1. Responsable del tratamiento
Attentico es responsable del tratamiento de los datos personales tal como se describe en esta política. Contacto: privacy@attentico.nl.
2. Qué datos tratamos
Solo tratamos los datos necesarios para prestar el servicio:
- Datos de la cuenta: nombre, dirección de correo electrónico, contraseña (cifrada mediante Supabase Auth)
- Datos de contacto: nombres, cumpleaños, ocasiones especiales, preferencias personales y listas de deseos de las personas a quienes envías regalos
- Datos de pedido: direcciones de entrega e historial de regalos
- Datos de pago: procesados a través de Stripe — no almacenamos los datos completos de la tarjeta
- Registros de comunicación: mensajes de tarjetas y sugerencias de regalos generados por IA
- Google Contactos (opcional): si optas por la importación de Google, Attentico solicita acceso de solo lectura a tus Google Contactos. Importamos únicamente nombre, correo electrónico, número de teléfono y fecha de cumpleaños. No almacenamos tus credenciales de Google ni compartimos los datos importados con terceros.
- Datos de sesión: cookies de autenticación (solo funcionales, sin seguimiento)
3. Google Contactos — uso de datos de API
Attentico utiliza la API Google People exclusivamente para importar tus contactos a la aplicación Attentico. Solicitamos el scope contacts.readonly. Esto significa que solo podemos leer tus contactos, no modificarlos ni eliminarlos.
- Los datos importados se utilizan exclusivamente para crear contactos en tu cuenta de Attentico.
- No conservamos los tokens OAuth de Google tras la importación.
- Tus datos de Google nunca se utilizan para publicidad, elaboración de perfiles ni reventa.
- Los datos de Google no se envían a modelos de IA, herramientas de análisis ni otros sistemas internos.
- Ningún empleado ni tercero puede ver tus datos de Google, salvo que otorgues consentimiento explícito, sea necesario para una investigación de seguridad o lo exija la ley.
- Puedes eliminar los contactos importados en cualquier momento desde Attentico Configuración → Datos.
- Puedes revocar el acceso de Attentico en cualquier momento desde la configuración de tu cuenta de Google: myaccount.google.com/permissions.
El uso y la transferencia de información recibida de las API de Google por parte de Attentico a otras aplicaciones se adhiere a la Google API Services User Data Policy, incluidos los requisitos de uso limitado.
4. Protección de datos y seguridad
Attentico se toma en serio la protección de tus datos personales. Hemos implementado las siguientes medidas técnicas y organizativas para proteger tus datos:
- Cifrado en tránsito: Todas las comunicaciones entre tu navegador y nuestros servidores utilizan HTTPS/TLS 1.3. Aplicamos HTTP Strict Transport Security (HSTS).
- Cifrado en reposo: Todos los datos en nuestra base de datos (Supabase/PostgreSQL) están cifrados en reposo (AES-256). Las contraseñas se procesan con bcrypt.
- Control de acceso: Aplicamos seguridad a nivel de fila (RLS) en todas las tablas de la base de datos, garantizando que los usuarios solo puedan acceder a sus propios datos. Las rutas de API están protegidas con tokens de autenticación.
- Acceso mínimo a datos: Los servicios de terceros reciben solo los datos mínimos necesarios. Los datos de la API de Google no se comparten con otros procesadores ni se usan para fines distintos a la importación de contactos.
- Cabeceras de seguridad: Implementamos Content Security Policy (CSP), X-Frame-Options, X-Content-Type-Options y cabeceras Referrer-Policy para prevenir ataques.
- Limitación de velocidad: Los endpoints de API están protegidos con limitación de velocidad para prevenir abusos.
- Sin entrenamiento de IA: Tus datos nunca se utilizan para entrenar modelos de IA. El procesamiento de IA (Anthropic Claude) ocurre mediante llamadas a la API que el proveedor no retiene con fines de entrenamiento.
