1. Recopilación de Información

1.1 Información que Proporcionas Directamente

Recopilamos información que nos proporcionas cuando:

Te registras en la lista de espera: Nombre completo, dirección de correo electrónico, industria profesional (salud, legal, gobierno, tecnología, otra)
Creas una cuenta: Nombre, correo electrónico, contraseña (hasheada con bcrypt), rol (estudiante, instructor, administrador)
Completas tu perfil: Información demográfica opcional, preferencias de aprendizaje, objetivos profesionales, experiencia previa con ASL
Te inscribes en cursos: Selección de cursos, nivel de habilidad, industria objetivo
Envías tareas o participas en foros: Respuestas a asignaciones, videos de práctica (almacenados con tu consentimiento), mensajes en foros, comentarios
Realizas pagos: Información de facturación (procesada por Stripe, no almacenamos números de tarjeta completos)
Nos contactas: Nombre, correo electrónico, número de teléfono (opcional), mensaje o consulta

1.2 Información Recopilada Automáticamente

Cuando utilizas nuestra plataforma, recopilamos automáticamente:

Datos de uso de la plataforma: Lecciones completadas, tiempo dedicado a cada lección, progreso en cursos, puntuaciones de asignaciones, fecha y hora de actividad
Información del dispositivo: Dirección IP, tipo de navegador, sistema operativo, identificadores únicos del dispositivo, configuración de idioma
Datos de cookies: Cookies de sesión (esenciales), cookies de preferencia, cookies de análisis (ver Sección 5)
Datos de análisis: Páginas visitadas, tiempo en la plataforma, rutas de navegación, interacciones con videos ASL, tasas de finalización de lecciones
Datos de rendimiento: Velocidad de carga de página, errores técnicos, informes de fallos

1.3 Información de Terceros

Podemos recibir información sobre ti de:

Stripe: Estado de pago, historial de transacciones (no almacenamos información de tarjetas)
OAuth (Google/Microsoft): Si optas por autenticarte con OAuth, recibimos tu nombre, correo electrónico y foto de perfil
Empleadores/Instituciones: Si tu empleador o institución educativa te inscribe, podemos recibir tu nombre, correo electrónico y afiliación organizacional

2. Uso de la Información

Utilizamos tu información personal para los siguientes propósitos:

2.1 Provisión de Servicios Educativos

Crear y gestionar tu cuenta de usuario
Procesar inscripciones a cursos (Open Enrollment y Traditional)
Entregar contenido del curso (videos ASL, lecciones, materiales)
Facilitar la interacción con instructores y compañeros de clase
Evaluar tu progreso y proporcionar retroalimentación
Generar certificados de finalización
Proporcionar recomendaciones de cursos personalizadas (basadas en tu progreso e industria)

2.2 Comunicación Contigo

Enviar notificaciones de cuenta (cambios de contraseña, verificación)
Notificarte sobre nuevas asignaciones, calificaciones y actualizaciones de cursos
Responder a tus consultas de soporte técnico (correo, chat en vivo)
Enviar correos de marketing (solo con tu consentimiento, con opción de darse de baja)
Notificarte sobre cambios en nuestros Términos de Servicio o Política de Privacidad

2.3 Mejora de la Plataforma

Analizar patrones de uso para optimizar el diseño del curso
Identificar y corregir problemas técnicos
Realizar pruebas A/B para mejorar la experiencia del usuario
Desarrollar nuevas características y funcionalidades
Medir la efectividad de nuestros métodos de enseñanza de ASL

2.4 Seguridad y Cumplimiento

Prevenir fraude, spam y abuso de la plataforma
Proteger contra acceso no autorizado y ciberataques
Cumplir con obligaciones legales (FERPA, COPPA, CCPA/CPRA, leyes de Puerto Rico)
Responder a solicitudes legales de autoridades gubernamentales
Hacer cumplir nuestros Términos de Servicio y Código de Conducta

2.5 Marketing y Análisis (Con Tu Consentimiento)

Enviar boletines informativos sobre nuevos cursos, eventos de la comunidad sorda de Puerto Rico
Realizar encuestas de satisfacción y solicitar testimonios (siempre opcional)
Analizar métricas agregadas de participación (sin identificar usuarios individuales)
Publicar estudios de caso o historias de éxito (solo con tu consentimiento explícito)

Base Legal (GDPR-Inspirado)

Aunque GDPR no se aplica directamente en Puerto Rico, seguimos principios similares. Procesamos tu información bajo las siguientes bases legales:

