Política de Privacidad

Versión: 2.0

Última actualización: 8 de junio de 2026

Vigencia: desde el 8 de junio de 2026

Esta política está disponible públicamente sin necesidad de iniciar sesión en vidamialife.com/privacidad.

En Vidamia tomamos la privacidad de nuestros clientes con la seriedad que merece. Esta política explica de manera detallada qué datos personales recolectamos, con qué finalidad, con quién los compartimos, cómo los protegemos, cuáles son tus derechos como titular y cómo puedes ejercerlos.

Esta política aplica al sitio web vidamialife.com, a sus subdominios (ofertas.vidamialife.com, api.vidamialife.com), a la aplicación móvil de Vidamia cuando esté disponible en Google Play y App Store, y a cualquier interacción que tengas con nosotros por canales digitales (WhatsApp Business, email, formularios de contacto).

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es Vidamia, marca comercial bajo la cual se opera el comercio electrónico de suplementos alimenticios en el Perú a través del sitio web vidamialife.com y sus aplicaciones asociadas.

Razón social: INANLABS SAC

RUC: 20614998581

Marca comercial: VIDAMIA (registrada en INDECOPI, titular: INANLABS SAC)

Representante legal: Saul Ángel Quispe Escobar

Domicilio fiscal: Mz. G Lt. 09, AA.HH. Municipal José Carlos Mariátegui, distrito de San Martín de Porres, provincia y departamento de Lima, Perú.

Sitio web: https://vidamialife.com

Email general: hola@vidamialife.com

Email de soporte: soporte@vidamialife.com

Email para ejercicio de derechos ARCO y privacidad: privacidad@vidamialife.com

WhatsApp para consultas de privacidad: +51 903 576 279 (escribe indicando el asunto para que podamos atenderte).

Encargado interno de protección de datos: Vidamia no cuenta con un Oficial de Protección de Datos (DPO) formalmente designado. El rol funcional lo cubre el representante legal de INANLABS SAC, quien atiende las solicitudes ARCO a través del email privacidad@vidamialife.com.

Inscripción del banco de datos personales: INANLABS SAC reconoce su obligación de inscribir sus bancos de datos personales ante la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia y Derechos Humanos del Perú, conforme al artículo 29 de la Ley 29733 y su Reglamento. Esta sección se actualizará con el código de inscripción una vez completado el trámite ante la ANPDP.

3. Datos personales que recolectamos

Recolectamos los siguientes datos personales en los momentos en que interactúas con nosotros. La gran mayoría provienen directamente de ti (los proporcionas al registrarte, comprar o contactarnos); otros se generan automáticamente por uso del servicio (cookies, logs).

3.1 Datos de identificación

  • Nombre completo (al registrarte o al hacer una compra como invitado).
  • Documento de identidad: DNI (8 dígitos), CE, Pasaporte o RUC para personas con negocio.
  • Fecha de nacimiento (verificación de mayoría de edad — 18 años cumplidos).

3.2 Datos de contacto

  • Correo electrónico (canal principal para transaccionales y verificación).
  • Número de WhatsApp / celular en formato peruano (9XXXXXXXX), normalizado internamente al formato E.164 (51XXXXXXXXX).
  • Celular secundario (opcional).
  • Direcciones de entrega: departamento, provincia, distrito, dirección exacta, referencias, tipo de lugar (casa / oficina / otro), datos opcionales del destinatario alternativo (nombre y celular), latitud/longitud y URL de Google Maps si decides compartir tu ubicación precisa para optimizar la entrega.

3.3 Datos de cuenta y autenticación

  • Contraseña: almacenada únicamente como hash criptográfico argon2id. Nunca conservamos la contraseña en texto plano ni la enviamos por email.
  • Identificador OAuth de Google cuando eliges "Continuar con Google".
  • Identificador OAuth de Facebook cuando eliges "Continuar con Facebook".
  • Tokens internos de verificación de email, recuperación de contraseña y eliminación de cuenta (almacenados solo como hash SHA-256 con expiración corta).
  • Metadatos de sesión: último inicio, intentos fallidos, bloqueo temporal por seguridad, IP y user agent del dispositivo que se conecta.

3.4 Datos transaccionales y de facturación

  • Pedidos, productos, cantidades, precios, fechas, código de seguimiento, fecha estimada de entrega.
  • Tipo de comprobante (boleta o factura) y, cuando emites factura, RUC y razón social.
  • Datos de pago tokenizados: identificador de cliente y de tarjeta en MercadoPago, últimos 4 dígitos, marca, mes/año de expiración, nombre del titular y un apodo opcional que tú asignas. Nunca almacenamos el número completo de tarjeta (PAN) ni el código de seguridad (CVV) en nuestros servidores; estos datos viajan directamente a MercadoPago a través de iframes seguros bajo el estándar PCI DSS SAQ A.
  • Datos del destinatario en envíos a provincia: nombre y DNI del destinatario si es diferente del titular (requisito de las agencias).

3.5 Datos del programa Plan Vida y VidaPuntos

  • Estado de membresía Plan Vida (activa, cancelada, pausada), fechas de activación y vigencia trimestral. La renovación se gestiona manualmente por WhatsApp; no realizamos cobros recurrentes automáticos.
  • Saldo de cashback acumulado, historial de movimientos (acreditaciones, aplicaciones, caducidades).
  • Saldo de VidaPuntos, nivel calculado en una ventana móvil de 12 meses (rolling), historial de emisión y canje, eventos de la ruleta de producto gratis.
  • Código personal de referidos, vínculo con quien te invitó (si aplica), contador de referidos exitosos.

