Privacy and Data Protection Policy

Última actualización: Agosto 2025

Esta Política de Privacidad y Protección de Datos describe cómo Millennium Neobank y nuestras entidades vinculadas y proveedores procesan datos personales y no personales en relación con nuestros servicios de banca digital, emisión de cuentas y medios de pago, y procesamiento de pagos fiat y cripto.

Si no está de acuerdo con esta Política, por favor no utilice nuestros Servicios.

1. Identidad del Responsable y Registro MSB (EE. UU.)

Responsable del tratamiento: Millennium Neobank Ltd

Dirección: 1312 17th Street, Suite 600, Denver, CO 80202, Estados Unidos

Naturaleza del negocio: Neobank y procesador de pagos (fiat y cripto)

Registro MSB (FinCEN): 31000308226493

Verificación pública MSB: https://www.fincen.gov/msb-state-selector

Contacto de privacidad: aml@millenniumneobank.com

2. Alcance y Definiciones

"Servicios":

Aplicaciones web/móvil, APIs, emisión de cuentas y tarjetas, onboarding KYC/KYB, procesamiento de pagos fiat y cripto, conversión, liquidación, cumplimiento AML, soporte, y funciones relacionadas.

"Datos Personales":

Información que identifica o puede identificar a una persona física (p.ej., nombre, identificación, datos de contacto).

"Datos Financieros/Transaccionales":

Historial de transacciones, números de cuenta enmascarados, IBAN/ABA, tokens de tarjetas, wallets, hashes y metadatos on-chain asociados a direcciones cuando sea identificable.

"Datos Sensibles":

Datos biométricos, verificación de identidad, información de sanciones, información de geolocalización precisa, o información de acceso a cuentas.

"Procesadores/Subencargados":

Proveedores que tratan datos en nuestro nombre.

"Controlador/Responsable":

Millennium Neobank, salvo cuando actuamos como procesador para clientes empresariales, en cuyo caso ellos son controladores de sus datos de usuarios finales y nosotros procesador.

3. Categorías de Datos que Recabamos

a) Proporcionados por usted:

Identidad: nombre, apellidos, fecha de nacimiento, nacionalidad, tipo/número de identificación, fotos/selfies/biometría (cuando lo permita la ley), firma.
Contacto: email, teléfono, direcciones física y postal.
Perfil: ocupación, propósito del uso, fuente de fondos/riqueza, cuestionarios de riesgo, preferencias de comunicación, idioma.
Empresariales (KYB): razón social, constitutivos, accionistas/UBOs, estructura, licencias.
Soporte: grabaciones o transcripciones, tickets, encuestas.

b) Generados por el uso:

Datos de cuenta: números de cliente, identificadores, límites, estados.
Transacciones fiat/cripto: importes, contrapartes, comercios, MCC, metadatos, direcciones/wallets, hashes, exchanges, stablecoins, FX.
Dispositivo y uso: identificadores, sistema operativo, versión app, logs, telemetría, IP, cookies, geolocalización (si autorizada), seguridad/fraude.
Verificación: resultados KYC/KYB, listas de sanciones/PEP, señales AML, decisiones de riesgo.
Comunicaciones: email, mensajes in-app, notificaciones, preferencias.

c) Datos de terceros:

Proveedores KYC/KYB/AML/sanciones, bureaus de crédito (cuando corresponda y con base legal), socios bancarios y redes de pago, procesadores cripto, oráculos de precios, proveedores de prevención de fraude, analítica y publicidad (solo agregada/consentida).

d) Datos públicos/on-chain:

Datos de blockchain (direcciones, transacciones, contratos) vinculados a su cuenta cuando sea necesario para cumplimiento, prevención de fraude, conciliación y análisis de riesgo.

