Política de Privacidad v4.0.1 · Fecha de Publicación: 24 de septiembre de 2026. La presente Política de Privacidad constituye la versión canónica autorizada en lengua inglesa; en caso de cualquier discrepancia entre versiones lingüísticas, prevalecerá esta versión inglesa tras su publicación.
Alineada con los T&C | Fecha de Publicación (Publication Date): 24 de septiembre de 2026
La presente Política de Privacidad (la "Política" (Policy)) constituye la versión canónica autorizada en lengua inglesa. En caso de cualquier discrepancia entre versiones lingüísticas, prevalecerá esta versión inglesa tras su publicación.
La presente Política rige la recogida, uso, conservación, comunicación y protección de los datos personales (personal data) en relación con las actividades de Neom Triple A Information Technology LLC, que opera bajo la marca NEOM Funded.
§1 Identificación del Responsable e Información de Contacto
1.1 Responsable del Tratamiento (Data Controller)
El responsable del tratamiento (data controller) en el sentido del Reglamento (UE) 2016/679 (GDPR), el UK GDPR según conservado y modificado en virtud de la Data Protection Act 2018, el Decreto-Ley Federal de los EAU n.º (45) de 2021 relativo a la Protección de Datos Personales (la 'UAE PDPL'; comúnmente citado como 'UAE Federal Decree-Law No. 45 of 2021'), y demás legislación de protección de datos aplicable es:
- Denominación legal completa: Neom Triple A Information Technology LLC
- Marca: NEOM Funded
- Domicilio social: The Binary by Omniyat, Office 2114, Business Bay, Dubai, UAE
- Sitio web: neomfunded.com
1.2 Datos de Contacto del Responsable
Para todas las cuestiones relativas a esta Política y al tratamiento de datos personales en relación con los Servicios (Services), los Participantes (Participant) podrán contactar con la Sociedad a través de los siguientes canales específicos:
- Consultas de privacidad, cuestiones de protección de datos y ejercicio de los derechos del interesado (Contacto de Privacidad (Privacy Contact) pendiente de designación de DPO): [email protected]
- Consultas generales y soporte: [email protected]
La Sociedad pretende acusar recibo de todas las comunicaciones relacionadas con la privacidad de manera diligente y responderá sustantivamente dentro de los plazos prescritos por la legislación aplicable, según se detalla en el §11 de la presente Política.
1.3 Relación con los T&C
Esta Política es un documento autónomo que da efecto a las obligaciones de protección de datos establecidas en el Capítulo 29 de los Términos y Condiciones de la Sociedad (los T&C, §§29.0–29.15). Debe leerse junto con los T&C. Cuando exista cualquier conflicto entre esta Política y el Capítulo 29 de los T&C, prevalecerán las disposiciones del Capítulo 29 de los T&C. Los detalles de los Representantes en la UE y en el Reino Unido (EU and UK Representatives) y del Representante para la Ley de Datos de la UE (EU Data Act Representative) figuran en el §16 de esta Política, de conformidad con el §29.15 de los T&C. Esta Política se aplica a todos los Participantes que accedan o utilicen los Servicios prestados por NEOM Funded, con independencia de la jurisdicción desde la que accedan a tales Servicios.
§2 Marco Regulatorio
2.1 Marcos Jurídicos Aplicables
El tratamiento (processing) de datos personales por parte de Neom Triple A Information Technology LLC se lleva a cabo de conformidad con la siguiente legislación, y la Sociedad ha implantado medidas técnicas y organizativas para apoyar el cumplimiento de cada marco aplicable:
- Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, GDPR) – respecto de los interesados (data subjects) ubicados en la UE/EEE. El GDPR establece un marco integral para el tratamiento de datos personales, incluidos los requisitos relativos a las bases jurídicas (lawful bases) para el tratamiento, los derechos del interesado, las transferencias de datos, la notificación de violaciones (breach notification) y la responsabilidad proactiva (accountability);
- UK GDPR (Reglamento (UE) 2016/679 según conservado y modificado en virtud de la Data Protection Act 2018) – respecto de los interesados ubicados en el Reino Unido. El UK GDPR refleja sustancialmente los requisitos del GDPR de la UE y es aplicado por la Information Commissioner's Office (ICO);
- Decreto-Ley Federal de los EAU n.º 45 de 2021 sobre la Protección de Datos Personales (la 'UAE PDPL') y su Reglamento Ejecutivo. A la Fecha de Entrada en Vigor de la presente Política, el Reglamento Ejecutivo de la UAE PDPL contemplado en el Artículo 47 de la PDPL aún no ha sido emitido por el Consejo de Ministros de los EAU. Las referencias en esta Política y en el §6.6 de los T&C a la UAE PDPL y a las "implementing regulations issued by the UAE Data Office" se interpretarán en consecuencia. La Sociedad actualizará sus prácticas de protección de datos y la presente Política en consonancia con dicho Reglamento Ejecutivo dentro del período de implementación prescrito en el mismo tras su emisión, y publicará la correspondiente actualización de la presente Política;
- La California Consumer Privacy Act de 2018, modificada por la California Privacy Rights Act de 2020 (CCPA/CPRA) – respecto de los residentes en California. Los derechos adicionales específicos de los residentes en California se establecen en el §13 de la presente Política;
- La Canadian Personal Information Protection and Electronic Documents Act (PIPEDA) – respecto de los residentes en Canadá. Las disposiciones adicionales aplicables a los residentes en Canadá se establecen en el §15 de la presente Política.
2.2 Principio de No Derogación
Nada en la presente Política opera para reducir ningún derecho del interesado bajo cualquiera de los marcos antedichos que esté actualmente en vigor a la Fecha de Entrada en Vigor. Cuando cualquier disposición de la presente Política sea susceptible de más de una interpretación, se interpretará de la manera que mejor dé efecto al marco jurídico aplicable.
2.3 Ámbito Territorial
Esta Política se aplica al tratamiento de datos personales de personas físicas ubicadas en cualquier jurisdicción desde la que accedan a los Servicios, con independencia del lugar de constitución de la Sociedad, en la medida en que la legislación aplicable de dicha jurisdicción ejerza efecto extraterritorial.