3.6 Datos del Libro de Reclamaciones (INDECOPI)

Cuando presentas un reclamo formal, conservamos por mandato legal: nombre, DNI, email, celular, descripción del reclamo, archivos adjuntos, solución solicitada, dirección IP y user agent en el momento de la presentación. Esta información no se borra al eliminar tu cuenta porque la Ley 29571 exige conservarla.

3.7 Datos de comunicaciones

  • Mensajes de WhatsApp (texto, audios, imágenes, comprobantes) que intercambias con nosotros. Los audios pueden ser transcritos automáticamente a texto para que un agente humano o asistido por IA pueda atenderte.
  • Si llegas a nuestro WhatsApp desde un anuncio Click-to-WhatsApp, registramos el identificador del anuncio (ctwa_clid), campaña, conjunto de anuncios y cuenta publicitaria origen.
  • Emails que nos envías por contacto, soporte o consulta de privacidad.

3.8 Datos de navegación y dispositivo

  • Dirección IP, user agent del navegador o app, tipo de dispositivo, sistema operativo, idioma preferido.
  • Páginas visitadas, productos vistos, eventos de navegación (clicks, scroll, tiempo en página), interacciones con el carrito.
  • Token del dispositivo para notificaciones push (FCM en Android, APNs en iOS), versión de la app, fecha de último uso.
  • Identificador del navegador para deduplicar eventos entre el cliente y el servidor (parámetro event_id).

3.9 Datos publicitarios y de atribución

  • Cookies de medición publicitaria (_fbp, _fbc, _ttp, ttclid, fbclid), capturadas únicamente si nos diste consentimiento de marketing.
  • Identificador de la campaña y del anuncio que originó tu primera visita (atribución de "primer toque") y del anuncio asociado a cada compra (atribución multi-toque).
  • Identificador pseudonimizado HMAC (external_id_hmac) usado para deduplicar eventos en Meta Conversions API sin exponer tu identificador interno.

3.10 Datos sensibles de salud — declaración por inferencia

Vidamia no solicita ni almacena datos sensibles de salud estrictos (historia clínica, diagnósticos, biometría, análisis de laboratorio) según el artículo 13.5 de la Ley 29733. Sin embargo, dado que comercializamos suplementos alimenticios, tu historial de compras puede permitir inferencias sobre aspectos específicos de tu salud o nutrición (por ejemplo, comprar Omega-3, vitaminas prenatales o melatonina puede sugerir intereses sanitarios). Por esta razón tratamos tu historial de compras con el mismo estándar de cuidado que aplicaríamos a un dato sensible: acceso restringido, no se vende ni se cede a terceros con fines distintos a operar el servicio, y los segmentos publicitarios que construimos con Meta/TikTok se basan en categorías agregadas, no en condiciones de salud individuales.

3.11 Datos operativos y de seguridad

  • Nivel de riesgo interno (riskLevel) calculado a partir de indicadores antifraude.
  • Notas internas del operador en tu ficha (solo accesibles al equipo autorizado, no se incluyen en el export ARCO).
  • Bitácoras de auditoría con las acciones realizadas sobre tu cuenta, IP, user agent y hash pseudonimizado del titular.
  • Device ID antifraude generado por MercadoPago en el checkout (script security.js de MP) — necesario para prevenir fraude bajo PCI DSS.
  • Token de reCAPTCHA v3 en formularios sensibles para distinguir humanos de bots.

4. Finalidades del tratamiento y base legal

Tratamos tus datos personales únicamente para las finalidades indicadas a continuación. Para cada finalidad indicamos la base legal aplicable bajo la Ley 29733 y, cuando corresponde, su equivalente bajo el GDPR.

FinalidadBase legal
Crear y mantener tu cuenta, autenticarte, recuperar contraseña.Ejecución de contrato (Ley 29733 art. 14.1.b; GDPR art. 6.1.b).
Verificar mayoría de edad (los suplementos alimenticios se ofrecen solo a personas de 18 años o más).Obligación legal (protección al menor) e interés legítimo en cumplir restricciones de venta.
Procesar y entregar pedidos: cobrar, emitir comprobante, coordinar envío, comunicarte el estado.Ejecución de contrato + obligación legal (SUNAT).
Emisión electrónica de boletas y facturas a SUNAT vía NubeFact.Obligación legal (Código Tributario).
Gestionar Plan Vida (membresía trimestral, cashback con renovación manual por WhatsApp) y VidaPuntos (emisión, canje, ruleta, niveles).Ejecución de contrato (programa de lealtad).
Operar el programa de referidos.Ejecución de contrato.
Atención al cliente vía WhatsApp Business, email, formulario y panel "Mi trayecto", incluyendo asistencia automatizada por inteligencia artificial.Ejecución de contrato + interés legítimo (atención eficiente).
Atender reclamos formales del Libro de Reclamaciones y, si escala, reportarlos a INDECOPI.Obligación legal (Ley 29571).
Enviar comunicaciones transaccionales (confirmación, despacho, entrega, eliminación de cuenta, comprobante, OTPs).Ejecución de contrato (no se requiere consentimiento de marketing porque son obligatorias para el servicio).
Enviar marketing por WhatsApp, email o push (ofertas, novedades, lanzamientos).Consentimiento expreso revocable (Ley 29733 art. 13/14.5; Ley 28493; GDPR art. 6.1.a).
Medir conversiones y optimizar campañas publicitarias (Meta Ads, TikTok Ads, Google Ads), incluyendo envío server-side de eventos a Meta Conversions API y TikTok Events API con identificadores hasheados.Consentimiento expreso para cookies y pixel browser-side + interés legítimo ponderado para el envío server-side (medición de inversión publicitaria; el titular puede excluirse en cualquier momento — ver sección 9).
Analítica de uso (Google Analytics 4, Microsoft Clarity con grabación de sesiones y mapas de calor) para mejorar el servicio.Consentimiento expreso a través del banner de cookies.
Prevención de fraude, abuso y suplantación: reCAPTCHA, Device ID antifraude, lockout por intentos fallidos, scoring interno de riesgo.Interés legítimo + obligación legal (prevención de lavado de activos).
Auditoría interna de seguridad, monitoreo de incidentes, investigación de incidentes.Interés legítimo + obligación legal.
Cumplimiento de requerimientos de autoridades competentes (Poder Judicial, Fiscalía, SUNAT, INDECOPI, ANPDP, UIF).Obligación legal.

