Política de privacidad

Aviso importante: esta es la versión inicial del documento. Antes de usarse en producción comercial debe ser revisada por un asesor legal cualificado en RGPD, LOPDGDD y normativa nacional aplicable.

1. Responsable del tratamiento

Razón social: [Razón social del operador]
CIF: [CIF operador]
Dirección postal: [Dirección]
Email de contacto RGPD: privacidad@petrios.app
Delegado de Protección de Datos (DPO): [Nombre o "No designado por no ser legalmente exigible"]

2. Doble rol en el tratamiento de datos

petriOS trata datos personales en dos roles distintos:

2.1 · Responsable del tratamiento

Para los datos de los usuarios administradores de las cuentas (nombre, email, contraseña cifrada, logs de acceso), petriOS actúa como Responsable conforme al RGPD art. 24.

2.2 · Encargado del tratamiento

Para los datos que el Cliente introduce en la plataforma (sus clientes finales, oportunidades, facturas, etc.), petriOS actúa como Encargado del tratamiento conforme al RGPD art. 28. El Cliente es el Responsable. Las condiciones del encargo se detallan en el Contrato de Encargado del Tratamiento (DPA) que se firma al contratar el Servicio (puede solicitarse en legal@petrios.app).

3. Datos que recogemos

3.1 · Datos de cuenta (admin)

Nombre y apellidos del administrador.
Correo electrónico (también usado como identificador único).
Contraseña, almacenada con hash bcrypt (nunca en texto plano).
Nombre y CIF de la empresa contratante.
Datos de facturación SaaS (a través de Stripe, ver §6).

3.2 · Datos técnicos automatizados

Dirección IP de acceso.
Fecha, hora y duración de las sesiones.
Tipo de navegador y dispositivo.
Logs de auditoría de acciones críticas (alta/baja/edición de registros, exportaciones).

3.3 · Datos que tú introduces en tu CRM

El Cliente introduce libremente datos de sus propios clientes, proveedores y empleados (nombre, email, teléfono, CIF, dirección, etc.). Estos datos son responsabilidad del Cliente. petriOS solo los aloja, indexa y muestra cuando se solicitan desde la interfaz autenticada.

4. Finalidades del tratamiento

Prestación del Servicio contratado (CRM, facturación, etc.).
Facturación y gestión administrativa del contrato.
Soporte técnico y atención al cliente.
Mejora del producto mediante métricas de uso agregadas y anonimizadas.
Comunicaciones operativas (avisos de mantenimiento, vencimientos, etc.).
Cumplimiento de obligaciones legales (fiscales, contables).

No usamos los datos para publicidad de terceros ni los vendemos.

5. Base jurídica

Ejecución del contrato (art. 6.1.b RGPD) para los datos de cuenta y técnicos.
Obligación legal (art. 6.1.c RGPD) para los datos requeridos por la normativa fiscal española (facturas conservadas 6 años).
Interés legítimo (art. 6.1.f RGPD) para los logs de seguridad y la mejora del producto mediante métricas anónimas.

6. Encargados del tratamiento (subprocesadores)

petriOS utiliza los siguientes subprocesadores conforme al RGPD art. 28.4:

Stripe — Pasarela de pago de las suscripciones. Política Stripe.
[Proveedor de hosting] — Infraestructura del servidor (UE).
SendGrid / Mailgun / otro — Envío de emails transaccionales.

El listado actualizado puede solicitarse en privacidad@petrios.app.

7. Plazo de conservación

Datos de cuenta: mientras dure el contrato + 6 años por obligación fiscal española.
Logs técnicos: 90 días tras la última actividad.
Datos introducidos por el Cliente: mientras dure el contrato + 30 días para exportación tras la cancelación. Después se eliminan de forma irreversible.
Backups cifrados: rotación de 30 días.

8. Tus derechos

Tienes derecho a:

Acceso a tus datos personales.
Rectificación de datos inexactos.
Supresión ("derecho al olvido") cuando ya no sean necesarios.
Limitación del tratamiento en determinadas circunstancias.
Portabilidad de tus datos en formato estructurado (CSV/JSON).
Oposición al tratamiento basado en interés legítimo.
Retirar el consentimiento en cualquier momento, sin efecto retroactivo.
Reclamación ante la Agencia Española de Protección de Datos (aepd.es) si consideras que tus derechos no han sido respetados.

Para ejercer estos derechos, envía un email a privacidad@petrios.app indicando tu DNI/CIF y el derecho que deseas ejercer. Respondemos en un plazo máximo de 30 días naturales.

9. Seguridad de los datos

Cifrado TLS 1.3 en todas las comunicaciones cliente-servidor.
Contraseñas hasheadas con bcrypt.
Backups cifrados con AES-256.
Control de acceso por roles, multi-tenant con aislamiento estricto de datos por empresa_id.
Auditoría detallada de operaciones críticas.
Revisiones de seguridad periódicas.

10. Transferencias internacionales

Los datos se alojan en servidores ubicados en la Unión Europea. Algunos subprocesadores (como Stripe) pueden tratar datos en países terceros bajo las cláusulas contractuales tipo aprobadas por la Comisión Europea o adhesión al marco Data Privacy Framework UE-EEUU.

11. Cookies

petriOS utiliza únicamente cookies técnicas estrictamente necesarias para el funcionamiento del Servicio (sesión, preferencias del usuario). No usamos cookies analíticas ni de marketing de terceros. No se requiere banner de consentimiento conforme a la guía AEPD/CEPD vigente.

12. Cambios en esta política

Cualquier modificación material de esta Política se comunicará al Cliente por email con al menos 30 días de antelación. La versión vigente está siempre disponible en petriOS/privacidad.html.