Solicitar Demo

Política de privacidad

SACO (Safe Contract) es una plataforma digital para firmar y archivar acuerdos privados. Esta política explica qué datos personales tratamos, con qué finalidad, con quién los compartimos, cuánto tiempo los conservamos y qué derechos tienes conforme al Reglamento General de Protección de Datos de la UE (RGPD) y la LOPDGDD (Ley Orgánica 3/2018).

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales en SACO es la entidad indicada a continuación. Puedes contactarnos o escribir al Delegado de Protección de Datos (DPO).

SACO, S.L.
[Dirección registrada — por definir antes del lanzamiento]
[NIF — por definir antes del lanzamiento]
Privacidad: privacy@saco.app

Hasta que se publiquen los datos registrales definitivos, la sociedad se encuentra en fase final de constitución. Los buzones de privacidad y del DPO indicados arriba están activos y se supervisan.

2. Ámbito de aplicación

Esta política se aplica a:

  • Visitantes de nuestro sitio web (saco.app y rutas localizadas);
  • Usuarios registrados que crean, envían, pagan o reciben contratos en SACO;
  • Contrapartes invitadas por un cliente de SACO a revisar y firmar un contrato, aunque no tengan cuenta en SACO;
  • Personas que nos escriben a través de formularios, correo electrónico, o solicitan una demo.

Algunas páginas o flujos son operados por terceros en nuestro nombre — en particular Tecalis (identificación y firma electrónica) y Stripe (pagos). Cuando es así, esos proveedores pueden tratar tus datos como responsables independientes o corresponsables; se indica en la sección 5.

3. Qué datos personales tratamos

Solo recopilamos los datos necesarios para prestar un servicio de firma fiable y cumplir nuestras obligaciones legales. Las principales categorías son:

  • Datos de cuenta — correo electrónico, contraseña cifrada, idioma, tokens de autenticación y, opcionalmente, nombre y datos de perfil.
  • Datos del contrato — contenido de los contratos que subes o redactas, nombres y correos de las partes, campos completados, marcas de tiempo, hashes criptográficos pre-firma y post-firma (SHA-256), y el PDF firmado definitivo.
  • Datos de verificación de identidad (KYC, si se compra) — imágenes del documento de identidad, selfie, resultados de prueba de vida y resultado de la verificación. Los datos los recoge Tecalis directamente; SACO solo recibe el resultado y un identificador, nunca el material biométrico en bruto.
  • Datos de la ceremonia de firma — marcas temporales de envío y verificación del OTP, IP y user-agent del firmante y el informe de auditoría de Tecalis.
  • Datos de pago — dirección de facturación, NIF (si se indica), identificadores de cliente y suscripción en Stripe, importe, número de factura y estado de la transacción. El número de la tarjeta se introduce directamente en un elemento alojado por Stripe y nunca pasa por los servidores de SACO.
  • Datos técnicos y de uso — registros, IP, user-agent, tiempos de página, registros de consentimiento y eventos de seguridad (inicios fallidos, límites de tasa).
  • Comunicaciones — los mensajes que nos envías y nuestras respuestas.

No recopilamos conscientemente datos de menores de 16 años. Si crees que un menor nos ha proporcionado datos, contáctanos y los eliminaremos.

4. Finalidades y bases jurídicas

Tratamos cada categoría de datos únicamente para las finalidades listadas a continuación, sobre la base jurídica correspondiente del RGPD (artículo 6; artículo 9 para categorías especiales).

FinalidadBase jurídicaNotas
Prestación del servicio SACO: alta, envío, firma, archivo y descarga de contratos.Art. 6.1.b — ejecución del contrato contigo.Sin estos datos no es posible ejecutar y archivar tu acuerdo.
Verificación de identidad (KYC) si se adquiere el complemento.Art. 6.1.b y consentimiento explícito para datos biométricos conforme al art. 9.2.a, recogidos por Tecalis.Puedes firmar sin KYC si tu plan lo permite; es siempre opcional.
Cobro, emisión de facturas y obligaciones fiscales.Art. 6.1.b y art. 6.1.c — obligación legal (normativa tributaria española).Las facturas se conservan durante el plazo legal incluso tras dar de baja la cuenta.
Correos transaccionales sobre tus contratos (enviado, aceptado, pagado, firmado, archivado).Art. 6.1.b.Son mensajes de servicio, no marketing. No es posible desactivarlos mientras el contrato esté activo.
Comunicaciones comerciales, newsletters.Art. 6.1.a — consentimiento libre y revocable en cualquier momento.Solo si optas por recibirlas. Todo mensaje lleva enlace de baja.
Registro de auditoría de la plataforma (app.contract_audit_events).Art. 6.1.c y art. 6.1.f — interés legítimo en la integridad probatoria.Fuente de verdad en caso de controversia. Solo-añadir, encadenado por hash.
Seguridad, prevención de fraude, detección de abuso, límites de tasa.Art. 6.1.f — interés legítimo en mantener el servicio seguro.No perfilamos a los usuarios ni tomamos decisiones automatizadas con efecto jurídico.
Anclaje blockchain del hash del documento firmado en Arweave (complemento).Art. 6.1.a — consentimiento explícito y separado reconociendo su permanencia.Solo se ancla un hash SHA-256. No es reversible al contenido, pero no se puede eliminar.
Defensa jurídica, respuesta a autoridades, ejercicio de derechos.Art. 6.1.c y art. 6.1.f.Solo lo estrictamente necesario, y únicamente cuando sea exigido.

