Cumplimiento GDPR

Última actualización: 1 de enero de 2026

1. Nuestro Compromiso con el GDPR

Sisteco está plenamente comprometido con el cumplimiento del Reglamento General de Protección de Datos (UE) 2016/679 (en adelante, "GDPR" o "RGPD"), así como con la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La protección de los datos personales de nuestros usuarios y de los prospectos gestionados a través de nuestra plataforma es una prioridad fundamental. Hemos implementado un programa integral de cumplimiento que abarca medidas técnicas, organizativas y contractuales para garantizar el más alto nivel de protección de datos.

2. Roles y Responsabilidades

2.1 Sisteco como Responsable del Tratamiento

Sisteco actúa como Responsable del Tratamiento (Data Controller) para los datos personales de los usuarios que se registran y utilizan nuestra plataforma. Esto incluye datos de registro, datos de uso, datos de facturación y comunicaciones con nuestro equipo.

2.2 Sisteco como Encargado del Tratamiento

Sisteco actúa como Encargado del Tratamiento (Data Processor) para los datos de leads y prospectos que nuestros clientes procesan a través de la plataforma. En este rol, procesamos los datos exclusivamente según las instrucciones de nuestros clientes y en el marco de los servicios contratados.

2.3 Acuerdos de Procesamiento de Datos (DPA)

Ponemos a disposición de todos nuestros clientes un Acuerdo de Procesamiento de Datos (Data Processing Agreement) que cumple con los requisitos del artículo 28 del GDPR. Este acuerdo define claramente las obligaciones de cada parte, las medidas de seguridad aplicables y los procedimientos para la gestión de incidentes. Los DPA están disponibles para su firma desde el panel de configuración de la cuenta o solicitándolos a legal@sisteco.io.

3. Principios que Seguimos

Todas nuestras actividades de tratamiento de datos se rigen por los principios fundamentales del GDPR (artículo 5):

• Licitud, lealtad y transparencia: Tratamos los datos de forma lícita, leal y transparente. Informamos claramente a los usuarios sobre cómo y por qué procesamos sus datos.
• Limitación de la finalidad: Recopilamos datos únicamente para fines específicos, explícitos y legítimos, y no los tratamos de manera incompatible con dichos fines.
• Minimización de datos: Solo recopilamos y procesamos los datos que son estrictamente necesarios para los fines establecidos.
• Exactitud: Mantenemos los datos actualizados y tomamos medidas razonables para corregir o suprimir datos inexactos sin demora.
• Limitación del plazo de conservación: Conservamos los datos solo durante el tiempo necesario para cumplir con los fines del tratamiento, y los eliminamos de forma segura una vez transcurrido dicho plazo.
• Integridad y confidencialidad: Aplicamos medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, protegiéndolos contra el tratamiento no autorizado, la pérdida o la destrucción accidental.

4. Derechos de los Interesados

El GDPR otorga a los interesados una serie de derechos fundamentales sobre sus datos personales. En Sisteco facilitamos el ejercicio de todos estos derechos:

• Derecho de acceso (Art. 15): Puedes solicitar una copia completa de todos los datos personales que tenemos sobre ti, así como información sobre cómo los procesamos.
• Derecho de rectificación (Art. 16): Si alguno de tus datos personales es inexacto o está incompleto, tienes derecho a solicitar su corrección o complemento.
• Derecho de supresión (Art. 17): También conocido como "derecho al olvido", puedes solicitar la eliminación de tus datos personales cuando ya no sean necesarios para los fines para los que fueron recogidos, entre otros supuestos.
• Derecho a la portabilidad (Art. 20): Puedes solicitar la entrega de tus datos en un formato estructurado, de uso común y lectura mecánica (JSON o CSV), así como su transmisión directa a otro responsable cuando sea técnicamente posible.
• Derecho de oposición (Art. 21): Puedes oponerte al tratamiento de tus datos personales en determinadas circunstancias, incluyendo el tratamiento basado en interés legítimo y el tratamiento con fines de marketing directo.
• Derecho a la limitación del tratamiento (Art. 18): En ciertos supuestos, puedes solicitar que restrinjamos el tratamiento de tus datos, de forma que solo los conservemos sin realizar ninguna otra operación.

