1. Responsable
IGNIRA TECHNOLOGIES S.L. · NIF B-23957723 · Torrelavega (Cantabria), España · [email protected].
2. Datos, finalidad y base legal
| Origen | Datos | Finalidad | Base legal | Conservación |
|---|---|---|---|---|
| Formulario contacto / lead | Nombre, email, teléfono, empresa, mensaje. | Responder, valorar encaje, propuesta. | Consentimiento (6.1.a) / medidas precontractuales (6.1.b) | 24 meses desde último contacto. |
| Analítica (Umami self-hosted) | Pageviews agregados, sin cookies, IP hasheada por día. | Mejora del sitio. | Interés legítimo (6.1.f) | 13 meses |
| Diagnóstico | URL diagnosticada, resultado técnico, IP hasheada para rate-limit. | Herramienta gratuita de demostración. | Interés legítimo (6.1.f) | 24 h |
| Asistente IA (chat) | Mensajes que escribas y, si los facilitas, nombre y email para contactarte. Si vienes de un diagnóstico, el resultado técnico de tu web (para que el asistente pueda comentarlo). | Resolver dudas y, si quieres, iniciar contacto. | Interés legítimo (6.1.f) en la consulta; consentimiento (6.1.a) al enviar el lead. | No se almacena la conversación; el lead, 24 meses. |
| Google Ads (landings de campaña, opt-in) | Identificador _gcl_au, evento de conversión sin PII del formulario. | Medición del retorno de la campaña. | Consentimiento (6.1.a) | ~90 días |
3. Destinatarios y transferencias
- Hetzner Online GmbH (Alemania): alojamiento. Encargado del tratamiento (art. 28 RGPD).
- Cloudflare, Inc. (EEUU): CDN/WAF. Tratamiento marginal de logs técnicos, sin acceso al contenido de formularios. Transferencia bajo EU-US Data Privacy Framework + Cláusulas Contractuales Tipo.
- Google (Gemini API): procesa los mensajes del asistente de IA para generar las respuestas. Tier de pago, sin uso de los datos para entrenar sus modelos, bajo su contrato de tratamiento (DPA). Transferencia a EEUU bajo EU-US Data Privacy Framework.
- Proveedor SMTP UE: envío del email del formulario.
- Google Ireland Ltd / Google LLC: solo en landings de campaña y solo con tu consentimiento de marketing. Recogen un identificador anónimo (
_gcl_au) para atribuir la conversión a la campaña que te trajo. Sin GA4, sin remarketing, sin perfilado con los datos del formulario. Transferencia a EEUU bajo EU-US Data Privacy Framework.
4. Derechos
Acceso, rectificación, supresión, oposición, limitación, portabilidad y retirada del consentimiento (arts. 15-22 RGPD). Ejercicio por email a [email protected], respuesta en el plazo máximo legal de un mes.
5. Reclamaciones
Ante la Agencia Española de Protección de Datos (AEPD).
6. Seguridad
TLS extremo a extremo con HSTS, CSP estricta con nonces dinámicos por request, rate-limit en formularios, copias cifradas, control de acceso por roles. Infraestructura en la UE (Coolify + Cloudflare + VPS UE).