Politica de Privacidad — España
Ultima actualizacion: 20 de mayo de 2026
1. Responsable del Tratamiento
cepaos LLC, sociedad de responsabilidad limitada constituida en el Estado de Wyoming, Estados Unidos, es responsable del tratamiento de los datos personales recopilados a traves de la plataforma cepaos ("la Plataforma").
- Correo de contacto: privacidad@cepaos.com
- Delegado de proteccion de datos: dpo@cepaos.com
Representante en la UE (Art. 27 RGPD): La designacion de un representante en la Union Europea conforme al articulo 27 del Reglamento General de Proteccion de Datos esta en proceso de formalizacion. Los datos de contacto definitivos se publicaran en un plazo maximo de 14 dias. Mientras tanto, las consultas sobre proteccion de datos de residentes de la UE pueden dirigirse a privacy@cepaos.com.
2. Datos Personales que Recopilamos
2.1 Datos Proporcionados por el Usuario
- Nombre completo y cargo
- Direccion de correo electronico
- Numero de telefono (opcional)
- Nombre de la organizacion, identificacion fiscal y domicilio
- Informacion de facturacion y metodos de pago (procesados por dLocalGo o Stripe segun mercado)
- Datos de perfil y preferencias de la cuenta
2.2 Datos Recopilados Automaticamente
- Direccion IP y datos de geolocalizacion aproximada
- Tipo de navegador y sistema operativo
- Paginas visitadas, tiempo de permanencia y flujos de navegacion
- Identificadores de dispositivo y cookies (ver Politica de Cookies)
- Registros de acceso y logs de seguridad
2.3 Datos de la Organizacion
El Usuario puede ingresar datos operativos de su organizacion (inventarios, lotes, procesos productivos, datos comerciales). Estos datos se tratan conforme a los Terminos y Condiciones y al Acuerdo Marco de Servicios aplicable. cepaos trata dichos datos como informacion confidencial del Cliente.
3. Bases Legales del Tratamiento
Tratamos datos personales sobre las siguientes bases legales:
- Ejecucion contractual: para prestar el servicio contratado y gestionar la cuenta del Usuario.
- Consentimiento: para comunicaciones de marketing, analitica no esencial y cookies opcionales. El consentimiento puede retirarse en cualquier momento.
- Interes legitimo: para mejorar la seguridad de la plataforma, prevenir fraudes y generar analitica agregada.
- Obligacion legal: para cumplir con obligaciones fiscales, registros contables y requerimientos de autoridades competentes.
4. Finalidades del Tratamiento
- Prestar y mantener el servicio de la Plataforma
- Gestionar la cuenta, autenticacion y control de accesos
- Procesar pagos y facturacion
- Enviar notificaciones operativas y de seguridad
- Proporcionar soporte tecnico al Usuario
- Mejorar la Plataforma mediante analitica agregada y anonimizada
- Cumplir con obligaciones legales y regulatorias
- Prevenir fraudes y garantizar la seguridad de la Plataforma
- Enviar comunicaciones de marketing (solo con consentimiento)
5. Comparticion de Datos
cepaos no vende datos personales. Compartimos datos unicamente con:
5.1 Subprocesadores
Los siguientes proveedores procesan datos personales por cuenta de cepaos bajo contratos de tratamiento (DPA) y, cuando aplica, con las Clausulas Contractuales Tipo (SCC) de la Comision Europea o adhesion al EU-U.S. Data Privacy Framework como mecanismo de transferencia internacional. Para mayor detalle veanse las Secciones 6 y 10.
| Proveedor | Funcion | Ubicacion | Base / mecanismo legal |
|---|---|---|---|
| Stripe Inc. | Procesador de pagos (non-LATAM) | Estados Unidos | EU-U.S. DPF + SCC + Stripe DPA |
| dLocal Pty Ltd | Procesador de pagos (LATAM) | Uruguay | Equivalencia GDPR (Decision UE 2012) + DPA |
| Supabase Inc. | Base de datos y autenticacion | EE.UU. / UE | SCC + Supabase DPA |
| Railway Corp. | Hosting de aplicacion | Estados Unidos | SCC + Railway DPA |
| Cloudflare Inc. | CDN y proteccion DDoS | Estados Unidos (red global) | EU-U.S. DPF + SCC + Cloudflare DPA |
| Upstash Inc. | Cache y rate limiting (Redis) | Estados Unidos | SCC + Upstash DPA |
| Resend Inc. | Correo transaccional | Estados Unidos | SCC + Resend DPA |
| Sentry / Functional Software | Monitoreo de errores | Estados Unidos | SCC + Sentry DPA |
| PostHog Inc. | Analitica de producto (con consentimiento) | Estados Unidos / UE | SCC + PostHog DPA |
Datos compartidos con Stripe (Usuarios non-LATAM): correo electronico del administrador, nombre de la organizacion, identificador Stripe Customer ID y Stripe PaymentMethod ID (tokenizado). cepaos no recibe ni almacena el numero de tarjeta.
Datos compartidos con dLocal Go (Usuarios LATAM): correo electronico del administrador, identificador de cliente y token de tarjeta. cepaos no recibe ni almacena el numero de tarjeta.
5.2 Autoridades
Podemos divulgar datos personales cuando lo requiera una orden judicial, requerimiento de autoridad competente o cuando sea necesario para proteger derechos, propiedad o seguridad de cepaos, nuestros usuarios o el publico.
