DealForgeDealForge

Cumplimiento RGPD

Última actualización: 9 de marzo de 2026

DealForge se compromete firmemente con el cumplimiento del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos — RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD). Esta página detalla las medidas técnicas, organizativas y legales que implementamos para proteger los datos personales de nuestros usuarios y sus clientes.

1. Principios del tratamiento de datos

Todos los tratamientos de datos personales realizados por DealForge se rigen por los principios establecidos en el artículo 5 del RGPD:

Licitud, lealtad y transparencia

Tratamos los datos de forma lícita, leal y transparente. Los usuarios conocen en todo momento qué datos recopilamos y para qué.

Limitación de la finalidad

Los datos se recogen para fines determinados, explícitos y legítimos, y no se tratan posteriormente de manera incompatible con dichos fines.

Minimización de datos

Solo recopilamos los datos estrictamente necesarios para cada finalidad. No solicitamos información innecesaria.

Exactitud

Mantenemos los datos actualizados y facilitamos al usuario herramientas para corregirlos en cualquier momento.

Limitación del plazo de conservación

Los datos se conservan durante el tiempo estrictamente necesario y conforme a los plazos legales establecidos.

Integridad y confidencialidad

Aplicamos medidas técnicas y organizativas para garantizar la seguridad de los datos contra el tratamiento no autorizado, la pérdida o la destrucción.

Responsabilidad proactiva

Documentamos y demostramos el cumplimiento de todos estos principios de forma continua.

2. Bases legales por tipo de tratamiento

Actividad de tratamientoDatos tratadosBase jurídicaConservación
Registro de usuarioNombre, email, contraseña (hash)Ejecución contractual (6.1.b)Duración del contrato + plazos legales
Prestación del servicio CPQDatos empresa, productos, clientes, cotizacionesEjecución contractual (6.1.b)Duración del contrato + 30 días
Procesamiento de pagosEmail, plan, ID StripeEjecución contractual (6.1.b)5 años (obligación fiscal)
Asistente IA (Forge)Consultas en contexto de la páginaEjecución contractual (6.1.b)No se almacenan conversaciones
Notificaciones transaccionalesEmail, nombreEjecución contractual (6.1.b)Duración del contrato
Datos fiscalesCIF, dirección fiscal, facturasObligación legal (6.1.c)5 años (Ley Tributaria)
Mejora del servicioDatos agregados y anonimizadosInterés legítimo (6.1.f)Indefinido (datos anónimos)

3. Medidas de seguridad técnicas

Conforme al artículo 32 del RGPD, implementamos las siguientes medidas técnicas de seguridad:

3.1. Cifrado

  • En tránsito: Todas las comunicaciones se realizan sobre HTTPS con TLS 1.2 o superior. Se aplica HSTS (HTTP Strict Transport Security) con directiva preload.
  • En reposo: La base de datos PostgreSQL (Supabase/AWS) utiliza cifrado AES-256 en reposo para todos los volúmenes de datos.

3.2. Autenticación y control de acceso

  • Hashing de contraseñas: bcrypt con salt aleatorio por usuario. Las contraseñas nunca se almacenan en texto plano ni son recuperables.
  • Tokens de sesión: JWT (JSON Web Tokens) firmados con clave secreta de 256 bits, con expiración temporal configurable.
  • Cookies seguras: HttpOnly, Secure, SameSite=Lax — inaccesibles desde JavaScript del cliente.

3.3. Cabeceras de seguridad HTTP

  • X-Frame-Options: DENY — Protección contra clickjacking.
  • X-Content-Type-Options: nosniff — Prevención de MIME sniffing.
  • Referrer-Policy: strict-origin-when-cross-origin — Control de información del referrer.
  • Permissions-Policy — Restricción de acceso a cámara, micrófono y geolocalización.
  • Strict-Transport-Security — HSTS con max-age de 2 años, includeSubDomains y preload.

3.4. Infraestructura

  • Base de datos alojada en la región UE (eu-west-1, Irlanda) de AWS a través de Supabase.
  • Copias de seguridad automáticas diarias de la base de datos.
  • Despliegue en Vercel con edge network global y aislamiento de funciones.
  • Variables de entorno cifradas en el servidor — nunca expuestas al cliente.

4. Medidas de seguridad organizativas

  • Principio de mínimo privilegio: Cada componente del sistema y cada miembro del equipo accede únicamente a los datos estrictamente necesarios para su función.
  • Separación de entornos: Los entornos de desarrollo, pruebas y producción están aislados. Los datos de producción nunca se utilizan en desarrollo.
  • Revisión de código: Todo el código que accede a datos personales se revisa antes de su despliegue en producción.
  • Gestión de vulnerabilidades: Monitorización continua de dependencias y actualizaciones de seguridad.
  • Control de acceso a infraestructura: Acceso a bases de datos y servidores restringido con autenticación multifactor.