4. Finalidades del Tratamiento

Prestación del servicio: abrir y mantener cuentas, ejecutar pagos fiat y cripto, emitir tarjetas, custodiar o facilitar custodia a través de terceros, conversión y liquidación, cumplimiento de Términos.
Cumplimiento legal: KYC/KYB, AML/CFT, sanciones, reportes regulatorios (BSA/FinCEN SAR/CTR, FATF, OFAC), auditorías, requerimientos de autoridades.
Seguridad y prevención de fraude/abuso: autenticación, detección de anomalías, scoring de riesgo, bloqueo o revisión de transacciones.
Mejora de producto y analítica: métricas agregadas, pruebas A/B, calidad, usabilidad.
Atención al cliente: soporte, notificaciones, actualizaciones, resolución de disputas/chargebacks.
Marketing (cuando permitido): newsletters, promociones, referidos, anuncios no basados en datos sensibles; opt-in/opt-out conforme a la ley.
Cumplimiento contractual con clientes empresariales: cuando actuamos como procesador (data processing addendum – DPA).

                    Base legal (ejemplos):
                    Ejecución de contrato
Cumplimiento de obligación legal (BSA/AML, fiscales, contables)
Interés legítimo (seguridad, mejora)
Consentimiento (marketing, cookies, biometría donde sea requerido)

                

5. Cookies y Tecnologías Similares

Cookies estrictamente necesarias: autenticación, seguridad, sesión.
Preferencias y funcionalidad: idioma, recordatorios.
Rendimiento/analítica: métricas agregadas, p.ej., Google Analytics en modo con IP anonimizadas donde aplique.
Publicidad (solo con consentimiento donde sea exigible): retargeting limitado, sin categorías sensibles.

Gestión: banner de consentimiento, Centro de Preferencias, Do Not Track y GPC respetados donde la ley lo requiera; más detalles en nuestra Política de Cookies.

6. Retención de Datos

Según principio de minimización y limitación: solo por el tiempo necesario.

KYC/KYB y registros AML: típicamente 5–10 años post-cierre de cuenta o según exijan leyes aplicables (EE. UU. y jurisdicciones locales).
Datos transaccionales: según plazos regulatorios, fiscales y de redes de pago.
Marketing: hasta revocación del consentimiento u opt-out.
Logs de seguridad: períodos alineados a riesgos y auditorías internas.

Cuando expire el plazo, borraremos, anonimizaremos o agregaremos los datos de forma irreversible.

7. Compartición de Datos

Podemos compartir datos con:

Proveedores/Procesadores: verificación de identidad, sanciones/PEP, análisis de blockchain, prevención de fraude, tokenización/PCI, alojamiento cloud, mensajería, analítica.
Socios financieros: bancos corresponsales, adquirentes, emisores, redes de pago, procesadores cripto para ejecutar transacciones.
Clientes empresariales (cuando actuamos como procesador): bajo instrucciones contractuales.
Autoridades y reguladores: cuando legalmente exigido o para proteger derechos, investigar fraude/abusos, cumplir órdenes judiciales.
Transacciones corporativas: fusiones, adquisiciones, financiamientos; se aplicarán garantías y notificaciones apropiadas.
Con su consentimiento: terceros para marketing o integraciones que usted habilite.

No vendemos datos personales según definiciones aplicables de "venta" (p.ej., CPRA), ni permitimos "sharing" para publicidad conductual cruzada sin su opción de opt-out cuando aplique.

8. Transferencias Internacionales

Podemos transferir datos a EE. UU. y a otras jurisdicciones donde operan nuestros proveedores.

Implementamos salvaguardas: cláusulas contractuales tipo (SCCs), evaluaciones de impacto de transferencia (TIA), Reglas Corporativas Vinculantes (cuando aplique), y medidas suplementarias técnicas (cifrado en tránsito/reposo, seudonimización).

Para UK/EU: cumplimos GDPR/UK GDPR sobre transferencias; información del representante y mecanismos estará disponible bajo solicitud.

9. Seguridad de la Información

Controles técnicos y organizativos:

Cifrado TLS 1.2+ en tránsito y AES-256 en reposo; gestión de claves; segregación de entornos; control de acceso basado en roles; MFA; principios de mínimo privilegio; monitoreo y detección de intrusiones.

Cumplimientos y certificaciones de terceros (cuando apliquen):

PCI DSS para datos de tarjetas; auditorías SOC 2/ISO 27001 de proveedores críticos; pruebas de penetración; gestión de vulnerabilidades; BCP/DR.

Protección de wallets y criptografía:

Custodios regulados, MPC/HSM según el caso; listas de riesgo on-chain; sanciones; travel rule a través de proveedores VASP cuando corresponda.

Concienciación y formación:

Entrenamientos periódicos de seguridad y privacidad.

