Política de Privacidad del Mercado CAE de CertificAhorro

Versión: 1.0-beta Fecha de publicación: 16 de abril de 2026 Ámbito: Módulo Mercado CAE del servicio CertificAhorro (/mercado, /mercado-cae, APIs /api/mkt/**) Idioma vinculante: español Formato aplicable: Artículo 12.1 RGPD (información concisa, transparente, inteligible y de fácil acceso, con lenguaje claro y sencillo)

Aviso de versión beta. Esta versión 1.0-beta es un borrador técnico coherente con los Términos y Condiciones del Mercado CAE v1.0-beta. Permanecerá vigente durante la fase beta cerrada del Marketplace y será reemplazada por la versión 1.0 definitiva tras validación por despacho jurídico especialista (revisión paralela a la de los T&C). Los usuarios beta serán notificados por correo electrónico de la entrada en vigor de la versión 1.0.

Tabla de contenidos

1. Responsable del tratamiento
2. Contacto en materia de protección de datos y no designación de DPO
3. Datos que recopilamos y de quién los obtenemos
4. Finalidades y bases jurídicas del tratamiento
5. Destinatarios y encargados del tratamiento
6. Transferencias internacionales de datos
7. Plazos de conservación
8. Derechos de las personas interesadas
9. Decisiones automatizadas y elaboración de perfiles
10. Medidas de seguridad
11. Mecanismo de ventanilla única: CNIL y AEPD
12. Modificaciones de esta Política
13. Jerarquía contractual y cohérence documental

---

<a id="1-responsable-del-tratamiento"></a>

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos en el Mercado CAE es:

• Razón social: HM Capital
• Forma jurídica: SARL unipersonal de derecho francés
• Capital social: 440.000 €
• Domicilio social: 55 Rue du Bois d'Amour, 86280 Saint-Benoit, Francia
• Identificación: SIREN 843 444 464 — SIRET 843 444 464 00013 — Código APE 6420Z
• Número IVA intracomunitario: FR37843444464
• Representante legal: Hugo Manteau, Asociado-Gerente
• Correo general: [email protected]
• Correo exclusivo para derechos RGPD: [email protected]
• Servicio operado: CertificAhorro (https://certificahorro.es)

HM Capital, en tanto que sociedad establecida en Francia, es responsable del tratamiento conforme al Artículo 4.7 del Reglamento (UE) 2016/679 (RGPD). No existe en España establecimiento permanente del responsable a la fecha de publicación de esta versión.

<a id="2-contacto-y-no-dpo"></a>

2. Contacto en materia de protección de datos y no designación de Delegado de Protección de Datos

HM Capital no ha designado un Delegado de Protección de Datos (DPO) nominativo en los términos del Artículo 37 RGPD. Este extremo ha sido objeto de un análisis interno específico cuyo resumen es el siguiente:

• La actividad principal del responsable no consiste en operaciones que requieran una observación habitual y sistemática a gran escala de interesados (art. 37.1.b RGPD).
• El responsable no trata a gran escala datos personales de las categorías especiales del art. 9 ni datos relativos a condenas e infracciones penales del art. 10 RGPD (art. 37.1.c).
• El responsable no es una autoridad u organismo público (art. 37.1.a).
• Los criterios cualitativos y cuantitativos recogidos en las Directrices WP243 del Grupo de Trabajo del Artículo 29 (adoptadas por el Comité Europeo de Protección de Datos) sobre la definición de «gran escala» no concurren en el volumen actual del servicio durante la fase beta cerrada.

Por tanto, la función de contacto en materia de protección de datos es asumida directamente por la entidad responsable HM Capital, a través del canal único [email protected]. HM Capital se compromete a reevaluar la obligación de designación en cada uno de los supuestos siguientes:

• apertura pública del Mercado CAE fuera de la beta cerrada;
• incremento significativo del volumen de usuarios o transacciones anuales;
• modificación del perfil de datos tratados (en particular, incorporación de datos sensibles o sistemas de valoración de riesgo a gran escala).

En caso de designación futura, la misma será notificada a la CNIL como autoridad de control principal en aplicación del Artículo 37.7 RGPD, con comunicación informativa simultánea a la AEPD como autoridad interesada.

