Skip to main content
Didit recauda 2M $ y se une a Y Combinator (W26)
Didit
Didit
Privacy Policy
Updated May 16, 2026 · didit.me/terms/privacy-policy
Legal

Privacy Policy

Updated: May 16, 2026

On this page

Esta Política de Privacidad explica cómo Didit procesa los datos personales cuando visitas nuestros sitios web, nos contactas, usas nuestros productos y servicios, o completas un flujo de verificación de identidad o fraude impulsado por Didit.

Si estás verificando tu identidad para un banco, fintech, plataforma de criptomonedas, marketplace, empleador u otra organización que utiliza Didit, esa organización es la parte que decide por qué se requiere la verificación. En esos casos, es el controlador o negocio, y Didit actúa como su procesador o proveedor de servicios. Para el procesamiento específico de verificación, datos biométricos y flujos de marca blanca, lee nuestro Aviso de Privacidad de Verificación y los Términos de Usuario Final para la Verificación de Identidad.

1. Quiénes somos

Dependiendo del servicio y la geografía, tus datos pueden ser procesados por una o ambas de las siguientes entidades de Didit:

  • Didit Identity Spain, S.L., CIF B22929327, Calle Nápoles 227, P. 1, 08013 Barcelona, España. Entidad contratante para clientes de la Unión Europea, Reino Unido, Espacio Económico Europeo, Suiza y América Latina, y el establecimiento que opera el plano de datos europeo.
  • Didit Identity, Inc., EIN 39-2860573, 1111B S Governors Ave STE 34855, Dover, Delaware 19904, Estados Unidos. Entidad contratante para clientes de Estados Unidos, Canadá, Asia-Pacífico, Oriente Medio y clientes globales.

Cuando decimos "Didit", "nosotros", "nuestro" o "nuestra", nos referimos a la entidad o entidades de Didit que proporcionan el servicio aplicable.

2. Alcance y nuestro rol

Esta Política de Privacidad se aplica cuando tú:

  • visitas `didit.me` o cualquier sitio web operado por Didit;
  • solicitas información, una demo o soporte;
  • creas o gestionas una relación comercial, cuenta o integración con Didit;
  • aplicas para un puesto en Didit; o
  • utilizas un flujo de verificación, prevención de fraude, autenticación o cumplimiento operado por o a través de Didit.

Nuestro rol cambia según el contexto:

ContextoRol de DiditQué significa
Visitantes del sitio web, marketing, reclutamiento, ventas, soporte y relaciones comerciales directasControladorDidit decide por qué y cómo se procesan los datos para esas interacciones directas.
Flujos de verificación solicitados por un cliente de DiditProcesador / Proveedor de serviciosEl cliente decide por qué se realiza la verificación y qué comprobaciones se habilitan. Didit procesa los datos en nombre del cliente.
Seguridad, prevención de abusos, integridad del servicio, registro de auditoría, cumplimiento legal, entrenamiento y validación de modelos de fraude con datos anonimizados o seudonimizados, y reclamaciones legalesControlador independiente para ese propósito específicoDidit puede procesar datos limitados para asegurar la plataforma, entrenar y mejorar los modelos de detección de fraude y verificación, cumplir con la ley y establecer, ejercer o defender reclamaciones legales.

Si te encuentras en un flujo de verificación de marca blanca o en un dominio personalizado, la marca personalizada no significa necesariamente que solo la empresa de la marca procese tus datos. Didit aún puede proporcionar la tecnología de verificación subyacente y el procesamiento relacionado.

3. Categorías de datos personales que procesamos

Las categorías de datos que procesamos dependen del servicio, la configuración del flujo de trabajo y tu relación con Didit. Pueden incluir:

