Política de privacidad
Cómo tratamos los datos personales en cumplimiento del RGPD y la LOPDGDD.
1. Responsable del tratamiento
De conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa de que el Responsable del tratamiento de los datos personales es:
- Identidad: TECNICOM PRODUCTOS Y SERVICIOS INFORMÁTICOS, S.L.
- CIF: B90445594
- Domicilio: Avenida Colón 21, Local. 41960 — Gines (Sevilla), España
- Teléfono: +34 954 71 48 63 · +34 696 948 138
- Correo del responsable: info@tecnicominformatica.com
- Correo específico de privacidad: info@tecnicominformatica.com
- Delegado de Protección de Datos (DPD): info@tecnicominformatica.com
Rol dual: responsable vs encargado
WinHermandades actúa en un doble rol:
- Como Responsable del tratamiento respecto a los datos de los clientes directos (hermandades que contratan el SaaS), datos de facturación, cookies técnicas y gestión de cuentas de usuario.
- Como Encargado del tratamiento respecto a los datos personales que cada hermandad (cliente) introduce en la plataforma sobre sus propios hermanos. Ver Contratos de encargado para los detalles de este acuerdo.
2. Datos que tratamos
2.1 Datos de cuenta y facturación (como Responsable)
- Identificación: nombre, apellidos, NIF/CIF, dirección fiscal de la hermandad contratante
- Contacto: email y teléfono de los usuarios administradores de la cuenta
- Credenciales: email como identificador + contraseña cifrada con Argon2
- Datos de facturación y pago: medio de pago procesado por Stripe (no almacenamos números de tarjeta)
- Datos técnicos de sesión: IP, user agent, timestamps, fingerprint de dispositivo
- Datos de uso: páginas visitadas, acciones realizadas, logs de auditoria
2.2 Datos introducidos por el cliente (como Encargado)
El cliente (hermandad) introduce en la plataforma datos personales de sus hermanos, que tratamos unicamente siguiendo sus instrucciones. Estos datos pueden incluir:
- Identificación: nombre, apellidos, NIF, sexo, fecha y lugar de nacimiento
- Contacto: dirección postal, teléfonos, email
- Familiares: nombre del padre/madre, tutores legales de menores
- Datos bancarios: IBAN, BIC, titular (cifrados en columna)
- Datos económicos: recibos, pagos, estado de mora
- Datos vinculados a la actividad cofrade: número de hermano, fecha de ingreso, cargo, participacion procesional
- Imagen: fotografía del hermano (si se aporta), documentos adjuntos
3. Finalidades y bases jurídicas
| Finalidad | Base jurídica |
|---|---|
| Prestación del servicio contratado (gestión SaaS) | Ejecución de contrato (art. 6.1.b) |
| Facturación y cobros | Ejecución de contrato + obligación legal (art. 6.1.b y c) |
| Seguridad, prevencion del fraude, auditoria | Interes legitimo (art. 6.1.f) |
| Comunicaciones comerciales sobre el servicio | Consentimiento (art. 6.1.a), revocable en cualquier momento |
| Tratamiento de datos de hermanos cargados por cliente | Instrucciones del responsable (cliente), art. 28 RGPD |
4. Destinatarios y terceros (encargados)
Para prestar el servicio recurrimos a los siguientes proveedores, todos ellos con contrato de encargo firmado conforme al art. 28 RGPD:
- Proveedor de infraestructura cloud en la Union Europea — servidores y base de datos. Datos alojados dentro de la UE.
- Stripe Payments Europe Ltd (Irlanda) — procesamiento de pagos con tarjeta y gestión de suscripciones SaaS.
- Redsys Servicios de Procesamiento SL (España) — pasarela TPV bancario.
- Anthropic, PBC (EEUU) — proveedor del asistente de IA. Se minimizan los datos enviados y se aplica enmascarado por defecto en datos especialmente sensibles como DNI o IBAN
Transferencias internacionales: Las transferencias a Anthropic (EEUU) se amparan en las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea y en el EU-US Data Privacy Framework, incluyendo medidas adicionales de minimizacion y enmascarado.
