Política de Privacidad

Comprometidos con la seguridad de tus datos (GDPR/RGPD)

Última actualización

[Pendiente de validación legal].

1. Responsable del Tratamiento

Identidad [Placeholder informativo: titular del servicio pendiente de confirmación legal]
NIF/CIF [Placeholder informativo: CIF/NIF pendiente de confirmación legal]
Dirección [Placeholder informativo: domicilio legal pendiente de confirmación]
Email legal (privacidad) [Placeholder informativo: email legal pendiente de confirmación]

Consulta también el [Placeholder informativo: aviso legal pendiente de validación].

2. ObraCore como Encargado del Tratamiento (DPA Operativo)

Dado nuestro modelo operativo SaaS (Software as a Service) focalizado en el sector B2B (empresas y profesionales autónomos), la Plataforma ObraCore actúa legalmente bajo una doble naturaleza respecto al Reglamento General de Protección de Datos (RGPD) y la LOPDGDD:

  • Somos Responsables del Tratamiento EXCLUSIVAMENTE sobre los datos directos del administrador titular de la cuenta de ObraCore (nombre, email, cuenta bancaria para cobrarle la suscripción SaaS).
  • Somos Encargados del Tratamiento RESPECTO a la absoluta totalidad de los datos que el Usuario suba a nuestra base de datos. Esto incluye a los "Workers" (los datos personales de los albañiles o empleados del constructor) y a los "Clientes Finales" (datos del CRM de ObraCore, direcciones postales donde se hagan las reformas, DNIs mostrados en presupuestos o en facturas expedidas a través de la interfaz).

Como Encargados del Tratamiento, ObraCore se compromete a tratar dichos datos única y exclusivamente siguiendo las instrucciones documentadas del Usuario (Responsable), no utilizándolos con un fin distinto al de proveer la infraestructura tecnológica, y asegurando que las personas autorizadas a tratar los datos se han comprometido a respetar la confidencialidad.

Cuando el Usuario sube información personal de terceros a ObraCore, declara que cuenta con una base jurídica válida para dicho tratamiento (p. ej. ejecución contractual, cumplimiento de obligaciones legales, interés legítimo o consentimiento cuando proceda), y que ha cumplido sus deberes de información frente a los interesados conforme al RGPD y la LOPDGDD.

ObraCore pone a disposición de sus clientes un Acuerdo de Encargo de Tratamiento (DPA) para regular de forma contractual las obligaciones del artículo 28 RGPD, incluyendo subencargados, medidas de seguridad, asistencia en derechos, gestión de brechas y destino de los datos al finalizar el servicio. Puedes consultar el resumen en DPA y su Anexo de Seguridad.

3. Qué datos recopilamos y su Finalidad (Legitimación)

Recopilamos y tratamos los siguientes datos para sostener operativamente los módulos del servicio:

  • Módulo de Autenticación / Cuenta: Nombre, apellidos, correo electrónico y contraseña (encriptada irreversiblemente con Argon2/Bcrypt). Legitimación: Necesario para la ejecución del contrato de servicio SaaS.
  • Módulo Facturación y Catálogos: Datos de facturación (NIF, Razón Social, Dirección). Legitimación: Cumplimiento de obligación legal tributaria y mercantil y ejecución de contrato.
  • Ficheros de Actividad de Uso: Direcciones IP, timestamps (marcas temporales de acceso), navegador. Legitimación: Interés legítimo para prevenir el fraude, ataques DDoS o suplantación de identidad en la Plataforma.
  • Repositorio, CRM y Agenda: Almacenamos archivos PDF, documentos, planos, fotos y anotaciones que suba el Usuario en calidad de Encargados del Tratamiento. La legitimación corresponde al Responsable (cliente de ObraCore) según su caso de uso.
  • Comunicaciones comerciales B2B: Solo remitimos comunicaciones comerciales cuando exista consentimiento previo o relación contractual previa en los términos permitidos por el art. 21 LSSI-CE, con mecanismo de baja en cada envío.

4. El Uso de la Inteligencia Artificial (Terceros)

Para prestar el motor de cálculo probabilístico de ObraCore, la Plataforma envía datos contextuales a Proveedores tecnológicos líderes en IA generativa (OpenAI/Google Cloud Vertex AI). Queremos ser 100% transparentes al respecto:

  • Anonimización pre-envío: Hacemos esfuerzos tecnológicos para desvincular parámetros personales a la hora solicitar respuestas al Asistente IA, mandando solo métricas de obra.
  • Supresión de entrenamiento en Terceros: Empleamos infraestructuras "Enterprise API" cerradas. Acorde a los contratos firmados con dichos proveedores cloud, los datos que enviamos desde ObraCore NO son utilizados por Google/OpenAI para entrenar sus grandes modelos lingüísticos públicos (LLMs) bajo ninguna circunstancia. El tratamiento es efímero para calcular la respuesta ("zero retention policy") o están sujetos a los Standard Contractual Clauses (SCC) autorizados por la UE y a sus respectivos estrictos acuerdos de procesamiento B2B.

