Política de privacidad
Revisión: junio de 2026 — BORRADOR, pendiente de revisión legal (#403). Solo informativo; no es el texto final y vinculante.
1. Responsable y contacto
Para los datos personales de los usuarios de agencia (cuentas, facturación, soporte) el responsable es la entidad que opera lapromos.io: [RAZÓN SOCIAL — a completar], NIF/CIF [NIF/CIF — a completar], domicilio social [DOMICILIO SOCIAL — a completar], España. Contacto de privacidad y protección de datos: [email protected]. Los datos entre corchetes son marcadores que se completarán con los datos registrales de la sociedad y, en su caso, con el contacto del Delegado de Protección de Datos antes del lanzamiento. Esta política se redacta conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).
2. Roles: agencias y participantes
Para los datos personales de los participantes en promociones, la agencia que ejecuta cada promoción es la responsable del tratamiento y lapromos.io actúa como encargada del tratamiento en virtud de un contrato de encargo (art. 28 RGPD). Los participantes deben dirigir sus solicitudes a la agencia promotora; nosotros la asistimos para atenderlas. Esta política describe nuestros tratamientos como responsable (usuarios de agencia) y, de forma transparente, los que realizamos por cuenta de las agencias.
3. Datos que tratamos y finalidades
Datos de cuenta de agencia (identidad, email, rol) para prestar y operar el servicio; datos de facturación para facturar y cumplir obligaciones contables; datos de participantes recogidos por el formulario de cada promoción (p. ej. email, teléfono, respuestas) para ejecutar esa promoción (validación de la participación, verificación por código de un solo uso, contacto con el ganador, entrega de premios); registros técnicos y eventos de seguridad y antifraude para proteger el servicio y a los inquilinos; datos del formulario de contacto para responder consultas.
4. Base jurídica (art. 6 RGPD)
Cada finalidad se apoya en una base concreta: prestación del servicio a las agencias y gestión de cuentas — ejecución de un contrato (art. 6.1.b); facturación y conservación fiscal/contable — obligación legal (art. 6.1.c); seguridad, antifraude, aislamiento entre inquilinos y mejora del servicio — interés legítimo (art. 6.1.f); etiquetas de analítica y marketing en el sitio corporativo — tu consentimiento (art. 6.1.a), revocable en cualquier momento. Para los datos de participantes que tratamos por cuenta de una agencia, la base jurídica la determina y declara dicha agencia como responsable.
5. Destinatarios y subencargados
Proveedores de infraestructura y servicios que actúan como encargados/subencargados: alojamiento y bases de datos (Railway), CDN, seguridad y mitigación de bots (Cloudflare, incl. Turnstile), pagos (Stripe), email transaccional (Resend) y SMS (Twilio / AWS SNS); las etiquetas de analítica/marketing (Google) solo se cargan en el sitio corporativo tras tu consentimiento. No vendemos datos personales ni los cedemos para publicidad de terceros sin consentimiento. La lista actualizada de subencargados está disponible a petición.
6. Transferencias internacionales
Algunos proveedores pueden tratar datos fuera del Espacio Económico Europeo (p. ej. servicios con sede en EE. UU.). Cuando esto ocurre, las transferencias se amparan en una decisión de adecuación cuando exista o, en su defecto, en las Cláusulas Contractuales Tipo (CCT/SCC) de la Comisión Europea junto con medidas complementarias (como el cifrado en tránsito y en reposo). Puedes solicitar información sobre las garantías aplicadas escribiendo a [email protected].
7. Conservación
Los datos de participantes se conservan solo mientras los necesita la promoción: tras el cierre de cada promoción se aplica un techo de conservación a nivel de plataforma, cada promoción solo puede acortarlo, y los datos vencidos se suprimen de forma irreversible mediante un proceso automático diario. Los datos de cuenta se conservan mientras la organización esté activa; los registros de facturación y fiscales se conservan durante los periodos legalmente exigidos. Las entradas de supresión (no contactar) se guardan como hash con sal para sobrevivir al borrado de datos.
8. Seguridad
Los datos de contacto (email, teléfono) se cifran en reposo con AES-256-GCM; el aislamiento entre inquilinos se aplica en la capa de base de datos (row-level security de PostgreSQL); los códigos de un solo uso viven solo en Redis, hasheados y de vida corta; el acceso se protege con limitación de tasa y retos antibot (Turnstile); las exportaciones de audiencias para plataformas publicitarias se hashean con SHA-256 únicamente dentro de esa exportación. Registramos el acceso a las acciones sensibles.
9. Tus derechos
Puedes ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición, y retirar tu consentimiento en cualquier momento, escribiendo a [email protected] (podemos solicitar prueba de identidad). Si eres participante de una promoción, tu solicitud se traslada a la agencia responsable, que resuelve sobre ella. También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es) o tu autoridad de control local.
10. Decisiones automatizadas
No adoptamos decisiones con efectos jurídicos o significativos similares basadas únicamente en tratamientos automatizados, ni elaboramos perfiles con esa finalidad. Los sorteos y los resultados de instant win se ejecutan mediante mecánicas deterministas y auditables definidas por cada promoción; no perfilan a los participantes. Las funciones de IA (asistencia de copy y traducción) operan sobre el texto de la promoción, no sobre perfiles de participantes.
11. Cookies
El sitio corporativo usa un banner de consentimiento alineado con Google Consent Mode v2: las etiquetas de analítica y marketing solo se cargan tras el consentimiento. Consulta nuestra Política de cookies para el detalle; puedes reabrir tus preferencias desde el enlace “Configuración de cookies” del pie de página.