Política de Privacidad

1. Responsable del Tratamiento

El responsable del tratamiento de tus datos personales es:

2. Datos que Recopilamos

Recopilamos diferentes tipos de información para proporcionarte nuestros servicios y mejorar tu experiencia:

2.1. Datos de Identificación y Contacto

• Información de la cuenta: nombre completo, dirección de correo electrónico, número de teléfono, nombre de la empresa/estudio
• Información de facturación: dirección fiscal, CIF/NIF, datos necesarios para la emisión de facturas
• Datos de autenticación: contraseña encriptada, tokens de sesión, información de autenticación de dos factores

2.2. Datos de Contenido del Proyecto

• Documentos: archivos PDF, DWG, planos, especificaciones técnicas y cualquier documento subido
• Imágenes y fotografías: fotos de obra, renders, imágenes de diseño con metadatos EXIF (fecha, ubicación si está disponible)
• Mensajes y comunicaciones: chats, comentarios, notas compartidas dentro de la plataforma
• Planificaciones: cronogramas, tareas, hitos del proyecto, asignaciones de equipo
• Informes: reportes generados, análisis de proyecto, estadísticas

2.3. Datos de Uso y Técnicos

• Información de navegación: páginas visitadas, funciones utilizadas, tiempo de sesión, flujo de navegación
• Datos del dispositivo: tipo de dispositivo, sistema operativo, versión del navegador, resolución de pantalla
• Datos de red: dirección IP, geolocalización aproximada basada en IP, proveedor de internet
• Registros del servidor (logs): marca de tiempo de acceso, solicitudes HTTP, códigos de respuesta
• Datos de rendimiento: tiempos de carga, errores, interacciones con la interfaz

2.4. Cookies y Tecnologías Similares

• Cookies esenciales: necesarias para el funcionamiento de la plataforma (autenticación, seguridad)
• Cookies de análisis: para comprender cómo usas el servicio y mejorar la experiencia
• Cookies de preferencias: para recordar tus configuraciones y personalizaciones
• Local storage y session storage: para almacenar datos temporalmente en tu navegador

3. Base Legal y Finalidades del Tratamiento

Tratamos tus datos personales en base a las siguientes bases legales y para las siguientes finalidades:

3.1. Ejecución del Contrato

• Proporcionar, gestionar y mantener el acceso a la plataforma Tabiquo
• Procesar y almacenar tus contenidos (documentos, fotos, planificaciones)
• Facilitar la colaboración entre miembros del equipo y clientes
• Gestionar tu cuenta, facturación y pagos
• Proporcionar soporte técnico y atención al cliente

3.2. Consentimiento

• Enviar comunicaciones comerciales, newsletters y material promocional (puedes retirar el consentimiento en cualquier momento)
• Utilizar cookies no esenciales (analíticas, marketing)
• Realizar análisis de comportamiento para personalizar tu experiencia

3.3. Interés Legítimo

• Mejorar y desarrollar nuevas funcionalidades de la plataforma
• Prevenir fraudes, abusos y uso no autorizado
• Garantizar la seguridad de la plataforma y de los usuarios
• Realizar análisis estadísticos agregados y anónimos
• Detectar y resolver problemas técnicos

3.4. Obligación Legal

• Cumplir con obligaciones fiscales y contables
• Responder a requerimientos judiciales o de autoridades competentes
• Conservar datos según los plazos legales establecidos

4. Compartición de Datos con Terceros

No vendemos, alquilamos ni comercializamos tus datos personales. Únicamente compartimos tus datos en las siguientes circunstancias:

4.1. Proveedores de Servicios Esenciales

Compartimos datos con proveedores de confianza que nos ayudan a operar la plataforma. Todos los proveedores están sujetos a acuerdos de confidencialidad y obligaciones de protección de datos equivalentes al RGPD:

• Hetzner Online GmbH (Alemania): hosting de servidores de aplicación y base de datos. Los servidores están ubicados en centros de datos en Alemania (UE), cumpliendo con estándares ISO 27001 y certificaciones de seguridad alemanas
• Cloudflare, Inc. (EE.UU./UE): almacenamiento de archivos (S3), CDN y protección DDoS. Los archivos se almacenan en centros de datos europeos de Cloudflare, con protección mediante Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea
• Procesadores de pago: Stripe o proveedores equivalentes para procesar pagos con tarjeta (solo procesamos datos mínimos necesarios, nunca almacenamos datos completos de tarjetas)
• Servicios de email transaccional: para enviar notificaciones, confirmaciones de cuenta y comunicaciones necesarias para el servicio
• Herramientas de análisis: para analizar el uso de la plataforma mediante datos agregados y anonimizados

