← Volver al inicio
Documento legal · v1.0

Política de Privacidad

Cómo YAPI S.A.S. recopila, usa, protege y comparte datos personales en la plataforma YAPI Loyalty, en cumplimiento de la LOPDP del Ecuador.

Última actualización: 22 de abril de 2026

01

Introducción

En YAPI S.A.S. (en adelante, "YAPI") la privacidad de las personas es parte esencial de nuestra propuesta. Esta Política de Privacidad describe, en lenguaje claro y directo, qué datos personales tratamos, para qué los usamos, cuánto tiempo los conservamos, con quién los compartimos y qué derechos tiene usted sobre ellos.

Nuestro tratamiento se rige por la Ley Orgánica de Protección de Datos Personales del Ecuador (LOPDP, Registro Oficial Suplemento N.º 459 de 26 de mayo de 2021), su Reglamento General (13 de noviembre de 2023) y las resoluciones vigentes de la Superintendencia de Protección de Datos Personales (SPDP).

Lo esencial en una línea No vendemos datos personales. Los usamos exclusivamente para que el Servicio funcione, con las medidas de seguridad que la ley nos exige y que nuestros usuarios merecen.

02

Responsable del tratamiento

El responsable del tratamiento de datos personales descrito en esta política es:

Razón social
YAPI S.A.S.
RUC
1091798207001
Domicilio
Calle Bolívar s/n y Arturo Pérez, Edificio Julio Miguel Aguinaga, Piso 1, Atuntaqui, cantón Antonio Ante, provincia de Imbabura, Ecuador
Delegado de Protección de Datos
info.yapi.ec@gmail.com
Teléfono
098 213 2200

03

A quién aplica esta política

Esta política distingue dos tipos de titulares de datos, porque YAPI asume un rol distinto frente a cada uno:

  • Cliente (comercio): persona natural o jurídica que contrata el Servicio para operar su programa de fidelización. Respecto de estos datos, YAPI actúa como Responsable del Tratamiento.
  • Cliente Final (consumidor): persona que acumula sellos, recibe cartillas digitales o mensajes por WhatsApp en el programa de fidelización del Cliente. Respecto de estos datos, el Cliente es el Responsable y YAPI actúa como Encargado del Tratamiento, procesando los datos conforme a las instrucciones del Cliente y a la finalidad del Servicio.

Esta distinción es importante porque determina a quién debe dirigir cada persona el ejercicio de sus derechos (ver sección 12).

04

Datos del Cliente (comercio)

Cuando un comercio contrata YAPI, tratamos los siguientes datos personales:

  • Datos de registro: nombre de la persona de contacto, nombre del negocio, correo electrónico, número de WhatsApp, tipo de negocio.
  • Datos de facturación: razón social o nombres y apellidos, RUC o cédula, dirección fiscal, teléfono. Requeridos por el Servicio de Rentas Internas (SRI) para emitir facturación electrónica.
  • Datos de pago: procesados a través de pasarelas de pago de terceros. YAPI no almacena números completos de tarjeta ni credenciales bancarias.
  • Datos de uso: registros de inicio de sesión, acciones realizadas en la Plataforma, configuración del programa de fidelización, métricas agregadas.
  • Datos técnicos: dirección IP, tipo de navegador, sistema operativo, identificadores de sesión.
  • Comunicaciones: mensajes de soporte que usted nos envíe por correo, WhatsApp o chat.

05

Datos del Cliente Final (consumidor del comercio)

Por instrucción del Cliente, procesamos los siguientes datos de los consumidores que participan en el programa de fidelización:

  • Identificación: nombre y número de WhatsApp. Opcionalmente, correo electrónico.
  • Actividad en el programa: sellos acumulados, premios canjeados, fecha de última visita, cartilla activa.
  • Datos técnicos mínimos asociados al uso de la cartilla digital y, cuando aplica, a Google Wallet.
No recopilamos datos sensibles YAPI no solicita ni trata datos de categorías especiales (salud, origen étnico, ideología, datos biométricos identificatorios, etc.) conforme al artículo 25 de la LOPDP.

