Product
Use Cases
API
Resources
es
English
Español
Português
hazte cliente
Iniciar sesión
Términos y Condiciones
T&Cs - Platform (UK)T&Cs - CASP (UE)T&Cs - PSAV (BR)T&Cs - MSB (CA)T&Cs - PSAV (AR)
Política de Privacidad
EmpresasApplicants and Employees
MiCA Policies (EU)
Aviso de riesgosGestión de reclamacionesIndicadores de sostenibilidadPolítica de comisionesDivulgación de conflictos de interés
Términos del Sitio WebPolítica de CookiesRegulatorio

Política de Privacidad

Última actualización: 1 de junio de 2026 

1. Entidades del grupo DUE

“ Due Network”, “nosotros”, “nos” y “nuestro ” significa:

• Due Ltd , registrada en el Reino Unido (“RU”), con domicilio social en 71–75 Shelton Street, Covent Garden, Londres WC2H 9JQ, y número de registro mercantil 14369984;

• Due Network, SL, registrada en España, con domicilio social en Paseo de la Castellana 91, 4º, 1º, Madrid 28046, y número de registro mercantil 16407272;

• Due Payments Inc., registrada en Canadá (número de registro 1000864948), con domicilio social en 80 Birmingham Street, Unit C6, Etobicoke (Ontario) M8V 3W6, Canadá; y/o

• Due Technologies Inc., registrada en el estado de Delaware (EE. UU.), con domicilio social en 169 Madison Avenue, Suite 11441, Nueva York, NY 10016, EE. UU.;

•  Due Tecnologia Brasil LTDA. registrada con arreglo a la legislación brasileña, inscrita en el Registro de la Propiedad del Ministerio de Economía con el número CNPJ/ME 58.138.976/0001-05 y con domicilio social en Avenida Paulista 1636, sala 1504, 01310-200, São Paulo - SP, Brasil.

• Due Network Argentina SRL, registrada en Argentina, con domicilio social en Tucumán 1, 4to piso, CP1049, Ciudad Autónoma de Buenos Aires, Argentina, y número de registro comercial 2024182.

Nos comprometemos a respetar su privacidad.

2. Acerca de este aviso de privacidad

A efectos de la normativa de protección de datos, actuamos como responsables del tratamiento de sus datos personales. Somos responsables de garantizar que utilizamos sus datos personales de conformidad con la legislación de protección de datos.

Este aviso de privacidad es un documento único y unificado que se aplica, según el caso, a dos categorías de interesados: (i) personas físicas que son usuarios finales de nuestros productos y servicios (B2C); y (ii) representantes, directores, firmantes autorizados, apoderados, personas de contacto, accionistas y beneficiarios finales (UBO) de nuestros clientes institucionales (B2B). En él se establecen las bases sobre las cuales procesaremos los datos personales que usted nos proporcione, que generemos internamente o que obtengamos de otras fuentes. Le rogamos que lea y comprenda este aviso de privacidad.

Este aviso también se aplica, cuando corresponda, a clientes potenciales (antes de la contratación), usuarios que contactan con el servicio de asistencia y visitantes del sitio web (para el tratamiento de datos relacionado con el uso y la seguridad del sitio web). El tratamiento de datos personales mediante cookies y tecnologías de seguimiento similares se rige por nuestra Política de Cookies, disponible en https://www.opendue.com/es/legal/cookie-policy.

Determinadas secciones o párrafos se aplican únicamente a una de las dos categorías anteriores; en tales casos se indica expresamente mediante una nota destacada del tipo «Aplicable a personas físicas (B2C)» o «Aplicable a representantes y beneficiarios finales de clientes institucionales (B2B)». El resto del aviso es aplicable a ambas categorías.

Marco aplicable según la jurisdicción del titular. Sin perjuicio del régimen general de este aviso —RGPD y, en España, la LOPDGDD—, aplicable a los titulares en el Espacio Económico Europeo (incluidas las entidades de España y Bulgaria), se aplican las siguientes especificidades locales según la entidad responsable del tratamiento o el lugar en que usted se encuentre:

Reino Unido. Si el responsable del tratamiento es Due Ltd o usted se encuentra en el Reino Unido, su tratamiento se rige por el UK GDPR y la Data Protection Act 2018, que prevalecen sobre cualquier referencia de este aviso al RGPD de la UE o a la normativa española; la autoridad de control competente es la Information Commissioner’s Office (ICO).

Canadá. Si el responsable del tratamiento es Due Payments Inc. o usted se encuentra en Canadá, su tratamiento se rige por la Personal Information Protection and Electronic Documents Act (PIPEDA) y, respecto de residentes de Quebec, por la Ley 25 de dicha provincia, que prevalecen sobre cualquier referencia de este aviso al RGPD o a la normativa española; la autoridad de control competente es la Office of the Privacy Commissioner of Canada (OPC).

Estados Unidos. Si el responsable del tratamiento es Due Technologies Inc. o usted reside en Estados Unidos, su tratamiento se rige por la legislación federal y estatal de privacidad aplicable, incluidas, cuando proceda, las leyes estatales de privacidad del consumidor (por ejemplo, la California Consumer Privacy Act, modificada por la CPRA, y normas equivalentes de otros estados), que prevalecen sobre cualquier referencia de este aviso al RGPD o a la normativa española.

