Gestión de tu información personal

Detalles que recibimos y por qué los necesitamos

Cuando una persona crea una cuenta en derivalostiq, nos proporciona datos de identificación básicos: nombre completo, dirección de correo electrónico, país de residencia fiscal. Esta captura ocurre en el momento del registro. La razón es operativa: sin identificar al usuario, no podemos mantener su sesión activa ni vincularle a las configuraciones presupuestarias que guarda en nuestro sistema.

Durante el uso de nuestras herramientas de planificación, el sistema registra información de interacción: categorías presupuestarias definidas, montos asignados, fechas de proyección, preferencias de visualización. Estos elementos no se solicitan explícitamente, emergen del propio uso. Los necesitamos porque son el núcleo funcional del servicio: derivalostiq no puede calcular tendencias ni generar informes sin acceder a esas cifras que el usuario ingresa voluntariamente en cada sesión.

Si un usuario contacta con nuestro equipo de soporte en help@derivalostiq.com, archivamos el contenido del mensaje y los metadatos asociados (fecha, hora, dirección IP desde la que se envió). La retención responde a dos motivos: resolver la consulta con contexto completo y demostrar, si fuera necesario, que atendimos correctamente el requerimiento.

Información técnica derivada

Nuestros servidores recogen automáticamente ciertos datos técnicos cada vez que alguien accede a derivalostiq.com: dirección IP, tipo de navegador, sistema operativo, páginas visitadas dentro del sitio, duración de la sesión. Esta captura es pasiva y responde a la arquitectura estándar de cualquier servidor web. La información técnica nos permite detectar patrones de fallo, identificar intentos de acceso no autorizado y optimizar tiempos de carga según los dispositivos más utilizados.

Operaciones internas y acceso restringido

Dentro de derivalostiq, solo tres roles tienen capacidad de consultar datos personales: el equipo técnico responsable del mantenimiento de infraestructura, el equipo de soporte que atiende consultas directas de usuarios, y el responsable legal que verifica cumplimiento normativo. Cada acceso queda registrado en un log interno con fecha, hora, usuario que realizó la consulta y motivo declarado.

Los cálculos presupuestarios y la generación de informes ocurren mediante procesos automatizados. Ningún empleado visualiza manualmente las cifras personales introducidas por los usuarios salvo que exista un ticket de soporte abierto por el propio usuario solicitando asistencia técnica con su cuenta.

Tratamiento automatizado y lógica aplicada

derivalostiq emplea algoritmos para sugerir distribuciones presupuestarias basadas en patrones históricos del usuario. Por ejemplo: si en los últimos seis meses una categoría específica ha consumido consistentemente el 30% del presupuesto total, el sistema puede proponer mantener esa proporción en proyecciones futuras. No existe toma de decisiones automatizada que afecte derechos legales del usuario; las sugerencias son meramente orientativas y pueden ignorarse o modificarse libremente.

Transferencias externas y condiciones aplicadas

derivalostiq no vende, alquila ni cede información personal a terceros con fines comerciales. Existen, sin embargo, tres contextos en los que datos personales salen de nuestros sistemas:

• Proveedores de infraestructura: Nuestros servidores están alojados en centros de datos dentro de la Unión Europea operados por un proveedor certificado según ISO 27001. Ese proveedor tiene acceso físico a los discos donde residen nuestras bases de datos, pero está contractualmente obligado a no leer ni procesar su contenido.
• Procesadores de pago: Si un usuario contrata un plan premium, la transacción se procesa mediante pasarela externa. Nosotros no almacenamos números de tarjeta completos; solo recibimos confirmación de pago exitoso junto con un identificador de transacción.
• Obligaciones legales: Si una autoridad judicial española emite una orden judicial válida requiriendo información específica de un usuario, estamos obligados a proporcionarla. Notificaremos al usuario afectado salvo que la propia orden prohíba expresamente dicha notificación.

Cualquier transferencia internacional requeriría cláusulas contractuales estándar aprobadas por la Comisión Europea. Actualmente no realizamos ninguna, pero si la arquitectura del servicio cambiara y fuera necesario, notificaríamos con al menos sesenta días de antelación mediante correo electrónico a todos los usuarios registrados.

Resguardo aplicado y riesgos residuales

Los datos personales se almacenan en bases de datos cifradas mediante AES-256. Las conexiones entre navegadores y nuestros servidores usan TLS 1.3. Los respaldos se realizan diariamente y se mantienen cifrados en ubicación geográfica separada del servidor principal.

El acceso administrativo a sistemas críticos requiere autenticación multifactor. Las contraseñas de usuario se almacenan mediante hash con sal usando bcrypt. Los logs de acceso se revisan semanalmente mediante scripts automatizados que detectan patrones anómalos.

