Política de privacidad

Última actualización: 24 de abril de 2026

En prisma nos tomamos muy en serio la protección de datos personales. Esta Política explica qué datos tratamos, para qué los usamos, durante cuánto tiempo los conservamos y cuáles son tus derechos en virtud del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Índice 1. Responsable del tratamiento 2. Qué datos tratamos 3. Finalidades y bases de legitimación 4. Plazos de conservación 5. Destinatarios y encargados del tratamiento 6. Transferencias internacionales 7. Tus derechos 8. Decisiones automatizadas 9. Medidas de seguridad 10. Menores de edad 11. Cookies 12. Cambios en esta política 13. Reclamaciones (AEPD) 14. Contacto

1. Responsable del tratamiento

Responsable: QuantumNova Agency
Correo: info@quantumnovaagency.com
Delegado de Protección de Datos (DPD): info@quantumnovaagency.com

Los datos registrales completos se facilitarán en factura o a petición del interesado.

2. Qué datos personales tratamos

2.1 Datos de cuenta

Nombre, email, contraseña (almacenada con hash Argon2id), rol (admin, agency_owner, agency_member, client, user, trial, developer).
Fecha de registro, último acceso, token de sesión (opaco, 256 bits), flags de verificación de email y de MFA.

2.2 Datos de uso del servicio

Dominios, proyectos y queries que tú mismo introduces.
Snapshots históricos de los análisis ejecutados.
Contadores de cuota (analyses/GEO/content/SerpAPI por día).
Eventos de auditoría (registro, login, cambios de plan, impersonaciones por el super-owner).

2.3 Datos técnicos

Dirección IP (usada para control anti-abuso y auditoría), user-agent, timestamp, identificador de sesión.

2.4 Datos de facturación

El procesamiento completo de la tarjeta lo realiza Stripe; nosotros solo conservamos el identificador opaco de cliente (cus_…), el identificador de suscripción (sub_…) y el estado (active, past_due, canceled).

3. Finalidades y bases de legitimación

Finalidades del tratamiento de datos y base legal RGPD aplicable
Finalidad	Base legal (RGPD)
Prestar el servicio contratado y gestionar tu cuenta	Art. 6.1.b — ejecución del contrato
Facturación y obligaciones fiscales	Art. 6.1.c — obligación legal
Seguridad, detección y prevención de fraude	Art. 6.1.f — interés legítimo
Comunicaciones transaccionales (verificación de email, recuperación de contraseña, invitaciones de equipo, avisos de fin de trial)	Art. 6.1.b — ejecución del contrato
Comunicaciones comerciales sobre nuestros propios servicios similares	Art. 6.1.f — interés legítimo (con derecho de oposición en cada envío)
Cookies no estrictamente necesarias (si se utilizan)	Art. 6.1.a — consentimiento

4. Plazos de conservación

Datos de cuenta: mientras mantengas la cuenta activa.
Snapshots e históricos de análisis: mientras la cuenta esté activa; tras la baja, se eliminan en un plazo máximo de 30 días salvo que sean necesarios para cumplimiento de obligaciones legales.
Logs de auditoría (audit.log): 12 meses desde su generación.
Facturas y documentación contable: 6 años (art. 30 Código de Comercio) y los plazos tributarios aplicables (general 4 años).
Tokens de restablecimiento / verificación: 1–48 horas (una vez consumidos o caducados se invalidan).

5. Destinatarios y encargados del tratamiento

Comunicamos datos únicamente a los siguientes destinatarios, con quienes hemos firmado (o firmaremos) el correspondiente contrato de encargado del tratamiento conforme al art. 28 del RGPD:

Proveedores que actúan como encargados del tratamiento, finalidad y ubicación
Proveedor	Finalidad	Ubicación
Stripe Payments Europe, Ltd.	Procesamiento de pagos y gestión de suscripciones	Irlanda (UE) / EEUU (SCCs)
Anthropic PBC	API Claude (análisis GEO)	EEUU (SCCs)
OpenAI, LLC	API ChatGPT (análisis GEO y generación)	EEUU (SCCs)
Google LLC	PageSpeed, Search Console, Business Profile, Gemini, Knowledge Graph	EEUU (SCCs)
Perplexity AI, Inc.	API Perplexity	EEUU (SCCs)
X.AI LLC / xAI	API Grok	EEUU (SCCs)
DeepSeek AI	API DeepSeek	China (consentimiento expreso del usuario al habilitar)
Mistral AI	API Mistral	Francia (UE)
Microsoft Azure	API Copilot / OpenAI Service	UE (a elegir región)
SerpApi, LLC	Datos de SERP (Google/Bing)	EEUU (SCCs)
Foursquare Labs, Inc.	API Places (citations)	EEUU (SCCs)
Twilio, Inc.	Envío de SMS de invitación de reviews (opcional)	EEUU (SCCs)
Hetzner Online GmbH	Hosting e infraestructura	Alemania / Finlandia (UE)
Tu proveedor SMTP configurado	Envío de emails transaccionales	Según proveedor

Además, cuando exista obligación legal, comunicaremos datos a jueces y tribunales, fuerzas y cuerpos de seguridad y autoridades fiscales.

6. Transferencias internacionales

Algunos de los proveedores indicados están ubicados fuera del Espacio Económico Europeo. Para esas transferencias aplicamos las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea y, cuando procede, medidas suplementarias (cifrado en tránsito y en reposo, seudonimización).

Puedes solicitar copia de las SCCs concretas escribiendo a info@quantumnovaagency.com.

7. Tus derechos

Como titular de los datos tienes derecho a:

Acceso (art. 15 RGPD): saber qué datos tratamos sobre ti.
Rectificación (art. 16): corregir datos inexactos.
Supresión / derecho al olvido (art. 17): solicitar que los eliminemos cuando ya no sean necesarios o retires el consentimiento.
Limitación del tratamiento (art. 18).
Portabilidad (art. 20): recibir tus datos en formato estructurado (ofrecemos exportación JSON).
Oposición (art. 21): oponerte a tratamientos basados en interés legítimo, incluido el marketing directo.
Retirar el consentimiento en cualquier momento, sin efectos retroactivos.

Para ejercer cualquiera de estos derechos, escribe a info@quantumnovaagency.com indicando el derecho que ejercitas y aportando prueba de identidad. Responderemos en un plazo máximo de un mes (prorrogable por dos meses en casos complejos).

8. Decisiones automatizadas

No realizamos decisiones automatizadas con efectos jurídicos o significativos sobre los usuarios. Las clasificaciones, scores y cuotas son herramientas internas que no adoptan decisiones legales por sí mismas.

9. Medidas de seguridad

Cifrado TLS en toda la capa de transporte (HTTPS).
Hash Argon2id (OWASP 2023 baseline) para contraseñas; nunca se almacenan en claro.
Tokens opacos de 256 bits; permisos 0600 (solo propietario) sobre ficheros con secretos.
Aislamiento por tenant en cada endpoint de datos.
Registro de auditoría rotado y restringido al super-owner.
Control estricto de origen (CORS) y rate-limiting por IP y por usuario.
Revisiones periódicas de dependencias y auditorías puntuales del código.

10. Menores de edad

El Servicio no está dirigido a menores de 14 años. Si detectamos una cuenta de menor sin consentimiento de su representante legal, la cancelaremos.

11. Cookies

El uso de cookies se describe en detalle en la Política de Cookies. Por defecto solo utilizamos cookies estrictamente necesarias (sesión de autenticación), exentas de consentimiento conforme a la Guía de la AEPD sobre cookies.

12. Cambios en esta política

Publicaremos cualquier modificación material en esta misma URL con al menos 15 días de antelación y te avisaremos por email. El uso continuado del Servicio implica aceptación de la versión vigente.

13. Reclamaciones ante la AEPD

Si consideras que el tratamiento de tus datos infringe la normativa, además de contactar con nosotros puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es, C/ Jorge Juan 6, 28001 Madrid).

14. Contacto

Cualquier consulta relativa al tratamiento de datos personales: info@quantumnovaagency.com.