Ejecución de contrato: Para proporcionar servicios educativos que has solicitado
Interés legítimo: Para mejorar nuestra plataforma y prevenir fraude
Cumplimiento legal: Para cumplir con FERPA, COPPA y otras leyes aplicables
Consentimiento: Para marketing, cookies no esenciales y compartir testimonios

3. Compartir Información

No vendemos tu información personal. Compartimos tu información solo en las siguientes circunstancias:

3.1 Proveedores de Servicios

Compartimos datos con terceros que nos ayudan a operar la plataforma:

Proveedor	Propósito	Datos Compartidos
Vercel/AWS	Hosting de la plataforma	Datos de uso, logs de servidor, caché
Neon (PostgreSQL)	Almacenamiento de base de datos	Información de cuenta, progreso de cursos, datos de perfil
Stripe	Procesamiento de pagos	Nombre, correo, información de facturación (Stripe maneja datos de tarjeta)
Resend	Correos transaccionales	Correo electrónico, nombre, contenido del mensaje
Google Analytics	Análisis de uso (si optas por ello)	Datos de navegación, IP anonimizada, eventos de interacción
Sentry	Monitoreo de errores	Logs de errores, información del dispositivo, stack traces

Todos los proveedores de servicios están sujetos a estrictos acuerdos de confidencialidad (DPAs - Data Processing Agreements) y solo pueden usar tus datos para los fines especificados.

3.2 Con Tu Consentimiento

Testimonios públicos: Si aceptas compartir tu historia de éxito, podemos publicarla en nuestro sitio web (siempre puedes solicitar su eliminación)
Empleadores/Patrocinadores: Si tu empresa paga tu inscripción, podemos compartir tu progreso y estado de finalización (según lo acordado en el contrato corporativo)
Instructores: Compartimos tu trabajo de curso, progreso y participación con tus instructores asignados

3.3 Obligaciones Legales

Podemos divulgar tu información cuando sea requerido por ley o para:

Cumplir con órdenes judiciales, citaciones o solicitudes legales
Proteger los derechos, propiedad o seguridad de Gespervis, nuestros usuarios o el público
Investigar posibles fraudes o violaciones de términos
Cumplir con FERPA, COPPA, CCPA/CPRA y leyes de Puerto Rico (ver secciones específicas)

3.4 Transferencias Corporativas

Si Gespervis se fusiona, es adquirida o vende activos, tu información puede ser transferida al nuevo propietario. Te notificaremos por correo electrónico antes de que tu información se transfiera y esté sujeta a una política de privacidad diferente.

🚫 Lo Que NO Hacemos

NO vendemos tu información personal a terceros
NO compartimos tu información de pago con nadie (Stripe la maneja)
NO usamos tus videos de práctica ASL para propósitos de marketing sin tu consentimiento explícito
NO compartimos registros educativos (FERPA) sin tu permiso, excepto según lo permitido por la ley

4. Derechos CCPA/CPRA (Residentes de California)

Si resides en California, tienes los siguientes derechos bajo la Ley de Privacidad del Consumidor de California (CCPA) y su enmienda, la Ley de Derechos de Privacidad de California (CPRA):

4.1 Derecho a Saber

Puedes solicitar que divulguemos:

Las categorías de información personal que hemos recopilado sobre ti
Las categorías de fuentes de las que se recopiló la información personal
El propósito comercial o empresarial para recopilar o vender información personal
Las categorías de terceros con los que compartimos información personal
Las piezas específicas de información personal que hemos recopilado sobre ti

4.2 Derecho a Eliminar

Puedes solicitar que eliminemos tu información personal que hemos recopilado de ti, sujeto a ciertas excepciones (por ejemplo, si necesitamos retenerla para cumplir con una obligación legal o completar una transacción).

4.3 Derecho a Optar por No Participar en la "Venta"

Gespervis NO vende información personal. Sin embargo, si alguna vez compartimos datos con terceros de una manera que califique como "venta" bajo CCPA/CPRA, proporcionaremos un enlace prominente de "No Vender Mi Información Personal" en nuestro sitio web.

4.4 Derecho a Corregir Información Inexacta

Puedes solicitar que corrijamos cualquier información personal inexacta que mantengamos sobre ti. Puedes actualizar la mayoría de la información directamente en tu panel de control de cuenta.

4.5 Derecho a Limitar el Uso de Información Personal Sensible

Si recopilamos información personal sensible (según lo define CPRA, por ejemplo, datos biométricos, información de salud precisa), puedes solicitar que limitemos su uso solo a lo necesario para prestar servicios que esperas razonablemente.

