Este documento complementa nuestra Política de Privacidad y describe en detalle cómo cumplimos con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

1. Marco normativo aplicable

El tratamiento de datos personales por parte de Sell Your AI (Denis Corral Villarraso) se rige por:

2. Registro de actividades de tratamiento

Conforme al artículo 30 del RGPD, mantenemos un registro interno de todas las actividades de tratamiento de datos. A continuación se resume el contenido principal de dicho registro:

2.1 Gestión de leads y contactos comerciales

CampoDetalle
FinalidadCaptación y seguimiento de potenciales participantes del programa AXIS
Categorías de interesadosProfesionales y emprendedores en el ámbito de la IA y la consultoría digital
Categorías de datosNombre, email, teléfono, información profesional voluntaria
Base jurídicaConsentimiento (Art. 6.1.a RGPD) e interés legítimo (Art. 6.1.f)
Plazo de conservación3 años desde la última interacción activa
DestinatariosCal.com (gestión de agenda), herramientas de automatización internas
Transferencias internacionalesEE.UU. (Cal.com, Anthropic, OpenAI) bajo Cláusulas Contractuales Tipo

2.2 Gestión del programa AXIS (participantes)

CampoDetalle
FinalidadPrestación del servicio de consultoría y formación contratado
Categorías de interesadosParticipantes matriculados en el programa AXIS
Categorías de datosDatos identificativos, de contacto, profesionales y económicos (facturación de la agencia)
Base jurídicaEjecución de contrato (Art. 6.1.b RGPD)
Plazo de conservaciónDuración del programa + 5 años por obligaciones fiscales
DestinatariosStripe (pagos), herramientas de comunicación y gestión del programa
Transferencias internacionalesEE.UU. (Stripe) bajo decisiones de adecuación y SCCs

2.3 Cumplimiento de obligaciones legales y fiscales

CampoDetalle
FinalidadGestión contable, fiscal y cumplimiento de obligaciones legales
Categorías de datosDatos identificativos, NIF/NIE, datos de facturación
Base jurídicaObligación legal (Art. 6.1.c RGPD)
Plazo de conservación5 años (Ley General Tributaria) / 6 años (Código de Comercio)
DestinatariosAsesoría fiscal/contable, AEAT cuando sea legalmente requerido

3. Encargados del tratamiento

Conforme al artículo 28 del RGPD, solo trabajamos con encargados del tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas adecuadas. Con todos ellos mantenemos los correspondientes contratos de encargo del tratamiento:

ProveedorTratamientoGarantías RGPD
Cal.com, Inc.Reserva y gestión de llamadasSCCs (EE.UU. → UE)
Stripe, Inc.Procesamiento de pagos y emisión de recibosBinding Corporate Rules + SCCs
Make.com (Celonis SE)Automatización de flujos de trabajo y notificacionesServidores UE / DPA disponible
N8N GmbHAutomatización interna de procesosServidores UE / software open source self-hosted
Anthropic, PBC (Claude)Asistencia IA en procesamiento interno (sin datos personales directos)SCCs (EE.UU. → UE) / zero retention API
OpenAI, LLCAsistencia IA en procesamiento interno (sin datos personales directos)SCCs (EE.UU. → UE) / zero retention API
Google WorkspaceCorreo electrónico y documentaciónDecisión de adecuación + SCCs
Cloudflare, Inc.CDN y hosting del sitio webSCCs / Cloudflare GDPR framework

4. Medidas de seguridad técnicas y organizativas

Aplicamos medidas de seguridad acordes con el estado de la técnica y el riesgo del tratamiento, conforme al artículo 32 del RGPD:

4.1 Medidas técnicas

4.2 Medidas organizativas

5. Gestión de brechas de seguridad

En caso de producirse una brecha de seguridad que pueda suponer un riesgo para los derechos y libertades de las personas afectadas, aplicamos el siguiente procedimiento:

  1. Detección y contención: Identificación inmediata del incidente y medidas para limitar el daño.
  2. Notificación a la AEPD: En el plazo máximo de 72 horas desde que tengamos conocimiento de la brecha, conforme al Art. 33 RGPD.
  3. Comunicación a los afectados: Si la brecha supone un alto riesgo para sus derechos, les informaremos sin dilación indebida conforme al Art. 34 RGPD.
  4. Registro interno: Documentación de todas las brechas, sus efectos y las medidas adoptadas.

6. Derechos de los interesados

Los interesados pueden ejercer los derechos reconocidos en los artículos 15 a 22 del RGPD (acceso, rectificación, supresión, limitación, portabilidad y oposición) dirigiéndose a:

Email: contacto@deniscorral.com
Asunto: "Ejercicio de derechos RGPD"
Plazo de respuesta: Máximo 1 mes, prorrogable a 3 meses en casos complejos.

Si la respuesta no fuera satisfactoria, el interesado puede presentar reclamación ante la Agencia Española de Protección de Datos: www.aepd.es — C/ Jorge Juan, 6, 28001 Madrid.

7. Revisión y actualización

Este documento se revisa anualmente o cada vez que se produzcan cambios relevantes en nuestras actividades de tratamiento, en la normativa aplicable o en los proveedores utilizados. La versión actualizada siempre estará disponible en sellyourai.io/proteccion-de-datos.html.