Política de privacidad
Vigente desde: 11 de junio de 2026
1. Responsable del tratamiento de datos personales
El responsable del tratamiento de los datos personales en el sentido del art. 4.7 RGPD es:
Razón social: Cacciatore SR s.r.o.
Domicilio social: Hrabová 2731/3, 040 22 Košice — mestská časť Vyšné Opátske
Identificación de empresa (IČO): 47608412
NIF / Número de IVA: DIČ 2023997547 · IČ DPH SK2023997547
Inscripción: Obchodný register Mestského súdu Košice, oddiel: Sro, vložka č. 58416/V
Operación del servicio: WebsiteAudit
Correo electrónico:websiteaudit@cacciatore.sk
Teléfono:+421 915 170 050
No se ha designado un Delegado de Protección de Datos (DPD) en el sentido del art. 37 RGPD, ya que la naturaleza y el alcance del tratamiento no están sujetos a la obligación de designarlo conforme al art. 37.1 RGPD. La persona de contacto en materia de protección de datos es el administrador de la empresa, disponible en el correo indicado arriba.
2. Base jurídica del tratamiento
Tratamos los datos personales sobre las siguientes bases jurídicas según el art. 6 RGPD:
Ejecución de un contrato — art. 6.1.b) RGPD
El tratamiento es necesario para prestar el Servicio al que accediste al registrarte o iniciar una auditoría. Incluye la gestión de la cuenta, la entrega de informes y la comunicación relacionada con el Servicio.
Interés legítimo — art. 6.1.f) RGPD
Tratamos direcciones IP y registros técnicos con fines de seguridad (protección frente al abuso, rate limiting), estabilidad operativa y monitorización de errores (Sentry). El interés legítimo del responsable prevalece sobre los intereses del interesado, ya que el tratamiento es necesario para proteger el Servicio y a sus usuarios.
Obligación legal — art. 6.1.c) RGPD
Conservamos los registros de facturación y pago conforme a la Ley n.º 431/2002 Rec. de contabilidad (archivo obligatorio de 10 años) y a la Ley n.º 222/2004 Rec. del impuesto sobre el valor añadido.
El Servicio actualmente no envía correos de marketing sin relación directa con tu pedido o auditoría. Si en el futuro introdujéramos dicha comunicación, solicitaríamos tu consentimiento explícito (art. 6.1.a) RGPD).
3. Categorías de datos personales tratados
Según cómo uses el Servicio, tratamos las siguientes categorías de datos personales:
3.1 Datos facilitados directamente
- Dirección de correo — al registrarte, iniciar sesión o contactar con soporte
- Nombre y apellidos — opcional, al registrarte mediante OAuth de Google o GitHub
- Contraseña — almacenada únicamente en forma hash (bcrypt); el responsable no tiene acceso a la contraseña original
- Perfil Agency — razón social, dirección web, correo, teléfono, URL del logo; solo para el plan Agency, de forma voluntaria
3.2 Datos operativos y de auditoría
- URLs introducidas para auditar — incluidos los resultados de auditoría, puntuaciones y hallazgos
- URLs monitorizadas — URLs añadidas a la lista de seguimiento (planes Pro y Agency)
- Historial de auditorías — fecha, hora, URL, resultados; el alcance depende del plan (15 días / 45 días / 1 año)
- Clave API — un identificador generado para el acceso programático (plan Agency)
- Estado de la suscripción — plan actual, fecha de expiración de la prueba, fecha del último pago
3.3 Registros técnicos y operativos
- Dirección IP — registrada en cada solicitud con fines de rate limiting y seguridad
- Token de sesión — almacenado en una cookie HttpOnly para la autenticación; válido 30 días
- Registros de errores — registros técnicos de excepciones (stack traces) enviados a Sentry; no contienen contraseñas ni datos de pago
- Marcas de tiempo de las solicitudes — una marca de tiempo de cada auditoría con fines de rate limiting e historial
3.4 Datos de pago
Las transacciones de pago las procesa exclusivamente Stripe, Inc. (véase el punto 5). El responsable no almacena números de tarjeta de pago, códigos CVV ni datos bancarios. De Stripe conservamos solo el identificador de cliente (Stripe Customer ID) y el estado de la suscripción.