4.6 Cómo Ejercer Tus Derechos CCPA/CPRA

Para ejercer cualquiera de estos derechos:

Correo electrónico: privacidad@gespervis.com
Portal web: Visita /privacy-request (formulario seguro)
Teléfono: +1 (787) 123-4567 (de lunes a viernes, 9AM-5PM AST)

Verificaremos tu identidad solicitando información de cuenta (correo electrónico, fecha de inscripción) antes de procesar tu solicitud. Responderemos dentro de 45 días (extensible a 90 días si es complejo).

4.7 No Discriminación

NO te discriminaremos por ejercer tus derechos CCPA/CPRA. No te negaremos servicios, cobraremos precios diferentes o proporcionaremos un nivel diferente de calidad de servicio por ejercer tus derechos de privacidad.

📊 Divulgación de Categorías CCPA/CPRA (Últimos 12 Meses)

Categoría de Información Personal	¿Recopilada?	¿Compartida con Terceros?
Identificadores (nombre, correo, IP)	✅ Sí	Sí (proveedores de servicios, procesamiento de pagos)
Información comercial (historial de compras)	✅ Sí	Sí (Stripe para procesamiento de pagos)
Información de internet/red (datos de navegación)	✅ Sí	Sí (análisis, monitoreo de errores)
Información de geolocalización (estado/ciudad desde IP)	✅ Sí	Sí (análisis)
Información audiovisual (videos de práctica ASL, con consentimiento)	✅ Sí	Sí (instructores para retroalimentación), No (marketing sin consentimiento)
Educación (progreso del curso, calificaciones)	✅ Sí	Sí (instructores, empleadores si aplica, cumplimiento FERPA)
Inferencias (preferencias de aprendizaje, recomendaciones de cursos)	✅ Sí	No (solo uso interno)

5. Política de Cookies

Gespervis utiliza cookies y tecnologías similares para mejorar tu experiencia en nuestra plataforma. Esta sección explica qué cookies usamos, por qué y cómo puedes controlarlas.

5.1 ¿Qué Son las Cookies?

Las cookies son pequeños archivos de texto almacenados en tu dispositivo cuando visitas un sitio web. Nos ayudan a recordar tus preferencias, mantener tu sesión activa y comprender cómo usas nuestra plataforma.

5.2 Tipos de Cookies que Utilizamos

Tipo de Cookie	Propósito	Duración	¿Requiere Consentimiento?
Cookies Estrictamente Necesarias	Autenticación, sesión de usuario, seguridad (CSRF tokens)	Sesión / 7 días	❌ No (esenciales para el funcionamiento)
Cookies de Preferencia	Recordar idioma, tema (claro/oscuro), configuración de accesibilidad	30 días	✅ Sí (puedes desactivar)
Cookies de Análisis	Google Analytics (si optas), métricas de rendimiento de la plataforma	90 días	✅ Sí (puedes optar por no participar)
Cookies de Marketing	Publicidad dirigida (actualmente no utilizadas, pero podríamos en el futuro)	N/A	✅ Sí (se solicita consentimiento)

5.3 Cookies Específicas que Utilizamos

next-auth.session-token (Estrictamente Necesaria): Mantiene tu sesión de login (NextAuth.js)
__Secure-next-auth.callback-url (Estrictamente Necesaria): Redirección segura después de login
_ga, _gid (Análisis): Google Analytics (solo si aceptas)
gespervis_preferences (Preferencia): Tus configuraciones de UI (tema, idioma)
gespervis_cookie_consent (Preferencia): Almacena tu elección de consentimiento de cookies

5.4 Cómo Gestionar Cookies

Tienes control sobre las cookies que aceptas:

Banner de consentimiento de cookies: Cuando visites nuestro sitio por primera vez, verás un banner que te permite aceptar o rechazar cookies no esenciales
Configuración del navegador: Puedes bloquear o eliminar cookies en tu navegador (Chrome: Configuración > Privacidad, Firefox: Privacidad & Seguridad, Safari: Preferencias > Privacidad)
Optar por no participar en análisis: Visita Google Analytics Opt-Out
Centro de preferencias de cookies: Puedes actualizar tus preferencias en cualquier momento en /cookie-settings

Nota: Deshabilitar cookies estrictamente necesarias puede afectar la funcionalidad de la plataforma (por ejemplo, no podrás iniciar sesión).

