Legal

Política de Privacidad

Política de Privacidad — SARA

Última actualización: 7 de mayo de 2026

SARA Inc. ("SARA", "nosotros") es una plataforma SaaS multi-tenant para iglesias en Latinoamérica. Esta política explica qué datos recolectamos, cómo los usamos, con quién los compartimos y qué derechos tienes como usuario.

Nota legal: Este documento es un borrador funcional preparado por el equipo de producto. Antes del lanzamiento debe ser revisado por un abogado especialista en protección de datos en Colombia (Ley 1581/2012, Decreto 1377/2013) y en los demás países de operación. La traducción al inglés y al portugués son responsabilidad del partner legal correspondiente.

1. Quiénes somos

  • Razón social: SARA Inc. (en proceso de constitución)
  • Domicilio: Bogotá, Colombia
  • Contacto de privacidad: privacy@saraapp.io
  • Encargado de Tratamiento (LEY 1581): [pendiente nombramiento]

Cada iglesia cliente ("Cliente Pastoral") actúa como Responsable del Tratamiento de los datos de sus miembros. SARA actúa como Encargado del Tratamiento, procesando los datos en nombre del Cliente Pastoral bajo un contrato de procesamiento (DPA).

2. Qué datos recolectamos

2.1. Datos que tú nos das al registrarte

  • Nombre y apellido
  • Correo electrónico
  • Teléfono (opcional)
  • Iglesia a la que perteneces (slug del tenant)
  • Contraseña (cifrada con bcrypt, nunca la vemos en claro)
  • Foto de perfil (opcional, subida por ti)

2.2. Datos que generas usando la app

  • Asistencia a eventos y a cultos
  • Reservas y pagos de almuerzos comunitarios
  • Donaciones y diezmos (montos y fechas; los datos de tarjeta van directo al procesador de pagos — ver §4)
  • Peticiones de oración y testimonios (visibles solo para tu equipo pastoral si las marcas como privadas)
  • Mensajes en grupos pequeños y conversaciones de chat
  • Notas personales en sermones
  • Asistencia de tus hijos al ministerio infantil (si registras hijos)
  • Logros, racha de asistencia y plan de lectura

2.3. Datos técnicos automáticos

  • Identificador de dispositivo (Expo push token)
  • Versión del SO, modelo del equipo (telemetría agregada)
  • Dirección IP y user-agent (logs de seguridad, retenidos 30 días)
  • Crashes y errores anónimos vía Sentry (sin datos personales — ver §4)
  • Métricas agregadas de uso (qué módulos abres, cuántos eventos abres por semana). Nunca vendemos esta data ni la usamos para publicidad.

2.4. Datos que NO recolectamos

  • Ubicación GPS precisa o aproximada
  • Contactos de tu agenda
  • Historial de navegación fuera de SARA
  • Datos biométricos
  • Audio del micrófono fuera de mensajes que tú graben explícitamente
  • Datos de tarjeta crédito/débito (van direct al procesador de pagos)

3. Para qué usamos tus datos

| Finalidad | Base legitimadora | |-----------|------------------| | Permitirte autenticarte y usar la app | Ejecución del contrato | | Enviarte recordatorios de eventos y oraciones | Consentimiento (revocable) | | Procesar tus donaciones y reservas | Ejecución del contrato + obligación legal (facturación) | | Generar QR de check-in para tus hijos | Consentimiento del padre/madre | | Mejorar la app (analytics agregada) | Interés legítimo, sin perfilar | | Cumplir requerimientos legales | Obligación legal |

No usamos tus datos para publicidad de terceros, perfilamiento comercial ni los compartimos con redes sociales.

4. Con quién compartimos tus datos

Solo con los proveedores estrictamente necesarios para operar:

| Proveedor | Qué procesa | País | |-----------|------------|------| | AWS / Cloudflare R2 | Hosting + archivos subidos | EE.UU. / global | | Resend | Envío de emails transaccionales | EE.UU. | | Sentry | Reportes de error anonimizados | EE.UU. | | Stripe | Pagos (USA, Europa, fallback global) | EE.UU. | | MercadoPago | Pagos (MX, AR, BR, CL) | Argentina | | PayU | Pagos (Colombia) | Colombia / Países Bajos | | Expo Push | Entrega de notificaciones push | EE.UU. | | Apple Push (APNs) | Entrega push iOS | EE.UU. | | Firebase Cloud Messaging | Entrega push Android | EE.UU. |

Cada proveedor está bajo un contrato de procesamiento (DPA). No permitimos que ninguno use tus datos para sus propios fines.

No vendemos tus datos a nadie. Nunca.

5. Por cuánto tiempo guardamos tus datos

  • Cuenta activa: Mientras seas miembro de la iglesia.
  • Después de borrar tu cuenta: 30 días en caliente (por si fue por error), luego eliminación física definitiva.
  • Logs de seguridad: 30 días.
  • Datos de pago: 5 años para cumplir requerimientos contables / fiscales en Colombia y demás países LATAM.
  • Backups: Hasta 30 días (rotación automática).

6. Tus derechos

Bajo la Ley 1581/2012 (Colombia) y leyes equivalentes en otros países, tienes derecho a:

  • Acceder a los datos que tenemos sobre ti
  • Rectificar datos incorrectos o desactualizados
  • Suprimir / borrar tu cuenta y todos sus datos
  • Portabilidad — recibir una copia de tus datos en formato JSON
  • Oposición al tratamiento (revocando consentimientos)
  • Limitación del tratamiento bajo circunstancias específicas

Cómo ejercerlos: envía un correo a privacy@saraapp.io o usa la opción "Mis datos" en Perfil → Privacidad dentro de la app (implementación en curso). Respondemos en máximo 15 días hábiles.

7. Niños menores de 13 años

SARA no permite que menores de 13 años creen cuenta directamente. El módulo "Ministerio infantil" almacena datos de niños solo cuando un padre/madre/tutor los registra explícitamente y mantiene el control absoluto sobre esos datos. Los niños registrados:

  • No tienen cuenta propia, no inician sesión, no reciben notificaciones.
  • Sus datos solo son visibles para sus padres y para el equipo de niños de su iglesia.
  • Pueden ser eliminados por el padre/madre en cualquier momento.

8. Seguridad

  • TLS 1.2+ obligatorio en toda la API.
  • Contraseñas con bcrypt (factor 12).
  • Credenciales de pago de cada iglesia cifradas con AES-256-GCM en DB.
  • Aislamiento por tenant (Row Level Security en Postgres).
  • Rate limiting y monitoreo de actividad sospechosa vía Sentry.
  • Backups encriptados con rotación automática.

Si descubres un problema de seguridad, escríbenos a security@saraapp.io. Tenemos política de "responsible disclosure" — no demandamos a quien reporte vulnerabilidades de buena fe.

9. Cambios a esta política

Cuando hagamos cambios materiales te notificaremos por email y por un banner dentro de la app. Si los cambios afectan cómo usamos tus datos, te pediremos consentimiento de nuevo.

10. Contacto

  • Privacidad: privacy@saraapp.io
  • Soporte general: soporte@saraapp.io
  • Reportes de seguridad: security@saraapp.io
  • Domicilio: [Domicilio Colombia — pendiente]

Esta política está disponible en español, inglés y portugués en https://saraapp.io/privacy. La versión en español prevalece en caso de discrepancia.