<a id="3-datos-recopilados"></a>

3. Datos que recopilamos y de quién los obtenemos

El Mercado CAE trata varias categorías de datos, procedentes de fuentes distintas. A continuación se describe la totalidad de los datos personales tratados en el ámbito del Marketplace, sin perjuicio de los tratamientos cubiertos por la Política de Privacidad general del servicio (/confidencialidad) para los usuarios del módulo Gestión CAE.

3.1. Datos proporcionados directamente por el usuario profesional

Son los datos que el usuario introduce o genera al utilizar el Mercado CAE:

| Categoría | Ejemplos de campos | Origen | |---|---|---| | Datos de identificación personal del representante | Nombre, apellidos, cargo, correo profesional, teléfono profesional | Alta y perfil | | Datos de la organización representada | Razón social, NIF, NIF-IVA intracomunitario, domicilio fiscal, número de acreditación MITECO (Sujeto Delegado), rol CAE reglamentario | Alta y onboarding | | Credenciales de acceso | Correo electrónico (identificador), contraseña (hash irreversible bcrypt con coste mínimo 10) | Alta | | Preferencias de comunicación | Casilla expresa de consentimiento para el boletín mensual y alertas de precios, con marca temporal | Cuenta / preferencias | | Datos de listados, órdenes, subastas y transacciones | Volumen en MWh, precio, ficha CAE, comunidad autónoma, sector, referencia de proyecto interno, documentos PDF aportados | Operación comercial | | Documentos reglamentarios cargados | Resolución MITECO de la inscripción CAE, dictamen ENAC del Verificador, cadena de cesión, contrato firmado por ambas partes | Actividad del Marketplace |

3.2. Datos generados automáticamente por la operación del servicio

| Categoría | Finalidad técnica | |---|---| | Identificadores técnicos de sesión (tokens firmados NextAuth) | Mantener la sesión autenticada | | Dirección IP, cabecera User-Agent, marca temporal | Registro de aceptaciones legales, firma electrónica DocuSeal, auditoría de acceso a documentos reglamentarios | | Indicadores estadísticos agregados (trust score, nivel de vendedor, nivel de comprador) | Calidad de mercado, información recíproca a las contrapartes | | Metadatos de descarga de documentos (MktDocAccess: userId, documentoId, motivo de acceso, IP, UA) | Registro de actividad exigido por el principio de responsabilidad activa del art. 24 RGPD | | Historial de posiciones, precios y volúmenes | Soporte reglamentario CAE y obligaciones fiscales |

3.3. Datos obtenidos de terceros

• Consulta VIES de la Comisión Europea (validación del NIF-IVA intracomunitario, Reglamento (UE) 904/2010). El responsable consulta en tiempo real la API pública VIES al alta, en cada emisión de factura y periódicamente para mantener la vigencia del indicador de validación.
• DocuSeal (plataforma de firma electrónica contratada como encargado del tratamiento): recupera del usuario firmante la dirección IP, cabecera User-Agent, coordenadas geográficas si el navegador las expone con consentimiento, nombre y correo del firmante; estos datos se devuelven al responsable por webhook firmado y se incorporan al pie de auditoría del contrato suscrito.

3.4. Datos de terceros no-usuarios ("beneficiarios finales")

Los documentos reglamentarios del expediente CAE pueden contener información personal de beneficiarios finales del ahorro energético (personas físicas o jurídicas titulares del suministro o de la instalación que genera el certificado). HM Capital trata estos datos en calidad de responsable, conforme al régimen de información por fuente indirecta del Artículo 14 RGPD. La información general a los beneficiarios finales, exigida por el Artículo 14, está publicada en /mercado-cae/beneficiarios-finales.

<a id="4-finalidades-y-bases"></a>

4. Finalidades y bases jurídicas del tratamiento

HM Capital trata los datos anteriores para las siguientes finalidades (se identifica con una T la referencia del Registro de Actividades de Tratamiento publicado en /docs/legal/registro-actividades-tratamiento.md):

