Política de privacidad

Política de Privacidad de la App FINZA — CAMBILEX S.A.

FINZA es una marca registrada de CAMBILEX S.A.

Responsable del tratamiento: CAMBILEX S.A., Montevideo, Uruguay.

Versión: 1.0 — Publicada y en vigor desde: 08/12/2025

 

  1. Introducción

Esta Política de Privacidad describe cómo CAMBILEX S.A. (“Cambilex”) trata los datos personales de las personas usuarias de la aplicación móvil FINZA (la “App FINZA” o la “App”).

Ámbito de aplicación. Esta Política aplica al uso de la App, a sus micrositios asociados, a las APIs y SDK integrados, y a los canales de soporte vinculados a la App.

Responsable del tratamiento. Salvo indicación en contrario en esta Política, CAMBILEX S.A. actúa como Responsable del tratamiento de los datos personales recolectados a través de la App.

Cumplimiento normativo. El tratamiento se realiza conforme a la normativa uruguaya aplicable en materia de protección de datos personales, a la regulación financiera vigente y a la normativa de prevención del lavado de activos y financiamiento del terrorismo (PLA/FT), así como de la proliferación de armas de destrucción masiva, aplicable a Cambilex.

Relación con los Términos y Condiciones. Esta Política complementa los Términos y Condiciones de la App FINZA. En caso de discrepancia, prevalecerá la normativa aplicable.

Uso de la App. Al utilizar la App, el Usuario reconoce haber leído y aceptado esta Política.

  1. Información que recolectamos

Cambilex, en su calidad de Responsable, puede recolectar y tratar las siguientes categorías de datos personales:
a) Datos de identificación: nombre, cédula de identidad, fecha de nacimiento, nacionalidad, domicilio, correo electrónico, teléfono móvil.
b) Datos de verificación de identidad: imágenes del documento, metadatos de lectura (OCR), validaciones biométricas (selfie, prueba de vida, comparación con documento) y registros asociados. Las verificaciones biométricas constituyen datos sensibles y se tratan bajo base de obligación legal (KYC y PLA/FT), incluyendo lo relativo a la proliferación de armas de destrucción masiva, aplicando salvaguardas reforzadas como accesos limitados, registro de accesos, cifrado y minimización.

  1. c) Datos de ingreso y origen de fondos: información declarada o verificada al momento de registrarse o iniciar operaciones, incluyendo actividad u ocupación, país de residencia fiscal, banco de origen de los fondos y demás datos necesarios para el cumplimiento de las normas de PLA/FT y de la proliferación de armas de destrucción masiva.
  2. d) Datos de personas vinculadas: cuando corresponda, datos de apoderados, representantes, directores, beneficiarios finales u otras personas relacionadas con el Usuario, en la medida requerida para identificación y cumplimiento normativo.
    e) Datos transaccionales: operaciones de compra y venta de moneda, montos, medios de pago utilizados, cuentas de origen y destino, historial de movimientos.
    f) Datos técnicos y del dispositivo: dirección IP, identificadores de dispositivo, sistema operativo, tipo de navegador, registros de acceso y actividad en la App, geolocalización aproximada cuando la función esté activa.
    g) Preferencias de uso: configuración de notificaciones, interacciones con funcionalidades de la App, respuestas a encuestas y consultas de cotizaciones realizadas dentro de la App.
    h) Datos provenientes de terceros: información obtenida de proveedores de verificación, burós de crédito, fuentes públicas y autoridades competentes, utilizada exclusivamente para identificación, prevención de fraude y cumplimiento legal.

Obligatoriedad. La App indicará en cada caso qué datos son obligatorios para poder utilizar el servicio. La negativa a proporcionarlos puede impedir la utilización de la App.
Consentimiento. El Usuario presta su consentimiento libre, expreso e informado únicamente para aquellas finalidades que lo requieran, sin afectar tratamientos necesarios por contrato u obligación legal.