Brasil. Si el responsable del tratamiento es Due Tecnologia Brasil LTDA o usted se encuentra en Brasil, su tratamiento se rige por la Lei nº 13.709/2018 (LGPD), que prevalece sobre cualquier referencia de este aviso al RGPD o a la normativa española; la autoridad de control competente es la Autoridade Nacional de Proteção de Dados (ANPD).

Argentina. Si el responsable del tratamiento es Due Network Argentina SRL o usted se encuentra en Argentina, su tratamiento se rige por la Ley 25.326 de Protección de los Datos Personales y su Decreto reglamentario 1558/2001, que prevalecen sobre cualquier referencia de este aviso al RGPD o a la normativa española; la autoridad de control competente es la Agencia de Acceso a la Información Pública (AAIP). 

3. Su responsable y sus funciones dentro del grupo

Los productos y servicios se prestan a través de las entidades operativas locales del grupo. La entidad con la que usted contrata (de acuerdo con los Términos y Condiciones aplicables) es la responsable del tratamiento de sus datos en la relación contractual.

Otras entidades del grupo pueden actuar como responsables independientes del tratamiento para actividades de tratamiento específicas (por ejemplo, debido a sus propias obligaciones legales o para la prestación técnica del servicio).

Cuando dos o más entidades determinan conjuntamente los fines y los medios del tratamiento, pueden actuar como responsables conjuntos del tratamiento (art. 26 del RGPD). En ese caso, le facilitaremos la información esencial sobre la figura del responsable conjunto del tratamiento, que podrá solicitar en cualquier momento a nuestro Delegado de Protección de Datos en dpo@due.network. Asimismo, le indicaremos el principal punto de contacto para el ejercicio de sus derechos frente al grupo.

4. Base jurídica

Procesamos sus datos personales basándonos en los siguientes fundamentos legales, según corresponda:

• Cumplimiento de una obligación legal : cuando el procesamiento es necesario para cumplir con las obligaciones legales aplicables (por ejemplo, obligaciones de prevención del blanqueo de capitales y la financiación del terrorismo, mantenimiento de registros, presentación de informes a las autoridades y obligaciones impuestas en virtud del Reglamento (UE) 2023/1114 (MiCA)).

• Ejecución del contrato : cuando el procesamiento es necesario para ejecutar un contrato con el cliente o para tomar medidas precontractuales a solicitud del cliente.

• Intereses legítimos : cuando el tratamiento de datos se basa en los intereses legítimos del grupo (por ejemplo, detección y prevención del fraude, gestión de riesgos, ciberseguridad), siempre que dichos intereses no prevalezcan sobre sus derechos y libertades fundamentales. Podemos describirle estos intereses y el resultado de la ponderación de intereses si lo solicita.

• Consentimiento : Solo procesaremos sus datos personales sobre esta base cuando hayamos solicitado y obtenido expresamente su consentimiento para fines específicos (por ejemplo, comunicaciones de marketing). Puede revocar su consentimiento en cualquier momento sin que ello afecte a la legalidad del procesamiento realizado con anterioridad a la revocación.

• Cumplimiento de las obligaciones de MiCA (Art. 6(1)(c) RGPD): Como proveedor de servicios de criptoactivos (CASP) autorizado en virtud del Reglamento (UE) 2023/1114 (MiCA), tratamos datos personales para cumplir con las obligaciones regulatorias que MiCA nos impone, incluyendo la documentación de incorporación de clientes, los registros de transacciones, los datos de verificación de monederos y los requisitos de transparencia. Este tratamiento no constituye una base jurídica autónoma, sino que se enmarca dentro del artículo 6(1)(c) del RGPD (cumplimiento de una obligación legal), siendo MiCA la normativa sectorial que da origen a dicha obligación, al igual que la Ley 10/2010 en el contexto de la lucha contra el blanqueo de capitales y la financiación del terrorismo. El tratamiento es necesario para el cumplimiento normativo, la gestión de riesgos y la protección de los inversores.

Cuando tratamos datos personales relacionados con condenas y delitos penales, dicho tratamiento se lleva a cabo de conformidad con el artículo 10 del RGPD y sobre la base del artículo 6(1)(c) del RGPD (obligación legal).

Este tratamiento es estrictamente necesario para el cumplimiento de las obligaciones aplicables en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo (AML/CFT) en virtud de la Ley 10/2010, de 28 de abril, modificada por el Real Decreto-ley 7/2021.

Dicho tratamiento se limita a lo estrictamente necesario para estos fines e incluye la conservación de la documentación de identificación y los registros de transacciones durante un periodo de 10 años, de conformidad con el artículo 25 de la Ley Orgánica 10/2010. Cuando el tratamiento se base en intereses legítimos, usted podrá oponerse en cualquier momento por motivos relacionados con su situación particular. En concreto, tiene derecho a oponerse en cualquier momento, con efecto inmediato, al tratamiento de sus datos personales con fines de marketing directo.

