Política de Privacidad
BitALCER — GRUPO ALCER, Sociedad Anónima
Versión 1.4 · Vigencia: 02 de febrero de 2026 · Última actualización: 10 de julio de 2026 · NIT: 120472015
1. Identidad y Datos del Responsable del Tratamiento
La presente Política de Privacidad es emitida por GRUPO ALCER, Sociedad Anónima (en adelante "la Empresa", "BitALCER" o "nosotros"), con NIT 120472015, con domicilio en Barrio 3 de Abril, San Benito, Petén, República de Guatemala.
La Empresa es responsable del tratamiento de los datos personales que usted proporciona o que se generan como consecuencia del uso de la plataforma BitALCER y de todos sus servicios asociados.
Para consultas o solicitudes relacionadas con el tratamiento de sus datos personales, puede contactarnos a través de:
- Correo electrónico: [email protected]
- WhatsApp: +502 4300-1485
- Horario de atención: Lunes a viernes, 8:00 AM – 6:00 PM (hora de Guatemala, UTC-6)
2. Definiciones
Para efectos de la presente Política, se entenderán los siguientes términos:
- Dato personal: cualquier información que identifique o permita identificar, directa o indirectamente, a una persona física.
- Dato sensible: dato personal que revela origen étnico o racial, ideología política, creencias religiosas, información biométrica, datos de salud, vida sexual u origen económico. Los documentos de identidad y fotografías de reconocimiento son tratados con el mismo nivel de protección.
- Titular: persona física a quien pertenecen los datos personales.
- Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales, incluyendo recopilación, almacenamiento, modificación, consulta, transmisión y eliminación.
- KYC (Know Your Customer): proceso de verificación de identidad exigido por normativa de prevención de lavado de dinero.
- Plataforma: todos los canales a través de los cuales la Empresa presta sus servicios, incluyendo la aplicación móvil BitALCER para Android, el portal web https://bitalcer.com, el portal de wallet y cualesquiera aplicaciones o sitios asociados.
- Tarjeta Virtual: instrumento de pago electrónico emitido por un proveedor externo a nombre del usuario, gestionado a través de la Plataforma.
- Proveedor de Tarjetas: tercero integrado especializado en emisión y administración de Tarjetas Virtuales, contratado por la Empresa para prestar dicho servicio.
- Tienda ALCER: módulo de la Plataforma para adquirir Recargas Móviles y Gift Cards Digitales.
- Recarga Móvil: acreditación de saldo, datos o paquetes a un número telefónico prepago.
- Gift Card Digital: código o credencial digital emitida por una marca externa para su canje.
- Proveedor de Productos Digitales: tercero integrado que procesa Recargas Móviles y Gift Cards Digitales.
- Procesador de Pagos Bancarios: tercero integrado que recibe transferencias bancarias hacia la wallet y envía retiros hacia cuentas bancarias en Guatemala, mediante el sistema ACH.
- Tercero: persona física o jurídica distinta del titular y de la Empresa.
3. Alcance y Ámbito de Aplicación
Esta Política rige sobre toda información personal que usted proporcione o que se genere cuando:
- Se registra o utiliza la aplicación móvil BitALCER (Android).
- Accede o utiliza el portal web https://bitalcer.com o cualquier subdominio.
- Utiliza cualquiera de los servicios de la Plataforma: transferencias, depósitos, retiros, custodia de criptomonedas, conversiones, portal de comercios, Tarjetas Virtuales, Tienda ALCER (Recargas Móviles y Gift Cards Digitales) u otros.
- Nos contacta a través de los canales de soporte descritos en la Sección 1.
Esta Política NO aplica a:
- Sitios web o aplicaciones de terceros que no estén bajo el control de la Empresa, aunque la Plataforma contenga enlaces hacia ellos.
- Redes sociales de terceros asociadas a la promoción de BitALCER.
El uso de la Plataforma implica la aceptación íntegra de la presente Política. Si usted no está de acuerdo con sus términos, debe abstenerse de utilizar la Plataforma.
4. Consentimiento del Usuario
Su acceso a la Plataforma, la creación de su cuenta y el uso de los servicios implican que usted otorga su consentimiento expreso, libre e informado para que la Empresa recopile, almacene y trate sus datos personales conforme a lo establecido en la presente Política.
Este consentimiento puede ser otorgado al momento del registro mediante la aceptación expresa marcando la casilla correspondiente, al solicitar una Tarjeta Virtual, adquirir productos en Tienda ALCER o realizar recargas y retiros bancarios mediante aceptación específica del servicio, o de forma implícita mediante el uso continuo de la Plataforma tras haber sido informado de esta Política.
Usted puede revocar su consentimiento en cualquier momento, a través del procedimiento descrito en la Sección 14 (Derechos del Titular). La revocación del consentimiento puede implicar la imposibilidad de seguir prestando los servicios.