  • Identificadores y datos de contacto, nombre, dirección de correo electrónico, número de teléfono, dirección postal, fecha de nacimiento e información de identificación similar.
  • Datos comerciales y de cuenta, nombre de la empresa, información de facturación, credenciales de cuenta, detalles de uso de la API y registros de tu relación con Didit.
  • Datos de verificación, imágenes de documentos de identidad, datos extraídos de documentos, archivos de prueba de domicilio, respuestas a cuestionarios, entradas de detección de sanciones o listas de vigilancia y resultados de verificación.
  • Datos biométricos y de vivacidad, cuando el flujo de trabajo incluye verificación facial o comprobaciones similares, selfies, imágenes faciales, videos, capturas de vivacidad, señales anti-spoofing y datos derivados de escaneos de geometría facial.
  • Datos de dispositivo, red y técnicos, dirección IP, tipo de navegador, sistema operativo, idioma, identificadores de dispositivo, marcas de tiempo, geolocalización inferida de datos de red y otra telemetría de seguridad o antifraude.
  • Comunicaciones y datos de soporte, mensajes, tickets de soporte, registros de llamadas, intercambios de correo electrónico y registros operativos.
  • Datos de terceros y fuentes públicas, información proporcionada por nuestros clientes, socios de identidad o prevención de fraude, autoridades públicas, proveedores de telecomunicaciones y fuentes disponibles públicamente cuando lo permita la ley.
  • Datos de reclutamiento, CVs, historial laboral y otros materiales enviados durante la contratación.

No necesitamos todas las categorías enumeradas anteriormente para cada interacción. Los datos exactos utilizados dependen de los servicios solicitados y la configuración seleccionada por el cliente relevante.

4. Cómo usamos los datos personales

Podemos usar datos personales para los siguientes propósitos:

  • Para operar nuestros sitios web y servicios, acceso a la cuenta, entrega de productos, soporte al cliente, facturación y comunicaciones.
  • Para proporcionar servicios de infraestructura de identidad y fraude, Verificación de Usuarios (Know Your Customer / KYC), Verificación de Negocios (Know Your Business / KYB), Monitoreo de Transacciones, Detección de Fraude en Wallets (Know Your Transaction / KYT) y otras comprobaciones configuradas.
  • Para asegurar la plataforma, prevenir abusos, detectar suplantaciones, prevenir fraudes, monitorear actividades sospechosas y mantener la integridad del servicio.
  • Para entrenar, evaluar y mejorar los modelos de detección de fraude y verificación utilizando datos anonimizados o seudonimizados derivados de la actividad de verificación, cuando lo permita la ley. Consulta la Sección 11 para la opción de exclusión.
  • Para responder a solicitudes, solicitudes de demostración, preguntas de soporte, solicitudes de diligencia debida y comunicaciones comerciales.
  • Para gestionar el reclutamiento y la contratación, revisar solicitudes y comunicarse con los candidatos.
  • Para cumplir con obligaciones legales y regulatorias, mantener registros, responder a solicitudes legales, hacer cumplir contratos y realizar auditorías internas o externas.
  • Para establecer, ejercer o defender reclamaciones legales y proteger los derechos, la seguridad y la protección de Didit, nuestros clientes y las personas afectadas.

5. Bases legales para el procesamiento

Cuando se aplica el Reglamento General de Protección de Datos (GDPR), el GDPR del Reino Unido, la ley de protección de datos suiza o leyes similares, Didit se basa en una o más de las siguientes bases legales:

  • Ejecución de un contrato o pasos tomados a tu solicitud antes de celebrar un contrato.
  • Intereses legítimos, asegurar nuestra plataforma, apoyar a los clientes, prevenir el fraude, mantener registros, entrenar y mejorar los modelos de detección de fraude y verificación con datos anonimizados o seudonimizados, y comunicarse con contactos comerciales, siempre que esos intereses no sean anulados por tus derechos.
  • Consentimiento, incluso cuando se requiere consentimiento para comunicaciones de marketing, ciertas cookies o procesamiento biométrico en una jurisdicción o flujo de trabajo particular.
  • Obligación legal, cuando el procesamiento es requerido para cumplir con la ley aplicable, regulación, orden judicial o solicitud legal de las autoridades.
  • Establecimiento, ejercicio o defensa de reclamaciones legales.

Cuando se procesan datos de categoría especial o sensibles, incluidos los datos biométricos utilizados para identificarte de forma única, Didit procesa esos datos solo cuando lo permite la ley aplicable. En los flujos de verificación, el cliente relevante es responsable de determinar y documentar la base legal principal para la verificación en sí, incluyendo si se requiere consentimiento explícito.

