Política de privacidad

Credit Truth es un servicio operado por GIROUX SOVEREIGN Inc., una sociedad constituida bajo las leyes del Estado de Delaware, Estados Unidos.

Domicilio social: 1111B S Governors Ave # 98689, Dover, DE 19904, USA. Teléfono: +1 (302) 251-6655. Contacto general: [email protected].

Nuestra infraestructura técnica (servidores, bases de datos) está ubicada en Estados Unidos. A pesar de esta jurisdicción, aplicamos voluntariamente:

• Los principios de la Ley que moderniza disposiciones legislativas en materia de protección de datos personales (conocida como "Ley 25", Quebec) cuando un residente de Quebec utiliza nuestro servicio;
• Los requisitos del Fair Credit Reporting Act (FCRA) y leyes estatales aplicables cuando procesamos información de un consumidor estadounidense;
• PIPEDA / LPRPDE (federal canadiense) y leyes provinciales (BC PIPA, Alberta PIPA, etc.) para residentes canadienses fuera de Quebec;
• RGPD cuando visitantes de la UE interactúan con nuestro servicio.

Conforme al artículo 3.1 de la Ley 25 y las mejores prácticas de FCRA, designamos públicamente un Responsable de la Protección de Datos Personales:

Ian Giroux

Fundador y CEO — Responsable de la Protección de Datos

Correo dedicado: [email protected]

Teléfono: +1 (302) 251-6655

Dirección postal: idéntica al domicilio social mencionado arriba.

Cualquier pregunta, solicitud, queja o notificación de incidente relativa a datos personales debe dirigirse a [email protected]. Procesamos las solicitudes en un plazo máximo de 30 días (plazos comparables en Ley 25, PIPEDA, FCRA).

Esta política se aplica a todo tratamiento de datos personales efectuado por Credit Truth y GIROUX SOVEREIGN Inc. vía thecredittruth.com y sus subdominios.

Nota: Credit Truth es un servicio de auditoría forense de crédito. Al utilizar nuestro servicio, usted nos solicita explícitamente analizar datos de reportes de crédito — lo que implica el tratamiento de información financiera personal altamente sensible. Tratamos esta información con el cuidado que merece.

Recopilamos diferentes categorías de datos según su uso del servicio:

4.1 Datos de cuenta

• Nombre completo
• Dirección de email
• Organización (si aplica)
• Contraseña hasheada (nunca almacenamos en texto plano)

4.2 Datos de reporte de crédito (servicio principal)

Cuando solicita una auditoría, usted envía voluntariamente:

• Reportes de crédito (cargados o autorizados vía open banking / API de buró de crédito)
• Cuentas, consultas, cobranzas, registros públicos contenidos
• Número de Seguridad Social / Social Insurance Number — usado únicamente para identificación cuando es obligatorio para un formato específico de reporte, nunca almacenado en texto plano y nunca reutilizado

4.3 Metadatos técnicos

• Dirección IP en el momento del envío (seguridad, prevención de abuso)
• Navegador y dispositivo utilizados (integridad de sesión únicamente)
• Registros de acceso y auditoría

4.4 Lo que NO recopilamos

• Ninguna cookie de rastreo publicitario
• Ninguna analítica de terceros (sin Google Analytics, sin Facebook Pixel, sin remarketing)
• Ningún dato biométrico
• Ningún rastreo de ubicación más allá de la geolocalización aproximada por IP para seguridad

Conforme al art. 8 de la Ley 25 y al § 604 FCRA, recopilamos su información estrictamente para estas finalidades específicas:

• Entregar la auditoría forense de crédito que solicitó — servicio principal
• Autenticarlo y proteger su cuenta
• Producir un reporte auditable con integridad criptográfica (triple-cerradura SHA-3, cadena de Merkle) admisible en tribunales
• Responder a obligaciones legales (órdenes judiciales, consultas regulatorias, anti-fraude)
• Mejorar nuestro motor de detección — ÚNICAMENTE con datos completamente anonimizados (sin vínculo con usted)
• Seguridad y prevención de abuso

NO reutilizamos su información para fines distintos a los especificados arriba sin su consentimiento explícito previo (art. 12 Ley 25).