Cambio de finalidad: si en el futuro necesitamos tratar tus datos para una finalidad distinta de las indicadas, te informaremos previamente y, cuando la base legal sea consentimiento, te pediremos uno nuevo de forma expresa.

5. Con quién compartimos tus datos

Compartimos tus datos personales con un número limitado de terceros que actúan como encargados de tratamiento (procesan datos por cuenta de Vidamia bajo instrucciones contractuales) o como responsables independientes (operan bajo su propio marco legal, como autoridades públicas o pasarelas de pago). La siguiente tabla enumera exhaustivamente cada tercero:

Vidamia NO vende tus datos personales a terceros. Cualquier compartición fuera de los casos listados a continuación requiere mandato judicial o de autoridad competente.

TerceroPaísDatosPropósitoPolítica
MercadoPago Perú (Mercado Libre Inc.)Perú / Argentina / EE.UU.Nombre, email, teléfono, DNI, dirección de envío, monto, ítems, IP, Device ID antifraude. Tokens de tarjeta para pagos guardados (recompra rápida iniciada por el Cliente); NO realizamos cobros recurrentes automáticos.Procesamiento de pagos, tokenización PCI SAQ A, antifraude.mercadopago.com.pe/privacidad
NubeFact S.A.C.PerúNombre o razón social, DNI/RUC, dirección, ítems del pedido, montos, email.Emisión electrónica de boletas y facturas, retransmisión a SUNAT.nubefact.com
SUNATPerúDNI/RUC, razón social, monto, ítems, serie/número del comprobante.Receptor final de comprobantes electrónicos por obligación tributaria.gob.pe/sunat
INDECOPIPerúDatos del reclamo formal cuando escala desde el Libro de Reclamaciones.Tutela del consumidor por obligación legal.gob.pe/indecopi
Shalom Empresarial S.A.C.PerúNombre, DNI, teléfono y agencia destino del destinatario (en la guía física); número de tracking vía API.Envío por agencia a provincias.shalom.com.pe
Olva Courier S.A.C.PerúMismos datos que Shalom para envíos por agencia.Envío por agencia a provincias.olvacourier.com
Motorizados propios / LimaPerúNombre, celular, dirección, referencias y monto a cobrar contra entrega cuando aplica.Entrega en Lima.
Google LLCEE.UU.Sign in with Google (identificador OAuth, email, nombre), reCAPTCHA v3 (token, IP), Google Analytics 4 (eventos, cookies _ga, IP).Autenticación opcional, anti-bot, analítica de uso.policies.google.com/privacy
Meta Platforms Inc. (Facebook, Instagram, WhatsApp)EE.UU. (Irlanda para EU)Sign in with Facebook (opcional, identificador OAuth); Píxel browser-side (cookies _fbp, _fbc, fbclid); Conversions API server-side (hashes SHA-256 de email, teléfono, nombre, ciudad; IP; user agent; eventos de conversión; ctwa_clid); WhatsApp Business (número del cliente, mensajes intercambiados, media adjunta).Atribución y optimización publicitaria, autenticación, mensajería conversacional.facebook.com/policy.php
TikTok Pte. Ltd. / ByteDanceSingapur con transferencia a EE.UU.Píxel browser-side (cookies _ttp, ttclid); Events API server-side (hashes SHA-256 de email, teléfono; IP; user agent; eventos de conversión).Atribución y optimización publicitaria en TikTok Ads.tiktok.com/legal/privacy-policy
Microsoft Corporation (Clarity)EE.UU.Grabación de sesión (movimientos del mouse, clicks, scrolls, teclas no enmascaradas), mapas de calor, cookies _clck, _clsk, MUID; IP, user agent.Analítica visual de uso para mejorar la experiencia. Esta herramienta sí permite reproducir visualmente la navegación del usuario logueado; los campos con datos sensibles (contraseñas, números de tarjeta) están enmascarados.privacy.microsoft.com
Anthropic PBC (modelo Claude)EE.UU.Contenido de los mensajes que envías por WhatsApp Business (texto y transcripciones de audio), contexto reciente de la conversación, eventualmente tu nombre y código del pedido cuando se requieren para responderte.Asistencia conversacional automatizada (clasificación de intención, triage, generación de respuestas y resúmenes). Anthropic no entrena modelos con los datos enviados vía API comercial.anthropic.com/legal/privacy
OpenAI L.L.C. (Whisper y GPT)EE.UU.Audios que envías por WhatsApp para ser transcritos por Whisper; opcionalmente contenido de conversación si se usa GPT como alternativa al modelo Claude.Transcripción de audios y asistencia conversacional. OpenAI no entrena modelos con los datos enviados vía API por defecto.openai.com/policies/privacy-policy
Resend Inc.EE.UU.Email del destinatario, nombre, contenido del mensaje (verificación de email, OTP de eliminación, recuperación de contraseña, confirmación de pedido, notificaciones del Plan Vida e invitaciones a operadores).Envío de correos transaccionales vía SMTP.resend.com/legal/privacy-policy
Firebase Cloud Messaging (Google)EE.UU.Token del dispositivo Android, contenido de la notificación push.Entrega de notificaciones push a la app Android.firebase.google.com/support/privacy
Apple Push Notification Service (Apple)EE.UU.Token del dispositivo iOS, contenido de la notificación.Entrega de notificaciones push a la app iOS (cuando esté disponible).apple.com/legal/privacy
Hostinger International Ltd.Lituania (UE) con datacenter en EE.UU. (Boston)Acceso técnico como encargado de tratamiento a todos los datos almacenados (base de datos, archivos, logs).Hosting VPS de la API, panel OS, web pública y landings; backups; DNS de vidamialife.com y subdominios.hostinger.com/legal/privacy-policy