4.2. Con Tu Consentimiento Explícito

• Cuando compartes un proyecto con clientes o colaboradores dentro de la plataforma
• Cuando autorizas expresamente la integración con servicios de terceros (ej. Google Drive, calendario)
• Cuando solicitas soporte técnico y nos autorizas a acceder a tu cuenta para resolver problemas

4.3. Por Obligación Legal

• Cuando lo requiera una ley, reglamento, proceso legal o solicitud gubernamental aplicable
• Para hacer cumplir nuestros Términos de Servicio y políticas
• Para proteger nuestros derechos, propiedad o seguridad, o los de nuestros usuarios
• Para detectar, prevenir o abordar fraudes, problemas de seguridad o técnicos

4.4. Operaciones Corporativas

En caso de fusión, adquisición, venta de activos o procedimiento de insolvencia, los datos personales pueden transferirse a los sucesores. Te notificaremos con antelación y se te informará de tus opciones respecto a tus datos.

5. Ubicación y Transferencias Internacionales de Datos

5.1. Ubicación Principal de Datos

5.2. Transferencias Fuera del EEE

Cuando sea necesario transferir datos personales fuera del Espacio Económico Europeo (EEE), garantizamos protecciones adecuadas mediante:

• Cláusulas Contractuales Tipo (SCC): contratos aprobados por la Comisión Europea que garantizan protección equivalente al RGPD
• Decisiones de Adecuación: transferencias solo a países reconocidos por la UE con niveles adecuados de protección
• Evaluaciones de Impacto: realizamos evaluaciones de transferencia (TIA) según las recomendaciones del CEPD
• Minimización de datos: solo transferimos datos estrictamente necesarios para la finalidad específica

5.3. Medidas Técnicas Suplementarias

Para proteger las transferencias internacionales, implementamos medidas técnicas adicionales como encriptación end-to-end para datos sensibles, pseudonimización cuando es posible, y controles de acceso estrictos.

6. Seguridad de los Datos

Implementamos medidas de seguridad técnicas y organizativas de alto nivel para proteger tus datos personales contra acceso no autorizado, pérdida, alteración o divulgación:

6.1. Medidas Técnicas

• Encriptación robusta:
  • TLS 1.3 para datos en tránsito (conexiones HTTPS obligatorias)
  • AES-256 para datos en reposo (base de datos y archivos)
  • Encriptación a nivel de columna para datos especialmente sensibles
• Autenticación y control de acceso:
  • Autenticación multifactor (MFA) disponible y recomendada
  • Contraseñas hasheadas con bcrypt (factor de coste 12+)
  • Control de acceso basado en roles (RBAC)
  • Tokens de sesión seguros con expiración automática
  • Protección contra ataques de fuerza bruta (rate limiting)
• Seguridad de red:
  • Firewalls de aplicación web (WAF) mediante Cloudflare
  • Protección DDoS a nivel de red y aplicación
  • Redes privadas virtuales (VPN) para acceso administrativo
  • Segmentación de red y principio de mínimo privilegio
• Monitorización y respuesta:
  • Monitorización continua 24/7 de sistemas y logs
  • Detección automática de anomalías y actividades sospechosas
  • Sistema de alertas en tiempo real
  • Registro de auditoría de todas las acciones críticas

6.2. Medidas Organizativas

• Backups regulares: copias de seguridad diarias encriptadas, almacenadas en múltiples ubicaciones geográficas, con retención de 30 días y capacidad de restauración en menos de 24 horas
• Plan de continuidad de negocio: procedimientos documentados para recuperación ante desastres (RTO: 4 horas, RPO: 1 hora)
• Formación del personal: capacitación anual obligatoria en protección de datos y seguridad de la información para todos los empleados
• Gestión de incidentes: protocolo establecido para responder a brechas de seguridad en conformidad con el Artículo 33 RGPD (notificación en 72 horas)
• Acceso restringido: solo personal autorizado y necesario tiene acceso a datos personales, con registros de auditoría completos
• Evaluaciones de seguridad: auditorías de seguridad periódicas, pruebas de penetración anuales y revisiones de vulnerabilidades

6.3. Gestión de Proveedores

Todos los proveedores que procesan datos personales están contractualmente obligados a mantener medidas de seguridad equivalentes, son auditados regularmente y deben notificarnos inmediatamente cualquier incidente de seguridad.