5. Datos Personales que Recopilamos
5.1 Datos de Registro
Cuando crea una cuenta en BitALCER, recopilamos:
- Dirección de correo electrónico.
- Contraseña (almacenada en forma irreversible mediante hash criptográfico; la Empresa no tiene acceso a su contraseña en texto plano).
- Código de verificación OTP (contraseña de un solo uso) enviado por correo electrónico para validar el registro y la recuperación de contraseña. Estos códigos son de uso único y expiran automáticamente.
5.2 Datos de Identidad y KYC
Para verificar su identidad y cumplir con la normativa de prevención de lavado de dinero y financiamiento del terrorismo (AML/KYC), recopilamos:
- Nombre completo (primer nombre, segundo nombre, primer apellido, segundo apellido).
- Número de teléfono celular.
- Número de Documento Personal de Identificación (DPI) — 13 dígitos.
- Número de Identificación Tributaria (NIT), cuando aplique.
- Fecha de nacimiento.
- Nacionalidad y país de residencia.
- Dirección completa: línea 1, línea 2 (opcional), ciudad, departamento y código postal.
- Imagen fotográfica del DPI (frente y reverso).
- Fotografía tipo selfie del usuario, utilizada para verificación de identidad.
- Opcionalmente, comprobante de domicilio (recibo de servicios u otro documento equivalente).
- Declaración de Persona Políticamente Expuesta (PEP): en caso de aplicar, junto con la documentación respaldatoria requerida.
- Declaración de origen de fondos: cuando las operaciones superen los límites establecidos o cuando la normativa aplicable lo requiera.
Esta información es obligatoria para poder acceder a las funcionalidades de transacción de la Plataforma. La falta de información veraz y completa puede resultar en la suspensión del servicio.
5.3 Datos Transaccionales
Como consecuencia del uso de los servicios, se generan y almacenan:
- Saldos en Quetzales (GTQ) y criptoactivos (USDT, USDC, BNB y otros).
- Historial completo de movimientos: transferencias enviadas y recibidas, depósitos, retiros, conversiones y órdenes de caja.
- Datos de retiros a billetera móvil: número de teléfono del destinatario, operador, monto y fecha.
- Datos de transacciones en red blockchain: dirección de wallet, hashes de transacciones, montos y redes utilizadas (BSC, Polygon).
- Datos de conversiones entre monedas fiduciarias y criptoactivos: cotizaciones, montos, tarifas.
- Datos de solicitudes de dinero: identificador del destinatario, monto y concepto.
- Datos de pagos mediante código QR.
- Información de beneficiarios de reclamaciones (claims).
- Datos de Recargas Móviles en Tienda ALCER: número telefónico del destinatario, operador, producto, monto, moneda, identificadores de transacción y estado.
- Datos de Gift Cards Digitales en Tienda ALCER: producto, monto, correo del destinatario, identificadores de transacción, estado y registros de entrega o revelación del código.
5.8 Datos de Tarjetas Virtuales
Si usted solicita, utiliza o administra una Tarjeta Virtual a través de la Plataforma, recopilamos y tratamos:
- Nombre del tarjetahabiente (
name_on_card). - Correo electrónico asociado a la tarjeta.
- Identificador interno y externo de la tarjeta (
card_id). - Últimos cuatro dígitos del PAN, BIN, fecha de expiración, estado y saldo disponible.
- Historial de emisión, fondeo, congelamiento y transacciones: fecha, comercio, monto, moneda y estado de autorización.
- Datos de fondeo vinculados: monto debitado en criptoactivos, comisiones aplicadas e identificadores contables internos.
- Datos técnicos de integración: eventos webhook, identificadores del Proveedor de Tarjetas y registros de auditoría.
BitALCER no almacena de forma persistente el número completo de tarjeta (PAN) ni el CVV en texto plano, salvo transmisión temporal estrictamente necesaria para mostrárselos al titular autorizado dentro de la sesión.
Datos generados según el método de recarga de saldo GTQ en la wallet (distinto de Recargas Móviles de Tienda ALCER):
| Método de recarga | Datos recopilados |
|---|---|
| Transferencia bancaria mediante Procesador de Pagos Bancarios (recarga GTQ) | Monto solicitado, referencia única de la operación, banco de origen (cuando el banco lo reporte), fecha y hora de acreditación, estado de la operación |
| Tarjeta de débito o crédito a través del Procesador de Pagos Bancarios (recarga GTQ) | Nombre del titular de la tarjeta, últimos cuatro dígitos de la tarjeta, banco emisor, monto, fecha; los datos completos de la tarjeta son procesados exclusivamente por el Procesador de Pagos Bancarios y nunca son almacenados por BitALCER |
| Comercio afiliado (cajero) | Monto de la recarga, identificador del comercio, fecha y hora de la operación, token de retiro generado para la transacción |
| Institución bancaria o pasarela de pago afiliada | Número de referencia de la operación, monto, identificador del canal utilizado, fecha y hora; datos adicionales según los requerimientos técnicos del convenio específico |
Cuando la Empresa formalice convenios con instituciones bancarias, comercios afiliados, pasarelas de pago, proveedores de Tarjetas Virtuales o proveedores de productos digitales, el alcance exacto de los datos compartidos con cada socio será descrito en el convenio correspondiente y reflejado en una actualización de la Sección 8 de esta Política.