Acuerdos contractuales: con cada encargado de tratamiento mantenemos —o estamos en proceso de formalizar— un acuerdo de procesamiento de datos (DPA) que limita el uso de los datos a los fines aquí descritos, exige medidas de seguridad equivalentes a las nuestras y, cuando aplica, incorpora las Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea para transferencias internacionales.

6. Cookies y tecnologías similares

Usamos cookies, almacenamiento local del navegador y otras tecnologías similares para que el servicio funcione, recordar tus preferencias y medir el desempeño del sitio. Te pedimos consentimiento a través de un banner antes de activar las cookies no esenciales. Puedes cambiar tu decisión en cualquier momento visitando vidamialife.com/excluir (opt-out completo del tracking) o limpiando tus cookies desde el navegador.

6.1 Inventario de cookies y almacenamiento local

NombreCategoríaPropietarioDuraciónPropósito
vm_sessionEsencialVidamia (primera parte)15 minutosToken de sesión JWT del usuario autenticado.
vm_refreshEsencialVidamia (primera parte)30 díasToken de refresco para renovar la sesión sin re-login.
vm_referralEsencialVidamia (primera parte)30 díasCódigo de referido capturado al ingresar por un link de invitación.
vm_pending_couponEsencialVidamia (primera parte)30 minutosCupón pendiente de aplicar cuando agregues productos al carrito.
vidamia_no_trackEsencial (opt-out)Vidamia (primera parte)5 añosExclusión voluntaria de toda telemetría (uso interno o si visitas /excluir).
vidamia_consent_v1 (localStorage)EsencialVidamia (primera parte)12 meses (re-prompt)Decisión del banner de cookies (analítica on/off, marketing on/off, fecha, versión).
Carrito persistido (localStorage)EsencialVidamia (primera parte)Hasta que lo vacíes o limpies cookiesProductos, cantidades, cupón y puntos aplicados.
_ga, _ga_*AnalíticaGoogle Analytics 424 mesesIdentificación pseudonimizada del navegador y medición de eventos.
_clck, _clsk, MUID, ANONCHKAnalíticaMicrosoft Clarity1 día a 13 meses según la cookieGrabación de sesión, mapas de calor, identificación pseudonimizada del navegador.
_fbp, _fbcMarketingMeta Platforms3 mesesIdentificación del navegador para Meta Pixel y deduplicación con Conversions API.
_ttpMarketingTikTok / ByteDance13 mesesIdentificación del navegador para TikTok Pixel y deduplicación con Events API.
Cookies del checkout MercadoPagoEsencialMercadoPagoSegún política de MercadoPagoAntifraude y procesamiento PCI del pago — necesarias para completar la compra.

6.2 Gestión del consentimiento

  • Los SDKs de Meta, TikTok, GA4 y Microsoft Clarity solo se cargan si das consentimiento. Antes del consentimiento no hay pings cookieless.
  • La opción de rechazar tiene la misma visibilidad que la de aceptar.
  • Al revocar el consentimiento limpiamos activamente las cookies de terceros (_fbp, _fbc, _ttp, _ga, _clck, _clsk) del dominio.
  • El banner se vuelve a mostrar automáticamente cada 12 meses para que confirmes que tu decisión sigue vigente.
  • Visitando vidamialife.com/excluir activas un opt-out global por 5 años: dejamos de cargar pixels y dejamos de enviar eventos server-side asociados a tu dispositivo.

7. Transferencias internacionales

Al usar Vidamia, algunos de tus datos se transfieren fuera del Perú porque trabajamos con proveedores tecnológicos internacionales que no han sido declarados con nivel adecuado de protección por la ANPDP. Las transferencias se amparan en el artículo 15 y 16 de la Ley 29733, en consentimiento informado (al aceptar esta política y las cookies correspondientes) y en garantías contractuales con cada destinatario:

  • Estados Unidos: Meta, Google, Microsoft, Anthropic, OpenAI, Resend, FCM, APNs. Garantías: Cláusulas Contractuales Estándar (SCC) y, cuando corresponde, certificaciones EU-US Data Privacy Framework (DPF).
  • Singapur: TikTok Pte. Ltd. (con transferencia subsiguiente a EE.UU.). Garantías: SCC firmadas en los términos de TikTok For Business.
  • Argentina y Brasil: MercadoPago para procesamiento de pagos y tokenización. Garantías: contrato de procesador.
  • Lituania (UE) con datacenter en EE.UU.: Hostinger. Garantías: contrato de hosting con cláusulas de tratamiento conforme al GDPR.