§3 Categorías de Datos Personales que Recogemos
3.1 Categorías Recogidas
Recogemos las siguientes categorías de datos personales (personal data):
- Datos de identidad (identity data): nombre completo, fecha de nacimiento, nacionalidad, país de residencia, documentos de identificación emitidos por las autoridades (pasaporte, documento nacional de identidad, permiso de conducir) – recogidos para el cumplimiento KYC/AML conforme al §6.4 de los T&C;
- Datos de contacto (contact data): dirección de correo electrónico, número de teléfono, dirección postal, dirección de facturación;
- Datos de cuenta (account data): nombre de usuario, contraseña (almacenada con hash y salt), preferencias de cuenta, preferencias de comunicación, estado de la cuenta;
- Datos de pago (payment data): detalles del instrumento de pago (gestionados por terceros PSPs – véase el §6 de la presente Política), historial de facturación, registros de transacciones;
- Datos comportamentales (behavioural data): registros de actividad de operativa, interacciones del panel de control, dirección IP, características del dispositivo y del navegador, zona horaria, patrones de inicio de sesión;
- Datos de cumplimiento (compliance data): resultados del cribado de sanciones, declaraciones de origen de los fondos cuando lo exija la ley, puntuación de prevención del fraude, evaluación del riesgo AML;
- Datos de comunicaciones (communications data): tickets de soporte, transcripciones de chat, correspondencia por correo electrónico con la Sociedad.
3.2 Responsabilidad del Participante
Cuando los datos personales sean facilitados por el Participante, el Participante es responsable de garantizar que la información sea veraz, completa y esté actualizada, y deberá notificar de manera diligente a la Sociedad cualquier cambio. La aportación de datos personales falsos, inexactos o engañosos podrá conllevar la suspensión o terminación de la cuenta del Participante de conformidad con los T&C.
3.3 Categorías Especiales de Datos (Special Category Data)
La Sociedad no recoge categorías especiales de datos en el sentido del Artículo 9 del GDPR (p. ej., origen racial o étnico, religión, datos biométricos con fines de identificación, datos de salud, datos relativos a la orientación sexual) salvo que el Participante consienta expresamente para una finalidad de tratamiento específica. Las imágenes de los documentos de identidad se tratan para la verificación de identidad bajo el Artículo 6(1)(c) del GDPR (obligación legal AML) y no se tratan como datos biométricos bajo el Artículo 9 del GDPR salvo que se utilicen para la identificación biométrica. Cuando cualesquiera categorías especiales de datos sean facilitadas por un Participante sin haber sido solicitadas, la Sociedad adoptará medidas razonables para eliminar o poner en cuarentena dichos datos de manera diligente.
3.4 Minimización de Datos (Data Minimisation)
La Sociedad se adhiere al principio de minimización de datos: únicamente se recogen y conservan los datos personales que son adecuados, pertinentes y limitados a lo necesario en relación con las finalidades para las que son tratados.
§4 Información Recogida Automáticamente
4.1 Datos Recogidos Automáticamente
Durante su visita, uso o navegación por los Servicios, determinada información es recogida automáticamente por nosotros. Esta información, si bien no revela su identidad específica (p. ej., nombre o datos de contacto), puede incluir datos de dispositivo y de uso tales como dirección IP, especificaciones del navegador y del dispositivo, sistema operativo, preferencias de idioma, URLs de origen, nombre del dispositivo, país, ubicación aproximada, información de uso de nuestros Servicios y otros detalles técnicos. Esta información se utiliza principalmente para garantizar la seguridad y el funcionamiento de nuestros Servicios, así como para fines de análisis interno y de elaboración de informes. De manera similar a otras empresas, también recopilamos información mediante el uso de cookies y tecnologías similares (cookies and tracking technologies) (véase el §7 de la presente Política para mayor detalle).
4.2 Datos de Registro y de Uso (Log and Usage Data)
Nuestros servidores recopilan automáticamente datos de registro y de uso cuando usted accede o utiliza nuestros Servicios. Estos datos se almacenan en archivos de registro y pueden incluir detalles como su dirección IP, información del dispositivo, tipo y configuración del navegador, e información sobre sus actividades dentro de los Servicios (tales como sellos temporales de uso, páginas/archivos visualizados, búsquedas realizadas y otras acciones como el uso de funcionalidades), e información de eventos del dispositivo (tales como actividad del sistema, informes de error y configuraciones de hardware), dependiendo de su interacción con nosotros.
4.3 Finalidades del Tratamiento de los Datos Recogidos Automáticamente
Los datos descritos en el §4.1 y el §4.2 se tratan con fines de supervisión de la seguridad, gestión del rendimiento, detección de actividad de operativa anómala y posible comportamiento fraudulento, y cumplimiento de obligaciones legales. Las bases jurídicas aplicables se establecen en el §5 de la presente Política. En particular, los datos comportamentales y de registro pueden utilizarse para identificar patrones consistentes con prácticas de operativa prohibidas según se definen en los T&C, incluido en relación con la Revisión de Cumplimiento Post-Cristalización (Post-Crystallisation Compliance Review) (§17.2 de los T&C).
4.4 Sin Venta de Datos Recogidos Automáticamente
Los datos recogidos automáticamente se utilizan exclusivamente para los fines operativos, de seguridad y de análisis descritos en el presente §4. La Sociedad no vende ni transfiere dichos datos para fines incompatibles con los establecidos en la presente Política.
§5 Finalidades del Tratamiento y Bases Jurídicas
5.1
La Sociedad trata los datos personales sobre las siguientes bases jurídicas (lawful bases) bajo el Artículo 6(1) del GDPR (y las disposiciones equivalentes bajo el UK GDPR y la UAE PDPL), cada una vinculada a una finalidad específica:
FINALIDAD 1 – Creación de cuenta, autenticación y ejecución del contrato. Base: Artículo 6(1)(b) del GDPR (ejecución de un contrato (performance of a contract)). El tratamiento es necesario para registrar al Participante, verificar las credenciales de la cuenta, proporcionar acceso a los Servicios y cumplir las obligaciones de la Sociedad bajo los Términos y Condiciones. Sin este tratamiento, la Sociedad no puede prestar los Servicios.