5.9 Datos de Productos Digitales (Tienda ALCER)
Si usted utiliza la Tienda ALCER para adquirir Recargas Móviles o Gift Cards Digitales, recopilamos y tratamos:
- Identificador interno y externo de la operación.
- Tipo de producto, operador, marca o categoría.
- Número telefónico del destinatario (Recargas Móviles).
- Correo electrónico del destinatario (Gift Cards Digitales).
- Monto, moneda, comisiones, tipo de cambio y método de pago interno (saldo GTQ).
- Estado de la operación y mensajes de error.
- Códigos o PIN de gift cards almacenados cifrados (AES-256) mientras el usuario los consulte en su cuenta.
- Eventos webhook, identificadores del Proveedor de Productos Digitales y registros de auditoría.
BitALCER no es operador de telecomunicaciones ni emisor de las gift cards comercializadas. Los datos necesarios se transmiten al Proveedor de Productos Digitales y, según el caso, al operador móvil o marca emisora.
5.10 Datos de Pagos y Retiros Bancarios (ACH)
Si usted utiliza la recarga o el retiro bancario en Moneda Nacional (GTQ), recopilamos y tratamos:
- Identificador interno y externo de la operación.
- Monto, moneda, comisiones, tipo de retiro (Transferencia ACH Estándar o Transferencia Inmediata — TIF) y estado de la operación.
- Referencia única generada para recargas por transferencia bancaria.
- Datos de cuentas bancarias registradas para retiros: banco, nombre del titular, tipo de cuenta y número de cuenta completo (en la Plataforma solo se muestran los últimos cuatro dígitos por seguridad).
- Datos de identidad verificados en KYC que deben compartirse con el Procesador de Pagos Bancarios: nombre completo, correo, teléfono, NIT, dirección, DPI y demás datos exigidos al crear o actualizar su perfil ante el procesador.
- Confirmaciones de pago recibidas del banco o del procesador, fechas y mensajes de error.
- Registros de auditoría de la operación.
Al registrar una cuenta bancaria para retiros o al confirmar un retiro, usted autoriza que el número de cuenta completo y los datos de identidad necesarios se transmitan al Procesador de Pagos Bancarios. BitALCER no es banco ni operador directo del sistema ACH.
5.4 Datos de Interacción Automáticos
Cuando usted accede o utiliza la Plataforma, nuestros sistemas recopilan automáticamente:
- Dirección IP: utilizada para control de acceso, límites de tasa (rate limiting), prevención de fraude y análisis de seguridad.
- Información del dispositivo: sistema operativo, versión de la aplicación, identificador de dispositivo (para notificaciones push).
- Identificador único de dispositivo (UUID): generado aleatoriamente al instalar la aplicación, utilizado para vincular la sesión al dispositivo y prevenir accesos no autorizados. Este identificador no corresponde al IMEI ni a otros identificadores de hardware del dispositivo.
- Datos de sesión: fecha y hora de acceso, duración de la sesión, acciones realizadas dentro de la Plataforma.
- Datos de uso de la aplicación: pantallas visitadas, errores reportados automáticamente.
- Contenido web embebido: la sección de blog/noticias carga contenido desde el sitio web de BitALCER mediante un visor integrado (WebView); se transmiten la dirección IP y el agente del navegador al servidor web.
- Datos del navegador web: tipo de navegador, sistema operativo, configuración de idioma (para usuarios web).
5.5 Datos de Dispositivo para Notificaciones Push
Si usted autoriza el envío de notificaciones en la aplicación móvil, recopilamos:
- Token de dispositivo FCM (Firebase Cloud Messaging), proporcionado por Google.
- Plataforma del dispositivo (Android).
Este token se usa exclusivamente para enviarle notificaciones transaccionales relacionadas con su cuenta (confirmación de depósito, retiro procesado, transferencia recibida, etc.).
5.6 Datos de Comercio y Operadores (solo para usuarios del tipo "comercio")
Si usted opera como comercio afiliado o como operador de un comercio, adicionalmente recopilamos:
- Perfil del comercio: nombre comercial, dirección, datos de contacto.
- Claves API del comercio.
- Datos de sesiones de caja (apertura, cierre, importes).
