Política de privacidad

El responsable del tratamiento de los datos personales recogidos a través del servicio OpenAt (openat.es) es AGApps.

Canal de contacto en materia de protección de datos y para el ejercicio de derechos: contacto@openat.es.

El tratamiento de datos personales se efectúa en cumplimiento de:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), en particular su artículo 22 relativo al uso de cookies y tecnologías similares.
• Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas (ePrivacy).

OpenAt ha sido diseñado conforme a los principios de privacidad desde el diseño y por defecto (artículo 25 RGPD), tratando únicamente los datos estrictamente necesarios para la prestación del servicio.

El uso ordinario del servicio no requiere registro ni creación de cuenta de usuario. No se solicitan ni almacenan nombres, apellidos, teléfonos ni otros identificadores personales directos.

a) Ficheros subidos al servicio

Finalidad: almacenamiento temporal y entrega programada al destinatario que disponga de la URL y del código de acceso.

Base jurídica: ejecución de la relación contractual derivada del uso del servicio (art. 6.1.b RGPD).

Conservación: los ficheros se eliminan automáticamente tras la descarga confirmada o, como máximo, 7 días después de la fecha de apertura programada.

Medidas aplicadas: los archivos se almacenan cifrados mediante AES-256-GCM y las claves de acceso se derivan criptográficamente a partir del código proporcionado por el usuario.

a.bis) Imagen de portada de la cápsula (opcional)

Finalidad: mostrar una imagen de portada elegida por el emisor en la pantalla de espera previa a la apertura.

Base jurídica: ejecución de la relación contractual derivada del uso del servicio (art. 6.1.b RGPD).

Medidas aplicadas: la imagen se re-procesa en servidor eliminando la totalidad de los metadatos EXIF (incluida la geolocalización) y se almacena cifrada at-rest mediante AES-256-GCM con clave gestionada en Google Secret Manager (medida aplicada a las cápsulas creadas a partir de junio de 2026). Solo se entrega al destinatario una vez introducido el código de acceso correcto, mediante enlaces de duración limitada.

Conservación: se elimina junto con el resto de la cápsula, tras la descarga confirmada o, como máximo, 7 días después de la fecha de apertura programada.

b) Email de notificación al emisor (opcional)

Finalidad: notificar al remitente que el fichero ha sido descargado.

Base jurídica: consentimiento del interesado (art. 6.1.a RGPD), prestado al introducir voluntariamente su dirección de correo electrónico.

Medidas aplicadas: la dirección se almacena cifrada at-rest mediante AES-256-GCM con clave gestionada en Google Secret Manager. Si el almacén de datos se viera comprometido, el correo seguiría siendo indescifrable sin la clave del proyecto.

Conservación: la dirección de correo electrónico se elimina completamente del documento tras el envío de la notificación, sin quedar copia en logs ni bases de datos comerciales ni históricas.

c) Email de aviso al destinatario (opcional)

Finalidad: notificar al destinatario que el regalo ya está desbloqueado y puede abrirse. La dirección la facilita voluntariamente el emisor al crear la cápsula.

Base jurídica: consentimiento del interesado (art. 6.1.a RGPD), prestado por el emisor al introducir el correo. El emisor es responsable de contar con autorización del destinatario para facilitar dicho dato.

Medidas aplicadas: la dirección se almacena cifrada at-rest mediante AES-256-GCM con la misma clave gestionada en Secret Manager. La notificación se envía exactamente una vez tras la fecha de apertura programada y nunca contiene el código de acceso al regalo.

Conservación: la dirección de correo electrónico se elimina completamente del documento inmediatamente después del envío (o del intento, si éste falla). No se conservan copias en logs, bases de datos comerciales, ni se utiliza para ninguna otra finalidad. Cero rastro.

d) Formulario de contacto y comunicaciones

Finalidad: atender consultas, incidencias, solicitudes de soporte y comunicaciones relacionadas con posibles usos indebidos o abusivos del servicio.

Base jurídica:

• consentimiento del interesado (art. 6.1.a RGPD);
• interés legítimo del Responsable en garantizar la seguridad y correcto funcionamiento del servicio (art. 6.1.f RGPD).

Conservación: los mensajes podrán conservarse durante el tiempo estrictamente necesario para atender la solicitud o gestionar incidencias derivadas de la comunicación.

e) Direcciones IP y medidas antiabuso

Finalidad: prevenir abusos, automatizaciones maliciosas y usos fraudulentos del servicio mediante sistemas de limitación de peticiones y protección técnica.

Base jurídica: interés legítimo del Responsable en garantizar la seguridad, disponibilidad e integridad del servicio (art. 6.1.f RGPD).

Conservación: las direcciones IP se procesan preferentemente mediante funciones hash criptográficas y durante periodos limitados, no superiores a 24 horas, salvo que resulte necesario conservar información adicional por motivos de seguridad o prevención de fraude.

OpenAt no mantiene registros persistentes propios de direcciones IP en claro más allá de los necesarios para la operación técnica y seguridad del servicio.

f) Cookies y tecnologías similares

El sitio web utiliza cookies y tecnologías similares propias y de terceros para:

• análisis estadístico anónimo del uso del servicio (sujeto a consentimiento previo);
• protección frente a accesos automatizados y bots.