6.1 Meta Platforms — Conversions API. Vidamia envía eventos de conversión a Meta a través de su Conversions API server-side. Los identificadores transmitidos (email, teléfono, nombre, ciudad, código postal) se hashean previamente con SHA-256; Meta no recibe estos datos en texto plano. También se transmiten las cookies _fbp, _fbc y, cuando aplica, el ctwa_clid (identificador del click en un anuncio Click-to-WhatsApp), la IP, el user agent y los metadatos del evento (tipo, valor, moneda, IDs de productos). La finalidad es atribución de conversiones, optimización de campañas y construcción de audiencias similares (no realizamos perfilado individual con efecto jurídico relevante).

6.2 TikTok — Events API. Cuando ejecutamos campañas en TikTok Ads enviamos eventos análogos vía su Events API con el mismo mecanismo de hashing SHA-256 y las cookies _ttp y ttclid.

6.3 Meta Data Deletion Callback. Si solicitas a Meta la eliminación de los datos asociados a tu cuenta de Facebook o Instagram, Meta nos notifica automáticamente. Al recibir esa notificación procesamos la eliminación de las cookies de tracking, del vínculo entre tu cuenta de Meta y la de Vidamia, y marcamos tus eventos previos para que no se incluyan en envíos futuros ni en audiencias derivadas. El proceso queda registrado en nuestra bitácora de auditoría.

6.4 Opt-out de atribución publicitaria. Puedes oponerte en cualquier momento al envío server-side de eventos a Meta y TikTok sin afectar tu acceso al servicio. Escribe a privacidad@vidamialife.com desde el email registrado en tu cuenta indicando "Opt-out de atribución publicitaria" o visita vidamialife.com/excluir. Procesamos la solicitud dentro de los 10 días hábiles siguientes y te confirmamos por email.

8. Plazos de conservación

Conservamos cada categoría de datos solo durante el tiempo necesario para cumplir con la finalidad para la que se recolectó y con las obligaciones legales aplicables. La siguiente tabla resume los plazos por categoría:

CategoríaPlazoFundamento
Datos de cuenta del cliente activo (perfil, direcciones, métodos de pago tokenizados)Mientras la cuenta exista + 7 días de gracia tras solicitar eliminaciónEjecución de contrato y derecho de cancelación de la eliminación.
Comprobantes electrónicos SUNAT (boletas y facturas)10 añosCódigo Tributario peruano (art. 87) y normas SUNAT.
Datos transaccionales mínimos asociados al pedido5 añosConservación contable y antifraude.
Reclamos formales del Libro de Reclamaciones2 añosLey 29571 y Decreto Supremo 011-2011-PCM.
Marketing (preferencias de canal, segmentos): hasta revocaciónHasta revocaciónConsentimiento revocable Ley 29733 art. 18.
Eventos enviados a Meta Conversions API y TikTok Events API90 días en caliente en nuestros sistemas, luego agregación anónimaInterés legítimo de medición publicitaria.
Conversaciones de WhatsApp Business (texto, audio, transcripciones)24 mesesSoporte, disputas y mejora del asistente IA; luego anonimización.
Bitácoras de auditoría (acciones del titular y del operador)2 añosSeguridad, forense de incidentes.
Logs HTTP del servidor con IP30 a 90 díasOperación y seguridad.
Tokens de sesión y OTPVencimiento automático en minutos a 30 díasSeguridad.
Push tokens invalidados90 díasLimpieza operativa.
Backups encriptados de la base de datos30 días con rotaciónContinuidad operativa y recuperación ante desastres.

Tras la eliminación de tu cuenta, los datos que conservamos por obligación legal quedan disociados de tu identidad civil y sólo se mantienen para los fines fiscales o legales que correspondan, no para marketing ni perfilado.

9. Tus derechos y cómo ejercerlos

Como titular de datos personales bajo la Ley 29733, tienes los siguientes derechos (conocidos como derechos ARCO + portabilidad). Vidamia te ofrece atajos en la app/web para los derechos que permiten auto-servicio y un canal de contacto para el resto.

9.1 Derechos disponibles

  • Derecho de información (art. 18): ser informado sobre el tratamiento. Lo cumplimos con esta política.
  • Derecho de acceso (art. 19): obtener una copia estructurada de los datos personales que mantenemos sobre ti. Atajo: Mi cuenta → Configuración → Descargar mis datos (formato JSON, una vez cada 24 horas). Plazo legal subsidiario: 10 días hábiles a través de privacidad@vidamialife.com.
  • Derecho de rectificación (art. 20): corregir datos inexactos o desactualizados. Atajo: Mi cuenta → Mi perfil (edición directa de nombre, teléfono, marketing). La rectificación de DNI, fecha de nacimiento y email requiere contactar a soporte para validar identidad y prevenir suplantación; plazo: 20 días hábiles.
  • Derecho de cancelación / supresión (art. 20): eliminar tu cuenta y datos asociados. Atajo: Mi cuenta → Configuración → Eliminar cuenta. Para usuarios sin acceso a su cuenta, el formulario público vidamialife.com/eliminar-cuenta. Ver sección 10 para más detalle.
  • Derecho de oposición (art. 22): oponerte al tratamiento para finalidades específicas, especialmente marketing y atribución publicitaria. Atajos: revoca marketing por WhatsApp en Mi cuenta → Mi perfil; exclúyete del tracking visitando vidamialife.com/excluir; solicita opt-out de Meta CAPI / TikTok Events API escribiendo a privacidad@vidamialife.com.
  • Derecho de revocación del consentimiento: en cualquier momento, sin efectos retroactivos y sin afectar la legalidad del tratamiento previo.
  • Portabilidad: recibir tus datos en formato estructurado y legible por máquina (JSON), incluido en el export de acceso.
  • Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos relevantes: ver sección 11.
  • Derecho de tutela administrativa: presentar reclamo ante la Autoridad Nacional de Protección de Datos Personales (ANPDP-MINJUS) en gob.pe/minjus si consideras que vulneramos tus derechos.

