Política de privacidad

1. Responsable del tratamiento

En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), se informa de que el responsable del tratamiento de los datos personales recogidos a través de https://servipymes.es es:

  • Responsable: Ingeniería de Soluciones Ingeniolab S.L.
  • NIF/CIF: B75379826
  • Domicilio: Plaza Almirante Romay 5 Bajo, 15011 A Coruña
  • Correo electrónico: info@ingeniolab.com

2. Delegado de Protección de Datos

En el momento actual no se ha designado Delegado de Protección de Datos al no concurrir ninguno de los supuestos obligatorios previstos en el artículo 37 del RGPD. Cualquier comunicación relativa al tratamiento de datos personales puede dirigirse al correo electrónico indicado en el apartado anterior.

3. Finalidades del tratamiento y bases jurídicas

3.1 Gestión de cuentas de usuario registrado

  • Finalidad: permitir el registro, autenticación, gestión de sesiones y prestación de los servicios asociados a la cuenta (creación y edición de fichas, recepción de mensajes, reclamación de fichas pre-cargadas).
  • Base jurídica: ejecución de un contrato en el que el interesado es parte (artículo 6.1.b del RGPD), al aceptar las Condiciones de Uso en el registro.
  • Datos tratados: nombre, correo electrónico, contraseña (almacenada con hash Argon2id, nunca en claro) y, en caso de autenticación OAuth de terceros, los datos identificativos que dichos proveedores comuniquen.
  • Plazo de conservación: mientras la cuenta permanezca activa. Tras su eliminación, los datos quedan bloqueados durante los plazos de prescripción de acciones legales aplicables (hasta 6 años en materia mercantil y fiscal), tras lo cual se suprimen.

3.2 Publicación de fichas de sociedades mercantiles

  • Finalidad: hacer accesible al público información empresarial estructurada procedente del BORME y fuentes registrales análogas, en línea con la función de dichas publicaciones.
  • Base jurídica: cumplimiento de una misión de interés público (artículo 6.1.e del RGPD), en relación con el principio de publicidad registral (artículos 21-22 del Código de Comercio; RD 1784/1996). Los datos de sociedades mercantiles no constituyen, con carácter general, datos personales protegidos, al referirse a personas jurídicas.
  • Datos tratados: denominación social, NIF, domicilio social, forma jurídica, objeto social, administradores (nombre y cargo, tal como figuran en la publicación oficial).
  • Plazo: indefinido mientras la finalidad del Sitio subsista.

3.3 Publicación de fichas de profesionales autónomos con presencia pública previa

  • Finalidad: facilitar el contacto entre profesionales que han hecho pública su actividad económica y potenciales clientes.
  • Base jurídica: interés legítimo del responsable (artículo 6.1.f del RGPD), previa ponderación en los términos del considerando 47 del RGPD.

Ponderación del interés legítimo (artículo 6.1.f RGPD):

Necesidad: la creación de un directorio agregado que incluya a trabajadores autónomos con presencia comercial pública es necesaria para cumplir la finalidad declarada del Sitio, facilitando el encuentro entre oferta y demanda de servicios profesionales de pequeño tamaño, segmento insuficientemente cubierto por los registros mercantiles.

Adecuación: el tratamiento se limita a datos que el propio interesado ha hecho públicos previamente en contextos comerciales (sitios web propios, plataformas cartográficas con datos de contacto publicados por el titular, portales municipales de actividad económica, directorios previos no sujetos a restricciones de uso). No se trata información no publicada por el interesado o por entidades habilitadas.

Ponderación de derechos: frente al interés del público en acceder de forma agregada a información profesional ya disponible, se reconocen las siguientes garantías:

  1. Cada ficha publicada incluye la fuente original de los datos y la fecha de importación.
  2. El interesado puede reclamar su ficha mediante verificación de titularidad y tomar control total de su contenido.
  3. El interesado puede solicitar la supresión de su ficha en cualquier momento, con compromiso de resolución en un plazo máximo de 48 horas.
  4. El interesado puede oponerse al tratamiento conforme al artículo 21 del RGPD, sin necesidad de justificar motivos concretos al tratarse de interés legítimo.
  5. No se tratan categorías especiales de datos (artículo 9 del RGPD).
  6. No se realiza elaboración de perfiles ni decisiones automatizadas con efectos jurídicos.

