Política de Privacidad
Última actualización:
1. Responsable del tratamiento
De conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), el responsable del tratamiento de sus datos personales es:
- Entidad: Certus SPV, SLU
- CIF: B13852223
- Domicilio: C/ Castello 36, Planta 1ª, 28001 Madrid, España
- Correo de contacto: [email protected]
- Delegado de Protección de Datos (DPO): [email protected]
2. Finalidades del tratamiento y base legal
trafico.live trata datos personales para las siguientes finalidades, cada una con su base jurídica conforme al artículo 6 RGPD:
a) Prestación del servicio web
Acceso y navegación por trafico.live, incluyendo geolocalización en el navegador para funciones de proximidad (gasolineras, estaciones de carga EV). La geolocalización se procesa exclusivamente en el dispositivo del usuario y no se transmite a nuestros servidores. Base legal: interés legítimo del prestador (art. 6.1.f RGPD).
b) API premium y facturación
Gestión de claves API, control de uso por niveles (FREE/PRO/ENTERPRISE) y facturación recurrente a través de Stripe Payments Europe Limited. Los datos de facturación se conservan durante 6 años en cumplimiento de las obligaciones fiscales de la Ley 58/2003 General Tributaria. Base legal: ejecución del contrato (art. 6.1.b RGPD) y obligación legal (art. 6.1.c RGPD).
c) Alertas push y comunicaciones por email
Envío de notificaciones web push (incidencias de tráfico, alertas meteorológicas, avisos de precio de combustible) y correos electrónicos a través de Resend Inc. (Delaware, EE.UU.). El usuario puede darse de baja en cualquier momento desde el centro de preferencias o el enlace incluido en cada comunicación. Base legal: consentimiento expreso (art. 6.1.a RGPD).
d) Newsletter y comunicaciones comerciales
Boletín informativo periódico con novedades de la plataforma y datos de interés en movilidad. La suscripción es voluntaria y reversible en cualquier momento. Base legal: consentimiento expreso (art. 6.1.a RGPD).
e) Asistente conversacional (chatbot)
Consultas en lenguaje natural sobre datos de la plataforma. Los mensajes del usuario se transmiten a Anthropic PBC (San Francisco, CA, EE.UU.), que actúa como encargado del tratamiento mediante cláusulas contractuales tipo (SCC) de la UE. El contenido de las conversaciones se retiene durante un máximo de 30 días y no se utiliza para entrenar modelos sin consentimiento explícito. Base legal: consentimiento expreso (art. 6.1.a RGPD).
f) Analítica web (GA4)
Medición anónima del uso de la plataforma (páginas visitadas, tiempo de permanencia, fuente de tráfico, dispositivo y región geográfica) mediante Google Analytics 4. La IP se anonimiza antes de cualquier almacenamiento. No se envían datos que permitan identificar individualmente al usuario. Base legal: consentimiento expreso (art. 6.1.a RGPD).
g) Seguimiento de errores (GlitchTip)
Captura y análisis de errores de aplicación a través de GlitchTip, instancia autohospedada en servidores Hetzner (Alemania, UE). Los datos incluyen la URL de la petición, tipo de error, traza de pila anónima y marcas de tiempo. No se recogen datos de identificación del usuario. Base legal: interés legítimo del prestador en la seguridad y estabilidad del servicio (art. 6.1.f RGPD).
h) Soporte al cliente (Crisp)
Chat de atención al cliente mediante Crisp SAS (Francia). Se tratan el correo electrónico y el contenido de la conversación de soporte. Los datos se conservan durante el tiempo necesario para resolver la consulta y un máximo de 12 meses adicionales. Base legal: consentimiento expreso al iniciar el chat (art. 6.1.a RGPD).
i) Flotas SaaS — seguimiento GPS de vehículos del cliente
Para los clientes que contraten el servicio de gestión de flotas, trafico.live trata las posiciones GPS de los vehículos incluidos en el contrato en calidad de encargado del tratamiento (art. 28 RGPD). El cliente-empresa es el responsable del tratamiento frente a los conductores. El contrato incluye un Acuerdo de Encargado del Tratamiento (DPA). Base legal: ejecución del contrato (art. 6.1.b RGPD).
j) Asistentes de voz — Alexa y Google Assistant (previsto)
Consultas por voz sobre datos de trafico.live. Los datos de voz (muestras de audio) son procesados por Amazon Alexa o Google Assistant según la plataforma utilizada; trafico.live no recibe ni almacena datos biométricos de voz. Únicamente se procesa el texto de la intención una vez reconocido por la plataforma de voz. Base legal: ejecución del contrato (art. 6.1.b RGPD).
