Politica de privacidad

Con esta politica de privacidad le informamos sobre el tratamiento de sus datos personales al utilizar Empcora. Nos comprometemos plenamente con la proteccion de sus datos y cumplimos estrictamente con lo establecido en el Reglamento General de Proteccion de Datos (RGPD), la Ley Organica 3/2018 de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD) y la normativa aplicable en materia de servicios digitales.

Ambito de aplicacion

Esta politica de privacidad es aplicable a todos los dominios de la familia de marcas Empcora:

• empcora.de
• empcora.com
• empcora.eu
• empco-pruefung.de
• empco-konform.de
• greenwashing-check.de
• greenwashing-pruefen.de
• greenclaim-guard.de

Todos los dominios dependientes son operados por el mismo responsable del tratamiento (vease la seccion 1) y redirigen al dominio principal empcora.de. Las indicaciones que figuran a continuacion conforme al art. 13 RGPD se aplican por igual a cada uno de estos dominios.

1. Responsable del tratamiento

El responsable del tratamiento en el sentido del art. 4, apartado 7 del RGPD es:

Marcel Schluter IT-Services
Empcora
Kollwitzstrasse 76
10435 Berlin
Alemania
Correo electronico: [email protected]

1a. Delegado de proteccion de datos

Como empresario individual, no estamos obligados a designar un delegado de proteccion de datos conforme al art. 37 RGPD y la normativa nacional aplicable. Para cualquier cuestion relacionada con la proteccion de datos, dirijase directamente al responsable del tratamiento indicado anteriormente.

2. Fines del tratamiento

Tratamos sus datos personales con los siguientes fines:

• Prestacion del servicio SaaS: registro, autenticacion, gestion de cuenta y organizacion, realizacion de analisis de cumplimiento normativo
• Procesamiento de pagos: facturacion de planes de pago a traves de Stripe
• Analisis asistido por IA: reformulacion de afirmaciones publicitarias mediante la API de Claude (Anthropic)
• Comunicacion por correo electronico: confirmaciones, resultados de analisis, restablecimiento de contrasena, facturas, soporte
• Atencion de consultas de contacto: respuesta a sus consultas a traves del formulario de contacto o por correo electronico
• Registro y seguridad: prevencion de abusos, diagnostico de errores, proteccion frente a ataques
• Cumplimiento de obligaciones legales: conservacion de facturas conforme a la normativa fiscal aplicable (10 anos)

3. Bases juridicas

El tratamiento de sus datos personales se realiza sobre las siguientes bases juridicas:

• Art. 6, apartado 1, letra b) del RGPD (ejecucion de un contrato y medidas precontractuales): prestacion del servicio SaaS, procesamiento de pagos, analisis de IA como prestacion contractualmente acordada, envio de correos electronicos con fines contractuales, atencion de consultas con relacion precontractual
• Art. 6, apartado 1, letra c) del RGPD (obligacion legal): conservacion de documentos de relevancia fiscal conforme a la normativa tributaria aplicable
• Art. 6, apartado 1, letra f) del RGPD (interes legitimo): registro para la prevencion de abusos y seguridad informatica, solicitudes del rastreador para la prestacion del servicio de analisis, atencion de consultas generales sin relacion precontractual
• Art. 6, apartado 1, letra a) del RGPD (consentimiento): suscripciones voluntarias al boletin informativo (cuando se ofrezcan), comunicacion de marketing opcional
• Necesidad tecnica estricta (equivalente funcional al art. 5.3 de la Directiva ePrivacy): almacenamiento y acceso a informacion en el dispositivo del usuario en el marco de cookies tecnicas estrictamente necesarias (autenticacion, proteccion contra bots, verificacion de seguridad) — vease la seccion 8

4. Categorias de datos

Tratamos las siguientes categorias de datos personales:

• Datos maestros: nombre, direccion de correo electronico, nombre de empresa y, en su caso, domicilio en planes de pago
• Datos de acceso y autenticacion: hash bcrypt de la contrasena (factor de coste 12), token de autenticacion JWT, cookie de sesion
• Datos de uso: dominios y URL analizados, afirmaciones encontradas, resultados del analisis, puntuacion de cumplimiento, reformulaciones de IA
• Datos de comunicacion: contenidos del formulario de contacto (nombre, correo electronico, asunto, mensaje), correspondencia de soporte
• Datos de pago: ID de cliente Stripe, ID de suscripcion Stripe, numero de factura, importe de factura, estado del pago. Los datos de tarjeta de credito o SEPA son tratados exclusivamente por Stripe y no son accesibles para nosotros.
• Datos de analisis de terceros: contenido de acceso publico del sitio web indicado por usted (meta etiquetas, textos, afirmaciones publicitarias). En los sitios web analizados pueden estar contenidos de forma incidental datos personales de terceros (p. ej. nombres de empleados en paginas de equipo, datos de aviso legal). El HTML sin procesar completo de las paginas analizadas se descarta de inmediato tras la conclusion del analisis y no se almacena de forma permanente. Se almacenan de forma persistente unicamente las afirmaciones publicitarias identificadas ("claims"), su evaluacion y una referencia a la URL de origen; estos registros se conservan 24 meses desde la realizacion del analisis y se eliminan automaticamente a continuacion. No se lleva a cabo ninguna agregacion adicional de datos de terceros.
• Datos de registro: direccion IP, marca de tiempo, agente de usuario, referrer, URL solicitada, codigo de estado HTTP

5. Plazos de conservacion

Conservamos sus datos unicamente durante el tiempo necesario para los fines correspondientes o el exigido legalmente:

• Datos de cuenta y maestros: hasta la eliminacion de su cuenta; posteriormente, anonimizacion o eliminacion en un plazo de 30 dias
• Resultados de analisis: 24 meses desde la realizacion del analisis; eliminacion automatica a continuacion
• Facturas y documentos de relevancia fiscal: 10 anos conforme a la normativa fiscal aplicable
• Registros de actividad: 30 dias para la prevencion de abusos; eliminacion automatica a continuacion
• Consultas de contacto: hasta la resolucion definitiva de su consulta; eliminacion posterior salvo que existan obligaciones legales de conservacion
• Cookie de autenticacion: segun el rol — 24 horas desde el inicio de sesion para usuarios regulares (roles user, support), 7 dias para administradores (rol admin). El token de actualizacion asociado expira en todo caso a los 7 dias. Al cerrar sesion, ambas cookies se eliminan de inmediato.
• Cookies de seguridad de Cloudflare: __cf_bm 30 minutos, _cfuvid sesion, cf_clearance hasta 30 dias (vease la seccion 8b)

6. Encargados del tratamiento y destinatarios

Contamos con encargados del tratamiento cuidadosamente seleccionados, con quienes hemos suscrito contratos de encargo del tratamiento conforme al art. 28 del RGPD. Los siguientes proveedores de servicios tratan datos personales por nuestra cuenta:

Las bases de datos (PostgreSQL, Redis) se operan exclusivamente en nuestros servidores de Hetzner en Alemania. No se produce ninguna transferencia a terceros que no figuren en esta lista.

6a. Tratamiento por encargo como encargado del tratamiento

En la medida en que usted, como usuario, solicite el analisis de dominios cuyo contenido incluya datos personales de terceros (p. ej. nombres de directivos en el aviso legal, nombres de empleados en paginas de equipo, datos de contacto), actuaremos respecto de esos datos como encargado del tratamiento en el sentido del art. 28 del RGPD, siendo usted el responsable del tratamiento. En dicho tratamiento utilizamos los siguientes subencargados, cuya sede se encuentra parcialmente en EE.UU. (transferencia a tercer pais sobre la base de las clausulas contractuales tipo de la UE conforme al art. 46, apartado 2, letra c) del RGPD): Anthropic PBC (EE.UU., reformulacion de IA), Cloudflare Inc. (EE.UU., CDN/WAF) y Hetzner Online GmbH (Alemania, alojamiento). Sus obligaciones como responsable del tratamiento conforme al art. 28, apartado 2, y los arts. 44 y ss. del RGPD permanecen inalteradas. Un contrato de encargo del tratamiento (AVV) correspondiente, incluida la lista de subencargados, se facilitara de forma individualizada previa solicitud — contactenos a traves de nuestro formulario de contacto.

