Política de Privacidad
Última actualización:
1. Identidad del responsable del tratamiento
De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), le informamos de que el responsable del tratamiento de sus datos personales es el titular de ControlGira, cuyos datos identificativos completos (nombre, NIF y domicilio fiscal) figuran en el Aviso Legal.
Para cualquier consulta relacionada con el tratamiento de sus datos personales, puede dirigirse a Info@controlgira.com.
2. Finalidades del tratamiento
Los datos personales recabados a través de ControlGira se tratan para las siguientes finalidades:
- Gestión del servicio SaaS: alta y mantenimiento de empresas cliente, creación y administración de cuentas de usuario, registro de trabajos, gastos y actividades de transporte.
- Facturación y gestión de pagos: emisión de facturas, cobro de suscripciones y comunicaciones relacionadas con el estado de la cuenta de facturación, a través del procesador de pagos Stripe.
- Soporte técnico: atención a solicitudes de asistencia, resolución de incidencias y mejora del servicio.
- Comunicaciones operacionales: envío de notificaciones sobre el estado de trabajos asignados, invitaciones de nuevos empleados y alertas del sistema. No realizamos envíos de carácter comercial o publicitario sin consentimiento explícito previo.
- Seguridad: detección y prevención de accesos no autorizados, fraudes y uso indebido del servicio mediante registros de auditoría, limitación de solicitudes y monitorización de sesiones.
3. Base jurídica del tratamiento
El tratamiento de sus datos se sustenta en las siguientes bases legales del artículo 6 del RGPD:
- Ejecución de un contrato (Art. 6.1.b): el tratamiento es necesario para la prestación del servicio contratado a través de ControlGira.
- Interés legítimo (Art. 6.1.f): para la gestión de la seguridad de la plataforma, el mantenimiento de registros de auditoría sanitizados y la prevención del fraude.
- Consentimiento (Art. 6.1.a): para el uso de cookies no estrictamente necesarias, cuando el usuario lo otorgue expresamente a través del banner de consentimiento.
- Obligación legal (Art. 6.1.c): para el cumplimiento de obligaciones fiscales y mercantiles derivadas de la relación contractual.
4. Categorías de datos tratados
Según la finalidad del tratamiento, podemos tratar las siguientes categorías de datos:
Datos identificativos y de contacto: nombre completo, dirección de correo electrónico, número de teléfono (opcional).
Datos profesionales: empresa a la que pertenece el usuario, rol dentro del sistema (administrador, usuario operativo), trabajos y rutas realizadas.
Datos técnicos: dirección IP de acceso, agente de usuario (navegador y dispositivo), marcas de tiempo de sesión, identificadores de sesión cifrados.
Datos transaccionales: registros de gastos con importes, tipos de gasto y archivos adjuntos (fotografías de recibos almacenadas en Cloudflare R2).
Datos de facturación: identificador de cliente en Stripe, estado de la suscripción, historial de pagos. ControlGira no almacena datos de tarjetas bancarias; estos son gestionados directamente por Stripe bajo su propia política de seguridad PCI-DSS.
No tratamos categorías especiales de datos personales (datos de salud, origen racial, creencias políticas, etc.).
5. Plazos de conservación
Los datos se conservarán durante los siguientes plazos:
| Tipo de datos | Plazo de conservación |
|---|---|
| Datos de cuenta y servicio | Durante la vigencia del contrato y 5 años adicionales (obligación mercantil, Art. 30 CCom) |
| Datos de facturación | 6 años desde la emisión de la factura (Art. 70 LGT) |
| Registros de auditoría y logs de seguridad | 12 meses desde su generación |
| Copias de seguridad | 30 días tras la baja del servicio |
| Fotografías de recibos y archivos adjuntos | Hasta que el usuario los elimine o se cancele la cuenta (+ 30 días de backup) |
Transcurridos estos plazos, los datos serán eliminados o anonimizados de forma segura.