| # | Finalidad | Base jurídica (art. 6.1 RGPD) | Observaciones | |---|---|---|---| | T1 | Gestión de cuentas de usuarios del Marketplace | b (ejecución del contrato de prestación de servicios) | CGV Mercado §2 | | T2 | Ejecución de las transacciones (listados, órdenes, transacciones, facturación) | b (ejecución del contrato) + c (obligaciones contables) | — | | T3 | Emparejamiento de órdenes con listados y alertas | f (interés legítimo del responsable en prestar un servicio de mercado eficiente) | Ponderación documentada; no hay decisión jurídica automatizada (ver §9) | | T4 | Trust score, nivel de vendedor y nivel de comprador | f (interés legítimo en la información recíproca de las contrapartes para una contratación informada) | Algoritmo determinístico explicado | | T5 | Almacenamiento autenticado de documentos reglamentarios (Resolución MITECO, dictamen ENAC, cadena de cesión, contrato firmado) | b + c (obligaciones reglamentarias CAE, Real Decreto 36/2023) — y f con balance test específico para los datos de beneficiarios finales | Ver §10 (autenticación signed URL) + Art. 14 RGPD: información indirecta publicada en /mercado-cae/beneficiarios-finales | | T6 | Firma electrónica de contratos de cesión mediante DocuSeal | b (ejecución del contrato) + c (Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza) | — | | T7 | Envío de correos transaccionales (confirmaciones, avisos, recordatorios) | b (ejecución del contrato) | — | | T8 | Envío del boletín mensual y alertas de precios | a (consentimiento expreso y granular, opt-in) | Revocable en todo momento; sin precondición a la prestación del servicio (art. 7.4 RGPD) | | T9 | Publicación de índices de precios agregados | f (interés legítimo + transparencia del mercado) | Datos agregados y anonimizados conforme al criterio de mínimos detallado en §4.9 | | T10 | Auditoría administrativa de las verificaciones por personal habilitado de HM Capital | c (obligaciones reglamentarias de diligencia sobre la validez de los documentos CAE) + f (prevención de fraude) | Personal sujeto a deber de confidencialidad | | T11 | Registro de accesos a documentos (MktDocAccess) | c (Artículo 24 y 32 RGPD — responsabilidad activa y seguridad) | Fundamento probatorio en caso de solicitud de acceso o incidente | | T12 | Cookies estrictamente necesarias de sesión (NextAuth session token, CSRF, callback-url) | b (estrictamente necesarias para la prestación del servicio) — exento de consentimiento art. 22.2 LSSI-CE | Ver /politica-cookies | | T13 | Facturación y obligaciones fiscales (Facturae XML + PDF) | c (Art. L102 B Livre des Procédures Fiscales francés; Ley 18/2022 de 28 de septiembre «Crea y Crece»; Reglamento (UE) 904/2010) | Almacenamiento idéntico al de los documentos reglamentarios: Cloudinary en carpeta authenticated (ver §10) | | T14 | Verificación del NIF-IVA intracomunitario (VIES) | c (obligación fiscal de verificación previa a la emisión de factura intracomunitaria sin IVA) + b (ejecución CGV) | Consulta en tiempo real, sin almacenamiento local permanente del resultado | | T15 | Coordinación con las autoridades de control (CNIL y AEPD) y con autoridades judiciales o fiscales competentes | c (cumplimiento de obligaciones legales de colaboración, art. 58 RGPD y art. 60 RGPD ventanilla única) | Ver §11 |

4.3. Ponderación del interés legítimo (balance test)

Conforme a la metodología de la CNIL (Deliberación n.º 2019-093) y a las Directrices del CEPD 06/2020 sobre interés legítimo, para cada uno de los tratamientos basados en el art. 6.1.f RGPD (T3, T4, T5 en lo relativo a beneficiarios, T9, T10) se ha llevado a cabo una ponderación previa, cuyo resultado resumido es:

• Interés legítimo perseguido: prestación eficaz de un servicio de mercado secundario CAE necesario para el cumplimiento del RD 36/2023 por parte de los Sujetos Obligados y Delegados; prevención de fraude reglamentario; transparencia informativa del mercado.
• Necesidad: imposibilidad práctica de prestar el servicio sin los tratamientos indicados, dada su función estructural (matching, trazabilidad documental, información estadística).
• Ponderación con los derechos y libertades de las personas interesadas: los datos tratados son en su mayoría datos de carácter profesional B2B; se minimizan los datos de personas físicas; los beneficiarios finales disponen de canales efectivos de información y ejercicio de derechos (§8).