7. Tus Derechos según el RGPD

En conformidad con el Reglamento General de Protección de Datos (RGPD), tienes los siguientes derechos respecto a tus datos personales:

7.1. Derecho de Acceso (Art. 15 RGPD)

Puedes solicitar una copia de todos los datos personales que tenemos sobre ti, incluyendo información sobre qué datos procesamos, para qué finalidades, con quién los compartimos y durante cuánto tiempo los conservamos. Plazo de respuesta: 1 mes.

7.2. Derecho de Rectificación (Art. 16 RGPD)

Puedes corregir datos inexactos o incompletos en cualquier momento a través de la configuración de tu cuenta o contactándonos. Plazo de respuesta: 1 mes.

7.3. Derecho de Supresión - "Derecho al Olvido" (Art. 17 RGPD)

Puedes solicitar la eliminación de tus datos personales en las siguientes circunstancias:

• Los datos ya no son necesarios para los fines para los que fueron recogidos
• Retiras tu consentimiento y no existe otra base legal para el tratamiento
• Te opones al tratamiento y no prevalecen intereses legítimos imperiosos
• Los datos han sido tratados ilícitamente
• Los datos deben suprimirse para cumplir una obligación legal

Nota: Este derecho no es absoluto. Podemos conservar ciertos datos si estamos legalmente obligados (por ejemplo, datos fiscales durante 10 años según la normativa española) o si es necesario para establecer, ejercer o defender reclamaciones legales. Plazo de eliminación: 90 días desde la confirmación de la solicitud.

7.4. Derecho a la Limitación del Tratamiento (Art. 18 RGPD)

Puedes solicitar que limitemos el procesamiento de tus datos en los siguientes casos:

• Impugnas la exactitud de los datos (durante el tiempo que necesitemos para verificarlos)
• El tratamiento es ilícito pero te opones a la supresión
• Ya no necesitamos los datos pero tú los necesitas para reclamaciones legales
• Te has opuesto al tratamiento (mientras verificamos si nuestros motivos legítimos prevalecen)

Durante la limitación, solo almacenaremos los datos sin procesarlos activamente, salvo para reclamaciones legales o con tu consentimiento.

7.5. Derecho a la Portabilidad de los Datos (Art. 20 RGPD)

Puedes recibir los datos personales que nos proporcionaste en un formato estructurado, de uso común y lectura mecánica (JSON, CSV, XML). También puedes solicitar que transmitamos estos datos directamente a otro responsable cuando sea técnicamente posible. Este derecho se aplica cuando el tratamiento se basa en consentimiento o contrato y se realiza por medios automatizados. Plazo de respuesta: 1 mes.

7.6. Derecho de Oposición (Art. 21 RGPD)

Tienes derecho a oponerte al tratamiento de tus datos en cualquier momento cuando:

• Tratamiento basado en interés legítimo: dejaremos de tratar tus datos salvo que demostremos motivos legítimos imperiosos que prevalezcan sobre tus intereses
• Marketing directo: derecho absoluto de oposición sin necesidad de justificación. Puedes darte de baja en cualquier momento desde los emails o tu configuración de cuenta
• Elaboración de perfiles: puedes oponerte a decisiones automatizadas que produzcan efectos jurídicos o te afecten significativamente

7.7. Derecho a Retirar el Consentimiento (Art. 7 RGPD)

Cuando el tratamiento se basa en tu consentimiento, puedes retirarlo en cualquier momento con la misma facilidad con la que lo otorgaste. La retirada del consentimiento no afectará la licitud del tratamiento anterior. Efecto inmediato tras la solicitud.

7.8. Derecho a No Ser Objeto de Decisiones Automatizadas (Art. 22 RGPD)

Tienes derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o te afecten significativamente. Actualmente, Tabiquo no realiza toma de decisiones automatizadas de este tipo.

