Back to registration
Privacy & Ley 8968 disclosure

Privacy Policy

Version 1.0 · Effective May 2026 · Compliant with Ley 8968 (Costa Rica)
Draft. This Privacy Policy is a working draft pending review by CRGAR's legal counsel and registration with PRODHAB (Agencia de Protección de Datos de los Habitantes). PRODHAB registration number will appear here once issued.
§ 01

Data controller

The Costa Rica Global Association of Realtors ("CRGAR") is the data controller for all personal information collected through the member portal at miembros.crgar.net.

Contact for privacy matters: privacy@crgar.net

§ 02

Data we collect

We collect the following categories of personal data when you register and maintain your member profile:

Account data

  • Email address (used as your login)
  • Password (stored as a one-way cryptographic hash; never stored in plain text)
  • T&C acceptance timestamp and version

Profile data

  • Name, professional photograph
  • CRGAR associate number (issued by us)
  • Phone number, company, years of professional experience
  • Areas of specialization and geographic zones
  • Biography (English and/or Spanish)
  • Certifications, including issuer, year, and optional logo
  • Links to your website, social profiles, and MLS portals
  • Featured property listings and associated photographs

Usage data

  • IP address (truncated for analytics)
  • Browser type, language, and time zone
  • Pages visited within the portal, anonymized
  • Sign-in timestamps for security purposes
§ 03

Purpose of collection

We collect and process your personal data exclusively for the following purposes:

  • Directory display. To display your professional profile in the public CRGAR member directory.
  • Membership verification. To confirm your CRGAR membership eligibility.
  • Account administration. To send you administrative communications, including profile-approval notifications, T&C updates, and security alerts.
  • Service improvement. To analyze anonymized usage data and improve the portal experience.
  • Legal compliance. To comply with applicable laws, including Ley 8968 and tax / professional regulations.

We do not sell, rent, or otherwise commercialize your personal data. We do not use your data for advertising or third-party marketing.

§ 04

Data categories

Per Ley 8968 Art. 9, the personal data we process is classified as follows:

  • Personal contact data: name, email, phone, address.
  • Professional credentials: CRGAR associate number, certifications, years of experience.
  • Public profile content: biography, photograph, social links, listing details (you have already designated this for public display).
  • Account-security data: hashed password, sign-in timestamps, IP addresses.

We do not collect "sensitive personal data" as defined in Ley 8968 Art. 9 (such as health, religion, racial origin, political opinion).

§ 05

Retention period

  • Active members: data is retained for as long as your CRGAR membership remains active.
  • Suspended profiles: retained for one (1) year following suspension, after which non-essential data is anonymized.
  • Deleted accounts: a 30-day soft-delete grace period during which the account is recoverable. After 30 days, all personal data is permanently deleted, except where longer retention is required by law (e.g., audit logs).
  • Audit logs: retained for twelve (12) months for security and accountability, then archived in anonymized form.
  • Backups: encrypted database backups are kept for thirty (30) days for disaster recovery, after which they are overwritten.
§ 06

Your rights — ARCO

Under Ley 8968, you have the following rights with respect to your personal data:

  • Access. You may request a copy of all personal data we hold about you.
  • Rectification. You may correct or update any inaccurate or incomplete data. Most fields are directly editable through your dashboard.
  • Cancellation. You may request deletion of your data, subject to any legal retention requirements that apply.
  • Opposition. You may object to specific uses of your data (for example, opt out of analytics).

To exercise any of these rights, email privacy@crgar.net with your CRGAR member number and the right you wish to exercise. We will respond within five (5) business days as required by Ley 8968.

If you are not satisfied with our response, you may file a complaint with PRODHAB.

§ 07

PRODHAB registration

The personal-data database operated by CRGAR through the member portal is registered with the Agencia de Protección de Datos de los Habitantes (PRODHAB), the Costa Rican data protection authority, in compliance with Ley 8968.

Registration number: To be issued — pending PRODHAB filing.

You may verify our registration directly with PRODHAB at www.prodhab.go.cr.

§ 08

Data security

We apply the following technical and organizational measures to protect your data:

  • Passwords are stored using one-way cryptographic hashing (bcrypt or argon2). Plain-text passwords are never stored or logged.
  • All data in transit is encrypted via TLS 1.2 or higher.
  • Database access is restricted to authorized administrators and enforced through Row Level Security (RLS) policies that prevent any user from accessing data they are not authorized to see.
  • Backups are encrypted at rest.
  • Administrative actions are recorded in an audit log for accountability.
  • Multi-factor authentication is available and recommended for administrators.
§ 09

Cookies and analytics

We use the following cookies and tracking technologies:

  • Essential cookies: required to keep you signed in and remember your language preference. These cannot be disabled without breaking core functionality.
  • Analytics: we use a privacy-respecting analytics provider (PostHog) to understand portal usage. Analytics is anonymized and you may opt out from your account preferences.
  • No advertising cookies. We do not run advertising or share data with advertising networks.
  • No third-party social trackers beyond standard share buttons (which do not load until clicked).
§ 10

