Política de privacidad.
En vigor desde: 23 de mayo de 2026
Esta Política de privacidad explica cómo Confir OÜ (“Confir”, “nosotros”) recopila, utiliza y protege los datos personales cuando usted visita confir.eu, se registra para obtener una cuenta o utiliza la plataforma Confir (el “Servicio”).
Nos comprometemos a tratar los datos personales de forma lícita, leal y transparente con arreglo al Reglamento (UE) 2016/679 (el Reglamento General de Protección de Datos, “RGPD”) y a la Ley estonia de protección de datos personales.
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales tratados en relación con el Servicio es:
Confir OÜ
[Dirección registrada]
[Código postal, ciudad], Estonia
Correo electrónico: privacy@confir.eu
2. Delegado de protección de datos
Puede ponerse en contacto con nuestro Delegado de protección de datos en dpo@confir.eu o escribiendo a la dirección postal anterior indicando “DPO” en el asunto.
3. Categorías de datos personales que tratamos
3.1 Datos de cuenta e identidad
- Nombre completo, correo profesional, cargo, organización
- Credenciales de autenticación (hash de la contraseña, secretos de MFA)
- Preferencias de perfil y ajustes de idioma
3.2 Datos del Servicio
- Información que introduce en la plataforma (registros de sistemas de IA, evaluaciones, controles, hallazgos, archivos adjuntos)
- Entradas del registro de auditoría (acción, autor, marca de tiempo, IP, agente de usuario)
- Comentarios, archivos de evidencia y cualquier otro contenido que suba
3.3 Datos de facturación
- Nombre de la empresa, NIF-IVA, dirección de facturación
- Metadatos de pago tratados por nuestro proveedor de pagos (no almacenamos los datos completos de la tarjeta; véase la Sección 6)
3.4 Datos técnicos y de uso
- Dirección IP, tipo de navegador, sistema operativo, identificadores de dispositivo
- Páginas visitadas, funciones utilizadas, solicitudes realizadas, registros de errores, telemetría de rendimiento
- Cookies y tecnologías similares; véase nuestra Política de cookies
3.5 Comunicaciones
- Tickets de soporte y correspondencia con nuestro equipo
- Preferencias de marketing y datos de interacción con el correo (apertura, clic)
4. Finalidades y bases jurídicas
| Finalidad | Base jurídica (RGPD) |
|---|---|
| Prestación y operación del Servicio | Art. 6.1.b) — ejecución de un contrato |
| Creación de cuenta, inicio de sesión, MFA | Art. 6.1.b) — ejecución de un contrato |
| Facturación y cumplimiento fiscal | Art. 6.1.c) — obligación legal |
| Supervisión de seguridad y registro de auditoría | Art. 6.1.f) — interés legítimo |
| Mejora del producto y analítica | Art. 6.1.f) — interés legítimo |
| Comunicaciones de marketing | Art. 6.1.a) — consentimiento (puede retirarlo en cualquier momento) |
| Respuesta a consultas | Art. 6.1.b) / f) — precontractual o interés legítimo |
Cuando nos basamos en el interés legítimo (art. 6.1.f) del RGPD), hemos realizado una ponderación conforme al Considerando 47 del RGPD. Nuestro interés en mantener el Servicio seguro, detectar abusos y mejorar el producto se pondera frente a la naturaleza limitada y previsible del tratamiento, las garantías descritas en la Sección 10 y su derecho de oposición en cualquier momento con arreglo a la Sección 9. Puede solicitar un resumen de la ponderación en privacy@confir.eu.
5. Cómo utilizamos los datos personales
Utilizamos los datos personales para:
- Autenticarle y proteger su cuenta
- Operar el Servicio y almacenar los datos que envía (sistemas de IA, evaluaciones, controles, evidencia)
- Generar registros de auditoría, paquetes de conformidad e informes de cumplimiento para su organización
- Facturarle correctamente y cumplir nuestras obligaciones fiscales
- Detectar, investigar y responder a abusos, fraudes e incidentes de seguridad
- Mejorar el Servicio y desarrollar nuevas funciones
- Enviarle correos transaccionales (alertas de inicio de sesión, recibos de facturación) y, con su consentimiento, correos de marketing
6. Comunicación de datos personales
Comunicamos datos personales a las siguientes categorías de destinatarios:
- Subencargados del tratamiento que contratamos para alojar y operar el Servicio (AWS, Supabase, Stripe y otros). Consulte nuestra lista de subencargados del tratamiento para ver la lista completa y actual.
