Política de Privacidad
Última actualización: 9 de marzo de 2026
1. Responsable del tratamiento
Responsable: Albert Hurtado Sanz
NIF: 38844142V
Domicilio: Carrer Granollers 45, 08173 Sant Cugat del Vallès, Barcelona
Correo electrónico: info@dealforge.es
Sitio web: dealforge.es
Delegado de Protección de Datos (DPD): info@dealforge.es
2. Datos que recopilamos
Recopilamos únicamente los datos necesarios para prestar nuestro servicio. Los datos se obtienen directamente del usuario al registrarse y utilizar la plataforma:
2.1. Datos de registro y cuenta
- Nombre completo
- Dirección de correo electrónico
- Contraseña (almacenada con hash bcrypt, nunca en texto plano)
2.2. Datos de la empresa
- Nombre de la empresa, CIF/NIF
- Dirección fiscal, ciudad, país
- Teléfono, email de contacto, sitio web
- Logotipo (si se sube voluntariamente)
2.3. Datos comerciales
- Información de clientes y contactos que el usuario introduce en la plataforma
- Productos, precios y cotizaciones generadas
- Historial de actividad dentro de la plataforma
2.4. Datos de pago
Los datos de pago (tarjeta de crédito, datos bancarios) son gestionados directamente por Stripe, Inc. conforme al estándar PCI DSS Nivel 1. DealForge no almacena, procesa ni tiene acceso a los datos completos de tarjeta.
2.5. Datos técnicos
- Dirección IP (en logs del servidor, no vinculada al perfil del usuario)
- Tipo de navegador y sistema operativo (cabeceras HTTP estándar)
3. Finalidades del tratamiento
- Prestación del servicio: Permitir el acceso, configuración de productos, generación de cotizaciones y uso del asistente IA (Forge).
- Gestión de la cuenta: Autenticación, recuperación de contraseña, gestión del perfil.
- Facturación y pagos: Procesamiento de suscripciones, emisión de facturas a través de Stripe.
- Comunicaciones del servicio: Notificaciones transaccionales (confirmación de cuenta, cambio de plan, aprobación de cotizaciones, alertas de seguridad).
- Mejora del producto: Análisis agregado y anonimizado del uso de la plataforma para mejorar funcionalidades.
- Cumplimiento legal: Conservación de datos conforme a obligaciones fiscales y legales aplicables.
4. Base jurídica del tratamiento
| Tratamiento | Base jurídica (Art. 6 RGPD) |
|---|---|
| Prestación del servicio CPQ | Ejecución contractual (Art. 6.1.b) |
| Gestión de pagos y facturación | Ejecución contractual (Art. 6.1.b) |
| Envío de notificaciones del servicio | Ejecución contractual (Art. 6.1.b) |
| Conservación de datos fiscales | Obligación legal (Art. 6.1.c) |
| Mejora del producto (analytics anonimizados) | Interés legítimo (Art. 6.1.f) |
| Comunicaciones comerciales | Consentimiento (Art. 6.1.a) |
5. Destinatarios y encargados del tratamiento
No vendemos, alquilamos ni compartimos tus datos personales con terceros con fines comerciales. Los datos se comparten únicamente con los siguientes encargados del tratamiento, necesarios para la prestación del servicio:
| Proveedor | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Supabase (AWS) | Base de datos PostgreSQL | UE (eu-west-1, Irlanda) | Datos en la UE, cifrado en reposo |
| Vercel, Inc. | Alojamiento y despliegue de la aplicación | EE.UU. / UE (Edge) | EU-US Data Privacy Framework, SCCs |
| Stripe, Inc. | Procesamiento de pagos | EE.UU. / UE | PCI DSS Nivel 1, EU-US DPF, SCCs |
| Anthropic, PBC | Asistente IA (Forge) — procesamiento de consultas | EE.UU. | SCCs, datos no usados para entrenamiento |
Todos los encargados del tratamiento han suscrito contratos que garantizan el cumplimiento del RGPD conforme al artículo 28.
6. Transferencias internacionales de datos
Algunos de nuestros proveedores tienen sede en Estados Unidos. Estas transferencias se realizan con las siguientes garantías adecuadas conforme al artículo 46 del RGPD:
- EU-US Data Privacy Framework (DPF): Stripe y Vercel están adheridos al Marco de Privacidad de Datos UE-EE.UU., reconocido como adecuado por la Comisión Europea (Decisión de Adecuación de 10 de julio de 2023).