5. Subencargados (Proveedores Cloud Tecnológicos)

Operamos bajo una arquitectura en la Nube de primer nivel europeo e internacional para garantizar la resiliencia tecnológica. Para cumplir nuestro contrato, tus datos pueden ser alojados por:

Cuando alguno de estos proveedores implique una transferencia internacional de datos, ObraCore aplicará las garantías exigidas por RGPD (como Cláusulas Contractuales Tipo - SCC) y medidas suplementarias razonables en función del riesgo.

  • Supabase / AWS (Amazon Web Services): Host de la infraestructura troncal, bases de datos PostgreSQL y gestión de registro biométrico y MFA en territorio delimitado, prioritariamente UE (Irlanda/Frankfurt) dotados de certificaciones ISO 27001 y SOC2.
  • Servicios de Mensajería y Correo: Proveedores estilo Resend/Sendgrid para disparar emails transaccionales (como "Restablecer Contraseña").
  • Google Calendar API: Si vinculas tu cuenta, la plataforma utilizará estos servicios únicamente para crear eventos en tu calendario bajo tu petición. El uso de la información recibida de las APIs de Google se adherirá a la Política de Datos de Usuario de los Servicios API de Google, incluidos los requisitos de "Uso Limitado".

Listado público actualizado: Subencargados de ObraCore. Para objeciones razonadas sobre cambios materiales de subencargados, puedes escribir a [Placeholder informativo: email legal pendiente de confirmación] y consultar el SLA de Objeciones.

6. Medidas de Seguridad y Brechas

ObraCore cifra todo el tráfico (TLS en tránsito) y la base de datos (AES-256 en reposo), respaldando todo por políticas RLS (Row Level Security) que impiden a un Usuario ver la tabla de clientes de otro Usuario distinto. En el inverosímil caso de que la seguridad de los servidores sufriera un compromiso crítico que supusiera un riesgo real para los derechos y libertades de las personas físicas (Data Breach), ObraCore se compromete a notificar a los Usuarios afectados por correo electrónico, así como a la Agencia de Protección de Datos (AEPD), en el plazo máximo exigido legalmente no superior a 72 horas desde nuestra toma de conocimiento, indicando el impacto y las medidas puestas en marcha.

7. Retención y Supresión de los Datos

Tus datos personales directos (y los que procesemos como encargados) se conservarán mientras la cuenta permanezca activa y durante los plazos necesarios para atender obligaciones legales, contractuales y de defensa jurídica.

  • Datos de cuenta y operación: durante la vigencia de la relación contractual y, tras la baja, durante los plazos de prescripción aplicables.
  • Datos de facturación: durante los plazos exigidos por normativa tributaria y mercantil (con bloqueo cuando proceda).
  • Backups: se conservan por periodos limitados de seguridad y se purgan de forma automática conforme a política interna de continuidad.

Una vez finalizados los plazos aplicables, los datos se suprimirán o anonimizarán de forma segura.

8. Tus Derechos (ARSLO)

Amparado en la legislación vigente nacional o europea, puedes en todo momento invocar y hacer efectivos los derechos fundamentales de protección de tu huella digital:

  • Acceso (A saber qué datos concretamente obran en nuestro poder).
  • Rectificación (A corregirlos si estuvieran errados o desactualizados).
  • Supresión o Derecho al Olvido (A eliminar tu registro histórico si el tratamiento y almacenamiento no fuera ya perentorio para bases legales explícitas).
  • Limitación del Tratamiento, Oposición y Portabilidad.

Para ejercer tus derechos ARSLO, envía tu solicitud a [Placeholder informativo: email legal pendiente de confirmación] indicando el derecho que deseas ejercitar, tus datos identificativos y, cuando proceda, documentación que permita verificar tu identidad y representación.

Responderemos en el plazo legal máximo de 1 mes, prorrogable otros 2 meses en casos de especial complejidad, informándote de dicha ampliación dentro del primer mes.

Si ObraCore actúa como Encargado respecto de los datos solicitados, trasladaremos la petición al Responsable del Tratamiento correspondiente para su gestión conforme a sus instrucciones.

Tendrás asimismo derecho a interponer reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si consideras que no hemos atendido correctamente tu solicitud.