5. Datos personales que recopilamos sobre usted

Recopilaremos y procesaremos los siguientes datos personales sobre usted:

Información que usted nos proporciona directamente a nosotros o a una de nuestras filiales al completar formularios, al pasar por el proceso de incorporación o al comunicarse con nosotros, ya sea en persona, por teléfono, correo electrónico o de cualquier otra forma. Esta información puede incluir:

  • Datos de contacto, incluyendo dirección postal/de envío, dirección de facturación, dirección de correo electrónico y número de teléfono;
  • país de residencia;
  • nacionalidad;
  • residencia fiscal;
  • fecha de nacimiento;
  • Lugar de nacimiento (utilizado para cotejar la edad del cliente con posibles coincidencias en listas de sanciones, registros de personas políticamente expuestas (PEP) y búsquedas de información negativa en los medios de comunicación, y según lo exige la Regla de Viajes en las jurisdicciones que lo imponen de conformidad con el Reglamento (UE) 2023/1113 y la legislación equivalente aplicable);
  • nombre completo;
  • número de documento de identidad;
  • fecha de vencimiento del documento de identidad;
  • dirección de billetera en cadena (dirección de billetera);
  • credenciales de banca abierta (detalles de la cuenta para iniciar el pago); y
  • fotografía (selfie o imagen de documento de identidad);

Aplicable a representantes y beneficiarios finales de clientes institucionales (B2B). Si usted pertenece a esta categoría, también recopilaremos y procesaremos:

• nombre comercial de la organización que usted representa y el sector en el que opera;

• datos de contacto, incluyendo dirección postal, dirección de correo electrónico y número de teléfono;

• domicilio social;

• fecha de constitución.

Asimismo, recopilaremos y procesaremos los siguientes datos personales sobre los directores, funcionarios, firmantes autorizados y beneficiarios finales (UBO) de su organización: nombre completo; nacionalidad; país de residencia; fecha de nacimiento; lugar de nacimiento; número y fecha de vencimiento del documento de identidad; y fotografía (selfie o imagen de documento de identidad).

Cuando sea necesario para prestar el servicio, cumplir obligaciones regulatorias o proteger la seguridad, podemos procesar respecto de clientes institucionales categorías adicionales, tales como: datos de identificación/verificación (tipo y número de documento, fecha de expedición/caducidad, nacionalidad, comprobante de domicilio, cargo/función y poderes de representación); datos corporativos y de propiedad efectiva (estructura de propiedad/control, UBO y documentación corporativa); datos de cumplimiento y riesgo (condición de PEP, resultados de la verificación de sanciones y, cuando corresponda, fuentes de medios públicos/adversos); y datos operativos y de seguridad (registros de acceso, direcciones IP, identificadores técnicos y eventos de seguridad).

5.1 Información que recopilamos o generamos internamente sobre usted (no proporcionada directamente por usted). Esto incluye:

  • Datos de contacto, incluyendo dirección postal/de envío, dirección de facturación, dirección de correo electrónico y número de teléfono;
  • país de residencia;
  • fecha de nacimiento;
  • nombre completo;
  • datos del documento de identidad;
  • dirección de billetera blockchain;
  • credenciales de banca abierta (detalles de la cuenta para iniciar el pago);
  • fotografía; y
  • Datos de transacciones, incluyendo:
  • fecha(s) de la transacción;
  • importe de la transacción;
  • moneda de transacción;
  • contraparte (es decir, cliente/comerciante);
  • método de pago; y
  • tipo de pago (TPV, online, etc.).
  • Datos/atributos biométricos faciales extraídos de selfies/vídeos para la verificación de vitalidad y la comparación facial, y para la detección de duplicados (búsqueda biométrica), cuando proceda. El tratamiento de datos biométricos constituye una categoría especial de datos según el artículo 9 del RGPD. La base jurídica aplicable para este tratamiento es el artículo 9, apartado 2, letra g) del RGPD (tratamiento necesario por razones de interés público sustancial, en concreto la prevención del blanqueo de capitales y la financiación del terrorismo, según lo establecido en la legislación aplicable en materia de prevención del blanqueo de capitales y la financiación del terrorismo, incluida la Ley Orgánica 10/2010, de 28 de abril), en relación con el artículo 9, apartado 2, letra b) del RGPD, cuando proceda (tratamiento necesario para el cumplimiento de obligaciones y el ejercicio de derechos en el ámbito del derecho laboral y de la seguridad social), y, cuando proceda, el artículo 9 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) para el tratamiento realizado en España. El tratamiento se limita estrictamente a lo necesario para la verificación de identidad, la prevención del fraude y el cumplimiento de la normativa en materia de prevención del blanqueo de capitales y la financiación del terrorismo, y está sujeto a las garantías exigidas por la normativa aplicable.
  • Identificación por vídeo: La grabación del proceso de identificación por vídeo, con prueba fehaciente de su fecha y hora, se almacenará en formato digital de conformidad con el artículo 25 de la Ley 10/2010 durante un período de diez (10) años a partir de la terminación de la relación comercial o ejecución de la transacción.