06

Finalidades del tratamiento

Usamos los datos personales únicamente para estas finalidades:

  • Prestar el Servicio: crear y administrar la cuenta del Cliente, operar el programa de fidelización, emitir cartillas, registrar sellos, canjear premios.
  • Facturación y obligaciones tributarias: emitir facturas electrónicas, cumplir obligaciones con el SRI y llevar registros contables.
  • Comunicaciones operativas: enviar confirmaciones, recordatorios, alertas de seguridad y notificaciones de servicio.
  • Soporte al Cliente: responder consultas y resolver incidencias.
  • Mejora del Servicio: analizar métricas agregadas y anonimizadas para mejorar funcionalidades. No usamos datos identificables para entrenamiento de modelos de terceros.
  • Seguridad y prevención de fraude: detectar usos abusivos, acceso no autorizado y comportamientos anómalos.
  • Cumplimiento legal: responder a requerimientos de autoridades competentes.

No usamos los datos para enviarle publicidad de terceros ni los cedemos con fines comerciales ajenos al Servicio.

08

Plazos de conservación

Conservamos los datos solo por el tiempo necesario según la finalidad:

  • Datos de cuenta activa del Cliente: mientras la cuenta esté activa y hasta 30 días después de su cancelación, para permitir su exportación.
  • Datos contables y tributarios: por el plazo exigido por la normativa tributaria ecuatoriana (actualmente siete años).
  • Datos de Clientes Finales: mientras el Cliente los mantenga activos en su programa y hasta que el Cliente Final revoque su consentimiento o solicite eliminación.
  • Registros de seguridad y logs: hasta por doce meses, salvo retención adicional por investigación de incidentes.
  • Comunicaciones de soporte: hasta por dos años desde la última interacción.

Cumplidos los plazos, los datos se eliminan o anonimizan de forma irreversible.

09

Destinatarios y transferencias

Los datos personales pueden ser compartidos, bajo estrictos acuerdos de confidencialidad y tratamiento, con las siguientes categorías de destinatarios:

  • Proveedores de infraestructura cloud que alojan la Plataforma (servicios de hosting, bases de datos, almacenamiento).
  • Procesadores de pago para cobrar la suscripción.
  • Proveedores de mensajería WhatsApp (Meta Platforms, Inc. a través de WhatsApp Business Platform) para entregar mensajes a los Clientes Finales.
  • Proveedor de Google Wallet (Google LLC) para emitir y actualizar cartillas digitales.
  • Proveedores de analítica y observabilidad para métricas agregadas y monitoreo del Servicio.
  • Autoridades competentes cuando exista requerimiento legal válido.
Transferencias internacionales Algunos proveedores operan fuera del Ecuador. Estas transferencias se realizan únicamente a países con nivel adecuado de protección o bajo garantías contractuales exigidas por la Resolución SPDP-SPD-2026-0004 (28 de enero de 2026) sobre transferencias nacionales e internacionales de datos personales.

10

Medidas de seguridad

Aplicamos medidas técnicas y organizativas razonables y proporcionales al riesgo:

  • Cifrado en tránsito (HTTPS/TLS) en todas las comunicaciones con la Plataforma.
  • Cifrado en reposo para bases de datos y copias de seguridad.
  • Control de acceso basado en roles y autenticación con credenciales únicas.
  • Registros de auditoría de accesos y cambios sensibles.
  • Revisiones periódicas de seguridad y dependencias del software.
  • Compromiso de confidencialidad con todo el personal y proveedores con acceso.
  • Procedimiento interno de respuesta a incidentes con notificación a la SPDP y a los titulares cuando la LOPDP lo exija.

Ningún sistema es absolutamente invulnerable. Si detectamos una vulneración que afecte datos personales, actuaremos conforme al deber de notificación establecido en la LOPDP.

11

Derechos del titular

La LOPDP le reconoce los siguientes derechos, que puede ejercer en cualquier momento y de forma gratuita:

  • Acceso: conocer qué datos suyos tratamos y obtener una copia.
  • Rectificación: corregir datos inexactos o incompletos.
  • Eliminación ("derecho al olvido"): que eliminemos sus datos cuando ya no sean necesarios o cuando retire su consentimiento, salvo obligación legal de conservación.
  • Oposición: oponerse a tratamientos fundados en interés legítimo.
  • Portabilidad: recibir sus datos en un formato estructurado y de uso común, o solicitar su envío a otro responsable.
  • Limitación del tratamiento: pedir que suspendamos temporalmente el tratamiento mientras se verifica una solicitud.
  • No ser objeto de decisiones automatizadas que produzcan efectos jurídicos significativos, salvo excepciones previstas en la ley.
  • Revocar el consentimiento en cualquier momento, sin efecto retroactivo.

