Política de privacidad
Qué datos procesamos, por qué y sus derechos. Cumple con RGPD.
Resumen
Responsable: Signal Core s.r.o. DPO: [email protected]. No vendemos datos.
1. Responsable del tratamiento
Signal Core s.r.o., Rybná 716/24, 110 00 Praga 1, República Checa · CIF: 24460354 · NIF UE: CZ24460354
Inscripción: Tribunal Municipal de Praga, sección C, expediente 198765
Consultas RGPD: [email protected]
2. Delegado de Protección de Datos (DPO)
Hemos designado un Delegado de Protección de Datos responsable del cumplimiento del RGPD. El DPO es independiente y reporta directamente a la dirección.
Contacto: [email protected] · postal: Signal Core s.r.o., a la atención del DPO, Rybná 716/24, Praga 1
3. Qué datos tratamos
Según el tipo de usuario y el propósito, tratamos las siguientes categorías de datos:
Identificación y contacto
- Nombre y apellidos (creator) / razón social (marca)
- Correo electrónico, teléfono (opcional)
- Dirección (facturación, sede)
- CIF, NIF UE, número de cuenta bancaria (IBAN, BIC)
- Número de Identificación Fiscal (TIN) para DAC7
Datos de perfil
- Avatar, bio, perfiles sociales (IG, TikTok, YouTube), número de seguidores
- Categorías de contenido (lifestyle, gaming, moda, etc.)
- Referencias, resultados anteriores
Datos transaccionales
- Historial de campañas, conversiones, pagos
- Facturas, documentos fiscales
- Logs de inicio de sesión, dirección IP, user agent
Tracking y medición
- Cookies (solo funcionales por defecto, véase Cookies)
- Click ID, Conversion ID, fraud score
- Geolocalización IP (país, región) — para reporting y anti-fraud, no almacenamos ubicación precisa
KYC y datos fiscales
- Documento de identidad — vía Stripe Identity, no almacenamos la imagen, solo el estado de verificación
- Biometría selfie — almacenada en Stripe / Sumsub, no en nosotros
- Log de comprobación VIES
4. Fines y bases legales (RGPD art. 6)
Para cada categoría de datos sabemos claramente por qué la tratamos y bajo qué disposición del art. 6 RGPD:
| Fin | Base legal | Datos de ejemplo |
|---|---|---|
| Ejecución del contrato | Art. 6(1)(b) | Cuenta, facturación, pagos |
| Obligación legal | Art. 6(1)(c) | DAC7, AML, reportes fiscales |
| Interés legítimo | Art. 6(1)(f) | Anti-fraud, logs de seguridad, analítica |
| Consentimiento | Art. 6(1)(a) | Newsletter de marketing, cookies no esenciales |
Puede retirar el consentimiento en cualquier momento (email, configuración en la app) sin afectar al tratamiento previo a la retirada.
5. Destinatarios y encargados
Compartimos datos con encargados cuidadosamente seleccionados, todos con DPA según art. 28 RGPD:
- Stripe (Irlanda/USA) — pagos, KYC; SCC + adecuación para USA
- Polygon.io (USA) — datos de mercado; SCC
- Cloudflare (USA) — CDN, anti-DDoS; SCC + ENISA
- DigitalOcean (USA/regiones UE) — hosting; SCC, servidores UE en Frankfurt
- Sumsub (UK) — fallback KYC; decisión de adecuación UK
- Twilio / SendGrid (USA) — emails transaccionales; SCC
- Anthropic (USA) — Claude AI para análisis de contenido (opcional, solo metadatos, sin datos personales)
- Asesoría contable (CZ) — facturación, impuestos; relación contractual
La lista es pública y se actualiza en Configuración → Privacidad → Subprocessors.