La base jurídica para la conservación de las grabaciones de vídeo es el cumplimiento de una obligación legal en virtud de la legislación española contra el blanqueo de capitales (artículo 25 de la Ley 10/2010). El «consentimiento» al que se hace referencia aquí se refiere a su reconocimiento del proceso de grabación y su periodo de conservación, no a la base jurídica para el tratamiento. Usted no podrá oponerse a esta conservación cuando así lo exija la normativa contra el blanqueo de capitales; no obstante, el acceso a estas grabaciones está estrictamente limitado al personal autorizado de cumplimiento normativo, a la SEPBLAC y a las autoridades judiciales competentes.

Esta sección sobre identificación por vídeo se aplica exclusivamente a los clientes que completen su proceso de incorporación con Due Network SL. Los clientes que se registren a través de otras entidades del grupo estarán sujetos a los procedimientos y políticas específicos de la entidad correspondiente.

5.2 Información que obtenemos de otras fuentes.

• información proporcionada por terceros KYC/KYB para realizar verificaciones de antecedentes (por ejemplo, para sanciones, etc.); y

• Información proporcionada por los proveedores de monitoreo de transacciones y verificación de billeteras para comprobar que la billetera utilizada es segura y que los fondos utilizados no están relacionados con actividades fraudulentas o delictivas.

• Datos técnicos y de seguridad (cuando utiliza el sitio web o la aplicación): Podemos procesar identificadores en línea (por ejemplo, IP), registros de acceso, identificadores de dispositivos y eventos de seguridad para prevenir el fraude, proteger la cuenta y mantener la resiliencia operativa.

• Obligatorio/Voluntario: Ciertos datos (p. ej., identificación/KYC) son obligatorios para cumplir con las regulaciones AML/CFT y para prestar el servicio. Si no proporciona estos datos, es posible que no podamos abrir o mantener su cuenta ni realizar transacciones.

• Datos del Reglamento sobre transferencias de fondos (RTF): De conformidad con el Reglamento (UE) 2023/1113 relativo a la información que acompaña a las transferencias de fondos y de determinados criptoactivos (RTF), estamos obligados a recopilar, verificar y conservar información específica relativa a las transferencias de criptoactivos, entre las que se incluyen:

  • Información del remitente (como nombre, dirección, dirección de la billetera y otros identificadores, si corresponde).
  • Información del beneficiario (como nombre y dirección de la billetera)
  • Detalles de la transacción, incluidos los identificadores y las marcas de tiempo.
  • Dirección del beneficiario en el caso de Due Payments Inc. (Canadá).

Estos datos se procesan para garantizar la trazabilidad de las transferencias de criptoactivos y para cumplir con las obligaciones aplicables en materia de prevención del blanqueo de capitales y la financiación del terrorismo. Podrán facilitarse a las autoridades competentes que lo soliciten.

El tratamiento se lleva a cabo sobre la base del artículo 6(1)(c) del RGPD (obligación legal), de conformidad con los requisitos establecidos en el TFR.

Como parte de nuestros controles de prevención del blanqueo de capitales y la financiación del terrorismo (PBC/FT) y de sanciones, podemos procesar información relacionada con condenas o delitos penales. Este procesamiento es necesario para cumplir con la legislación aplicable y con nuestras obligaciones legales como entidad obligada en virtud de la legislación PBC/FT. Cuando así lo exija la legislación local, nos basamos en los fundamentos jurídicos específicos que esta establece para procesar dichos datos. Para obtener más información, póngase en contacto con dpo@due.network.

Medidas de seguridad (Artículo 10 del RGPD): Limitamos el acceso al personal autorizado, aplicamos controles de acceso y registro, minimizamos los datos y garantizamos la confidencialidad.

6. Usos de sus datos personales

Sus datos personales podrán ser almacenados y procesados por nosotros de las siguientes maneras y para los siguientes fines para garantizar que usted cumpla con los requisitos para utilizar nuestros servicios:

• para verificar que usted es quien dice ser (es decir, verificación de identidad);

• confirmar que dispone de fondos suficientes para realizar la compra; y

• para garantizar que usted sea un "buen usuario" y no esté asociado con fraudes, sanciones, delitos, etc.

Tenemos derecho a utilizar sus datos personales de estas maneras porque:

• Tenemos obligaciones legales y reglamentarias que debemos cumplir;

• Es posible que lo necesitemos para establecer, ejercer o defender nuestros derechos legales o para los fines de procedimientos judiciales; o

• El uso de sus datos personales tal como se describe es necesario para nuestros intereses comerciales legítimos (o los intereses legítimos de una o más de nuestras filiales) establecidos anteriormente.

Procesamos sus datos personales para los siguientes fines y sobre las siguientes bases legales:

Si desea obtener una copia de nuestra Evaluación de Intereses Legítimos o más detalles sobre la base legal específica para una actividad de procesamiento en particular, póngase en contacto con dpo@due.network. Due Network SL mantiene un Registro de Actividades de Procesamiento (RoPA) de conformidad con el artículo 30 del RGPD, que detalla las actividades de procesamiento realizadas como responsable del tratamiento de datos. Puede solicitar más información sobre las actividades de procesamiento específicas que le conciernen poniéndose en contacto con el Delegado de Protección de Datos en dpo@due.network.