7.9. Cómo Ejercer Tus Derechos

7.10. Derecho a Reclamar ante la Autoridad de Control

Si consideras que el tratamiento de tus datos personales infringe el RGPD, tienes derecho a presentar una reclamación ante la autoridad de protección de datos competente:

Te recomendamos contactarnos primero para resolver cualquier inquietud, pero tienes derecho absoluto a acudir directamente a la AEPD si lo prefieres.

8. Conservación de Datos

Conservamos tus datos personales solo durante el tiempo necesario para cumplir con las finalidades para las que fueron recogidos, incluyendo obligaciones legales, contables, fiscales o de información:

8.1. Plazos de Conservación Específicos

• Datos de cuenta activa: Durante la vigencia de la relación contractual más 90 días tras la cancelación del servicio
• Contenido de proyectos (documentos, fotos, mensajes): Durante la suscripción activa + 90 días tras cancelación. Después de este período, se eliminan de forma permanente e irreversible
• Datos de facturación y transacciones: 10 años desde la emisión de la factura (obligación legal fiscal española según Ley General Tributaria)
• Registros de auditoría y seguridad: 2 años desde su generación para fines de seguridad y detección de fraude
• Comunicaciones de soporte: 3 años desde la última interacción para evidencia de servicio prestado
• Datos de marketing (con consentimiento): Hasta que retires el consentimiento o 3 años desde tu última interacción activa con comunicaciones comerciales
• Datos anonimizados para estadísticas: Indefinidamente, ya que no permiten identificarte (agregados de uso, métricas de rendimiento)

8.2. Proceso de Eliminación de Cuenta

Cuando cancelas tu cuenta o solicitas la eliminación de tus datos:

1. Desactivación inmediata: tu cuenta se desactiva y ya no puedes acceder a ella
2. Período de gracia de 30 días: mantenemos tus datos en estado "eliminación pendiente" por si cambias de opinión (puedes contactarnos para recuperar la cuenta)
3. Eliminación progresiva (días 31-90): eliminación permanente de todos los datos personales y contenidos de proyecto de todos los sistemas, backups y copias
4. Conservación legal (después del día 90): solo conservamos datos estrictamente necesarios por obligaciones legales (facturas, datos fiscales) en sistemas de archivo seguro con acceso restringido

Importante: La eliminación de datos es irreversible después del período de gracia. Asegúrate de exportar cualquier información que necesites antes de cancelar tu cuenta.

8.3. Revisión Periódica

Revisamos periódicamente los datos almacenados y eliminamos automáticamente aquellos que han superado su período de conservación necesario, salvo que exista una obligación legal de conservarlos por más tiempo.

9. Menores de Edad

Tabiquo no está destinado a menores de 18 años. No recopilamos conscientemente datos personales de menores de edad sin el consentimiento de los padres o tutores legales.

En España, según el RGPD y la LOPDGDD, los mayores de 14 años pueden consentir por sí mismos el tratamiento de sus datos. Sin embargo, para el uso de Tabiquo (servicio profesional B2B), requerimos que los usuarios tengan al menos 18 años.

Si descubrimos que hemos recopilado datos de un menor sin la autorización adecuada, eliminaremos esa información de inmediato. Si tienes conocimiento de que un menor ha proporcionado datos personales, por favor contacta: privacy@tabiquo.com

10. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas, servicios o requisitos legales. Cuando realicemos cambios:

• Cambios menores (aclaraciones, correcciones): actualizaremos la fecha de "Última actualización" en la parte superior de esta política
• Cambios sustanciales (nuevas finalidades, destinatarios): te notificaremos con al menos 30 días de antelación por email y mediante notificación prominente en la plataforma
• Cambios que requieran consentimiento: solicitaremos tu consentimiento explícito antes de aplicar los cambios a tus datos

Te recomendamos revisar esta política periódicamente para estar informado sobre cómo protegemos tus datos. El uso continuado del servicio después de los cambios constituye aceptación de la política actualizada, salvo que los cambios requieran consentimiento explícito.

11. Contacto y DPO

Para cualquier pregunta, solicitud o inquietud sobre esta Política de Privacidad o el tratamiento de tus datos personales:

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si consideras que tus derechos no han sido respetados.