En cumplimiento del Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE), se informa a los usuarios de Obryx sobre el tratamiento de sus datos personales.
1. Responsable del tratamiento
- Titular: Alejandro Baño Venteo
- NIF: 39426373A
- Domicilio: Pl. del Bestiar 16, 08470 Sant Celoni, Barcelona, España
- Email de contacto: info@obryx.es
- Delegado de Protección de Datos (DPD): info@obryx.es
2. Datos personales que recopilamos
| Categoría | Datos | Finalidad |
|---|---|---|
| Registro y cuenta | Nombre, email, nombre de empresa, teléfono | Creación y gestión de la cuenta, comunicación de servicio |
| Facturación | CIF/NIF, dirección fiscal, razón social | Emisión de facturas vía Holded/Stripe y cumplimiento fiscal |
| Uso del servicio | Presupuestos, obras, clientes, proveedores y anotaciones introducidos por el usuario | Prestación del servicio contratado |
| Archivos | Fotos de obra, planos, albaranes, documentos subidos | Análisis con IA y almacenamiento asociado a cada presupuesto/obra |
| Técnicos | IP, user-agent, dispositivo, registros de acceso | Seguridad, prevención de fraude y auditoría |
| Comunicaciones | Mensajes enviados desde el formulario de soporte, emails recibidos | Atención al cliente y resolución de incidencias |
Datos de pago: Los datos de tarjeta bancaria son gestionados exclusivamente por Stripe Inc. (certificado PCI DSS Nivel 1). Obryx no almacena, no procesa ni tiene acceso a datos de tarjeta.
Datos de clientes finales del usuario: Si introduces datos de tus propios clientes (nombre, teléfono, email), actúas como responsable del tratamiento frente a ellos y Obryx actúa como encargado del tratamiento. Al aceptar estos términos quedas informado de tu obligación de haber obtenido la base jurídica necesaria para aportar esos datos a la plataforma e informar a tus clientes de dicho tratamiento.
3. Base jurídica del tratamiento
- Ejecución del contrato (Art. 6.1.b RGPD): prestación del servicio SaaS y soporte al usuario.
- Obligación legal (Art. 6.1.c RGPD): cumplimiento fiscal, contable y mercantil.
- Interés legítimo (Art. 6.1.f RGPD): mejora del servicio, prevención de fraude, seguridad de la información.
- Consentimiento (Art. 6.1.a RGPD): envío de comunicaciones comerciales o newsletter (opcional, revocable en cualquier momento).
4. Tratamiento con Inteligencia Artificial
Obryx utiliza modelos de IA generativa (Anthropic Claude; Google Gemini como respaldo) para analizar proyectos y generar presupuestos y mensajes de seguimiento. Los datos enviados a esos proveedores son:
- Descripciones textuales del proyecto introducidas por el usuario.
- Imágenes y planos subidos por el usuario.
- Base de precios y reglas que el usuario haya cargado en Base IA.
- Al generar mensajes de seguimiento: nombre y datos de contacto del cliente final que el usuario haya registrado.
Con los proveedores de IA se han firmado acuerdos específicos de procesamiento de datos (DPA) que garantizan que la información no se utiliza para entrenar modelos ni se retiene más allá del tiempo técnicamente necesario para prestar el servicio.
Decisiones automatizadas: los presupuestos generados por IA son orientativos. El usuario siempre revisa y aprueba antes de enviarlos a sus clientes, por lo que no existen decisiones automatizadas con efectos jurídicos en el sentido del art. 22 RGPD.
5. Encargados del tratamiento (subprocesadores)
| Proveedor | Servicio | Ubicación | Garantías |
|---|---|---|---|
| Supabase Inc. | Base de datos, autenticación y almacenamiento | UE (Frankfurt) | SOC 2 Type II, RGPD, DPA |
| Vercel Inc. | Hosting y CDN | UE/Global (edge) | SOC 2, RGPD, DPA |
| Stripe Inc. | Procesamiento de pagos | UE/EEUU | PCI DSS Nivel 1, RGPD, SCC |
| Resend Inc. | Envío de emails transaccionales y de soporte | EEUU | RGPD, SCC, EU-US DPF |
| Anthropic PBC | Modelo de IA generativa (Claude) | EEUU | SOC 2, DPA, no entrenamiento con inputs |
| Google LLC | Modelo de IA generativa (Gemini, respaldo) | EEUU/UE | SOC 2, ISO 27001, DPA |
| Holded S.L. | Facturación | España | RGPD nativo |
Para transferencias internacionales a proveedores ubicados fuera del Espacio Económico Europeo, nos amparamos en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando procede, en el EU-US Data Privacy Framework.
6. Conservación de datos
- Cuenta activa: mientras dure la relación contractual.
- Tras cancelación: eliminación en un máximo de 30 días, salvo obligación legal de conservación.
- Datos fiscales y facturas: 6 años (art. 30 del Código de Comercio) y 4 años (LGT).
- Logs de seguridad y accesos: 12 meses.
- Copias de seguridad: retención rotativa de 7 días.
7. Derechos del interesado
Puedes ejercer en cualquier momento los siguientes derechos reconocidos por el RGPD:
- Acceso (Art. 15): obtener confirmación y copia de tus datos.
- Rectificación (Art. 16): corregir datos inexactos o incompletos.
- Supresión (Art. 17): solicitar la eliminación de tus datos ("derecho al olvido").
- Limitación (Art. 18): restringir temporalmente el tratamiento.
- Portabilidad (Art. 20): recibir tus datos en formato estructurado y legible (CSV/JSON).
- Oposición (Art. 21): oponerte a tratamientos basados en interés legítimo.
- Retirada del consentimiento (Art. 7.3): sin efectos retroactivos.
Para ejercer estos derechos escribe a info@obryx.es indicando tu solicitud y adjuntando copia del DNI, NIE o pasaporte. Responderemos en un máximo de 1 mes, prorrogable 2 meses en casos complejos.
Si consideras que el tratamiento no se ajusta a la normativa, tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.
8. Medidas de seguridad
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Aislamiento de datos por organización mediante Row Level Security (RLS) de PostgreSQL.
- Autenticación mediante tokens JWT firmados y opcionalmente 2FA TOTP.
- Cabeceras de seguridad HTTP (HSTS, X-Content-Type-Options, Referrer-Policy).
- Copias de seguridad automáticas diarias con retención rotativa.
- Acceso a la infraestructura restringido al personal autorizado y protegido con MFA.
- Registro auditado de accesos y acciones críticas.
9. Menores de edad
Obryx es un servicio orientado a profesionales y empresas. No está dirigido a personas menores de 18 años y no recopilamos conscientemente datos de menores. Si detectamos el registro de un menor, procederemos a eliminar la cuenta y los datos asociados.
10. Cookies
Consulta nuestra Política de Cookies para información detallada sobre las cookies y tecnologías equivalentes que utilizamos.
11. Modificaciones de esta política
Podremos modificar esta política para adaptarla a cambios normativos o al servicio. Los cambios sustanciales se notificarán por email con al menos 30 días de antelación. La versión vigente estará siempre accesible en obryx.es/legal/privacidad.
12. Contacto
Para cualquier cuestión relativa a esta política escribe a info@obryx.es.