4.b. Uso de inteligencia artificial (asistente conversacional)
WinHermandades incorpora un asistente conversacional de IA, disponible en la landing pública, en la landing de cada hermandad y en los portales internos (administrador y hermano). Reglas aplicadas:
- Minimización: antes de enviar cualquier mensaje al proveedor se redactan automáticamente los datos personales detectables en el texto (DNI, NIE, IBAN, números de tarjeta, teléfonos y correos).
- Aislamiento entre hermandades: el asistente solo ve el contexto de la hermandad desde la que se conversa. Nunca datos de otra hermandad.
- Contexto por rol: un visitante anónimo solo accede a información pública del producto; un administrador recibe KPIs agregados (conteos, totales); un hermano solo recibe sus propios datos (perfil, sus recibos, sus documentos).
- Retención de conversaciones: 90 días con fines de auditoría, mejora del servicio y ejercicio del derecho de acceso; después se eliminan automáticamente.
- Decisiones automatizadas: el asistente es meramente informativo y no toma decisiones con efectos jurídicos sobre personas (art. 22 RGPD).
Puede ejercer los derechos de acceso, rectificación o supresión sobre las conversaciones escribiendo a info@tecnicominformatica.com.
5. Plazos de conservación
- Datos de cuenta activa: mientras dure la relacion contractual.
- Tras baja: 90 días en solo lectura (por si el cliente reactiva). Posteriormente se anonimizan o eliminan salvo obligaciones legales.
- Datos de facturación: 6 años conforme al Código de Comercio y normativa fiscal.
- Logs de auditoria y seguridad: 2 años.
- Copias de seguridad cifradas: hasta 2 años tras la baja definitiva.
6. Derechos de los interesados
Usted puede ejercer en cualquier momento los siguientes derechos, sin coste:
- Acceso: conocer que datos tratamos sobre usted.
- Rectificación: corregir datos inexactos.
- Supresión ("derecho al olvido"): solicitar el borrado cuando ya no sean necesarios.
- Limitación: pedir la congelacion del tratamiento.
- Oposición: oponerse a tratamientos basados en interes legitimo.
- Portabilidad: recibir sus datos en formato estructurado (JSON + ZIP con adjuntos) para transferirlos a otro responsable.
- No estar sometido a decisiones automatizadas: ninguna decisión del sistema se toma exclusivamente de forma automatizada con efectos jurídicos sobre el interesado.
Para ejercer estos derechos puede escribir a info@tecnicominformatica.com o a nuestro DPD, acreditando su identidad. Desde el Portal del Hermano también puede exportar o solicitar el borrado de sus datos de forma autoservicio.
Si considera que no hemos tratado sus datos adecuadamente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es), autoridad de control competente en España.
7. Seguridad
Aplicamos medidas técnicas y organizativas apropiadas:
- Cifrado TLS 1.3 en todas las conexiones.
- Cifrado en reposo (LUKS en disco, pgcrypto en columnas especialmente sensibles).
- Aislamiento estricto entre hermandades a nivel de la propia base de datos PostgreSQL.
- Autenticación con hashing Argon2, segundo factor disponible.
- Auditoria exhaustiva de acceso y modificaciones (Sistema de Registro de Accesos).
- Backups diarios cifrados con prueba de restauracion mensual.
- Acceso del equipo SaaS a datos de cliente mediante impersonacion auditada con ticket y duracion máxima de 4 horas.
8. Menores
Los datos personales de menores de edad unicamente podran ser tratados con el consentimiento del titular de la patria potestad o tutela. En el Portal del Hermano, los menores operan a traves de la cuenta de su tutor. Cada hermandad debe conservar la autorización firmada del tutor para cada menor y para cada proceso en que se traten datos del menor.
9. Cambios en esta política
Nos reservamos el derecho a modificar esta Política de privacidad cuando sea necesario para adaptarla a cambios legales, del servicio o del catalogo de terceros. Notificaremos los cambios significativos con al menos 30 días de antelacion a los usuarios con cuenta activa.