Data breach notification

In the event of a personal-data breach affecting your data, we will:

  • Notify affected users by email within seventy-two (72) hours of becoming aware of the breach, in compliance with Ley 8968 Art. 17.
  • Notify PRODHAB simultaneously.
  • Describe the nature of the breach, the data involved, the likely consequences, and the measures we are taking in response.
  • Provide ongoing updates as the investigation progresses.
§ 11

Third parties and processors

We use the following third-party processors to operate the portal. Each is bound by a data processing agreement and is required to apply security measures equivalent to ours:

  • Hosting and database: Supabase Inc. (data centers in [region — to be confirmed at deployment]).
  • Email delivery: Resend (or Supabase Auth-managed delivery).
  • Static hosting: Cloudflare Pages (or equivalent).
  • Analytics: PostHog Inc.

None of these processors uses your data for their own purposes.

§ 12

Changes to this policy

We may update this Privacy Policy to reflect changes in legal requirements, services, or operations. Material changes will be communicated by email and will require re-acceptance on your next sign-in.

§ 13

Contact

For privacy-related questions or to exercise your ARCO rights:

CRGAR — Privacy Office
Email: privacy@crgar.net
Address: To be confirmed.

← Back to registration v1.0 · May 2026 · DRAFT
Privacidad y aviso Ley 8968

Política de Privacidad

Versión 1.0 · Vigente desde mayo de 2026 · Conforme a la Ley 8968 (Costa Rica)
Borrador. Esta Política de Privacidad es un borrador pendiente de revisión por el asesor legal de CRGAR y de inscripción ante PRODHAB (Agencia de Protección de Datos de los Habitantes). El número de inscripción aparecerá aquí una vez emitido.
§ 01

Responsable del tratamiento

La Asociación Global de Realtors de Costa Rica ("CRGAR") es la responsable del tratamiento de toda la información personal recopilada a través del portal en miembros.crgar.net.

Contacto para asuntos de privacidad: privacy@crgar.net

§ 02

Datos que recolectamos

Recopilamos las siguientes categorías de datos personales cuando usted registra y mantiene su perfil de miembro:

Datos de cuenta

  • Dirección de correo electrónico (usado como su inicio de sesión)
  • Contraseña (almacenada como hash criptográfico unidireccional; nunca almacenada en texto plano)
  • Marca de tiempo y versión de aceptación de los T&C

Datos de perfil

  • Nombre, fotografía profesional
  • Número de asociado CRGAR (emitido por nosotros)
  • Número de teléfono, empresa, años de experiencia profesional
  • Áreas de especialización y zonas geográficas
  • Biografía (en inglés y/o español)
  • Certificaciones, incluyendo emisor, año y logo opcional
  • Enlaces a su sitio web, perfiles sociales y portales MLS
  • Propiedades destacadas y fotografías asociadas

Datos de uso

  • Dirección IP (truncada para analítica)
  • Tipo de navegador, idioma y zona horaria
  • Páginas visitadas dentro del portal, anonimizadas
  • Marcas de tiempo de inicio de sesión por motivos de seguridad
§ 03

Propósito de la recolección

Recopilamos y procesamos sus datos personales exclusivamente para los siguientes propósitos:

  • Visualización en el directorio. Para mostrar su perfil profesional en el directorio público de miembros de CRGAR.
  • Verificación de membresía. Para confirmar su elegibilidad como miembro de CRGAR.
  • Administración de cuenta. Para enviar comunicaciones administrativas, incluyendo notificaciones de aprobación de perfil, actualizaciones de T&C y alertas de seguridad.
  • Mejora del servicio. Para analizar datos de uso anonimizados y mejorar la experiencia del portal.
  • Cumplimiento legal. Para cumplir con las leyes aplicables, incluyendo la Ley 8968 y regulaciones fiscales / profesionales.

No vendemos, alquilamos, ni comercializamos de otra manera sus datos personales. No usamos sus datos para publicidad ni marketing de terceros.

§ 04

Categorías de datos

Conforme al Art. 9 de la Ley 8968, los datos personales que procesamos se clasifican como sigue:

  • Datos de contacto personal: nombre, correo, teléfono, dirección.
  • Credenciales profesionales: número de asociado CRGAR, certificaciones, años de experiencia.
  • Contenido público de perfil: biografía, fotografía, enlaces sociales, detalles de propiedades (usted ya ha designado esta información para visualización pública).
  • Datos de seguridad de cuenta: contraseña hasheada, marcas de tiempo de inicio de sesión, direcciones IP.

No recopilamos "datos personales sensibles" según se definen en el Art. 9 de la Ley 8968 (como salud, religión, origen racial, opinión política).