7. Transferencias a terceros paises

La transferencia de sus datos personales a terceros paises fuera del Espacio Economico Europeo se produce unicamente en la medida en que sea necesaria para la prestacion de nuestros servicios. En concreto, se realizan transferencias a EE.UU. en los siguientes casos:

• Anthropic PBC (EE.UU.): transmision de textos de afirmaciones a la API de Claude para su reformulacion asistida por IA. Se transmiten exclusivamente fragmentos de texto sin datos de caracter personal. El tratamiento se realiza con el indicador "disable training" activado, de modo que sus datos no se utilizan para el entrenamiento de los modelos.
• Cloudflare Inc. (EE.UU.): enrutamiento de solicitudes web, resolucion DNS, proteccion frente a ataques.
• Stripe Payments Europe Ltd. (matriz estadounidense): durante el procesamiento de pagos, puede producirse tecnicamente una transferencia de datos a la empresa matriz estadounidense.

La transferencia se realiza en cada caso sobre la base de las clausulas contractuales tipo de la Comision Europea (CCT conforme al art. 46, apartado 2, letra c) del RGPD) y de medidas tecnicas y organizativas adicionales. Facilitaremos una copia de las CCT correspondientes previa solicitud.

7a. Evaluacion del impacto de la transferencia (TIA)

A la luz de la jurisprudencia europea de referencia del TJUE en el asunto Schrems II (C-311/18), hemos realizado una evaluacion del impacto de la transferencia (TIA) para cada transferencia a EE.UU. y llegamos a las siguientes conclusiones:

• Anthropic PBC: se transmiten a la API exclusivamente textos publicitarios sin datos personales (p. ej. "fabricado de forma climaticamente neutra"). Anthropic publica informes de transparencia sobre requerimientos de autoridades. El indicador "disable training" impide el uso de los datos para el entrenamiento de modelos. El riesgo derivado del acceso de autoridades estadounidenses (FISA 702) se minimiza por la ausencia de datos de caracter personal.
• Cloudflare Inc.: Cloudflare opera centros de datos en la UE y ofrece la "Data Localization Suite", mediante la cual las direcciones IP y los datos de conexion permanecen principalmente en la UE. Para el enrutamiento troncal puede producirse un transito transitorio por EE.UU. Las CCT estan suscritas.
• Stripe Payments Europe Ltd.: la parte contratante es la filial irlandesa de Stripe con servidores en la UE. La transferencia a EE.UU. a la matriz Stripe Inc. se produce unicamente en casos estrictamente definidos (lucha contra el blanqueo de capitales, requerimientos de autoridades). Stripe cuenta con certificacion PCI-DSS; los datos del titular de la tarjeta no son almacenados por nosotros.

La documentacion completa de la TIA se facilitara previa solicitud por escrito.

8. Cookies

Utilizamos exclusivamente cookies tecnicas estrictamente necesarias. Son imprescindibles para el funcionamiento del inicio de sesion, del proceso de pago y de la proteccion frente a ataques automatizados (conforme al art. 5.3 de la Directiva ePrivacy transpuesto en la normativa nacional aplicable):

8a. Cookies propias

• empcora_token · Dominio: empcora.de · Vigencia: 24 horas para usuarios regulares (roles user, support), 7 dias para administradores · HttpOnly, SameSite=Lax · Finalidad: autenticacion de usuarios registrados mediante token JSON Web firmado (JWT). Contenido: exclusivamente el ID de usuario (sin datos personales en texto claro, sin correo electronico, sin nombre). Adicionalmente existe una cookie empcora_refresh con vigencia de 7 dias para la renovacion silenciosa de la sesion sin necesidad de introducir la contrasena de nuevo.

