Por qué existe este documento

Cuando alguien se registra en Equinoxconsultingfirm Hub, comparte datos personales con nosotros. Algunos porque los introduce directamente (su nombre, su email, quizá su teléfono), otros porque nuestros sistemas los generan automáticamente durante el uso de la plataforma (direcciones IP, patrones de navegación, fechas de acceso). Todo esto queda registrado, y la ley nos obliga a explicar qué hacemos con esa información.

No lo hacemos solo por cumplir un requisito burocrático. La privacidad nos importa porque sabemos que detrás de cada registro hay una persona que confía en que no vamos a hacer tonterías con sus datos. Por eso hemos redactado este documento: para aclarar exactamente qué información recogemos, con qué propósito, quién puede acceder a ella, cuánto tiempo la conservamos y qué derechos tienes para controlarla.

La lógica detrás de nuestra gestión de datos

Entendemos los datos desde una perspectiva funcional. No recopilamos información porque sí, ni por si acaso nos sirve en el futuro. Cada dato que solicitamos tiene una razón operativa concreta, ligada directamente a alguna funcionalidad del servicio.

¿Necesitamos tu email? Sí, porque sin él no podemos enviarte credenciales de acceso, confirmaciones de matrícula ni avisos sobre cambios en los cursos. ¿Tu nombre completo? También, porque aparece en los certificados que emitimos al finalizar una formación. ¿Tu número de teléfono? Solo si decides dárnoslo voluntariamente y únicamente para enviarte recordatorios urgentes (un cambio de fecha en un taller presencial, por ejemplo). No pedimos nada más que lo imprescindible para que el servicio funcione bien.

Dicho esto, hay otra categoría de datos que recogemos sin que hagas nada: los que se generan automáticamente cuando usas la plataforma. Tu dirección IP queda registrada cada vez que accedes, porque nuestros servidores necesitan saber a dónde enviar la respuesta. Los timestamps (marcas temporales) se almacenan porque tenemos que llevar un registro de actividad por razones de seguridad y detección de fraudes. Si completas un módulo formativo, eso también queda registrado, obviamente, porque forma parte de tu progreso académico.

Toda esta información —la que introduces tú y la que se genera automáticamente— permanece bajo nuestra custodia mientras dure tu relación con Equinoxconsultingfirm Hub, y en algunos casos durante un periodo adicional tras la finalización del servicio (por obligaciones legales que explicaremos más adelante).

Qué datos manejamos y cómo llegan a nosotros

Información de identidad y contacto

Cuando alguien crea una cuenta en nuestra plataforma, introducimos en el sistema: nombre completo, dirección de correo electrónico y, opcionalmente, un número de teléfono. El email se convierte en tu identificador único dentro de la plataforma. Si más adelante decides inscribirte en algún taller presencial que organizamos en Oviedo, te pediremos datos de facturación (nombre fiscal, NIF/NIE, dirección completa) porque Hacienda exige que emitamos facturas correctamente cumplimentadas.

Si pagas con tarjeta, no almacenamos los datos de la tarjeta en nuestros servidores. Esa información la gestiona directamente la pasarela de pago externa (un procesador especializado que cumple con las normas PCI DSS). Nosotros solo recibimos confirmación de que el pago se ha completado correctamente, junto con un identificador de transacción que nos permite hacer seguimiento en caso de incidencias.

Datos generados durante el uso del servicio

Cada vez que accedes a la plataforma, se registran algunos datos técnicos: tu dirección IP, el tipo de navegador que usas, el sistema operativo, la resolución de pantalla, la zona horaria configurada en tu dispositivo. Estos datos no los recopilamos por curiosidad, sino porque nos permiten detectar patrones anómalos (intentos de acceso no autorizado, por ejemplo) y mejorar la experiencia de usuario (adaptando la interfaz según el dispositivo desde el que te conectas).

También registramos tu actividad dentro de la plataforma: qué módulos has visitado, cuánto tiempo has pasado en cada uno, si has completado los ejercicios propuestos, las respuestas que has dado en los tests de evaluación. Todo esto forma parte de tu historial académico y nos sirve para emitir certificados que reflejen fielmente tu progreso.