Datos tratados: nombre comercial, dirección profesional, teléfono y correo electrónico profesional (cuando el interesado los ha publicado como medio de contacto comercial), actividad económica, información descriptiva y enlace a web propia cuando exista. No se tratan datos domiciliarios cuando son distintos del domicilio profesional declarado públicamente.

Plazo: mientras persista la publicación original que motivó la inclusión. Si la fuente deja de estar accesible, o si el interesado ejerce derecho de supresión u oposición, el dato se elimina en un plazo máximo de 48 horas.

3.4 Gestión de formularios de contacto

  • Finalidad: permitir que los visitantes contacten con los titulares de las fichas publicadas, remitiendo el mensaje al correo electrónico del destinatario.
  • Base jurídica: consentimiento del usuario al enviar el formulario (artículo 6.1.a) e interés legítimo del destinatario en recibir consultas comerciales (artículo 6.1.f).
  • Datos tratados: nombre y correo electrónico del remitente, teléfono si lo aporta voluntariamente, contenido del mensaje, dirección IP (hash HMAC-SHA256, no en claro) y user-agent.
  • Plazo: 24 meses desde el envío, salvo obligación legal.

3.5 Seguridad y prevención de abuso

  • Finalidad: detectar y prevenir usos abusivos (spam, ataques automatizados, suplantación).
  • Base jurídica: interés legítimo en garantizar la seguridad del Sitio.
  • Datos tratados: dirección IP (hash), user-agent, marcas de tiempo, intentos de autenticación.
  • Plazo: 12 meses.

4. Destinatarios de los datos

Los datos podrán comunicarse a los siguientes encargados del tratamiento, bajo acuerdos que garanticen las medidas del RGPD:

  • Infraestructura cloud: DigitalOcean, LLC (EE.UU.), alojamiento de servidores y base de datos. Cubierto por Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
  • Correo electrónico transaccional: Resend, Inc. (EE.UU.), para envío de correos automatizados (verificación, restablecimiento, notificaciones). Cubierto por Cláusulas Contractuales Tipo.
  • Autenticación federada: cuando el usuario inicia sesión mediante Google, este proveedor recibe la información estrictamente necesaria para autenticar, conforme a sus propias políticas.

No se realizan otras cesiones salvo por obligación legal.

5. Transferencias internacionales

Algunos encargados se encuentran en Estados Unidos. Dichas transferencias se amparan en las Cláusulas Contractuales Tipo (Decisión de Ejecución UE 2021/914) o en el Marco de Privacidad de Datos UE-EE.UU. cuando el proveedor esté certificado.

6. Derechos del interesado

Conforme a los artículos 15 a 22 del RGPD, cualquier persona puede ejercer:

  • Acceso: conocer qué datos se tratan y obtener copia.
  • Rectificación: corregir datos inexactos.
  • Supresión: solicitar la eliminación (derecho al olvido).
  • Oposición: oponerse al tratamiento basado en interés legítimo.
  • Limitación: solicitar la suspensión del tratamiento.
  • Portabilidad: recibir los datos en formato estructurado.
  • No decisiones automatizadas: el Sitio no realiza este tratamiento.

Cómo ejercer los derechos: dirigir solicitud escrita a info@ingeniolab.com identificándose adecuadamente. Resolución en plazo máximo de un mes, prorrogable por dos meses en casos complejos.

Para supresión u oposición relativas a fichas no reclamadas (publicadas bajo interés legítimo), el plazo es de 48 horas desde la recepción, sin necesidad de acreditar titularidad formal cuando los datos del solicitante coincidan razonablemente con los publicados.

Reclamación ante la AEPD: si el interesado considera que el tratamiento no cumple la normativa, puede reclamar ante la Agencia Española de Protección de Datos (www.aepd.es; C/ Jorge Juan 6, 28001 Madrid).

