Última actualización: 27 de mayo de 2026 · Versión 1.0
SaaS Autónomo (en adelante, «nosotros» o «el Responsable») es el responsable del tratamiento de tus datos personales. Puedes contactarnos en: privacidad@saas-autonomo.com.
Cuando los agentes de IA procesan datos de los clientes de tu negocio (leads, reseñas, emails), actuamos como encargado del tratamiento por cuenta tuya (el responsable). Esta relación se regula en el Acuerdo de Tratamiento de Datos (DPA).
| Categoría | Datos concretos | Origen |
|---|---|---|
| Identidad y contacto | Email, nombre de empresa, nombre del responsable | Registro / onboarding |
| Configuración del negocio | Sector, descripción, audiencia objetivo, competidores, URL web, URL Google Business | Onboarding / configuración |
| Credenciales de integración | API keys de Buffer, CMS, Serper (almacenadas cifradas con AES-256-GCM); tokens OAuth de Google | Configuración |
| Datos de uso | Páginas visitadas, acciones en dashboard, logs de agentes, KPIs generados | Uso del servicio |
| Datos de pago | ID de suscripción Stripe, plan contratado, historial de facturas. No almacenamos datos de tarjeta. | Stripe (procesador externo) |
| Técnicos y de sesión | Dirección IP, user agent, cookies de sesión (Supabase Auth) | Automático al acceder |
Cuando los agentes gestionan tus campañas, tratamos por tu cuenta los datos personales de tus clientes finales:
Eres el responsable del tratamiento de estos datos. Consulta el DPA para las obligaciones detalladas de cada parte.
| Finalidad | Base jurídica (RGPD) |
|---|---|
| Prestación del servicio contratado (agentes IA, publicación, informes) | Art. 6.1.b — Ejecución de contrato |
| Facturación y gestión de pagos | Art. 6.1.b — Ejecución de contrato / Art. 6.1.c — Obligación legal |
| Comunicaciones del servicio (alertas, facturas, cambios en T&C) | Art. 6.1.b — Ejecución de contrato |
| Seguridad, prevención de fraude y auditoría | Art. 6.1.f — Interés legítimo |
| Mejora del servicio y análisis de uso (datos anonimizados / agregados) | Art. 6.1.f — Interés legítimo |
| Conservación de registros legales (contables, fiscales) | Art. 6.1.c — Obligación legal |
No tomamos decisiones automatizadas con efectos jurídicos o significativos sobre las personas físicas. Los agentes de IA generan contenido y sugerencias que siempre requieren revisión humana antes de publicarse.
| Tipo de dato | Plazo | Motivo |
|---|---|---|
| Datos de cuenta activa | Mientras dure la relación contractual | Prestación del servicio |
| Datos de cuenta cancelada | 90 días tras la cancelación | Período de recuperación + Art. 17 RGPD |
| Facturas y registros contables | 5 años | Obligación fiscal (Ley 58/2003 LGT) |
| Logs de seguridad y auditoría | 12 meses | Interés legítimo de seguridad |
| Leads de tus clientes | Igual que los datos de cuenta activa | Encargo del responsable |
| Registros de aceptación de DPA | 5 años desde la aceptación | Obligación legal (demostrar cumplimiento RGPD) |
Para prestar el servicio nos apoyamos en los siguientes subencargados, todos ellos con garantías adecuadas de protección de datos:
| Proveedor | Función | Ubicación | Garantía |
|---|---|---|---|
| Supabase (AWS eu-central-1) | Base de datos y autenticación | UE (Fráncfort) | DPA + SCCs |
| Vercel Inc. | Infraestructura y CDN | EE.UU. / UE edge | DPA + SCCs (Art. 46.2.c RGPD) |
| Anthropic PBC | Modelos de lenguaje (Claude) para generación de contenido | EE.UU. | DPA + SCCs |
| Resend Inc. | Email transaccional | EE.UU. | DPA + SCCs |
| Inngest Inc. | Ejecución de trabajos asíncronos / cola de tareas | EE.UU. | DPA + SCCs |
| Upstash Inc. | Redis: caché, limitación de peticiones, notificaciones | UE (eu-west-1) | DPA + SCCs |
| Buffer Inc. | Programación y publicación en redes sociales (opcional) | EE.UU. | DPA + SCCs |
| Stripe Inc. | Procesamiento de pagos | EE.UU. / UE | DPA + SCCs + adecuación |
| PostHog Inc. | Analítica de producto (seudonimizada) | EE.UU. / UE | DPA + SCCs |
| Google LLC | Search Console API, Google Business Profile API (opcional) | EE.UU. / UE | DPA + SCCs + adecuación |
Las transferencias internacionales a EE.UU. se realizan mediante Cláusulas Contractuales Tipo (CCT/SCCs) aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914) y, donde aplique, bajo el Data Privacy Framework UE-EE.UU.
Puedes ejercer en cualquier momento los siguientes derechos escribiéndonos a privacidad@saas-autonomo.com:
Acceso (Art. 15)
Obtener confirmación de si tratamos tus datos y recibir una copia. Disponible también desde Configuración → Privacidad → Descargar mis datos.
Rectificación (Art. 16)
Corregir datos inexactos o completar datos incompletos.
Supresión (Art. 17)
Solicitar la eliminación de tus datos cuando ya no sean necesarios. Iniciable desde Configuración → Privacidad.
Limitación (Art. 18)
Solicitar que suspendamos el tratamiento mientras se resuelve una controversia sobre exactitud o licitud.
Portabilidad (Art. 20)
Recibir tus datos en formato estructurado, legible por máquina (JSON). Disponible en Configuración → Privacidad.
Oposición (Art. 21)
Oponerte al tratamiento basado en interés legítimo cuando existan motivos relacionados con tu situación particular.
No decisión automatizada (Art. 22)
No ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos significativos.
Retirar consentimiento
Si el tratamiento se basa en consentimiento, puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento anterior.
Responderemos en el plazo máximo de 1 mes (prorrogable a 3 meses en casos complejos, con notificación). Tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si consideras que el tratamiento vulnera el RGPD.
Aplicamos las siguientes medidas técnicas y organizativas de seguridad:
Utilizamos las siguientes categorías de cookies:
| Tipo | Nombre / proveedor | Finalidad | Duración |
|---|---|---|---|
| Necesarias | sb-* (Supabase Auth) | Sesión autenticada | Sesión / 7 días |
| Necesarias | ob_needed (propio) | Control flujo de onboarding | Sesión |
| Analíticas (opt-in) | ph_* (PostHog) | Analítica de uso del producto (seudonimizada) | 1 año |
Las cookies analíticas solo se activan si aceptas a través del banner de cookies. Puedes cambiar tu preferencia en cualquier momento borrando las cookies del navegador o desde el banner.
El servicio está dirigido exclusivamente a profesionales y empresas. No está destinado a personas menores de 18 años. Si detectamos que hemos recopilado datos de un menor, los eliminaremos de inmediato.
Podemos actualizar esta Política de Privacidad. Los cambios materiales se notificarán por email con al menos 30 días de antelación. La versión vigente siempre estará disponible en esta URL con la fecha de última actualización.
Para cualquier consulta sobre privacidad o para ejercer tus derechos: privacidad@saas-autonomo.com
Si no obtienes respuesta satisfactoria, puedes acudir a la Agencia Española de Protección de Datos (AEPD): www.aepd.es