1. Responsable del tratamiento
- Titular: Certex Innova S.L.
- CIF: B19773944
- Domicilio: Calle Sardenya, 151, P. 2 Pta. 7, 08013 Barcelona, España
- Registro Mercantil: Barcelona
- Email de privacidad: privacidad@pliego.ai
- Delegado de Protección de Datos (DPO): No procede designación obligatoria (menos de 250 empleados y sin tratamientos a gran escala de categorías especiales, Art. 37 RGPD). Para consultas sobre privacidad, escribe a privacidad@pliego.ai.
2. Qué datos tratamos y con qué base legal
| Actividad | Datos tratados | Base legal (Art. 6 RGPD) |
|---|---|---|
| Creación de cuenta | Email, nombre, contraseña hash, IP de registro | Ejecución de contrato (6.1.b) |
| Gestión de tu organización | CIF, razón social, dirección fiscal, CPVs, sector, facturación | Ejecución de contrato (6.1.b) |
| Alertas y recomendaciones | Filtros, palabras clave, CPVs y CCAAs de interés | Ejecución de contrato (6.1.b) |
| Scoring con IA | Perfil de empresa + texto público de la licitación | Interés legítimo (6.1.f). Puedes oponerte en cualquier momento. |
| Comunicaciones comerciales | Consentimiento expreso (6.1.a) — checkbox opcional en registro | |
| Prevención del fraude y seguridad | IP, metadatos de sesión, intentos fallidos de autenticación | Interés legítimo (6.1.f) y cumplimiento legal (6.1.c) |
| Facturación | Razón social, CIF, dirección fiscal | Obligación legal (6.1.c: Código de Comercio, Ley 58/2003 LGT) |
3. Plazos de conservación
- Datos de cuenta activa: mientras dure tu relación con Pliego.ai + 30 días tras baja (periodo de arrepentimiento).
- Facturación: 6 años conforme al Art. 30 del Código de Comercio y 4 años para IVA (Art. 66 LGT) — período imperativo aunque elimines tu cuenta.
- Logs de acceso y auditoría de seguridad: 12 meses para investigación de incidentes.
- Datos agregados y anonimizados (estadísticas de uso sin identificador personal): indefinido para mejora del servicio.
4. Encargados y subencargados del tratamiento
Para prestar el servicio contamos con los siguientes proveedores que acceden a datos personales bajo contrato de encargado (Art. 28 RGPD):
| Proveedor | Finalidad | País | Mecanismo de transferencia |
|---|---|---|---|
| Supabase | Hosting de base de datos (PostgreSQL) | Alemania (UE) | Intra-UE — no requiere mecanismo adicional |
| Vercel, Inc. | Hosting de la aplicación web y analítica | EE.UU. | Cláusulas Contractuales Tipo (CE 2021/914) + Data Privacy Framework |
| Upstash, Inc. | Caché y rate-limiting (Redis) | Irlanda (UE) | Intra-UE — no requiere mecanismo adicional |
| Anthropic, PBC | Análisis con IA del contenido de licitaciones (Claude) | EE.UU. | SCCs + DPA firmado |
| Resend (Drafted Technologies, Inc.) | Envío de correos transaccionales y alertas | EE.UU. | SCCs + DPA |
| Functional Software, Inc. (Sentry) | Reporte de errores en runtime para diagnóstico | EE.UU. | SCCs |
| Stripe, Inc. | Procesamiento de pagos (al activar suscripción de pago) | EE.UU. e Irlanda | SCCs + PCI-DSS + DPA |
| Google LLC / Microsoft Corp. | Inicio de sesión OAuth (si utilizas esos proveedores) | EE.UU. | Decisión de adecuación + SCCs |
Los proveedores listados no comparten tus datos con terceros más allá del tratamiento que les encomendamos y están sometidos a las obligaciones del Art. 28 RGPD.
5. Transferencias internacionales
Los datos tratados por proveedores con sede en Estados Unidos se transfieren bajo las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando el proveedor se haya certificado, bajo el marco EU-U.S. Data Privacy Framework. Los contratos de encargo incluyen medidas técnicas y organizativas adicionales (cifrado en tránsito y en reposo, limitación de acceso).
6. Tus derechos (ARSOPL)
Como titular de los datos, puedes ejercer en cualquier momento los derechos de:
- Acceso: solicitar copia de los datos que tenemos sobre ti. Puedes descargarlos en JSON desde Mi cuenta → Privacidad y datos personales.
- Rectificación: corregir datos inexactos. Puedes editar tu perfil desde Mi cuenta.
- Supresión (derecho al olvido): eliminar tu cuenta y todos los datos asociados. Botón en Mi cuenta → Privacidad y datos personales.
- Oposición: oponerte al scoring IA o al marketing.
- Portabilidad: el mismo export JSON cumple con este derecho (formato estructurado, legible por máquina).
- Limitación: restringir el tratamiento mientras se revisa una solicitud. Escribe a privacidad@pliego.ai.
Responderemos en un plazo máximo de 1 mes, prorrogable a 2 meses adicionales para solicitudes complejas (Art. 12 RGPD).
7. Derecho a reclamar ante la Autoridad de Control
Si consideras que no hemos atendido adecuadamente tu solicitud, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es (Art. 77 RGPD).
8. Seguridad
Aplicamos medidas técnicas y organizativas apropiadas para proteger tus datos: cifrado TLS 1.3 en tránsito, cifrado en reposo en Supabase, contraseñas almacenadas con bcrypt (factor 12), autenticación JWT firmada, rate-limiting contra abuso, auditoría de acceso y notificación de incidentes dentro de las 72 horas (Art. 33 RGPD).
9. Menores
Pliego.ai es una plataforma B2B dirigida a organizaciones. No permitimos el registro de menores de 14 años. Si descubrimos una cuenta de menor de edad, la eliminaremos inmediatamente.
10. Cambios en esta política
Los cambios sustanciales serán notificados por email con al menos 30 días de antelación a los usuarios registrados y solicitaremos tu renovación de consentimiento si afecta a bases legales consentidas.
Para cualquier duda sobre esta política, escribe a privacidad@pliego.ai.