Política de Privacidad

RAXAR (en adelante, "RAXAR" o "nosotros") es el responsable del tratamiento de los datos personales recogidos a través de este sitio web (raxar.es) y de la plataforma RAXAR Empresas. — Denominación: RAXAR (entidad en proceso de constitución como S.L.) — CIF: Pendiente de asignación. — Email de contacto: privacidad@raxar.es — Sitio web: https://raxar.es

Recopilamos las siguientes categorías de datos personales: — **Datos de contacto:** nombre, email, teléfono (formulario de contacto, alta de cliente). — **Datos de empresa:** nombre de empresa, sector, tamaño, CIF/NIF (cuando contratas servicios). — **Datos de uso de la plataforma:** interacciones, acciones realizadas, preferencias de configuración. — **Chat IA (ARIA):** el contenido de las conversaciones con nuestro asistente virtual. Estas se procesan por modelos de IA de terceros para generar respuestas. No se envía información personal identificable a estos proveedores más allá del mensaje de la conversación. — **Datos analíticos:** páginas visitadas, duración de sesión, dispositivo, país. Recogidos de forma agregada y anonimizada mediante PostHog (servidores UE). No identifica usuarios individuales. — **Datos de pago:** procesados exclusivamente a través de proveedores de pago externos. RAXAR no almacena datos de tarjetas ni cuentas bancarias.

Tratamos tus datos para las siguientes finalidades: — **Prestación de servicios SaaS** — automatizaciones y dashboards contratados (Art. 6.1.b RGPD — ejecución de contrato). — **Gestión de cuentas** — autenticación, configuración y acceso a la plataforma (Art. 6.1.b RGPD). — **Facturación y comunicaciones de servicio** — envío de facturas y notificaciones operativas (Art. 6.1.b RGPD). — **Mejora del servicio** — análisis agregado del uso de la plataforma (Art. 6.1.f RGPD — interés legítimo). — **Cumplimiento legal** — obligaciones fiscales, contables y mercantiles (Art. 6.1.c RGPD). — **Comunicaciones comerciales** — newsletter y ofertas, solo con tu consentimiento previo (Art. 6.1.a RGPD). Puedes revocar este consentimiento en cualquier momento. — **Atención al cliente** — resolución de consultas y soporte técnico (Art. 6.1.b / 6.1.f RGPD). — **Prevención de fraude** — detección de actividad anómala y protección de la plataforma (Art. 6.1.f RGPD). No tratamos tus datos para fines distintos a los indicados sin tu consentimiento previo.

Tus datos no se venden ni ceden a terceros con fines comerciales. Compartimos datos con los siguientes proveedores tecnológicos (encargados del tratamiento) que prestan servicios bajo nuestras instrucciones: — **Hostinger International Ltd.** — Alojamiento VPS. Servidores en la Unión Europea. — **PostHog Inc.** — Analítica web. Servidores en la Unión Europea (EU Cloud). No identifica usuarios individuales. — **Anthropic PBC** (EE.UU.) — Procesamiento de lenguaje natural para el asistente ARIA. Datos protegidos mediante Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea. — **Groq Inc.** (EE.UU.) — Procesamiento de lenguaje natural para el asistente ARIA y análisis automatizados. Datos protegidos mediante SCCs. — **Autoridades públicas** — Cuando exista obligación legal. Las transferencias a proveedores fuera del Espacio Económico Europeo (Anthropic, Groq) se realizan con las garantías adecuadas conforme al RGPD, incluyendo Cláusulas Contractuales Estándar vigentes tras la sentencia Schrems II del TJUE.

