1. Quiénes somos y quién es responsable de sus datos
Bayit Lepleitot es una asociación benéfica ("amuta") registrada en Jerusalén, Israel, con entidades hermanas Bayit Lepleitot USA Inc. (una organización benéfica pública 501(c)(3)) y Bayit Lepleitot México A.C. (una Donataria Autorizada). Para los datos enviados a través de este sitio web, el responsable es la entidad que procesa su donativo - normalmente determinada por su país de residencia al momento de la donación.
Si se encuentra en el Espacio Económico Europeo, el Reino Unido o Suiza, puede contactar a nuestro representante designado para asuntos del RGPD en gdpr@blphome.org. Si está en California, puede ejercer sus derechos de la CCPA escribiendo a privacy@blphome.org. Los residentes mexicanos pueden dirigir sus solicitudes ARCO (acceso, rectificación, cancelación, oposición) a privacidad@blphome.org. Todas las consultas reciben respuesta en un plazo de 30 días.
2. Qué recopilamos y qué no
Recopilamos tres categorías de datos personales, y solo cuando usted elige dárnoslos. Primero: datos del donante - su nombre, dirección de facturación, correo electrónico, teléfono (si lo proporciona) y datos de pago. Los datos de pago (números de tarjeta, números de cuenta bancaria) nunca se almacenan en nuestros servidores; se tokenizan y los conserva Cardknox/Sola, nuestro procesador de pagos, que cuenta con la certificación PCI-DSS Nivel 1. Conservamos un registro del importe de la donación, la fecha, la moneda y su nombre y correo electrónico para poder emitir un recibo fiscal y enviarle el estado anual exigido por ley.
Segundo: datos del boletín y de contacto - si se suscribe a nuestra lista de correo o nos escribe a través del formulario de contacto, conservamos su dirección de correo electrónico (y su nombre, si lo proporciona) hasta que nos pida que dejemos de hacerlo. No compramos, alquilamos, vendemos ni intercambiamos listas de correo con ningún tercero. Nunca.
Tercero: registros de servidor mínimos - cuando visita blphome.org, nuestro proveedor de alojamiento (Vercel) registra la hora de su solicitud, la página que solicitó, su ubicación aproximada derivada de la IP y el agente de usuario de su navegador. Estos registros se conservan durante 30 días y luego se eliminan. Usamos Plausible Analytics - un servicio respetuoso con la privacidad y sin cookies - para contar visitantes de forma agregada. Plausible no establece cookies ni recopila datos personales; consulte nuestra Política de Cookies para el detalle técnico.
No recopilamos datos biométricos, números de identificación gubernamental, información de salud, afiliación religiosa, opiniones políticas, orientación sexual ni ninguna otra categoría que el Artículo 9 del RGPD designe como especial. No mostramos publicidad en este sitio y no incrustamos rastreadores publicitarios de terceros. No usamos Meta Pixel, remarketing de Google Ads ni herramientas de vigilancia similares.
3. Por qué procesamos sus datos (bases legales)
Conforme al RGPD, todo acto de tratamiento debe apoyarse en una base legal específica. Nos basamos en cuatro. (a) Ejecución de un contrato - cuando hace una donación, procesamos sus datos para cumplir ese donativo: cargar su tarjeta, emitir un recibo, enviar la nota de agradecimiento. (b) Obligación legal - las autoridades fiscales de EE. UU., México e Israel nos exigen conservar los registros de donaciones durante un período de cinco a siete años. No tenemos elección al respecto, ni usted tampoco. (c) Consentimiento - cuando se suscribe a nuestro boletín o envía el formulario de contacto, otorga un consentimiento libremente revocable. Cada correo que enviamos contiene un enlace de baja con un solo clic. (d) Interés legítimo - para usos muy concretos, como la prevención del fraude en la página de donación, nos basamos en nuestro interés legítimo de protegerle a usted y a nosotros de ataques de prueba de tarjetas. Puede oponerse en cualquier momento a cualquier tratamiento basado en el interés legítimo.
4. Cómo usamos, y cómo no usamos, sus datos
Usamos sus datos de donante para: procesar su donativo, emitir su recibo fiscal dentro de los plazos descritos en nuestra página de Información Fiscal, enviarle el estado anual exigido por la ley fiscal y - si ha dado su consentimiento - enviarle un boletín trimestral y alguna invitación ocasional a un evento para donantes en Jerusalén, Nueva York o Ciudad de México. Esa es toda la lista. No lo puntuamos, no lo segmentamos para publicidad, no construimos un perfil de su capacidad de donación ni vendemos su información a otras organizaciones benéficas ni a intermediarios de datos. No contratamos empresas de "investigación de prospectos".
Si dona 5.000 $ o más en un solo año natural y pide permanecer en el anonimato, respetamos esa solicitud por completo - su nombre no aparece en ningún informe anual, placa o reconocimiento público. Si dona 5.000 $ o más y no especifica una preferencia, le escribiremos para preguntarle. Los donativos importantes nunca se hacen públicos sin permiso afirmativo.