FINALIDAD 2 – Cumplimiento KYC, AML y de sanciones. Base: Artículo 6(1)(c) del GDPR (obligación legal (legal obligation) bajo el Decreto-Ley Federal de los EAU n.º 20 de 2018 según sustituido por el Decreto-Ley Federal n.º 10 de 2025; Recomendaciones FATF 10, 12 y 19; leyes AML equivalentes de la UE y nacionales). El tratamiento incluye la verificación de documentos de identidad, el cribado de listas de sanciones y la evaluación del riesgo AML, llevados a cabo en parte a través del proveedor KYC/AML Sumsub (categoría de destinatario (ii) – véase el §6 de la presente Política). La falta de aportación de los datos personales necesarios para los fines KYC/AML impedirá a la Sociedad incorporar (onboarding) al Participante.
FINALIDAD 3 – Prevención del fraude, integridad de la plataforma y detección de operativa prohibida. Base: Artículo 6(1)(f) del GDPR (interés legítimo (legitimate interest) de la Sociedad en la protección de la integridad de la plataforma y los intereses legítimos de otros Participantes y terceros), ponderado frente a los derechos y libertades del Participante. El tratamiento incluye la supervisión de la actividad de operativa por sistemas automatizados y la realización de la Revisión de Cumplimiento Post-Cristalización (§17.2 de los T&C). Los derechos del Participante en relación con las decisiones automatizadas se establecen en el §11.2(h) de la presente Política.
FINALIDAD 4 – Comunicaciones de marketing. Base: Artículo 6(1)(a) del GDPR (consentimiento (consent) obtenido de conformidad con el §6.3(b) de los T&C). El consentimiento podrá retirarse en cualquier momento; la retirada no afectará a la licitud del tratamiento llevado a cabo con anterioridad a la retirada. Los Participantes que retiren el consentimiento de marketing seguirán recibiendo comunicaciones transaccionales y relacionadas con el servicio cuando sean necesarias para la ejecución del contrato.
FINALIDAD 5 – Cookies, analítica y optimización de la plataforma. Base: Artículo 6(1)(a) del GDPR (consentimiento recabado mediante banner de cookies, cuando no sean esenciales), en conjunción con la Directiva 2002/58/CE sobre privacidad electrónica (ePrivacy Directive 2002/58/EC). Las cookies estrictamente necesarias no requieren consentimiento. Véase el §7 de la presente Política para mayor detalle sobre las categorías de cookies y la retirada del consentimiento.
FINALIDAD 6 – Reclamaciones legales, cooperación regulatoria y cumplimiento de órdenes judiciales. Base: Artículo 6(1)(c) del GDPR (obligación legal) y Artículo 6(1)(f) del GDPR (interés legítimo en establecer, ejercer o defender reclamaciones legales). Esto incluye la cooperación con reguladores, autoridades de control (supervisory authorities), tribunales y autoridades policiales cuando lo exija la ley, y el cumplimiento de órdenes judiciales o administrativas.
FINALIDAD 7 – Atención al cliente y resolución de disputas. Base: Artículo 6(1)(b) del GDPR (ejecución del contrato) y Artículo 6(1)(f) del GDPR (intereses legítimos en resolver disputas de manera eficiente). Las interacciones de soporte y la correspondencia se conservan de conformidad con los plazos de conservación (retention periods) establecidos en el §8 de la presente Política.
5.2 Evaluación de Intereses Legítimos (Legitimate Interests Assessment)
Cuando la Sociedad se base en el Artículo 6(1)(f) del GDPR como base jurídica, la Sociedad ha llevado a cabo una Evaluación de Intereses Legítimos (LIA) para cada actividad de tratamiento relevante. Dicha evaluación incluye una valoración de la necesidad y proporcionalidad del tratamiento y una prueba de ponderación frente a los intereses, derechos y libertades del interesado. La documentación de la LIA está disponible previa solicitud en [email protected].
5.3 Residentes en Canadá (PIPEDA)
Para los residentes en Canadá, el presente §5 se complementa con PIPEDA. La Sociedad trata los datos personales de los residentes en Canadá únicamente con su consentimiento expreso o implícito, salvo cuando la ley permita el tratamiento sin consentimiento (investigación de fraude, cumplimiento legal, etc.). Véase el §15 de la presente Política para mayor detalle.
§6 Destinatarios y Transferencias Internacionales
6.1 Categorías de Destinatarios
La Sociedad comparte datos personales con las siguientes categorías de destinatarios. Cada destinatario está obligado por obligaciones apropiadas de confidencialidad y protección de datos mediante contratos escritos, incluidos los acuerdos de tratamiento de datos cuando lo exija la legislación aplicable:
- Proveedores de servicios de pago (PSPs) – para el procesamiento de transacciones, gestión de chargebacks y reembolsos;
- Proveedores de servicios KYC/AML y de verificación de identidad, incluido Sumsub – para llevar a cabo el procedimiento de identificación del cliente de conformidad con el §6.4 de los T&C;
- Proveedores de infraestructura en la nube y de red de distribución de contenidos (CDN) – para alojar los Servicios y garantizar su disponibilidad y rendimiento;
- Plataformas de atención al cliente y helpdesk – para gestionar y resolver las consultas y tickets de soporte de los Participantes;
- Proveedores de CRM, entrega de correo electrónico y automatización de marketing – para gestionar las comunicaciones y entregar mensajes de marketing a los Participantes que hayan otorgado su consentimiento;
- Proveedores de analítica, observabilidad y optimización de plataforma – para supervisar el rendimiento de la plataforma, detectar anomalías y mejorar los Servicios;
- Proveedores de plataforma de operativa (MetaQuotes / MetaTrader 5) – para operar el entorno de operativa MT5 puesto a disposición de los Participantes;
- Asesores profesionales (jurídicos, contables, de auditoría, fiscales) – para obtener asesoramiento profesional y garantizar el cumplimiento regulatorio;
- Reguladores, autoridades de control, tribunales y autoridades policiales cuando lo exija la ley – incluido en relación con divulgaciones legalmente obligatorias, órdenes judiciales o investigaciones regulatorias;
- Entidades sucesoras en relación con una fusión, adquisición o venta de la totalidad o sustancialmente la totalidad de los activos de la Sociedad – cuando los datos personales formen parte de los activos transferidos, sujetos a las garantías apropiadas.
Los Participantes podrán solicitar una lista de los proveedores de servicios específicos en cada categoría en el momento de la solicitud escribiendo a [email protected].
