Política de privacidad

NotificAviso actúa como responsable del tratamiento para los datos gestionados en la plataforma. El tratamiento se limita a la prestación del servicio de vigilancia administrativa, gestión de cuenta, facturación y soporte. Los datos se tratan bajo principios de licitud, minimización, limitación de finalidad, exactitud, integridad y confidencialidad.

• Datos de cuenta: email de registro, estado de verificación y metadatos técnicos de sesión.
• Datos de vigilancia: identificador documental (DNI/NIE) transformado mediante hash con sal.
• Datos de suscripción y pago: identificadores de cliente/suscripción de Stripe y estado de la suscripción.
• Datos operativos de seguridad y auditoría: logs de acceso, actividad administrativa y eventos técnicos.
• Datos de comunicaciones: estado de entregabilidad de correo, rebotes, quejas y métricas de envío.

• Prestación del servicio de vigilancia: ejecución del contrato.
• Gestión de cuenta, soporte y seguridad: interés legítimo y/o ejecución contractual.
• Facturación y obligaciones fiscales: cumplimiento de obligación legal.
• Comunicaciones de servicio: ejecución contractual.
• Tratamiento inicial del identificador: consentimiento explícito en registro/suscripción.

El sistema conserva trazabilidad del consentimiento (marca temporal, versión de política e IP de registro) para acreditar su otorgamiento.

El DNI/NIE no se almacena en texto plano. Se aplica cifrado simétrico AES-128-CBC con autenticación de integridad (HMAC-SHA256) mediante la librería estándar Fernet, con clave gestionada exclusivamente en el servidor y no accesible fuera del entorno de producción.

Para el motor de coincidencias con el BOE, se emplea adicionalmente un hash SHA-256 con sal de servidor, de modo que las comparaciones contra publicaciones oficiales operan sobre una huella criptográfica unidireccional. El identificador original solo se descifra en el servidor, nunca se expone al cliente ni se registra en logs.

Se utilizan proveedores tecnológicos estrictamente necesarios para prestar el servicio:

• Stripe para pagos y gestión de suscripción.
• Brevo (fase actual) para correo transaccional y eventos de entregabilidad.
• Servicios de infraestructura para alojamiento, base de datos, colas y monitorización.

No se venden datos a terceros. Cualquier acceso de proveedor se limita a su función técnica bajo condiciones contractuales de protección de datos.

• La conservación se limita al tiempo necesario para cada finalidad y obligaciones legales aplicables.
• El historial técnico se mantiene con políticas de particionado/purga para evitar retención indefinida.
• Las búsquedas anónimas no se persisten en histórico de usuario.
• Al ejercer supresión de cuenta, se eliminan registros asociados conforme a la política de borrado.

Puedes ejercer derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad en los términos legalmente aplicables.

Por seguridad, la plataforma exige verificación de identidad previa mediante el email registrado antes de gestionar solicitudes ARCO.

La plataforma aplica controles técnicos y organizativos: trazabilidad de acciones administrativas, control de accesos, registro de eventos, protección anti-abuso y monitorización activa de servicios críticos.

Las operaciones administrativas quedan auditadas para cumplir el principio de responsabilidad proactiva.

Existe protocolo interno para gestión y notificación de incidentes. Si una brecha de seguridad implicara riesgo para derechos y libertades, se actuará conforme a los plazos y obligaciones del RGPD, incluyendo notificación a la autoridad competente cuando corresponda.

Los emails enviados por el servicio incluyen identificación del responsable, finalidad de la comunicación y mecanismo de baja o desactivación de vigilancia. La gestión de rebotes y quejas se usa para proteger la entregabilidad y evitar envíos improcedentes.

La facturación de suscripciones se gestiona mediante Stripe Tax (IVA aplicable). El usuario dispone de acceso al portal de facturación del proveedor de pago para descarga de facturas y gestión de métodos de pago.

Esta política puede actualizarse por cambios legales, técnicos o de servicio. La versión aceptada queda registrada en la cuenta para trazabilidad del consentimiento.

Si consideras que el tratamiento de datos no se ajusta a la normativa, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD).