Política de Privacidad
Versión 1.0 · Última actualización: 2026-04-17
Este texto describe de forma completa el tratamiento de datos personales de AuriPro conforme al RGPD (UE) 2016/679, a la LOPDGDD (3/2018) y a la Guía de la AEPD. Antes de su publicación definitiva debe ser revisado por un profesional con capacidad para adaptarlo a circunstancias futuras del servicio.
1. Información básica (capa 1)
| Responsable | Manuel Jurado Reula — NIF 20911817X — Calle Quebrantahuesos N3 1B (España) |
|---|---|
| Contacto / DPO | privacy@auripro.es |
| Finalidad | Prestación del servicio SaaS de gestión del Libro-Registro de metales preciosos y operaciones conexas |
| Base jurídica | Ejecución de contrato · Obligación legal · Interés legítimo |
| Destinatarios | Sub-encargados técnicos listados en esta política — todos en territorio UE |
| Derechos | Acceso, rectificación, supresión, limitación, oposición, portabilidad — privacy@auripro.es |
| Información ampliada | Este documento (capas 2 y 3 más abajo) |
2. Doble condición de AuriPro
AuriPro actúa simultáneamente con dos roles claramente diferenciados:
- Responsable del tratamiento respecto de los datos de los clientes contratantes (empresas del sector compraventa de metales preciosos) y los usuarios autorizados con acceso al panel. Esta política describe ese tratamiento.
- Encargado del tratamiento respecto de los datos de los vendedores (particulares) y demás interesados cuyos datos los clientes introducen en la plataforma para cumplimentar el Libro-Registro. Las condiciones de ese encargo se regulan en el Contrato de Encargado del Tratamiento (DPA) firmado entre AuriPro y cada cliente.
Si usted es un particular cuyos datos constan en el sistema porque vendió bienes a un establecimiento que utiliza AuriPro, el responsable del tratamiento de sus datos es el establecimiento, no AuriPro. En ese caso debe dirigir sus solicitudes directamente al establecimiento, sin perjuicio de que AuriPro pueda trasladarlas en un plazo máximo de 72 horas.
3. Categorías de datos tratados
3.1. Datos como responsable (usuarios del panel y clientes contratantes)
- Identificativos: nombre, apellidos, DNI/NIE, email, teléfono, rol dentro de la organización.
- Organización: denominación fiscal del cliente, NIF, domicilio fiscal, municipio, CP, provincia.
- Autenticación: credenciales protegidas mediante hashing, segundo factor cuando procede y registros de sesión estrictamente necesarios para la seguridad.
- Facturación y pago: histórico de facturas del servicio e identificadores de transacción de la pasarela de pagos. AuriPro no almacena números completos de tarjeta.
- Registros técnicos: logs de acceso y eventos de auditoría necesarios para la seguridad y trazabilidad del servicio.
3.2. Datos como encargado (los introducidos por los clientes)
Descritos en el DPA, Anexo I.
4. Finalidades del tratamiento
- Prestar el servicio SaaS contratado (provisión del panel, almacenamiento cifrado, generación de PDFs, copias de seguridad).
- Gestionar la relación contractual (facturación, cobro, soporte, notificaciones técnicas).
- Cumplir obligaciones legales (contabilidad, fiscalidad, ciberseguridad, conservación de registros de auditoría).
- Garantizar la seguridad de la plataforma (detección de accesos anómalos, prevención del fraude, respuesta a incidentes).
- Mejora del producto de forma agregada y anonimizada, sin reidentificación posible.
No se realizan tratamientos con fines publicitarios, de marketing a terceros, perfilado automatizado con efectos jurídicos, ni elaboración de perfiles comportamentales fuera del estricto ámbito antifraude.