Su consentimiento es requerido para que podamos tratar sus datos personales. Se recopila de la siguiente manera:

• Manifiesto — debe marcar activamente una casilla de consentimiento antes de enviar cualquier formulario o cargar un reporte de crédito
• Libre — nunca está obligado a proporcionarnos información
• Informado — esta política es accesible desde cada formulario
• Granular — solicitamos consentimiento separado para finalidades distintas (entrega de auditoría vs. mejora anonimizada del modelo)

Puede retirar su consentimiento en cualquier momento escribiendo a [email protected]. El retiro solo se aplica a tratamientos futuros — no anula retroactivamente los tratamientos ya efectuados según su consentimiento inicial. Si retira su consentimiento durante una auditoría activa, cesaremos el procesamiento y le indicaremos lo que aún puede conservarse legítimamente (por ejemplo, registros de integridad de auditoría para admisibilidad legal).

Conforme al art. 23 de la Ley 25 y al § 619 FCRA, conservamos su información solo durante el tiempo estrictamente necesario para las finalidades de recopilación.

• Reportes de crédito cargados: cifrados AES-256 en tránsito y en reposo. Procesados y purgados en 48 horas tras la entrega de la auditoría salvo que solicite explícitamente que conservemos un archivo para un litigio en curso
• Reportes de auditoría generados: conservados con sellos criptográficos por 7 años (retención comercial estándar + ventana de admisibilidad FCRA)
• Información de cuenta: durante la duración de su cuenta + 2 años tras eliminación (prevención de fraude, registros fiscales)
• Retención legal (litigio en curso, investigación regulatoria): hasta resolución final + plazo de prescripción aplicable
• Datos anonimizados de mejora del modelo: indefinido (sin vínculo con usted)

Al expirar el período de conservación, los datos personales son destruidos de forma segura o anonimizados de forma irreversible.

No vendemos, alquilamos ni intercambiamos sus datos personales con terceros con fines comerciales.

Podemos comunicar información únicamente en las siguientes circunstancias:

8.1 Subcontratistas operacionales

Vinculados por contratos escritos con obligaciones de confidencialidad, minimización y seguridad:

• APIs de burós de crédito (Equifax, TransUnion, Experian) — cuando autoriza una extracción directa de su reporte en su nombre. Solo reciben lo estrictamente necesario para identificación
• Infraestructura cloud (DigitalOcean, región US) — hosting y almacenamiento bajo nuestro control técnico directo
• Servicios criptográficos — verificación de identidad y sellado de auditoría
• Email transaccional — para enviarle los reportes de auditoría y avisos legales

8.2 Representantes autorizados

Abogados o agentes que usted autoriza explícitamente (mandato escrito en expediente) para recibir sus resultados de auditoría.

8.3 Autoridades regulatorias o judiciales

En respuesta a una citación válida, orden judicial, o mandato regulatorio (CAI, CFPB, fiscal general estatal, etc.).

8.4 Protección de derechos

Para proteger nuestros derechos, propiedad, seguridad, o los de otros — bajo condiciones de estricta necesidad y proporcionalidad.

8.5 Con su consentimiento explícito previo

Para cualquier finalidad no listada arriba.

Aviso importante para residentes de Quebec: Nuestros servidores están ubicados en Estados Unidos. Si usted es residente de Quebec y usa nuestro servicio, sus datos personales serán necesariamente transferidos y tratados fuera de Quebec.

Conforme al art. 17 de la Ley 25, realizamos una Evaluación de Factores relativos a la Privacidad (EFPV) sobre estas transferencias. Elementos principales:

• Destino: Estados Unidos (región Nueva York) bajo nuestro control directo
• Marco legal destinatario: derecho federal estadounidense (FCRA, Cloud Act, Patriot Act), derecho del Estado de Delaware
• Medidas de protección: cifrado AES-256 en reposo, TLS 1.3 en tránsito, acceso restringido, controles de acceso estrictos, pistas de auditoría criptográficas
• Riesgo identificado: el derecho estadounidense no ofrece una protección formalmente equivalente a la Ley 25; ciertas leyes federales (Cloud Act en particular) pueden permitir acceso gubernamental a datos en circunstancias legales específicas; sin embargo, los datos de auditoría de crédito difícilmente cumplen los criterios legales específicos para tal acceso
• Medidas de mitigación: minimización de datos, cifrado fuerte, ausencia de rastreo por terceros, destrucción dentro de los plazos especificados en la sección 7
• Conformidad con marcos canadienses equivalentes: principio de responsabilización de PIPEDA, cláusulas contractuales con subcontratistas

Al usar nuestro servicio, usted consiente explícitamente esta transferencia fuera de Quebec bajo las condiciones descritas. Una EFPV detallada está disponible previa solicitud a [email protected].