3.5 Categorías especiales de datos personales
El Servicio no recopila ni trata categorías especiales de datos personales en el sentido del art. 9 RGPD (datos de salud, datos biométricos, origen racial, creencias religiosas, etc.).
4. Fines del tratamiento
| Fin | Datos | Base jurídica |
|---|---|---|
| Prestación del Servicio (auditorías, informes) | Correo, URL, resultados de auditoría | Contrato (art. 6b) |
| Gestión de la cuenta y autenticación | Correo, contraseña hash, token de sesión | Contrato (art. 6b) |
| Pagos y facturación | Correo, Stripe Customer ID, estado del plan | Contrato + ley (art. 6b, 6c) |
| Comunicación por correo (auditorías, restablecimiento de contraseña, verificación) | Correo, nombre | Contrato (art. 6b) |
| Rate limiting y protección frente al abuso | Dirección IP, marcas de tiempo | Interés legítimo (art. 6f) |
| Monitorización de errores y estabilidad del Servicio | Dirección IP, stack traces (sin PII) | Interés legítimo (art. 6f) |
| Archivo contable | Registros de facturación | Ley (art. 6c) |
5. Destinatarios y encargados del tratamiento de datos personales
No vendemos datos personales a terceros con fines de marketing ni otros fines comerciales. Para operar el Servicio utilizamos los siguientes encargados del tratamiento (art. 28 RGPD), con los que tenemos suscritos contratos de tratamiento de datos (DPA):
Stripe, Inc.
EE. UU. (San Francisco, CA)Fin: Procesamiento de pagos y gestión de suscripciones
Datos tratados: Correo, registros de facturación, Stripe Customer ID
Garantía (art. 46 RGPD): Cláusulas Contractuales Tipo de la CE (SCC) + certificación EU–US Data Privacy Framework (DPF, Decisión CE C(2023) 4745)
Google LLC
EE. UU. (Mountain View, CA)Fin: Inicio de sesión OAuth, Google PageSpeed Insights API, Google Safe Browsing API, Chrome UX Report (CrUX) API — estas API reciben las URL de los sitios auditados, no los datos personales del Usuario
Datos tratados: OAuth: correo, nombre (solo al iniciar sesión con Google). Otras API: URL auditada (dirección pública del sitio web)
Garantía (art. 46 RGPD): SCC + certificación EU–US Data Privacy Framework (DPF)
GitHub, Inc. (Microsoft)
EE. UU.Fin: Inicio de sesión OAuth mediante una cuenta de GitHub
Datos tratados: Correo, nombre de usuario de GitHub (solo al iniciar sesión con GitHub)
Garantía (art. 46 RGPD): SCC + certificación EU–US Data Privacy Framework (DPF)
Functional Software, Inc. dba Sentry
EE. UU. (San Francisco, CA)Fin: Registro automatizado de errores y excepciones de la aplicación con fines de depuración y estabilidad
Datos tratados: Dirección IP, stack traces. Las contraseñas, los datos de pago y el contenido de las auditorías quedan excluidos del reporte.
Garantía (art. 46 RGPD): Cláusulas Contractuales Tipo de la CE (SCC)
Proveedor de hosting
UE / según contratoFin: Operación de servidores, base de datos (PostgreSQL), Redis y el entorno de contenedores
Datos tratados: Todos los datos almacenados en la base de datos y en Redis (tokens de sesión, resultados de auditoría)
Garantía (art. 46 RGPD): Tratamiento dentro de la UE/EEE; contrato de tratamiento de datos (DPA)
6. Transferencias internacionales de datos personales
Algunos encargados del tratamiento tienen su sede fuera del Espacio Económico Europeo (EEE), principalmente en EE. UU. Las transferencias a terceros países se aseguran mediante uno o una combinación de los siguientes instrumentos en el sentido del capítulo V del RGPD:
- EU–US Data Privacy Framework (DPF) — decisión de adecuación de la Comisión Europea n.º C(2023) 4745 de 10 de julio de 2023, aplicable a Google, GitHub (Microsoft) y Stripe.
- Cláusulas Contractuales Tipo (SCC) — cláusulas modelo adoptadas por la Comisión mediante la Decisión (UE) 2021/914 de 4 de junio de 2021, utilizadas principalmente para Sentry.