6. Cómo divulgamos los datos personales

Podemos divulgar datos personales a:

  • El cliente que nos pidió que realizáramos la verificación, para que el cliente pueda completar la incorporación, la revisión de fraude, las comprobaciones de cumplimiento o los procesos comerciales relacionados.
  • Entidades del grupo Didit, cuando sea necesario para operar, soportar, asegurar o proporcionar los servicios relevantes.
  • Proveedores de servicios y subprocesadores, proveedores de alojamiento en la nube, almacenamiento, infraestructura, comunicaciones, soporte, análisis, prevención de fraude, procesamiento de documentos, seguridad, auditoría y servicios profesionales. Una lista actual de subprocesadores está disponible para clientes y posibles clientes bajo un Acuerdo de Confidencialidad (NDA) firmado, previa solicitud a security@didit.me.
  • Asesores profesionales, abogados, auditores, aseguradoras y consultores, cuando sea necesario para fines comerciales legítimos, de cumplimiento o legales.
  • Autoridades públicas, reguladores, tribunales, fuerzas del orden u otros terceros, cuando lo exija la ley, el proceso legal o una solicitud gubernamental exigible.
  • Sucesores y contrapartes de transacciones, si Didit participa en una fusión, adquisición, financiación, proceso de insolvencia o venta de activos, sujeto a confidencialidad y salvaguardias legales.

Didit no vende, alquila, comercializa ni obtiene beneficios de identificadores biométricos o información biométrica.

7. Transferencias internacionales

Didit puede procesar datos en varios países. Cuando los datos personales se transfieren fuera del Espacio Económico Europeo, el Reino Unido, Suiza u otra jurisdicción con restricciones de transferencia, Didit utiliza las salvaguardias adecuadas cuando es necesario, incluyendo:

  • decisiones de adecuación;
  • las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea de 2021 y cualquier anexo equivalente del Reino Unido o Suiza;
  • acuerdos de transferencia intragrupo; o
  • otro mecanismo de transferencia legal reconocido por la ley aplicable.

8. Retención

Didit retiene los datos personales durante el tiempo que sea razonablemente necesario para los fines descritos en esta Política de Privacidad, incluyendo para:

  • proporcionar y soportar los servicios relevantes;
  • seguir las instrucciones del cliente en las relaciones con el procesador;
  • cumplir con las obligaciones contractuales, legales, fiscales, contables y regulatorias;
  • mantener registros de seguridad y prevención de fraude;
  • resolver disputas; y
  • establecer, ejercer o defender reclamaciones legales.

Los períodos de retención varían según el servicio, la configuración del flujo de trabajo, la ley aplicable y el rol que Didit desempeña en el procesamiento:

  • Los datos de la relación comercial se retienen típicamente durante la duración de la relación y durante los períodos legales de mantenimiento de registros posteriores a la terminación.
  • Los registros de soporte y auditoría pueden retenerse para fines operativos, de seguridad y cumplimiento.
  • Los datos de reclutamiento se retienen para el proceso de reclutamiento y cualquier período de seguimiento legal, o más tiempo si das tu consentimiento por separado.
  • Datos de verificación, la retención predeterminada es indefinida ("ilimitada"), a menos que el cliente configure un período más corto. Los clientes configuran la retención por aplicación en la Consola de Negocios entre 30 días y 10 años, o activan una eliminación por sesión en cualquier momento a través del endpoint de la API `POST /v3/sessions/:session_id/delete/`. Los usuarios finales también pueden ejercer los derechos de eliminación como se describe en la Sección 9. La retención de datos biométricos está en todos los casos sujeta y limitada por las leyes y regulaciones de privacidad biométrica aplicables, incluyendo el Artículo 9 del Reglamento General de Protección de Datos (GDPR) de la UE, la Ley de Privacidad de Información Biométrica de Illinois (BIPA), la Ley de Captura o Uso de Identificadores Biométricos de Texas (CUBI), la H.B. 1493 de Washington y cualquier otra ley de privacidad biométrica aplicable; donde dicha ley prescribe un período de retención más corto o una obligación de destrucción anterior, esa regla más corta o más estricta prevalece sobre cualquier período de retención predeterminado o configurado por el cliente.

Cuando los datos ya no son necesarios, Didit los elimina, redacta, anonimiza, desidentifica o destruye de forma segura. Para datos biométricos y medios de verificación, consulta el Aviso de Privacidad de Verificación.