5.5 Tecnologías Similares

Además de cookies, utilizamos:

Local Storage: Para almacenar preferencias de UI y datos de caché (no usados para seguimiento)
Web Beacons/Píxeles: En correos electrónicos para rastrear tasas de apertura (solo para correos de marketing, puedes optar por no participar)
Logs del servidor: Recopilamos direcciones IP, agentes de usuario y URLs para propósitos de seguridad y diagnóstico

6. Retención de Datos

Retenemos tu información personal solo durante el tiempo necesario para cumplir con los propósitos descritos en esta Política de Privacidad, a menos que la ley requiera o permita un período de retención más largo.

6.1 Períodos de Retención por Tipo de Datos

Tipo de Información	Período de Retención	Justificación
Información de cuenta (nombre, correo, contraseña)	Mientras la cuenta esté activa + 2 años	Cumplimiento legal, obligaciones contractuales, resolución de disputas
Progreso y registros de cursos	Mientras la cuenta esté activa + 7 años	Cumplimiento con FERPA (registros educativos, mínimo 5 años recomendado)
Datos de transacciones/pagos	7 años	Requisitos fiscales, prevención de fraude, auditoría financiera
Certificados de finalización	Permanente (a menos que solicites eliminación)	Verificación de credenciales, requisitos de acreditación profesional
Videos de práctica ASL	Mientras la cuenta esté activa + 6 meses (o eliminación inmediata si lo solicitas)	Retroalimentación del instructor, revisión de progreso
Datos de análisis (agregados)	90 días (anonimizados después)	Mejora de la plataforma, optimización
Logs de servidor (dirección IP)	30 días	Seguridad, prevención de fraude, depuración técnica
Tickets de soporte/correos	3 años	Calidad del servicio, resolución de disputas

6.2 Proceso de Eliminación de Cuenta

Si decides cerrar tu cuenta, seguimos este proceso:

Días 0-30: "Soft delete" - Tu cuenta se desactiva pero los datos permanecen por si cambias de opinión (puedes reactivarla contactando soporte)
Día 31: Inicio de anonimización - Correo electrónico, nombre y datos identificables se reemplazan con pseudónimos
Días 31-730 (2 años): Retención mínima para registros educativos (cumplimiento FERPA)
Después de 2 años: Eliminación completa, excepto certificados (permanentes, según tu elección) y datos financieros agregados (requisitos legales)

Para cerrar tu cuenta inmediatamente, contacta privacidad@gespervis.com. Para eliminación expedita (antes de 2 años), podemos requerir verificación de identidad.

6.3 Excepciones a la Eliminación

Podemos retener cierta información incluso después de que solicites eliminación si:

La ley lo requiere (registros fiscales, cumplimiento FERPA)
Existe una disputa legal pendiente o reclamo de garantía que involucre tu cuenta
Es necesario para prevenir fraude o abuso (dirección IP en lista negra, historial de fraude)
Has dado consentimiento explícito para retención continua (por ejemplo, certificados públicos)

7. Seguridad de Datos

Gespervis toma la seguridad de tu información personal muy en serio. Implementamos medidas técnicas, administrativas y físicas para proteger tus datos contra acceso no autorizado, divulgación, alteración y destrucción.

7.1 Medidas de Seguridad Técnicas

Cifrado en tránsito: Todo el tráfico de red se cifra usando TLS 1.3 (HTTPS obligatorio)
Cifrado en reposo: Las bases de datos están cifradas con AES-256 (Neon PostgreSQL)
Hashing de contraseñas: Las contraseñas se almacenan hasheadas con bcrypt (12 rondas de salt, nunca almacenamos texto plano)
Autenticación multifactor (MFA): Disponible para todos los usuarios, obligatoria para instructores y administradores
Rate limiting: Protección contra ataques de fuerza bruta en login/API (15 intentos por hora)
CSRF tokens: Protección contra ataques de falsificación de solicitudes entre sitios
Content Security Policy (CSP): Previene ataques XSS mediante encabezados de seguridad estrictos
Auditorías de seguridad automatizadas: Escaneos regulares con Snyk (dependencias), OWASP ZAP (vulnerabilidades web)

7.2 Medidas de Seguridad Administrativas

Control de acceso: Acceso basado en roles (RBAC) - los miembros del equipo solo acceden a los datos necesarios para su función
Acuerdos de confidencialidad: Todos los empleados y contratistas firman NDAs
Capacitación en seguridad: Capacitación anual obligatoria sobre protección de datos y privacidad
Política de respuesta a incidentes: Plan documentado para violaciones de datos (notificación dentro de 72 horas si es requerida por ley)
Revisiones de acceso: Auditorías trimestrales de permisos de usuario y acceso a datos
Verificación de proveedores: Debida diligencia en todos los proveedores de servicios (revisión de certificaciones SOC 2, acuerdos DPA)

