Política de Privacidad
Última actualización: 8 de mayo de 2026
1. Responsable del Tratamiento
El responsable del tratamiento de tus datos personales es GovEasy Technologies(en adelante, "GovEasy"), con domicilio social en España. Puedes contactar con nosotros en cualquier momento a través de [email protected].
Delegado de Protección de Datos (DPO): [email protected]
2. Datos que Recogemos
Recogemos únicamente los datos estrictamente necesarios para prestarte el servicio:
- Datos de cuenta: nombre, dirección de correo electrónico, contraseña cifrada.
- Datos de perfil (opcionales): DNI/NIE, teléfono, comunidad autónoma — introducidos voluntariamente para el auto-rellenado de formularios.
- Datos de uso: trámites consultados, documentos generados, historial de búsquedas en la plataforma.
- Datos técnicos: dirección IP, navegador, sistema operativo, cookies de sesión.
- Documentos subidos a la Bóveda: almacenados cifrados y accesibles únicamente por ti.
⚠️ GovEasy no solicita ni almacena de forma persistente credenciales de acceso a portales gubernamentales (Cl@ve, certificados digitales o contraseñas de la Sede Electrónica). Cuando habilitas autenticación asistida (por ejemplo, Cl@ve por QR), la identificación se realiza en el entorno oficial del organismo y solo tratamos tokens de sesión temporales para prestarte el servicio que hayas autorizado.
3. Base Legal del Tratamiento
Ejecución del contrato: procesamos tus datos para prestarte los servicios contratados (gestión de cuenta, generación de documentos, radar de citas).
Consentimiento: para comunicaciones de marketing y cookies analíticas no esenciales. Puedes retirar el consentimiento en cualquier momento.
Interés legítimo: para la seguridad de la plataforma, detección de fraude y mejora del servicio basada en datos anonimizados.
Obligación legal: cuando sea necesario para cumplir con requerimientos legales o fiscales aplicables.
4. Finalidades del Tratamiento
- Gestión de tu cuenta de usuario y autenticación segura.
- Generación de documentos administrativos con tus datos personales.
- Almacenamiento de documentos en tu Bóveda personal cifrada.
- Notificaciones de citas disponibles (Radar de Citas).
- Personalización de la guía contextual con tu historial de trámites.
- Envío de comunicaciones informativas (con tu consentimiento previo).
- Mejora del servicio mediante análisis de uso anonimizado.
5. Conservación de los Datos
Conservamos tus datos durante el tiempo que mantengas una cuenta activa en GovEasy. Cuando solicitas la baja:
- Datos de cuenta y de perfil: se eliminan de forma inmediata de las bases de datos operativas. Si alguna copia residual permanece en backups cifrados, se purga en el siguiente ciclo de retención (máximo 30 días).
- Documentos de la Bóveda: eliminados de inmediato al solicitar la baja.
- Registros de auditoría de seguridad y trazas APM: conservados 12 meses por interés legítimo (art. 6.1.f RGPD) y obligaciones de seguridad (ENS).
- Datos de facturación: conservados 5 años conforme al art. 30 del Código de Comercio y al art. 66 de la Ley General Tributaria.
- Pruebas de consentimiento de cookies: conservadas 2 años tras la última decisión, según la Guía de Cookies AEPD (julio 2023).
6. Encargados del Tratamiento y Transferencias
No vendemos ni cedemos tus datos personales con fines comerciales. Para prestar el servicio recurrimos a los siguientes encargados del tratamiento, todos con contrato de procesamiento (DPA) en vigor conforme al art. 28 RGPD:
| Encargado | Finalidad | Ubicación / Garantías |
|---|---|---|
| Microsoft Azure | Cómputo, Cosmos DB, Blob Storage, Key Vault, Application Insights, Azure OpenAI, Document Intelligence, Translator, Speech, Language. | Spain Central (Madrid) y West Europe (Países Bajos). EEE, sin transferencia internacional. |
| Azure Communication Services (Microsoft) | Envío de correos transaccionales y SMS de aviso. | EEE. |
| Google / Firebase | Verificación de número de teléfono por SMS (Firebase Authentication) durante el alta. | EE.UU. al amparo del Marco de Privacidad de Datos UE-EE.UU. (DPF) y cláusulas contractuales tipo (art. 46 RGPD). |
| Stripe Payments Europe | Procesamiento de pagos y, en el marketplace, Stripe Connect para liquidación al profesional. Datos de tarjeta gestionados directamente por Stripe (PCI DSS). | Irlanda (UE). Stripe puede transferir datos a EE.UU. bajo DPF + SCC. |
| Anthropic PBC | Modelos de lenguaje Claude usados en el chat asistencial cuando el usuario lo activa. No se usan tus datos para entrenar modelos públicos. | EE.UU. — DPF + SCC. |
| Algolia SAS | Indexación y búsqueda de trámites, gestores y blog. | UE. |
| Datadog Inc. | APM, logs y monitorización de seguridad. Las trazas se filtran para no exponer PII (DNI, contraseñas, datos de tarjeta). | EE.UU. — DPF + SCC. |
| HubSpot Inc. | CRM y comunicaciones comerciales (solo si has dado tu consentimiento). | EE.UU. — DPF + SCC. |
| Google LLC (Analytics 4) | Analítica web agregada con Consent Mode v2. Solo se carga si aceptas la categoría «Analíticas». | EE.UU. — DPF + SCC. |
| Microsoft Clarity | Heatmaps y replays anonimizados de sesión para depurar la UX. Las imágenes y los campos de formulario se enmascaran antes de salir del navegador. Solo se carga con consentimiento «Analíticas». | EE.UU. — DPF + SCC. |
| Microsoft Advertising (Bing UET) | Atribución de campañas publicitarias propias. Solo se carga con consentimiento «Marketing». | EE.UU. — DPF + SCC. |
Cada uno de estos proveedores actúa como encargado del tratamiento de GovEasy (excepto Stripe respecto a los datos de tarjeta, en los que actúa como responsable independiente por requisitos PCI DSS). Cuando media una transferencia fuera del EEE, la legitimamos con el Marco de Privacidad de Datos UE-EE.UU. (DPF) y/o cláusulas contractuales tipo de la Comisión Europea (Decisión 2021/914).
