Política de Privacidad — Eviav
Última actualización: 2026-06-22
Eviav S.A. ("Eviav", "nosotros") opera la plataforma de mapas e infraestructura geoespacial accesible en eviav.com y api.eviav.com, y la app móvil Eviav de mapas y navegación. Esta Política de Privacidad describe qué datos recolectamos, cómo los usamos, con quién los compartimos y los derechos que tenés sobre ellos. Aplica a clientes business (titulares de cuentas), a usuarios de la app móvil Eviav y a usuarios finales de las apps que consumen nuestras APIs.
1. Datos que recolectamos
Cuenta business (titular)
- Email, nombre, nombre de organización, teléfono (opcional), foto/logo (opcional).
- Hash de contraseña (bcrypt). Nunca el texto plano.
- Secret TOTP de 2FA (encriptado at rest).
- Información de facturación: nombre del titular de tarjeta, últimos 4 dígitos, brand (Visa/MC/Amex), fecha de vencimiento. El número completo de tarjeta nunca lo vemos — lo procesa Stripe directamente.
App móvil Eviav (usuarios finales)
- Cuenta personal (opcional): email, nombre y, si los agregás, foto de perfil y teléfono. La app se puede usar sin cuenta; al registrarte habilitás perfil, lugares guardados y compartir viajes.
- Ubicación:
- Precisa (GPS) mientras usás la app, para mostrar tu posición en el mapa, buscar lugares cercanos, calcular rutas y guiarte en la navegación.
- En segundo plano, únicamente durante una navegación activa, para seguir dándote indicaciones con la app minimizada o la pantalla apagada. No rastreamos tu ubicación cuando no estás navegando, y podés revocar el permiso desde los ajustes del sistema en cualquier momento.
- Compartir viaje en vivo (solo si vos lo activás): tu ruta y tu ubicación en tiempo real se comparten con los contactos que elijas, hasta que finalizás el viaje compartido.
- Reportes comunitarios: los reportes que creás (radares, controles, accidentes, vías cerradas) y tus votos, junto con la ubicación del reporte. Se muestran a otros usuarios de forma anónima (sin tu nombre).
- Lugares e historial: los lugares que guardás como favoritos y tu historial de búsquedas y viajes dentro de la app.
- Notificaciones push: un identificador de dispositivo (token) que asigna Firebase Cloud Messaging (Google) para poder enviarte avisos. Podés desactivar las notificaciones desde los ajustes del sistema.
- Integridad del dispositivo: en iOS usamos App Attest (Apple) y en Android Play Integrity (Google) para verificar que las solicitudes provienen de una instalación legítima de la app. No identifican a la persona.
Uso de la API
- Por cada request: timestamp, key_id, org_id, servicio invocado, status code, latencia, IP del cliente, user-agent.
- Datos del payload (queries de geocoding, coordenadas en routing, imágenes en vision, prompts de grounding) NO se almacenan más allá del logging temporal del gateway (max 30 días en Loki, solo para debugging operacional). No usamos estos payloads para entrenar modelos ni los compartimos con terceros.
Cookies y storage
- Cookie de sesión (
__eviav_session) — HttpOnly, Secure, SameSite=Lax. Expira en 30 días. - LocalStorage: preferencias de UI (tema light/dark, sidebar collapsed). No datos sensibles.
- No cookies de tracking ni analytics de terceros (Google Analytics, Facebook Pixel, etc.).
2. Cómo usamos los datos
- Operar el servicio: autenticar requests, aplicar rate limits, facturar el uso.
- Comunicación transaccional: emails de verificación, reset password, alertas de quota, recibos de facturación. No marketing sin opt-in.
- Mejorar la plataforma: métricas agregadas (sin identificar usuarios individuales) para entender qué SKUs son más usados, dónde optimizar latencia, etc.
- Cumplir obligaciones legales: facturación, retención fiscal, respuesta a órdenes judiciales válidas.
- Funciones de mapa y navegación (app móvil): usar tu ubicación para posicionarte, buscar, calcular rutas y guiarte paso a paso; mostrarte los reportes de la comunidad; y compartir tu viaje cuando vos lo activás.
- Notificaciones (app móvil): enviarte avisos relevantes de la app por push. No enviamos spam y podés desactivarlas.
3. Retención
- Datos de cuenta: mientras tu cuenta esté activa + 30 días después de eliminación (para reactivación accidental). Después, eliminación permanente.
- Audit logs (
admin_events): 24 meses (compliance + investigación de incidentes). - Usage events (
usage_events): 12 meses (para reconciliación de facturación y métricas). - Logs operacionales (Loki): 30 días.
- Backups offsite: snapshots mensuales permanentes; backups diarios 30 días.
4. Compartir datos con terceros (sub-procesadores)
Ver la lista completa y actualizada en Sub-procesadores. Resumen:
- Stripe (US) — procesamiento de pagos. Recibe nombre, email, datos de tarjeta (a través de Stripe Elements, nunca pasan por nuestros servers).
- Cloudflare (Global) — CDN, DNS, WAF. Ve metadata HTTP (IP, headers, paths) pero no payloads decrypted.
- Vultr (US) — hosting de servidores. Tiene acceso físico al hardware.
- OpenAI (US) — únicamente cuando llamás
/v1/grounding,/v1/ai/*. Tu prompt + contexto geográfico se envía a OpenAI para generar la respuesta. OpenAI NO usa estos datos para entrenar modelos (cubierto por su política para clientes API). - Google LLC / Firebase (US) — Firebase Cloud Messaging, para entregar las notificaciones push de la app móvil. Recibe el token del dispositivo y el contenido de la notificación. No le compartimos tu ubicación ni tu historial.
Nunca vendemos datos a terceros. Nunca usamos tus payloads para entrenar modelos propios.
5. Transferencias internacionales
Eviav tiene infraestructura en EE.UU. (Vultr Miami). Si estás en LATAM o Europa, tus datos cruzan fronteras. Lo cubrimos con:
- Standard Contractual Clauses (SCCs) con sub-procesadores.
- Data Processing Agreement (DPA) firmable por enterprise — ver el DPA.
6. Tus derechos (GDPR / LGPD / equivalentes LATAM)
Tenés derecho a:
- Acceso: descargar todos los datos asociados a tu cuenta. Solicitalo desde
/cuenta/privacy(en roadmap) o por email a [email protected]. - Rectificación: editar tu nombre, email, organización desde
/dashboard/cuentadirecto. - Eliminación ("right to be forgotten"): en la app móvil podés borrar tu cuenta y todos los datos asociados de inmediato desde Cuenta → Eliminar cuenta. También podés solicitarlo por email y lo ejecutamos en <30 días. Algunos datos (facturación) los retenemos por obligaciones fiscales — los anonimizamos del resto.
- Portabilidad: descargar tus datos en JSON estándar para llevarlos a otra plataforma.
- Oposición: rechazar el uso de tus datos para purposes específicos (ej. mejora de producto).
- Retirar consentimiento: cancelar suscripción de marketing emails (link en cada email), revocar 2FA, etc.
Para cualquier solicitud: [email protected]. Respondemos en <30 días.
7. Menores
Eviav no está dirigido a menores de 16 años. Si descubrimos que recolectamos datos de un menor sin consentimiento parental, eliminamos esos datos.
8. Cambios a esta política
Te notificamos cambios materiales por email + banner en el dashboard al menos 30 días antes de que entren en vigor. Cambios menores (clarificaciones, typos) se actualizan sin notificación pero quedan en el historial de Git.
9. Contacto
- Privacidad: [email protected]
- DPO (Data Protection Officer): [email protected] (será designado al iniciar SOC 2)
- Soporte general: [email protected]