Breve resumen de objetivos y fundamentos:

– KYC/AML y sanciones: obligación legal.

– Prestación de servicios: contrato.

– Fraude/seguridad y resiliencia: obligación legal y/o interés legítimo (con ponderación).

– Marketing (si procede): consentimiento (con opción de retirada/exclusión voluntaria).

– Autoridades/litigios: obligación legal y/o reclamaciones.

Podemos utilizar herramientas automatizadas para detectar fraudes, gestionar riesgos y cumplir con las normativas contra el blanqueo de capitales y la financiación del terrorismo (por ejemplo, puntuación de riesgos, reglas/alertas y análisis automatizados). Salvo que se indique lo contrario, estas herramientas se utilizan con fines de apoyo y están sujetas a revisión humana.

Si en algún caso se toma una decisión basada únicamente en el procesamiento automatizado que produzca efectos jurídicos o le afecte significativamente (por ejemplo, la denegación automática del registro), se le informará, incluyendo información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas, y podrá solicitar la intervención humana, expresar su punto de vista y impugnar la decisión (art. 22 RGPD), de conformidad con la normativa aplicable.

6.1 Elaboración de perfiles y toma de decisiones automatizada (Artículo 22 del RGPD)

Utilizamos herramientas automatizadas para respaldar el cumplimiento normativo, entre las que se incluyen:

  • Detección de sanciones/personas políticamente expuestas (PEP) cotejándolas con listas de vigilancia globales mediante algoritmos de coincidencia;
  • Detección de fraude mediante el análisis de patrones de transacciones, geolocalización y datos de interacción del usuario;
  • Evaluación del riesgo para la incorporación de clientes en función de los niveles de confianza en la verificación de identidad.

Lógica: Algoritmos basados en reglas y modelos de aprendizaje automático entrenados con datos históricos de cumplimiento y listas de vigilancia regulatoria.

Posibles consecuencias: Restricciones de cuenta, bloqueo de transacciones o mayores requisitos de diligencia debida. Todas las alertas automatizadas están sujetas a revisión humana por parte de personal de cumplimiento calificado antes de que se tome una decisión final.

Decisiones exclusivamente automatizadas: Cuando una decisión que produce efectos jurídicos o efectos igualmente significativos (por ejemplo, el rechazo automático del registro) se basa exclusivamente en el procesamiento automatizado, usted tiene derecho, en virtud del artículo 22(3) del RGPD, a:

  • Obtener intervención humana;
  • Expresa tu punto de vista; y
  • Impugne la decisión.

6.2 Criptomonedas, monederos y cadenas de bloques

El uso de criptoactivos o monederos puede implicar el registro de ciertas transacciones en redes públicas (blockchains). Estas redes son de terceros y no están controladas por Due.
Por consiguiente, ciertos datos (como direcciones públicas, hashes de transacciones y metadatos asociados) pueden ser públicos o estar sujetos a análisis forenses por parte de terceros, y pueden ser inmutables (no se pueden modificar ni eliminar). Le recomendamos que tenga en cuenta estas implicaciones antes de operar en redes públicas.

6.3 Seguridad y resiliencia operativa

Implementamos medidas técnicas y organizativas razonables para proteger los datos contra pérdidas, accesos no autorizados y divulgación. Como parte de nuestras obligaciones regulatorias, podemos procesar datos para la detección de incidentes, la investigación forense y la notificación a las autoridades pertinentes en caso de incidentes de seguridad. Estas actividades se llevan a cabo de conformidad con la normativa aplicable y con la debida consideración a la protección de datos personales. Como entidad sujeta al Reglamento (UE) 2022/2554 sobre resiliencia operativa digital para el sector financiero (DORA), también podemos procesar datos relacionados con incidentes de tecnologías de la información y la comunicación (TIC), incluidos registros de incidentes, datos relativos a proveedores de servicios de TIC críticos de terceros e información requerida para informes de incidentes graves según DORA (artículos 9, 17 y 19 del Reglamento DORA). Dicho procesamiento se lleva a cabo sobre la base del artículo 6(1)(c) del RGPD (cumplimiento de una obligación legal) y está sujeto a las medidas de seguridad y proporcionalidad establecidas en el propio Reglamento DORA.

6.4 Otros fines compatibles

Podemos tratar sus datos personales para otros fines compatibles con los mencionados anteriormente, aplicando la prueba de compatibilidad establecida en el artículo 6, apartado 4, del RGPD, teniendo en cuenta factores como la relación entre el fin original y el nuevo, el contexto en el que se recogieron los datos y los posibles riesgos para sus derechos y libertades. Documentaremos la base jurídica aplicable (incluidas las evaluaciones de interés legítimo, cuando proceda). Si el nuevo fin es incompatible con el fin original para el que se recogieron sus datos, le informaremos de forma proactiva y, cuando sea necesario, obtendremos su consentimiento antes de iniciar dicho tratamiento.

7. Restricciones de edad

Nuestros servicios no están dirigidos a menores de 18 años. No recopilamos datos personales de menores de edad de forma intencionada. Si cree que hemos recopilado datos de un menor por error, póngase en contacto con dpo@due.network de inmediato y eliminaremos dicha información.

