Política de privacidad

El Responsable del tratamiento es Fabio Tassone, trabajador autónomo dado de alta en el Régimen Especial de Trabajadores Autónomos (RETA) y en el Registro Único de Empresarios español.

Datos identificativos:

Cursalys no está obligada a designar un Delegado de Protección de Datos (DPD) conforme al Art. 37 RGPD porque no se encuentra en los supuestos de obligación (autoridad pública, observación sistemática a gran escala, tratamiento como actividad principal de categorías especiales).

El Responsable gestiona personalmente las solicitudes de privacidad. Para cualquier cuestión relacionada con tus datos personales escribe a rayajustwork@gmail.com. Recibirás respuesta en el plazo máximo de 30 días desde la recepción (Art. 12 apdo. 3 RGPD).

Tratamos tus datos únicamente para las finalidades indicadas a continuación, sobre la base jurídica correspondiente (Art. 6 RGPD):

• Creación y gestión de la cuenta, autenticación, recuperación de contraseña — ejecución de un contrato (Art. 6(1)(b) RGPD). Proveedor: Clerk.
• Historial de búsquedas, marcadores y preferencias personalizadas — ejecución del contrato e interés legítimo en mejorar el servicio (Art. 6(1)(b) y (f) RGPD).
• Analítica agregada y estadísticas de uso (Vercel Analytics, Speed Insights, Google Analytics 4) — consentimiento expreso (Art. 6(1)(a) RGPD). Puedes retirar el consentimiento en cualquier momento desde las preferencias de cookies.
• Comunicaciones de marketing por email (boletín, novedades de producto) — consentimiento expreso (Art. 6(1)(a) RGPD). Puedes darte de baja con un solo clic en cada email.
• Seguimiento de clics afiliados hacia proveedores asociados (Coursera, Udemy, Domestika, Tutellus, Skillshare) — interés legítimo para monetizar el servicio gratuito (Art. 6(1)(f) RGPD). Existe opt-out en las preferencias de la cuenta.
• Facturación y obligaciones fiscales y contables mediante Stripe — obligación legal (Art. 6(1)(c) RGPD) conforme a la Ley General Tributaria española y al Modelo 036 RETA.

Conservamos los datos personales solo el tiempo necesario para cumplir las finalidades del tratamiento, de acuerdo con los siguientes criterios:

• Datos de cuenta (email, perfil, hash de contraseña gestionado por Clerk): 3 años desde el último acceso. Transcurrido ese plazo la cuenta se elimina automáticamente, con notificación por email 30 días antes.
• Historial de búsquedas y marcadores: 12 meses desde su creación. Datos anonimizados conservados para análisis agregado.
• Registro de consentimientos RGPD (consent log): conservación permanente como prueba de la base de licitud (Art. 7 apdo. 1 RGPD).
• Facturas y recibos de Stripe: 4 años mínimos por Ley General Tributaria (Art. 66 LGT), 6 años por Modelo 036 RETA. Aplicamos por seguridad el plazo más amplio de 10 años para usuarios italianos (Art. 2220 Cód. Civil IT).
• Logs técnicos y de seguridad: máximo 12 meses, como práctica consolidada y conforme al criterio AEPD para servicios de la sociedad de la información.

Para prestar el servicio compartimos datos con los siguientes encargados. Cada uno ha firmado un Acuerdo de Encargo de Tratamiento (DPA) conforme al Art. 28 RGPD y, cuando proceda, las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea para transferencias fuera de la UE:

• Clerk (EE.UU.) — autenticación de usuarios y gestión de sesión. DPA + SCC.
• Neon Postgres (UE, Fráncfort) — base de datos principal. DPA intra-UE, sin transferencias fuera de la UE para datos de producción.
• Vercel (EE.UU.) — alojamiento de la aplicación, Vercel Analytics, Speed Insights. DPA + SCC.
• Stripe (EE.UU., sede UE en Irlanda) — pagos, facturación y Stripe Tax automático. DPA + SCC.
• Resend (EE.UU.) — envío de emails transaccionales (confirmaciones, notificaciones). DPA + SCC.
• Anthropic (EE.UU.) — modelos Claude para búsqueda conversacional con IA. DPA + SCC. No se envía ningún dato identificativo en las consultas a la IA.
• Voyage AI (EE.UU.) — generación de embeddings semánticos de 1024 dimensiones para la búsqueda de cursos. DPA + SCC.
• Firecrawl (EE.UU.) — scraping de catálogos de cursos de proveedores asociados. No trata datos personales de usuario.

