Política de Privacidad

Versión 1.0 · Última actualización: 14 de mayo de 2026

Esta traducción se ofrece a título informativo, para su comodidad. La versión vinculante de este contrato y la ley aplicable son las indicadas en el propio documento; en caso de divergencia entre las versiones lingüísticas, prevalecen los términos tal como se celebraron con el operador.

Esta política describe cómo EU AI Comply trata los datos personales de los usuarios de la plataforma euaicomply.eu, de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la legislación rumana aplicable.

1. Identidad del responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de la Plataforma es PFA Marian Matinca, empresario individual autorizado registrado en Rumanía, que opera bajo la marca EU AI Comply. Los pagos y la facturación son procesados por Paddle (Merchant of Record). Para cualquier cuestión relativa al tratamiento de sus datos, puede contactarnos en:

2. Categorías de datos personales recogidos

a) Datos que usted proporciona directamente:

  • Datos de identificación: nombre, apellidos, dirección de correo electrónico profesional
  • Datos de la organización: nombre de la empresa, sector, país, número de IVA (opcional)
  • Datos de contacto: número de teléfono (opcional), persona de contacto
  • Contenido generado: mensajes enviados a través del formulario de contacto
  • Documentos cargados en el Document Vault (manuales técnicos, informes FRIA, DPIA, etc.) — pueden contener datos personales si el usuario decide incluirlos

b) Datos recogidos automáticamente:

  • Datos técnicos: dirección IP, tipo de navegador, sistema operativo, resolución de pantalla
  • Datos de navegación: páginas visitadas, duración de la sesión, acciones realizadas en la Plataforma
  • Cookies funcionales y de sesión (detalles en la Política de Cookies)
  • Registros de acceso con fines de seguridad y diagnóstico

EU AI Comply no recoge ni trata categorías especiales de datos personales en el sentido del Art. 9 del RGPD (datos de salud, origen racial o étnico, opiniones políticas, convicciones religiosas, datos biométricos, etc.).

3. Fines del tratamiento y base jurídica

Finalidad Descripción Base jurídica
Prestación del Servicio Creación y gestión de la cuenta, autenticación, acceso a las funcionalidades de la Plataforma. Ejecución del contrato (Art. 6(1)(b) RGPD)
Facturación y gestión de suscripciones Transmisión de los datos necesarios al procesador de pagos Paddle (Merchant of Record) para la activación y renovación de la suscripción. Ejecución del contrato (Art. 6(1)(b) RGPD)
Seguridad y prevención del fraude Detección de accesos no autorizados, supervisión de actividad sospechosa, protección de los datos de los Clientes. Interés legítimo del responsable (Art. 6(1)(f) RGPD)
Soporte técnico Respuesta a solicitudes de soporte, diagnóstico de problemas técnicos. Ejecución del contrato / Interés legítimo (Art. 6(1)(b)(f) RGPD)
Comunicaciones sobre el producto Notificaciones sobre actualizaciones legislativas, nuevas funcionalidades y plazos de cumplimiento. Interés legítimo (Art. 6(1)(f) RGPD) — con derecho de oposición
Mejora de la Plataforma Análisis anonimizado del comportamiento de uso para desarrollar nuevas funcionalidades. Interés legítimo (Art. 6(1)(f) RGPD)
Cumplimiento legal Cumplimiento de las obligaciones legales aplicables (fiscales, de archivo, respuesta a requerimientos de las autoridades). Obligación legal (Art. 6(1)(c) RGPD)
Marketing (opcional) Envío de boletines o comunicaciones comerciales, exclusivamente con su consentimiento explícito. Consentimiento (Art. 6(1)(a) RGPD) — revocable en cualquier momento

4. Destinatarios y transferencias de datos

EU AI Comply no vende datos personales a terceros. Los datos pueden compartirse exclusivamente en las siguientes situaciones:

Destinatario Función Ubicación Garantías
Paddle.com Inc. / Paddle Payments Ltd. Procesador de pagos y Merchant of Record. Recibe los datos de facturación necesarios para la activación de la suscripción. Paddle actúa como responsable independiente respecto de los datos de pago. EE. UU. / UE Cláusulas Contractuales Tipo (SCC), conformidad con el DPF
Proveedores de infraestructura en la nube (Hetzner) Alojamiento de servidores en la UE — base de datos PostgreSQL, almacenamiento de archivos MinIO, Redis. Alemania (UE) Art. 28 RGPD — acuerdo de encargo de tratamiento
Servicios de monitorización (Sentry) Captura de errores técnicos para diagnóstico. Los datos se seudonimizan antes de su transmisión. UE Art. 28 RGPD — acuerdo de encargo de tratamiento
Autoridades públicas Cuando lo exija una obligación legal expresa o una orden judicial. Rumanía / UE Art. 6(1)(c) RGPD — obligación legal

Las transferencias de datos fuera del Espacio Económico Europeo (EEE) se realizan exclusivamente con las garantías adecuadas previstas en el Capítulo V del RGPD (Cláusulas Contractuales Tipo adoptadas por la Comisión Europea o el Marco de Privacidad de Datos UE-EE. UU.).

5. Plazo de conservación de los datos

  • Datos de cuentas activas Durante la vigencia de la suscripción activa + 30 días tras la resolución (ventana de exportación)
  • Datos de la cuenta tras la resolución Se eliminan de forma irreversible a los 30 días de la fecha efectiva de resolución, salvo los datos exigidos por obligaciones legales
  • Datos de facturación 10 años desde la fecha del documento fiscal, conforme a la Ley rumana de Contabilidad n.º 82/1991
  • Registros de seguridad Máximo 12 meses, tras los cuales se anonimizan o se eliminan
  • Mensajes de contacto / soporte 3 años desde la última interacción, para constancia de la relación contractual
  • Consentimientos de marketing Durante la vigencia del consentimiento activo + 3 años para constancia del cumplimiento
  • Datos anonimizados (analítica de producto) Indefinido — dejan de constituir datos personales

6. Sus derechos como interesado

De conformidad con el RGPD, usted tiene los siguientes derechos en relación con sus datos personales:

  • Derecho de acceso (Art. 15)
    Puede solicitar una copia de los datos personales que conservamos sobre usted, incluida información sobre cómo los tratamos.
  • Derecho de rectificación (Art. 16)
    Puede solicitar la corrección de los datos inexactos o que se completen los datos incompletos.
  • Derecho de supresión («derecho al olvido») (Art. 17)
    Puede solicitar la eliminación de sus datos cuando ya no exista una base jurídica para su tratamiento. Este derecho no se aplica a los datos que estamos legalmente obligados a conservar.
  • Derecho a la limitación del tratamiento (Art. 18)
    Puede solicitar la suspensión temporal del tratamiento de sus datos en los supuestos previstos por el RGPD.
  • Derecho a la portabilidad de los datos (Art. 20)
    Puede recibir los datos que nos ha proporcionado en un formato estructurado, de uso común y de lectura mecánica (CSV, JSON), para transferirlos a otro responsable.
  • Derecho de oposición (Art. 21)
    Puede oponerse al tratamiento basado en el interés legítimo del responsable, incluido el uso de los datos para marketing directo.
  • Derecho a retirar el consentimiento (Art. 7(3))
    Cuando el tratamiento se base en su consentimiento, puede retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior.
  • Derecho a no ser objeto de decisiones automatizadas (Art. 22)
    No utilizamos decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos significativos.

Para ejercer cualquiera de estos derechos, envíe una solicitud por escrito a [email protected]. Respondemos en un plazo máximo de 30 días naturales (este plazo puede ampliarse 60 días en casos complejos, con notificación previa). El ejercicio de los derechos es gratuito, salvo en el caso de solicitudes manifiestamente infundadas o excesivas.

