Responsable del tratamiento.

El responsable del tratamiento de los datos personales recogidos a través del sitio y del servicio es:

• Razón social: GAIEN.DATA S.L. (GLOSSO)
• NIF/CIF: B75780759
• Domicilio: Polígono Industrial Los Rubiales, Calle 3, Nave 7, 23700 Linares (Jaén)
• Email para asuntos de privacidad:

Finalidades del tratamiento.

Tratamos tus datos personales para las siguientes finalidades:

• Prestar el servicio de análisis de proyectos para la línea ENISA: gestión del pago, recogida del formulario, procesamiento de la documentación y entrega del informe.
• Permitir la recuperación del informe y del formulario mediante un enlace privado asociado al email con el que se realizó la compra.
• Atender consultas, dudas y reclamaciones recibidas a través de los canales de contacto.
• Cumplir con las obligaciones legales aplicables (fiscales, contables, mercantiles).
• Velar por la seguridad del sitio y prevenir usos fraudulentos.

Base jurídica.

Las bases jurídicas que legitiman el tratamiento son:

• Ejecución de un contrato (art. 6.1.b RGPD): para prestar el servicio contratado.
• Cumplimiento de obligaciones legales (art. 6.1.c RGPD): para atender obligaciones fiscales, contables y mercantiles.
• Interés legítimo (art. 6.1.f RGPD): para la seguridad del sitio y la prevención del fraude, así como para la atención de consultas no contractuales.
• Consentimiento (art. 6.1.a RGPD): cuando lo solicitemos expresamente, por ejemplo para envíos comerciales.

Categorías de datos tratados.

Tratamos las siguientes categorías de datos:

• Identificación y contacto: dirección de correo electrónico utilizada para la compra y, en su caso, los datos fiscales que necesites para la factura.
• Datos del proyecto: los que tú aportas en el formulario guiado (datos de la empresa, modelo de negocio, equipo, finanzas, financiación solicitada).
• Documentación adjunta: archivos PDF, DOCX o XLSX que cargas voluntariamente para el análisis (plan de empresa, estados financieros, presentaciones, etc.).
• Datos de pago: los gestiona directamente la pasarela bancaria (Redsys). Glosso no almacena los datos de tarjeta.
• Datos técnicos: datos de navegación estrictamente necesarios para el funcionamiento del sitio.

Plazos de conservación.

• Documentación cargada para el análisis: se elimina automáticamente al finalizar el análisis.
• Informe generado y datos del formulario: permanecen disponibles 30 días desde la entrega, periodo durante el cual puedes recuperarlos con el enlace privado. Transcurrido ese plazo se eliminan, salvo que la ley imponga su conservación durante más tiempo.
• Datos de facturación y de la operación: se conservan durante los plazos legalmente exigidos (mercantil, fiscal y contable).
• Comunicaciones por email: se conservan durante el tiempo necesario para gestionarlas y, si procede, durante el plazo de prescripción de posibles acciones legales.

Destinatarios y encargados de tratamiento.

Para prestar el servicio recurrimos a proveedores que actúan como encargados del tratamiento bajo contrato (art. 28 RGPD). El listado actualizado de encargados es el siguiente:

• Amazon Web Services EMEA SARL (Luxemburgo) — Proveedor de hosting, almacenamiento persistente y servicios de infraestructura sobre los que se ejecuta el sitio y el procesamiento de la documentación. Los servicios se prestan desde regiones de la Unión Europea.
• OpenAI Ireland Ltd. (Irlanda) — Proveedor del motor de inteligencia artificial utilizado para el análisis de la documentación y la generación del informe. La documentación enviada a este encargado no se utiliza para entrenar modelos.
• Redsys Servicios de Procesamiento S.L. (España) — Pasarela de pago que gestiona el cobro y los datos de tarjeta. Glosso no almacena los datos de pago.

No se cederán datos a terceros salvo obligación legal.

Transferencias internacionales.

Los encargados contratados por Glosso están ubicados en el Espacio Económico Europeo (AWS EMEA SARL en Luxemburgo, con prestación del servicio desde regiones de la UE; OpenAI Ireland Ltd. en Irlanda; Redsys en España).

No obstante, OpenAI Ireland Ltd. recurre a subencargados del grupo OpenAI ubicados en Estados Unidos para la prestación efectiva del servicio de inteligencia artificial. En esos casos la transferencia internacional se ampara en las cláusulas contractuales tipo aprobadas por la Comisión Europea y, cuando resulta aplicable, en el Marco de Privacidad de Datos UE-EE. UU. (Data Privacy Framework), junto con las medidas complementarias necesarias para garantizar un nivel de protección equivalente al del RGPD.

Derechos del interesado.

Puedes ejercer los siguientes derechos en relación con tus datos personales:

• Acceso a los datos que tratamos sobre ti.
• Rectificación de los datos inexactos o incompletos.
• Supresión de los datos cuando ya no sean necesarios.
• Oposición al tratamiento basado en interés legítimo.
• Limitación del tratamiento en los supuestos previstos.
• Portabilidad de los datos tratados de forma automatizada.
• Retirada del consentimiento en cualquier momento, sin que afecte a la licitud del tratamiento previo.

Para ejercer estos derechos escribe a indicando el derecho que deseas ejercer y aportando, en su caso, copia de un documento que acredite tu identidad.

Reclamación ante la AEPD.

Si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es). Te pedimos, en cualquier caso, que nos contactes antes en para intentar resolver la cuestión.

Medidas de seguridad.

Aplicamos medidas técnicas y organizativas apropiadas al riesgo del tratamiento, incluyendo cifrado en tránsito, control de accesos basado en el principio de mínimo privilegio, registro de actividad y eliminación automática de la documentación una vez generado el informe.