6. Transferencias Internacionales
Los datos personales pueden transferirse a paises fuera de la jurisdiccion del Usuario, incluyendo Estados Unidos. Aplicamos las siguientes salvaguardas:
- Clausulas contractuales tipo (SCC) aprobadas por la Comision Europea
- Evaluaciones de impacto de transferencia cuando corresponde
- Acuerdos de procesamiento de datos (DPA) con todos los subprocesadores
- Cifrado en transito (TLS 1.3) y en reposo (AES-256)
7. Retencion de Datos
- Datos de cuenta: durante la vigencia de la suscripcion mas 30 dias tras la cancelacion.
- Registros de facturacion: 10 anos (obligacion legal fiscal).
- Logs de seguridad: 12 meses.
- Datos de analitica: 24 meses en formato agregado y anonimizado.
- Copias de seguridad: eliminadas dentro de los 90 dias posteriores a la eliminacion de los datos originales.
8. Seguridad
Implementamos medidas tecnicas y organizativas para proteger los datos personales, incluyendo:
- Cifrado en transito (TLS 1.3) y en reposo (AES-256)
- Aislamiento multi-tenant con Row Level Security (RLS) en PostgreSQL
- Autenticacion con tokens seguros via Supabase Auth
- Rate limiting y proteccion contra ataques de fuerza bruta
- Monitoreo continuo de seguridad y alertas automatizadas
- Acceso restringido basado en roles (RBAC)
- Auditorias periodicas de seguridad
9. Derechos del Titular de los Datos
Segun la legislacion aplicable, el Usuario tiene los siguientes derechos:
- Acceso: solicitar una copia de los datos personales que conservamos.
- Rectificacion: corregir datos inexactos o incompletos.
- Supresion: solicitar la eliminacion de datos personales.
- Portabilidad: recibir datos en formato estructurado y legible por maquina (CSV, JSON).
- Oposicion: oponerse al tratamiento basado en interes legitimo.
- Limitacion: restringir temporalmente el tratamiento en ciertos casos.
- Retiro del consentimiento: retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.
Para ejercer estos derechos, contacte a privacidad@cepaos.com. Responderemos dentro de los plazos previstos por la ley aplicable a su jurisdiccion (ver Seccion 10).
10. Cumplimiento — España (RGPD + LOPDGDD)
RGPD Reglamento General de Proteccion de Datos
Para usuarios en España, cepaos cumple con el Reglamento (UE) 2016/679 (RGPD) y la Ley Organica 3/2018 de Proteccion de Datos Personales y Garantia de los Derechos Digitales (LOPDGDD).
Bases Juridicas (RGPD art. 6)
- Art. 6(1)(a) — Consentimiento: marketing, analitica no esencial, cookies opcionales.
- Art. 6(1)(b) — Ejecucion del contrato: prestacion del servicio.
- Art. 6(1)(c) — Obligacion legal: facturacion, registros contables.
- Art. 6(1)(f) — Interes legitimo: seguridad, prevencion de fraude, analitica agregada.
Derechos del Interesado (RGPD arts. 15-22)
Plazo general de respuesta: 1 mes desde la recepcion (prorrogable a 2 meses adicionales en casos complejos conforme art. 12.3 RGPD).
- Acceso (art. 15)
- Rectificacion (art. 16)
- Supresion / derecho al olvido (art. 17)
- Limitacion del tratamiento (art. 18)
- Portabilidad (art. 20)
- Oposicion (art. 21)
- Decisiones automatizadas y elaboracion de perfiles (art. 22) — cepaos no realiza decisiones individuales automatizadas con efectos juridicos.
Delegado de Proteccion de Datos (DPO)
cepaos ha designado un Delegado de Proteccion de Datos contactable en dpo@cepaos.com. El DPO actua como punto de contacto con la AEPD y supervisa el cumplimiento del RGPD conforme a los arts. 37-39.
Representante en la UE (RGPD art. 27)
Como cepaos LLC esta establecida fuera de la UE, la designacion de un representante en la Union Europea conforme al articulo 27 del RGPD esta en proceso de formalizacion. Los datos de contacto definitivos se publicaran en un plazo maximo de 14 dias. Hasta su nombramiento, las consultas sobre proteccion de datos pueden enviarse a privacy@cepaos.com.
Transferencias Internacionales (RGPD cap. V)
Las transferencias a Estados Unidos se realizan mediante Clausulas Contractuales Tipo (SCC) 2021/914 de la Comision Europea. Realizamos Transfer Impact Assessments (TIA) cuando corresponde.
Autoridad de Control — AEPD
El interesado tiene derecho a presentar reclamacion ante la Agencia Española de Proteccion de Datos (AEPD): https://www.aepd.es.
11. Menores de Edad
La Plataforma esta dirigida exclusivamente a operaciones comerciales (B2B) y no recopila intencionalmente datos de menores de 18 anos. Si tomamos conocimiento de que hemos recopilado datos de un menor, procederemos a eliminarlos de inmediato.
12. Modificaciones a esta Politica
cepaos puede actualizar esta Politica de Privacidad periodicamente. Las modificaciones se notificaran con al menos 30 dias de anticipacion por correo electronico y/o aviso en la Plataforma. La fecha de la ultima actualizacion se indica al inicio de este documento.
13. Contacto
Para consultas sobre privacidad y proteccion de datos:
- Privacidad: privacidad@cepaos.com
- DPO: dpo@cepaos.com
- cepaos LLC — Wyoming, Estados Unidos
Estos términos pueden ser actualizados periódicamente. La versión vigente es la publicada en cepaos.com. Para consultas legales, escribí a legal@cepaos.com.