El responsable está establecido en el territorio de la República Eslovaca (UE) y el tratamiento tiene lugar principalmente dentro de la UE. Las transferencias a EE. UU. se minimizan y son necesarias para la operación del Servicio.
7. Plazo de conservación de los datos personales
| Categoría de datos | Plazo | Motivo |
|---|---|---|
| Datos de la cuenta (correo, nombre) | Durante la vigencia de la cuenta + 30 días tras su eliminación | Contrato; recuperación en caso de error |
| Historial de auditorías — plan Free | 15 días desde la creación de la auditoría | Limitación del plan |
| Historial de auditorías — plan Pro | 45 días desde la creación de la auditoría | Limitación del plan |
| Historial de auditorías — plan Agency | 1 año desde la creación de la auditoría | Limitación del plan |
| Tokens de sesión (cookies) | 30 días desde el último inicio de sesión | Autenticación |
| Registros de facturación | 10 años | Ley n.º 431/2002 Rec. |
| Direcciones IP (rate limiting) | 24 horas en Redis; sin almacenamiento a largo plazo | Seguridad |
| Registros de errores (Sentry) | 90 días (configuración predeterminada de Sentry) | Depuración y estabilidad |
| Claves API | Durante la vigencia de la cuenta o hasta su revocación | Acceso API |
Tras expirar el plazo de conservación, los datos personales se eliminan o anonimizan automáticamente, salvo que su conservación adicional sea exigida por ley.
8. Cookies y almacenamiento local
El Servicio usa únicamente cookies funcionales necesarias para la operación:
| Nombre / tipo | Fin | Validez | Tipo |
|---|---|---|---|
| better-auth.session_token | Mantenimiento de la sesión iniciada (HttpOnly, Secure, SameSite=Lax) | 30 días | Necesaria |
| better-auth.session_data | Caché de datos de sesión para reducir la carga de la BD (HttpOnly) | 5 minutos | Necesaria |
Las cookies funcionales tienen la base jurídica del art. 6.1.b) RGPD (necesarias para la ejecución de un contrato) y no requieren consentimiento separado conforme al § 55.5 de la Ley n.º 452/2021 Rec. de comunicaciones electrónicas. Puedes restringir el almacenamiento de cookies en la configuración de tu navegador, sin embargo no es posible iniciar sesión en el Servicio sin la cookie de sesión.
9. Decisiones automatizadas y elaboración de perfiles
El Servicio no realiza decisiones automatizadas en el sentido del art. 22 RGPD que tengan efectos jurídicos o te afecten de modo similarmente significativo. Los resultados de auditoría son un resultado técnico determinista — no una evaluación del Usuario ni elaboración de perfiles.
El tier (plan) del Usuario se determina automáticamente en función del estado de la suscripción en la base de datos (Free / Pro / Agency / Trial). Esta asignación automática de plan es necesaria para la ejecución del contrato y no constituye elaboración de perfiles en el sentido del RGPD.
10. Tus derechos como interesado
De acuerdo con el capítulo III del RGPD (art. 15–22) y la Ley n.º 18/2018 Rec., tienes los siguientes derechos frente al responsable:
Derecho de acceso
Tienes derecho a obtener confirmación de si tratamos tus datos personales y, en su caso, a acceder a ellos y a información sobre el tratamiento.
Derecho de rectificación
Tienes derecho a la rectificación de datos personales inexactos o a completar los incompletos. Puedes cambiar el correo y el nombre directamente en los ajustes de la cuenta.
Derecho de supresión («al olvido»)
Tienes derecho a solicitar la supresión de tus datos personales si ha cesado el fin para el que se recopilaron, o has retirado el consentimiento. El derecho no se aplica a los datos que estamos obligados a conservar por ley (p. ej. registros de facturación).
Derecho a la limitación del tratamiento
Tienes derecho a solicitar la limitación del tratamiento, por ejemplo mientras verificamos la exactitud de tus datos o la legitimidad de tu oposición.
Derecho a la portabilidad de los datos
Tienes derecho a recibir los datos personales que nos has facilitado en un formato estructurado, de uso común y de lectura mecánica (p. ej. la exportación JSON disponible para el plan Agency), y a transmitirlos a otro responsable.
