DealForgeDealForge

Cumplimiento RGPD

Ultima actualizacion: 9 de marzo de 2026

DealForge se compromete firmemente con el cumplimiento del Reglamento (UE) 2016/679 (Reglamento General de Proteccion de Datos — RGPD) y la Ley Organica 3/2018, de 5 de diciembre, de Proteccion de Datos Personales y Garantia de los Derechos Digitales (LOPD-GDD). Esta pagina detalla las medidas tecnicas, organizativas y legales que implementamos para proteger los datos personales de nuestros usuarios y sus clientes.

1. Principios del tratamiento de datos

Todos los tratamientos de datos personales realizados por DealForge se rigen por los principios establecidos en el articulo 5 del RGPD:

Licitud, lealtad y transparencia

Tratamos los datos de forma licita, leal y transparente. Los usuarios conocen en todo momento que datos recopilamos y para que.

Limitacion de la finalidad

Los datos se recogen para fines determinados, explicitos y legitimos, y no se tratan posteriormente de manera incompatible con dichos fines.

Minimizacion de datos

Solo recopilamos los datos estrictamente necesarios para cada finalidad. No solicitamos informacion innecesaria.

Exactitud

Mantenemos los datos actualizados y facilitamos al usuario herramientas para corregirlos en cualquier momento.

Limitacion del plazo de conservacion

Los datos se conservan durante el tiempo estrictamente necesario y conforme a los plazos legales establecidos.

Integridad y confidencialidad

Aplicamos medidas tecnicas y organizativas para garantizar la seguridad de los datos contra el tratamiento no autorizado, la perdida o la destruccion.

Responsabilidad proactiva

Documentamos y demostramos el cumplimiento de todos estos principios de forma continua.

2. Bases legales por tipo de tratamiento

Actividad de tratamientoDatos tratadosBase juridicaConservacion
Registro de usuarioNombre, email, contrasena (hash)Ejecucion contractual (6.1.b)Duracion del contrato + plazos legales
Prestacion del servicio CPQDatos empresa, productos, clientes, cotizacionesEjecucion contractual (6.1.b)Duracion del contrato + 30 dias
Procesamiento de pagosEmail, plan, ID StripeEjecucion contractual (6.1.b)5 anos (obligacion fiscal)
Asistente IA (Forge)Consultas en contexto de la paginaEjecucion contractual (6.1.b)No se almacenan conversaciones
Notificaciones transaccionalesEmail, nombreEjecucion contractual (6.1.b)Duracion del contrato
Datos fiscalesCIF, direccion fiscal, facturasObligacion legal (6.1.c)5 anos (Ley Tributaria)
Mejora del servicioDatos agregados y anonimizadosInteres legitimo (6.1.f)Indefinido (datos anonimos)

3. Medidas de seguridad tecnicas

Conforme al articulo 32 del RGPD, implementamos las siguientes medidas tecnicas de seguridad:

3.1. Cifrado

  • En transito: Todas las comunicaciones se realizan sobre HTTPS con TLS 1.2 o superior. Se aplica HSTS (HTTP Strict Transport Security) con directiva preload.
  • En reposo: La base de datos PostgreSQL (Supabase/AWS) utiliza cifrado AES-256 en reposo para todos los volumenes de datos.

3.2. Autenticacion y control de acceso

  • Hashing de contrasenas: bcrypt con salt aleatorio por usuario. Las contrasenas nunca se almacenan en texto plano ni son recuperables.
  • Tokens de sesion: JWT (JSON Web Tokens) firmados con clave secreta de 256 bits, con expiracion temporal configurable.
  • Cookies seguras: HttpOnly, Secure, SameSite=Lax — inaccesibles desde JavaScript del cliente.

3.3. Cabeceras de seguridad HTTP

  • X-Frame-Options: DENY — Proteccion contra clickjacking.
  • X-Content-Type-Options: nosniff — Prevencion de MIME sniffing.
  • Referrer-Policy: strict-origin-when-cross-origin — Control de informacion del referrer.
  • Permissions-Policy — Restriccion de acceso a camara, microfono y geolocalizacion.
  • Strict-Transport-Security — HSTS con max-age de 2 anos, includeSubDomains y preload.

3.4. Infraestructura

  • Base de datos alojada en la region UE (eu-west-1, Irlanda) de AWS a traves de Supabase.
  • Copias de seguridad automaticas diarias de la base de datos.
  • Despliegue en Vercel con edge network global y aislamiento de funciones.
  • Variables de entorno cifradas en el servidor — nunca expuestas al cliente.