Para ejercer cualquiera de estos derechos, envía tu solicitud a dpo@sisteco.io indicando tu nombre, dirección de email asociada a tu cuenta y el derecho que deseas ejercer. Nos comprometemos a responder a todas las solicitudes en un plazo máximo de 30 días naturales desde su recepción.

5. Medidas de Seguridad

Hemos implementado un conjunto robusto de medidas técnicas y organizativas para proteger los datos personales:

• Encriptación en tránsito y en reposo: Todas las comunicaciones están protegidas con TLS 1.3. Los datos almacenados se cifran con AES-256, un estándar de encriptación de nivel militar.
• Control de acceso basado en roles (RBAC): El acceso a los datos personales está estrictamente limitado al personal autorizado, con permisos granulares basados en las funciones de cada empleado.
• Monitorización y logging de accesos: Registramos y monitorizamos todos los accesos a datos personales, con alertas automáticas ante comportamientos anómalos.
• Evaluaciones de impacto (DPIA): Realizamos Evaluaciones de Impacto relativas a la Protección de Datos antes de implementar cualquier nuevo tratamiento que pueda suponer un alto riesgo para los derechos y libertades de los interesados.
• Plan de respuesta ante brechas de seguridad: Disponemos de un protocolo documentado de respuesta ante incidentes de seguridad que garantiza la notificación a la autoridad de control competente en un plazo máximo de 72 horas desde la detección de la brecha, conforme al artículo 33 del GDPR.

6. Transferencias Internacionales

Nos comprometemos a mantener los datos personales dentro del Espacio Económico Europeo (EEE) siempre que sea posible:

• Ubicación de datos: Los datos se almacenan en centros de datos ubicados en la Unión Europea (AWS eu-west-1, Frankfurt, Alemania), garantizando que los datos no abandonen el territorio de la UE.
• Transferencias fuera del EEE: En los casos excepcionales en que sea necesaria una transferencia de datos fuera del Espacio Económico Europeo, nos aseguramos de que existan garantías adecuadas, incluyendo la firma de Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
• Proveedores principales: Supabase (infraestructura con datos alojados en la UE) y Resend (servicio de email con Acuerdo de Procesamiento de Datos vigente). Todos nuestros proveedores han sido evaluados y cumplen con los requisitos del GDPR.

7. Delegado de Protección de Datos

Sisteco ha designado un Delegado de Protección de Datos (DPO) al que puedes dirigirte para cualquier cuestión relacionada con el tratamiento de tus datos personales o el ejercicio de tus derechos:

• Email: dpo@sisteco.io
• Dirección postal: Sisteco S.L., Calle Gran Vía 28, 28013 Madrid, España

Si consideras que el tratamiento de tus datos personales vulnera la normativa de protección de datos, tienes derecho a presentar una reclamación ante la autoridad de control competente:

• Autoridad de control: Agencia Española de Protección de Datos (AEPD)
• Web: www.aepd.es
• Dirección: C/ Jorge Juan 6, 28001 Madrid, España

8. Registro de Actividades de Tratamiento

De conformidad con el artículo 30 del GDPR, Sisteco mantiene un registro completo y actualizado de todas las actividades de tratamiento de datos personales que realizamos, tanto en nuestra condición de Responsable como de Encargado del Tratamiento.

Este registro incluye, entre otros, los siguientes elementos para cada actividad de tratamiento:

• Nombre y datos de contacto del responsable y, en su caso, del encargado
• Fines del tratamiento
• Categorías de interesados y de datos personales
• Categorías de destinatarios
• Transferencias internacionales de datos, si las hubiera
• Plazos previstos para la supresión de los datos
• Descripción general de las medidas técnicas y organizativas de seguridad

Este registro está disponible para la autoridad de control cuando sea requerido y se revisa trimestralmente para garantizar su exactitud y completitud.