9. Tus derechos

Dependiendo de tu ubicación y la ley aplicable, puedes tener derecho a:

  • acceder a tus datos personales;
  • solicitar la corrección de datos inexactos o incompletos;
  • solicitar la eliminación o supresión;
  • solicitar la restricción del procesamiento;
  • oponerte a cierto procesamiento, incluido el procesamiento basado en intereses legítimos (consulta la Sección 11 para la opción de exclusión del entrenamiento de modelos y la detección de fraude);
  • retirar el consentimiento cuando el procesamiento se base en el consentimiento;
  • solicitar la portabilidad de los datos que proporcionaste;
  • no ser objeto de una decisión basada únicamente en el procesamiento automatizado, incluida la elaboración de perfiles, que produzca efectos legales o significativamente similares, sujeto a las condiciones y excepciones del Artículo 22 del GDPR; y
  • presentar una reclamación ante una autoridad de supervisión. La autoridad de supervisión principal de Didit es la Agencia Española de Protección de Datos (AEPD) en `aepd.es`.

Cuando Didit actúa como controlador, envía las solicitudes de privacidad a privacy@didit.me o dpo@didit.me.

Cuando Didit actúa como procesador o proveedor de servicios para un flujo de verificación de un cliente, dirige tu solicitud a la organización que te pidió que verificaras. Ese cliente controla el propósito de la verificación y está en la mejor posición para responder. Si Didit recibe dicha solicitud directamente, podemos reenviarla al cliente relevante.

10. Cookies y tecnologías similares

Didit utiliza cookies y tecnologías similares en sus sitios web para funcionalidad, seguridad, análisis y atribución. Lee nuestra Política de Cookies para el inventario completo, los controles del banner de consentimiento y nuestra postura sobre el Control de Privacidad Global (GPC) y Do Not Track (DNT).

11. Entrenamiento de modelos anonimizados y detección de fraude, tu opción de exclusión

Didit entrena, evalúa y mejora sus modelos de verificación de identidad, biométricos y de detección de fraude, y opera salvaguardias de prevención de fraude entre clientes, utilizando datos anonimizados o seudonimizados derivados de la actividad de verificación (por ejemplo: características de documentos, señales de fraude, patrones de ataque, muestras de errores de modelo). Didit aplica anonimización, seudonimización, agregación y controles de acceso para que los datos utilizados para el entrenamiento y la detección de fraude no puedan vincularse razonablemente a un individuo identificable fuera del registro de verificación subyacente.

Este procesamiento se basa en el interés legítimo de Didit en:

  • mejorar la precisión y seguridad de la infraestructura de identidad y fraude utilizada por todos los clientes;
  • detectar y prevenir el fraude, los ataques de robo de identidad, los deepfakes y los intentos repetidos de atacantes conocidos; y
  • cumplir con las expectativas regulatorias sobre el rendimiento, la equidad y la seguridad del modelo.

Exclusión. Un cliente o usuario final puede excluir sus datos del entrenamiento de modelos y el procesamiento de detección de fraude mediante:

  • la eliminación del registro de verificación subyacente a través de la API o la Consola de Negocios (la eliminación elimina el registro de las tuberías de entrenamiento en el siguiente ciclo de actualización), o
  • enviando un correo electrónico a privacy@didit.me con el identificador de sesión o cuenta relevante, solicitando una exclusión.

Las exclusiones se aplican prospectivamente desde la fecha de la solicitud; Didit también hará esfuerzos comercialmente razonables para purgar los registros elegibles de los conjuntos de datos de entrenamiento activos.

12. Estados Unidos, Adenda de la Ley de Privacidad del Consumidor de California (CCPA) / Ley de Derechos de Privacidad de California (CPRA)

Esta sección complementa esta Política de Privacidad para los residentes de California y se aplica siempre que Didit sea un "negocio" según la Ley de Privacidad del Consumidor de California (CCPA), según enmendada por la Ley de Derechos de Privacidad de California (CPRA). Cuando Didit es un "proveedor de servicios" o "contratista" para un cliente de Didit (un "negocio" según la CCPA), el aviso de privacidad del cliente rige el flujo de verificación relevante y Didit procesa la información personal bajo el Acuerdo de Procesamiento de Datos relevante.