8b. Cookies de Cloudflare (seguridad/proteccion contra bots)

Cloudflare protege nuestra infraestructura frente a ataques automatizados (DDoS, bots, scraping). Para ello, en cada acceso se establecen las siguientes cookies en el dominio — todas clasificadas como "estrictamente necesarias":

• __cf_bm · Cloudflare · Vigencia: 30 minutos · Finalidad: gestion de bots, distincion entre accesos humanos y automatizados. Asigna una puntuacion de bot anonima, sin datos de caracter personal.
• cf_clearance · Cloudflare · Vigencia: hasta 30 dias · Finalidad: almacena el resultado de una verificacion de seguridad superada (p. ej. captcha ante trafico sospechoso), para que el usuario no tenga que pasar el control en cada acceso. Solo se establece cuando la verificacion de seguridad esta activada.
• _cfuvid · Cloudflare · Vigencia: sesion · Finalidad: vinculacion a las reglas de limite de velocidad, evita eludir la proteccion mediante el cambio de cookie. Sin finalidad publicitaria ni de seguimiento.

La base juridica de estas cookies es la necesidad tecnica estricta (conforme al art. 5.3 de la Directiva ePrivacy) en relacion con el art. 6, apartado 1, letra f) del RGPD (interes legitimo en la proteccion frente a ataques).

8c. Cookies en el proceso de pago (Stripe)

Nota sobre las cookies de Stripe: al acceder a la pagina de pago de Stripe (proceso de pago), Stripe establece sus propias cookies en checkout.stripe.com para la prevencion del fraude y la gestion de sesiones. Estas cookies son tecnicamente necesarias para el procesamiento del pago. Informacion sobre proteccion de datos de Stripe: stripe.com/es/privacy.

En nuestras paginas no se establecen cookies de seguimiento, analiticas ni de marketing. Por tanto, no es necesario un banner de consentimiento de cookies (necesidad tecnica estricta conforme al art. 5.3 de la Directiva ePrivacy).

8d. Medicion de audiencia con Umami (autoalojado, sin cookies)

Para el analisis estadistico del uso del sitio web utilizamos el software de codigo abierto Umami, autoalojado en nuestra propia infraestructura en Alemania (Hetzner Online GmbH). No se produce ninguna transferencia a terceros.

Umami funciona sin cookies: no se establecen cookies ni se almacena ni accede a informacion en el dispositivo del usuario. Por tanto, no se requiere consentimiento alguno conforme al equivalente funcional del art. 5.3 de la Directiva ePrivacy.

Solo se registran datos agregados que no permiten la identificacion de personas: paginas visitadas (ruta), dominio de referencia, procedencia aproximada a nivel de pais, tipo de navegador/dispositivo, fecha y hora. La direccion IP se trata unicamente de forma transitoria y no se almacena de forma permanente; un eventual identificador de visitante se calcula en el servidor a partir de la IP y las caracteristicas del navegador, se somete a hash y se rota diariamente — sin seguimiento persistente ni entre dispositivos.

Base juridica: interes legitimo en la medicion de audiencia de forma anonima y con un tratamiento minimo de datos (art. 6, apartado 1, letra f) del RGPD).

Las senales "Do Not Track" del navegador son respetadas; si la opcion DNT esta activada, no se realiza ninguna medicion.

9. Registros de actividad

En cada acceso a nuestro sitio web se registran los siguientes datos en los registros de actividad:

• Direccion IP
• Fecha y hora de la solicitud
• Agente de usuario (navegador, sistema operativo)
• URL de referencia
• URL solicitada y codigo de estado HTTP

La base juridica es el art. 6, apartado 1, letra f) del RGPD; nuestro interes legitimo reside en la prevencion de abusos, el diagnostico de errores y la seguridad informatica. Los registros se eliminan automaticamente a los 30 dias.