6. Transferencias internacionales
Algunos datos se transfieren fuera de la UE/EEE (USA — Stripe, Cloudflare, Polygon, etc.). Para cada transferencia tenemos:
- Cláusulas Contractuales Tipo (SCC) — versión 2021/914
- Data Privacy Framework (DPF) — para socios certificados (Stripe, Cloudflare)
- Medidas suplementarias — cifrado en reposo y en tránsito (TLS 1.3, AES-256)
- TIA (Transfer Impact Assessment) — realizada para cada transferencia fuera de la UE
7. Plazos de conservación
| Categoría | Conservación | Motivo |
|---|---|---|
| Cuenta activa | Mientras exista la cuenta | Ejecución del contrato |
| Facturas, contabilidad | 10 años | § 31 Ley contable CZ |
| Datos reporting DAC7 | 5 años tras último reporte | Ley de cooperación internacional |
| Documentos KYC | 5 años tras finalizar relación | Ley AML CZ 253/2008 |
| Logs de inicio de sesión | 12 meses | Auditoría de seguridad |
| Tracking de conversiones | 3 años | Plazo de prescripción para disputas |
| Consentimiento marketing | Hasta su retirada | Consentimiento |
8. Sus derechos (RGPD art. 15–22)
Tiene derecho a:
- Acceso (art. 15) — copia gratuita de sus datos; exportación vía
Configuración → Privacidad → Descargar datos - Rectificación (art. 16) — corregir datos inexactos
- Supresión / Right to be forgotten (art. 17) — eliminación de datos (sujeto a obligaciones legales de archivo)
- Limitación (art. 18) — pausar el tratamiento durante una disputa
- Portabilidad (art. 20) — exportar datos en formato estructurado y legible por máquina (JSON / CSV)
- Oposición (art. 21) — oposición al tratamiento basado en interés legítimo
- Reclamación ante la autoridad — ÚOOÚ checa, uoou.gov.cz
Respondemos en 30 días desde la solicitud. Casos complejos pueden extenderse 60 días con notificación.
9. Decisiones automatizadas y profiling
Usamos decisiones automatizadas solo en alcance limitado:
- Anti-fraud scoring — algoritmo asigna fraud score 0–100. Score ≥ 80 implica no-autorización automática de la conversión. Puede solicitar revisión humana vía soporte
- Recomendaciones de campañas — algoritmo empareja creators con campañas según audience, nicho, fraud score. Sin efectos legales, puede ignorar
No usamos decisiones automatizadas con efectos legales según art. 22 RGPD.
10. Niños y menores
Tandemio no está dirigido a niños menores de 18 años. En el registro verificamos la edad por KYC (creator) o CIF (marca).
Si detectamos un registro de menor, cerramos la cuenta y eliminamos los datos inmediatamente. Padres que descubran que su hijo usa Tandemio deben escribir a [email protected].
11. Seguridad
Implementamos medidas técnicas y organizativas según art. 32 RGPD:
- Cifrado en reposo — AES-256 para bases de datos y backups
- Cifrado en tránsito — TLS 1.3 + HSTS, sin fallback
- Hashing de contraseñas — Argon2id (memory-hard)
- 2FA — opcional para usuarios, obligatorio para admins
- Rate limiting + WAF — Cloudflare
- Penetration testing — auditoría externa anual
- Alineación ISO 27001 — sin certificación, pero procesos alineados
- Background checks — para personal con acceso a datos de producción
12. Notificación de brechas
En caso de brecha de datos:
- Autoridad de control (CZ ÚOOÚ) en 72 horas desde la detección (art. 33 RGPD)
- Usuarios afectados sin demora indebida cuando exista alto riesgo (art. 34 RGPD)
- La notificación incluye: naturaleza de la brecha, categorías y número de afectados, consecuencias probables, medidas
Estado público: tandemio.app/security (planificado).
13. Cambios en esta política
Podemos modificar esta política. Para cambios sustanciales (nuevas categorías de datos, nuevos destinatarios) le notificamos al menos 30 días antes por email.
La versión actual está siempre en esta página con fecha de vigencia. Las versiones históricas se archivan.
14. Contacto y reclamaciones
DPO: [email protected] · General: [email protected]
Postal: Signal Core s.r.o., a la atención del DPO, Rybná 716/24, 110 00 Praga 1
Reclamación a la autoridad: Oficina Checa de Protección de Datos (ÚOOÚ), Pplk. Sochora 27, 170 00 Praga 7, uoou.gov.cz
Notice
Tyto zásady popisují aktuální praxi. Při sporech má přednost česká verze.