Política de privacidad

El responsable del tratamiento de los datos personales recogidos a través del servicio OpenAt (openat.es) es AGApps.

Canal de contacto en materia de protección de datos y para el ejercicio de derechos: contacto@openat.es.

El tratamiento de datos personales se efectúa en cumplimiento de:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), en particular su artículo 22 relativo al uso de cookies y tecnologías similares.
• Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas (ePrivacy).

OpenAt ha sido diseñado conforme a los principios de privacidad desde el diseño y por defecto (artículo 25 RGPD), tratando únicamente los datos estrictamente necesarios para la prestación del servicio.

El uso ordinario del servicio no requiere registro ni creación de cuenta de usuario. No se solicitan ni almacenan nombres, apellidos, teléfonos ni otros identificadores personales directos.

a) Ficheros subidos al servicio

Finalidad: almacenamiento temporal y entrega programada al destinatario que disponga de la URL y del código de acceso.

Base jurídica: ejecución de la relación contractual derivada del uso del servicio (art. 6.1.b RGPD).

Conservación: los ficheros se eliminan automáticamente tras la descarga confirmada o, como máximo, 7 días después de la fecha de apertura programada.

Medidas aplicadas: los archivos se almacenan cifrados mediante AES-256-GCM y las claves de acceso se derivan criptográficamente a partir del código proporcionado por el usuario.

b) Email de notificación (opcional)

Finalidad: notificar al remitente que el fichero ha sido descargado.

Base jurídica: consentimiento del interesado (art. 6.1.a RGPD), prestado al introducir voluntariamente su dirección de correo electrónico.

Conservación: la dirección de correo electrónico se elimina automáticamente tras el envío de la notificación y no se incorpora a bases de datos comerciales ni históricas.

c) Formulario de contacto y comunicaciones

Finalidad: atender consultas, incidencias, solicitudes de soporte y comunicaciones relacionadas con posibles usos indebidos o abusivos del servicio.

Base jurídica:

• consentimiento del interesado (art. 6.1.a RGPD);
• interés legítimo del Responsable en garantizar la seguridad y correcto funcionamiento del servicio (art. 6.1.f RGPD).

Conservación: los mensajes podrán conservarse durante el tiempo estrictamente necesario para atender la solicitud o gestionar incidencias derivadas de la comunicación.

d) Direcciones IP y medidas antiabuso

Finalidad: prevenir abusos, automatizaciones maliciosas y usos fraudulentos del servicio mediante sistemas de limitación de peticiones y protección técnica.

Base jurídica: interés legítimo del Responsable en garantizar la seguridad, disponibilidad e integridad del servicio (art. 6.1.f RGPD).

Conservación: las direcciones IP se procesan preferentemente mediante funciones hash criptográficas y durante periodos limitados, no superiores a 24 horas, salvo que resulte necesario conservar información adicional por motivos de seguridad o prevención de fraude.

OpenAt no mantiene registros persistentes propios de direcciones IP en claro más allá de los necesarios para la operación técnica y seguridad del servicio.

e) Cookies y tecnologías similares

El sitio web utiliza cookies y tecnologías similares propias y de terceros para:

• análisis estadístico del uso del servicio;
• personalización y medición publicitaria;
• protección frente a accesos automatizados y bots.

Entre los servicios utilizados pueden encontrarse:

• Google Analytics 4;
• Google AdSense;
• Google reCAPTCHA.

Base jurídica: consentimiento del usuario prestado a través de la plataforma de gestión de consentimiento (CMP), conforme al artículo 22.2 de la LSSI-CE y al artículo 6.1.a RGPD.

El usuario puede aceptar, rechazar o retirar su consentimiento en cualquier momento desde el panel de configuración de cookies disponible en el sitio web.

Información adicional sobre cookies y tecnologías utilizadas está disponible en la Política de Cookies.