10. Datos del rastreador

Cuando introduce una URL para su verificacion de cumplimiento normativo, nuestro rastreador accede al sitio web de acceso publico indicado y analiza su contenido (meta etiquetas, textos, afirmaciones publicitarias). Al hacerlo, respetamos los siguientes principios:

• Rastreamos exclusivamente las areas de acceso publico del dominio indicado por usted
• Respetamos robots.txt y los retardos de rastreo
• No eludimos ninguna autenticacion ni muros de pago
• Usted, como usuario, nos garantiza que esta autorizado para rastrear el dominio indicado (por ser su propietario, por mandato u otro titulo similar)
• En las paginas analizadas pueden estar contenidos de forma incidental datos personales de terceros (datos de aviso legal obligatorios, nombres de gerentes/titulares, perfiles de equipo/empleados, datos de contacto). Estos datos se tratan exclusivamente para la realizacion del analisis que usted ha solicitado, no se agregan y — en la medida en que se trate de HTML sin procesar — se descartan de inmediato tras la conclusion del analisis. Las afirmaciones identificadas se conservan 24 meses (seccion 5). La responsabilidad en materia de proteccion de datos frente a los terceros afectados corresponde a usted como usuario (responsable del tratamiento) conforme al art. 4, apartado 7 del RGPD; Empcora actua al respecto como encargado del tratamiento (vease la seccion 6a).

11. Formulario de contacto

Cuando utiliza nuestro formulario de contacto, tratamos los datos que ha introducido (nombre, correo electronico, asunto, mensaje, telefono opcional) para responder a su consulta. La base juridica es el art. 6, apartado 1, letra b) del RGPD (medidas precontractuales) o el art. 6, apartado 1, letra f) del RGPD (interes legitimo en la atencion de su consulta).

Para protegernos frente a bots de spam utilizamos un campo honeypot y una limitacion de velocidad basada en IP (max. 3 solicitudes por hora y por IP). Sus consultas se conservan hasta su resolucion definitiva y se eliminan a continuacion, salvo que existan obligaciones legales de conservacion.

12. Boletin informativo

Enviamos aproximadamente 1 vez al mes un boletin informativo con actualizaciones de EmpCo, jurisprudencia europea de referencia e indicaciones de cumplimiento normativo. El envio se realiza exclusivamente previa aceptacion expresa mediante el procedimiento de doble confirmacion (double opt-in) (confirmacion del registro a traves de un enlace en un correo electronico de confirmacion independiente).

• Base juridica: art. 6, apartado 1, letra a) del RGPD (consentimiento) en relacion con la normativa nacional aplicable en materia de comunicaciones comerciales electronicas.
• Datos tratados: direccion de correo electronico, estado de confirmacion (pendiente / activo / dado de baja), token DOI (valido 24 h), token permanente de baja, origen del registro, hash de IP (SHA-256 truncado, para proteccion contra spam, no reversible a la IP), agente de usuario (max. 200 caracteres), marca de tiempo.
• Finalidad: envio del boletin informativo; constancia del consentimiento (art. 7, apartado 1 del RGPD); proteccion contra spam y abusos.
• Plazo de conservacion: suscripciones activas de forma indefinida (hasta la baja). Tras la baja, el estado "dado de baja" con marca de tiempo se conserva durante al menos 12 meses como constancia del ejercicio del derecho de revocacion; posteriormente se procede a la anonimizacion o eliminacion. Las solicitudes de DOI no confirmadas se descartan automaticamente al expirar el token (24 h).
• Revocacion (art. 7, apartado 3 del RGPD): puede revocar su consentimiento en cualquier momento y sin necesidad de indicar el motivo — ya sea a traves del enlace de baja personal incluido en cada correo del boletin informativo, o por correo electronico a [email protected]. La revocacion surte efecto de inmediato; los correos ya enviados no se ven afectados.
• Proveedor de envio: el envio se realiza a traves de nuestro propio servidor de correo (Mailcow, alojado en Alemania). Sin transferencia a terceros ni a terceros paises.

