Protección de Datos
Este documento complementa nuestra Política de Privacidad y describe en detalle cómo cumplimos con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
1. Marco normativo aplicable
El tratamiento de datos personales por parte de Sell Your AI (Denis Corral Villarraso) se rige por:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
- Real Decreto-ley 13/2012 y normativa de cookies aplicable.
2. Registro de actividades de tratamiento
Conforme al artículo 30 del RGPD, mantenemos un registro interno de todas las actividades de tratamiento de datos. A continuación se resume el contenido principal de dicho registro:
2.1 Gestión de leads y contactos comerciales
| Campo | Detalle |
|---|---|
| Finalidad | Captación y seguimiento de potenciales participantes del programa AXIS |
| Categorías de interesados | Profesionales y emprendedores en el ámbito de la IA y la consultoría digital |
| Categorías de datos | Nombre, email, teléfono, información profesional voluntaria |
| Base jurídica | Consentimiento (Art. 6.1.a RGPD) e interés legítimo (Art. 6.1.f) |
| Plazo de conservación | 3 años desde la última interacción activa |
| Destinatarios | Cal.com (gestión de agenda), herramientas de automatización internas |
| Transferencias internacionales | EE.UU. (Cal.com, Anthropic, OpenAI) bajo Cláusulas Contractuales Tipo |
2.2 Gestión del programa AXIS (participantes)
| Campo | Detalle |
|---|---|
| Finalidad | Prestación del servicio de consultoría y formación contratado |
| Categorías de interesados | Participantes matriculados en el programa AXIS |
| Categorías de datos | Datos identificativos, de contacto, profesionales y económicos (facturación de la agencia) |
| Base jurídica | Ejecución de contrato (Art. 6.1.b RGPD) |
| Plazo de conservación | Duración del programa + 5 años por obligaciones fiscales |
| Destinatarios | Stripe (pagos), herramientas de comunicación y gestión del programa |
| Transferencias internacionales | EE.UU. (Stripe) bajo decisiones de adecuación y SCCs |
2.3 Cumplimiento de obligaciones legales y fiscales
| Campo | Detalle |
|---|---|
| Finalidad | Gestión contable, fiscal y cumplimiento de obligaciones legales |
| Categorías de datos | Datos identificativos, NIF/NIE, datos de facturación |
| Base jurídica | Obligación legal (Art. 6.1.c RGPD) |
| Plazo de conservación | 5 años (Ley General Tributaria) / 6 años (Código de Comercio) |
| Destinatarios | Asesoría fiscal/contable, AEAT cuando sea legalmente requerido |
3. Encargados del tratamiento
Conforme al artículo 28 del RGPD, solo trabajamos con encargados del tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas adecuadas. Con todos ellos mantenemos los correspondientes contratos de encargo del tratamiento:
| Proveedor | Tratamiento | Garantías RGPD |
|---|---|---|
| Cal.com, Inc. | Reserva y gestión de llamadas | SCCs (EE.UU. → UE) |
| Stripe, Inc. | Procesamiento de pagos y emisión de recibos | Binding Corporate Rules + SCCs |
| Make.com (Celonis SE) | Automatización de flujos de trabajo y notificaciones | Servidores UE / DPA disponible |
| N8N GmbH | Automatización interna de procesos | Servidores UE / software open source self-hosted |
| Anthropic, PBC (Claude) | Asistencia IA en procesamiento interno (sin datos personales directos) | SCCs (EE.UU. → UE) / zero retention API |
| OpenAI, LLC | Asistencia IA en procesamiento interno (sin datos personales directos) | SCCs (EE.UU. → UE) / zero retention API |
| Google Workspace | Correo electrónico y documentación | Decisión de adecuación + SCCs |
| Cloudflare, Inc. | CDN y hosting del sitio web | SCCs / Cloudflare GDPR framework |
4. Medidas de seguridad técnicas y organizativas
Aplicamos medidas de seguridad acordes con el estado de la técnica y el riesgo del tratamiento, conforme al artículo 32 del RGPD:
4.1 Medidas técnicas
- Cifrado TLS/HTTPS en todas las comunicaciones del sitio web.
- Almacenamiento de datos en entornos con acceso restringido y autenticación multifactor (MFA).
- Pseudonimización cuando sea técnicamente posible.
- Política de contraseñas robustas y gestión de accesos con privilegio mínimo.
- Copias de seguridad periódicas con cifrado en tránsito y reposo.
- Actualizaciones regulares de software y parcheado de vulnerabilidades.
4.2 Medidas organizativas
- Acceso a datos personales limitado a las personas estrictamente necesarias.
- Acuerdos de confidencialidad con colaboradores y proveedores que puedan acceder a datos personales.
- Procedimiento documentado de respuesta ante brechas de seguridad.
- Revisión anual de proveedores y encargados del tratamiento.
- Evaluación del impacto en la protección de datos (EIPD) cuando sea necesario conforme al Art. 35 RGPD.
5. Gestión de brechas de seguridad
En caso de producirse una brecha de seguridad que pueda suponer un riesgo para los derechos y libertades de las personas afectadas, aplicamos el siguiente procedimiento:
- Detección y contención: Identificación inmediata del incidente y medidas para limitar el daño.
- Notificación a la AEPD: En el plazo máximo de 72 horas desde que tengamos conocimiento de la brecha, conforme al Art. 33 RGPD.
- Comunicación a los afectados: Si la brecha supone un alto riesgo para sus derechos, les informaremos sin dilación indebida conforme al Art. 34 RGPD.
- Registro interno: Documentación de todas las brechas, sus efectos y las medidas adoptadas.
6. Derechos de los interesados
Los interesados pueden ejercer los derechos reconocidos en los artículos 15 a 22 del RGPD (acceso, rectificación, supresión, limitación, portabilidad y oposición) dirigiéndose a:
Email: contacto@deniscorral.com
Asunto: "Ejercicio de derechos RGPD"
Plazo de respuesta: Máximo 1 mes, prorrogable a 3 meses en casos complejos.
Si la respuesta no fuera satisfactoria, el interesado puede presentar reclamación ante la Agencia Española de Protección de Datos: www.aepd.es — C/ Jorge Juan, 6, 28001 Madrid.
7. Revisión y actualización
Este documento se revisa anualmente o cada vez que se produzcan cambios relevantes en nuestras actividades de tratamiento, en la normativa aplicable o en los proveedores utilizados. La versión actualizada siempre estará disponible en sellyourai.io/proteccion-de-datos.html.