RAXAR utiliza modelos de inteligencia artificial (IA) como parte de sus servicios, concretamente: — **ARIA (asistente virtual):** Genera respuestas conversacionales a partir de los mensajes que introduces. Los mensajes se envían a proveedores de IA para generar una respuesta en tiempo real. No se almacena información personal identificable de forma vinculada a tu identidad en los servidores de estos proveedores. — **Análisis automatizados:** Clasificación de emails, puntuación de leads y generación de informes. Estos procesos generan recomendaciones, pero las decisiones finales son siempre revisadas por personas. — **Modelos locales (privacy_mode):** Para clientes que lo requieren, los datos sensibles se procesan exclusivamente en modelos IA locales alojados en la infraestructura de RAXAR (torre propia · sin transferencia a proveedores externos). Esta opción se activa por acuerdo contractual o por configuración del tenant. Conforme al Artículo 22 del RGPD, ningún tratamiento automatizado produce efectos jurídicos o afecta significativamente a los interesados sin intervención humana. Tienes derecho a: — Obtener información sobre la lógica aplicada en cualquier análisis automatizado. — Solicitar intervención humana en cualquier decisión. — Expresar tu punto de vista y a impugnar la decisión. **Cumplimiento con el Reglamento (UE) 2024/1689 (AI Act):** Nuestros sistemas de IA se clasifican mayoritariamente como de **riesgo limitado** o **riesgo mínimo** según la taxonomía del AI Act. Cumplimos las obligaciones de transparencia aplicables: — Los usuarios son informados cuando interactúan con un sistema IA (ARIA está claramente identificado como asistente virtual). — El contenido generado por IA está identificado como tal cuando podría confundirse con contenido humano. — Guardrails activos previenen generación de contenido prohibido. — Evaluaciones regulares de sesgos, robustez y precisión de los modelos utilizados. Para ejercer estos derechos, contacta con privacidad@raxar.es.

Conservamos tus datos durante los siguientes períodos: — **Datos de clientes activos:** Duración del contrato + 6 años (obligaciones fiscales y mercantiles). — **Datos de usuarios de plataforma:** Duración del contrato + 3 meses. — **Consultas no convertidas en contrato:** Máximo 12 meses desde el último contacto. — **Comunicaciones comerciales:** 24 meses o hasta la revocación del consentimiento. — **Logs de acceso y analítica:** 12 meses. — **Cookies:** Según la configuración de cada tipo (ver Política de Cookies). Transcurridos estos plazos, los datos se eliminan o se anonimizan de forma irreversible.

Conforme al RGPD (Arts. 15-22), tienes derecho a: — **Acceso** (Art. 15): conocer qué datos personales tenemos sobre ti. — **Rectificación** (Art. 16): corregir datos inexactos o incompletos. — **Supresión** (Art. 17): solicitar el borrado cuando los datos ya no sean necesarios. — **Limitación del tratamiento** (Art. 18): solicitar que se limite el uso de tus datos en determinadas circunstancias. — **Portabilidad** (Art. 20): recibir tus datos en un formato estructurado, de uso común y lectura mecánica. — **Oposición** (Art. 21): oponerte al tratamiento basado en interés legítimo. — **No ser objeto de decisiones automatizadas** (Art. 22): derecho a no estar sujeto a decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos. Para ejercer cualquiera de estos derechos, escríbenos a privacidad@raxar.es indicando el derecho que deseas ejercer. Responderemos en un plazo máximo de 30 días (ampliable a 60 días en casos complejos, previa notificación motivada). **Procedimiento de verificación de identidad:** Para proteger tus datos frente a solicitudes fraudulentas, podemos requerir que acredites tu identidad mediante: (i) confirmación desde el email vinculado a tu cuenta, (ii) copia de documento identificativo (DNI/NIE/pasaporte · fragmentos no necesarios pueden ocultarse), o (iii) verificación in-app si ya estás autenticado. No solicitamos documentación excesiva. **Formato de portabilidad (Art. 20):** Los datos se entregan en formato estructurado JSON (por defecto) o CSV, con esquema documentado. Tamaños grandes (>100MB) se entregan mediante enlace seguro con expiración a 72h. Si consideras que tus derechos no han sido atendidos correctamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es o en su sede: Calle Príncipe de Vergara, 108 — 28002 Madrid.