Los servicios utilizados actualmente son:

• Google Analytics 4 (analítica, requiere consentimiento);
• Google reCAPTCHA y Firebase App Check (antiabuso, técnica).

Publicidad: en este momento OpenAt no muestra publicidad de terceros ni utiliza cookies publicitarias. En caso de reactivarse en el futuro, esta política se actualizará y se solicitará el consentimiento del usuario antes de instalar cualquier cookie publicitaria.

Base jurídica: consentimiento del usuario prestado a través del banner de cookies del sitio web, conforme al artículo 22.2 de la LSSI-CE y al artículo 6.1.a RGPD.

El usuario puede aceptar, rechazar o retirar su consentimiento en cualquier momento desde el botón "Gestionar mis preferencias" disponible en la página de Política de Cookies.

Información adicional sobre cookies y tecnologías utilizadas está disponible en la Política de Cookies.

Para la prestación del servicio, el Responsable utiliza los siguientes proveedores, que actúan como encargados del tratamiento conforme al artículo 28 RGPD:

• Google Ireland Ltd. — Firebase (hosting, almacenamiento, funciones serverless, App Check y servicios asociados), Google Analytics 4 (analítica) y Google reCAPTCHA (antiabuso).
• Twilio SendGrid Inc. — servicios de envío de correos electrónicos transaccionales.

Estos proveedores han sido seleccionados por ofrecer garantías adecuadas de cumplimiento en materia de protección de datos. Si en el futuro se incorporasen proveedores adicionales (por ejemplo, Google AdSense para publicidad), esta política se actualizará en consecuencia.

Algunos proveedores pueden implicar transferencias internacionales de datos fuera del Espacio Económico Europeo.

Cuando dichas transferencias se producen, el Responsable adopta las garantías adecuadas previstas en los artículos 45 a 49 del RGPD, incluyendo, según corresponda:

• decisiones de adecuación de la Comisión Europea;
• Cláusulas Contractuales Tipo aprobadas por la Comisión Europea;
• medidas técnicas complementarias, incluyendo cifrado de datos en tránsito y en reposo.

Actualmente OpenAt no muestra publicidad. No se utilizan plataformas publicitarias ni se realiza personalización publicitaria, ni se elaboran perfiles publicitarios a partir de los datos de navegación.

En caso de que en el futuro se incorporase un servicio publicitario (por ejemplo, Google AdSense), esta política se actualizará para reflejar el tratamiento de datos correspondiente, las cookies empleadas y las opciones disponibles para el usuario, y se solicitará el consentimiento previo y específico antes de instalar cualquier cookie publicitaria, conforme al artículo 22.2 de la LSSI-CE.

Más información sobre el tratamiento de datos realizado por Google como proveedor técnico actualmente activo: policies.google.com/privacy.

De conformidad con el artículo 32 RGPD, el Responsable aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

• cifrado de archivos mediante AES-256-GCM;
• derivación criptográfica de claves de acceso mediante Argon2id;
• almacenamiento de códigos de acceso exclusivamente como hash criptográfico (Argon2id);
• cifrado at-rest de las direcciones de correo electrónico (emisor y destinatario, si se proporcionan) mediante AES-256-GCM con clave gestionada en Google Secret Manager;
• cifrado at-rest de las imágenes de portada, si se proporcionan, mediante AES-256-GCM con clave gestionada en Google Secret Manager;
• cifrado de comunicaciones mediante TLS;
• eliminación automática de datos transcurridos los plazos establecidos;
• limitación temporal del tratamiento de información técnica asociada a seguridad y prevención de abuso.

Las personas interesadas podrán ejercer los derechos reconocidos en los artículos 15 a 22 RGPD, incluyendo:

• acceso;
• rectificación;
• supresión;
• oposición;
• limitación del tratamiento;
• portabilidad;
• retirada del consentimiento previamente otorgado.

Las solicitudes podrán dirigirse a contacto@openat.es.

El ejercicio de derechos es gratuito, sin perjuicio de que pueda requerirse información adicional para verificar la identidad del solicitante.

Dado que OpenAt minimiza deliberadamente la recopilación de datos identificativos y no utiliza cuentas de usuario, determinados derechos podrán verse limitados cuando el Responsable no pueda identificar razonablemente al interesado conforme al artículo 11 RGPD.

Asimismo, el usuario podrá presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

El Responsable no adopta decisiones automatizadas con efectos jurídicos significativos sobre los usuarios conforme al artículo 22 RGPD.

Los mecanismos automatizados utilizados por servicios de terceros, como sistemas antiabuso o tecnologías publicitarias, tienen finalidades técnicas, estadísticas o de seguridad.

El servicio no está dirigido a menores de 14 años.

Si el Responsable detecta que se han recopilado datos personales de menores de edad sin autorización válida, dichos datos podrán ser eliminados o bloqueados tan pronto como resulte posible.

Los padres, madres o representantes legales podrán contactar con el Responsable para solicitar cualquier actuación relacionada con datos de menores.

Determinada información podrá permanecer temporalmente en copias de seguridad técnicas y sistemas de continuidad durante los plazos mínimos necesarios para garantizar la seguridad, integridad y recuperación del servicio.

El Responsable podrá modificar la presente Política de Privacidad para adaptarla a cambios normativos, técnicos o funcionales del servicio.

La versión vigente será la publicada en el sitio web en cada momento.