- Datos de operadores vinculados al comercio: nombre, correo electrónico.
- Historial de conciliaciones, liquidaciones y reportes de comisiones.
5.7 Datos de Verificación Empresarial (solo para usuarios que soliciten perfil empresa)
Si usted solicita la habilitación del perfil empresarial, recopilamos adicionalmente:
- Documentos de la entidad legal: patente de empresa, escritura de constitución u otros documentos requeridos.
- Información de representantes legales y firmantes autorizados.
6. Finalidad del Tratamiento
Los datos personales descritos en la Sección 5 serán utilizados exclusivamente para las siguientes finalidades:
- Creación y gestión de cuenta: verificar su identidad, habilitar y administrar su cuenta en la Plataforma.
- Prestación del servicio: procesar transferencias, depósitos, retiros, conversiones y demás operaciones financieras solicitadas por usted.
- Verificación KYC / AML: cumplir con la normativa de prevención de lavado de dinero y financiamiento del terrorismo, incluyendo la verificación periódica de identidad y el monitoreo de transacciones.
- Notificaciones transaccionales: enviarle correos electrónicos y notificaciones push con información relevante sobre su cuenta y operaciones.
- Seguridad y prevención de fraude: detectar, investigar y prevenir actividades sospechosas, accesos no autorizados, uso indebido de la Plataforma y otras conductas prohibidas.
- Soporte al cliente: atender sus consultas, incidencias y reclamaciones relacionadas con su cuenta y operaciones.
- Cumplimiento legal: responder a requerimientos de autoridades judiciales, administrativas o de control competentes, conforme a la ley.
- Mejora del servicio: analizar el uso de la Plataforma para corregir errores, mejorar la experiencia del usuario y desarrollar nuevas funcionalidades. Cuando se realicen análisis de uso, se emplearán datos agregados y anonimizados en la medida de lo posible.
- Comunicaciones de marketing: con su consentimiento previo, enviarle información sobre nuevos productos, servicios o promociones de BitALCER. Puede cancelar este tipo de comunicaciones en cualquier momento.
- Procesamiento de recargas de saldo GTQ: transmitir al socio correspondiente los datos estrictamente necesarios para confirmar, autorizar y registrar la recarga solicitada por el usuario.
- Emisión y gestión de Tarjetas Virtuales: solicitar, emitir, fondear, consultar, congelar, auditar y dar soporte a Tarjetas Virtuales del usuario, incluyendo la transmisión de datos al Proveedor de Tarjetas.
- Procesamiento de Productos Digitales (Tienda ALCER): procesar Recargas Móviles y Gift Cards Digitales, debitar el saldo correspondiente, transmitir datos al Proveedor de Productos Digitales y dar soporte a las operaciones.
- Procesamiento de pagos y retiros bancarios: recibir recargas por transferencia o tarjeta, registrar cuentas bancarias para retiros, enviar retiros al Procesador de Pagos Bancarios, acreditar o debitar el saldo y dar soporte a las operaciones.
La Empresa no utilizará sus datos personales para finalidades distintas a las aquí descritas sin notificarle previamente y, cuando corresponda, sin obtener su consentimiento.
7. Datos Sensibles y Biometría
7.1 Datos Sensibles
Las imágenes del DPI y la fotografía selfie proporcionadas durante el proceso KYC constituyen datos de carácter sensible por contener información biométrica e identitaria. La Empresa los trata con medidas de seguridad reforzadas y los usa exclusivamente para verificación de identidad y cumplimiento de obligaciones legales AML/KYC. Estos datos no serán cedidos a terceros salvo en los supuestos expresamente descritos en la Sección 8.
7.2 Biometría en el Dispositivo
La aplicación móvil BitALCER ofrece la opción de autenticación mediante huella dactilar o reconocimiento facial del dispositivo. Este proceso se ejecuta íntegramente en el dispositivo del usuario utilizando las APIs seguras del sistema operativo Android. BitALCER no recibe, transmite ni almacena en ningún servidor datos biométricos derivados de esta autenticación local.
7.3 Verificación de Identidad (KYC) mediante Didit
El proceso de verificación de identidad (KYC) de BitALCER es operado por Didit, proveedor especializado en verificación de identidad y cumplimiento AML, integrado mediante su SDK nativo dentro de la aplicación móvil Android y su SDK web en el portal. Durante este proceso, Didit realiza:
- Verificación documental (ID Verification): captura y validación de las imágenes del Documento Personal de Identificación (DPI, anverso y reverso) y extracción automática de sus datos (OCR): nombre, número de DPI, fecha de nacimiento y nacionalidad.
- Prueba de vida (Liveness) y coincidencia facial (Face Match): captura de una selfie/video del usuario, verificación de que corresponde a una persona real presente y comparación con la fotografía del documento para confirmar que son la misma persona. El procesamiento biométrico de verificación se realiza en la infraestructura de Didit.