5. Con quién compartimos los datos

No vendemos datos personales. Solo los compartimos con los encargados y proveedores listados, cada uno sujeto a un contrato que cumple el artículo 28 RGPD. Algunos proveedores actúan como responsables independientes para determinadas partes del proceso; se indica en la tabla.

ProveedorRolFinalidadUbicación
TecalisEncargado (firma) y responsable independiente (para los datos KYC que recoge directamente)Verificación de identidad, envío y verificación de OTP, ceremonia de firma, informe de auditoría.Unión Europea (España)
Amazon Web Services (S3)EncargadoAlmacenamiento cifrado de borradores, PDFs firmados e informes durante el periodo de custodia.Unión Europea (Irlanda / Fráncfort)
SupabaseEncargadoBase de datos PostgreSQL gestionada, autenticación y metadatos de ficheros.Unión Europea
StripeResponsable independiente de los datos de tarjeta; encargado de los metadatos de facturación.Procesamiento de pago, tokenización, cálculo de impuestos, facturación, SCA / 3-D Secure.UE / EE. UU. bajo el EU–US Data Privacy Framework y cláusulas contractuales tipo (CCT).
Arweave / ArDrive (solo complemento blockchain)Registro público independienteAnclaje permanente del hash SHA-256 del PDF firmado. No se anclan datos personales.Distribuido global. Las entradas son inmutables por diseño.
Mailgun (u otro proveedor transaccional equivalente)EncargadoEnvío de correos transaccionales (enviado, aceptado, pagado, firmado, informe de auditoría).Región de la Unión Europea
ClamAV (autogestionado) o equivalenteEncargadoAnálisis antivirus de los ficheros subidos antes de su almacenamiento.Dentro de nuestra infraestructura en la UE
Google reCAPTCHAResponsable independienteProtección antibots en formularios públicos (contacto, alta). Se activa solo al enviar el formulario.EE. UU. bajo CCT. Datos minimizados a puntuación de riesgo y metadatos necesarios.

6. Transferencias internacionales

Nuestra infraestructura principal está alojada en la Unión Europea. Cuando un conjunto limitado de datos se transfiere fuera de la UE/EEE (por ejemplo a Stripe o Google reCAPTCHA en EE. UU.) aplicamos uno de los mecanismos reconocidos en el Capítulo V del RGPD:

  • La decisión de adecuación de la Comisión Europea y el EU–US Data Privacy Framework, cuando el receptor está adherido; y
  • Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión, con medidas técnicas y organizativas adicionales cuando la sentencia Schrems II lo exige.

Puedes solicitar copia de las garantías aplicables a una transferencia concreta escribiendo a dpo@saco.app.

7. Plazos de conservación

Aplicamos plazos estrictos de conservación. Los documentos y datos personales se eliminan cuando ya no son necesarios para la finalidad para la que se recogieron, salvo que una obligación legal exija conservarlos más tiempo.

Categoría de datosPlazo
Contratos firmados, PDFs borrador, informes de auditoría (en Amazon S3)Cinco (5) años desde la firma. Un proceso automatizado realiza el borrado definitivo en retention_expires_at.
Eventos de auditoría de la plataforma (app.contract_audit_events)Conservados como metadatos (hashes, timestamps, tipo de evento) tras el borrado de documentos para integridad probatoria. No guarda contenido del documento.
Datos de cuenta de usuarios sin suscripción activa ni contrato abiertoEliminados a los 24 meses de inactividad o a petición.
Facturas y registros fiscalesConservados durante el plazo exigido por la normativa mercantil y tributaria (generalmente 4 a 6 años).
Registros de seguridad y accesoHasta 12 meses; después agregados o eliminados.
Consentimientos y bajas de marketingDurante la vigencia del consentimiento más el plazo de prueba (normalmente 3 años).
Hashes SHA-256 anclados en blockchain (Arweave)Permanentes e inmutables por diseño del protocolo Arweave — por eso el complemento exige consentimiento explícito y separado.

