ZephyrStudio
Cumplimiento RGPD

Política de Privacidad y Tratamiento de Datos Personales

ZephyrStudio comprende que la confianza digital se sustenta en la transparencia absoluta sobre cómo se gestiona el activo más crítico de la era de la información: los datos personales.

La presente Política de Privacidad constituye un documento normativo vinculante, redactado con rigor técnico y estricta sujeción al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas (RGPD), y a las normativas concordantes en materia de privacidad electrónica.

Nuestro objetivo primordial es proporcionar un marco de comprensión claro y accesible sobre las metodologías empleadas para recopilar, estructurar, resguardar y utilizar su información personal.

1. Identificación del Responsable del Tratamiento

A los efectos de la legislación europea de protección de datos, la entidad que determina de forma autónoma los fines y los medios del tratamiento de sus datos personales, asumiendo la posición de Responsable del Tratamiento, es:

  • Identidad Corporativa: Kiuro Consulting & Development OÜ (Marca comercial: ZephyrStudio)
  • Código de Registro Nacional: 17346145
  • Domicilio Registral: Harju maakond, Tallinn, Kesklinna linnaosa, Tornimäe tn 5, 10145, Estonia
  • Responsable Legal: Juan Manuel Ovalles Castro
  • Buzón Oficial de Privacidad: legal@zephyrstudio.es (Canal único y prioritario para el ejercicio de derechos RGPD y notificaciones de privacidad)

2. Inventario Categórico de Datos Personales Objeto de Tratamiento

En estricta observancia del principio de minimización de datos (artículo 5.1.c del RGPD), el cual exige que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son procesados, ZephyrStudio restringe la recopilación de información a las siguientes categorías estructurales:

  • Datos de Identificación Personal y Contacto Profesional: Nombre de pila, apellidos, dirección de correo electrónico corporativa o personal, y número de teléfono de contacto.
  • Datos Transaccionales, Económicos y de Facturación: Razón social de la empresa, Número de Identificación Fiscal (NIF/CIF/VAT), domicilio postal a efectos de facturación y registros históricos de los servicios contratados y pagos emitidos.
  • Nota de Seguridad Financiera: ZephyrStudio no almacena en sus servidores los números completos de tarjetas de crédito o credenciales bancarias; dicha información sensible es capturada y procesada íntegramente de forma encriptada mediante tokenización por pasarelas de pago externas certificadas bajo normativas PCI-DSS (como Stripe o PayPal).
  • Datos de Metría Técnica, Navegación y Sesión: Dirección del Protocolo de Internet (IP) utilizada para conectar su dispositivo a nuestros servidores, parámetros del sistema operativo, versión del navegador web, huso horario, datos de geolocalización aproximada (a nivel de red), logs de autenticación de seguridad y cookies técnicas estrictamente necesarias para mantener la persistencia de la sesión en la plataforma.

ZephyrStudio implementa un filtrado riguroso para asegurar que, bajo ninguna circunstancia, se recaben ni procesen Categorías Especiales de Datos Personales (datos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, datos biométricos, datos de salud o relativos a la orientación sexual), en estricto cumplimiento del artículo 9 del RGPD.

3. Matriz de Finalidades del Tratamiento y Bases de Legitimación Jurídica

Cualquier operación de tratamiento de datos personales ejecutada por ZephyrStudio debe estar amparada por una de las bases de licitud establecidas en el artículo 6 del RGPD. A continuación, se detalla exhaustivamente el propósito exacto de cada tratamiento y la base legal específica que nos faculta para llevarlo a cabo:

  • Gestión Operativa de Cuentas y Alta en Portalclub: Facilitar el proceso de registro, validar credenciales de autenticación, habilitar el acceso al panel de control del software y permitir la sincronización técnica con la arquitectura de nuestro socio intermediario "Portalclub".
    Base Jurídica: Art. 6.1.b (Ejecución de un contrato).
  • Gestión Administrativa, Facturación y Cobros: Administrar las suscripciones activas, procesar las transacciones financieras a través de pasarelas homologadas, emitir las facturas comerciales con validez fiscal y mantener los libros contables de la sociedad matriz estonia.
    Base Jurídica: Art. 6.1.b (Ejecución de un contrato) para el pago y Art. 6.1.c (Obligación Legal) para contabilidad estonia.
  • Provisión de Soporte Técnico y Asistencia al Usuario: Atender de forma diligente las incidencias de software, resolver consultas técnicas, proporcionar orientación sobre la plataforma y procesar reportes de vulnerabilidades.
    Base Jurídica: Art. 6.1.b (Ejecución de contrato) y Art. 6.1.f (Interés Legítimo).
  • Intermediación Institucional y Justificaciones Kit Digital (Red.es): Compartir y procesar la información técnica y administrativa (datos de implantación, facturas, evidencias) a través de Portalclub y remitirla a las Administraciones Públicas españolas (Red.es) para justificar la correcta ejecución de las soluciones de digitalización.
    Base Jurídica: Art. 6.1.c (Obligación Legal) impuesta por las bases reguladoras de la Orden ETD/1498/2021.
  • Comunicaciones Electrónicas y Marketing Corporativo: Remisión de notificaciones operacionales críticas y, exclusivamente previo consentimiento activo e inequívoco del usuario, envío de boletines periódicos (newsletters) con información sobre actualizaciones, promociones y novedades.
    Base Jurídica: Art. 6.1.a (Consentimiento Explícito) para marketing y Art. 6.1.b para correos operacionales.
  • Monitorización de Ciberseguridad y Prevención de Fraude: Análisis automatizado de logs de acceso, direcciones IP y patrones de tráfico para identificar anomalías, neutralizar ciberataques y prevenir el fraude informático.
    Base Jurídica: Art. 6.1.f (Interés Legítimo).