Categorías de información personal recopilada en los últimos 12 meses (categorías de la CCPA):

  • Identificadores (nombre, correo electrónico, teléfono, dirección IP, identificadores de dispositivo).
  • Registros de clientes (facturación, contacto, cuenta).
  • Actividad de Internet o red (navegación, interacciones, telemetría).
  • Datos de geolocalización (inferidos de la IP).
  • Datos sensoriales (selfies, imágenes faciales, video de vivacidad, imágenes de documentos).
  • Datos profesionales o laborales (para candidatos).
  • Información personal sensible (SPI), incluida la información biométrica utilizada para identificar de forma única a un consumidor, los identificadores gubernamentales contenidos en los documentos de identidad y las credenciales de inicio de sesión de la cuenta.
  • Inferencias extraídas de cualquiera de los anteriores (puntuaciones de riesgo, señales de fraude, resultados de decisiones).

Propósitos, los propósitos enumerados en la Sección 4.

Venta o intercambio de información personal. Didit no vende ni comparte (según la definición de esos términos en la CCPA/CPRA) información personal, incluida la información biométrica.

Uso y divulgación de información personal sensible. Didit utiliza información personal sensible solo para los fines permitidos por el Código Civil de California § 1798.121(a) y las regulaciones de implementación, para proporcionar y asegurar el servicio de verificación, prevenir incidentes de fraude y seguridad, cumplir con las obligaciones legales y otros fines permitidos sin un derecho de limitación del consumidor por separado.

Tus derechos en California:

  • derecho a saber qué información personal se recopila, utiliza, divulga y vende/comparte;
  • derecho a eliminar información personal;
  • derecho a corregir información personal inexacta;
  • derecho a optar por no vender o compartir (Didit no hace ninguna de las dos);
  • derecho a limitar el uso y la divulgación de información personal sensible (el procesamiento de Didit ya está limitado a fines que no activan el derecho);
  • derecho a la portabilidad de datos; y
  • derecho a la no discriminación por ejercer cualquiera de los anteriores.

Envía las solicitudes de California a privacy@didit.me. Es posible que se requiera la verificación de tu identidad antes de responder. Los agentes autorizados pueden enviar solicitudes con prueba de autorización.

Control de Privacidad Global (GPC) y Do Not Track (DNT). Didit respeta las señales de Control de Privacidad Global basadas en el navegador en el sitio de marketing como una opción de exclusión de venta o intercambio, aunque Didit no vende ni comparte información personal, las señales de GPC se registran para que no se establezca ninguna cookie de publicidad o análisis que pueda interpretarse como un intercambio para ese navegador. Didit no responde actualmente a los encabezados heredados de Do Not Track (DNT) porque no hay un consenso de la industria sobre cómo interpretarlos; la señal GPC reemplaza a DNT para los propósitos de Didit.

13. Seguridad

Didit utiliza salvaguardias administrativas, técnicas y organizativas diseñadas para proteger los datos personales contra el acceso no autorizado, la pérdida, el uso indebido, la alteración y la destrucción ilegal, incluyendo el cifrado en reposo con AES-256, el cifrado en tránsito con TLS 1.3, la gestión de claves en AWS KMS, el control de acceso basado en roles, la separación de entornos, el monitoreo continuo, la supervisión de proveedores y los procedimientos de respuesta a incidentes. Consulta la Política de Seguridad de la Información para conocer la postura y las certificaciones completas.

Ninguna medida de seguridad es perfecta. También debes proteger tus propios dispositivos, credenciales y comunicaciones.

14. Niños

Los sitios web públicos y los servicios comerciales estándar de Didit no están dirigidos a niños. Algunos clientes pueden usar legalmente Didit para verificaciones relacionadas con la edad o la identidad que involucren a usuarios más jóvenes, pero ese uso debe estar respaldado por una base legal apropiada y los propios avisos del cliente. Si crees que se enviaron datos personales a Didit sin la autorización adecuada, contacta a privacy@didit.me.

15. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad de vez en cuando para reflejar cambios legales, técnicos, operativos o de productos. La fecha de entrada en vigor en la parte superior de la política refleja la última actualización. Los cambios sustanciales se comunicarán cuando lo exija la ley.

16. Contacto

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Spain
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/privacy-policy

Have questions about a specific document?

Email legal@didit.me, privacy@didit.me, or security@didit.me, or message us on WhatsApp. We route you to the right contact.

Talk to us
Pide a una IA que resuma esta página