Información que NO recopilamos

No pedimos datos especialmente sensibles (origen racial, orientación sexual, afiliación sindical, creencias religiosas, datos biométricos, información médica). Tampoco recopilamos datos de menores de edad, porque nuestros servicios están dirigidos exclusivamente a adultos. Si detectamos que alguien menor de 18 años se ha registrado, bloqueamos la cuenta inmediatamente y eliminamos sus datos.

Base legal y finalidades del tratamiento

El RGPD (Reglamento General de Protección de Datos de la UE) nos obliga a justificar legalmente cada operación que hacemos con datos personales. En nuestro caso, manejamos tres bases legales distintas dependiendo del tipo de tratamiento:

Ejecución contractual

Cuando te registras en Equinoxconsultingfirm Hub y aceptas nuestros términos de servicio, estamos formalizando un contrato. Para cumplir ese contrato necesitamos procesar tus datos personales: crearte un perfil de usuario, darte acceso al material formativo, registrar tu progreso, emitirte certificados cuando completes un curso, gestionar pagos si te inscribes en formaciones de pago, enviarte comunicaciones relacionadas con el servicio (confirmaciones de matrícula, avisos sobre cambios en el calendario académico, notificaciones de nuevos contenidos disponibles).

Todo esto entra dentro de lo que llamamos "ejecución contractual". No necesitamos pedirte consentimiento explícito para estas operaciones porque son imprescindibles para prestarte el servicio que has solicitado. Si no procesáramos estos datos, simplemente no podríamos ofrecerte acceso a la plataforma.

Obligaciones legales

Algunas operaciones las hacemos porque la ley nos obliga, no porque nosotros queramos. Por ejemplo: conservar facturas durante al menos cuatro años (obligación fiscal), mantener registros de acceso y actividad durante cierto tiempo (obligación en materia de seguridad informática), atender solicitudes de acceso a datos personales cuando nos las pide una autoridad competente con una orden judicial válida.

En estos casos tampoco necesitamos tu consentimiento, porque estamos cumpliendo un mandato legal que prevalece sobre cualquier acuerdo privado entre tú y nosotros.

Interés legítimo

Hay una tercera categoría de tratamientos que hacemos basándonos en lo que el RGPD llama "interés legítimo". Esto cubre situaciones como: detectar y prevenir fraudes (por ejemplo, identificar intentos de crear múltiples cuentas falsas para acceder gratuitamente a contenido de pago), mejorar la seguridad de la plataforma analizando patrones de acceso anómalos, analizar datos agregados y anonimizados para mejorar nuestros contenidos formativos (por ejemplo, si vemos que el 80% de los usuarios abandonan un módulo concreto sin completarlo, eso nos indica que probablemente esté mal diseñado y necesite revisión).

El "interés legítimo" es la base legal más delicada, porque hay que demostrar que nuestro interés como organización está equilibrado con tus derechos como usuario. Antes de aplicarla a cualquier tratamiento nuevo, hacemos una evaluación de impacto donde sopesamos riesgos y beneficios. Y, por supuesto, siempre tienes derecho a oponerte a este tipo de tratamientos si consideras que no están justificados.

Transferencias de datos y terceros implicados

No vendemos datos personales a nadie. Nunca. Pero sí compartimos cierta información con terceros cuando es estrictamente necesario para operar el servicio. Aquí está la lista completa de categorías de destinatarios que pueden acceder a tus datos:

Proveedores de infraestructura tecnológica

Nuestros servidores están alojados en un centro de datos europeo que cumple con las certificaciones ISO 27001 y SOC 2. Ese proveedor tiene acceso técnico a toda la información almacenada en sus servidores (incluidos tus datos personales), pero está contractualmente obligado a tratarla solo según nuestras instrucciones y bajo estrictas medidas de confidencialidad.

Procesadores de pago

Cuando realizas un pago con tarjeta, tus datos bancarios se envían directamente al procesador de pagos (que tiene certificación PCI DSS nivel 1, el estándar más exigente en seguridad de pagos). Nosotros no vemos ni almacenamos los números de tarjeta completos. Solo recibimos una confirmación de que la transacción se ha completado.