  1. Finalidades del tratamiento

Usamos los datos personales para:
a) Verificación de identidad (KYC).
b) Prestación de los servicios de la App FINZA y gestión de la relación contractual con el Usuario.
c) Monitoreo transaccional, prevención de fraude y cumplimiento de obligaciones PLA/FT y de la proliferación de armas de destrucción masiva, incluyendo evaluaciones automatizadas y revisiones manuales cuando corresponda.
d) Atención al Usuario y gestión de consultas y reclamos.
e) Analítica de producto y mejora de la App, utilizando datos seudonimizados siempre que sea posible.
f) Envío de comunicaciones comerciales y promociones únicamente con consentimiento (opt-in), con posibilidad de optar por no recibirlas en cualquier momento (opt-out) desde la App o a través del enlace provisto en cada comunicación.

  1. Bases legales del tratamiento

Cambilex trata los datos personales conforme a las siguientes bases jurídicas:
a) Ejecución del contrato, para gestionar la relación con el Usuario y permitir el uso de la App.
b) Cumplimiento de obligaciones legales y regulatorias, en particular las vinculadas a la prevención de lavado de activos y financiamiento del terrorismo (PLA/FT y de la proliferación de armas de destrucción masiva), así como a requerimientos del Banco Central del Uruguay u otras autoridades competentes.
c) Interés legítimo de Cambilex, para fines de seguridad, prevención de fraudes, mejora del servicio y desarrollo de nuevas funcionalidades, aplicando salvaguardas adecuadas y respetando los derechos del Usuario.
d) Consentimiento, para finalidades específicas como comunicaciones comerciales o el uso de tecnologías no estrictamente necesarias, el cual podrá ser retirado en cualquier momento sin afectar la licitud del tratamiento realizado previamente.

  1. Responsable y encargados del tratamiento

Responsable. CAMBILEX S.A. es Responsable del tratamiento de los datos personales recolectados a través de la App.

Encargados. Podrán actuar como Encargados del tratamiento proveedores que prestan servicios bajo instrucciones de Cambilex, incluyendo, entre otros:
(i) verificación de identidad y biometría;
(ii) infraestructura cloud, hosting y CDN;
(iii) monitoreo de fraude y screening;
(iv) soporte y atención al cliente;
(v) analítica y notificaciones push; y
(vi) servicios operativos y tecnológicos vinculados a la ejecución de operaciones cursadas a través de la App.

Estos proveedores y, cuando corresponda, sus subproveedores, tratarán los datos personales únicamente bajo instrucciones de Cambilex y con las medidas de seguridad que exige la normativa uruguaya en materia de protección de datos y regulación financiera.
En particular, se aplican los estándares previstos por la Ley N.º 18.331, el Decreto 64/020 y las disposiciones del Banco Central del Uruguay en materia de confidencialidad y prevención de lavado de activos, financiamiento del terrorismo y (PLA/FT) y de la proliferación de armas de destrucción masiva).

Si en determinados casos algún tercero participara junto con Cambilex en la definición de las finalidades o medios del tratamiento, se considerará corresponsable, informándose al Usuario el alcance de esa relación y los canales de contacto disponibles.

  1. Transferencias y almacenamiento de datos

Los datos podrán almacenarse y procesarse en Uruguay y, cuando sea necesario para la prestación del servicio, también en otros países a través de servicios de nube u otros proveedores tecnológicos.

Cuando se transfieran datos fuera de Uruguay, Cambilex verificará si el país de destino posee un nivel adecuado de protección según la normativa local. Si no lo posee, se aplicarán salvaguardas contractuales u otros mecanismos reconocidos por la normativa. En los casos en que corresponda, se informará al Usuario conforme a lo exigido por la regulación aplicable.

  1. Seguridad de la información

Implementamos medidas técnicas y organizativas razonables, tales como cifrado en tránsito y en reposo, controles de acceso, segregación de ambientes, registro de eventos, pruebas periódicas de seguridad y gestión de vulnerabilidades.