Importante: A pesar de nuestros esfuerzos, ninguna transmisión o almacenamiento es 100% seguro. Usted es responsable de mantener la confidencialidad de sus credenciales y de reportar accesos no autorizados.

10. Derechos de los Titulares

Dependiendo de su jurisdicción, usted puede tener los siguientes derechos:

Acceso, rectificación, actualización
Portabilidad (cuando técnicamente posible)
Eliminación/supresión (sujeto a retención legal)
Restricción u oposición al tratamiento
Retiro del consentimiento (sin afectar legalidad previa)
Opt-out de publicidad conductual y "venta/compartición" (CPRA)
Objeción a decisiones automatizadas/perfilado con efectos legales significativos, y solicitud de intervención humana
Presentar quejas ante autoridades (p.ej., EEA: autoridad local de protección de datos; UK: ICO; EE. UU.: CFPB/FTC según el caso)

Solicitudes: privacy@millenniumneobank.com o a través del Centro de Privacidad en la app. Podemos requerir verificación de identidad. Responderemos dentro de plazos legales aplicables.

11. Tratamiento para Programas AML/CFT y Sanciones

Recabamos y procesamos datos para cumplir BSA/AML, OFAC, 5AMLD/6AMLD, FATF, y normativa local.

Screening de sanciones/PEP y monitoreo continuo de transacciones, incluyendo análisis on-chain y atribución de riesgo a direcciones.
Conservación de registros y reportes regulatorios (SAR/CTR) según corresponda.

Base legal: obligación legal/interés público, y nuestros intereses legítimos en prevenir delitos financieros.

12. Decisiones Automatizadas y Perfilado

Usamos modelos de riesgo para prevención de fraude, AML y evaluación de transacciones (fiat/cripto).

Estas decisiones pueden afectar la disponibilidad de servicios, revisar o bloquear operaciones.

Usted puede solicitar revisión humana cuando lo exija la ley, aportar información adicional o impugnar la decisión.

13. Datos de Menores

Nuestros Servicios no están dirigidos a menores según la ley aplicable (p.ej., menores de 18 años). No recopilamos deliberadamente datos de menores. Si cree que un menor nos ha proporcionado datos, contáctenos para eliminarlos salvo obligación legal de conservación.

14. Marketing y Comunicaciones

Puede gestionar consentimientos y preferencias en la app o mediante los enlaces de "unsubscribe".

Respetamos "Do Not Call/Email" cuando aplicable.

No realizamos perfiles sensibles para marketing. No se condiciona el servicio al consentimiento de marketing, salvo promociones voluntarias.

15. Política de Cookies

Consulte nuestra Política de Cookies detallada para:

Tipos de cookies, retención y finalidades
Proveedores de analítica/ads y controles
Señales GPC/opt-out y configuraciones por región

16. Conservación y Eliminación de Cuentas

Puede solicitar el cierre de cuenta. Algunas informaciones deben conservarse por plazos regulatorios (p.ej., AML, fiscales, contables, disputas).

Anonimizaremos datos cuando sea viable para fines estadísticos y de mejora.

17. Clientes Empresariales: Rol de Procesador

Cuando proveemos Servicios de procesamiento a comercios/empresas:

Actuamos como procesador; el cliente es controlador respecto de sus usuarios finales.
Suscribimos un DPA con cláusulas de seguridad, subprocesadores, transferencia internacional, asistencia en derechos y notificaciones de incidentes.
Mantenemos lista de subprocesadores disponible, con derecho de objeción razonable.

18. Subprocesadores y Proveedores Clave

Podemos utilizar, entre otros:

Verificación de identidad/AML/sanciones: proveedores KYC, análisis on-chain, PEP/sanctions screening
Procesamiento de pagos: redes de tarjetas, adquirentes, emisores, tokenización PCI
Custodia cripto/liquidación: custodios regulados, exchanges registrados
Infraestructura: nube, correo transaccional, CDNs, monitoreo
Analítica y soporte: herramientas de métricas y helpdesk

Divulgamos una lista actualizada de subprocesadores en nuestro sitio o bajo solicitud. Establecemos contratos con obligaciones de confidencialidad, seguridad y privacidad.