4. Medidas de seguridad organizativas

  • Principio de minimo privilegio: Cada componente del sistema y cada miembro del equipo accede unicamente a los datos estrictamente necesarios para su funcion.
  • Separacion de entornos: Los entornos de desarrollo, pruebas y produccion estan aislados. Los datos de produccion nunca se utilizan en desarrollo.
  • Revision de codigo: Todo el codigo que accede a datos personales se revisa antes de su despliegue en produccion.
  • Gestion de vulnerabilidades: Monitorizacion continua de dependencias y actualizaciones de seguridad.
  • Control de acceso a infraestructura: Acceso a bases de datos y servidores restringido con autenticacion multifactor.

5. Subencargados del tratamiento

Conforme al articulo 28.2 del RGPD, informamos de los subencargados del tratamiento autorizados con los que compartimos datos personales:

SubencargadoServicioDatos tratadosUbicacionGarantias
Supabase, Inc.
(sobre AWS)		Base de datos PostgreSQLTodos los datos de la aplicacionUE (Irlanda, eu-west-1)Datos en UE, cifrado AES-256 en reposo, DPA firmado
Vercel, Inc.Alojamiento web y ejecucion serverlessPeticiones HTTP, logs de accesoEE.UU. y UE (Edge)EU-US DPF, SCCs (Decision 2021/914), DPA
Stripe, Inc.Procesamiento de pagosEmail, nombre, datos de tarjeta (gestionados por Stripe)EE.UU. y UEPCI DSS Nivel 1, EU-US DPF, SCCs, DPA
Anthropic, PBCModelo de IA para asistente ForgeConsultas del usuario en contexto de la paginaEE.UU.SCCs, datos no usados para entrenamiento, zero-retention API

Todos los subencargados han firmado Acuerdos de Encargo del Tratamiento (DPA) conformes al articulo 28 del RGPD. Los usuarios seran notificados con antelacion de cualquier cambio en la lista de subencargados.

6. Derechos del interesado

De conformidad con los articulos 15 a 22 del RGPD y los articulos 13 a 18 de la LOPD-GDD, los interesados pueden ejercer los siguientes derechos:

Derecho de acceso (Art. 15)

Obtener confirmacion de si se tratan datos personales y, en su caso, acceder a una copia de los mismos junto con la informacion del articulo 15.1.

Derecho de rectificacion (Art. 16)

Solicitar la correccion de datos personales inexactos o completar los que sean incompletos.

Derecho de supresion — «derecho al olvido» (Art. 17)

Solicitar la eliminacion de los datos personales cuando ya no sean necesarios, se retire el consentimiento, se oponga al tratamiento, se hayan tratado ilicitamente, o deba cumplirse una obligacion legal.

Derecho a la limitacion del tratamiento (Art. 18)

Solicitar la limitacion del tratamiento cuando se impugne la exactitud de los datos, el tratamiento sea ilicito, los datos ya no sean necesarios pero el interesado los necesite para reclamaciones, o se haya ejercido el derecho de oposicion.

Derecho a la portabilidad (Art. 20)

Recibir los datos personales en un formato estructurado, de uso comun y lectura mecanica (JSON o CSV), y transmitirlos a otro responsable.

Derecho de oposicion (Art. 21)

Oponerse al tratamiento de datos basado en interes legitimo o destinado a marketing directo.

Derecho a no ser objeto de decisiones automatizadas (Art. 22)

No ser sometido a decisiones basadas unicamente en el tratamiento automatizado que produzcan efectos juridicos o le afecten significativamente. Las sugerencias del asistente IA son meramente orientativas y no constituyen decisiones automatizadas.

Como ejercer tus derechos

Envia un correo electronico a info@dealforge.es indicando:

  • Tu nombre completo y direccion de correo asociada a la cuenta.
  • El derecho que deseas ejercer.
  • Copia del documento de identidad (DNI/NIE/Pasaporte) para verificar tu identidad.

Plazo de respuesta: Maximo 30 dias desde la recepcion de la solicitud. Prorrogable 2 meses en caso de solicitudes complejas o numerosas, informando al interesado en el plazo del primer mes.

Coste: Gratuito, salvo solicitudes manifiestamente infundadas o excesivas (Art. 12.5 RGPD).

7. Registro de actividades de tratamiento (RAT)

Conforme al articulo 30 del RGPD, DealForge mantiene un Registro de Actividades de Tratamiento actualizado. A continuacion se presenta un resumen:

ActividadCategorias de interesadosCategorias de datosPlazo supresion
Gestion de usuariosUsuarios registradosIdentificativos, contactoBaja + plazos legales
Gestion comercial (CPQ)Clientes del usuarioIdentificativos, comercialesBaja + 6 anos (C. Comercio)
FacturacionUsuarios con plan de pagoIdentificativos, economicos5 anos (L. Tributaria)
Asistente IAUsuarios activosConsultas (no almacenadas)No se conservan

8. Notificacion de brechas de seguridad

DealForge dispone de un protocolo de gestion de brechas de seguridad conforme a los articulos 33 y 34 del RGPD:

  • Deteccion: Monitorizacion continua de la infraestructura para la deteccion temprana de incidentes de seguridad.
  • Notificacion a la AEPD: En caso de brecha que pueda suponer un riesgo para los derechos y libertades de los interesados, se notificara a la Agencia Espanola de Proteccion de Datos en un plazo maximo de 72 horas desde su deteccion (Art. 33 RGPD).
  • Notificacion a los afectados: Si la brecha puede entrañar un alto riesgo para los derechos y libertades, se comunicara a los interesados afectados sin dilacion indebida (Art. 34 RGPD).
  • Documentacion: Toda brecha de seguridad se documenta con detalle incluyendo: naturaleza de la violacion, categorias y numero de interesados afectados, consecuencias probables y medidas adoptadas.
  • Remediacion: Implementacion inmediata de medidas correctivas para contener la brecha y prevenir su recurrencia.

9. Evaluacion de Impacto en la Proteccion de Datos (EIPD)

Conforme al articulo 35 del RGPD, DealForge ha realizado una Evaluacion de Impacto en relacion con:

  • Uso de Inteligencia Artificial (Forge): El asistente IA procesa consultas del usuario en el contexto de la plataforma. Se ha evaluado el impacto y se han implementado las siguientes mitigaciones:
    • Las consultas no se almacenan ni se utilizan para entrenar modelos de IA.
    • No se envian datos personales de clientes del usuario al modelo de IA — solo el contexto de la pagina actual.
    • Las respuestas son meramente orientativas y no generan decisiones automatizadas con efectos juridicos.
  • Tratamiento de datos comerciales: El procesamiento de datos de clientes y cotizaciones se realiza en la UE con las medidas de seguridad descritas en las secciones 3 y 4.

10. Transferencias internacionales de datos

Cuando los datos personales se transfieren fuera del Espacio Economico Europeo (EEE), se aplican las siguientes garantias conforme al Capitulo V del RGPD:

  • Decision de adecuacion: Las transferencias a EE.UU. se amparan en el EU-US Data Privacy Framework (Decision de Adecuacion de la Comision Europea de 10 de julio de 2023) para los proveedores certificados (Stripe, Vercel).
  • Clausulas Contractuales Tipo (SCCs): Como garantia adicional, todos los proveedores estadounidenses han suscrito las SCCs aprobadas por la Comision Europea (Decision de Ejecucion 2021/914).
  • Medidas suplementarias: Cifrado de datos en transito y en reposo, pseudonimizacion cuando es posible, y analisis caso por caso del marco legal del pais de destino.

La base de datos principal se aloja en la UE (Irlanda). Solo los servicios de hosting (Vercel), pagos (Stripe) e IA (Anthropic) pueden implicar transferencias a EE.UU., siempre con las garantias descritas.

11. Politica de cookies

DealForge utiliza exclusivamente cookies tecnicas y estrictamente necesarias:

CookieTipoFinalidadDuracionTitularidad
sessionTecnica esencialAutenticacion del usuario (JWT)7 dias o cierre de sesionPropia

No utilizamos cookies de terceros, cookies analiticas, cookies publicitarias ni cookies de seguimiento. Al utilizar unicamente cookies tecnicas esenciales exentas conforme al articulo 22.2 de la LSSI-CE y la guia de la AEPD sobre el uso de cookies, no es necesario solicitar el consentimiento del usuario ni mostrar un banner de cookies.

12. DealForge como encargado del tratamiento

Cuando nuestros usuarios introducen datos de sus propios clientes en la plataforma, DealForge actua como encargado del tratamiento (Art. 28 RGPD) y el usuario como responsable del tratamiento. En este caso:

  • DealForge trata los datos unicamente para prestar el servicio contratado, conforme a las instrucciones del usuario.
  • No utilizamos los datos de los clientes del usuario para fines propios ni los compartimos con terceros no autorizados.
  • Garantizamos las mismas medidas de seguridad tecnicas y organizativas descritas en este documento.
  • Asistimos al usuario en el cumplimiento de sus obligaciones como responsable del tratamiento, incluyendo la atencion a solicitudes de derechos de sus interesados.
  • A la finalizacion del servicio, suprimimos o devolvemos los datos segun la eleccion del usuario.

Los usuarios que traten datos personales de sus clientes a traves de DealForge deben asegurarse de contar con la base juridica adecuada y de informar a sus interesados conforme al RGPD.

13. Delegado de Proteccion de Datos (DPD)

Para cualquier cuestion relacionada con el tratamiento de datos personales o el ejercicio de tus derechos, puedes contactar con nuestro Delegado de Proteccion de Datos:

Delegado de Proteccion de Datos — DealForge

Email: info@dealforge.es

Si consideras que no hemos atendido adecuadamente tu solicitud, puedes presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD)www.aepd.es — C/ Jorge Juan, 6 — 28001 Madrid.

¿Tienes dudas sobre nuestro cumplimiento del RGPD?

info@dealforge.es
Politica de privacidad|Terminos de servicio