Política de Privacidad

1. Responsable del tratamiento

2. Datos que recopilamos

A través de la plataforma Bermatu, podemos recopilar los siguientes datos personales:

• Usuarios del panel: Nombre, email, contraseña (cifrada).
• Firmantes de documentos: Nombre, email, teléfono (opcional para SMS), dirección IP, user-agent del navegador, firma manuscrita o escrita.
• Certificados de email: Remitente, destinatarios, asunto, cuerpo del email, adjuntos, cabeceras, metadatos.
• Tracking de emails: Dirección IP de apertura, user-agent, fecha y hora de apertura.

3. Finalidades del tratamiento

Los datos se tratan para:

• Certificar correos electrónicos con sellado de tiempo (TSA RFC 3161).
• Gestionar la firma electrónica de documentos entre múltiples partes.
• Verificar la identidad de los firmantes mediante OTP (email/SMS) o certificado digital.
• Generar certificados PDF con valor probatorio.
• Almacenar copias de seguridad en SharePoint.
• Notificar a las partes involucradas sobre el estado de los documentos.
• Cumplir con obligaciones legales aplicables.

4. Base legal del tratamiento

• Ejecución contractual: El tratamiento es necesario para prestar el servicio de certificación y firma electrónica.
• Consentimiento: Los firmantes consienten el tratamiento al aceptar firmar el documento.
• Interés legítimo: Para la detección de fraude y seguridad de la plataforma.
• Obligación legal: Conservación de registros con valor probatorio.

5. Periodo de conservación

Los datos se conservan durante los siguientes periodos:

• Certificados de email: Se conservan de forma indefinida como prueba legal, o hasta que el usuario solicite su eliminación.
• Documentos firmados: Se conservan de forma indefinida como prueba legal de la firma.
• Datos de tracking: 12 meses desde la fecha de envío.
• Datos de cuenta: Mientras la cuenta esté activa, y 30 días tras su desactivación.

6. Destinatarios de los datos

Los datos pueden ser compartidos con:

• Microsoft (Graph API): Para el envío y lectura de correos electrónicos.
• Microsoft (SharePoint): Para el almacenamiento de certificados PDF.
• DigiCert (TSA): Para el sellado de tiempo de los certificados.
• Prelude: Para el envío de SMS con códigos OTP.
• Las partes firmantes: Reciben copia del documento firmado con los datos de todos los firmantes.

7. Derechos de los usuarios

De acuerdo con el RGPD, puedes ejercer los siguientes derechos:

• Acceso: Conocer qué datos personales tratamos.
• Rectificación: Corregir datos inexactos.
• Supresion: Solicitar la eliminación de tus datos.
• Oposición: Oponerte al tratamiento de tus datos.
• Limitación: Solicitar la limitación del tratamiento.
• Portabilidad: Recibir tus datos en formato estructurado.

Para ejercer estos derechos, contacta con nosotros en dpo@aby.group.

También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

8. Seguridad

Implementamos medidas técnicas y organizativas para proteger los datos personales, incluyendo:

• Cifrado de contraseñas (hash bcrypt).
• Comunicaciones cifradas (HTTPS/TLS).
• Autenticación JWT para el acceso al panel.
• Hash SHA-512 para la integridad de los documentos.
• Sellado de tiempo por Autoridad de Certificación (DigiCert).

9. Modificaciones

Nos reservamos el derecho de modificar esta política en cualquier momento. Los cambios se publicarán en esta misma página con la fecha de actualización correspondiente.