Implementamos medidas técnicas y organizativas adecuadas para proteger tus datos (RGPD art. 32), entre ellas: **Técnicas:** — Cifrado en tránsito **TLS 1.3** (mínimo TLS 1.2) con *HTTP Strict Transport Security* (HSTS) en todos los dominios. — Cifrado en reposo **AES-256** para datos sensibles en base de datos. — Aislamiento multi-tenant mediante **Row Level Security (RLS)** en PostgreSQL, con políticas de acceso verificadas en auditoría independiente. — **Guardrails de IA** activos: filtrado de PII, inyección de prompts y secretos en todas las llamadas a modelos. — Rotación trimestral de credenciales operativas y tokens (inmediata en caso de incidencia). — Sandboxing y *allowlist* estricta para ejecución de comandos generados por IA. — *Security headers* completos: CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy (auditoría S199). **Autenticación de usuarios:** — **Autenticación multifactor (2FA)** obligatoria para roles administrativos · opcional pero recomendada para usuarios. — Contraseñas con mínimo 12 caracteres, hash bcrypt con factor 12. — Expiración de sesión tras 24h de inactividad. — Bloqueo de cuenta tras 5 intentos fallidos consecutivos. **Organizativas:** — Control de acceso basado en roles (**RBAC**) · 4 roles: superadmin, raxar_internal, raxar_team, cliente. — Principio de mínimo privilegio aplicado. — Servidores alojados en la **Unión Europea** (Hostinger · datacenter certificado ISO 27001). — **Backups** diarios automáticos con *offsite replication* (torre geográficamente separada · cron 04:00 UTC desde S197). — Monitorización 24/7 (Uptime Kuma · GlitchTip · Monitorización 24/7 custom) con alertas Telegram ante anomalías. — Procedimiento documentado de respuesta a incidentes. — Formación RGPD y seguridad para el equipo interno.

En caso de una violación de seguridad de datos personales que afecte a los derechos y libertades de los interesados, RAXAR se compromete a: — **Notificar a la Agencia Española de Protección de Datos (AEPD)** en un plazo máximo de **72 horas** desde el conocimiento, conforme al Art. 33 RGPD. — **Comunicar a los interesados afectados** sin demora indebida cuando la brecha suponga un alto riesgo para sus derechos y libertades (Art. 34 RGPD). — **Notificar al cliente (responsable del tratamiento)** dentro de las **48 horas** siguientes al conocimiento cuando la brecha afecte a datos tratados en su nombre (plazo contractual más estricto que el legal). Toda brecha queda registrada internamente en nuestro registro de incidencias de seguridad, disponible para revisión por autoridades de control y clientes responsables.

Los servicios de RAXAR están dirigidos exclusivamente a mayores de 18 años (clientes B2B · profesionales y empresas). No recopilamos intencionadamente datos de menores. Si detectamos que se han recogido datos de un menor, procederemos a su eliminación inmediata.

Este sitio web utiliza cookies técnicas y de análisis. Para más información, consulta nuestra Política de Cookies en raxar.es/cookies.

RAXAR no está obligado a designar Delegado de Protección de Datos (DPD/DPO) conforme al Art. 37 RGPD (la actividad no constituye observación sistemática a gran escala ni tratamiento a gran escala de categorías especiales). No obstante: — Tenemos un canal dedicado para cuestiones de privacidad: **privacidad@raxar.es**. — Las solicitudes se gestionan por el equipo directivo con responsabilidad directa en materia de protección de datos. — Si en el futuro nuestro volumen de tratamiento lo requiere, designaremos un DPD formal y actualizaremos esta política.

Podemos actualizar esta política para reflejar cambios legales o en nuestros servicios. La fecha de última actualización aparece al inicio de esta página. Si los cambios son significativos, te lo comunicaremos por email si tienes relación activa con nosotros, y/o mediante aviso prominente en la plataforma durante 30 días.