6.2 Transferencias Internacionales de Datos Personales (International Transfer)
Tienen lugar transferencias transfronterizas de datos personales a los siguientes destinatarios identificados:
- MetaQuotes Software Corp. (Chipre) – para la operación de la plataforma MT5;
- TradeLocker / Quadcode Solutions OÜ – servidores relevantes en Australia y la UE – para la operación de la plataforma TradeLocker;
- Entidades del grupo y proveedores de servicios ubicados en los Emiratos Árabes Unidos.
6.3 Mecanismos de Transferencia
Cada transferencia se rige por las Cláusulas Contractuales Tipo (SCCs) (Standard Contractual Clauses) (Decisión de Ejecución (UE) 2021/914 de la Comisión) o por las decisiones de adecuación (adequacy decision) aplicables, cuando se exija bajo los Artículos 44–49 del GDPR. Como entidad constituida en los EAU, la Sociedad trata datos personales del EEE/UE/Reino Unido en parte en los Emiratos Árabes Unidos, que no han sido objeto de una decisión de adecuación por parte de la Comisión Europea. La Sociedad revisa periódicamente los marcos jurídicos aplicables a las transferencias internacionales y actualiza sus mecanismos de transferencia según sea necesario.
6.4 Medidas Suplementarias
En ausencia de una decisión de adecuación respecto de los EAU, la Sociedad aplica las siguientes medidas técnicas y organizativas suplementarias: cifrado en reposo (AES-256), cifrado en tránsito (TLS 1.2+), controles de acceso basados en el principio del mínimo privilegio, registros de auditoría y restricciones contractuales sobre transferencias ulteriores. Estas medidas están diseñadas para garantizar que el nivel de protección de los datos personales transferidos a los EAU sea esencialmente equivalente al garantizado dentro del Espacio Económico Europeo. La Sociedad se compromete a completar una auditoría técnica de seguridad independiente por un tercero de dichas medidas dentro de los noventa (90) días naturales siguientes a la Fecha de Publicación de la presente Política y a publicar un resumen ejecutivo de los hallazgos de la auditoría (con las correspondientes redacciones para los detalles sensibles desde el punto de vista de la seguridad) en su Help Center una vez completada.
Los Participantes podrán solicitar una copia de las Cláusulas Contractuales Tipo y una descripción de las medidas suplementarias escribiendo a [email protected].
§7 Cookies y Tecnologías de Seguimiento
7.1 Uso de Cookies
El uso de cookies y otras tecnologías de seguimiento (cookies and tracking technologies) (p. ej., web beacons, píxeles) puede permitir el acceso o el almacenamiento de información en el dispositivo del Participante. La presente Política no constituye un tratamiento exhaustivo del uso de cookies por parte de la Sociedad: la información detallada sobre las tecnologías empleadas, la duración de cada cookie y las opciones para rechazar ciertas categorías de cookies se contiene en el Aviso de Cookies (Cookie Notice) separado publicado en neomfunded.com.
7.2 Categorías de Cookies
La Sociedad utiliza, en particular, las siguientes categorías de cookies:
- Cookies estrictamente necesarias – requeridas para el funcionamiento de los Servicios, incluidas la autenticación, la seguridad y la gestión de sesiones; no requieren el consentimiento del Participante;
- Cookies analíticas y funcionales – utilizadas para analizar cómo los Participantes interactúan con y utilizan los Servicios, permitiendo a la Sociedad mejorar el rendimiento y la experiencia de usuario, incluido a través de Google Analytics;
- Cookies de marketing y publicidad – utilizadas para rastrear las interacciones de los usuarios con los materiales publicitarios y para entregar contenidos publicitarios dirigidos, incluido a través de Google AdWords y Meta Advertising.
7.3 Base Jurídica
Para las cookies no esenciales (categorías (b) y (c)), la base jurídica es el Artículo 6(1)(a) del GDPR (el consentimiento del Participante, obtenido mediante banner de cookies), en conjunción con los requisitos de la Directiva 2002/58/CE sobre privacidad electrónica. El consentimiento podrá retirarse en cualquier momento a través de los ajustes del banner de cookies o de conformidad con las instrucciones del Aviso de Cookies.
7.4 Sustitución de Manifestaciones Previas
Todas las manifestaciones previamente publicadas que indiquen que la Sociedad no utiliza cookies, tecnologías de seguimiento o de analítica quedan sustituidas por el presente §7 y por el §29.7 de los T&C. NEOM Funded utiliza tecnologías de cookies de conformidad con el presente §7.
§8 Plazos de Conservación
8.1 Principio General
La Sociedad conserva los datos personales únicamente durante el tiempo que sea necesario para las finalidades para las que fueron recogidos, salvo cuando la ley exija un plazo más largo. Tras el plazo de conservación (retention period) aplicable, los datos personales se eliminan o se anonimizan irreversiblemente. Cuando la eliminación no sea técnicamente factible (por ejemplo, en instantáneas de copia de seguridad inmutables), la Sociedad segrega los datos de manera segura y restringe el acceso hasta que la eliminación sea factible. La Sociedad realiza revisiones periódicas de las categorías de datos personales que conserva con el fin de garantizar que los datos no se conserven más allá de los plazos de conservación aplicables.
8.2 Plazos de Conservación Específicos
Los siguientes plazos de conservación se aplican a cada categoría de datos personales:
- Registros KYC/AML (documentos de identidad, resultados del cribado de sanciones, declaraciones de origen de los fondos): cinco (5) años después del fin de la relación comercial con el Participante, según exigen el Decreto-Ley Federal de los EAU n.º 20 de 2018 (en su versión modificada) y la Recomendación FATF 11.
- Registros de transacciones y datos de pago: siete (7) años desde la fecha de la transacción, para fines fiscales, de auditoría y contables.
- Datos de cuenta y registros de actividad de operativa: durante la vigencia de la cuenta más tres (3) años posteriores al cierre, para fines de prevención del fraude, resolución de disputas y reclamaciones legales.
- Registros de consentimiento de marketing: hasta que se retire el consentimiento más tres (3) años (para demostrar la licitud del tratamiento histórico bajo el Art. 7(1) del GDPR).
- Datos de cookies y analítica: máximo trece (13) meses para analítica; duración de la sesión para cookies estrictamente necesarias.
- Tickets de atención al cliente: tres (3) años desde el cierre.