9.2 Canal único de ejercicio

Cuando los atajos en la app/web no resuelvan tu necesidad, escribe a privacidad@vidamialife.com desde el email registrado en tu cuenta, indicando tu DNI para verificar identidad y describiendo el derecho que quieres ejercer. Plazos máximos (computados desde recepción):

  • Acceso: 10 días hábiles (Reglamento art. 53).
  • Rectificación, cancelación y oposición: 20 días hábiles (Reglamento art. 54-56).

Si por la complejidad del pedido necesitamos más tiempo, te avisaremos antes del vencimiento y explicaremos la prórroga.

10. Eliminar tu cuenta

Puedes solicitar la eliminación de tu cuenta en cualquier momento, sin necesidad de justificar el motivo. Ofrecemos dos vías:

  • Estás logueado: Mi cuenta → Configuración → Eliminar cuenta. Te enviamos un código de verificación (OTP) por email; al confirmarlo se inicia una ventana de gracia de 7 días durante la cual puedes cancelar la solicitud para retractarte. Cumplido ese plazo, un proceso automático ejecuta la disociación definitiva.
  • No tienes acceso a tu cuenta o estás en la app previo al login (Google Play Policy 4.4): usa el formulario público en vidamialife.com/eliminar-cuenta. Recibimos el pedido, verificamos identidad y eliminamos en un máximo de 20 días hábiles.

10.1 Qué eliminamos (disociación de PII)

  • Nombre, email, DNI, fecha de nacimiento, teléfono principal y secundario.
  • Vínculos OAuth con Google y Facebook.
  • Hash de contraseña.
  • Direcciones de entrega y datos del destinatario alternativo.
  • Métodos de pago tokenizados: los tokens de MercadoPago se revocan y el identificador de cliente en MercadoPago se elimina.
  • Preferencias de marketing y consentimientos asociados.
  • Tokens de notificaciones push.
  • Identificadores publicitarios propios: cookies de tracking asociadas, vinculación pseudonimizada con Meta/TikTok, first-touch attribution. Tus eventos previamente enviados se marcan para no incluirse en futuros envíos ni en audiencias derivadas.
  • Membresía Plan Vida activa: se cancela en el acto, sin devolución proporcional. El cashback acumulado se pierde sin posibilidad de retiro a efectivo, dado su carácter de beneficio promocional.
  • Saldo de VidaPuntos: se pierde sin posibilidad de canje. El nivel y el historial se eliminan.
  • Código de referido y vínculo con quien te invitó (los referidos que tú generaste mantienen los beneficios obtenidos).
  • Sesiones activas: se revocan todas inmediatamente al confirmar la eliminación.
  • Propagación a Meta vía Data Deletion API (ver sección 7.3).

10.2 Qué conservamos por obligación legal

  • Comprobantes electrónicos (boletas y facturas) por 10 años (Código Tributario).
  • Datos transaccionales mínimos por 5 años (registro contable).
  • Reclamos formales del Libro de Reclamaciones por 2 años (Ley 29571).
  • Bitácoras de auditoría pseudonimizadas por 2 años (seguridad y forense).

Esta información queda disociada de tu identidad civil: la fila no se borra (rompería la integridad referencial), pero el contenido personal se anonimiza con marcadores como [Cuenta eliminada]. Solo se accede para los fines legales que justificaron la conservación.

10.3 Confirmación

Te enviamos un email out-of-band en cada etapa del proceso (solicitud recibida, confirmada con OTP, cancelada durante la gracia y procesada definitivamente).

11. Decisiones automatizadas y perfilado

Usamos algoritmos para apoyar nuestras operaciones. Ninguno de los siguientes tratamientos constituye una "decisión exclusivamente automatizada con efectos jurídicos relevantes" en el sentido del artículo 22 del GDPR ni del artículo 23 de la Ley 29733: todos permiten revisión humana cuando afectan al titular.

  • Cálculo del nivel VidaPuntos: determinado de forma automática por los puntos acumulados en una ventana de 12 meses móviles. Es una clasificación promocional, no afecta tu capacidad de comprar ni recibir el servicio.
  • Recomendaciones de productos y cupones: generadas a partir de tu historial reciente con fines de personalización; no constituyen una decisión que afecte derechos.
  • Scoring interno de riesgo (riskLevel): calculamos un nivel para priorizar revisión humana ante posibles fraudes (devoluciones reiteradas, intentos fallidos sospechosos). La suspensión o bloqueo de una cuenta es decidida por un operador humano luego de la revisión.
  • Asistencia conversacional por IA (Anthropic / OpenAI) en WhatsApp: nuestro asistente puede responder de manera automática consultas frecuentes, clasificar la intención y sugerir respuestas a un agente humano. El asistente no toma decisiones con efecto jurídico relevante (no aprueba reclamos, no autoriza devoluciones, no suspende cuentas). Cuando el caso lo amerite, un operador humano interviene.
  • Antifraude de MercadoPago y reCAPTCHA: son terceros que pueden bloquear transacciones de manera automatizada según sus propias reglas. Si tu pago es rechazado por antifraude puedes contactarnos para revisión humana.