7. Medidas de seguridad

Ingeniería de Soluciones Ingeniolab S.L. aplica medidas técnicas y organizativas apropiadas: cifrado TLS 1.2+ en tránsito, cifrado AES-256-GCM en reposo para datos sensibles, hashing Argon2id de contraseñas, HMAC-SHA256 para identificadores buscables, almacenamiento separado y cifrado de identificadores fiscales, copias de seguridad periódicas, control de acceso basado en roles, registro de auditoría. Cuando el interesado solicita el restablecimiento de su contraseña, todas las sesiones activas asociadas a su cuenta quedan invalidadas de forma inmediata como medida adicional de protección frente a accesos no autorizados.

8. Decisiones automatizadas

No se realizan decisiones automatizadas con efectos jurídicos sobre las personas.

9. Geolocalización

Cuando utilizas la función "Cerca de mí" en la página de búsqueda, solicitamos permiso a tu navegador para acceder a tu ubicación aproximada. Esta coordenada se utiliza únicamente para procesar tu búsqueda y devolverte los negocios cercanos.

No almacenamos esta información en ningún momento: no la guardamos en bases de datos, no la asociamos a tu cuenta de usuario, no la conservamos en archivos de registro ni la compartimos con terceros. Una vez te entregamos los resultados de búsqueda, la coordenada se descarta de forma inmediata. El sistema de logs aplica una redacción específica de los campos lat, lng, latitude, longitude y geo antes de escribir cualquier traza a disco, de modo que las coordenadas nunca llegan a un archivo.

Puedes revocar el permiso de geolocalización en cualquier momento desde la configuración de tu navegador. Si lo haces, el sitio sigue funcionando con normalidad: solo se desactiva el filtro de proximidad.

La base jurídica de este tratamiento puntual es el consentimiento explícito que otorgas al pulsar el botón "Cerca de mí" y conceder el permiso del navegador (artículo 6.1.a RGPD).

10. Contacto con negocios

Cuando envías un mensaje a un negocio a través del formulario de contacto en una ficha de Servipymes, recopilamos los siguientes datos personales:

  • Tu nombre.
  • Tu dirección de email.
  • Tu teléfono (si lo proporcionas; es un campo opcional).
  • El contenido del mensaje que escribes.
  • Una versión cifrada (hash SHA-256 con pepper privado) de tu dirección IP, exclusivamente para prevenir abuso del formulario (spam y acoso). No conservamos la IP en claro.

Finalidad: entregar tu mensaje al titular del negocio que has contactado y confirmarte por email que el envío se ha realizado correctamente. La copia del mensaje a tu propio correo te permite tener registro de la consulta y reenviarla si es necesario.

Base jurídica: consentimiento explícito que otorgas al marcar la casilla de aceptación de esta política antes de enviar el mensaje (artículo 6.1.a RGPD).

Destinatarios:

  • El titular del negocio destinatario, vía Resend (proveedor de email transaccional con sede en Estados Unidos, certificado bajo el marco DPF EU-US Data Privacy Framework).
  • Personal autorizado de Servipymes para tareas de soporte y moderación cuando un mensaje sea reportado como abusivo.

El sistema de logs aplica una redacción específica de los campos senderName, senderEmail y senderPhone antes de escribir cualquier traza, de modo que tus datos personales no llegan a archivos de registro.

Retención: los mensajes de contacto se conservan durante 24 meses desde su envío. Pasado ese plazo, los datos personales del remitente (nombre, email, teléfono, hash de IP) se eliminan de forma irreversible. El contenido textual del mensaje puede conservarse de forma anonimizada por motivos estadísticos y de detección de patrones de abuso.

Tus derechos: puedes solicitar el acceso, rectificación, supresión o portabilidad de tus mensajes contactando con info@ingeniolab.com indicando la dirección de email desde la que enviaste los mensajes.

11. Actualizaciones

La presente Política puede actualizarse. Las modificaciones entran en vigor desde su publicación. Cambios sustanciales se comunicarán a usuarios registrados por correo.

Última actualización: 24 de abril de 2026