El resultado de la ponderación favorece al interés legítimo del responsable, sin perjuicio del derecho de oposición del art. 21 RGPD que las personas interesadas pueden ejercer en cualquier momento por motivos relacionados con su situación particular.

4.9. Criterios de anonimización aplicados a los índices de precios

Los índices públicos publicados en /mercado-cae/precios y en el boletín mensual no son datos personales en el sentido del art. 4.1 RGPD, al resultar de un proceso de anonimización irreversible que incorpora al menos las siguientes garantías:

• Regla de k-anonimato k ≥ 5: ningún grupo de observaciones sobre el que se calcule un estadístico publicado contiene menos de cinco transacciones procedentes de contrapartes distintas.
• Regla de dominancia: ninguna transacción individual representa más del 50 % del volumen agregado del grupo. Si se detecta un dato dominante, el grupo se suprime del informe público y se reporta únicamente en el agregado superior.
• Supresión sistemática de cualquier identificador directo o indirecto (códigos proyecto, números de acreditación, IDs internos).
• No recomposición: los datos agregados se calculan sobre periodos cerrados y no se publican series intermedias que permitan diferenciación.

Estas reglas se documentan en el Registro de Actividades de Tratamiento (T9) y son objeto de revisión periódica.

<a id="5-destinatarios"></a>

5. Destinatarios y encargados del tratamiento

HM Capital no comunica datos personales a terceros con finalidades distintas de las enumeradas en §4, salvo obligación legal. Los siguientes proveedores acceden a datos personales exclusivamente en calidad de encargados del tratamiento (art. 28 RGPD), vinculados por un acuerdo contractual que recoge las estipulaciones mínimas del art. 28.3 RGPD:

| Encargado | Finalidad contractual | País del prestador | Ubicación efectiva de los datos | Contrato | |---|---|---|---|---| | Railway, Inc. | Alojamiento de la aplicación y base de datos PostgreSQL | Estados Unidos | Datacenter EU-West (Ámsterdam) para el entorno de producción de CertificAhorro | DPA estándar Railway + SCC por referencia | | Cloudinary, Ltd. | Almacenamiento autenticado de documentos reglamentarios y facturas Facturae | Israel (sede) — Multi-región | Multi-región configurada actualmente; migración planificada a proveedor EU (Railway Volumes o Scaleway Paris) en plazo 6–12 meses | DPA por términos Cloudinary + SCC por referencia; TIA en curso de formalización | | Resend, Inc. | Envío de correos transaccionales y del boletín mensual | Estados Unidos | US | DPA público https://resend.com/legal/dpa + SCC (módulo 2 C2P) por referencia; TIA en curso de formalización | | DocuSeal | Firma electrónica de contratos de cesión | Despliegue autoalojado | Infraestructura Railway EU-West | DPA + SCC por referencia (operador self-hosted) | | Stripe Payments Europe, Ltd. | Gestión de suscripciones SaaS CertificAhorro (Gestión) | Irlanda (entidad EU) | EU | DPA Stripe EU + cláusulas específicas de procesamiento | | Functional Software, Inc. (Sentry) | Detección y corrección de errores técnicos con redacción automática de datos sensibles | Estados Unidos | US | DPA estándar Sentry + SCC por referencia; TIA en curso de formalización | | Anthropic, PBC | Asistencia automatizada al soporte técnico (Claude) | Estados Unidos | US | DPA estándar + SCC por referencia; no alimentamos datos personales al modelo fuera del contexto de una solicitud de soporte iniciada por el usuario | | Plausible Insights OÜ | Analítica de uso agregada y sin cookies | Estonia (EU) | EU | Plausible no procesa datos personales (sin cookies, sin identificación de usuarios) | | Agencia Estatal de Administración Tributaria (AEAT) | Obligaciones fiscales en España del cliente (inversión del sujeto pasivo del IVA, Modelo 303) | España | ES | Comunicación por el propio cliente; HM Capital no transmite directamente | | Dirección General de Finanzas Públicas (DGFIP) | Obligaciones fiscales francesas de HM Capital (Déclaration Européenne de Services, TVA intracomunitaria) | Francia | FR | Comunicación directa por HM Capital conforme al CGI francés | | Personal interno habilitado de HM Capital | Auditoría de verificaciones y soporte reglamentario | Francia | FR | Sujeto a deber de confidencialidad contractual y a políticas internas de control de acceso |

La lista actualizada de encargados, con nombre y datos de contacto, se mantiene en el Registro de Actividades de Tratamiento publicado en /docs/legal/registro-actividades-tratamiento.md. Cualquier adición o sustitución se comunicará con antelación razonable en el pie de cambios del Registro y, si fuese materialmente significativa, mediante notificación informativa por correo electrónico.