Si consideras que una decisión automatizada te afectó negativamente, puedes escribir a privacidad@vidamialife.com solicitando revisión humana, expresando tu punto de vista y, si corresponde, impugnando la decisión.

12. Menores de edad

Vidamia comercializa suplementos alimenticios y por esa razón está dirigido únicamente a personas mayores de 18 años. Verificamos la mayoría de edad solicitando la fecha de nacimiento al registrarte y al completar el onboarding; el sistema rechaza cualquier registro con menos de 18 años cumplidos.

No recolectamos intencionadamente datos personales de menores. Si un padre, madre o tutor legal detecta que un menor ha creado una cuenta de manera fraudulenta, puede solicitar la eliminación inmediata escribiendo a privacidad@vidamialife.com. Al verificar la condición de menor cerramos la cuenta y eliminamos los datos en un plazo máximo de 5 días hábiles, sin necesidad de los 7 días de gracia que aplican a usuarios adultos.

13. Cómo protegemos tus datos

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos personales contra acceso no autorizado, alteración, pérdida o divulgación indebida:

  • Cifrado en tránsito: HTTPS/TLS 1.2 o superior en toda comunicación con el sitio, la app y la API.
  • Cifrado en reposo: AES-256-GCM para secretos sensibles almacenados (tokens API de proveedores, credenciales).
  • Contraseñas: hasheadas con argon2id (no recuperables). Política de complejidad mínima y bloqueo progresivo por intentos fallidos.
  • OTP para operaciones sensibles: verificación de email, recuperación de contraseña y eliminación de cuenta.
  • PCI DSS SAQ A: los datos de tarjeta nunca tocan nuestros servidores; viajan directo a MercadoPago vía iframes seguros.
  • Tokens de sesión cortos: 15 minutos para el access token + rotación del refresh token; invalidación masiva en eventos de seguridad.
  • Bitácora de auditoría: todas las acciones administrativas y de privacidad quedan registradas con quién, cuándo, IP y user agent.
  • Acceso restringido: el equipo operativo accede a datos personales solo cuando es necesario para la operación, con roles diferenciados y revisión periódica.
  • Backups encriptados con rotación de 30 días.
  • reCAPTCHA y rate limiting en endpoints sensibles para mitigar bots y abuso.
  • Anti-suplantación: el DNI y la fecha de nacimiento son set-once para impedir cambios fraudulentos; la corrección requiere intervención manual de soporte.

Ningún sistema en internet es 100% inviolable. Si detectas un problema de seguridad o sospechas un acceso no autorizado a tu cuenta, escríbenos cuanto antes a privacidad@vidamialife.com.

14. Notificación de brechas de seguridad

Si ocurre un incidente de seguridad que comprometa tus datos personales y represente un riesgo razonable para tus derechos, actuaremos de la siguiente manera:

  • Contención inmediata: aislamos el sistema afectado, revocamos credenciales comprometidas e iniciamos la investigación.
  • Notificación a la ANPDP (MINJUS): en los plazos exigidos por la Ley 29733 y su Reglamento.
  • Notificación a los titulares afectados: por email (al email registrado), por WhatsApp y, si el alcance lo justifica, mediante aviso destacado en el sitio. La notificación incluirá: naturaleza del incidente, categorías de datos afectados, consecuencias previsibles, medidas tomadas y recomendaciones de protección personal.
  • Plazo objetivo de notificación: dentro de las 72 horas posteriores a la confirmación del incidente, siempre que sea razonablemente posible.
  • Bitácora del incidente: mantenemos un registro interno para mejorar nuestras defensas.

Puedes reportar incidentes que sospeches o de los que tengas evidencia escribiendo a privacidad@vidamialife.com con el asunto "Incidente de seguridad".

15. Permisos de la app móvil

La app de Vidamia (Google Play Store y, en el futuro, App Store) funciona principalmente como envoltorio del sitio web. Solicita un único permiso opcional:

  • Notificaciones push: para informarte del estado de tus pedidos (confirmación, despacho, entrega), promociones a las que te suscribiste explícitamente y respuestas de atención al cliente. La entrega se realiza vía Firebase Cloud Messaging (Android) o Apple Push Notification Service (iOS). Puedes activar, gestionar o revocar este permiso en cualquier momento desde los ajustes del sistema operativo o desde tu perfil dentro de la app.

La app NO solicita ni accede a:

  • Ubicación geográfica (GPS o por red)
  • Cámara o micrófono
  • Contactos del teléfono
  • Archivos del dispositivo, fotos o multimedia
  • Calendario, agenda o información de uso de otras apps
  • Sensores físicos (acelerómetro, biometría)

La app no integra Google Play Billing porque comercializamos productos físicos. Los pagos se procesan vía MercadoPago tal como en el sitio web.

16. Información adicional para usuarios en la UE/EEE (GDPR)

Si accedes al servicio desde la Unión Europea o el Espacio Económico Europeo, también te aplica el Reglamento General de Protección de Datos (Reglamento UE 2016/679 — GDPR). Vidamia opera principalmente en el Perú y no se dirige específicamente al mercado europeo, pero respetamos los derechos del GDPR para los visitantes que residan en la UE/EEE.