Implementamos las siguientes medidas de seguridad (art. 10 Ley 25, § 628 FCRA, Principio 7 PIPEDA):

10.1 Medidas técnicas

• Cifrado en reposo: AES-256 para todos los datos de reportes de crédito
• Cifrado en tránsito: TLS 1.3 en todas las comunicaciones sitio/servidor/API (HTTPS obligatorio, HSTS)
• Pista de auditoría criptográfica: triple-cerradura SHA-3 y cadena de Merkle para integridad de auditorías
• Control de acceso: restringido al personal con necesidad legítima
• Autenticación fuerte: claves SSH Ed25519, autenticación de dos factores en sistemas de administración
• Registro y auditoría: trazas de acceso conservadas y monitoreadas

10.2 Medidas organizacionales

• Acuerdo de confidencialidad escrito con toda persona con acceso a datos personales
• Formación obligatoria Ley 25 y FCRA al contratar
• Revisión anual de prácticas de seguridad
• Ninguna herramienta de rastreo de terceros (sin Google Analytics, sin Facebook Pixel, sin servicios publicitarios)

10.3 Incidentes detectados

Ver sección 16.

Según su jurisdicción, dispone de todos o parte de los siguientes derechos (art. 27-41 Ley 25, § 609-611 FCRA, Principio 9 PIPEDA, art. 15-22 RGPD):

• Derecho de acceso — obtener confirmación de que tratamos información sobre usted y recibir una copia
• Derecho de rectificación — hacer corregir información inexacta, incompleta o ambigua
• Derecho de supresión — solicitar que la información sea eliminada (sujeto a obligaciones legales de conservación)
• Derecho a retirar el consentimiento — en cualquier momento para tratamientos futuros
• Derecho a la portabilidad (art. 27 Ley 25, art. 20 RGPD) — recibir su información en un formato estructurado y comúnmente utilizado
• Derecho a la desindexación (art. 28.1 Ley 25) — solicitar cese de difusión o desindexación de información susceptible de causar perjuicio
• Derecho a la información sobre una decisión automatizada (art. 12.1 Ley 25, art. 22 RGPD) — incluyendo los factores y principios utilizados
• Derecho a una revisión humana de una decisión automatizada — ver sección 15 dedicada al procesamiento automatizado

Para ejercer cualquiera de estos derechos, escriba a [email protected] con:

• Su nombre completo
• El email utilizado en la recopilación (para identificación)
• El derecho que desea ejercer
• Cualquier detalle útil

Podemos solicitar verificación de identidad antes de actuar. Respondemos en un plazo de 30 días. Si no podemos responder dentro de este período, le informaremos de las razones del retraso.

Para disputas específicas FCRA (contestación de un resultado de auditoría ante un buró de crédito estadounidense), también podemos proporcionar el formato estructurado requerido por 15 U.S.C. § 1681i.

Si no está satisfecho con nuestra respuesta, o si considera que no cumplimos nuestras obligaciones legales, puede presentar una queja ante la autoridad competente para su jurisdicción:

Para residentes de Quebec

Commission d'accès à l'information (CAI)

525, boul. René-Lévesque Est, bureau 2.36

Québec (QC) G1R 5S9, Canadá

Teléfono: 418 528-7741 / 1 888 528-7741

Email: [email protected]

Web: cai.gouv.qc.ca

Para residentes canadienses fuera de Quebec

Office of the Privacy Commissioner of Canada (OPC)

30 Victoria Street, Gatineau (QC) K1A 1H3

Teléfono: 1 800 282-1376

Web: priv.gc.ca

Para consumidores US

Consumer Financial Protection Bureau (CFPB)

P.O. Box 27170, Washington, DC 20038

Web: consumerfinance.gov

O el fiscal general de su estado.

Para visitantes UE

La autoridad de control de su Estado miembro.