<a id="6-transferencias"></a>

6. Transferencias internacionales de datos

Varias transferencias se realizan fuera del Espacio Económico Europeo. HM Capital aplica las siguientes garantías:

1. Cláusulas Contractuales Tipo de la Comisión Europea (Decisión de Ejecución (UE) 2021/914). Se aplica el Módulo 2 (responsable–encargado, C2P) para Railway, Resend, Cloudinary, Sentry y Anthropic. Las cláusulas se incorporan por referencia en los DPA estándar de cada proveedor.
2. Marco de Privacidad de Datos UE-EE. UU. (EU-US Data Privacy Framework) cuando el proveedor dispone de certificación vigente en la lista administrada por el Departamento de Comercio de los Estados Unidos.
3. Evaluaciones de impacto sobre las transferencias (TIA) a los efectos de la Sentencia Schrems II (TJUE C-311/18). HM Capital está formalizando los TIA específicos de CertificAhorro para Resend, Cloudinary, Sentry y Anthropic, con previsión de cierre antes del go-live público del Mercado CAE. Entre tanto, se aplican las siguientes medidas técnicas y organizativas suplementarias de mitigación:
   • cifrado TLS 1.3 en tránsito para toda comunicación cliente–servidor y servidor–servidor;
   • cifrado en reposo (PostgreSQL gestionado por Railway; Cloudinary authenticated storage con identificadores signed);
   • minimización estricta de los datos transferidos: ningún dato especial del art. 9 RGPD; los datos de beneficiarios finales no se comparten con Anthropic, Sentry ni Plausible;
   • control de acceso por función y auditoría de accesos (MktDocAccess);
   • política de ruptura de acceso en caso de notificación por el encargado de una orden gubernamental no europea incompatible con el art. 48 RGPD.
4. Plan de residencia EU para Cloudinary: se ha comprometido una migración a un proveedor EU (Railway Volumes con backup encrypted o Scaleway Object Storage Paris) en un plazo de 6 a 12 meses a contar de la publicación de la versión 1.0 definitiva. Esta migración se documentará en una versión subsiguiente de la presente Política.

<a id="7-conservacion"></a>

7. Plazos de conservación

HM Capital aplica, para cada categoría de datos, el plazo más exigente entre los regímenes francés y español aplicables al responsable del tratamiento, conforme al principio de responsabilidad activa (art. 24 RGPD):

| Categoría | Plazo | Fundamento legal aplicado | |---|---|---| | Datos de cuenta de usuario activo | Durante la vigencia de la cuenta | Ejecución del contrato (art. 6.1.b RGPD) | | Datos de cuenta tras cierre | 2 años post-cierre, luego supresión o anonimización | Plazo razonable de resolución de eventuales incidencias post-contractuales | | Datos de transacciones del Mercado (MktTransaction) | 10 años a contar del cierre de la transacción | Art. L102 B del Livre des Procédures Fiscales francés — más exigente que los 6 años del Código de Comercio español art. 30 y que los 4–6 años del Art. 66 de la Ley General Tributaria | | Facturas Facturae XML + PDF (MktInvoice) | 10 años desde la emisión | Art. L102 B LPF francés + Ley 18/2022 art. 12 + Reglamento (UE) 904/2010 | | Pistas de auditoría de firma electrónica (DocuSeal) | Vida útil del documento contractual + 10 años desde la emisión | Ley 6/2020 art. 10 + Art. L102 B LPF | | Documentos reglamentarios CAE (Resolución MITECO, dictamen, cesión, contrato firmado) | 10 años desde la transacción vinculada | Real Decreto 36/2023 art. 30 + Art. L102 B LPF | | Aceptaciones legales (LegalAcceptance) | 10 años desde la fecha de aceptación | Art. L102 B LPF + coherencia con los T&C Mercado CAE §P.3.3; insert-only, con constraint de clave foránea NO ACTION que permite la anonimización en sitio si se invoca el art. 17 RGPD | | Verificaciones VIES del NIF-IVA (logs) | 6 años | Art. 66 LGT — control fiscal español del IVA intracomunitario | | Registros de acceso a documentos (MktDocAccess) | 10 años | Art. 24 y 32 RGPD — responsabilidad activa en el tratamiento de documentos reglamentarios y fiscales | | Logs técnicos de la aplicación (Nginx, Railway) | 12 meses | Principio de proporcionalidad; finalidad de seguridad y depuración | | Cookies técnicas de sesión | Hasta el cierre de sesión o 30 días | Exento art. 22.2 LSSI-CE | | Datos de marketing (boletín) | Hasta revocación del consentimiento (art. 7.3 RGPD) | Consentimiento | | Datos de beneficiarios finales contenidos en documentos | Plazo del documento que los contiene | Los datos no pueden disociarse del documento reglamentario |

