Quién es el responsable del tratamiento.
Contenza K/S (CVR 43349023), Dinamarca, es el responsable del tratamiento de los datos personales tratados en este servicio. Contacten al equipo a través del formulario en /contact para cualquier asunto relativo a la privacidad.
Lo que recopilamos.
- Datos de cuenta — dirección de correo electrónico, nivel, marcas de tiempo de autenticación.
- Contenido del pasaporte — datos de producto y fabricante que introducen para publicar un Pasaporte digital de producto. Son principalmente datos de empresa, pero incluyen un correo de contacto conforme al Anexo III.
- Datos de uso — eventos de escaneo en URL públicas de pasaporte (geolocalización a nivel país derivada de la IP, categoría de user-agent). No conservamos las direcciones IP en bruto más allá de la ventana del registro de solicitudes.
- Datos de facturación — ID de cliente y estado de la suscripción de Stripe. Los datos de tarjeta nunca tocan nuestros servidores.
Bases jurídicas.
- Contrato (Art. 6 §1 b) para la creación de cuenta, autenticación y prestación del servicio.
- Obligación legal (Art. 6 §1 c) para facturación y registros fiscales.
- Intereses legítimos (Art. 6 §1 f) para la supervisión de seguridad y el análisis agregado de escaneos — ponderados frente a los datos personales mínimos implicados.
Analítica de eventos de escaneo en pasaportes públicos.
Cuando un visitante escanea el código QR de un pasaporte digital de producto publicado y carga /p/{code}, registramos un evento de escaneo grueso. Los datos capturados por evento son intencionalmente mínimos: un código de país ISO-3166 alpha-2 derivado del encabezado de solicitud que adjunta nuestro proxy de borde, una categoría de clase de dispositivo (móvil, tableta, escritorio, bot) analizada de la cadena User-Agent, y el tipo Accept de la respuesta (HTML o JSON-LD). No almacenamos direcciones IP brutas, cadenas User-Agent completas, huellas digitales de navegador ni cookies vinculadas a eventos de escaneo.
La base jurídica de este tratamiento es el interés legítimo conforme al artículo 6, apartado 1, letra f, del RGPD. Nuestro interés es operar y mejorar el servicio, demostrar la trazabilidad regulatoria de la UE a nuestros clientes y detectar abusos. Dado que los datos capturados son gruesos y nunca se vinculan a una persona identificable, hemos evaluado que los derechos y libertades de los visitantes no prevalecen. No usamos estos datos para publicidad, perfilado ni venta.
Conforme al artículo 21 del RGPD, tiene derecho a oponerse en cualquier momento al tratamiento de eventos de escaneo. Para oponerse, póngase en contacto con nosotros a través de /contact indicando el país y el período aproximado de los escaneos que desea eliminar; purgaremos las filas coincidentes en un plazo de 30 días. Dado que no se almacenan datos personales junto al código de país, la identificación se realiza mediante autoatestación en lugar de búsqueda autenticada.
Analíticas de visualización de páginas de marketing.
Un pequeño conjunto de páginas públicas de conformidad — actualmente /compliance/faq, /compliance/matrix, /continuity y /security — registra una vista de página igualmente gruesa por solicitud. Los datos capturados por vista son la ruta de la solicitud, el idioma resuelto (para que el tráfico EN / DE / DA / FR / IT / ES / PL en la misma ruta pueda distinguirse en agregado), el mismo código de país ISO-3166 de dos letras del header de solicitud que nuestro edge-proxy adjunta, y la misma clase de dispositivo (móvil, tableta, escritorio, bot). Sin IP cruda, sin User-Agent completo, sin cookies, sin huella digital.
La base jurídica es la misma que para las analíticas de escaneos — artículo 6(1)(f) del RGPD, intereses legítimos. Los datos informan el mantenimiento editorial de la superficie de conformidad (p. ej., ¿se lee la matriz en DE, los equipos de compras alcanzan la página de seguridad?) sin identificar al visitante. El mismo mecanismo de oposición del artículo 21 se aplica; contáctennos a través del formulario superior y purgaremos las filas coincidentes en un plazo de 30 días.
Conservación.
Conservamos los datos solo durante el tiempo necesario:
- Datos de cuenta — mientras su cuenta esté activa, más 30 días tras la supresión para absorber solicitudes de soporte por borrado accidental.
- Facturas — 5 años desde su emisión, conforme a la ley danesa de contabilidad.
- Eventos de escaneo — 24 meses móviles, después agregados en recuentos mensuales y las filas en bruto se descartan.
- Tokens Magic Link — purgados al usarse o 15 minutos tras su emisión, lo que ocurra antes.
- Pasaportes publicados — conservados durante la vida regulatoria del producto (el Artículo 10 apartado 4 del Reglamento de Diseño Ecológico para Productos Sostenibles prohíbe la supresión mientras el pasaporte esté en servicio).
Sus derechos.
Conforme al RGPD tienen derecho de acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento de sus datos personales. Pueden ejercitar cualquiera de estos derechos contactándonos — sin necesidad de cuenta ni inicio de sesión si pueden identificar los datos a los que se refieren.
Si consideran que hemos manejado mal sus datos, tienen derecho a presentar una reclamación ante la Autoridad danesa de protección de datos (Datatilsynet).
Residencia de datos.
Todos los datos personales se almacenan en infraestructura residente en la UE. Cuando un subencargado opera fuera de la UE, las transferencias se basan en las Cláusulas contractuales tipo de la Comisión Europea. El registro completo está en /sub-processors.
Menores.
El servicio se vende a empresas y no está dirigido a personas menores de 18 años. No recopilamos a sabiendas datos de menores.
Modificaciones.
Las modificaciones sustanciales se comunican por correo electrónico a los titulares de cuenta al menos 30 días antes de su entrada en vigor. Las precisiones menores se publican aquí con una fecha actualizada en la parte superior de la página.
¿Preguntas sobre esta política? Utilicen el formulario de contacto — o escriban al equipo a través de los datos de la página de contacto.