12

Cómo ejercer sus derechos

Si usted es Cliente Final (consumidor del comercio): diríjase primero al Cliente (el comercio donde participa del programa de fidelización), que es el Responsable de sus datos. Si la respuesta no es satisfactoria, puede contactar al DPO de YAPI para asistencia como Encargado del Tratamiento.

Si usted es Cliente (comercio): escriba directamente a nuestro Delegado de Protección de Datos:

Correo del DPO
info.yapi.ec@gmail.com
Asunto sugerido
"Ejercicio de derechos LOPDP — [derecho]"
Domicilio físico
Calle Bolívar s/n y Arturo Pérez, Edificio Julio Miguel Aguinaga, Piso 1, Atuntaqui, cantón Antonio Ante, provincia de Imbabura, Ecuador

En su solicitud incluya: nombre completo, documento de identidad (para verificar su identidad), derecho que desea ejercer y detalle concreto. Responderemos dentro de los quince (15) días siguientes a la recepción, prorrogables conforme a la LOPDP cuando la complejidad de la solicitud lo amerite.

13

Cookies y tecnologías similares

El sitio web yapi.ec utiliza un número mínimo de cookies y tecnologías similares, clasificadas así:

  • Esenciales: necesarias para el funcionamiento del sitio y de la Plataforma (sesión, seguridad, preferencias básicas). No requieren consentimiento.
  • Analíticas: métricas agregadas de uso del sitio. Cuando apliquen, se solicitará su consentimiento previo.

No utilizamos cookies publicitarias ni de seguimiento entre sitios. Usted puede configurar su navegador para rechazar cookies, con el entendido de que algunas funcionalidades pueden verse afectadas.

14

Menores de edad

El Servicio está dirigido a comercios y adultos mayores de edad. No tratamos intencionalmente datos de niñas, niños ni adolescentes. Si detectamos que una cuenta fue creada por un menor sin autorización, procederemos a su eliminación. Si usted es representante legal de un menor y considera que hemos recibido datos suyos, contáctenos y los eliminaremos con carácter inmediato.

15

Delegado de Protección de Datos (DPO)

YAPI ha designado un Delegado de Protección de Datos conforme a los requerimientos aplicables de la LOPDP y de la Resolución SPDP-SPD-2026-0005-R sobre tratamiento de datos personales a gran escala.

Funciones del DPO: informar y asesorar a YAPI y a su personal sobre obligaciones en materia de protección de datos, supervisar el cumplimiento, cooperar con la SPDP y ser punto de contacto de los titulares.

Correo del DPO
info.yapi.ec@gmail.com

16

Reclamos ante la SPDP

Si considera que sus derechos no han sido debidamente atendidos, puede presentar una denuncia o reclamo ante la Superintendencia de Protección de Datos Personales del Ecuador:

Sitio web
spdp.gob.ec
Guía oficial
gob.ec/spdp

Sin perjuicio de lo anterior, agradecemos darnos la oportunidad de resolver su inquietud directamente antes de iniciar un procedimiento formal.

17

Cambios a esta política

Esta política puede actualizarse cuando existan cambios legales, técnicos u operativos. Las modificaciones se publicarán en esta misma página con una nueva fecha de vigencia y, cuando el cambio sea material, le notificaremos por los canales de contacto registrados con al menos quince (15) días de anticipación.

18

Contacto

Correo general
info.yapi.ec@gmail.com
Protección de datos (DPO)
info.yapi.ec@gmail.com
Asuntos legales
info.yapi.ec@gmail.com
Teléfono
098 213 2200
Domicilio
Calle Bolívar s/n y Arturo Pérez, Edificio Julio Miguel Aguinaga, Piso 1, Atuntaqui, cantón Antonio Ante, provincia de Imbabura, Ecuador

Versión 1.0 · Vigente desde el 22 de abril de 2026. Ver también: Términos y Condiciones.