Servicios de email transaccional

Usamos un proveedor externo para el envío de emails automatizados (confirmaciones de registro, notificaciones de progreso, recordatorios de eventos). Ese proveedor recibe tu dirección de email y el contenido del mensaje que te enviamos, pero no puede usar esa información para ningún otro propósito.

Herramientas de análisis interno

Utilizamos software de analítica que nos ayuda a entender cómo se usa la plataforma (qué secciones reciben más visitas, dónde abandonan los usuarios, qué contenidos generan más interés). Estos sistemas procesan datos de navegación agregados y, cuando trabajan con información individualizada, lo hacen bajo contratos de procesamiento de datos que nos garantizan que no usarán esa información para fines propios.

Autoridades públicas

Si una autoridad competente (juzgado, Agencia Tributaria, Agencia Española de Protección de Datos) nos requiere información con una orden legalmente válida, estamos obligados a proporcionarla. En esos casos, verificamos siempre que la solicitud es legítima y solo entregamos los datos estrictamente solicitados, nunca más de lo necesario.

Tus derechos y cómo ejercerlos

El RGPD te otorga una serie de derechos sobre tus datos personales. No son derechos teóricos que solo existen en el papel: son facultades reales que puedes ejercer en cualquier momento. Aquí te explicamos cuáles son y cómo activarlos.

• Derecho de acceso: Puedes solicitarnos una copia de todos los datos personales que tenemos sobre ti. Te entregaremos un archivo estructurado (normalmente en formato JSON o CSV) con toda la información que procesamos. Respondemos a estas solicitudes en un plazo máximo de un mes.
• Derecho de rectificación: Si detectas que algún dato personal tuyo es inexacto o está desactualizado, puedes pedirnos que lo corrijamos. Muchos datos puedes editarlos tú mismo desde tu panel de usuario (nombre, email, teléfono), pero si necesitas modificar algo que no está accesible desde tu perfil, puedes escribirnos y lo cambiaremos manualmente.
• Derecho de supresión: Puedes pedirnos que eliminemos tu cuenta y todos los datos asociados. Hay algunas excepciones legales donde no podemos borrar cierta información (por ejemplo, las facturas, que debemos conservar por obligación fiscal durante cuatro años), pero todo lo demás se elimina de forma permanente e irreversible en un plazo máximo de 30 días.
• Derecho de limitación del tratamiento: Si consideras que estamos procesando tus datos de forma incorrecta pero no quieres que los eliminemos todavía (porque estás en proceso de reclamación, por ejemplo), puedes pedirnos que "congelemos" tu información. Mientras dure esa limitación, conservaremos tus datos pero no los usaremos para ningún propósito salvo que tú lo autorices expresamente o tengamos que responder a una reclamación legal.
• Derecho de portabilidad: Puedes solicitarnos que te entreguemos tus datos en un formato estructurado, de uso común y legible por máquina (CSV, JSON, XML). También podemos transferir esos datos directamente a otro responsable si es técnicamente posible. Este derecho solo aplica a los datos que nos hayas proporcionado directamente y que procesemos mediante medios automatizados.
• Derecho de oposición: Puedes oponerte en cualquier momento a que tratemos tus datos por motivos de interés legítimo. Si lo haces, dejaremos de procesar esos datos salvo que podamos demostrar motivos legítimos imperiosos que prevalezcan sobre tus intereses, derechos y libertades, o que sean necesarios para la formulación, ejercicio o defensa de reclamaciones.

Cómo ejercer estos derechos

Para activar cualquiera de estos derechos, envía un email a contact@equinoxconsultingfirm.com indicando claramente qué derecho quieres ejercer y proporcionando información suficiente para que podamos identificarte (nombre completo y email registrado en la plataforma). Si tenemos dudas razonables sobre tu identidad, podemos pedirte información adicional antes de procesar la solicitud.

Respondemos a todas las solicitudes en un plazo máximo de un mes desde la recepción. Si la petición es especialmente compleja o recibimos varias simultáneamente, ese plazo puede extenderse hasta dos meses adicionales, pero te avisaremos dentro del primer mes explicándote las razones del retraso.

Si consideras que no hemos atendido correctamente tu solicitud o que estamos vulnerando tus derechos de protección de datos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).