No usamos ninguna cookie de rastreo, ningún píxel de seguimiento, ni ninguna herramienta de analítica de terceros (sin Google Analytics, sin Meta/Facebook Pixel, sin servicios de remarketing, sin CRM automatizado rastreando su navegación).

Las cookies eventualmente utilizadas son cookies estrictamente técnicas necesarias para el funcionamiento del sitio:

• Cookie de sesión (autenticación durante su sesión)
• Preferencia de idioma (EN/FR/ES)
• Token de seguridad (protección CSRF)

Estas cookies no contienen ningún identificador personal y no se comparten con terceros.

Credit Truth utiliza procesamiento automatizado (motor de detección forense basado en IA) como parte de su servicio principal. Este procesamiento puede producir resultados que influyen en decisiones tomadas sobre usted por terceros (prestamistas, tribunales, empleadores si se usa en ese contexto).

Conforme al art. 12.1 Ley 25 y al art. 22 RGPD, usted dispone de los siguientes derechos respecto a estos procesamientos automatizados:

• Derecho a ser informado: Le informamos proactivamente que nuestro servicio usa procesamiento automatizado e indicamos los principales tipos de señales analizadas (errores de cálculo, inconsistencias cronológicas, falta de reporting, problemas de formato, etc.)
• Derecho a explicación: Puede solicitar los principales factores y principios que llevaron a una conclusión específica en su auditoría. Proporcionamos explicación escrita en 30 días
• Derecho a revisión humana: Puede solicitar que un analista identificado de Credit Truth revise un hallazgo automatizado antes de cualquier decisión basada en él. Solicitud a [email protected]
• Derecho a contestar: Puede contestar una conclusión y presentar elementos para reevaluación
• Transparencia en entrenamiento: Nuestro motor de detección se entrena únicamente con datos completamente anonimizados, y nunca hacemos fine-tuning sobre el expediente de un usuario individual

El resultado de Credit Truth es una recomendación de investigación o acción legal; nunca constituye una decisión definitiva sobre usted. Toda decisión tomada por un tercero con base en nuestro resultado permanece bajo su responsabilidad y debe respetar sus propias obligaciones regulatorias.

Conforme al art. 3.5 Ley 25 y al § 615 FCRA, en caso de incidente de confidencialidad que presente un riesgo de perjuicio serio:

• Evaluamos la situación en las horas siguientes a la detección
• Notificamos a la CAI (Commission d'accès à l'information) y a las personas concernidas lo antes posible
• Notificamos a otras autoridades regulatorias aplicables (FTC, fiscal general estatal para sujetos US, comisionados provinciales competentes para sujetos canadienses)
• Tomamos las medidas razonables para reducir el riesgo y prevenir la recurrencia
• Mantenemos un registro de incidentes conservado al menos 5 años, consultable por la CAI previa solicitud

Para reportar un incidente presunto, escriba inmediatamente a [email protected] con el asunto "INCIDENTE DE CONFIDENCIALIDAD".

Conforme al art. 3.2 Ley 25, adoptamos una política de gobernanza interna sobre datos personales. Elementos públicos:

• Roles y responsabilidades: Ian Giroux es responsable único de la protección de datos personales; toda persona con acceso a datos está vinculada por acuerdo de confidencialidad
• Formación: toda persona con acceso a datos recibe formación obligatoria Ley 25 + FCRA + PIPEDA al contratar, y refresco anual
• Tratamiento de quejas: toda queja es registrada, analizada y recibe respuesta escrita en 30 días
• Revisión: esta política y las prácticas internas se revisan al menos anualmente
• Auditoría: auditoría de seguridad externa de nuestra infraestructura al menos cada 2 años

Esta política puede actualizarse para reflejar cambios legales, regulatorios u operacionales. Toda actualización será publicada en esta página con la fecha de actualización.

Última actualización: abril 2026 Versión: 2.0 (refonte conforme Ley 25 + FCRA + PIPEDA)

Preguntas de privacidad, ejercicio de derechos, quejas, incidentes

→ [email protected]

>

Comunicación general

→ [email protected]

>

GIROUX SOVEREIGN Inc. — Credit Truth

1111B S Governors Ave # 98689

Dover, DE 19904, USA

+1 (302) 251-6655