- Datos de copia de seguridad: ciclo de copia de seguridad rotativo de treinta (30) días; eliminación completa de cualquier registro de las copias de seguridad dentro de los noventa (90) días siguientes a la eliminación del registro primario.
8.3 Obligación Legal de Conservación
Cuando los datos personales estén sujetos a un plazo de conservación obligatorio bajo la legislación aplicable, la Sociedad conservará dichos datos durante no menos del plazo exigido por la ley, con independencia de cualquier solicitud previa del Participante de supresión o eliminación. Se recuerda a los Participantes que las obligaciones obligatorias de conservación KYC/AML bajo el Decreto-Ley Federal de los EAU n.º 20 de 2018 y la Recomendación FATF 11 constituyen una base lícita para denegar las solicitudes de supresión respecto de los registros comprendidos en la categoría (a) anterior.
§9 Cómo Mantenemos Segura Su Información
9.1 Medidas Técnicas y Organizativas
La Sociedad ha adoptado las medidas técnicas y organizativas necesarias y razonables para proteger los datos personales en su posesión. Dichas medidas incluyen, sin carácter limitativo: cifrado en reposo (AES-256), cifrado en tránsito (TLS 1.2+), controles de acceso basados en el principio del mínimo privilegio, registros de auditoría de acceso, segmentación de red, evaluaciones periódicas de vulnerabilidades y revisiones periódicas de riesgos de seguridad de la información. La Sociedad también impone obligaciones de seguridad apropiadas a sus proveedores de servicios mediante contratos escritos.
9.2 Sin Garantía de Seguridad Absoluta
No obstante, Internet y la tecnología de almacenamiento de información no son infalibles, y la Sociedad no puede garantizar que los datos personales no sean accedidos, robados o alterados por terceros no autorizados. Si bien la Sociedad se esfuerza por proteger los datos personales de los Participantes, es responsabilidad del Participante garantizar la seguridad de la información que transmite a través de los Servicios. Se aconseja a los Participantes utilizar los Servicios únicamente en un entorno seguro, utilizar contraseñas fuertes y únicas, y notificar a la Sociedad de manera diligente cualquier sospecha de acceso no autorizado a su cuenta.
9.3 Notificación de Violación (Breach Notification)
En el supuesto de una violación de datos personales que probablemente entrañe un alto riesgo para los derechos y libertades de las personas físicas, la Sociedad notificará a los Participantes afectados y, cuando se requiera, a la autoridad de control competente dentro de los plazos prescritos por la legislación aplicable (incluido dentro de las 72 horas bajo el Artículo 33 del GDPR). Las notificaciones incluirán, en la medida de lo factible, una descripción de la naturaleza de la violación, las categorías y el número aproximado de interesados afectados, las probables consecuencias de la violación y las medidas adoptadas o propuestas para abordarla.
§10 Menores
10.1 Restricción de Edad
La Sociedad no recoge a sabiendas datos de personas menores (minors) de 18 años ni les hace marketing. Al utilizar los Servicios, el Participante afirma que tiene al menos 18 años, o que es el padre, madre o tutor de un menor y consiente el uso de los Servicios por parte del menor. Los Servicios no están dirigidos a personas menores de 18 años, y la Sociedad no entra a sabiendas en una relación contractual con un menor.
10.2 Acción al Descubrir Datos de Menor
Si la Sociedad tiene conocimiento de que se han recogido datos personales de un usuario menor de 18 años sin verificación del consentimiento parental o del tutor, eliminará dicha información y desactivará la cuenta asociada. Si tiene conocimiento de cualesquiera datos que la Sociedad pudiera haber recogido de un menor, contacte con nosotros inmediatamente en [email protected].
§11 Sus Derechos de Privacidad
11.1 Ámbito
Los Participantes ubicados en la UE/EEE, Reino Unido, EAU o California tienen los siguientes derechos respecto de sus datos personales. La Sociedad responderá a cualquier solicitud dentro del mes desde su recepción, prorrogable por dos meses adicionales cuando la solicitud sea compleja o numerosa (aproximadamente noventa (90) días naturales en total), con notificación al Participante bajo el Art. 12(3) del GDPR. Cuando una solicitud se reciba electrónicamente, la Sociedad facilitará la respuesta por medios electrónicos cuando sea posible, salvo que el Participante solicite otra cosa.
11.2 Lista de Derechos
- Derecho de acceso (right of access) (Art. 15 del GDPR). El Participante podrá solicitar la confirmación de si sus datos personales están siendo tratados y obtener una copia de los datos que están siendo tratados, junto con información sobre las finalidades del tratamiento, las categorías de datos afectados, los destinatarios o categorías de destinatarios, los plazos de conservación previstos, las fuentes de las que se obtuvieron los datos y las garantías aplicadas a cualesquiera transferencias internacionales.
- Derecho de rectificación (right to rectification) (Art. 16 del GDPR). El Participante podrá solicitar la rectificación de los datos personales inexactos que le conciernan sin dilación indebida, y, teniendo en cuenta las finalidades del tratamiento, podrá solicitar la complementación de los datos personales incompletos.
- Derecho de supresión (right to erasure) / 'derecho al olvido' (Art. 17 del GDPR). El Participante podrá solicitar la supresión de sus datos personales cuando concurra alguno de los motivos establecidos en el Artículo 17, salvo que el tratamiento sea necesario por uno de los motivos establecidos en ese mismo Artículo, incluido el cumplimiento de los plazos de conservación obligatorios del §8.2 de la presente Política (KYC/AML – 5 años, transacciones – 7 años, etc.). Las solicitudes de supresión se evaluarán caso por caso y la Sociedad notificará al Participante su decisión y las razones de la misma.
- Derecho a la limitación del tratamiento (right to restriction of processing) (Art. 18 del GDPR). El Participante podrá solicitar la limitación del tratamiento de sus datos personales en las circunstancias previstas en el Artículo 18, incluido cuando se impugne la exactitud de los datos, cuando el tratamiento sea ilícito, cuando el Participante se haya opuesto al tratamiento, o cuando los datos personales ya no sean necesarios para las finalidades del tratamiento pero sean requeridos por el Participante para el establecimiento, ejercicio o defensa de reclamaciones legales.