5. Subencargados del tratamiento

Conforme al artículo 28.2 del RGPD, informamos de los subencargados del tratamiento autorizados con los que compartimos datos personales:

SubencargadoServicioDatos tratadosUbicaciónGarantías
Supabase, Inc.
(sobre AWS)		Base de datos PostgreSQLTodos los datos de la aplicaciónUE (Irlanda, eu-west-1)Datos en UE, cifrado AES-256 en reposo, DPA firmado
Vercel, Inc.Alojamiento web y ejecución serverlessPeticiones HTTP, logs de accesoEE.UU. y UE (Edge)EU-US DPF, SCCs (Decisión 2021/914), DPA
Stripe, Inc.Procesamiento de pagosEmail, nombre, datos de tarjeta (gestionados por Stripe)EE.UU. y UEPCI DSS Nivel 1, EU-US DPF, SCCs, DPA
Anthropic, PBCModelo de IA para asistente ForgeConsultas del usuario en contexto de la páginaEE.UU.SCCs, datos no usados para entrenamiento, zero-retention API

Todos los subencargados han firmado Acuerdos de Encargo del Tratamiento (DPA) conformes al artículo 28 del RGPD. Los usuarios serán notificados con antelación de cualquier cambio en la lista de subencargados.

6. Derechos del interesado

De conformidad con los artículos 15 a 22 del RGPD y los artículos 13 a 18 de la LOPD-GDD, los interesados pueden ejercer los siguientes derechos:

Derecho de acceso (Art. 15)

Obtener confirmación de si se tratan datos personales y, en su caso, acceder a una copia de los mismos junto con la información del artículo 15.1.

Derecho de rectificación (Art. 16)

Solicitar la corrección de datos personales inexactos o completar los que sean incompletos.

Derecho de supresión — «derecho al olvido» (Art. 17)

Solicitar la eliminación de los datos personales cuando ya no sean necesarios, se retire el consentimiento, se oponga al tratamiento, se hayan tratado ilícitamente, o deba cumplirse una obligación legal.

Derecho a la limitación del tratamiento (Art. 18)

Solicitar la limitación del tratamiento cuando se impugne la exactitud de los datos, el tratamiento sea ilícito, los datos ya no sean necesarios pero el interesado los necesite para reclamaciones, o se haya ejercido el derecho de oposición.

Derecho a la portabilidad (Art. 20)

Recibir los datos personales en un formato estructurado, de uso común y lectura mecánica (JSON o CSV), y transmitirlos a otro responsable.

Derecho de oposición (Art. 21)

Oponerse al tratamiento de datos basado en interés legítimo o destinado a marketing directo.

Derecho a no ser objeto de decisiones automatizadas (Art. 22)

No ser sometido a decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente. Las sugerencias del asistente IA son meramente orientativas y no constituyen decisiones automatizadas.

Cómo ejercer tus derechos

Envía un correo electrónico a info@dealforge.es indicando:

  • Tu nombre completo y dirección de correo asociada a la cuenta.
  • El derecho que deseas ejercer.
  • Copia del documento de identidad (DNI/NIE/Pasaporte) para verificar tu identidad.

Plazo de respuesta: Máximo 30 días desde la recepción de la solicitud. Prorrogable 2 meses en caso de solicitudes complejas o numerosas, informando al interesado en el plazo del primer mes.

Coste: Gratuito, salvo solicitudes manifiestamente infundadas o excesivas (Art. 12.5 RGPD).

7. Registro de actividades de tratamiento (RAT)

Conforme al artículo 30 del RGPD, DealForge mantiene un Registro de Actividades de Tratamiento actualizado. A continuación se presenta un resumen:

ActividadCategorías de interesadosCategorías de datosPlazo supresión
Gestión de usuariosUsuarios registradosIdentificativos, contactoBaja + plazos legales
Gestión comercial (CPQ)Clientes del usuarioIdentificativos, comercialesBaja + 6 años (C. Comercio)
FacturaciónUsuarios con plan de pagoIdentificativos, económicos5 años (L. Tributaria)
Asistente IAUsuarios activosConsultas (no almacenadas)No se conservan

8. Notificación de brechas de seguridad

DealForge dispone de un protocolo de gestión de brechas de seguridad conforme a los artículos 33 y 34 del RGPD:

  • Detección: Monitorización continua de la infraestructura para la detección temprana de incidentes de seguridad.
  • Notificación a la AEPD: En caso de brecha que pueda suponer un riesgo para los derechos y libertades de los interesados, se notificará a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde su detección (Art. 33 RGPD).
  • Notificación a los afectados: Si la brecha puede entrañar un alto riesgo para los derechos y libertades, se comunicará a los interesados afectados sin dilación indebida (Art. 34 RGPD).
  • Documentación: Toda brecha de seguridad se documenta con detalle incluyendo: naturaleza de la violación, categorías y número de interesados afectados, consecuencias probables y medidas adoptadas.
  • Remediación: Implementación inmediata de medidas correctivas para contener la brecha y prevenir su recurrencia.