7.3 Medidas de Seguridad Físicas (Proveedores de Infraestructura)

Centros de datos certificados: Vercel (AWS bajo el capó) y Neon utilizan centros de datos con certificación SOC 2 Tipo II
Controles de acceso físico: Autenticación biométrica, videovigilancia 24/7, escoltas requeridas
Redundancia: Backups geográficamente distribuidos, replicación en múltiples regiones
Protección contra desastres: Sistemas de protección contra incendios, energía de respaldo, controles ambientales

7.4 Tu Responsabilidad en Seguridad

Aunque implementamos medidas de seguridad robustas, también dependemos de ti para:

Usar contraseñas fuertes: Mínimo 12 caracteres, mezcla de mayúsculas/minúsculas/números/símbolos, evita palabras comunes
No compartir credenciales: Tu cuenta es personal, no compartas tu contraseña o sesión de login
Habilitar MFA: Activar autenticación de dos factores en Configuración > Seguridad
Cerrar sesión en dispositivos compartidos:Siempre cierra sesión si usas una computadora pública
Reportar actividad sospechosa: Si notas acceso no autorizado, contacta soporte inmediatamente

7.5 Notificación de Violación de Datos

En el improbable caso de una violación de datos que afecte tu información personal:

Cronograma de notificación: Te notificaremos por correo electrónico dentro de 72 horas después de descubrir la violación (según lo requerido por CCPA/CPRA y mejores prácticas)
Información proporcionada: Descripción del incidente, tipos de datos afectados, pasos que estamos tomando, acciones recomendadas para ti (por ejemplo, cambiar contraseña)
Autoridades: Notificaremos a las autoridades relevantes (Departamento de Justicia de Puerto Rico, si aplica)
Página de estado: Actualizaciones públicas en /security-status

🔒 Certificaciones y Cumplimiento

Seguimos los principios de OWASP Top 10 para seguridad en aplicaciones web
Infraestructura en proveedores con certificación SOC 2 Tipo II (Vercel, Neon, Stripe)
Cumplimiento con PCI DSS (procesamiento de pagos vía Stripe)
Prácticas alineadas con NIST Cybersecurity Framework (CSF) para instituciones educativas

8. Privacidad de Menores (COPPA)

Gespervis cumple con la Ley de Protección de la Privacidad en Línea de los Niños (COPPA) de los Estados Unidos. COPPA requiere que obtengamos consentimiento parental verificable antes de recopilar, usar o divulgar información personal de niños menores de 13 años.

8.1 Edad Mínima

Edad general: Debes tener al menos 18 años para crear una cuenta en Gespervis sin consentimiento parental.
Menores (13-17 años): Puedes usar la plataforma si un padre/tutor crea la cuenta y otorga consentimiento.
Niños (<13 años): Prohibido crear cuentas. No recopilamos intencionalmente información de niños menores de 13 años.

8.2 Consentimiento Parental (13-17 años)

Si eres padre/tutor inscribiendo a un menor (13-17 años):

Verificación de edad: Debes verificar la edad del menor durante el registro
Formulario de consentimiento: Debes completar un formulario de consentimiento parental digital (requiere firma electrónica)
Control parental: Tendrás acceso a la cuenta del menor para monitorear actividad, progreso y comunicaciones
Recopilación de datos limitada: Solo recopilamos información esencial para servicios educativos (nombre, correo del padre, progreso del curso)
Sin marketing: Los menores no recibirán correos de marketing; solo comunicaciones educativas esenciales

8.3 Información Recopilada de Menores

Para usuarios menores (13-17 años con consentimiento parental), recopilamos:

Información de registro: Nombre, fecha de nacimiento (para verificación de edad), correo electrónico del padre/tutor
Información educativa: Inscripciones a cursos, progreso, tareas completadas, calificaciones
Videos de práctica ASL: Solo con consentimiento parental explícito para retroalimentación del instructor
NO recopilamos: Ubicación precisa, información de contacto personal del menor (dirección, teléfono), datos de redes sociales

8.4 Derechos Parentales

Como padre/tutor de un menor usuario, tienes derecho a:

Revisar: Solicitar y recibir una copia de la información personal recopilada sobre tu hijo
Eliminar: Solicitar la eliminación de la información de tu hijo (contacta privacidad@gespervis.com)
Revocar consentimiento: Retirar consentimiento en cualquier momento, resultando en la desactivación de la cuenta del menor
Optar por no participar en recopilación futura:Solicitar que dejemos de recopilar información adicional
Monitorear actividad: Acceder al panel de control de la cuenta de tu hijo para ver progreso y comunicaciones

Para ejercer estos derechos: Envía un correo a privacidad@gespervis.com con "COPPA Request" en el asunto. Verificaremos tu identidad como padre/tutor antes de procesar la solicitud.