- Derecho a la portabilidad de los datos (right to data portability) (Art. 20 del GDPR). El Participante podrá recibir sus datos personales en un formato estructurado, de uso común y de lectura mecánica, y podrá solicitar su transmisión a otro responsable del tratamiento, cuando el tratamiento se base en el consentimiento o en un contrato y se lleve a cabo por medios automatizados. Este derecho no se aplica cuando el tratamiento sea necesario para la ejecución de una misión realizada en interés público o en el ejercicio de potestades públicas.
- Derecho de oposición (right to object) (Art. 21 del GDPR). El Participante podrá oponerse en cualquier momento al tratamiento de sus datos personales basado en los intereses legítimos de la Sociedad (Art. 6(1)(f) del GDPR), incluida la elaboración de perfiles (profiling) sobre dicha base. Tras la recepción de tal oposición, la Sociedad cesará el tratamiento salvo que demuestre motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del Participante, o salvo que el tratamiento sea necesario para el establecimiento, ejercicio o defensa de reclamaciones legales.
- Derecho a retirar el consentimiento (Art. 7(3) del GDPR). El Participante podrá retirar el consentimiento al tratamiento de datos personales en cualquier momento. La retirada del consentimiento no afecta a la licitud del tratamiento llevado a cabo con anterioridad a la retirada. Para retirar el consentimiento de marketing, utilice el enlace de baja en la comunicación pertinente o envíe una solicitud a [email protected]. Para retirar el consentimiento de cookies, consulte los ajustes del banner de cookies o el Aviso de Cookies publicado en neomfunded.com.
- Derecho a no ser objeto de decisiones automatizadas (automated decision-making) basadas únicamente en el tratamiento automatizado (Art. 22 del GDPR). El Participante tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o significativos de manera similar. Las decisiones automatizadas con fines de prevención del fraude se limitarán a los mecanismos de detección expresamente permitidos bajo el Artículo 22(2)(a)–(c) del GDPR, con revisión humana disponible previa solicitud bajo el Artículo 22(3). Cuando la Sociedad utilice sistemas automatizados para detectar prácticas de operativa prohibidas o para llevar a cabo la Revisión de Cumplimiento Post-Cristalización (§17.2), las decisiones de suspender, terminar, recuperar (claw back) o compensar (set off) deberán, previa solicitud escrita del Participante, ser revisadas por un responsable humano de la toma de decisiones antes de adquirir carácter firme, salvo cuando la decisión sea necesaria por motivos de prevención del fraude o de cumplimiento legal bajo el §1.3(a) de los T&C.
- Derecho a presentar una reclamación ante una autoridad de control. El Participante podrá presentar una reclamación ante la autoridad de control de su residencia habitual. La siguiente lista es ilustrativa y no exhaustiva:
- España: Agencia Española de Protección de Datos (AEPD) – www.aepd.es
- Francia: Commission Nationale de l'Informatique et des Libertés (CNIL) – www.cnil.fr
- Alemania: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) – www.bfdi.bund.de
- Reino Unido: Information Commissioner's Office (ICO) – www.ico.org.uk
- EAU: UAE Data Office – www.tdra.gov.ae
Cuando un Participante presente una reclamación ante una autoridad de control, se le anima a informar simultáneamente a la Sociedad para que esta pueda tener la oportunidad de abordar la cuestión antes de que concluya la investigación de la autoridad de control.
11.3 Solicitudes manifiestamente infundadas o excesivas
Cuando una solicitud sea manifiestamente infundada o excesiva, en particular por su carácter repetitivo, la Sociedad podrá, de conformidad con el Art. 12(5) del GDPR, cobrar un canon razonable atendiendo a los costes administrativos de facilitar la información o la comunicación o de adoptar la acción solicitada, o negarse a actuar sobre la solicitud, en cada caso con notificación al Participante. La Sociedad soporta la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
11.4 Verificación de Identidad
Para proteger la seguridad de los datos personales y para evitar el acceso no autorizado, la Sociedad podrá solicitar una verificación razonable de la identidad de cualquier persona que presente una solicitud de interesado antes de atender dicha solicitud.
11.5 Cómo Ejercer los Derechos
Para ejercer cualquiera de los derechos establecidos anteriormente, los Participantes pueden utilizar cualquiera de los siguientes canales:
- Correo electrónico: [email protected]
- Prighter Trust Center (gestor de derechos de privacidad / Privacy Rights Manager (PRM)): https://app.prighter.com/portal/neomfunded
Ambos canales son equivalentes; los Participantes pueden elegir el que prefieran. El Trust Center de Prighter ofrece verificación de identidad y un registro de auditoría (audit trail) de la solicitud.
§12 No-Rastrear y Control Global de Privacidad
12.1 No-Rastrear (DNT) (Do-Not-Track (DNT))
La mayoría de los navegadores web y algunos sistemas operativos móviles incluyen una funcionalidad o configuración No-Rastrear ("DNT") que usted puede activar para señalizar su preferencia de privacidad de que no se supervisen ni recopilen datos sobre sus actividades de navegación en línea. No existe un estándar uniforme para el reconocimiento y la implementación de las señales DNT y, por lo tanto, la Sociedad no responde actualmente a las señales DNT. Esta posición será revisada en caso de que surja un estándar tecnológico uniforme.
12.2 Control Global de Privacidad (GPC) (Global Privacy Control (GPC))
La Sociedad atiende las señales de Control Global de Privacidad (GPC) como una solicitud válida de exclusión bajo la California Consumer Privacy Act §1798.135 y la orientación del California Attorney General. Los Participantes podrán ejercer su derecho a excluirse de la venta o el intercambio (sharing) de información personal, incluido para la publicidad comportamental entre contextos, bajo la CCPA §1798.120. Cuando se detecte una señal GPC, la Sociedad la tratará como una exclusión de la venta y el intercambio de información personal bajo la CCPA/CPRA y procesará la solicitud en consecuencia.
12.3 Limitar el Uso de Información Personal Sensible
Los Participantes tienen también derecho a limitar el uso y la divulgación de su información personal sensible (incluidos datos de geolocalización e identificadores emitidos por las autoridades) a usos razonablemente necesarios para prestar los Servicios solicitados, bajo la CCPA §1798.121. Para ejercer este derecho, contacte con [email protected] con el asunto "Limit Use of Sensitive PI".