- Análisis de dispositivo e IP: evaluación de señales de riesgo (dispositivo, IP, VPN/proxy) para prevención de fraude.
- Screening AML / listas de sanciones: con el nombre completo, la fecha de nacimiento y la nacionalidad, Didit realiza un cotejo contra listas internacionales de sanciones (OFAC, ONU, UE, entre otras), personas políticamente expuestas (PEP) y medios adversos, como parte de las obligaciones de prevención de lavado de dinero.
Las imágenes del DPI, la selfie/datos biométricos de verificación, los datos extraídos y el resultado de la verificación y del screening AML son tratados por Didit como encargado del tratamiento, y también se almacenan en los servidores de BitALCER para revisión del equipo de cumplimiento, bajo las medidas de seguridad de la Sección 11. La autenticación biométrica local del dispositivo (huella/rostro para iniciar sesión), descrita en la Sección 7.2, es independiente de este proceso y no transmite datos biométricos a BitALCER ni a Didit.
8. Compartición de Datos con Terceros
La Empresa no vende ni cede datos personales a terceros con fines comerciales propios de esos terceros. Los datos personales podrán ser compartidos únicamente en los siguientes supuestos:
| Destinatario | Propósito | Datos compartidos |
|---|---|---|
| Brevo (Sendinblue) | Envío de correos electrónicos transaccionales | Correo electrónico, nombre, información de la operación incluida en el cuerpo del mensaje |
| Firebase / Google (FCM) | Envío de notificaciones push | Token de dispositivo FCM, título y cuerpo de la notificación |
| Didit | Verificación de identidad (KYC): validación del documento, prueba de vida, coincidencia facial, análisis de dispositivo/IP y screening AML/listas de sanciones (OFAC/ONU/UE/PEP) | Imágenes del DPI (anverso y reverso), selfie y datos biométricos de verificación, nombre completo, fecha de nacimiento, nacionalidad, número de DPI, y el resultado de la verificación y del screening |
| DigitalOcean | Infraestructura de alojamiento (IaaS) | Todos los datos almacenados en la Plataforma (como proveedor de servidores) |
| Nodos RPC (BSC / Polygon) | Consultas y operaciones en redes blockchain | Direcciones de wallet públicas y hashes de transacción |
| Pasarelas de pago afiliadas (cuando aplique) | Procesamiento de recargas de saldo GTQ mediante tarjeta de débito u otros instrumentos electrónicos | Nombre del titular, datos del instrumento de pago bajo estándar PCI DSS, monto e identificador de la transacción. BitALCER no almacena datos completos de tarjetas; el procesamiento es responsabilidad exclusiva de la pasarela |
| Instituciones bancarias o financieras con convenio (cuando aplique) | Verificación y autorización de recargas GTQ mediante transferencia bancaria o canal propio del banco | Nombre del usuario, número de referencia de la operación, monto y fecha, conforme al alcance definido en el convenio específico |
| Comercios afiliados (cajeros) (cuando aplique) | Validación de tokens de retiro o recarga en puntos físicos y liquidación de comisiones | Identificador del usuario, token de operación, monto, fecha y hora |
| Proveedor de Tarjetas Virtuales (cuando aplique) | Emisión, fondeo, consulta, congelamiento y procesamiento de Tarjetas Virtuales | Nombre del tarjetahabiente, correo electrónico, identificadores de tarjeta, últimos cuatro dígitos, BIN, estado, saldo, historial de operaciones, montos, comisiones y demás datos estrictamente necesarios |
| Proveedor de Productos Digitales (cuando aplique) | Procesamiento de Recargas Móviles y Gift Cards Digitales de la Tienda ALCER | Identificador del usuario, número telefónico del destinatario, correo del destinatario, operador, producto, monto, moneda, identificadores de transacción, estado y demás datos estrictamente necesarios |
| Procesador de Pagos Bancarios (cuando aplique) | Recibir recargas bancarias, procesar pagos con tarjeta y enviar retiros hacia cuentas bancarias en Guatemala | Nombre completo, correo, teléfono, NIT, dirección, DPI y demás datos de identidad verificados en KYC; monto, referencia, estado y tipo de operación; número de cuenta bancaria completo, banco, titular y tipo de cuenta al registrar retiros; últimos cuatro dígitos de tarjeta cuando aplique recarga con tarjeta |
| Operadores móviles y marcas emisoras (según producto) | Acreditación de recargas o validación y canje de gift cards | Número telefónico, producto, monto y referencias de transacción conforme a los requerimientos del operador o marca |
Los convenios con bancos, pasarelas de pago, comercios afiliados, proveedores de Tarjetas Virtuales y proveedores de productos digitales se formalizarán mediante acuerdos escritos que incluirán obligaciones de confidencialidad y protección de datos conforme a la legislación guatemalteca aplicable. Cuando se incorpore un nuevo socio, esta Política será actualizada para reflejarlo.