7. Función de encargado del tratamiento para clientes B2B

Cuando los Clientes (personas jurídicas) utilizan la Plataforma e introducen datos personales de sus propios empleados, colaboradores o personas afectadas por los sistemas de IA gestionados en ella, EU AI Comply actúa como encargado del tratamiento en el sentido del Art. 28 del RGPD, y el Cliente es el responsable del tratamiento.

En esta calidad, EU AI Comply: (a) trata los datos únicamente conforme a las instrucciones documentadas del Cliente; (b) aplica medidas de seguridad técnicas y organizativas adecuadas; (c) no recurre a subencargados sin el consentimiento del Cliente; (d) asiste al Cliente en el cumplimiento de sus obligaciones frente a los interesados; (e) elimina o devuelve los datos al finalizar la prestación de los servicios.

Un Acuerdo de Encargo de Tratamiento (DPA) conforme al Art. 28 del RGPD está disponible previa solicitud ([email protected]) o incluido en el plan Enterprise. Los Clientes que traten datos personales a través de la Plataforma están obligados a celebrar un DPA con EU AI Comply.

8. Seguridad de los datos

EU AI Comply aplica medidas técnicas y organizativas adecuadas para proteger los datos personales frente al acceso no autorizado, la pérdida, la destrucción accidental o la divulgación, entre ellas:

  • Cifrado en tránsito: TLS 1.3 en todas las conexiones a la Plataforma
  • Cifrado en reposo: datos almacenados en servidores de Hetzner en Alemania (ISO 27001)
  • Aislamiento multiinquilino: estricto aislamiento de datos por empresa, aplicado a nivel de aplicación — ningún tenant puede acceder a los datos de otro tenant
  • Autenticación de dos factores (TOTP) disponible y recomendada para todos los usuarios
  • Registro completo de accesos y acciones (pista de auditoría inmutable)
  • Análisis antivirus de los archivos cargados (ClamAV)
  • Acceso privilegiado del personal de EU AI Comply: el mínimo necesario, según el principio de necesidad de conocer
  • Pruebas de seguridad y revisión de la configuración periódicas

En caso de incidente de seguridad que afecte a datos personales, EU AI Comply lo notifica a la Autoridad Nacional de Supervisión del Tratamiento de Datos Personales de Rumanía (ANSPDCP) en un plazo de 72 horas desde que tiene conocimiento de él (Art. 33 RGPD) e informa a los interesados afectados cuando existan riesgos elevados (Art. 34 RGPD).

9. Cookies y tecnologías similares

La Plataforma utiliza cookies estrictamente necesarias para su funcionamiento (sesión, seguridad CSRF, preferencias de idioma) y no utiliza cookies de seguimiento ni publicitarias. Los detalles completos están disponibles en la Política de Cookies en euaicomply.eu/cookies.

10. Cambios en esta política

EU AI Comply puede actualizar esta política para reflejar cambios en las prácticas de tratamiento de datos, en la legislación aplicable o en la Plataforma. La versión actualizada se publicará en esta página con la fecha de revisión. Si los cambios son significativos, notificaremos a los usuarios registrados por correo electrónico al menos 14 días antes de su entrada en vigor. El uso continuado de la Plataforma tras la fecha de entrada en vigor constituye la aceptación de la política revisada.

11. Reclamaciones y autoridad de control

Si considera que el tratamiento de sus datos personales infringe el RGPD, tiene derecho a presentar una reclamación ante la autoridad de control competente. En Rumanía, esta es:

Autoridad Nacional de Supervisión del Tratamiento de Datos Personales (ANSPDCP)

B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București

www.dataprotection.ro

También puede dirigirse a la autoridad de control del Estado miembro de la UE en el que resida habitualmente.

Le animamos a contactarnos primero directamente en [email protected] — nos comprometemos a resolver cualquier cuestión relativa al tratamiento de sus datos en un plazo de 30 días.

Contacto de protección de datos:
[email protected] · Respondemos en un plazo de 30 días naturales.