8. Tus derechos bajo el RGPD

Como interesado tienes los siguientes derechos. Puedes ejercer cualquiera escribiendo a privacy@saco.app. Responderemos en el plazo de un mes. Si la solicitud es compleja, podremos prorrogar el plazo otros dos meses comunicándotelo.

  • Acceso — obtener confirmación y copia de tus datos tratados.
  • Rectificación — corregir datos inexactos o incompletos.
  • Supresión («derecho al olvido») — solicitar el borrado cuando concurra alguno de los supuestos del RGPD. Límites: una vez firmado un contrato, su finalidad probatoria y la ley pueden obligarnos a conservar determinados registros hasta que expire el plazo de custodia; los hashes anclados en Arweave no pueden revocarse (ver abajo).
  • Limitación — pedir que restrinjamos el tratamiento mientras se resuelve una reclamación.
  • Portabilidad — recibir tus datos en formato estructurado, de uso común y lectura mecánica.
  • Oposición — oponerte al tratamiento basado en interés legítimo o al marketing directo en cualquier momento.
  • Retirar el consentimiento — cuando el tratamiento se base en consentimiento, puedes retirarlo sin afectar a la licitud del tratamiento previo.
  • No ser objeto de decisiones automatizadas con efectos jurídicos o significativos. No adoptamos tales decisiones.
  • Reclamar ante una autoridad de control — en España, la Agencia Española de Protección de Datos (AEPD). También puedes reclamar ante la autoridad de tu país de residencia.
Advertencia sobre Arweave: si adquiriste el complemento de anclaje blockchain, el hash SHA-256 de tu documento firmado quedó registrado en una red pública e inmutable con tu consentimiento explícito previo. Este hash no es un dato personal por sí mismo (es un resumen criptográfico de una dirección), y por el diseño de la red subyacente no puede eliminarse a petición. Lo explicamos con claridad en el momento de la compra y registramos tu consentimiento como evento de auditoría antes del anclaje.

9. Cookies y tecnologías similares

SACO utiliza un número reducido de cookies y tecnologías de almacenamiento equivalentes, clasificadas en tres categorías:

  • Estrictamente necesarias — autenticación, sesión, protección CSRF, balanceo de carga, estado del consentimiento. No se pueden desactivar.
  • Preferencias — idioma y opciones de interfaz.
  • Analíticas y marketing — solo se activan si das tu consentimiento en el banner. No se usan cookies de seguimiento entre sitios.

Puedes revisar o cambiar tus preferencias en cualquier momento desde el banner de cookies. El estado de consentimiento se guarda asociado a tu cuenta (si has iniciado sesión) o en una cookie propia.

10. Seguridad

Aplicamos medidas técnicas y organizativas proporcionales al riesgo, entre otras:

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256) de documentos y copias de seguridad;
  • Row-Level Security en todas las tablas de base de datos, con alcance por usuario autenticado;
  • Hasheo de contraseñas con KDF estándar y autenticación multi-factor en el acceso administrativo;
  • Análisis antivirus de cada fichero antes de su almacenamiento;
  • Límites de tasa y protección antibots en los endpoints públicos;
  • Registro de auditoría solo-añadir, encadenado por hash, para cada cambio de estado del contrato;
  • Control de accesos con principio de mínimo privilegio y revisión periódica.

En caso de brecha de seguridad con riesgo para tus derechos, notificaremos a la AEPD en un plazo de 72 horas y, cuando legalmente corresponda, informaremos sin dilación indebida a los usuarios afectados.

11. Contrapartes invitadas a firmar

Cuando un cliente de SACO te invita como contraparte a revisar y firmar un contrato, tratamos los datos mínimos necesarios para ejecutar el flujo: tu correo electrónico, el contenido del contrato, las marcas temporales de revisión y firma, tu IP y user-agent en el momento de la firma y, si el iniciador adquirió el complemento KYC, el resultado de la verificación de identidad de Tecalis.

Puedes ejercer cualquier derecho del RGPD directamente frente a nosotros (ver sección 8). Para preguntas sobre el contenido del contrato o la razón por la que fuiste invitado, contacta con el cliente de SACO que te envió la invitación — él es el responsable de ese contenido.

12. Cambios en la política

Podemos actualizar esta política para reflejar cambios en el servicio, en nuestros encargados o en la normativa. Los cambios sustanciales se comunican por correo electrónico a los usuarios registrados con al menos 15 días de antelación. La fecha de «Última actualización» al principio refleja siempre la revisión más reciente.

13. Contacto

Para cualquier cuestión o solicitud relacionada con privacidad, contacta:

Usamos cookies

Usamos cookies imprescindibles para que SACO funcione. Con tu permiso, también nos gustaría usar cookies analíticas y de marketing para mejorar el producto. Consulta nuestra política de privacidad.