9. Evaluación de Impacto en la Protección de Datos (EIPD)

Conforme al artículo 35 del RGPD, DealForge ha realizado una Evaluación de Impacto en relación con:

  • Uso de Inteligencia Artificial (Forge): El asistente IA procesa consultas del usuario en el contexto de la plataforma. Se ha evaluado el impacto y se han implementado las siguientes mitigaciones:
    • Las consultas no se almacenan ni se utilizan para entrenar modelos de IA.
    • No se envían datos personales de clientes del usuario al modelo de IA — solo el contexto de la página actual.
    • Las respuestas son meramente orientativas y no generan decisiones automatizadas con efectos jurídicos.
  • Tratamiento de datos comerciales: El procesamiento de datos de clientes y cotizaciones se realiza en la UE con las medidas de seguridad descritas en las secciones 3 y 4.

10. Transferencias internacionales de datos

Cuando los datos personales se transfieren fuera del Espacio Económico Europeo (EEE), se aplican las siguientes garantías conforme al Capítulo V del RGPD:

  • Decisión de adecuación: Las transferencias a EE.UU. se amparan en el EU-US Data Privacy Framework (Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023) para los proveedores certificados (Stripe, Vercel).
  • Cláusulas Contractuales Tipo (SCCs): Como garantía adicional, todos los proveedores estadounidenses han suscrito las SCCs aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914).
  • Medidas suplementarias: Cifrado de datos en tránsito y en reposo, pseudonimización cuando es posible, y análisis caso por caso del marco legal del país de destino.

La base de datos principal se aloja en la UE (Irlanda). Solo los servicios de hosting (Vercel), pagos (Stripe) e IA (Anthropic) pueden implicar transferencias a EE.UU., siempre con las garantías descritas.

11. Política de cookies

DealForge utiliza exclusivamente cookies técnicas y estrictamente necesarias:

CookieTipoFinalidadDuraciónTitularidad
sessionTécnica esencialAutenticación del usuario (JWT)7 días o cierre de sesiónPropia

No utilizamos cookies de terceros, cookies analíticas, cookies publicitarias ni cookies de seguimiento. Al utilizar únicamente cookies técnicas esenciales exentas conforme al artículo 22.2 de la LSSI-CE y la guía de la AEPD sobre el uso de cookies, no es necesario solicitar el consentimiento del usuario ni mostrar un banner de cookies.

12. DealForge como encargado del tratamiento

Cuando nuestros usuarios introducen datos de sus propios clientes en la plataforma, DealForge actúa como encargado del tratamiento (Art. 28 RGPD) y el usuario como responsable del tratamiento. En este caso:

  • DealForge trata los datos únicamente para prestar el servicio contratado, conforme a las instrucciones del usuario.
  • No utilizamos los datos de los clientes del usuario para fines propios ni los compartimos con terceros no autorizados.
  • Garantizamos las mismas medidas de seguridad técnicas y organizativas descritas en este documento.
  • Asistimos al usuario en el cumplimiento de sus obligaciones como responsable del tratamiento, incluyendo la atención a solicitudes de derechos de sus interesados.
  • A la finalización del servicio, suprimimos o devolvemos los datos según la elección del usuario.

Los usuarios que traten datos personales de sus clientes a través de DealForge deben asegurarse de contar con la base jurídica adecuada y de informar a sus interesados conforme al RGPD.

13. Delegado de Protección de Datos (DPD)

Para cualquier cuestión relacionada con el tratamiento de datos personales o el ejercicio de tus derechos, puedes contactar con nuestro Delegado de Protección de Datos:

Delegado de Protección de Datos — DealForge

Email: info@dealforge.es

Si consideras que no hemos atendido adecuadamente tu solicitud, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD)www.aepd.es — C/ Jorge Juan, 6 — 28001 Madrid.

¿Tienes dudas sobre nuestro cumplimiento del RGPD?

info@dealforge.es
Política de privacidad|Términos de servicio