5. Bases jurídicas (art. 6 RGPD)
| Tratamiento | Base jurídica |
|---|---|
| Gestión de cuenta y prestación del servicio | Art. 6.1.b — ejecución del contrato |
| Facturación y conservación contable | Art. 6.1.c — obligación legal (Código de Comercio, LGT) |
| Registros de auditoría y cumplimiento de seguridad | Art. 6.1.c — obligación legal (art. 32 RGPD, ENS) |
| Seguridad del servicio, antifraude, investigación de incidentes | Art. 6.1.f — interés legítimo |
| Envío de comunicaciones técnicas indispensables | Art. 6.1.b — ejecución del contrato |
| Atención de derechos ARCO | Art. 6.1.c — obligación legal (art. 12 RGPD) |
6. Plazos de conservación
| Dato | Plazo | Norma |
|---|---|---|
| Datos de cuenta y contratación | Vigencia del contrato + 6 años | Cód. Comercio art. 30 |
| Facturas emitidas al cliente | 6 años desde emisión | Cód. Comercio art. 30 · LGT art. 66 |
| Registros de auditoría | 5 años (cadena hash tamper-evident) | Política de seguridad · RGPD art. 32 |
| Tokens de sesión activa / revocados | 7 días tras expiración | Política interna |
| Copias de seguridad cifradas | Rotación 30 días · archivo trimestral 1 año | ENS op.cont.3 |
| Datos del Libro-Registro (como encargado) | 5 años desde la operación — archivado automático | LO 7/2021 · Orden INT/318/2011 |
Transcurridos los plazos los datos se eliminan o anonimizan, salvo que una norma de rango superior imponga retención adicional o exista un requerimiento judicial en curso.
7. Destinatarios y sub-encargados
AuriPro no cede datos a terceros con finalidades propias. El listado actualizado de sub-encargados técnicos que intervienen en la prestación del servicio se publica en sub-processors.html y se comunica al cliente con 30 días de antelación cuando sufre modificaciones.
Toda la infraestructura principal, las copias de seguridad y el servicio SMTP de correos transaccionales se alojan en territorio español (IONOS / Plesk). No existen transferencias internacionales a países sin decisión de adecuación de la Comisión Europea.
8. Derechos del interesado
El RGPD reconoce los siguientes derechos, ejercitables ante AuriPro cuando ésta actúe como responsable, o ante el cliente-joyería cuando AuriPro sea encargado:
- Acceso (art. 15): obtener confirmación de si se tratan sus datos y copia de los mismos.
- Rectificación (art. 16): corregir datos inexactos o completar los incompletos.
- Supresión (art. 17): solicitar la eliminación cuando ya no resulten necesarios, con los límites legales de conservación.
- Limitación (art. 18): pedir la suspensión del tratamiento en determinados supuestos.
- Oposición (art. 21): oponerse al tratamiento basado en interés legítimo cuando concurran motivos de su situación particular.
- Portabilidad (art. 20): recibir sus datos en formato estructurado o transmitirlos a otro responsable.
- No ser objeto de decisiones automatizadas con efectos jurídicos (art. 22) — AuriPro no realiza estos tratamientos.
Para ejercitar cualquier derecho: privacy@auripro.es, adjuntando copia de documento identificativo. Plazo de respuesta: 30 días naturales, ampliable a 60 días cuando la solicitud revista especial complejidad (art. 12.3 RGPD).
Si no recibe respuesta satisfactoria puede presentar reclamación ante la Agencia Española de Protección de Datos (C/ Jorge Juan, 6 — 28001 Madrid — www.aepd.es).
9. Medidas de seguridad (art. 32 RGPD)
Se aplican medidas técnicas y organizativas apropiadas al riesgo conforme al artículo 32 RGPD, incluyendo:
- Cifrado fuerte de datos almacenados, aislado por cliente.
- Comunicaciones protegidas mediante TLS.
- Autenticación robusta con segundo factor obligatorio para cuentas administrativas y políticas de contraseñas alineadas con estándares internacionales.
- Control de accesos por roles con principio de mínimo privilegio.
- Registro de auditoría inmutable con mecanismo de verificación.
- Detección centralizada de eventos de seguridad críticos.
- Copias de seguridad cifradas con verificación periódica de restauración.
- Plan de respuesta a incidentes con notificación a la AEPD dentro del plazo del art. 33 RGPD.
Los detalles concretos de implementación (algoritmos, parámetros, endpoints internos) se facilitan a auditores bajo acuerdo de confidencialidad y no se publican por motivos de seguridad.
10. Menores de edad
El servicio está dirigido exclusivamente a empresas y profesionales. No se recaban datos de menores de 14 años. Si se detecta que un menor ha facilitado datos sin el consentimiento de quien ejerza la patria potestad, rogamos lo comunique inmediatamente a privacy@auripro.es para su eliminación.
11. Modificaciones
Esta política puede actualizarse para adaptarla a cambios normativos o del servicio. Toda modificación sustancial se comunicará con 30 días de antelación a los clientes contratantes mediante notificación dentro del panel y correo electrónico al contacto administrativo registrado.