13. Procesamiento de pagos a traves de Stripe

Para la gestion de los planes de pago utilizamos el proveedor de servicios de pago Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublín, Irlanda. Stripe es un proveedor de servicios de pago con certificacion PCI-DSS.

En el momento del pago, los datos de pago (numero de tarjeta de credito, IBAN, etc.) se transmiten directamente a Stripe y son tratados exclusivamente por Stripe. No tenemos acceso a sus datos de tarjeta ni a su IBAN. Unicamente almacenamos el ID de cliente asignado por Stripe, el ID de suscripcion, el numero de factura y el estado del pago.

La base juridica es el art. 6, apartado 1, letra b) del RGPD (ejecucion de un contrato). La politica de privacidad de Stripe esta disponible en: https://stripe.com/es/privacy

14. Analisis de IA a traves de la API de Claude de Anthropic

Para la reformulacion asistida por IA de afirmaciones publicitarias problematicas utilizamos la API de Claude de Anthropic PBC, San Francisco, EE.UU. Se transmite exclusivamente:

• el texto publicitario a reformular (p. ej. "climaticamente neutro", "sostenible")
• el contexto de la afirmacion publicitaria (p. ej. sector, tipo de pagina)

Se transmiten exclusivamente la afirmacion publicitaria y un breve contexto tecnico (sector, tipo de pagina). No transmitimos activamente datos maestros ni de contacto (sin correo electronico, sin ID de cuenta, sin direccion IP, sin nombre). En la medida en que un texto publicitario pudiera contener nombres propios de una persona fisica (p. ej. nombre del titular o gerente en un eslogan), no puede excluirse completamente un caracter personal indirecto en el sentido del art. 4, apartado 1 del RGPD — la transmision se realiza entonces sobre la base del contrato de encargo del tratamiento conforme al art. 28 del RGPD y de las clausulas contractuales tipo de la UE (art. 46, apartado 2, letra c) del RGPD). El indicador "disable training" esta activado, de modo que sus textos no se utilizan para el entrenamiento de los modelos de Claude. En la medida en que usted, como usuario, analice textos publicitarios de terceros, Empcora actua al respecto como encargado del tratamiento (vease la seccion 6a) y Anthropic como subencargado.

Politica de privacidad de Anthropic: https://www.anthropic.com/legal/privacy

Sin decision individual automatizada (art. 22 del RGPD): ni la evaluacion algorítmica de cumplimiento normativo (estado semaforo ROJO/AMARILLO/VERDE, puntuacion A a F, insignia de cumplimiento) ni la reformulacion asistida por IA constituyen una decision automatizada en el caso individual en el sentido del art. 22, apartado 1 del RGPD.

Justificacion: (i) Las evaluaciones no tienen efecto juridico frente al usuario ni frente a terceros — son indicaciones tecnicas basadas en fuentes juridicas publicas. (ii) De una puntuacion o una reformulacion no se derivan sanciones automaticas, bloqueos ni otras afectaciones significativas similares; en particular, la insignia de cumplimiento no produce efecto externo con caracter juridicamente vinculante. (iii) La decision final sobre el uso de una afirmacion publicitaria o de una propuesta de reformulacion corresponde exclusivamente al usuario; sigue siendo necesaria una revision humana — idealmente por un abogado habilitado.

A este respecto, nos remitimos ademas al aviso sobre prestacion de servicios juridicos en los terminos y condiciones generales y a la aclaracion sobre el caracter de los resultados de la herramienta (evaluacion de cumplimiento: caracter, limites y exclusion de responsabilidad).

Derecho a la intervencion humana: si no obstante considera una evaluacion como una afectacion significativa similar, puede ponerse en contacto en cualquier momento con [email protected] . Revisaremos su caso de forma manual y le comunicaremos el resultado por escrito (art. 22, apartado 3 del RGPD).