8. Divulgación de su información a terceros

Adoptaremos las medidas necesarias para garantizar que solo nuestros empleados que lo necesiten para los fines descritos en este aviso tengan acceso a los datos personales.

Sus datos podrán ser divulgados, según corresponda, a las siguientes categorías de destinatarios:

• Autoridades públicas y organismos de supervisión (incluidas las UIF, las autoridades policiales y las autoridades tributarias) cuando así lo exija la ley o sea necesario para la prevención o detección de actividades delictivas.

• Las Autoridades Nacionales Competentes (ANC) para los servicios de criptoactivos, la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Bancaria Europea (EBA), cuando así lo exija el Reglamento MiCA a efectos de autorización, supervisión o aplicación de la ley;

• Proveedores de servicios de cumplimiento normativo y KYC/KYB, proveedores de verificación de sanciones y proveedores de datos de riesgo (que actúan como encargados del tratamiento).

• Socios bancarios, socios de pago y otros proveedores de servicios financieros que actúan como encargados del tratamiento de datos o responsables conjuntos del tratamiento.
Proveedores de servicios de TI, alojamiento web, nube y almacenamiento de datos (que actúan como encargados del tratamiento).

• Auditores externos, asesores legales y auditores forenses cuando sea necesario para fines de auditoría o investigación.

• Compradores o potenciales compradores del negocio en caso de venta o reestructuración corporativa.

• En todos los casos, los destinatarios estarán obligados contractualmente a procesar los datos de acuerdo con este aviso y a no utilizarlos para ningún otro fin.

Aclaración de funciones: Algunos destinatarios (por ejemplo, ciertos socios bancarios/de pago) pueden actuar como responsables del tratamiento independientes a efectos regulatorios propios.

Procesadores y subcontratistas

Colaboramos con proveedores de servicios que actúan como encargados del tratamiento de datos (por ejemplo, proveedores de KYC/IDV, socios bancarios, servicios de alojamiento web, servicios en la nube y proveedores de verificación). Todos los encargados del tratamiento están sujetos a contratos que incluyen las salvaguardias adecuadas (incluidas las cláusulas contractuales estándar) y obligaciones de seguridad.

9. Transferencias de datos personales fuera del Espacio Económico Europeo ("EEE") y del Reino Unido.

Los datos personales que recopilamos pueden ser transferidos y almacenados en un destino fuera del EEE/Reino Unido. Asimismo, pueden ser procesados por personal que opera fuera del EEE/Reino Unido y que trabaja para nuestras filiales o para alguno de nuestros proveedores.

Los datos personales se almacenan y procesan principalmente dentro del Espacio Económico Europeo (EEE) y el Reino Unido. Sin embargo, debido a la estructura internacional del grupo y/o a necesidades operativas o de proveedores específicos (por ejemplo, soporte, cumplimiento normativo o resiliencia), en casos concretos pueden producirse transferencias fuera del EEE/Reino Unido.

Cuando transferimos sus datos personales fuera del EEE/Reino Unido, nos aseguraremos de que estén protegidos de forma coherente con la forma en que los protegemos dentro del EEE/Reino Unido. Las medidas de seguridad aplicadas varían según la jurisdicción de destino:

• Reino Unido: reconocido como destino adecuado por la Comisión Europea (Decisiones de Adecuación 2021/1772 y 2021/1773). Para las transferencias posteriores originadas en el Reino Unido, aplicamos el Acuerdo Internacional de Transferencia de Datos (IDTA) de la ICO o el Anexo del Reino Unido a las CCT, según corresponda;

• Argentina: reconocida como país adecuado por la Comisión Europea. Además, aplicamos cláusulas contractuales estándar como medida complementaria; • Canadá: se beneficia de una decisión de adecuación parcial de la Comisión Europea (sector privado según PIPEDA), actualmente en revisión. Para las transferencias a Due Payments Inc. utilizamos cláusulas contractuales estándar (CCE) aprobadas por la Comisión Europea; • Estados Unidos (Due Technologies Inc.): no existe una decisión de adecuación general. Las transferencias se realizan sobre la base de cláusulas contractuales estándar (CCE) aprobadas por la Comisión Europea, complementadas con medidas técnicas y organizativas tras una evaluación del impacto de la transferencia (EIT); • Transferencias intragrupo: pueden basarse en las normas corporativas vinculantes (NCV) cuando corresponda.

• Otras jurisdicciones: el destinatario ha firmado un contrato basado en cláusulas contractuales estándar aprobadas por la Comisión Europea o el Gobierno del Reino Unido (según corresponda), complementado con las medidas adicionales que sean necesarias tras una evaluación de riesgos de la transferencia.

En otras circunstancias, la ley podría permitirnos transferir sus datos personales fuera del EEE/Reino Unido. No obstante, en todos los casos, nos aseguraremos de que cualquier transferencia de sus datos personales cumpla con la legislación de protección de datos.