8.5 ¿Qué Hacemos Si Descubrimos que un Menor <13 Años Creó una Cuenta?

Si nos enteramos de que hemos recopilado información personal de un niño menor de 13 años sin consentimiento parental verificable:

Eliminaremos la cuenta inmediatamente
Borraremos toda la información personal asociada dentro de 30 días
Notificaremos al correo electrónico registrado (si corresponde) sobre la eliminación

🚨 Reportar Uso Indebido de Menores

Si sospechas que un niño menor de 13 años ha creado una cuenta sin consentimiento parental, repórtalo inmediatamente a: privacidad@gespervis.com con el asunto "COPPA Violation Report".

9. Específico de Puerto Rico

Como plataforma educativa que opera en Puerto Rico, cumplimos con las leyes de privacidad locales además de las leyes federales de EE. UU.

9.1 Leyes de Puerto Rico Aplicables

Ley de Protección de Datos de Seguridad Social (Ley 186-2006): No recopilamos ni almacenamos números de Seguro Social en texto plano. Si se requiere para propósitos fiscales (empleadores corporativos), se cifra inmediatamente.
Ley de Protección de Información Personal (Ley 20-2001): Notificaciones de violación de datos a residentes de Puerto Rico dentro de 72 horas, alineado con mejores prácticas de CCPA/CPRA.
Ley de Derechos Civiles de Personas con Impedimentos (Ley 44-1985): Nuestra plataforma cumple con estándares de accesibilidad (WCAG 2.1 AA) para garantizar acceso equitativo para personas sordas/con discapacidad auditiva (ver Declaración de Accesibilidad).

9.2 Soberanía de Datos de Puerto Rico

Aunque Puerto Rico es un territorio de EE. UU. y se aplican las leyes federales, reconocemos las preocupaciones únicas de privacidad:

Almacenamiento de datos: Los datos se almacenan principalmente en centros de datos de EE. UU. (Vercel/AWS Este de EE. UU., Neon Este de EE. UU. 1), pero podemos usar CDN globales para videos ASL (caché de borde cercana a usuarios de PR)
Transferencias de datos: Tus datos no se transfieren fuera de EE. UU./Puerto Rico excepto a proveedores de servicios con acuerdos DPA adecuados
Idioma: Esta Política de Privacidad está disponible en español (puertorriqueño) e inglés. En caso de conflicto, la versión en español prevalece para residentes de PR.

9.3 Contexto Cultural de Puerto Rico

Nuestro enfoque de privacidad respeta las particularidades culturales de Puerto Rico:

Comunidad sorda de Puerto Rico: Reconocemos la comunidad sorda de PR como un grupo cultural distinto. No compartimos información de participación en cursos ASL con terceros sin tu consentimiento explícito para proteger contra discriminación.
Contenido sensible culturalmente: Los videos y materiales del curso que reflejan el contexto cultural de PR (lugares, costumbres) se manejan con el mismo nivel de protección que los datos personales.
Bilingüismo: Respetamos la naturaleza bilingüe (español/inglés) de PR. Puedes elegir el idioma de comunicación en Configuración > Preferencias.

9.4 Autoridad Reguladora de Puerto Rico

Para quejas de privacidad relacionadas con leyes específicas de Puerto Rico:

Departamento de Justicia de Puerto Rico
Edificio Capital Center, Piso 3
239 Arterial Hostos, San Juan, PR 00918
Teléfono: (787) 721-2900
Para quejas de accesibilidad:
Procuraduría de las Personas con Impedimentos (OPPI)
Teléfono: (787) 725-2333 / Videoteléfono: (787) 289-0045

🇵🇷 Compromiso con Puerto Rico

Gespervis se enorgullece de servir a la comunidad educativa y sorda de Puerto Rico. Estamos comprometidos a respetar tanto las leyes federales de EE. UU. como las regulaciones locales de Puerto Rico, así como las normas culturales y lingüísticas que hacen de Puerto Rico un contexto único para la educación en ASL.