Supresión y anonimización selectiva. Cuando se ejerce el derecho de supresión del art. 17 RGPD pero subsiste un deber legal de conservar el documento (típicamente para transacciones, facturas y aceptaciones legales), HM Capital aplica una anonimización en sitio que sustituye los identificadores personales (nombre, correo, dirección IP, User-Agent) por marcadores irreversibles, preservando la validez probatoria del registro sin retener los datos personales. Este procedimiento se describe en §8.4.

<a id="8-derechos"></a>

8. Derechos de las personas interesadas

Las personas interesadas disponen, respecto de HM Capital y de forma gratuita, de los derechos reconocidos por los artículos 15 a 22 del RGPD y los artículos 12 a 18 de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD):

8.1. Catálogo de derechos

• Derecho de acceso (art. 15 RGPD): obtener confirmación de si se están tratando datos y, en tal caso, acceso a los datos personales y a la información del art. 15.1.
• Derecho de rectificación (art. 16 RGPD): corrección de datos inexactos o incompletos.
• Derecho de supresión («derecho al olvido», art. 17 RGPD): eliminación de los datos, sin perjuicio de los deberes legales de conservación descritos en §7.
• Derecho a la limitación del tratamiento (art. 18 RGPD).
• Derecho a la portabilidad de los datos (art. 20 RGPD): recepción de los datos en formato estructurado, de uso común y lectura mecánica; HM Capital ofrece exportación directa en formato JSON vía GET /api/rgpd/export-my-data tras autenticación.
• Derecho de oposición (art. 21 RGPD): oposición al tratamiento fundado en interés legítimo o en la ejecución de una misión de interés público; la oposición al tratamiento con fines de marketing directo (boletín, alertas) es incondicional y se ejecuta por POST /api/rgpd/opposition-marketing o desde /cuenta/preferencias.
• Derecho a no ser objeto de decisiones individuales automatizadas (art. 22 RGPD): ver §9.
• Derecho a revocar el consentimiento (art. 7.3 RGPD) en cualquier momento, sin efecto retroactivo y sin perjuicio de la licitud del tratamiento basado en el consentimiento antes de su revocación.

8.2. Cómo ejercer los derechos

Los derechos se ejercen por cualquiera de los siguientes canales:

• Canal principal: correo electrónico a [email protected] desde una dirección asociada a la cuenta o, en su defecto, aportando documento identificativo para verificar la identidad.
• Canales electrónicos específicos ya disponibles:
  • Portabilidad del art. 20 → GET /api/rgpd/export-my-data (exportación JSON autenticada).
  • Oposición a marketing del art. 21 → POST /api/rgpd/opposition-marketing o casilla en /cuenta/preferencias.
• Canales electrónicos futuros (en desarrollo, P1.4): rectificación y supresión mediante ticket autenticado; durante la fase beta, estos derechos se gestionan manualmente por el canal principal.

8.3. Plazo de respuesta

HM Capital responde en el plazo máximo de un mes a contar desde la recepción de la solicitud, conforme al art. 12.3 RGPD. Este plazo puede prorrogarse dos meses adicionales en caso de complejidad acreditada o número elevado de solicitudes, informando previamente al solicitante y motivando la prórroga.