§13 Derechos de Privacidad de los Residentes en California
13.1 Aplicabilidad
El presente §13 se aplica exclusivamente a los residentes en California (Estados Unidos) de conformidad con la CCPA/CPRA. Si usted es residente en California, le asisten los derechos establecidos a continuación, adicionales a los establecidos en el §11 de la presente Política.
13.2 Derechos de los Residentes en California
Si usted es residente en California, le asisten los siguientes derechos:
- Derecho a saber (right to know). Podrá solicitar información sobre las categorías y las piezas específicas de datos personales que se han recogido sobre usted, las fuentes de las que se recogieron, las finalidades para las que se recogieron, los terceros a los que se divulgaron y las categorías de dichos terceros. Podrá hacer tal solicitud hasta dos veces en cualquier período de doce meses.
- Derecho de eliminación (right to deletion). Podrá solicitar la eliminación de los datos personales recogidos sobre usted por la Sociedad, sujeto a las excepciones aplicables bajo la CCPA, incluido cuando la Sociedad esté obligada a conservar los datos para cumplir una obligación legal o para completar una transacción para la cual se recogió la información personal.
- Derecho a excluirse de la venta o el intercambio. Podrá excluirse de la venta o el intercambio de sus datos personales. La Sociedad no vende los datos personales de los Participantes a terceros en el sentido de la CCPA. No obstante, dado que la Sociedad utiliza herramientas de publicidad digital (Google AdWords, Meta Advertising), la transferencia de datos mediante cookies en el contexto de la publicidad comportamental entre contextos puede cualificar como "sharing" en el sentido de la CCPA/CPRA. Para excluirse de tal intercambio, podrá utilizar el mecanismo GPC descrito en el §12.2 o ajustar sus preferencias a través de los ajustes del banner de cookies.
- Derecho a la no discriminación (right to non-discrimination). La Sociedad no le discriminará en la prestación de los Servicios por ejercer cualquier derecho otorgado bajo la CCPA, incluido denegando bienes o servicios, cobrando precios diferentes o prestando un nivel diferente de servicio.
13.3 Cómo Presentar una Solicitud
Para ejercer los derechos de privacidad de California, contacte con [email protected] con el asunto "California Privacy Rights". La Sociedad acusará recibo de su solicitud dentro de los diez (10) días hábiles (business days) y responderá sustantivamente dentro de los cuarenta y cinco (45) días naturales, prorrogables por otros cuarenta y cinco (45) días adicionales cuando sea necesario.
§14 Ley de Protección de Datos Personales de los EAU (PDPL)
14.1 Aplicabilidad
El presente §14 se aplica al tratamiento de datos personales bajo el Decreto-Ley Federal de los EAU n.º 45 de 2021 sobre la Protección de Datos Personales (la 'UAE PDPL') y el §6.6 de los T&C. Como entidad constituida en los EAU, la Sociedad trata datos personales bajo la UAE PDPL además de los demás marcos aplicables establecidos en el §2 de la presente Política.
14.2 Derechos del Interesado bajo la UAE PDPL
Las personas cuyos datos personales sean tratados bajo la UAE PDPL tienen derechos de acceso, rectificación, supresión (sujeto a exenciones legales), limitación del tratamiento y oposición al tratamiento, en la medida prevista bajo la UAE PDPL. Estos derechos se ejercen del modo establecido en el §11 de la presente Política, con sujeción a lo siguiente:
- Obligaciones bajo la UAE PDPL. La Sociedad cumple sus obligaciones bajo la UAE PDPL, incluida la inscripción en el UAE Data Office, la aplicación de cláusulas contractuales tipo para las transferencias transfronterizas de datos originarios de los EAU, y la adopción de medidas técnicas y organizativas que cumplan los estándares de la UAE PDPL.
- Reglamento Ejecutivo Pendiente. A la Fecha de Entrada en Vigor de la presente Política, el Reglamento Ejecutivo de la UAE PDPL no ha sido emitido por el Consejo de Ministros de los EAU. Según se establece en el §2.1(c) de la presente Política, la Sociedad actualizará sus prácticas de tratamiento de datos y la presente Política de conformidad con dicho Reglamento tras su emisión, dentro del período de implementación prescrito en el mismo.
- Autoridad de Control. El cumplimiento de la UAE PDPL es supervisado por el UAE Data Office. Las solicitudes y reclamaciones podrán dirigirse al UAE Data Office a través de su portal oficial en www.tdra.gov.ae.
§15 Canadá (PIPEDA)
15.1 Aplicabilidad
El presente §15 se aplica a los residentes en Canadá cuyos datos personales sean tratados por la Sociedad en el curso de actividades comerciales, de conformidad con la Canadian Personal Information Protection and Electronic Documents Act (PIPEDA). Cuando la legislación provincial aplicable proporcione un estándar superior de protección, la Sociedad cumplirá con dicho estándar superior.
15.2 Principios de Tratamiento bajo PIPEDA
Además del §5 de la presente Política, la Sociedad observa los siguientes principios de responsabilidad proactiva de PIPEDA respecto de los residentes en Canadá:
- Consentimiento. La Sociedad trata los datos personales de los residentes en Canadá únicamente con su consentimiento expreso o implícito, salvo cuando la legislación aplicable permita el tratamiento sin consentimiento (investigación de fraude, cumplimiento legal, situaciones de emergencia, etc.). Los Participantes podrán retirar el consentimiento en cualquier momento, sujeto a restricciones legales o contractuales y previo aviso razonable, y la Sociedad informará al Participante de las implicaciones de tal retirada.
- Limitación de la finalidad. Los datos personales se recogen únicamente para finalidades especificadas y documentadas y no se tratan de maneras incompatibles con dichas finalidades. Las finalidades para las que se recogen los datos personales se identifican antes o en el momento de la recogida.
- Exactitud. La Sociedad adopta medidas razonables para garantizar que los datos personales sean exactos, completos y estén actualizados para las finalidades para las que son tratados, y corregirá de manera diligente los datos inexactos previa solicitud del Participante.
- Autoridad de control. El cumplimiento de PIPEDA en Canadá es supervisado por la Office of the Privacy Commissioner of Canada (OPC). Los residentes en Canadá podrán presentar una reclamación ante la OPC en www.priv.gc.ca.
