Información legal
Política de Privacidad
Última actualización: 25 de junio de 2026
En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa sobre el tratamiento de los datos personales recabados a través de aurazz.es.
1. Identidad del responsable
Responsable del tratamiento:
- JD Studio, S.L.
- NIF: B26640078
- Domicilio: Calle Independencia, 56, 13700 Tomelloso (Ciudad Real)
- Inscrita en el Registro Mercantil de Ciudad Real, Hoja CR-35652, Inscripción 1.
- Email: contacto@aurazz.es
JD Studio, S.L. no está obligada a designar un Delegado de Protección de Datos conforme al artículo 37 RGPD al no cumplir los supuestos del artículo 37.1. Para cualquier cuestión sobre privacidad, escribe a contacto@aurazz.es.
2. Finalidades, base jurídica y plazos de conservación
2.1. Formulario de contacto
- Datos: nombre y email obligatorios; empresa y mensaje opcionales. Si no facilitas nombre y email no podremos responderte.
- Finalidad: atender tu consulta y gestionar la comunicación previa a una posible relación comercial.
- Base jurídica: aplicación de medidas precontractuales adoptadas a petición del interesado (art. 6.1.b RGPD). Tu envío del formulario inicia esa fase precontractual; la aceptación de esta política acredita que has recibido la información del art. 13 RGPD.
- Conservación: hasta la resolución de la consulta y, a partir de ese momento, 1 año adicional para posibles consultas posteriores. Si se inicia relación contractual, los datos se conservan el tiempo legalmente exigido para obligaciones fiscales y contables (hasta 6 años, art. 30 del Código de Comercio; 4 años para obligaciones fiscales, art. 70 de la Ley 58/2003 General Tributaria).
2.2. Suscripción a newsletter / waitlist
- Datos: email.
- Finalidad: informarte del lanzamiento de Aurazz en septiembre 2026 y enviarte comunicaciones comerciales posteriores sobre nuestros servicios.
- Base jurídica: consentimiento (art. 6.1.a RGPD), prestado mediante la marcación expresa de la casilla de suscripción.
- Conservación: hasta que solicites la baja. Cada comunicación incluye un enlace de baja con un solo clic. Tras la baja, los datos se suprimen en un plazo máximo de 30 días.
2.3. Relación contractual (clientes de servicios de agencia)
- Datos: datos de contacto, facturación y los necesarios para la prestación del servicio.
- Finalidad: gestión del contrato, facturación y cumplimiento de obligaciones legales.
- Base jurídica: ejecución de un contrato (art. 6.1.b RGPD) y cumplimiento de obligaciones legales (art. 6.1.c RGPD).
- Conservación: durante la vigencia del contrato y, tras su finalización, durante los plazos legalmente exigidos: 6 años para documentación mercantil (art. 30 Código de Comercio), 4 años para obligaciones tributarias.
3. Destinatarios y encargados del tratamiento
Para la prestación de los servicios, trabajamos con los siguientes encargados del tratamiento conforme al artículo 28 RGPD, con los que mantenemos los correspondientes acuerdos o términos de tratamiento de datos (DPA). Publicamos esta cadena completa con información detallada porque consideramos que tienes derecho a saber por dónde viajan tus datos.
| Subencargado | Función | Ubicación | Transferencia | Datos tratados | Retención | DPA firmado |
|---|---|---|---|---|---|---|
| Vercel Inc. | Hosting + CDN | EE.UU. (CDN global edge) | EU-US DPF (Active) | Logs de acceso, IPs de visitantes y tránsito de datos de formularios web (enrutado, sin almacenamiento persistente) | Logs ≤90 días | 31 mar 2026 |
| Supabase Inc. | Base de datos + autenticación | Frankfurt (UE-West) | Sin transferencia internacional (datos en UE) | Datos persistentes Aurazz (clientes, leads, registros de consentimiento, log de incidencias) | Según política por tabla (ver sección 2) | 21 may 2026 (bilateral) |
| Brevo SAS (ex-Sendinblue) | Email transaccional + marketing | París, Francia (UE) | Sin transferencia internacional (datos en UE) | Emails newsletter/waitlist, datos de contacto, contenido email transaccional | Hasta baja + 30 días supresión | 19 may 2026 |
| PostHog Inc. | Product analytics web | Frankfurt EU Cloud | Sin transferencia internacional (datos en EU Cloud) | Identificador seudonimizado del visitante, eventos de navegación (solo con consentimiento explícito) | 12 meses por defecto, revocable | 20 may 2026 |
| Google LLC (Google Analytics 4, vía Google Tag Manager) | Analítica de audiencia web | EE.UU. | EU-US DPF (Active) | Identificador de cookie (_ga), páginas vistas y origen del tráfico (solo con consentimiento explícito, Consent Mode v2). GA4 no almacena la dirección IP | Retención GA4 configurable (2-14 meses); cookies hasta 24 meses | Google Ads/Measurement Data Processing Terms (aceptados en los Términos de GA) |
| Functional Software Inc. (d/b/a Sentry) | Monitorización errores aplicación | EE.UU. | EU-US DPF (Active) | Logs error + stack trace, IP afectado puntualmente. NO contenido de prompts ni respuestas IA | Eventos ≤90 días | 20 may 2026 |
No se realizan cesiones de datos a terceros con fines comerciales. Podemos comunicar datos a Administraciones Públicas cuando exista obligación legal y a colaboradores profesionales bajo confidencialidad estricta para la prestación de servicios contratados.
3.1. Subencargados planificados
En coherencia con la transparencia que aplicamos a los subencargados activos, comunicamos también los proveedores que tenemos previsto incorporar próximamente y la fecha estimada. Su entrada en la cadena se anunciará en esta misma tabla con al menos 30 días naturales de antelación, conforme a la mejor práctica del Comité Europeo de Protección de Datos (EDPB).
- Holded (facturación + Verifactu) — al emitir la primera factura
- Upstash Redis (protección de formularios frente a abuso) — próximamente
Microsoft Clarity fue valorado y descartado oficialmente el 16 de mayo de 2026 por solapamiento funcional con PostHog. Si en el futuro se reactivara, requeriría DPA + actualización pública de esta tabla con preaviso ≥30 días.
3.2. Compromisos sobre la cadena de subencargados
- Minimización. Solo añadimos subencargados cuando los necesitamos para prestar el servicio contratado. No revendemos datos a terceros.
- Auditoría DPA bajo solicitud verificada. Cada subencargado tiene un DPA Art. 28 RGPD firmado y archivado. Si necesitas acreditarlo, te facilitamos copia tras verificación de identidad escribiendo a contacto@aurazz.es.
- Cambios con preaviso. Si añadimos, cambiamos o damos de baja un subencargado que pueda afectar a tus datos, te avisamos con al menos 30 días naturales de antelación cuando tengas relación contractual activa con nosotros.
- Transferencias internacionales con garantías. Cuando un subencargado opera fuera del Espacio Económico Europeo, aplicamos el mecanismo de transferencia requerido (DPF o Cláusulas Contractuales Tipo + Evaluación de Impacto). Detalle en la sección 4 de esta política.
- Sin subencargados ocultos. Si descubres que estamos usando un proveedor que no aparece listado aquí, te pedimos que nos lo comuniques por escrito a contacto@aurazz.es. Resolveremos la incidencia sin demora indebida.
4. Transferencias internacionales de datos
Algunos proveedores están establecidos en EE.UU. Sus transferencias están amparadas en la Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023 relativa al EU-U.S. Data Privacy Framework (DPF), para los proveedores certificados y con estado "Active" verificable en dataprivacyframework.gov/list. A la fecha de esta política: Vercel Inc., Functional Software Inc. (d/b/a Sentry) y Google LLC (Google Analytics). Para Google Analytics, además, GA4 no almacena la dirección IP y el tratamiento solo se activa con tu consentimiento (Google Consent Mode v2, denegado por defecto).
Supabase, Brevo y PostHog operan íntegramente desde infraestructura situada en la Unión Europea, por lo que su tratamiento no implica transferencia internacional de datos.
Puedes solicitar copia de las garantías aplicables en contacto@aurazz.es.
5. Decisiones automatizadas y elaboración de perfiles
No se adoptan decisiones automatizadas que produzcan efectos jurídicos sobre los interesados ni que les afecten de modo significativamente similar, conforme al artículo 22 RGPD. Las herramientas de análisis utilizadas en la prestación de servicios operan como soporte operativo y nunca como mecanismo de decisión sobre los interesados.
6. Derechos del interesado
Puedes ejercer en cualquier momento los siguientes derechos:
- Acceso: conocer qué datos tratamos sobre ti.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión: solicitar la eliminación ("derecho al olvido").
- Limitación: solicitar la limitación temporal del tratamiento.
- Portabilidad: recibir tus datos en formato estructurado y legible.
- Oposición: oponerte al tratamiento basado en interés legítimo.
- No ser objeto de decisiones automatizadas con efectos jurídicos.
7. Derecho a retirar el consentimiento
Cuando el tratamiento se base en tu consentimiento, puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento realizado antes de la retirada. Para hacerlo, escribe a contacto@aurazz.es o utiliza el enlace de baja incluido en cada comunicación comercial.
Para ejercer cualquiera de los derechos anteriores, escribe a contacto@aurazz.es indicando claramente tu solicitud y adjuntando copia de un documento identificativo. Responderemos en el plazo máximo de un mes desde la recepción de la solicitud, prorrogable dos meses más si la complejidad lo requiere, con notificación previa.
8. Derecho a presentar reclamación ante la AEPD
Si consideras que el tratamiento no se ajusta a la normativa de protección de datos, tienes derecho a presentar una reclamación ante la autoridad de control española:
- Agencia Española de Protección de Datos (AEPD)
- C/ Jorge Juan, 6 — 28001 Madrid
- www.aepd.es
- Teléfono: 901 100 099
9. Medidas de seguridad
Aplicamos medidas técnicas y organizativas apropiadas conforme al artículo 32 RGPD, incluyendo cifrado en tránsito (TLS 1.3), cifrado en reposo, control de accesos basado en roles, registros de actividad y procedimientos de respuesta a incidentes. En caso de brecha de seguridad que entrañe riesgo para los derechos y libertades de los interesados, notificaremos a la AEPD en un plazo máximo de 72 horas desde el conocimiento del incidente (artículo 33 RGPD).
Cuando la brecha entrañe un alto riesgo para tus derechos y libertades, te comunicaremos directamente la incidencia sin demora indebida, en lenguaje claro y sencillo, indicando la naturaleza de la brecha, las consecuencias probables, las medidas adoptadas para mitigarlas y un punto de contacto donde obtener más información (artículo 34 RGPD).
10. Menores de edad
Los servicios de Aurazz están dirigidos a empresas y profesionales, no a menores de 14 años (artículo 7 LOPDGDD). Si detectamos datos de menores sin el consentimiento de los titulares de la patria potestad o tutela, los suprimiremos inmediatamente.
11. Actualización de esta política
Esta política puede modificarse para adaptarla a cambios normativos o a nuevos tratamientos. Se publicará la versión actualizada en este sitio web con indicación de la fecha de modificación. Te recomendamos revisarla periódicamente.
Si el tratamiento se modifica para una finalidad distinta de la inicialmente comunicada, te lo informaremos previamente. Cuando la nueva finalidad requiera consentimiento conforme al artículo 6.1.a RGPD, te lo solicitaremos de forma específica antes de iniciar ese nuevo tratamiento.