19. Conservación de Evidencias y Litigios

En caso de disputas, investigaciones o requerimientos legales, conservaremos y, si corresponde, pondremos en hold legal los datos necesarios, más allá de los plazos usuales de retención.

20. Notificaciones de Incidentes

Seguimos un plan de respuesta a incidentes con detección, contención, erradicación y remediación.

Notificaremos a usuarios y autoridades competentes cuando sea requerido por ley (plazos y contenido conforme a la jurisdicción), incluyendo naturaleza del incidente, alcance, medidas adoptadas y recomendaciones.

21. Transferencias de Activos/Empresas

En una fusión, adquisición o reestructuración, los datos pueden transferirse al sucesor, manteniendo esta Política o notificando cambios materiales y opciones de privacidad cuando corresponda.

22. Enlaces de Terceros

Nuestros Servicios pueden contener enlaces a sitios/servicios de terceros. No controlamos sus prácticas. Revise sus políticas antes de proporcionarles datos.

23. No Discriminación

No lo discriminaremos por ejercer derechos de privacidad (cuando lo exijan leyes como CCPA/CPRA). Cualquier diferenciación de precios/servicios será conforme a la ley y basada en el valor de los datos.

24. Señales Regionales y Legislación Local

EE. UU.:

GLBA, BSA/AML, OFAC, Reg E, E-Sign, estatutos estatales (p.ej., CCPA/CPRA para residentes de California; otras leyes estatales de privacidad).

UE/EEE/UK:

GDPR/UK GDPR, ePrivacy, PSD2/SCA; derechos, bases legales y transferencias como se detalla.

LatAm/otras regiones:

Cumpliremos leyes locales (p.ej., LGPD Brasil, Habeas Data Colombia, Ley Federal de Protección de Datos México, etc.) cuando aplique, con avisos locales complementarios.

25. Cambios a esta Política

Podemos actualizar esta Política periódicamente. Publicaremos la versión actualizada con "Última actualización" y, cuando haya cambios materiales, proveeremos un aviso destacado o solicitaremos consentimiento si así lo exige la ley.

26. Contacto

Consultas de privacidad/DPO: aml@millenniumneobank.com

Dirección postal:

Millennium Neobank Ltd, 1312 17th Street, Suite 600, Denver, CO 80202, EE. UU.

Quejas ante autoridades:

Puede contactar a su autoridad local; en la UE, consulte el directorio de autoridades de protección de datos; en UK, ICO.

27. Anexos Regulatorios (Resumen)

GLBA Notice:

Categorías de información financiera, derechos de opt-out de compartir con no afiliados para marketing conjunto, prácticas de seguridad.

CCPA/CPRA Aviso para California:

Categorías recogidas:

Identificadores, información financiera, actividad en internet, geolocalización, inferencias (limitadas), datos profesionales/comerciales, información biométrica (si aplica).

Fines comerciales/negocios:

Enumerados en la Sección 4.

Sharing/venta:

No vendemos; compartimos para publicidad conductual solo con opt-out.

Derechos:

Conocer, corregir, eliminar, limitar uso de información sensible, opt-out de "venta/compartición", no discriminación.

Métodos de solicitud:

App/portal, email, teléfono (si aplica).

28. Cláusula para Cripto Específica

Evaluaciones de riesgo on-chain:

Análisis de direcciones, contrapartes, mezcladores, contratos DeFi, puenteos y NFTs con el objetivo de cumplir AML/sanciones.

Travel Rule:

Para transferencias entre VASPs, compartiremos la información requerida (p.ej., originator/beneficiary) a través de proveedores interoperables, donde la normativa lo demande.

Volatilidad y trazabilidad:

Advertimos que actividades en blockchain son públicas; vinculaciones con identidad se realizan solo cuando sea necesario para cumplimiento, seguridad o ejecución del servicio, conforme a bases legales aplicables.

29. Conservación de Evidencias de Consentimiento y Preferencias

Registramos timestamp, método y alcance del consentimiento; mantenemos auditoría de opt-ins/opt-outs y de banners de cookies por jurisdicción.

30. Resolución de Disputas

Intentaremos resolver disputas directamente. Si su contrato contempla arbitraje o jurisdicción específica, esa cláusula prevalecerá. Nada limita derechos irrenunciables de los consumidores según la ley.