§16 Representantes en la UE y en el Reino Unido, Representante para la Ley de Datos de la UE y Delegado de Protección de Datos
16.1 Representante de Privacidad bajo el Artículo 27 del GDPR y el Artículo 27 del UK-GDPR
De conformidad con el Artículo 27 del GDPR y el Artículo 27 del Reglamento General de Protección de Datos del Reino Unido (UK-GDPR), la Sociedad valora su privacidad y sus derechos como interesado y, por consiguiente, ha designado a Prighter Group junto con sus socios locales como su representante de privacidad y su punto de contacto para las siguientes regiones:
- Reino Unido (United Kingdom)
- Espacio Económico Europeo (Austria, Bélgica, Bulgaria, Croacia, Chipre, Chequia, Dinamarca, Estonia, Finlandia, Francia, Alemania, Grecia, Hungría, Islandia, Irlanda, Italia, Letonia, Liechtenstein, Lituania, Luxemburgo, Malta, Países Bajos, Noruega, Polonia, Portugal, Rumania, Eslovaquia, Eslovenia, España, Suecia)
Para contactar con Prighter Group, visite el Trust Center de Prighter en https://app.prighter.com/portal/neomfunded, donde encontrará toda la información sobre los datos de contacto. Dirección postal: Prighter Group, Paragon 1, Schwarzenbergplatz 4, 1030 Viena, Austria.
16.2 Representante para la Ley de Datos de la UE bajo el Artículo 37 de la Ley de Datos ((UE) 2023/2854)
NEOM TRIPLE A INFORMATION TECHNOLOGY LLC ha designado a Prighter Group como su representante legal de conformidad con el Art. 37 de la Ley de Datos. Prighter Group actúa como destinatario para las autoridades competentes, los usuarios y otras partes interesadas en la Unión Europea en todos los asuntos relacionados con la Ley de Datos. Para contactar con Prighter Group, visite el portal de gobernanza digital en https://app.prighter.com/portal/12944912068, donde encontrará toda la información sobre los datos de contacto.
16.3 Delegado de Protección de Datos – Designación de DPO en curso
La designación formal de un Delegado de Protección de Datos (DPO) (Data Protection Officer (DPO)) bajo el Artículo 37 del GDPR se encuentra actualmente en curso. Pendiente la finalización de este proceso, todas las consultas de protección de datos, las solicitudes de acceso del interesado bajo los Artículos 15–22 del GDPR y cualquier otra cuestión relativa al tratamiento de datos personales podrán dirigirse a:
- Contacto de Privacidad: [email protected]
- Dirección postal: Neom Triple A Information Technology LLC, The Binary by Omniyat, Office 2114, Business Bay, Dubai, UAE
Los datos de contacto del Delegado de Protección de Datos designado, una vez nombrado, serán publicados en esta página y comunicados a las autoridades de control competentes de conformidad con el Artículo 37(7) del GDPR.
16.4 Reevaluación
La Sociedad reevaluará sus disposiciones de designación de DPO al menos anualmente y actualizará la presente Política si cualquiera de los desencadenantes obligatorios bajo el Artículo 37(1) del GDPR o el Artículo 10 de la UAE PDPL deviene aplicable, o tras la finalización del proceso de designación en curso.
§17 Cambios en la Presente Política
17.1 Derecho a Modificar
La Sociedad se reserva el derecho a modificar la presente Política en cualquier momento. La versión actual de la Política está siempre disponible en neomfunded.com. Cada versión de la Política se identifica mediante un número de versión y una fecha de entrada en vigor en el encabezado del documento. Se anima a los Participantes a revisar la presente Política periódicamente para mantenerse informados de las prácticas de protección de datos de la Sociedad.
17.2 Notificación de Cambios Sustanciales
Cuando las modificaciones afecten sustancialmente a los derechos de los interesados o al modo en que se tratan sus datos personales (cambios sustanciales (material changes)), la Sociedad notificará a los Participantes con antelación mediante:
- el envío de una notificación a la dirección de correo electrónico facilitada en el momento del registro de la cuenta; y/o
- la publicación de un aviso destacado en neomfunded.com.
El uso continuado de los Servicios después de la fecha de entrada en vigor de cualquier Política modificada constituye la aceptación de dichas modificaciones en la medida permitida por la legislación aplicable. Cuando la legislación aplicable exija el consentimiento explícito para que la modificación surta efecto, la Sociedad obtendrá dicho consentimiento antes de que la Política modificada se aplique a la actividad de tratamiento pertinente.
17.3 Versiones de Archivo
Las versiones anteriores de la presente Política están disponibles previa solicitud en [email protected].
§18 Información de Contacto
18.1 Datos de Contacto
Para cualquier pregunta, comentario o solicitud relativa a la presente Política o al tratamiento de datos personales por parte de la Sociedad, podrá contactar con nosotros a través de los siguientes canales:
- Consultas de privacidad, cuestiones de protección de datos y ejercicio de los derechos del interesado (Contacto de Privacidad pendiente de designación de DPO): [email protected]
- Consultas generales y soporte: [email protected]
- Sitio web: neomfunded.com
- Domicilio social: Neom Triple A Information Technology LLC, The Binary by Omniyat, Office 2114, Business Bay, Dubai, UAE
18.2 Solicitudes de Derechos del Interesado
Las solicitudes para ejercer los derechos del interesado (§11 de la presente Política) deberán dirigirse a [email protected]. La Sociedad podrá solicitar información adicional para verificar la identidad de la persona solicitante antes de atender una solicitud. La Sociedad no cobra un canon por la primera copia de los datos personales facilitada en respuesta a una solicitud de acceso.
18.3 Solicitudes de Residentes en California
Las solicitudes de residentes en California deberán dirigirse a [email protected] con el asunto "California Privacy Rights" (§13 de la presente Política).
18.4 Plazos de Respuesta
La Sociedad pretende acusar recibo de todas las solicitudes dentro de los cinco (5) días hábiles desde su recepción y responder sustantivamente dentro de los plazos prescritos por la legislación aplicable, según se establece en los §11 y §13 de la presente Política.
La presente Política sustituye a todas las versiones anteriores de la política de privacidad publicada por Neom Triple A Information Technology LLC bajo la marca NEOM Funded.
Política de Privacidad v4.0.1 | Neom Triple A Information Technology LLC (NEOM Funded) | Fecha de Publicación: 24 de septiembre de 2026