Política de privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales del Aliado es Laguna Mediterranea SL, con CIF B12345678 y domicilio social en (pendiente). Correo del responsable de protección de datos: dpo@salvado.es.

2. Datos que tratamos

SALVADO trata las siguientes categorías de datos personales del Aliado:

• Identificación: nombre, NIF/NIE/CIF, correo electrónico.
• Cuenta: contraseña (hasheada con scrypt, algoritmo memory-hard recomendado), historial de inicios de sesión, IP, agente de navegador.
• Actividad económica: CCAA, provincia, CNAE, forma jurídica. Esta información se usa para filtrar la normativa relevante.
• Facturación: dirección de facturación, método de pago (tokenizado por Stripe, SALVADO no almacena datos completos de tarjeta).
• Uso de servicios: herramientas descargadas, dispositivos activos, fechas de heartbeat. Estos datos viajan desde las herramientas locales del Aliado a SALVADO solo como eventos de seguridad, nunca como contenido del Aliado.

SALVADO no trata datos del cliente final del Aliado ni datos especialmente protegidos (salud, ideología, etc.) en el curso normal de los servicios base.

3. Finalidades y bases legales

• Ejecución del contrato (art. 6.1.b RGPD): prestación de los servicios SALVADO, gestión del alta, facturación, soporte.
• Consentimiento (art. 6.1.a RGPD): envío de comunicaciones comerciales de SALVADO. Revocable en cualquier momento.
• Obligación legal (art. 6.1.c RGPD): emisión de facturas, conservación contable, atención a requerimientos de autoridades.
• Interés legítimo (art. 6.1.f RGPD): mejora de los servicios, prevención de fraude, registro de eventos de seguridad anonimizados de la colmena Centinela.

4. Plazos de conservación

• Datos de la cuenta: mientras dure la relación contractual y 5 años después por imperativo legal.
• Datos de facturación: 6 años (art. 30 Código de Comercio + LGT).
• Logs de seguridad e incidentes: 1 año, o el plazo exigido por NIS2 / sectorial.
• Datos para fines de marketing: hasta revocación del consentimiento.

5. Destinatarios y transferencias internacionales

Los datos del Aliado se almacenan en servidores ubicados en la Unión Europea (Hetzner Online GmbH, Alemania, para infraestructura central; Supabase EU-West para autenticación y base de datos). SALVADO no realiza transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE) en el curso normal de sus servicios.

Pueden tener acceso a los datos los siguientes encargados de tratamiento:

• Stripe Payments Europe Ltd. — procesamiento de pagos.
• Resend — envío de correos transaccionales.
• Supabase Inc. — autenticación y base de datos (región EU-West).
• Hetzner Online GmbH — infraestructura.

Todos los encargados firman acuerdos de tratamiento conforme al artículo 28 del RGPD.

6. Derechos del Aliado

El Aliado puede ejercer en cualquier momento los siguientes derechos:

• Acceso (art. 15 RGPD).
• Rectificación (art. 16 RGPD).
• Supresión / derecho al olvido (art. 17 RGPD).
• Limitación del tratamiento (art. 18 RGPD).
• Portabilidad (art. 20 RGPD) — exportación en formato JSON / CSV.
• Oposición (art. 21 RGPD).
• No ser objeto de decisiones automatizadas (art. 22 RGPD).

Para ejercer estos derechos, basta con escribir a dpo@salvado.es indicando el derecho ejercido. Si el Aliado considera que sus derechos no han sido atendidos correctamente, puede presentar reclamación ante la Agencia Española de Protección de Datos (aepd.es).

7. Medidas de seguridad

SALVADO aplica medidas técnicas y organizativas conforme al artículo 32 del RGPD y al Esquema Nacional de Seguridad (ENS), entre otras:

• Cifrado AES-256-GCM de datos sensibles en reposo.
• TLS 1.3 en todas las comunicaciones.
• Hashing scrypt (memory-hard) de contraseñas.
• Aislamiento multi-tenant estricto con Row Level Security (RLS).
• Auditoría de accesos y eventos de seguridad (Centinela colmena).
• Copias de seguridad cifradas con prueba de restauración mensual.