10. Registros Educativos (FERPA)

Gespervis cumple con la Ley de Derechos Educativos y Privacidad de la Familia (FERPA), una ley federal de EE. UU. que protege la privacidad de los registros educativos de los estudiantes. Aunque FERPA se aplica principalmente a instituciones financiadas con fondos federales, adoptamos voluntariamente sus estándares de privacidad para todos los usuarios.

10.1 ¿Qué Son los Registros Educativos?

Según FERPA, los registros educativos incluyen información directamente relacionada con un estudiante y mantenida por una institución educativa. En Gespervis, esto incluye:

Información de inscripción: Cursos en los que estás inscrito, fechas de inscripción, estado de inscripción
Calificaciones y evaluaciones: Puntuaciones de asignaciones, calificaciones de exámenes, retroalimentación del instructor
Datos de progreso: Lecciones completadas, porcentaje de finalización del curso, tiempo dedicado a módulos
Certificados de finalización: Registros de cursos completados, fechas de finalización
Trabajo del curso: Tareas enviadas, videos de práctica ASL, participaciones en foros

10.2 Derechos del Estudiante Bajo FERPA

Bajo FERPA, tienes los siguientes derechos:

1. Derecho a Inspeccionar y Revisar

Puedes acceder a tus registros educativos en cualquier momento a través de tu panel de control (Dashboard > Mi Progreso). Para obtener una exportación completa de datos:

Ve a Configuración > Privacidad > "Descargar Mis Datos"
Recibirás un archivo JSON con todos tus registros educativos dentro de 45 días

2. Derecho a Solicitar Enmienda

Si crees que tu registro educativo es inexacto o engañoso, puedes solicitar una corrección:

Envía un correo a registros@gespervis.com con detalles específicos del error
Investigaremos y responderemos dentro de 30 días
Si rechazamos la enmienda, puedes incluir una declaración de desacuerdo en tu expediente

3. Derecho a Consentir Divulgaciones

NO divulgaremos tus registros educativos a terceros sin tu consentimiento escrito previo, excepto en circunstancias permitidas por FERPA (ver 10.3).

4. Derecho a Presentar una Queja

Si crees que hemos violado tus derechos FERPA, puedes presentar una queja ante:

Family Policy Compliance Office (FPCO)
U.S. Department of Education
400 Maryland Avenue, SW
Washington, DC 20202-8520
Teléfono: (202) 260-3887

10.3 Cuándo Podemos Compartir Registros Educativos Sin Tu Consentimiento

FERPA permite ciertas excepciones a la regla de consentimiento. Podemos compartir tus registros educativos sin tu consentimiento en estas situaciones:

Funcionarios escolares con interés educativo legítimo: Tu instructor asignado puede ver tu progreso y calificaciones para proporcionar instrucción efectiva
A otra escuela donde te transferirás: Si solicitas que se transfieran créditos de certificado ASL, compartiremos registros relevantes
Para auditorías o evaluaciones: Para cumplir con requisitos de acreditación (si buscamos acreditación profesional en el futuro)
Organizaciones de ayuda financiera: Si solicitas ayuda financiera (actualmente no aplicable, pero podría ser relevante para planes de pago corporativos)
Para cumplir con una citación o orden judicial: Solo después de hacer esfuerzos razonables para notificarte (a menos que la orden judicial prohíba la notificación)
Emergencias de salud/seguridad: Si es necesario para proteger tu salud o seguridad o la de otros

10.4 Información de Directorio (Opt-Out)

FERPA permite que las instituciones divulguen "información de directorio" sin consentimiento, a menos que el estudiante opte por no hacerlo. Gespervis designa la siguiente información de directorio (que puede ser pública a menos que optes por no hacerlo):

Nombre
Cursos en los que está inscrito
Fechas de inscripción
Certificados de finalización (nombre y título del curso, fecha)

Para optar por no participar en la divulgación de información de directorio: Ve a Configuración > Privacidad > "Ocultar Mi Información de Directorio". Esto ocultará tu nombre de tablas de clasificación públicas, listados de certificados y otros displays públicos.