Adicionalmente, los datos podrán ser compartidos con:
- Proveedores de servicios auxiliares (auditoría, asesoría legal, contabilidad) vinculados contractualmente a la Empresa bajo obligación de confidencialidad.
- Autoridades públicas, tribunales o reguladores, cuando la Empresa esté legalmente obligada a hacerlo (ver Sección 13).
- Terceros adquirentes, en caso de fusión, adquisición, venta total o parcial de la Empresa, garantizando en todo caso el cumplimiento de esta Política.
9. Transferencias Internacionales de Datos
Los proveedores Didit (verificación de identidad y AML, con servidores en la Unión Europea y/o EE. UU.), Brevo (con servidores en la Unión Europea y EE. UU.), Google/Firebase (con servidores en EE. UU.), el Proveedor de Tarjetas Virtuales, el Proveedor de Productos Digitales y el Procesador de Pagos Bancarios pueden procesar datos personales fuera del territorio de la República de Guatemala. La Empresa selecciona únicamente proveedores que ofrezcan garantías contractuales y técnicas adecuadas para la protección de los datos personales transferidos, conforme a los estándares internacionales aplicables.
10. Conservación y Plazos de Retención
Sus datos personales serán conservados durante todo el tiempo en que su cuenta permanezca activa y usted haga uso de los servicios.
Una vez que solicite el cierre de su cuenta o esta sea cancelada, la Empresa conservará sus datos personales por un período mínimo de cinco (5) años, o el plazo mayor que exijan las leyes guatemaltecas aplicables (en materia tributaria, combate al lavado de dinero y financiamiento del terrorismo), para los siguientes fines:
- Cumplimiento de obligaciones legales y regulatorias.
- Resolución de disputas y reclamaciones pendientes.
- Auditoría y gobernanza interna.
Transcurrido el plazo de retención aplicable, los datos serán eliminados de forma segura de los sistemas de la Empresa, salvo obligación legal que imponga un plazo mayor.
Plazos específicos:
- Registros de transacciones financieras: mínimo 5 años desde la fecha de la operación.
- Registros de transacciones con Tarjeta Virtual: mínimo 5 años desde la fecha de la operación.
- Registros de Recargas Móviles y Gift Cards Digitales (Tienda ALCER): mínimo 5 años desde la fecha de la operación.
- Registros de recargas y retiros bancarios (ACH): mínimo 5 años desde la fecha de la operación.
- Datos de cuentas bancarias registradas para retiros: mientras la cuenta permanezca activa y, como mínimo, 5 años después del cierre de la cuenta o de la última operación.
- Documentación KYC: mínimo 5 años desde el cierre de la cuenta.
- Registros de comunicaciones de soporte: hasta 2 años desde la fecha de la última interacción.
- Datos de interacción automatizados (logs de acceso, IP): hasta 1 año desde su recopilación.
11. Seguridad de la Información
La Empresa aplica medidas técnicas y organizativas razonables para proteger la confidencialidad, integridad y disponibilidad de los datos personales, entre ellas:
- Cifrado en tránsito mediante HTTPS/TLS para todas las comunicaciones entre la aplicación/web y los servidores.
- Contraseñas y PIN almacenados mediante algoritmos de hash criptográfico irreversible; la Empresa no tiene acceso a su contraseña ni a su PIN en texto plano.
- Tokens de sesión JWT con expiración definida y rotación automática.
- Control de acceso basado en roles (RBAC): cada administrador o colaborador interno solo puede acceder a la información necesaria para sus funciones.
- Protección del servidor: firewall (UFW), sistema de detección y bloqueo de intrusiones (Fail2ban) y acceso SSH con autenticación de clave.
- Aplicación Android: respaldos del sistema deshabilitados para evitar la extracción de datos; almacenamiento cifrado de credenciales locales.
- Auditoría interna: registro de eventos de acceso, operaciones administrativas y cambios críticos en el sistema.
No obstante lo anterior, ningún sistema de seguridad es completamente infalible. La Empresa no puede garantizar la seguridad absoluta de la información transmitida a través de redes públicas de Internet. Al usar la Plataforma, usted reconoce y acepta este riesgo residual.
12. Notificación de Brechas de Seguridad
En caso de que la Empresa tome conocimiento de una violación de seguridad que afecte datos personales bajo su custodia, tomará de forma inmediata las medidas correctivas necesarias para contener y mitigar el impacto. Asimismo, notificará a los usuarios afectados de forma oportuna, con información sobre la naturaleza del incidente, los datos comprometidos y las acciones recomendadas, conforme a lo exigido por la legislación aplicable.