  • Base legal: las indicadas en la sección 4 (ejecución de contrato Art. 6.1.b, consentimiento Art. 6.1.a, obligación legal Art. 6.1.c, interés legítimo Art. 6.1.f).
  • Derechos adicionales: limitación del tratamiento (Art. 18), portabilidad (Art. 20), retirar el consentimiento sin afectar la legalidad previa (Art. 7.3), no ser objeto de decisiones automatizadas (Art. 22).
  • Transferencias internacionales: al transferir tus datos fuera del EEE aplicamos las Cláusulas Contractuales Estándar aprobadas por la Comisión Europea y, cuando corresponde, certificaciones EU-US DPF de los destinatarios.
  • Autoridad de control: puedes presentar reclamación ante la autoridad de protección de datos de tu Estado miembro de residencia (por ejemplo, la AEPD en España, la CNIL en Francia, el Garante en Italia).
  • No tenemos representante en la UE conforme al Art. 27 porque el tratamiento es ocasional y no implica datos a gran escala de personas en la UE; si esta condición cambia, actualizaremos esta política y designaremos representante.

17. Información adicional para residentes de California (CCPA/CPRA)

Si eres residente de California, la California Consumer Privacy Act y su modificación por la California Privacy Rights Act (CCPA/CPRA) te conceden derechos adicionales sobre tu información personal:

  • Right to Know: derecho a conocer las categorías y elementos específicos de información personal que recolectamos sobre ti.
  • Right to Delete: derecho a solicitar la eliminación de la información personal que mantenemos sobre ti.
  • Right to Correct: derecho a corregir información personal inexacta.
  • Right to Opt-Out of Sale or Sharing: Vidamia no vende información personal. Sin embargo, bajo la definición amplia de la CPRA, el envío server-side de eventos de conversión a Meta y TikTok podría considerarse "sharing for cross-context behavioral advertising". Para optar por no compartir, visita vidamialife.com/excluir o escribe a privacidad@vidamialife.com con el asunto "Do Not Sell or Share My Personal Information".
  • Right to Limit Use of Sensitive Personal Information: tienes derecho a limitar el uso de información personal sensible más allá de los fines necesarios para la prestación del servicio. Vidamia no usa información sensible estricta para construir perfiles de marketing.
  • Right to Non-Discrimination: no recibirás trato discriminatorio por ejercer estos derechos.

Para ejercer estos derechos, escribe a privacidad@vidamialife.com con tu solicitud. Verificaremos tu identidad antes de responder y atenderemos el pedido dentro de los 45 días calendario, prorrogables por 45 días adicionales con notificación previa.

18. Cambios a esta política

Podemos actualizar esta política para reflejar cambios legales, operativos o nuevas integraciones de proveedores. Tratamos los cambios de la siguiente manera:

  • Cambios menores (correcciones de tipeo, aclaraciones, links): se publican subiendo el número de versión menor (por ejemplo 2.1) y actualizando la fecha; no enviamos email obligatorio.
  • Cambios sustanciales (nuevas finalidades, nuevos terceros, cambios de retención, cambio del responsable): suben versión mayor (por ejemplo 3.0), te notificamos por email al registrado en tu cuenta y mostramos un aviso destacado al ingresar a tu cuenta hasta que confirmes que tomaste conocimiento.
  • Historial: mantenemos un registro interno de versiones para fines de auditoría. Si requieres una versión anterior, escríbenos a privacidad@vidamialife.com.

Esta versión 2.0 entró en vigencia el 8 de junio de 2026 y sustituye todas las versiones anteriores.

19. Contacto y oficial de protección de datos

Para cualquier consulta, solicitud o reclamo sobre privacidad y datos personales, comunícate con nosotros por los siguientes canales:

20. Glosario

Dato personal
Cualquier información que identifica o hace identificable a una persona natural.
Titular
La persona natural a quien se refieren los datos.
Responsable del tratamiento
Quien decide las finalidades y medios del tratamiento. En este caso, INANLABS SAC, titular de la marca comercial Vidamia.
Encargado del tratamiento
Quien procesa datos por cuenta del responsable bajo instrucciones contractuales.
Tratamiento
Cualquier operación realizada sobre datos personales (recolección, registro, almacenamiento, uso, comunicación, supresión).
Banco de datos personales
Conjunto organizado de datos personales que permite identificación de personas, sujeto a inscripción ante el RNPDP-MINJUS.
Consentimiento expreso
Manifestación libre, previa, específica e informada por la cual el titular acepta el tratamiento de sus datos.
SCC
Cláusulas Contractuales Estándar aprobadas por la Comisión Europea para legitimar transferencias internacionales.
PCI DSS SAQ A
Nivel mínimo de cumplimiento PCI para comercios que externalizan completamente el manejo de datos de tarjeta a un proveedor certificado (MercadoPago en este caso).
ARCO
Acrónimo de los derechos de Acceso, Rectificación, Cancelación y Oposición que la Ley 29733 reconoce al titular.
CAPI / Events API
Conversions API de Meta y Events API de TikTok: interfaces server-side que envían eventos de conversión a esas plataformas con identificadores hasheados para fines publicitarios.
Hash SHA-256
Función criptográfica unidireccional aplicada antes de enviar identificadores (email, teléfono) a plataformas publicitarias, de modo que estas reciben el hash, no el dato original.
argon2id
Algoritmo de hashing de contraseñas resistente a ataques con hardware especializado; recomendado por OWASP.

Si después de leer esta política tienes dudas, dudas específicas o quieres ejercer cualquier derecho, escríbenos a privacidad@vidamialife.com. Estamos para ayudarte.

Esta política se complementa con nuestros Términos y Condiciones y el Libro de Reclamaciones.