Cómo funcionaCategoríasIniciar sesión
Registrarse

Política de Protección de Datos

Última actualización: junio de 2026

La presente Política de Protección de Datos describe los principios, procedimientos y medidas de seguridad que HUEKYA, en su calidad de responsable del tratamiento de datos de la plataforma HUEKYA, aplica para garantizar la conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

Esta política complementa la Política de Privacidad (orientada a los usuarios) con los procedimientos internos de gestión y seguridad de la información.

1. Principios rectores del tratamiento

Todos los tratamientos de datos personales realizados por HUEKYA se rigen por los siguientes principios establecidos en el art. 5 RGPD:

  • Licitud, lealtad y transparencia: Solo tratamos datos con una base jurídica legítima y de forma transparente para el interesado.
  • Limitación de la finalidad: Los datos se recogen con fines determinados, explícitos y legítimos, y no se tratan ulteriormente de manera incompatible.
  • Minimización de datos: Solo recogemos los datos estrictamente necesarios para cada finalidad.
  • Exactitud: Adoptamos medidas razonables para garantizar que los datos sean exactos y, si procede, se actualicen.
  • Limitación del plazo de conservación: Los datos no se mantienen más tiempo del necesario; los plazos se detallan en la Política de Privacidad.
  • Integridad y confidencialidad: Aplicamos medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos.
  • Responsabilidad proactiva (accountability): Podemos demostrar en todo momento el cumplimiento de los principios anteriores.

2. Registro de actividades de tratamiento

HUEKYA mantiene un Registro de Actividades de Tratamiento (RAT) en los términos del art. 30 RGPD, que incluye, para cada actividad:

  • Nombre y datos de contacto del responsable y, en su caso, del representante.
  • Finalidades del tratamiento.
  • Descripción de las categorías de interesados y de datos personales.
  • Categorías de destinatarios.
  • Transferencias internacionales y garantías aplicadas.
  • Plazos de supresión previstos.
  • Descripción general de las medidas de seguridad técnicas y organizativas.

El RAT se mantiene en formato electrónico y está disponible para la AEPD cuando así lo solicite.

3. Medidas de seguridad técnicas y organizativas

3.1 Medidas técnicas

  • Cifrado en tránsito: Todas las comunicaciones entre el navegador y los servidores se realizan mediante TLS 1.2 o superior (HTTPS).
  • Cifrado de contraseñas: Las contraseñas de usuarios se almacenan utilizando funciones de hash con sal (bcrypt, gestionado por Supabase Auth).
  • Autenticación multifactor: Disponible opcionalmente para los usuarios; obligatoria para accesos a los paneles de administración internos.
  • Control de acceso basado en roles (RBAC): Solo el personal autorizado con necesidad justificada puede acceder a datos personales.
  • Row Level Security (RLS): Políticas de seguridad a nivel de fila en la base de datos que garantizan que cada usuario solo accede a sus propios datos.
  • Copias de seguridad: Supabase realiza backups automáticos diarios con retención de 7 días (plan gratuito) o superior (planes de pago).
  • Monitorización y logs: Se registran los accesos a datos sensibles y las operaciones críticas.

3.2 Medidas organizativas

  • Formación periódica del equipo en materia de protección de datos y ciberseguridad.
  • Cláusulas de confidencialidad en los contratos con empleados y colaboradores.
  • Firma de Acuerdos de Encargado del Tratamiento (DPA) con todos los proveedores que traten datos en nombre de HUEKYA (Supabase, Vercel, etc.).
  • Procedimiento documentado de gestión de brechas de seguridad y notificación a la AEPD en plazo de 72 horas cuando proceda.
  • Revisiones periódicas de seguridad y evaluaciones de riesgos.

4. Encargados del tratamiento (sub-procesadores)

HUEKYA recurre a terceros que actúan como encargados del tratamiento en virtud del art. 28 RGPD. Se ha suscrito el correspondiente Acuerdo de Encargado del Tratamiento (DPA) con cada uno de ellos:

  • Supabase Inc. — Infraestructura de base de datos PostgreSQL y autenticación. Datos alojados en la UE. DPA disponible en su sitio web.
  • Vercel Inc. — Hospedaje y CDN de la aplicación web. Edge nodes en la UE. DPA disponible en su sitio web.
  • Google LLC — Inicio de sesión OAuth y, en su caso, herramientas de analítica (Google Analytics). Garantías mediante el Marco de Privacidad UE-EE.UU.

Cualquier nuevo encargado del tratamiento es evaluado previamente en materia de cumplimiento del RGPD y solo se contrata si ofrece garantías suficientes.

5. Evaluación de impacto (EIPD)

Cuando se contempla un nuevo tratamiento que pueda entrañar un alto riesgo para los derechos y libertades de los interesados —en particular, tratamientos a gran escala de datos sensibles o uso de nuevas tecnologías—, HUEKYA realiza una Evaluación de Impacto relativa a la Protección de Datos (EIPD) conforme al art. 35 RGPD antes de iniciar dicho tratamiento.

6. Delegado de Protección de Datos (DPD/DPO)

En la fase actual de desarrollo de la plataforma, HUEKYA no está obligada a designar un Delegado de Protección de Datos de acuerdo con el art. 37 RGPD, al no realizar tratamientos que exijan una supervisión habitual y sistemática a gran escala ni tratar categorías especiales de datos de forma masiva.

No obstante, hemos designado a un responsable interno de privacidad que vela por el cumplimiento normativo y actúa como punto de contacto para los interesados y la AEPD. Puedes contactarle en: hola@huekya.com.

7. Procedimiento de gestión de brechas de seguridad

Ante cualquier incidente que pueda constituir una brecha de seguridad de datos personales, HUEKYA aplica el siguiente procedimiento:

  • Detección e identificación: El incidente se documenta de inmediato indicando naturaleza, datos afectados y número aproximado de interesados.
  • Evaluación: Se evalúan los riesgos para los derechos y libertades de los afectados.
  • Notificación a la AEPD: Si el riesgo es probable, se notifica a la AEPD en un plazo máximo de 72 horas (art. 33 RGPD).
  • Comunicación a los afectados: Si el riesgo es elevado, se comunica sin dilación indebida a los interesados afectados (art. 34 RGPD).
  • Remediación: Se adoptan las medidas correctoras necesarias y se documenta la respuesta al incidente.

8. Revisión y actualización

Esta política se revisa al menos una vez al año y cada vez que se produzcan cambios significativos en los tratamientos de datos, en la normativa aplicable o en el modelo de negocio de HUEKYA.

← Volver al inicio