14a. PDF del informe de auditoria

Tras la conclusion de un analisis de pago, generamos un informe de auditoria en formato PDF que queda disponible para su descarga en el panel de control de la cuenta y, si lo solicita, se envia por correo electronico a la direccion registrada en su cuenta. El informe contiene la URL analizada, las afirmaciones publicitarias identificadas con su evaluacion, propuestas de reformulacion de IA y, en el pie de pagina, una marca de tiempo de creacion y el ID del analisis para su identificacion. No se produce ninguna cesion a terceros; el archivo PDF se conserva junto con el registro del analisis durante 24 meses y se elimina automaticamente a continuacion (vease la seccion 5). La base juridica es el art. 6, apartado 1, letra b) del RGPD (ejecucion de un contrato).

14b. Widget de verificacion de greenwashing (embed)

Ponemos a disposicion un mini widget embebible ("Widget de verificacion de greenwashing") que puede integrarse en sitios de terceros mediante <iframe> a traves de la URL https://empcora.de/embed/widget. Al utilizar este widget se aplican los siguientes avisos de privacidad:

• Responsable del tratamiento: Marcel Schluter IT-Services (Empcora), Kollwitzstrasse 76, 10435 Berlin (vease la seccion 1).
• Datos recogidos: la URL que ha introducido en el widget y su direccion IP, que se transmite tecnicamente al acceder al widget y al activar un analisis. La comunicacion se realiza a traves de nuestra API tRPC en empcora.de.
• Finalidad: realizacion del analisis de greenwashing para la URL introducida por usted y aplicacion de un limite de velocidad basado en IP como proteccion frente al uso automatizado indebido (proteccion frente a denegacion de servicio).
• Base juridica: art. 6, apartado 1, letra b) del RGPD (ejecucion de un contrato / prestacion del servicio de analisis solicitado por el usuario) y art. 6, apartado 1, letra f) del RGPD (interes legitimo en la proteccion de nuestra infraestructura frente a ataques de DoS/abusos).
• Plazo de conservacion: la direccion IP se conserva en una cache temporal durante un maximo de 24 horas con la finalidad del limite de velocidad y se descarta automaticamente a continuacion. Los datos del analisis (URL introducida, afirmaciones identificadas, evaluacion) se conservan de conformidad con las reglas de la seccion 5 de esta politica de privacidad ("Resultados de analisis", 24 meses).
• Transferencia a terceros paises: no se produce ninguna transferencia a terceros paises en el marco del uso del widget en si. El tratamiento se realiza en nuestros servidores de Hetzner en Alemania; Cloudflare se utiliza en su caso segun lo descrito en la seccion 16 para la conexion. En la medida en que se utilice la API de Claude de Anthropic para la reformulacion de afirmaciones asistida por IA, se aplican adicionalmente las indicaciones de las secciones 7 y 14.
• Destinatarios: no se produce ninguna cesion a terceros mas alla de los encargados del tratamiento indicados en la seccion 6.
• Derecho de oposicion y de acceso: puede oponerse al tratamiento de sus datos en cualquier momento y ejercer sus derechos como interesado (acceso, supresion, limitacion, etc., vease la seccion 17) — para ello dirijase a [email protected].

Nota sobre widgets embebidos en sitios de terceros: si el widget esta embebido en el sitio web de un tercero, se aplica adicionalmente la politica de privacidad del operador del sitio de terceros. El operador del sitio de terceros es responsable independiente del tratamiento de datos en su sitio (art. 4, apartado 7 del RGPD) y debe informar a sus usuarios al respecto.

15. Alojamiento en Hetzner

Nuestros servidores, la base de datos (PostgreSQL) y la cache (Redis) estan alojados en Hetzner Online GmbH, Industriestrasse 25, 91710 Gunzenhausen, Alemania. Los servidores se encuentran exclusivamente en centros de datos alemanes. Con Hetzner existe un contrato de encargo del tratamiento conforme al art. 28 del RGPD.