- Asesores profesionales como auditores, abogados y contables, sujetos a confidencialidad
- Autoridades cuando lo exija la ley (orden judicial, requerimiento de un regulador, citación)
- Sucesores en caso de fusión, adquisición o venta, sujetos a confidencialidad y a compromisos de privacidad equivalentes
No vendemos datos personales y no compartimos datos personales con anunciantes externos.
7. Transferencias internacionales
El Servicio y los datos de los clientes se alojan en la Unión Europea (Fráncfort, Alemania — región de AWS eu-central-1). La mayor parte del tratamiento se realiza dentro de la UE/EEE. Cuando es necesaria una transferencia fuera del EEE (por ejemplo, herramientas de soporte), nos basamos en:
- Decisiones de adecuación emitidas por la Comisión Europea, cuando proceda, o
- las Cláusulas Contractuales Tipo (CCT) de la UE en virtud de la Decisión de Ejecución (UE) 2021/914, con medidas complementarias cuando sea necesario
8. Conservación
Conservamos los datos personales únicamente durante el tiempo necesario para las finalidades expuestas anteriormente y para cumplir nuestras obligaciones legales:
- Datos de cuenta: durante la vigencia de la suscripción y 30 días después de la eliminación de su cuenta
- Datos del Servicio y registros de auditoría: durante la vigencia de la suscripción más el periodo de conservación aplicable a su organización en virtud de la Ley de IA de la UE (normalmente 10 años para la documentación del Anexo IV)
- Registros de facturación: 7 años (Ley estonia de contabilidad)
- Tickets de soporte: 2 años
- Datos de marketing: hasta que retire su consentimiento
9. Sus derechos en virtud del RGPD
Usted tiene derecho a:
- Acceder a los datos personales que tenemos sobre usted (art. 15)
- Rectificar datos inexactos o incompletos (art. 16)
- Suprimir («derecho al olvido») (art. 17)
- Limitar el tratamiento (art. 18)
- Portabilidad: recibir sus datos en un formato estructurado y legible por máquina (art. 20)
- Oponerse al tratamiento basado en el interés legítimo, incluida la elaboración de perfiles (art. 21)
- Retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo a la retirada (art. 7.3)
- Reclamar ante una autoridad de control. La autoridad estonia es la Andmekaitse Inspektsioon (aki.ee). También puede reclamar ante la autoridad de su país de residencia.
Para ejercer cualquiera de estos derechos, escriba a privacy@confir.eu. Respondemos en un plazo de 30 días.
10. Seguridad
Protegemos los datos personales mediante medidas organizativas y técnicas conformes a los estándares del sector. Encontrará los detalles en nuestro Centro de confianza. Entre las garantías clave figuran: cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), seguridad a nivel de fila (Row-Level Security) en cada tabla de la base de datos, registro de auditoría inmutable, MFA, principio de mínimo privilegio y pruebas de penetración periódicas.
11. Menores
El Servicio está destinado a ser utilizado por empresas. No recopilamos conscientemente datos personales de menores de 16 años. Si cree que un menor nos ha facilitado datos personales, póngase en contacto con nosotros y los eliminaremos.
12. Cambios en esta Política
Podemos actualizar esta Política periódicamente. Publicaremos la versión actualizada en esta página con una nueva fecha de «En vigor desde». En caso de cambios sustanciales, se lo notificaremos por correo electrónico o a través del Servicio antes de que el cambio surta efecto.
13. Contacto
Para cualquier pregunta sobre privacidad, escriba a privacy@confir.eu o a nuestra dirección postal (véase la Sección 1).