Para obtener más información sobre la protección que se brinda a sus datos personales cuando se transfieren fuera del EEE/Reino Unido (incluida una copia de las cláusulas estándar de protección de datos que hemos suscrito con los destinatarios de sus datos personales), póngase en contacto con nosotros de acuerdo con la sección "Contacto" que aparece a continuación.

Para las transferencias desde el EEE/Reino Unido, podemos utilizar, cuando proceda, las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea y, para el Reino Unido, la Directiva IDTA de la ICO o el Anexo del Reino Unido a las CCT, junto con medidas complementarias cuando proceda tras la evaluación de riesgos de la transferencia.

10. Retención de datos personales

El tiempo que conservaremos sus datos personales variará. El período de retención se determinará según varios criterios, entre ellos:

• el propósito para el que lo estamos utilizando: necesitaremos conservar los datos durante el tiempo que sea necesario para ese propósito; y

• Obligaciones legales: las leyes o reglamentos pueden establecer un período mínimo durante el cual debemos conservar sus datos personales.

• Los requisitos de conservación pueden variar según la jurisdicción; por ejemplo, algunos países exigen que los datos personales se conserven durante períodos más prolongados según la legislación local.

Periodos de retención indicativos (sujetos a los requisitos legales y reglamentarios aplicables):

  • Registros KYC/AML y evidencia de debida diligencia: 10 años a partir de la finalización de la relación comercial o la ejecución de una transacción ocasional, de conformidad con el artículo 25 de la Ley 10/2010 de Prevención del Blanqueo de Capitales y Financiación del Terrorismo. Esto incluye documentos de identificación, grabaciones de identificación en vídeo, información sobre la titularidad real, evaluaciones de riesgo y documentación de debida diligencia.
  • Registros transaccionales y contables: se conservan de conformidad con las obligaciones legales aplicables, incluidos los requisitos de prevención del blanqueo de capitales y la financiación del terrorismo (10 años según la Ley Orgánica 10/2010) y las obligaciones mercantiles y contables (generalmente 6 años según el Código de Comercio español). Los datos se conservarán durante el periodo exigido por la normativa aplicable en cada caso. Esto puede incluir detalles de las transacciones, importes, divisas, contrapartes, métodos de pago, hashes de transacciones en blockchain y datos relacionados con el TFR.
  • Registros de seguridad y antifraude: se conservan durante un período limitado en función de la proporcionalidad y las necesidades de seguridad (generalmente hasta 2 años), a menos que se requieran durante períodos más largos en relación con investigaciones de blanqueo de capitales, informes de actividades sospechosas u obligaciones legales.
  • Reclamaciones y litigios: se conservan durante el plazo de prescripción aplicable (generalmente 5 años según el derecho civil español, salvo prórroga prevista en reglamentos específicos) y hasta la resolución definitiva del asunto.

Una vez transcurridos los plazos de conservación aplicables, los datos personales se eliminarán de forma segura o se anonimizarán irreversiblemente de acuerdo con nuestros procedimientos de conservación y destrucción de datos. Los datos anonimizados podrán conservarse con fines estadísticos o de investigación, siempre que no sea posible volver a identificar a los usuarios.

11. Sus derechos

Usted tiene varios derechos legales con respecto a los datos personales que conservamos sobre usted. Estos derechos incluyen:

• el derecho a obtener información sobre el tratamiento de sus datos personales y a acceder a los datos personales que tenemos sobre usted;

• el derecho a retirar su consentimiento en cualquier momento; esto no afectará la legalidad del procesamiento basado en el consentimiento antes de su retirada ni nos impedirá continuar procesando datos cuando exista otra base legal válida distinta del consentimiento.

• el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre usted o le afecte de forma similarmente significativa, y a obtener intervención humana, expresar su punto de vista e impugnar la decisión;

• En determinadas circunstancias, tiene derecho a recibir ciertos datos personales en un formato estructurado, de uso común y legible por máquina, y/o a solicitar que transmitamos esos datos a un tercero cuando sea técnicamente factible. Tenga en cuenta que este derecho solo se aplica a los datos personales que nos haya proporcionado y, además, únicamente cuando el tratamiento se base en el consentimiento o en un contrato; no se aplica al tratamiento basado en una obligación legal, que abarca la mayoría del tratamiento realizado en el contexto B2B;

• el derecho a solicitar que rectifiquemos sus datos personales si son inexactos o incompletos;

• Tiene derecho a solicitar que eliminemos sus datos personales en determinadas circunstancias. Tenga en cuenta que puede haber casos en los que usted solicite la eliminación de sus datos personales, pero tengamos el derecho legal de conservarlos.

• el derecho a oponerse y el derecho a solicitar que restrinjamos el tratamiento de sus datos personales en determinadas circunstancias. Nuevamente, puede haber circunstancias en las que usted se oponga o solicite que restrinjamos el tratamiento de sus datos personales, pero tenemos el derecho legal de continuar tratando sus datos personales y/o de rechazar dicha solicitud; y

• El derecho a presentar una reclamación ante la autoridad de protección de datos (cuyos detalles se facilitan a continuación) si considera que hemos infringido alguno de sus derechos.