6. Destinatarios y encargados del tratamiento
ControlGira puede compartir sus datos con los siguientes proveedores de servicios en calidad de encargados del tratamiento, con quienes mantiene contratos de tratamiento de datos conforme al Art. 28 del RGPD:
| Proveedor | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Gestión de pagos y suscripciones | Irlanda (UE) / EE.UU. | SCCs + Data Privacy Framework |
| Cloudflare, Inc. (R2) | Almacenamiento de archivos adjuntos | UE (región EU) | SCCs + Data Privacy Framework |
| TiDB Cloud (PingCAP) | Base de datos principal | UE (región EU) | SCCs |
| Vercel, Inc. | Hosting y despliegue de la plataforma | EE.UU. (región EU) | SCCs + Data Privacy Framework |
| Brevo (Sendinblue SAS) | Envío de correos transaccionales | Francia (UE) | Entidad UE — cumplimiento RGPD nativo |
ControlGira no vende ni cede sus datos a terceros con fines comerciales o publicitarios.
7. Transferencias internacionales de datos
Algunos de nuestros proveedores (Stripe, Cloudflare, Vercel) tienen su sede o procesan datos en Estados Unidos. Estas transferencias se realizan al amparo de las siguientes garantías:
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, de conformidad con el Art. 46 del RGPD.
- Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework), cuando el proveedor está certificado en dicho marco.
Puede solicitar información adicional sobre estas garantías escribiéndonos a Info@controlgira.com.
8. Derechos del interesado
Usted tiene derecho a:
- Acceso: conocer qué datos personales tratamos sobre usted.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido"): solicitar la eliminación de sus datos cuando ya no sean necesarios para los fines para los que fueron recabados.
- Oposición: oponerse al tratamiento basado en interés legítimo.
- Limitación del tratamiento: solicitar que sus datos sean conservados pero no tratados activamente.
- Portabilidad: recibir sus datos en un formato estructurado y de uso común.
- Retirada del consentimiento: cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo.
Cómo ejercer sus derechos: envíe un correo a Info@controlgira.com indicando el derecho que desea ejercer y adjuntando una copia de su documento de identidad. Responderemos en el plazo máximo de un mes, prorrogable a tres meses en casos complejos.
Reclamación ante la autoridad de control: si considera que el tratamiento de sus datos vulnera la normativa aplicable, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con sede en C/ Jorge Juan, 6, 28001 Madrid — www.aepd.es.
9. Decisiones automatizadas y perfiles
ControlGira no realiza toma de decisiones automatizadas ni elaboración de perfiles que produzcan efectos jurídicos o afecten significativamente a los usuarios.
10. Medidas de seguridad
Aplicamos las siguientes medidas técnicas y organizativas para proteger sus datos:
- Transmisión de datos cifrada mediante TLS en todas las comunicaciones.
- Contraseñas almacenadas con hash bcrypt (factor de coste 12) — nunca en texto plano.
- Limitación de solicitudes (rate limiting) para prevenir ataques de fuerza bruta.
- Registros de auditoría sanitizados: datos sensibles enmascarados automáticamente.
- Borrado lógico de cuentas (soft delete): se preservan las relaciones de datos para integridad referencial.
- Sesiones respaldadas en base de datos con caducidad automática y número máximo de dispositivos simultáneos.
- Política de seguridad de contenido (CSP) dinámica con nonce por solicitud para prevenir inyección de scripts.
- Acceso a datos de producción restringido mediante roles y control de acceso.
11. Modificaciones de esta política
Nos reservamos el derecho a actualizar esta Política de Privacidad para adaptarla a cambios legislativos, técnicos o de servicio. En caso de cambios sustanciales, se lo notificaremos por correo electrónico o mediante aviso destacado en la plataforma con al menos 30 días de antelación.
La versión vigente estará siempre disponible en controlgira.com/privacidad.