16. Cloudflare (DNS, CDN, proteccion DDoS)

Utilizamos Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, EE.UU., para la resolucion DNS, la entrega de contenidos, la proteccion DDoS y el cortafuegos de aplicaciones web. Cloudflare trata en cada acceso a nuestro sitio web la direccion IP y los datos de conexion para garantizar la disponibilidad y defenderse frente a ataques.

La base juridica es el art. 6, apartado 1, letra f) del RGPD; nuestro interes legitimo reside en la proteccion frente a abusos y en garantizar la disponibilidad. Con Cloudflare existen un contrato de encargo del tratamiento y clausulas contractuales tipo de la UE. Politica de privacidad de Cloudflare: https://www.cloudflare.com/es-es/privacypolicy/

17. Sus derechos como interesado

Tiene los siguientes derechos frente a nosotros en relacion con los datos personales que le conciernen:

• Derecho de acceso (art. 15 del RGPD)
• Derecho de rectificacion (art. 16 del RGPD)
• Derecho de supresion ("derecho al olvido", art. 17 del RGPD)
• Derecho a la limitacion del tratamiento (art. 18 del RGPD)
• Derecho a la portabilidad de los datos (art. 20 del RGPD)
• Derecho de oposicion al tratamiento (art. 21 del RGPD)
• Derecho a revocar un consentimiento otorgado (art. 7, apartado 3 del RGPD) — la revocacion solo surte efecto para el futuro
• Derecho a no ser objeto de una decision basada unicamente en el tratamiento automatizado (art. 22 del RGPD)
• Derecho a presentar una reclamacion ante una autoridad de control (art. 77 del RGPD) — vease la seccion 18 para la autoridad competente

Para ejercer sus derechos, dirijase por favor a [email protected].

17a. Exportacion de datos (art. 20 del RGPD)

Tiene derecho a recibir los datos que nos ha facilitado en un formato estructurado, de uso comun y de lectura mecanica. Proporcionamos la exportacion en formato JSON o CSV y la enviamos previa solicitud en un plazo de siete dias habiles de forma gratuita por correo electronico o a traves del panel de control de la cuenta. La exportacion incluye datos maestros de cuenta, dominios, resultados de analisis, afirmaciones, pruebas cargadas e informes PDF. La solicitud puede dirigirse informalmente a [email protected] .

18. Derecho a presentar una reclamacion ante una autoridad de control

Conforme al art. 77 del RGPD, tiene derecho a presentar una reclamacion ante una autoridad de control de proteccion de datos si considera que el tratamiento de sus datos vulnera el RGPD. La autoridad competente es la del Estado miembro en el que el responsable del tratamiento tiene su residencia:

Die Berliner Beauftragte fur Datenschutz und Informationsfreiheit
Alt-Moabit 59-61
10555 Berlin, Alemania
Telefono: +49 30 13889-0
Correo electronico: [email protected]
Web: www.datenschutz-berlin.de

Nota: la autoridad de control competente se determina por el domicilio del responsable del tratamiento (10435 Berlin). Sin perjuicio de lo anterior, tambien puede dirigirse a la autoridad de control del Estado miembro en el que tenga su residencia habitual o su lugar de trabajo (art. 77, apartado 1 del RGPD).

Asimismo, puede presentar una reclamacion ante la autoridad de control espanola: Agencia Espanola de Proteccion de Datos (aepd.es)

19. Cifrado SSL/TLS

Este sitio web utiliza cifrado SSL o TLS para proteger sus datos y garantizar la transmision de contenidos confidenciales (p. ej. consultas, datos de acceso, informacion de pago). Una conexion cifrada se reconoce por "https://" en la barra de direcciones de su navegador.

20. Vigencia y modificacion de esta politica de privacidad

Esta politica de privacidad esta actualmente en vigor y tiene fecha de 15 de mayo de 2026. Nos reservamos el derecho a adaptar la politica de privacidad para ajustarla a los requisitos legales vigentes o a los cambios en nuestros servicios. La version actualizada en cada momento esta disponible en /es/datenschutz .