Ubicación del núcleo del servicio. El núcleo de la plataforma (cuentas, documentos, lógica de trámites) se ejecuta en Microsoft Azure Spain Central (Madrid). Determinados servicios de IA de Azure (OCR, Translator, Speech, Language) operan en la región West Europe (Países Bajos) por no estar disponibles en Spain Central. Ambas regiones están dentro del Espacio Económico Europeo (EEE) y no implican transferencia internacional.
La generación de creatividades gráficas y de vídeo para campañas de marketing propias de GovEasy puede realizarse con modelos generativos alojados en regiones fuera del EEE. Estos modelos no reciben ni procesan datos personales de las personas usuarias: trabajan exclusivamente con prompts de marca preparados por nuestro equipo de marketing.
6.1 Marketplace de profesionales (gestores, profesores y academias)
GovEasy ofrece un directorio de profesionales (gestores administrativos, profesores particulares y academias) con los que puedes contactar a través de un formulario o de un chat mediado en la propia plataforma. Cuando decides contactar con un profesional, compartimos con él los datos que rellenas en el formulario: nombre, email, teléfono (opcional), trámite o preparación de interés y mensaje.
En ese momento el profesional pasa a actuar como responsable independiente del tratamiento(no como encargado de GovEasy) y aplicará su propia política de privacidad. GovEasy facilita el contacto y, si se contrata el servicio, la operativa de cobro mediante Stripe Connect, pero no responde de la calidad, exactitud, plazos ni resultados del servicio profesional contratado.
Para ejercer tus derechos sobre los datos cedidos al profesional puedes dirigirte directamente a él o, si lo prefieres, escribirnos a [email protected] y reenviaremos tu solicitud al profesional correspondiente.
Menores de edad. El uso del marketplace está dirigido a personas mayores de 14 años (art. 7 LOPDGDD). Si una academia o profesor recibe datos de un menor, deberá aplicar las garantías reforzadas que exige la normativa y recabar el consentimiento de quien ejerza la patria potestad o tutela cuando sea exigible.
7. Tus Derechos (ARCO+)
Conforme al RGPD (arts. 15-22) y la LOPDGDD, tienes los siguientes derechos:
Acceso
Conocer qué datos tuyos tratamos
Rectificación
Corregir datos inexactos o incompletos
Supresión
Solicitar el borrado de tus datos (derecho al olvido)
Limitación
Restringir el tratamiento en ciertos casos
Portabilidad
Recibir tus datos en formato estructurado y legible por máquina
Oposición
Oponerte al tratamiento basado en interés legítimo
No perfilado
No ser objeto de decisiones automatizadas con efectos jurídicos
Revocación
Retirar tu consentimiento en cualquier momento
Para ejercer cualquiera de estos derechos, envía un email a [email protected] con copia de tu DNI/NIE. Responderemos en un plazo máximo de 30 días.
Acceso y portabilidad inmediatos. Si tienes cuenta activa puedes descargar todos tus datos en formato JSON estructurado desde /api/user/export (autenticado). El fichero incluye datos de cuenta, documentos de la Bóveda (metadatos), citas, notificaciones, suscripciones BOE, solicitudes de reembolso y registros de consentimiento. Los hashes de contraseña y los secretos de MFA se omiten por seguridad; los logs de seguridad se entregan bajo solicitud expresa.
Si consideras que el tratamiento vulnera la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
8. Seguridad
Implementamos medidas técnicas y organizativas adecuadas: cifrado de comunicaciones, cifrado de datos almacenados, autenticación multifactor, control de acceso basado en roles, y revisiones periódicas de seguridad. Para más detalles, consulta nuestra Política de Seguridad.
9. Cookies
GovEasy utiliza cookies esenciales y, con tu consentimiento, cookies analíticas. Para más información, consulta nuestra Política de Cookies.
10. Cambios en esta Política
Podemos actualizar esta política periódicamente. Te notificaremos por email de cambios significativos con al menos 15 días de antelación. La versión vigente siempre estará disponible en esta página con su fecha de actualización.
¿Tienes preguntas sobre privacidad?
Contacta con nuestro DPO en [email protected]