Legal
Política de privacidad
Última actualización: 16 de abril de 2026
Esta Política se aplica al servicio CertificAhorro de gestión de expedientes CAE (módulo Gestión). Para el módulo Mercado CAE (marketplace secundario), consulte la Política de Privacidad específica del Mercado CAE, que detalla los tratamientos adicionales (matching, trust score, custodia autenticada de documentos reglamentarios, facturación Facturae).
1. Responsable del tratamiento
HM Capital, SARL unipersonal de derecho francés con un capital social de 440.000 €.
- Domicilio social: 55 Rue du Bois d'Amour, 86280 Saint-Benoit, Francia
- SIREN: 843 444 464 — SIRET: 843 444 464 00013
- NIF intracomunitario: FR37843444464
- Representante legal: Hugo Manteau, Asociado-Gerente
- Correo general: support@certificahorro.es
- Correo exclusivo para derechos RGPD: legal@certificahorro.es
HM Capital no ha designado Delegado de Protección de Datos nominativo. La función de contacto RGPD es asumida directamente por la entidad responsable a través de legal@certificahorro.es (análisis Art. 37.1 RGPD + criterios WP243 del CEPD ; reevaluación en caso de apertura pública o crecimiento significativo del servicio).
2. Datos recogidos
CertificAhorro recoge los datos necesarios para la prestación del servicio:
- Datos de identificación: correo, nombre, apellidos, cargo
- Datos de empresa: razón social, NIF/CIF, NIF-IVA intracomunitario, dirección, número de acreditación MITECO
- Datos de beneficiarios: NIF, nombre, apellidos, dirección, teléfono, correo electrónico (introducidos por el usuario para los expedientes CAE)
- Datos de los proyectos CAE: parámetros técnicos, documentos adjuntos
- Datos de pago: gestionados íntegramente por Stripe Payments Europe, Ltd. CertificAhorro no almacena ni accede a los datos bancarios del usuario
- Datos técnicos: cookie de sesión de autenticación, errores técnicos anonimizados
3. Finalidad, base jurídica y duración
| Finalidad | Base jurídica | Duración |
|---|---|---|
| Prestación del servicio y gestión de la cuenta | Ejecución del contrato (art. 6.1.b RGPD) | Vigencia de la cuenta + 30 días |
| Gestión de la suscripción y facturación | Ejecución del contrato + obligación legal (art. 6.1.b y 6.1.c RGPD) | 10 años (Art. L102 B LPF francés, más exigente que Art. 66 LGT) |
| Verificación VIES del NIF-IVA intracomunitario | Obligación fiscal (art. 6.1.c RGPD) | 6 años (Art. 66 LGT) |
| Correos transaccionales (factura, confirmación, pago fallido) | Ejecución del contrato (art. 6.1.b RGPD) | Vigencia de la cuenta |
| Comunicaciones sobre el periodo de prueba y novedades | Consentimiento (art. 6.1.a RGPD) | Hasta revocación del consentimiento |
| Soporte al usuario (incluido soporte asistido por Intelligence) | Interés legítimo (art. 6.1.f RGPD) | 2 años desde la resolución |
| Detección y corrección de errores técnicos | Interés legítimo (art. 6.1.f RGPD) | 90 días |
| Analíticas de uso (agregadas, sin cookies) | Interés legítimo (art. 6.1.f RGPD) | Datos anonimizados |
No enviamos correos comerciales sin el consentimiento expreso del usuario. No compartimos datos con terceros con fines publicitarios.
4. Encargados del tratamiento
Los siguientes proveedores tratan datos en nombre de CertificAhorro:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Railway, Inc. | Alojamiento de la aplicación y base de datos PostgreSQL | Datacenter EU-West (Ámsterdam) |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos y suscripciones SaaS | Irlanda (UE) |
| Resend, Inc. | Envío de correos transaccionales y boletín | EE. UU. (SCC + TIA en curso) |
| Cloudinary, Ltd. | Almacenamiento autenticado de documentos y facturas Facturae | Multi-región (migración EU en plazo 6-12 meses) |
| DocuSeal | Firma electrónica de contratos (eIDAS, Ley 6/2020) | Autoalojado en Railway EU-West |
| Anthropic, PBC | Asistencia automatizada al soporte técnico (Claude) | EE. UU. (SCC + TIA en curso) |
| Functional Software, Inc. (Sentry) | Detección y corrección de errores técnicos | EE. UU. (SCC + TIA en curso) |
| Plausible Insights OÜ | Analíticas de uso agregadas (sin cookies, sin datos personales) | UE (Estonia) |
5. Transferencias internacionales
Varios encargados del tratamiento están ubicados en Estados Unidos. Estas transferencias se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914, Módulo 2 responsable–encargado C2P), incorporadas por referencia a los acuerdos de tratamiento estándar de cada proveedor, así como en el marco UE-EE. UU. Data Privacy Framework cuando el proveedor dispone de certificación vigente.
HM Capital está formalizando las Evaluaciones de Impacto sobre las Transferencias (TIA) específicas post-Schrems II (TJUE C-311/18) para Resend, Cloudinary, Sentry y Anthropic, con medidas suplementarias de mitigación descritas en la Política de Privacidad del Mercado CAE §6 (cifrado TLS 1.3 y at rest, minimización, control de acceso, política de ruptura en caso de requerimiento gubernamental no europeo incompatible con el Art. 48 RGPD).
6. Decisiones automatizadas
El sistema de soporte técnico utiliza inteligencia artificial (Anthropic Claude) para clasificar y responder consultas. Las respuestas automáticas sólo se envían cuando el nivel de confianza es alto. Todas las respuestas automáticas indican su naturaleza automatizada.
El usuario puede solicitar en cualquier momento la intervención humana respondiendo al correo de soporte o escribiendo a legal@certificahorro.es (Art. 22 RGPD).
7. Derechos del usuario
Conforme al RGPD (Reglamento 2016/679) y a la LOPDGDD (Ley Orgánica 3/2018), el usuario puede ejercer los siguientes derechos:
- Acceso a sus datos personales (Art. 15 RGPD)
- Rectificación de datos inexactos (Art. 16 RGPD)
- Supresión de sus datos (Art. 17 RGPD, derecho al olvido)
- Limitación del tratamiento (Art. 18 RGPD)
- Oposición al tratamiento (Art. 21 RGPD)
- Portabilidad de sus datos en formato JSON (Art. 20 RGPD)
- Revocación del consentimiento para comunicaciones comerciales (Art. 7.3 RGPD)
Estos derechos pueden ejercerse:
- Por correo electrónico al canal único legal@certificahorro.es
- Mediante los endpoints electrónicos
GET /api/rgpd/export-my-data(portabilidad Art. 20) yPOST /api/rgpd/opposition-marketing(oposición Art. 21) - Desde la sección Mi cuenta > Datos (exportación y supresión)
- Desde la sección Mi cuenta > Preferencias (comunicaciones)
La exportación completa de datos está disponible en formato JSON. La supresión de la cuenta elimina todos los datos personales salvo los conservados por obligación legal (facturación 10 años Art. L102 B LPF, firmas electrónicas 10 años Ley 6/2020). En tales casos, HM Capital procede a una anonimización en sitio que preserva el valor probatorio del registro sin retener datos personales identificables.
8. Autoridades de control (mecanismo de ventanilla única, Art. 56 RGPD)
Dado que HM Capital está establecida en Francia, la autoridad de control principal es la CNIL. Para los interesados residentes en España, la AEPD es autoridad de control interesada en el sentido del Art. 4.22 RGPD. Ambas autoridades cooperan conforme al Art. 60 RGPD (ventanilla única).
El usuario puede presentar reclamación ante cualquiera de las dos (Art. 77 RGPD):
- Autoridad principal · CNIL (Francia): 3 Place de Fontenoy, 75334 Paris CEDEX 07 — www.cnil.fr
- Autoridad interesada · AEPD (España): C/ Jorge Juan 6, 28001 Madrid — www.aepd.es
9. Cookies
CertificAhorro utiliza únicamente cookies técnicas necesarias para el funcionamiento del servicio (sesión de autenticación). No utilizamos cookies de tracking ni publicitarias. Estas cookies están exentas del requisito de consentimiento conforme al Art. 22.2 de la LSSI-CE.
Plausible Analytics funciona sin cookies.
Para más información, consulte nuestra Política de cookies.
10. Registro de actividades de tratamiento (Art. 30 RGPD)
HM Capital mantiene un registro interno de las actividades de tratamiento conforme al Art. 30 RGPD y al Art. 31 LOPDGDD, que documenta finalidades, bases jurídicas, categorías de interesados y datos, destinatarios, encargados del tratamiento, transferencias internacionales, plazos de conservación y medidas técnicas y organizativas de seguridad. Este registro está disponible bajo solicitud motivada a legal@certificahorro.es y se facilita a las autoridades de control (CNIL, AEPD) en el marco de sus competencias.
11. Seguridad
CertificAhorro implementa medidas técnicas y organizativas adecuadas para proteger los datos personales (Art. 32 RGPD): cifrado TLS 1.3 en tránsito, cifrado at rest de la base de datos PostgreSQL, hash bcrypt de las contraseñas, almacenamiento autenticado de documentos sensibles en Cloudinary con URL firmada efímera, redacción automática de datos sensibles en los registros de errores, cabeceras de seguridad (CSP, HSTS, X-Frame-Options), control de acceso basado en roles y autenticación NextAuth con cookies __Secure-* HttpOnly SameSite=Lax.
En caso de violación de seguridad que entrañe un riesgo para los derechos y libertades de las personas, HM Capital notificará a la CNIL en el plazo máximo de 72 horas (Art. 33 RGPD) y, si el riesgo es elevado, a los interesados (Art. 34 RGPD).
Protección de datos personales
El responsable del tratamiento de sus datos personales es HM Capital, SARL unipersonal de derecho francés (SIREN 843 444 464). Para ejercer sus derechos RGPD (acceso, rectificación, supresión, limitación, oposición, portabilidad y revocación del consentimiento), contacte con:
HM Capital responde en el plazo máximo de un mes (art. 12.3 RGPD), prorrogable a tres meses en caso de complejidad. Puede consultar la Política de Privacidad para conocer todos los tratamientos, plazos de conservación y encargados.
Derecho de reclamación (Art. 77 RGPD)
Puede presentar reclamación ante cualquiera de las dos autoridades de control competentes, a su elección:
- Autoridad principal: CNIL (Francia) — 3 Place de Fontenoy, 75334 Paris CEDEX 07.
- Autoridad interesada: AEPD (España) — C/ Jorge Juan 6, 28001 Madrid.
Coordinación entre autoridades por el mecanismo de ventanilla única (Art. 60 RGPD).