§ 05

Período de retención

  • Miembros activos: los datos se conservan mientras su membresía CRGAR permanezca activa.
  • Perfiles suspendidos: se conservan por un (1) año después de la suspensión, tras lo cual los datos no esenciales se anonimizan.
  • Cuentas eliminadas: período de gracia de 30 días durante el cual la cuenta es recuperable. Después de 30 días, todos los datos personales se eliminan permanentemente, excepto cuando una retención mayor sea requerida por ley (por ejemplo, registros de auditoría).
  • Registros de auditoría: conservados por doce (12) meses por seguridad y rendición de cuentas, luego archivados en forma anonimizada.
  • Respaldos: los respaldos cifrados de la base de datos se mantienen por treinta (30) días para recuperación ante desastres, tras lo cual se sobrescriben.
§ 06

Sus derechos — ARCO

Bajo la Ley 8968, usted tiene los siguientes derechos respecto a sus datos personales:

  • Acceso. Puede solicitar una copia de todos los datos personales que tenemos sobre usted.
  • Rectificación. Puede corregir o actualizar cualquier dato inexacto o incompleto. La mayoría de los campos son editables directamente desde su dashboard.
  • Cancelación. Puede solicitar la eliminación de sus datos, sujeto a cualquier requisito legal de retención que aplique.
  • Oposición. Puede oponerse a usos específicos de sus datos (por ejemplo, optar por no participar en analítica).

Para ejercer cualquiera de estos derechos, escriba a privacy@crgar.net indicando su número de miembro CRGAR y el derecho que desea ejercer. Responderemos dentro de cinco (5) días hábiles según lo requerido por la Ley 8968.

Si no está satisfecho con nuestra respuesta, puede presentar una queja ante PRODHAB.

§ 07

Inscripción ante PRODHAB

La base de datos personales operada por CRGAR a través del portal de miembros está inscrita ante la Agencia de Protección de Datos de los Habitantes (PRODHAB), autoridad costarricense de protección de datos, en cumplimiento con la Ley 8968.

Número de inscripción: Por emitir — pendiente de presentación ante PRODHAB.

Puede verificar nuestra inscripción directamente con PRODHAB en www.prodhab.go.cr.

§ 08

Seguridad de datos

Aplicamos las siguientes medidas técnicas y organizativas para proteger sus datos:

  • Las contraseñas se almacenan usando hashing criptográfico unidireccional (bcrypt o argon2). Las contraseñas en texto plano nunca se almacenan ni registran.
  • Todos los datos en tránsito se cifran mediante TLS 1.2 o superior.
  • El acceso a la base de datos está restringido a administradores autorizados y se aplica mediante políticas de Seguridad a Nivel de Fila (RLS) que impiden a cualquier usuario acceder a datos que no esté autorizado a ver.
  • Los respaldos están cifrados en reposo.
  • Las acciones administrativas se registran en un log de auditoría.
  • La autenticación multifactor está disponible y recomendada para administradores.
§ 09

Cookies y analítica

Usamos las siguientes cookies y tecnologías de seguimiento:

  • Cookies esenciales: requeridas para mantener su sesión y recordar su preferencia de idioma. No se pueden deshabilitar sin romper la funcionalidad principal.
  • Analítica: usamos un proveedor de analítica respetuoso con la privacidad (PostHog) para entender el uso del portal. La analítica está anonimizada y puede optar por no participar desde las preferencias de su cuenta.
  • Sin cookies de publicidad. No mostramos publicidad ni compartimos datos con redes publicitarias.
  • Sin rastreadores sociales de terceros más allá de botones de compartir estándar (que no se cargan hasta hacer clic).
§ 10

Notificación de violación de datos

En caso de una violación de datos personales que afecte sus datos:

  • Notificaremos a los usuarios afectados por correo electrónico dentro de las setenta y dos (72) horas siguientes al conocimiento de la violación, en cumplimiento del Art. 17 de la Ley 8968.
  • Notificaremos a PRODHAB simultáneamente.
  • Describiremos la naturaleza de la violación, los datos involucrados, las consecuencias probables y las medidas que estamos tomando en respuesta.
  • Proporcionaremos actualizaciones continuas a medida que avance la investigación.
§ 11

Terceros y encargados

Usamos los siguientes encargados externos para operar el portal. Cada uno está vinculado por un acuerdo de tratamiento de datos y se le requiere aplicar medidas de seguridad equivalentes a las nuestras:

  • Hosting y base de datos: Supabase Inc. (centros de datos en [región — por confirmar al desplegar]).
  • Entrega de correos: Resend (o entrega gestionada por Supabase Auth).
  • Hosting estático: Cloudflare Pages (o equivalente).
  • Analítica: PostHog Inc.

Ninguno de estos encargados usa sus datos para sus propios fines.

§ 12

Cambios a esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios en requisitos legales, servicios u operaciones. Los cambios materiales se comunicarán por correo electrónico y requerirán re-aceptación en su próximo inicio de sesión.

§ 13

Contacto

Para preguntas relacionadas con privacidad o para ejercer sus derechos ARCO:

CRGAR — Oficina de Privacidad
Correo: privacy@crgar.net
Dirección: Por confirmar.

← Volver al registro v1.0 · Mayo 2026 · BORRADOR