5. Quién más ve sus datos (procesadores externos)
Trabajamos con un pequeño grupo de proveedores, cada uno nombrado aquí. Nunca compartimos datos con nadie que no esté en esta lista. (a) Cardknox/Sola - procesamiento de pagos. Cardknox/Sola almacena los datos de tarjeta en su propia infraestructura PCI-DSS Nivel 1; nosotros solo recibimos un token y una confirmación. El aviso de privacidad de Cardknox está disponible en cardknox.com/privacy-policy. (b) Resend - envío de correos transaccionales y del boletín. Resend almacena su dirección de correo electrónico y el contenido de los mensajes que le enviamos. El aviso de privacidad de Resend está en resend.com/legal/privacy-policy. (c) Vercel Inc. - alojamiento del sitio web y ejecución de funciones sin servidor. Vercel almacena los registros de servidor de 30 días descritos arriba y los archivos estáticos de este sitio. El aviso de privacidad de Vercel está en vercel.com/legal/privacy-policy. (d) Plausible Insights OÜ - analítica respetuosa con la privacidad y sin cookies, operada desde la Unión Europea. Plausible agrega los recuentos de páginas vistas y no recopila datos personales. Su aviso está en plausible.io/privacy.
No transferimos datos de donantes a ningún otro proveedor. No usamos plataformas de automatización de marketing, servicios de enriquecimiento de CRM ni redes de retargeting de terceros. Si, en el futuro, necesitamos añadir un proveedor a esta lista, esta política se actualizará y se publicará un aviso en la página de inicio durante 30 días antes de que el cambio entre en vigor.
6. Transferencias internacionales
Nuestros registros de donaciones benéficas se conservan en Israel con fines contables y de auditoría. Cuando recibimos datos del Espacio Económico Europeo, el Reino Unido o Suiza, esa transferencia se rige por Cláusulas Contractuales Tipo con la entidad receptora, complementadas con salvaguardas adicionales descritas en nuestra evaluación interna de transferencias. Una copia de las CCT y de la evaluación está disponible previa solicitud a gdpr@blphome.org. Para las transferencias a Estados Unidos, nos basamos además en el Marco de Privacidad de Datos UE-EE. UU. cuando resulte aplicable a nuestra entidad hermana estadounidense. Los datos de los residentes mexicanos se rigen por la LFPDPPP y siguen siendo tratados dentro de México para las donaciones originadas allí.
7. Cuánto tiempo conservamos las cosas
Los registros de donaciones se conservan durante siete años después del año del donativo, el más largo de los períodos exigidos por la ley fiscal de EE. UU., México e Israel. Los datos de los suscriptores del boletín se conservan hasta que se dan de baja, tras lo cual solo guardamos el registro de supresión (un hash irreversible de su dirección de correo electrónico) para asegurarnos de no volver a añadirle por accidente. Los mensajes del formulario de contacto se conservan durante dos años y luego se eliminan. Los registros de servidor se conservan durante 30 días. Plausible Analytics conserva los datos agregados durante 24 meses en una forma que no puede rastrearse hasta un visitante individual.
8. Sus derechos
Conforme al RGPD, tiene derecho a: acceder a los datos personales que tenemos sobre usted; rectificar datos inexactos; solicitar la supresión (sujeta a nuestras obligaciones legales de conservación); restringir el tratamiento; recibir sus datos en un formato portátil; oponerse al tratamiento basado en el interés legítimo; y presentar una reclamación ante su autoridad de control local. Conforme a la CCPA, los residentes de California tienen derechos paralelos a saber, eliminar, corregir y excluirse de cualquier "venta" de información personal - nosotros no vendemos información, pero el derecho es suyo de todos modos. Conforme a la LFPDPPP, los residentes mexicanos pueden ejercer sus derechos ARCO: acceso, rectificación, cancelación, oposición. Respondemos a todas las solicitudes de derechos en un plazo de 30 días. Nunca hay coste alguno.
9. Menores
Este sitio web está destinado a adultos. No recopilamos deliberadamente datos personales de ninguna persona menor de 16 años. Si cree que un menor nos ha proporcionado información, contacte a privacy@blphome.org y la eliminaremos en un plazo de 72 horas.
Las fotografías de niñas que viven en nuestros programas aparecen en este sitio únicamente con el consentimiento por escrito del tutor legal de la niña y, cuando la niña es mayor de 12 años, con el propio asentimiento de la niña. Los nombres de las niñas bajo nuestro cuidado nunca se publican junto con datos identificativos. Cuando se cuenta una historia, se cambian los nombres y las edades.
10. Seguridad
Mantenemos controles alineados con la norma ISO 27001 que cubren la gestión de accesos, el cifrado en tránsito y en reposo, la evaluación del riesgo de proveedores y la respuesta ante incidentes. Todo el personal y los contratistas con acceso a datos de donantes completan una formación anual en privacidad. En caso de una violación de datos personales que implique un alto riesgo para sus derechos y libertades, se lo notificaremos en un plazo de 72 horas desde que tengamos conocimiento de ella, según exige el Artículo 34 del RGPD. Hasta la fecha no hemos tenido ninguna violación que requiera notificación.
11. Cambios en esta política
Revisamos esta política anualmente, en enero, y la actualizamos siempre que haya un cambio material en cómo recopilamos o usamos los datos. Cuando la actualizamos, modificamos la fecha de "Última actualización" en la parte superior, publicamos un aviso en la página de inicio durante 30 días y - para los cambios materiales que afecten a los donantes - le enviamos un correo directamente. Nunca haremos de forma retroactiva un cambio en cómo se usan los datos ya recopilados sin su consentimiento.
12. Cómo contactarnos
Preguntas sobre privacidad, solicitudes de derechos, reclamaciones o cualquier otra cosa: escriba a privacy@blphome.org. Una persona lee cada mensaje. Responderemos en un plazo de cinco días hábiles y lo resolveremos en treinta. También puede escribirnos por correo postal: Bayit Lepleitot, Rehov Kollel HaShomron, Jerusalén 9544105, Israel - At.: Protección de Datos.