8.4. Solicitud de supresión y deber legal de conservación

Cuando la solicitud de supresión recae sobre datos que HM Capital debe conservar en virtud de una obligación legal (transacciones, facturas, aceptaciones legales, pistas de auditoría de firma), se aplica el siguiente procedimiento:

1. Confirmación al solicitante del régimen aplicable y del plazo legal mínimo de conservación.
2. Ejecución de una anonimización en sitio que sustituye los identificadores personales por marcadores irreversibles pero preserva el registro contable y probatorio.
3. Supresión efectiva de los datos disociables (datos de cuenta, preferencias, metadatos de navegación no reglamentarios).
4. Informe escrito al solicitante detallando lo suprimido, lo anonimizado y lo conservado por obligación legal, con la referencia normativa aplicable.

8.5. Reclamación ante la autoridad de control

Toda persona interesada puede presentar reclamación ante la autoridad de control competente conforme al art. 77 RGPD, según se detalla en §11.

<a id="9-automatizado"></a>

9. Decisiones automatizadas y elaboración de perfiles

HM Capital ha analizado cada uno de los componentes automatizados del Mercado CAE a la luz del art. 22 RGPD, que prohíbe las decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o afecten significativamente al interesado de modo similar. El resultado del análisis es el siguiente:

| Componente | Calificación | Justificación | |---|---|---| | Emparejamiento de órdenes y listados (matching) | No es una decisión automatizada en el sentido del art. 22. | El resultado del matching es una sugerencia no vinculante. La contratación se perfecciona únicamente por acción expresa de ambas contrapartes y firma electrónica DocuSeal (art. 1261 CC). | | Trust score y reputación | No es una decisión automatizada en el sentido del art. 22. | Se trata de información estadística descriptiva sobre un usuario profesional (agregación de transacciones completadas) publicada hacia las contrapartes con el fin de permitir una contratación informada. No determina jurídicamente acceso al mercado ni precios. Es explicable: la fórmula exacta está disponible previa solicitud al canal legal@. | | Nivel de vendedor y nivel de comprador | No es una decisión automatizada en el sentido del art. 22. | Se trata de un algoritmo determinístico basado en el plan SaaS contratado y en el volumen de compras/ventas declarado en los últimos 12 meses. No hay componente predictivo ni de valoración. | | Filtros anti-abuso y detección de irregularidades | Puede constituir un tratamiento algorítmico sujeto a art. 22 cuando su resultado implique la suspensión automática de la cuenta. | En tales casos, HM Capital garantiza revisión humana previa antes de cualquier suspensión no cautelar, así como el derecho del interesado a expresar su punto de vista y a impugnar la decisión. |

En cualquier caso, la persona interesada puede, en virtud del art. 22.3 RGPD, obtener intervención humana, expresar su punto de vista e impugnar la decisión dirigiéndose a [email protected].

<a id="10-seguridad"></a>

10. Medidas de seguridad

HM Capital aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD):

• Confidencialidad. Cifrado TLS 1.3 en tránsito. Cifrado en reposo del motor PostgreSQL. Almacenamiento autenticado de documentos sensibles en Cloudinary con distribución por URL firmada efímera y registro MktDocAccess de cada descarga (userId, documentoId, motivo de acceso, IP, User-Agent, marca temporal). Aplicación del mismo mecanismo a las facturas Facturae XML y PDF (carpeta authenticated/facturas/<año>/<mes>/<side>/).
• Integridad. Inmutabilidad de las aceptaciones legales (insert-only). Inmutabilidad de los documentos legales publicados (publishedAt) conforme a las políticas P0.3. Registro de versionado semántico de los documentos legales.
• Disponibilidad. Backups cifrados gestionados por Railway. Proveedor con SLA documentado.
• Control de acceso. Control de acceso por rol (RBAC) a nivel aplicación. Autenticación NextAuth con cookie __Secure-* HttpOnly SameSite=Lax. Doble factor opcional.
• Mínimo privilegio. Acceso administrativo limitado a personal habilitado de HM Capital, sujeto a deber de confidencialidad. Pista de auditoría de accesos administrativos.
• Protección del navegador. Cabeceras Content-Security-Policy, Strict-Transport-Security (HSTS), X-Frame-Options, Referrer-Policy: strict-origin-when-cross-origin.
• Notificación de violaciones de seguridad. En caso de violación que entrañe un riesgo para los derechos y libertades de las personas físicas, HM Capital notificará a la CNIL como autoridad principal en un plazo máximo de 72 horas (art. 33 RGPD) y a los interesados cuando el riesgo sea elevado (art. 34 RGPD); la AEPD será informada a través del mecanismo de ventanilla única (art. 60 RGPD).

