Política de privacidad

Última actualización: 31 de mayo de 2026

Esta política describe cómo Venturalítica S.L. («Venturalítica») trata los datos personales de quienes usan el plano de control de conformidad. Está derivada de la política de privacidad interna de la empresa y se adapta a este producto.

Responsable del tratamiento

Responsable: Venturalítica S.L. (CIF B23955206), con domicilio en C/ Monte Ernio 4, 1.º izda., 20014 Donostia-San Sebastián (Gipuzkoa), España. Contacto en materia de protección de datos: privacidad@venturalitica.ai. No se ha designado delegado de protección de datos (DPO) por no resultar obligatorio dado el tratamiento actual; se reevaluará según la escala.

Fines y base jurídica de cada tratamiento

Tratamos tus datos para los siguientes fines, con la base jurídica que en cada caso se indica:

  • Gestión de tu cuenta y de la sesión (alta, inicio de sesión, pertenencia a organizaciones)

    Ejecución de un contrato — Art. 6.1.b del RGPD

  • Seguridad del servicio y prevención del fraude (dirección IP y agente de usuario asociados a la sesión)

    Interés legítimo — Art. 6.1.f del RGPD

  • Envío de correos transaccionales del servicio (invitaciones, restablecimiento de contraseña, códigos de un solo uso)

    Ejecución de un contrato — Art. 6.1.b del RGPD

Categorías de datos tratados

Por diseño minimizamos los datos personales (Art. 25 del RGPD). Tratamos únicamente:

  • Datos de la cuenta

    Correo electrónico, nombre y, si lo aportas, imagen de perfil.

  • Datos de la sesión

    Dirección IP y agente de usuario (navegador) asociados a tus inicios de sesión, por seguridad.

Plazo de conservación

Conservamos los datos de la cuenta mientras esta permanezca activa. Si cierras la cuenta, los suprimimos o anonimizamos salvo obligación legal de conservación. Los registros de sesión se conservan el tiempo necesario para los fines de seguridad y se eliminan de forma periódica.

Encargados y subencargados del tratamiento

Para prestar el servicio recurrimos a los siguientes proveedores. Nos comprometemos a firmar un contrato de encargo (Art. 28 del RGPD) con todo proveedor que trate datos personales por cuenta de Venturalítica y, para los situados fuera del EEE sin decisión de adecuación, a amparar las transferencias en cláusulas contractuales tipo (SCC) [estado: en proceso].

Esta lista cubre el plano de control (cuenta, sesión y correo). Para la facturación interviene Odoo cuando se procesan pagos.

  • Scaleway (Francia, UE)

    Alojamiento del producto: contenedores, base de datos (Serverless SQL) y envío de correo transaccional (TEM).

    Datos en la UE. Sin transferencia internacional.

  • GitHub (EE. UU.)

    Sistema de control de versiones del cliente desde el que la nube lee la evidencia, cuando la organización lo conecta.

    Transferencia a EE. UU.; a amparar en cláusulas contractuales tipo (SCC) (pendiente).

  • Anthropic (EE. UU.)

    Modelo de lenguaje (API), solo si el motor envía datos a su API.

    Transferencia a EE. UU.; a amparar en cláusulas contractuales tipo (SCC) (pendiente). Por minimización, no se envían datos personales del cliente sin tratar.

  • Odoo (Bélgica, UE)

    Facturación y suscripciones; encargado del tratamiento (Art. 28) de los datos de facturación, solo cuando se procesan pagos.

    Datos en la UE (región de alojamiento por confirmar). Contrato de encargo (DPA) pendiente.

Aclaración: Better-Auth es una biblioteca de autenticación que ejecutamos en nuestra propia infraestructura (self-hosted), NO un proveedor externo ni un encargado del tratamiento; los datos de cuenta y sesión que gestiona se almacenan en nuestra base de datos en Scaleway (UE).

Tus derechos

Puedes ejercer los siguientes derechos reconocidos por los Arts. 15 a 22 del RGPD:

  • Acceso a tus datos (Art. 15).
  • Rectificación de datos inexactos (Art. 16).
  • Supresión o «derecho al olvido» (Art. 17).
  • Limitación del tratamiento (Art. 18).
  • Portabilidad de los datos (Art. 20).
  • Oposición al tratamiento (Art. 21).

Para ejercer cualquiera de estos derechos, escribe a privacidad@venturalitica.ai. Responderemos en el plazo máximo de un mes (Art. 12.3 del RGPD). Si consideras que no hemos atendido correctamente tu solicitud, puedes reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).

Brechas de seguridad

En caso de violación de la seguridad de los datos personales, actuamos conforme a los Arts. 33 y 34 del RGPD: notificamos a la autoridad de control en un plazo de 72 horas cuando proceda y, cuando exista alto riesgo para tus derechos, te lo comunicamos sin dilación indebida.