Derecho de oposición
Tienes derecho a oponerte al tratamiento de tus datos personales realizado sobre la base del interés legítimo (art. 6f). El responsable cesará el tratamiento salvo que acredite motivos legítimos imperiosos.
Derecho a retirar el consentimiento
Si el tratamiento se basa en el consentimiento, tienes derecho a retirarlo en cualquier momento sin que afecte a la licitud del tratamiento previo a la retirada.
Cómo ejercer tus derechos
Envía tu solicitud por correo a websiteaudit@cacciatore.sk. Responderemos a la solicitud sin dilación indebida, a más tardar en un plazo de 30 días desde su recepción (art. 12.3 RGPD). Excepcionalmente podemos prorrogar el plazo otros 2 meses, de lo que te informaremos.
Para verificar tu identidad, solicitaremos una confirmación desde la dirección de correo de tu cuenta. Te prestamos el servicio de forma gratuita; solo podemos cobrar una tarifa por solicitudes manifiestamente infundadas o repetitivas (art. 12.5 RGPD).
11. Derecho a presentar una reclamación ante una autoridad de control
Si consideras que el tratamiento de tus datos personales infringe el RGPD o la Ley n.º 18/2018 Rec., tienes derecho a presentar una reclamación ante una autoridad de control. La autoridad competente para Eslovaquia es:
Oficina de Protección de Datos Personales de la República Eslovaca
Hraničná 12, 820 07 Bratislava 27
Tel.: +421 2 3231 3214
Antes de presentar una reclamación, te recomendamos contactarnos directamente — resolvemos la mayoría de los asuntos más rápido y sin procedimiento formal.
12. Seguridad de los datos personales
El responsable implementa medidas técnicas y organizativas apropiadas para proteger los datos personales conforme al art. 32 RGPD:
- Cifrado de las transmisiones mediante el protocolo TLS 1.2+ (HTTPS)
- Hashing de las contraseñas con el algoritmo bcrypt (función unidireccional; la contraseña no es recuperable)
- Cookies de sesión con los atributos HttpOnly, Secure y SameSite=Lax
- Rate limiting (limitación del número de solicitudes) para proteger frente a ataques de fuerza bruta
- Verificación por correo de la cuenta al registrarse
- Monitorización automatizada de errores e incidentes de seguridad
- Acceso a la base de datos exclusivamente mediante una interfaz de red interna (no accesible públicamente)
En caso de un incidente de seguridad que amenace los derechos y libertades de las personas físicas, el responsable lo notificará a la autoridad de control en un plazo de 72 horas desde que tenga conocimiento de él, y a los interesados sin dilación indebida si el incidente pudiera afectarles (art. 33–34 RGPD).
13. Cambios en esta Política
El responsable se reserva el derecho de actualizar esta Política, en particular en caso de cambios en el tratamiento de datos, cambios legislativos o la introducción de nuevas funciones del Servicio.
Te informaremos de los cambios sustanciales (p. ej. un nuevo fin de tratamiento, nuevos encargados, una nueva base jurídica) por correo con al menos 14 días de antelación. Los cambios menos significativos (correcciones de texto, actualizaciones de datos de contacto) entran en vigor con su publicación en esta página y la actualización de la fecha «Vigente desde».
Un archivo de versiones anteriores de la Política está disponible bajo petición por correo.
14. Contacto en materia de protección de datos personales
Envía todas las solicitudes, preguntas y reclamaciones relativas a la protección de datos personales a:
Razón social: Cacciatore SR s.r.o.
Domicilio social: Hrabová 2731/3, 040 22 Košice — mestská časť Vyšné Opátske
Identificación de empresa (IČO): 47608412
NIF / Número de IVA: DIČ 2023997547 · IČ DPH SK2023997547
Inscripción: Obchodný register Mestského súdu Košice, oddiel: Sro, vložka č. 58416/V
Operación del servicio: WebsiteAudit
Correo electrónico:websiteaudit@cacciatore.sk
Teléfono:+421 915 170 050
Esta Política de privacidad entra en vigor el 11 de junio de 2026.
Elaborada conforme al RGPD (UE) 2016/679 y a la Ley n.º 18/2018 Rec. sobre protección de datos personales.