- Respuesta a incidentes: En caso de una brecha de datos, notificamos a la autoridad de protección de datos competente y a los usuarios afectados en un plazo de 72 horas, conforme a los artículos 33 y 34 del RGPD.
5. Bases legales (RGPD art. 6)
- Necesidad contractual (art. 6(1)(b)): Datos de la cuenta, datos de contacto, direcciones de entrega y pagos — necesarios para prestar el servicio.
- Consentimiento (art. 6(1)(a)): Importación de Google Contactos y comunicaciones de marketing opcionales — puedes retirar este consentimiento en cualquier momento.
- Intereses legítimos (art. 6(1)(f)): Prevención del fraude, seguridad y mejora del servicio.
6. Encargados del tratamiento y terceros
Utilizamos los siguientes subencargados del tratamiento. Se han establecido acuerdos de tratamiento de datos con todos los encargados.
| Encargado | Finalidad | Ubicación |
|---|
| Supabase | Base de datos y autenticación | EU (Frankfurt) |
| Stripe | Procesamiento de pagos | EU / VS* |
| Anthropic (Claude) | Sugerencias de regalos por IA y mensajes de tarjetas | VS* |
| Brevo | Correo electrónico transaccional | EU (Parijs) |
| Google LLC | Importación de contactos (solo lectura, opcional) | VS* |
| Vercel | Alojamiento y funciones edge | EU / VS* |
| Tiendas asociadas | Pedido de regalos | NL |
| Greetz.nl | Tarjetas (físicas y digitales) | NL |
* Las transferencias a EE. UU. se realizan sobre la base de las Cláusulas Contractuales Tipo de la UE (CCT) adoptadas por la Comisión Europea.
7. Plazos de conservación
- Datos de la cuenta: conservados mientras tu cuenta esté activa. Tras la eliminación, los datos se borran definitivamente en un plazo de 30 días.
- Importación de Google Contactos: los tokens OAuth no se conservan tras la importación. Los datos de contacto importados se conservan mientras tu cuenta esté activa o hasta que los elimines.
- Registros de pago: 7 años conforme a las obligaciones de conservación fiscal.
- Registros de IA: anonimizados tras 90 días.
- Direcciones de entrega: eliminadas tras la ejecución del pedido, salvo que las guardes en tu perfil.
8. Cookies
Attentico utiliza únicamente cookies funcionales técnicamente necesarias para el funcionamiento del servicio (gestión de sesiones y autenticación). No utilizamos cookies analíticas, de marketing ni de seguimiento. No hay muro de cookies ni muro de pago vinculado al consentimiento de cookies.
9. Tus derechos (RGPD)
Tienes los siguientes derechos sobre tus datos personales:
- Acceso (art. 15): solicitar qué datos conservamos sobre ti
- Rectificación (art. 16): corregir datos inexactos
- Supresión (art. 17): eliminar tu cuenta y todos los datos asociados — directamente desde Configuración → Datos
- Limitación (art. 18): restringir temporalmente el tratamiento
- Portabilidad (art. 20): descargar tus datos en CSV desde Configuración → Datos
- Oposición (art. 21): oponerte al tratamiento basado en intereses legítimos
- Revocar consentimiento de Google: a través de myaccount.google.com/permissions
Envía tu solicitud a privacy@attentico.nl. Responderemos en un plazo de un mes.
10. Clientes Work: acuerdo de tratamiento de datos
Las organizaciones que utilizan Attentico Work tratan datos personales de sus empleados a través de nuestra plataforma. Attentico actúa como encargado del tratamiento en el sentido del RGPD en este contexto. Un Acuerdo de Tratamiento de Datos (DPA) está disponible bajo solicitud en legal@attentico.nl.
11. Presentar una reclamación
Si tienes una reclamación sobre cómo tratamos tus datos, puedes presentarla ante la autoridad de protección de datos competente.
12. Cambios
Podemos actualizar esta política de privacidad. Para cambios significativos, te notificaremos por correo electrónico. La fecha en la parte superior de este documento indica la última actualización.
13. Contacto
privacy@attentico.nl