4. Política de Destinatarios, Cesiones de Datos y Encargados del Tratamiento

ZephyrStudio fundamenta su modelo de negocio en la prestación de servicios tecnológicos, rechazando frontalmente prácticas de mercantilización de la privacidad. Se establece como principio inamovible la prohibición de venta, alquiler, intercambio o comercialización de sus bases de datos personales a entidades terceras con fines de lucro o explotación publicitaria.

Para garantizar la plena viabilidad operativa de la infraestructura de software, la gestión económica y el cumplimiento de las obligaciones de intermediación pública, la información recabada será comunicada de forma restringida, controlada y bajo estricto mandato de confidencialidad a los siguientes destinatarios, quienes asumen el rol legal de Encargados del Tratamiento (Art. 28 RGPD):

  • Proveedores de Infraestructura Cloud y Alojamiento Web (Hosting): Entidades especializadas que proporcionan los servidores físicos y redes de distribución, garantizando certificaciones internacionales (como ISO 27001).
  • Operadores Financieros y Pasarelas de Pago: Plataformas como Stripe o PayPal, sometidas a regulaciones de la directiva europea PSD2 y estándares PCI-DSS.
  • Proveedores de Servicios de Email Marketing: Plataformas de automatización para gestionar listas de suscriptores y tramitar bajas automáticas.
  • Partner Estratégico de Intermediación (Portalclub): ZephyrStudio procederá a la comunicación interempresarial de la información técnica, de uso y de registro estrictamente esencial a la plataforma "Portalclub" para posibilitar la emisión de los acuerdos de nivel de servicio y la articulación operativa conjunta.
  • Administraciones Públicas, Organismos Gubernamentales y Fuerzas de Seguridad: En el contexto del programa "Kit Digital", se cederán evidencias de uso, facturas y certificaciones a la Entidad Pública Empresarial Red.es, entidades colaboradoras, Intervención General del Estado y tribunales de cuentas pertinentes para controles antifraude.

Protocolo sobre Transferencias Internacionales de Datos: Priorizamos proveedores con Centros de Datos dentro del Espacio Económico Europeo (EEE). En escenarios excepcionales, si los datos deben transferirse fuera (ej. EE.UU.), garantizamos que se amparen en una Decisión de Adecuación (Data Privacy Framework) o se formalicen mediante Cláusulas Contractuales Tipo (CCT) avaladas por la Comisión Europea, implementando medidas de encriptación suplementarias.

5. Política de Retención y Conservación de la Información

La información será retenida únicamente durante el lapso temporal exigible para materializar las finalidades originarias del tratamiento, o mientras persistan obligaciones legales. Los plazos se estructuran conforme a las siguientes pautas:

  • Datos de Usuarios y Suscriptores Activos: Conservados mientras el Usuario mantenga su cuenta operativa y no ejercite su derecho de supresión. Tras la solicitud de baja, la cuenta será sometida a un bloqueo lógico.
  • Archivos Económicos, de Facturación y Contabilidad: Conservados durante un período legal mínimo de siete (7) años a partir del cierre del ejercicio económico, en cumplimiento de la Ley de Contabilidad de Estonia (Estonian Accounting Act).
  • Registros Destinados al Marketing Electrónico: Tratados de forma ininterrumpida hasta que el Usuario manifieste su voluntad de revocar el consentimiento, utilice el enlace de baja o ejerza su derecho de oposición.
  • Expedientes Vinculados a Justificaciones Administrativas (Programa Kit Digital): La documentación de respaldo debe conservarse a disposición de los órganos auditores de Red.es y la Unión Europea durante los periodos de prescripción legal para la revisión de expedientes, que habitualmente oscilan entre cuatro (4) y cinco (5) años tras el cierre formal del expediente de justificación.

Una vez expirados los plazos legales y contractuales, los datos personales serán sometidos a procedimientos de destrucción definitiva mediante borrado criptográfico irreversible o anonimizados para uso estadístico.