<a id="11-ventanilla-unica"></a>

11. Mecanismo de ventanilla única: CNIL y AEPD

Conforme al Artículo 56 RGPD y a la información publicada por el Comité Europeo de Protección de Datos, en los tratamientos transfronterizos del responsable HM Capital:

11.1. Autoridad de control principal — CNIL

• Commission Nationale de l'Informatique et des Libertés
• 3 Place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07, Francia
• Sitio web: https://www.cnil.fr/
• Razón de la competencia: establecimiento principal del responsable en Francia.

11.2. Autoridad de control interesada en España — AEPD

• Agencia Española de Protección de Datos
• C/ Jorge Juan, 6, 28001 Madrid, España
• Sitio web: https://www.aepd.es/
• Razón de la competencia: los interesados residentes en España están sustancialmente afectados por los tratamientos, lo que confiere a la AEPD la condición de autoridad de control interesada en el sentido del art. 4.22 RGPD.

11.3. Derecho de elección del interesado (art. 77 RGPD)

El interesado puede presentar reclamación ante cualquiera de las dos autoridades, en particular la de su residencia habitual, lugar de trabajo o lugar de la infracción. Ambas autoridades coordinarán el tratamiento de la reclamación conforme al mecanismo de cooperación del art. 60 RGPD.

<a id="12-modificaciones"></a>

12. Modificaciones de esta Política

Esta Política de Privacidad tiene número de versión 1.0-beta y está identificada en la base de datos de documentos legales de HM Capital con tipo MKT_PRIVACY y slug mkt-privacy-v1-0-beta. Su versionado sigue el esquema semver:

• Cambios de patch (errata ortográfica, mejoras tipográficas sin impacto jurídico): se documentan en el campo errata de la versión vigente.
• Cambios minor (adición de un encargado del tratamiento, modificación de un plazo de conservación, mejora descriptiva): dan lugar a una nueva versión. Los usuarios son notificados por correo electrónico informativo en aplicación del deber de información continua del art. 13-14 RGPD; no se exige aceptación contractual porque la Política no es un contrato de adhesión, sino un documento informativo.
• Cambios major (cambio en el responsable del tratamiento, cambio sustancial de las finalidades o de las bases jurídicas, adición de transferencia internacional no prevista): dan lugar a una nueva versión con notificación reforzada y, si una finalidad nueva se sustenta sobre el consentimiento, solicitud expresa de nuevo consentimiento para esa finalidad específica.

El histórico de versiones permanece accesible en el repositorio documental /docs/legal/ del responsable y se preserva en base de datos con la política de inmutabilidad definida por la migración legal_documents_acceptances. La versión vigente es siempre la última con publishedAt no nulo.

<a id="13-jerarquia"></a>

13. Jerarquía contractual y coherencia documental

Esta Política de Privacidad es un documento de información, no un contrato. Se coordina con los siguientes documentos:

• Términos y Condiciones del Mercado CAE (documento contractual; tipo MKT_CGV) — §11 «Protección de datos» de los T&C remite a la presente Política.
• Política de Cookies (/politica-cookies) — detalla las cookies técnicas utilizadas por el servicio.
• Política de Privacidad general del servicio CertificAhorro (/confidencialidad) — aplica al módulo de Gestión CAE y describe los tratamientos compartidos por ambos módulos (cuenta de usuario, facturación SaaS, soporte).
• Menciones Legales (/menciones-legales) — identidad editorial del servicio.
• Registro de Actividades de Tratamiento (/docs/legal/registro-actividades-tratamiento.md) — documento interno publicado por transparencia; versión aplicable a los tratamientos CertificAhorro de forma global.

En caso de divergencia entre la presente Política y los Términos y Condiciones, prevalece, para los aspectos específicos de protección de datos, la presente Política. En caso de divergencia entre las versiones idiomáticas, prevalece la versión en español.

---

Versión: 1.0-beta Publicada: 16 de abril de 2026 Editada y publicada por: HM Capital, SARL unipersonal, SIREN 843 444 464. Contacto en materia de protección de datos: [email protected]