10.5 Inscripciones Corporativas/Institucionales

Si tu empleador o institución paga tu inscripción:

Consentimiento requerido: Durante el registro, deberás otorgar consentimiento explícito para que compartamos tu progreso con tu empleador/institución patrocinadora
Datos compartidos: Solo compartimos datos de finalización de cursos (estado completado/incompleto, certificados emitidos), NO calificaciones detalladas o contenido de trabajo de curso a menos que tu contrato corporativo especifique lo contrario y otorgues consentimiento adicional
Revocación: Puedes revocar este consentimiento en cualquier momento, pero tu empleador puede dejar de pagar los cursos futuros

11. Información de Contacto

Si tienes preguntas, inquietudes o solicitudes relacionadas con esta Política de Privacidad o nuestras prácticas de datos, puedes contactarnos a través de los siguientes canales:

Oficial de Privacidad (Privacy Officer)

Correo electrónico: privacidad@gespervis.com
Teléfono: +1 (787) 123-4567 (de lunes a viernes, 9:00 AM - 5:00 PM AST)
Videoteléfono (Para Usuarios Sordos/HH): +1 (787) 123-XXXX (VP) - Servicio de interpretación disponible
Correo postal:
Gespervis - Oficial de Privacidad
[Dirección Postal]
San Juan, Puerto Rico 00901

Tipos de Consultas y Tiempos de Respuesta

Tipo de Consulta	Canal Recomendado	Tiempo de Respuesta
Solicitudes CCPA/CPRA (acceso, eliminación, corrección)	Correo electrónico o Formulario de Privacidad	45 días (extensible a 90 días si es complejo)
Solicitudes FERPA (acceso a registros educativos, enmienda)	registros@gespervis.com	30 días
Consentimiento parental COPPA (menores 13-17)	privacidad@gespervis.com	5 días hábiles
Preguntas generales de privacidad	Correo electrónico o teléfono	5 días hábiles
Reporte de violación de datos	seguridad@gespervis.com (urgente)	24 horas
Preocupaciones de accesibilidad	Formulario de Accesibilidad	7 días hábiles

Recursos Adicionales

Centro de Ayuda: gespervis.com/help - Preguntas frecuentes sobre privacidad
Portal de Solicitud de Privacidad: gespervis.com/privacy-request - Envía solicitudes seguras
Declaración de Accesibilidad: gespervis.com/accessibility
Términos de Servicio: gespervis.com/terms

⚠️ Importante: Verificación de Identidad

Para proteger tu privacidad, verificaremos tu identidad antes de procesar solicitudes de acceso, eliminación o corrección de datos. Es posible que necesitemos solicitar información adicional (correo electrónico de cuenta, fecha de inscripción, últimos 4 dígitos de pago) antes de cumplir con la solicitud.

12. Actualizaciones de la Política

Gespervis se reserva el derecho de actualizar esta Política de Privacidad en cualquier momento para reflejar cambios en nuestras prácticas, nuevas características de la plataforma o requisitos legales. Cuando hagamos cambios, te notificaremos de las siguientes maneras:

12.1 Cómo Te Notificaremos

Cambios importantes: Te enviaremos un correo electrónico a tu dirección registrada al menos 30 días antes de que los cambios entren en vigor. También mostraremos un banner prominente en la plataforma.
Cambios menores (aclaraciones, correcciones):Actualizaremos la fecha de "Última actualización" en la parte superior de esta página. Te recomendamos que revises esta política periódicamente.
Notificación en la aplicación: Cuando inicies sesión después de una actualización de la política, verás una notificación que resume los cambios clave.

12.2 Tu Aceptación de Cambios

Al continuar usando la plataforma de Gespervis después de que se publique una Política de Privacidad actualizada, aceptas los cambios. Si no estás de acuerdo con los cambios:

Período de gracia de 30 días: Para cambios importantes, tienes 30 días para descargar tus datos y cerrar tu cuenta sin estar sujeto a la nueva política.
Cerrar tu cuenta: Ve a Configuración > Cuenta > "Cerrar Mi Cuenta" o contacta privacidad@gespervis.com.

12.3 Historial de Cambios

Fecha	Versión	Cambios
29 de enero de 2026	v2.0	Política actual: Añadidas secciones detalladas para CCPA/CPRA (Sección 4), COPPA (Sección 8), FERPA (Sección 10), y contexto específico de Puerto Rico (Sección 9). Divulgaciones de cookies expandidas (Sección 5). Retención de datos detallada (Sección 6).
1 de diciembre de 2025	v1.0	Lanzamiento inicial de la Política de Privacidad.

📜 Política Archivada

Para revisar versiones anteriores de esta Política de Privacidad, visita nuestro Archivo de Políticas. Mantenemos todas las versiones históricas durante al menos 7 años para propósitos de cumplimiento.

Gracias por confiar en Gespervis con tu privacidad.

Última actualización: 29 de enero de 2026 | Versión 2.0
Si tienes preguntas, contacta privacidad@gespervis.com