6. Mecanismos para el Ejercicio de los Derechos del Usuario (Derechos ARCO+)

El ordenamiento jurídico europeo empodera a las personas físicas confiriéndoles un catálogo robusto de derechos sobre el control de su propia información personal. Todo Usuario ostenta la facultad irrenunciable de ejercer los siguientes derechos:

  • Derecho de Acceso: Obtener confirmación sobre si tratamos sus datos y acceder a ellos.
  • Derecho de Rectificación: Exigir la corrección de datos inexactos o incompletos.
  • Derecho de Supresión ("Derecho al Olvido"): Solicitar el borrado de sus datos (sujeto a plazos de retención legal).
  • Derecho a la Limitación del Tratamiento: Suspender temporalmente el procesamiento de sus datos en ciertas circunstancias.
  • Derecho a la Portabilidad de los Datos: Recibir los datos en un formato estructurado o transmitirlos a otro responsable tecnológico.
  • Derecho de Oposición: Oponerse al tratamiento por motivos legítimos o, en cualquier momento, al uso de datos para mercadotecnia directa.

Procedimiento Operativo: El Usuario debe redactar y enviar una solicitud escrita dirigida al buzón oficial legal@zephyrstudio.es, indicando en el asunto "EJERCICIO DE DERECHOS RGPD". Se exige que la solicitud se envíe desde la misma dirección de correo electrónico registrada en la cuenta. ZephyrStudio responderá sustantivamente en el plazo máximo e improrrogable de un (1) mes.

Derecho de Tutela ante la Autoridad de Control: Si el Usuario considera que no ha obtenido satisfacción en el ejercicio de sus derechos, tiene el derecho inalienable a presentar una reclamación formal ante la Inspección de Protección de Datos de Estonia (Andmekaitse Inspektsioon - AKI) o ante la Agencia Española de Protección de Datos (AEPD) bajo el modelo de ventanilla única europea.

7. Marco de Seguridad, Ciberdefensa y Protección Técnica

Kiuro Consulting & Development OÜ no concibe la seguridad como un complemento, sino como el núcleo arquitectónico de ZephyrStudio. Implementamos medidas de seguridad perimetral orientadas a proteger la información frente a ataques o accesos no autorizados:

  • Criptografía y Cifrado: Tráfico protegido mediante protocolos criptográficos de grado industrial (TLS 1.2 o superior, certificados SSL).
  • Gestión de Accesos (Least Privilege): Acceso restringido a personal técnico autorizado bajo autenticación multifactor (MFA) y compromisos de confidencialidad.
  • Resiliencia de Datos y Backups: Copias de seguridad automatizadas, cifradas y redundantes en ubicaciones separadas para garantizar alta disponibilidad ante incidentes.
  • Defensa Perimetral: Firewalls de Aplicaciones Web (WAF), sistemas IDS/IPS, y monitorización proactiva 24/7 de logs del sistema.

A pesar del máximo rigor técnico aplicado, es imperativo reconocer que ninguna transmisión de datos a través de Internet puede garantizar una seguridad matemática del 100%. ZephyrStudio se esfuerza en aplicar los medios más avanzados pero no puede garantizar invulnerabilidad absoluta frente a amenazas persistentes avanzadas (APT).

8. Régimen de Cookies y Tecnologías de Seguimiento

La interacción con ZephyrStudio requiere la inserción de archivos "Cookies" en el dispositivo del Usuario. Hacemos un uso exclusivo y excluyente de Cookies Técnicas, de Sesión y de Seguridad que son estrictamente imprescindibles (Strictly Necessary Cookies) para permitir la operatividad básica de la plataforma (acceso seguro, balanceo de carga, carritos de compra).

Dado su carácter consustancial para la provisión del servicio digital, la instalación de estas cookies técnicas se encuentra exenta de la obligación legal de recabar el consentimiento previo del usuario, conforme a la ePrivacy Directive y la LSSI-CE. Reiteramos que estas cookies no realizan seguimiento (tracking) externo ni elaboran perfiles publicitarios de terceros.

9. Revisión, Actualización y Vigencia de la Política de Privacidad

La agilidad del entorno digital exige que esta Política sea un documento dinámico. ZephyrStudio retiene el derecho unilateral de actualizar o enmendar esta Política en respuesta a modificaciones tecnológicas, cambios en acuerdos con Portalclub, o adaptaciones a nuevas normativas europeas.

Cualquier modificación sustancial que afecte a las bases legitimadoras o añada nuevas cesiones a terceros será notificada proactivamente a los Usuarios registrados mediante aviso destacado en el panel de control o vía correo electrónico. El uso persistente de las herramientas de ZephyrStudio tras la notificación de dichas actualizaciones será interpretado jurídicamente como aceptación tácita e inequívoca de la Política de Privacidad modificada.