3. Categorías de datos personales tratados
| Categoría | Datos concretos | Servicio |
|---|---|---|
| Identificativos | Correo electrónico, nombre | API premium, soporte, newsletter |
| Navegación / IP | IP anonimizada, user-agent, URL | Analytics, logs, rate limiting |
| Uso de la API | Clave API, timestamps, endpoints consultados, volumen | API premium |
| Facturación | Nombre fiscal, dirección, NIF/VAT, historial de pagos (vía Stripe) | API premium |
| GPS vehículos | Coordenadas, matrícula, velocidad, rumbo | Flotas SaaS |
| Voz (biométrico) | No almacenado — se recibe solo el texto de la intención | Asistentes de voz (futuro) |
| Conversaciones | Texto de consultas al chatbot | Chatbot IA |
trafico.live no trata categorías especiales de datos según el artículo 9 RGPD (salud, origen étnico, religión, etc.) ni datos de menores de 14 años.
4. Destinatarios y encargados del tratamiento
| Encargado / Destinatario | País | Finalidad | Garantía |
|---|---|---|---|
| Hetzner Online GmbH | DE (UE) | Alojamiento | UE |
| Stripe Payments Europe Ltd. | IE (UE) | Facturación / pagos | UE |
| Google LLC | USA | Analytics (GA4) | SCC + DPF |
| Resend Inc. | USA | Email / push alerts | SCC |
| Anthropic PBC | USA | Chatbot IA | SCC |
| Crisp SAS | FR (UE) | Chat de soporte | UE |
| Cloudflare Inc. | USA | CDN / DNS / Email routing | SCC + DPF |
SCC = Cláusulas Contractuales Tipo de la Comisión Europea. DPF = Data Privacy Framework UE-EE.UU. No se cede información a terceros con fines comerciales propios.
5. Transferencias internacionales de datos
Los servicios de Google (Analytics), Resend (email), Anthropic (chatbot) y Cloudflare implican transferencias de datos a los EE.UU. Dichas transferencias se amparan en las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea (Decisión de Ejecución 2021/914) y, cuando aplica, en el marco del Data Privacy Framework UE-EE.UU. (Decisión de adecuación 2023/1795).
Stripe Payments Europe Limited opera desde Irlanda (UE) para clientes europeos, por lo que no supone transferencia internacional.
6. Plazos de conservación
| Dato / tratamiento | Plazo de conservación |
|---|---|
| Claves API y cuenta de usuario | Hasta la baja de la suscripción |
| Datos de facturación | 6 años (obligación fiscal, art. 30 LGT) |
| Logs de navegación / servidor | 30 días |
| Alertas push (suscripción) | Hasta revocación del consentimiento |
| Newsletter | Hasta baja + 1 año |
| Conversaciones del chatbot | 30 días desde la conversación |
| Voz (asistentes de voz) | 0 días — no se almacena |
| GPS vehículos (flotas) | Según DPA del contrato de flotas |
| Soporte (Crisp) | Resolución + 12 meses |
7. Sus derechos como interesado
Usted puede ejercer en cualquier momento los siguientes derechos reconocidos por el RGPD y la LOPDGDD:
- Acceso — conocer qué datos personales suyos tratamos.
- Rectificación — corregir datos inexactos o incompletos.
- Supresión — solicitar la eliminación de sus datos cuando ya no sean necesarios o retire el consentimiento.
- Oposición — oponerse al tratamiento basado en interés legítimo.
- Portabilidad — recibir sus datos en formato estructurado y legible por máquina.
- Limitación del tratamiento — restringir el uso de sus datos en determinadas circunstancias.
- Retirada del consentimiento — en cualquier momento, sin efecto retroactivo.
Para ejercer cualquiera de estos derechos, diríjase a: [email protected] indicando en el asunto “Ejercicio de derechos RGPD” y adjuntando una copia de su documento de identidad. Responderemos en un plazo máximo de 30 días.
Si considera que sus derechos no han sido debidamente atendidos, puede interponer una reclamación ante la autoridad de control española:
Agencia Española de Protección de Datos (AEPD) — www.aepd.es
8. Menores de edad
Los servicios de trafico.live no están destinados a personas menores de 14 años. Certus SPV, SLU no recaba conscientemente datos de menores. Si tiene conocimiento de que un menor ha facilitado datos personales, le rogamos que nos lo comunique a [email protected] para proceder a su supresión inmediata.
9. Medidas de seguridad
Certus SPV, SLU aplica las medidas técnicas y organizativas adecuadas previstas en el artículo 32 RGPD para garantizar un nivel de seguridad apropiado al riesgo:
- Cifrado de comunicaciones mediante HTTPS/TLS 1.3.
- Cabeceras de seguridad HTTP: HSTS, Content-Security-Policy, X-Frame-Options, Permissions-Policy.
- Acceso a la infraestructura restringido por VPN WireGuard y autenticación de dos factores.
- Rate limiting en todos los endpoints de la API mediante Redis.
- Copias de seguridad periódicas cifradas.
10. Cambios en esta política
Podemos actualizar esta Política de Privacidad para reflejar cambios legislativos, tecnológicos o en los servicios ofrecidos. Cualquier modificación relevante se comunicará mediante aviso destacado en el Sitio o por correo electrónico a los usuarios registrados. Se recomienda revisar periódicamente esta página.