Para la prestación del servicio, el Responsable utiliza proveedores que actúan como encargados del tratamiento conforme al artículo 28 RGPD:

• Google Ireland Ltd. — Firebase (hosting, almacenamiento, funciones serverless y servicios asociados) y Google Analytics 4.
• Google Ireland Ltd. — Google AdSense y Google reCAPTCHA.
• Twilio SendGrid Inc. — servicios de envío de correos electrónicos transaccionales.

Estos proveedores han sido seleccionados por ofrecer garantías adecuadas de cumplimiento en materia de protección de datos.

Algunos proveedores pueden implicar transferencias internacionales de datos fuera del Espacio Económico Europeo.

Cuando dichas transferencias se producen, el Responsable adopta las garantías adecuadas previstas en los artículos 45 a 49 del RGPD, incluyendo, según corresponda:

• decisiones de adecuación de la Comisión Europea;
• Cláusulas Contractuales Tipo aprobadas por la Comisión Europea;
• medidas técnicas complementarias, incluyendo cifrado de datos en tránsito y en reposo.

El servicio puede mostrar publicidad gestionada por Google AdSense.

En caso de que el usuario otorgue su consentimiento, Google podrá utilizar cookies y tecnologías similares para personalizar anuncios en función de hábitos de navegación e intereses, lo que puede implicar la elaboración de perfiles publicitarios.

El usuario puede retirar o modificar su consentimiento en cualquier momento desde la plataforma de gestión de consentimiento (CMP) disponible en el sitio web.

Asimismo, Google permite gestionar preferencias publicitarias desde adssettings.google.com.

Más información sobre el tratamiento de datos realizado por Google: policies.google.com/privacy.

De conformidad con el artículo 32 RGPD, el Responsable aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

• cifrado de archivos mediante AES-256-GCM;
• derivación criptográfica de claves de acceso mediante Argon2id;
• almacenamiento de códigos de acceso exclusivamente como hash criptográfico (Argon2id);
• cifrado de comunicaciones mediante TLS;
• eliminación automática de datos transcurridos los plazos establecidos;
• limitación temporal del tratamiento de información técnica asociada a seguridad y prevención de abuso.

Las personas interesadas podrán ejercer los derechos reconocidos en los artículos 15 a 22 RGPD, incluyendo:

• acceso;
• rectificación;
• supresión;
• oposición;
• limitación del tratamiento;
• portabilidad;
• retirada del consentimiento previamente otorgado.

Las solicitudes podrán dirigirse a contacto@openat.es.

El ejercicio de derechos es gratuito, sin perjuicio de que pueda requerirse información adicional para verificar la identidad del solicitante.

Dado que OpenAt minimiza deliberadamente la recopilación de datos identificativos y no utiliza cuentas de usuario, determinados derechos podrán verse limitados cuando el Responsable no pueda identificar razonablemente al interesado conforme al artículo 11 RGPD.

Asimismo, el usuario podrá presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

El Responsable no adopta decisiones automatizadas con efectos jurídicos significativos sobre los usuarios conforme al artículo 22 RGPD.

Los mecanismos automatizados utilizados por servicios de terceros, como sistemas antiabuso o tecnologías publicitarias, tienen finalidades técnicas, estadísticas o de seguridad.

El servicio no está dirigido a menores de 14 años.

Si el Responsable detecta que se han recopilado datos personales de menores de edad sin autorización válida, dichos datos podrán ser eliminados o bloqueados tan pronto como resulte posible.

Los padres, madres o representantes legales podrán contactar con el Responsable para solicitar cualquier actuación relacionada con datos de menores.

Determinada información podrá permanecer temporalmente en copias de seguridad técnicas y sistemas de continuidad durante los plazos mínimos necesarios para garantizar la seguridad, integridad y recuperación del servicio.

El Responsable podrá modificar la presente Política de Privacidad para adaptarla a cambios normativos, técnicos o funcionales del servicio.

La versión vigente será la publicada en el sitio web en cada momento.