Limitaciones reconocidas

A pesar de estas medidas, ningún sistema conectado a Internet puede considerarse invulnerable. Vulnerabilidades desconocidas en software de terceros, ataques dirigidos sofisticados o errores humanos internos podrían, en escenarios extremos, resultar en acceso no autorizado. En caso de brecha de seguridad confirmada que afecte a datos personales, notificaremos a usuarios afectados en un plazo máximo de 72 horas desde la detección, especificando qué información quedó expuesta y qué medidas correctivas se han aplicado.

Retención temporal y eliminación programada

Los datos de cuenta activa se mantienen mientras el usuario continúe utilizando derivalostiq. Si una cuenta permanece inactiva durante dieciocho meses consecutivos sin ningún inicio de sesión, enviamos aviso al correo registrado indicando que la cuenta será eliminada en noventa días. Si durante ese período no hay respuesta ni actividad, procedemos a borrado completo.

Los registros de soporte técnico se conservan durante tres años desde la fecha del último mensaje, período que consideramos razonable para atender posibles reclamaciones o verificar calidad de atención. Pasado ese plazo, se eliminan automáticamente.

Los logs técnicos de acceso se conservan durante seis meses y luego se anonimizan, conservando únicamente estadísticas agregadas sin posibilidad de vincularlas a usuarios individuales.

Eliminación solicitada por el usuario

Si un usuario solicita eliminación inmediata de su cuenta mediante correo electrónico a help@derivalostiq.com, ejecutamos el borrado en un plazo máximo de diez días laborables. La solicitud debe provenir del correo electrónico registrado en la cuenta o incluir elementos de verificación adicionales si se envía desde otra dirección.

Tras la eliminación, pueden quedar copias residuales en respaldos históricos durante un máximo de noventa días adicionales debido al ciclo de rotación de backups. Esos respaldos no son accesibles para operaciones normales y solo se restauran en casos de fallo catastrófico de sistemas.

Capacidades de control del usuario

Desde el panel de configuración de cuenta, cualquier usuario puede consultar todos los datos personales que derivalostiq mantiene sobre él. La exportación está disponible en formato JSON estructurado, descargable con un solo clic.

La modificación de nombre, correo electrónico y preferencias de contacto puede realizarse directamente desde el panel sin necesidad de interacción con soporte. Los cambios se aplican de forma inmediata.

Si un usuario considera que algún dato almacenado es incorrecto, puede solicitar corrección mediante ticket de soporte. Verificaremos la solicitud en plazo máximo de cinco días laborables y aplicaremos la rectificación si procede.

Objeción al tratamiento y limitación

Un usuario puede oponerse a que utilicemos sus datos para análisis internos de mejora de servicio enviando solicitud expresa a help@derivalostiq.com. En ese caso, su cuenta seguirá funcionando normalmente, pero sus datos de uso no entrarán en los conjuntos agregados que analizamos para detectar tendencias o problemas.

Si existe disputa sobre la exactitud de ciertos datos o sobre la legalidad de un tratamiento específico, el usuario puede solicitar limitación temporal del procesamiento mientras se resuelve la cuestión. Durante ese período, los datos se conservan pero no se procesan salvo para cumplir obligaciones legales o atender reclamaciones.

Fundamento legal y jurisdicción aplicable

El procesamiento de datos personales en derivalostiq se basa en dos fundamentos legales principales según Reglamento General de Protección de Datos (RGPD) de la Unión Europea:

• Ejecución contractual: Los datos necesarios para mantener la cuenta y prestar el servicio de planificación presupuestaria se procesan porque son indispensables para cumplir el contrato que aceptaste al registrarte.
• Interés legítimo: El análisis técnico para mejorar seguridad, detectar fraudes y optimizar rendimiento del sistema se basa en nuestro interés legítimo como operador del servicio, siempre que no prevalezcan tus derechos e intereses fundamentales.

derivalostiq, con domicilio social en Avinguda Diagonal, 334, Local 2, 08013 Barcelona, España, actúa como responsable del tratamiento según terminología del RGPD. Puedes contactar con nuestro delegado de protección de datos en help@derivalostiq.com para cualquier consulta específica sobre tratamiento de información personal.

Derecho a reclamación

Si consideras que derivalostiq no ha atendido adecuadamente tus derechos o ha procesado tu información de forma contraria a normativa aplicable, tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD), autoridad de control competente en España. Puedes contactarles en www.aepd.es o en su sede física en Madrid.

Antes de acudir a la autoridad de control, te pedimos la oportunidad de resolver directamente cualquier preocupación. Muchas veces una conversación directa resuelve malentendidos o permite aplicar soluciones inmediatas que una reclamación formal tardaría meses en procesar.