13. Requerimiento de Autoridad Competente
La Empresa podrá divulgar datos personales de los usuarios cuando sea requerida por resolución judicial firme, orden de autoridad administrativa competente, disposición legal expresa o cuando sea necesario para:
- Cumplir con un proceso legal o investigación judicial o penal.
- Proteger los derechos, la propiedad o la seguridad de la Empresa, sus usuarios o terceros.
- Prevenir, detectar o investigar actividades ilegales, incluyendo lavado de dinero y financiamiento del terrorismo.
En tales casos, la Empresa revelará únicamente la información estrictamente necesaria para cumplir con el requerimiento.
14. Derechos del Titular
Usted, como titular de los datos personales, tiene los siguientes derechos:
- Derecho de acceso: solicitar información sobre qué datos personales suyos están siendo tratados, su origen, finalidad y las comunicaciones realizadas con su uso.
- Derecho de rectificación: solicitar la corrección o actualización de datos personales inexactos, incompletos o desactualizados.
- Derecho de cancelación / eliminación: solicitar la supresión de sus datos personales cuando ya no sean necesarios para los fines para los que fueron recopilados, salvo que exista obligación legal de conservarlos.
- Derecho de oposición: oponerse al tratamiento de sus datos personales para finalidades específicas, en particular para comunicaciones de marketing.
- Derecho de portabilidad: solicitar sus datos personales en un formato estructurado y de uso común.
- Derecho de revocación del consentimiento: retirar el consentimiento otorgado en cualquier momento, sin efecto retroactivo sobre el tratamiento previo.
Cómo ejercer sus derechos:
Envíe un correo electrónico a [email protected] con el asunto "Solicitud de Derechos de Privacidad", incluyendo:
- Nombre completo.
- Correo electrónico registrado en la Plataforma.
- Copia digitalizada del documento de identificación (DPI) para verificar su identidad.
- Descripción clara del derecho que desea ejercer.
La Empresa dará respuesta a su solicitud en un plazo máximo de 15 días hábiles a partir de su recepción, salvo que la complejidad del caso requiera un plazo mayor, circunstancia que será debidamente comunicada al titular.
Eliminación de cuenta y datos
Usted puede solicitar la eliminación de su cuenta y de sus datos personales por cualquiera de estas vías:
- Desde la aplicación: ingrese a Perfil → Zona de riesgo → Cerrar cuenta permanentemente y confirme con su PIN de seguridad.
- Desde la web (sin necesidad de iniciar sesión): a través de nuestra página de solicitud de eliminación: bitalcer.com/eliminar-cuenta.
- Por correo: escribiendo a [email protected] con el asunto "Eliminar mi cuenta".
Al aprobar la solicitud, se eliminan de forma segura sus datos de perfil, credenciales, tokens de sesión y de dispositivo. Por obligación legal, la Empresa está obligada a conservar ciertos registros —documentación KYC, registros de transacciones financieras y datos exigidos por la normativa AML y tributaria— por un plazo mínimo de cinco (5) años (ver Sección 10), incluso después de eliminada la cuenta. Transcurrido dicho plazo, esa información también se elimina de forma segura. La eliminación de la cuenta requiere que no existan saldos pendientes ni operaciones en curso.
Estos derechos pueden estar sujetos a limitaciones cuando el tratamiento sea necesario para el cumplimiento de obligaciones legales o para la defensa de reclamaciones.
15. Menores de Edad
Los servicios de BitALCER están exclusivamente dirigidos a personas que hayan alcanzado la mayoría de edad conforme a la legislación guatemalteca (18 años cumplidos). El proceso de verificación de identidad (KYC) mediante DPI guatemalteco garantiza, con carácter estructural, que los usuarios sean mayores de edad.
La Empresa no recopila conscientemente datos personales de menores de edad. Si tiene conocimiento de que un menor de edad ha proporcionado datos personales sin autorización, le rogamos nos contacte a [email protected] para proceder a la eliminación de dicha información a la mayor brevedad posible.
16. Cookies, Almacenamiento Local y Service Worker
16.1 Aplicación Móvil
La aplicación móvil BitALCER no utiliza cookies de seguimiento. Los datos de sesión (token JWT) se almacenan de forma cifrada en el dispositivo, accesibles únicamente por la aplicación.
16.2 Portal Web
El portal web de BitALCER (https://bitalcer.com) utiliza las siguientes tecnologías de almacenamiento local:
- localStorage / sessionStorage: almacenamiento del token de sesión JWT para mantener la sesión activa mientras navega en el portal. No se utilizan cookies de seguimiento ni de publicidad de terceros.
- Service Worker (sw.js): tecnología de Progressive Web App (PWA) que permite algunas funcionalidades básicas sin conexión. No recopila datos adicionales del usuario.