Gestión de incidentes. Contamos con procedimientos de detección y respuesta ante incidentes de seguridad. En caso de vulneración de datos personales, documentaremos el incidente y notificaremos a la Unidad Reguladora y de Control de Datos Personales (URCDP) dentro de las 72 horas de conocido, y a los Usuarios cuando corresponda, de acuerdo con la normativa aplicable.

  1. Derechos de los Usuarios

Derechos. Las personas usuarias pueden ejercer los derechos de acceso, rectificación/actualización, inclusión, supresión, oposición y portabilidad, en los términos previstos por la normativa aplicable.

Cómo ejercerlos. Para hacerlo, deberán contactarnos a través del canal indicado en la sección 14 (Contacto), adjuntando un medio idóneo de verificación de identidad.

Plazos y reclamos. Cambilex responderá dentro de los plazos legales vigentes. El Usuario también puede presentar reclamos ante la Unidad Reguladora y de Control de Datos Personales (URCDP).

  1. Conservación de datos

Conservamos los datos personales por los plazos necesarios para cumplir con las finalidades informadas y con las obligaciones legales y regulatorias aplicables. Salvo políticas internas más detalladas, aplican los siguientes criterios:

  1. a) KYC, contratos y registros de operaciones: 5 (cinco) años desde el fin de la relación comercial o la última operación, conforme a la normativa vigente en materia de prevención del lavado de activos, financiamiento del terrorismo (PLA/FT) y de la proliferación de armas de destrucción masiva.
    b) Registros de acceso y seguridad (logs): 12 (doce) meses, salvo que una obligación legal exija un plazo mayor.
    c) Marketing: hasta la revocación del consentimiento o la baja del Usuario, más un período mínimo de bloqueo de 90 (noventa) días para gestionar desuscripciones y reclamos.
    d) Biometría: por el tiempo estrictamente necesario para la verificación de identidad y el cumplimiento legal, aplicando salvaguardas reforzadas.
  2. Tecnologías y permisos del dispositivo

La App puede integrar SDKs de analítica y de entrega de notificaciones, que recolectan identificadores técnicos del dispositivo y eventos de uso con fines de seguridad, funcionamiento y mejora del servicio. Estos proveedores y, en su caso, sus subproveedores, actúan bajo instrucciones de Cambilex.

La App podrá solicitar determinados permisos del dispositivo (por ejemplo, cámara para verificación de identidad). El Usuario puede gestionar estos permisos desde los ajustes del sistema operativo y configurar sus preferencias de comunicaciones y notificaciones dentro de la App, incluyendo la posibilidad de optar por no recibir comunicaciones comerciales.

  1. Decisiones automatizadas y perfilado

Podemos utilizar evaluaciones automatizadas para detectar actividades inusuales, posibles fraudes o riesgos vinculados a PLA/FT y de la proliferación de armas de destrucción masiva.

El Usuario tiene derecho a solicitar información sobre la lógica general aplicada en estas evaluaciones y, cuando corresponda, a pedir intervención humana y revisión de la decisión adoptada.

  1. Menores de edad

La App está destinada exclusivamente a personas mayores de 18 años. No recolectamos deliberadamente datos de menores.

Si llegáramos a detectar datos de un menor sin base legal adecuada, procederemos a su supresión segura.

  1. Actualizaciones de la Política

Cambilex podrá modificar esta Política en cualquier momento para reflejar cambios normativos, operativos o de seguridad. La versión vigente será siempre la publicada en la App y en los canales habilitados, y será aplicable desde su fecha de entrada en vigor.

  1. Contacto

Para consultas o para ejercer derechos vinculados a la presente Política, puede contactarnos al correo electrónico: info@finza.com.uy

Domicilio: Fernández Crespo 2149, Montevideo, Uruguay.

  1. Jurisdicción y ley aplicable

Esta Política se rige por las leyes de la República Oriental del Uruguay.
Por el solo uso de la App, el Usuario acepta la prórroga de competencia a favor de los tribunales competentes de la ciudad de Montevideo para resolver cualquier controversia vinculada a su interpretación, validez o ejecución.