- Cláusulas Contractuales Tipo (SCCs): Todos los proveedores estadounidenses han suscrito las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914).
- Medidas suplementarias: Cifrado en tránsito (TLS 1.2+) y en reposo para todos los datos transferidos.
7. Plazos de conservación
- Datos de cuenta: Mientras se mantenga la relación contractual. Tras la baja, se conservan bloqueados durante los plazos legales aplicables.
- Datos fiscales y de facturación: 5 años conforme al artículo 70 de la Ley General Tributaria (Ley 58/2003).
- Datos comerciales (cotizaciones, clientes): 6 años conforme al artículo 30 del Código de Comercio.
- Logs técnicos: Máximo 12 meses conforme a la Ley 25/2007 de conservación de datos.
- Consentimientos: Mientras dure el tratamiento y durante los plazos de prescripción de posibles acciones legales (3 años, artículo 72 LOPD-GDD).
Transcurridos los plazos indicados, los datos se eliminan de forma segura e irreversible.
8. Derechos del interesado (ARSULIPO)
De conformidad con el RGPD y la LOPD-GDD, puedes ejercer los siguientes derechos en cualquier momento:
- Acceso (Art. 15 RGPD): Obtener confirmación de si tratamos tus datos y acceder a una copia.
- Rectificación (Art. 16 RGPD): Solicitar la corrección de datos inexactos o incompletos.
- Supresión (Art. 17 RGPD): Solicitar la eliminación de tus datos cuando ya no sean necesarios, retires el consentimiento o te opongas al tratamiento.
- Limitación (Art. 18 RGPD): Solicitar la limitación del tratamiento en determinadas circunstancias.
- Portabilidad (Art. 20 RGPD): Recibir tus datos en formato estructurado, de uso común y lectura mecánica (JSON/CSV).
- Oposición (Art. 21 RGPD): Oponerte al tratamiento basado en interés legítimo o para fines de marketing directo.
Cómo ejercer tus derechos: Envía un correo a info@dealforge.es indicando tu nombre, email asociado a la cuenta y el derecho que deseas ejercer. Responderemos en un plazo máximo de 30 días. La solicitud es gratuita, salvo peticiones manifiestamente infundadas o excesivas.
10. Menores de edad
DealForge es un servicio B2B dirigido a empresas y profesionales. No está destinado a menores de 18 años. No recopilamos conscientemente datos personales de menores. Si detectamos que un menor se ha registrado, procederemos a eliminar su cuenta y datos personales de inmediato. Si eres padre, madre o tutor legal y crees que un menor ha proporcionado datos personales, contáctanos en info@dealforge.es.
11. Medidas de seguridad
Implementamos medidas técnicas y organizativas adecuadas conforme al artículo 32 del RGPD:
- Cifrado en tránsito: Todas las comunicaciones se realizan sobre HTTPS con TLS 1.2 o superior.
- Cifrado en reposo: La base de datos utiliza cifrado AES-256 en reposo (Supabase/AWS).
- Hashing de contraseñas: Las contraseñas se almacenan con hash bcrypt con salt, imposibilitando su recuperación.
- Tokens de sesión: JWT firmados con clave secreta, con expiración temporal.
- Cabeceras de seguridad: HSTS, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy, Permissions-Policy.
- Principio de mínimo privilegio: Cada componente del sistema accede únicamente a los datos estrictamente necesarios.
12. Modificaciones de esta política
Nos reservamos el derecho de actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas o por motivos legales. En caso de modificaciones sustanciales, te notificaremos con al menos 30 días de antelación mediante correo electrónico o aviso dentro de la plataforma. La fecha de la última actualización se indica al principio de este documento.
13. Autoridad de control
Si consideras que el tratamiento de tus datos personales vulnera la normativa vigente, tienes derecho a presentar una reclamación ante la autoridad de control competente:
Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6 — 28001 Madrid
Web: www.aepd.es
Teléfono: 901 100 099
No obstante, te rogamos que antes de acudir a la autoridad de control contactes con nosotros en info@dealforge.es para intentar resolver cualquier cuestión de forma amistosa.
¿Tienes dudas sobre nuestra política de privacidad?
info@dealforge.es