Podrá ejercer sus derechos de protección de datos poniéndose en contacto con nuestro Delegado de Protección de Datos (DPD), formalmente designado e inscrito en la Autoridad Española de Protección de Datos (AEPD), a través de los siguientes canales:

Correo electrónico: dpo@due.network (recomendado para una respuesta más rápida)

Dirección postal:

Responsable de Protección de Datos

Due Network SL

Paseo de la Castellana 257, Torre Sur, 1ª

28046 Madrid, España

‍

Para ayudarnos a procesar su solicitud de manera eficiente, incluya su nombre, datos de contacto, el derecho que desea ejercer y cualquier información que pueda ayudarnos a identificar sus datos.

Podemos solicitarle información adicional para verificar su identidad cuando sea necesario, de conformidad con el artículo 12(6) del RGPD.

Responderemos a su solicitud sin demora indebida y, en cualquier caso, en el plazo de un mes a partir de su recepción. Este plazo podrá prorrogarse hasta dos meses adicionales si fuera necesario, teniendo en cuenta la complejidad y el número de solicitudes.

Por regla general, el ejercicio de sus derechos es gratuito. Sin embargo, de conformidad con el artículo 12, apartado 5, del RGPD, podremos cobrar una tasa razonable o negarnos a tramitar solicitudes manifiestamente infundadas o excesivas.

Si considera que sus derechos no han sido atendidos adecuadamente, tiene derecho a presentar una reclamación ante la Autoridad Española de Protección de Datos (AEPD) (www.aepd.es), C/ Jorge Juan, 6, 28001 Madrid.

Quejas y reclamaciones de clientes (aplicable a clientes institucionales B2B). De conformidad con la normativa financiera española aplicable, cualquier queja, incidencia o reclamación presentada recibirá un acuse de recibo con un número de referencia único. Para las solicitudes de derechos de protección de datos responderemos dentro de los plazos del artículo 12 del RGPD; para las reclamaciones de servicios financieros conforme a la normativa española aplicable proporcionaremos una resolución motivada en el plazo de dos meses desde su recepción (o en 15 días hábiles para incidencias relacionadas con pagos según la PSD2, cuando proceda).

Puede consultar la lista de autoridades nacionales de protección de datos de la UE en el sitio web del Comité Europeo de Protección de Datos (https://edpb.europa.eu).

Puede ejercer sus derechos poniéndose en contacto con nosotros a través de los datos de contacto que encontrará en la sección "Contáctenos" a continuación.

Para obtener más información sobre sus derechos, puede ponerse en contacto con la autoridad de control de protección de datos de su jurisdicción:

En el Reino Unido, la autoridad supervisora de protección de datos es la Oficina del Comisionado de Información ("ICO").

Autoridad de control en España: Agencia Española de Protección de Datos (AEPD).

Cómo gestionamos las solicitudes: Podemos solicitar información adicional razonable para verificar su identidad y proteger sus datos; responderemos dentro de los plazos legales aplicables.‍

12. Contáctanos

Si desea obtener más información sobre la recopilación, el uso, la divulgación, la transferencia o el procesamiento de sus datos personales o sobre el ejercicio de cualquiera de los derechos mencionados anteriormente, dirija sus preguntas, comentarios y solicitudes a dpo@due.network .

Podemos actualizar este aviso periódicamente. Cuando los cambios sean sustanciales, le notificaremos por los medios adecuados (por ejemplo, por correo electrónico o mediante una notificación en el panel de control/portal, si lo hubiera). La fecha de la última actualización aparece al principio del aviso.

‍

DUE

Productos

  • Cuentas Globales
  • Pagos
  • Transferencias
  • API

Use cases

  • Fintech
  • Payroll
  • Crypto/Web3
  • Remittance
  • Trading
  • Banks/PSPs

Compañía

  • Sobre nosotros
  • Carreras
  • Prensa

Resources

  • Blog
  • Centro de Ayuda
  • Docs de la API

Legal

  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies
  • Canal de Denuncias
  • Legales
SIGN UPSIGN IN
join nowsign in
es
English
Español
Português
© Due Ltd 2026
Due Ltd is registered in England and Wales (company number 14369984). Due Ltd is a technology services provider, not a bank.
‍
Due Payments Inc. (reg. number 1000864948) is a company incorporated in Ontario, Canada. Due Payments Inc. is registered and regulated by Financial Transactions and Report Analysis Centre (FINTRAC), Canada as a Money Service Business. MSB registration number: C100000185. Due Payments Inc. is also registered as a Payment Service Provider (PSP) and regulated by Bank of Canada.
‍
Due Network, S.L. (CIF B16407272) is a company incorporated in Spain and registered as a Crypto Assets Service Provider (CASP) regulated by Comisión Nacional del Mercado de Valores (CNMV) under European MiCA regime.

Due Technologies Inc. is registered in the United States in the State of Delaware. Due Technologies Inc. partners with licensed financial institutions and is a technology services provider, not a bank.
‍
Due Tecnologia Brasil Ltda. is a private limited liability company registered  under CNPJ/ME No. 58.138.976/0001-05 and incorporated under the Laws of Brazil.
International Money Transfers
|
Currency Converter
|
Global Accounts
|
Swift/BIC codes
|
IBAN codes