Las funcionalidades esenciales del portal pueden verse afectadas si deshabilita el almacenamiento local en su navegador.
17. Integridad — Relación con Otros Documentos
La presente Política de Privacidad forma parte integral del marco legal de BitALCER y debe leerse en conjunto con:
- Términos y Condiciones de Uso de BitALCER.
- Política AML/KYC de BitALCER (prevención de lavado de dinero y conocimiento del cliente).
En caso de conflicto entre los documentos, prevalecerá la interpretación que otorgue mayor protección a los datos personales del titular.
18. Modificaciones a esta Política
La Empresa se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento. Cuando se realicen cambios relevantes, se notificará a los usuarios mediante:
- Aviso en la Plataforma (aplicación móvil y/o portal web).
- Correo electrónico al correo registrado en la cuenta, cuando el cambio afecte materialmente los derechos del usuario.
La fecha de vigencia y la versión del documento se indican en el encabezado de esta Política. El uso continuado de la Plataforma con posterioridad a la publicación de los cambios constituirá aceptación de la nueva versión. Si usted no está de acuerdo con los cambios, debe cancelar su cuenta y abstenerse de usar la Plataforma.
19. Marco Legal Aplicable y Jurisdicción
La presente Política se rige por las leyes vigentes de la República de Guatemala, en particular:
- Decreto 57-2008: Ley de Acceso a la Información Pública, como marco de referencia en materia de protección de información.
- Decreto 67-2001: Ley para Prevenir y Reprimir el Financiamiento del Terrorismo.
- Decreto 67-2002: Ley Contra el Lavado de Dinero u Otros Activos, y sus reformas.
- Demás normativa guatemalteca aplicable en materia financiera, tributaria y de protección al consumidor.
Declaración Regulatoria
BitALCER es una plataforma de custodia de criptoactivos y pagos digitales operada por GRUPO ALCER, Sociedad Anónima. La Empresa no está supervisada ni regulada por la Superintendencia de Bancos de Guatemala (SIB) ni por ninguna otra entidad de supervisión financiera.
El modelo de operación de BitALCER se describe de la siguiente forma:
- Saldo GTQ: el saldo en Quetzales no es un depósito bancario ni dinero electrónico regulado. Constituye un crédito prepagado que el usuario adquiere transfiriendo dinero fiat a las cuentas bancarias de la Empresa, con el único propósito de realizar conversiones a criptoactivos dentro de la Plataforma. Este saldo no genera intereses, no es redimible en efectivo de forma directa y no implica custodia de dinero por parte de la Empresa en nombre del usuario.
- Criptoactivos (USDT, USDC, BNB y otros): los criptoactivos sí son custodiados directamente por la Empresa mediante una arquitectura de billetera HD (Hierarchical Deterministic Wallet) propia, desplegada sobre las redes BSC y Polygon. La Empresa actúa como custodio técnico de las claves privadas asociadas a las direcciones de wallet asignadas a cada usuario.
- Tarjetas Virtuales: la emisión, procesamiento y administración corresponde al Proveedor de Tarjetas integrado. BitALCER actúa como plataforma tecnológica que facilita la solicitud, fondeo y consulta, pero no es el emisor de la tarjeta ni miembro de las redes Visa o Mastercard.
- Tienda ALCER: las Recargas Móviles y Gift Cards Digitales son procesadas por un Proveedor de Productos Digitales y operadores o marcas emisoras. BitALCER actúa como intermediario tecnológico y revendedor autorizado, pero no es operador de telecomunicaciones ni emisor de las gift cards comercializadas.
- Pagos y retiros bancarios: las recargas por transferencia bancaria, pagos con tarjeta y retiros hacia cuentas bancarias son procesados por un Procesador de Pagos Bancarios. BitALCER actúa como plataforma tecnológica intermediaria, pero no es banco ni operador directo del sistema ACH.
Dado que el saldo GTQ es un crédito prepagado para uso interno de la Plataforma y no constituye captación de fondos del público ni intermediación financiera en los términos de la ley bancaria guatemalteca vigente, los servicios de BitALCER no quedan comprendidos dentro del ámbito de supervisión de la SIB.
Para la resolución de cualquier disputa derivada de la interpretación o aplicación de esta Política, las partes se someten a la jurisdicción de los Tribunales competentes de la República de Guatemala, con renuncia a cualquier otro fuero que pudiera corresponderles.
20. Contacto
Para cualquier consulta, reclamo o solicitud relacionada con el tratamiento de sus datos personales o con el contenido de esta Política, puede contactar a la Empresa a través de los siguientes canales:
- Correo electrónico: [email protected]
- WhatsApp: +502 4300-1485
- Horario de atención: Lunes a viernes, 8:00 AM – 6:00 PM (hora de Guatemala, UTC-6)
- Plataforma web: Página de contacto