Derecho | Descripcion | Plazo de Respuesta |
|---|---|---|
| Acceso | Obtener copia de todos los datos personales | 20 dias habiles |
| Rectificacion | Corregir datos inexactos o incompletos | 10 dias habiles |
| Cancelacion (Supresion) | Solicitar eliminacion o anonimizacion | 10 dias habiles para acusar recibo; 30 dias para ejecutar |
| Oposicion | Oponerse a actividades de tratamiento especificas | 10 dias habiles |
Envie solicitudes a privacy@transportbidder.com con identificacion (copia DNI/pasaporte).
Si no esta satisfecho, puede presentar queja ante la ANPD: www.gob.pe/anpd
10. Evaluaciones de Impacto
Realizamos Evaluaciones de Impacto en la Proteccion de Datos (EIPD) para actividades de alto riesgo conforme al DS 016-2024-JUS, incluyendo:
- Seguimiento de ubicacion en segundo plano de Socios Conductores
- Tratamiento de antecedentes penales (datos sensibles)
- Transferencias internacionales de datos
- Nuevas funciones que involucren tratamiento de datos personales
Los resultados informan nuestras medidas de seguridad y decisiones de tratamiento. Los resumenes estan disponibles bajo solicitud de la ANPD.
11. Toma de Decisiones Automatizadas
Usamos tratamiento automatizado limitado:
- Emparejamiento de viajes: Algoritmo que empareja pasajeros con conductores cercanos disponibles basado en ubicacion, calificacion y patrones. No es exclusivamente automatizado — los conductores eligen si aceptan.
- Estimado de precio justo: Calculado usando distancia, tiempo y factores del mercado. Es solo referencial y no determina la tarifa final.
- Verificacion de SOAT: Sistema automatizado que bloquea acceso En Linea si el SOAT esta vencido. Automatizacion critica para seguridad requerida por regulaciones de transporte.
Ninguna decision con efectos legales significativos se toma unicamente por medios automatizados. Tiene derecho a solicitar revision humana de cualquier decision automatizada.
12. Minimizacion de Datos
Nos adherimos al principio de minimizacion (LPDP Art. 6):
- Solo recopilamos datos necesarios, pertinentes y proporcionales para las finalidades declaradas
- La ubicacion en segundo plano de conductores se recopila solo mientras estan En Linea
- La App de Usuario NO recopila ubicacion en segundo plano
- NO recopilamos: historial de navegacion, listas de contactos, registros de llamadas, SMS, datos de salud ni datos biometricos
- Los mensajes de chat se retienen solo 90 dias despues de completar el viaje
- Los reportes de fallos se anonimizan despues de 180 dias
13. Actualizaciones de la Politica
Esta Politica se revisa y actualiza anualmente, o antes cuando ocurren cambios significativos en actividades de tratamiento, requisitos legales o tecnologia. Las actualizaciones se publican en nuestro sitio web y se notifican por correo a los usuarios registrados.
14. Contacto
- Proteccion de Datos: dpo@transportbidder.com
- Privacidad: privacy@transportbidder.com
- General: contact@transportbidder.com
ANPD: Ministerio de Justicia y Derechos Humanos
www.gob.pe/anpd | protecciondedatospersonales@minjus.gob.pe