Como interesado puedes ejercer los siguientes derechos previstos en los Arts. 15-22 RGPD y en la LOPDGDD:

• Derecho de acceso (Art. 15 RGPD) — obtener confirmación de la existencia del tratamiento y copia de los datos que te conciernen.
• Derecho de rectificación (Art. 16 RGPD) — corregir datos inexactos o completar datos incompletos.
• Derecho de supresión / al olvido (Art. 17 RGPD) — solicitar la eliminación de tus datos si ya no son necesarios, si has retirado el consentimiento o si te opones al tratamiento.
• Derecho a la limitación del tratamiento (Art. 18 RGPD) — pedir la suspensión temporal del tratamiento.
• Derecho a la portabilidad (Art. 20 RGPD) — recibir tus datos en formato estructurado, legible por máquina (JSON) y transmitirlos a otro Responsable.
• Derecho de oposición (Art. 21 RGPD) — oponerte en cualquier momento al tratamiento basado en interés legítimo, incluido el seguimiento afiliado.
• Derecho a retirar el consentimiento (Art. 7 apdo. 3 RGPD) — en cualquier momento, sin afectar la licitud del tratamiento anterior.
• Derecho a no ser objeto de decisiones automatizadas (Art. 22 RGPD) — Cursalys no toma decisiones con efectos jurídicos basadas únicamente en tratamiento automatizado.

Escribe a rayajustwork@gmail.com indicando en el asunto la solicitud (p. ej. "Derecho de acceso RGPD Art. 15"). Adjunta un documento identificativo o utiliza un email ya verificado en la cuenta. El Responsable responde en el plazo máximo de 30 días desde la recepción (Art. 12 apdo. 3 RGPD), prorrogables por otros dos meses si la solicitud es compleja.

El ejercicio de los derechos es gratuito. Solo podremos cobrar una contraprestación si la solicitud es manifiestamente infundada o excesiva, en particular si es repetitiva (Art. 12 apdo. 5 RGPD).

Si la cuenta ya ha sido eliminada automáticamente puedes solicitar información sobre datos residuales: conservamos únicamente registros de consentimiento y datos fiscales durante los plazos indicados en el punto 4.

Si consideras que el tratamiento de tus datos vulnera el RGPD, puedes presentar reclamación ante una de las autoridades de control competentes (Art. 77 RGPD):

• España — Agencia Española de Protección de Datos (AEPD). C/ Jorge Juan, 6, 28001 Madrid. Web: aepd.es. Sede electrónica: sedeagpd.gob.es.
• Italia — Garante per la protezione dei dati personali. Piazza Venezia 11, 00187 Roma. Web: garanteprivacy.it. PEC: protocollo@pec.gpdp.it.

Algunos encargados del tratamiento (Clerk, Vercel, Stripe, Resend, Anthropic, Voyage AI, Firecrawl) están establecidos en Estados Unidos. Las transferencias se realizan sobre la base de las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea mediante la Decisión 2021/914, complementadas con medidas técnicas adicionales (cifrado en tránsito TLS 1.3, cifrado en reposo AES-256, control de accesos basado en roles).

Cuando proceda, los proveedores se adhieren al EU-US Data Privacy Framework (Decisión de adecuación 2023/1795). Puedes solicitar copia de las SCC y de las Evaluaciones de Impacto de Transferencia (TIA) escribiendo a rayajustwork@gmail.com.

La política puede actualizarse para reflejar cambios legales, organizativos o técnicos. La fecha de la última revisión se indica al inicio.

En caso de cambios sustanciales (nuevas finalidades, nuevos encargados de tratamiento, cambio de base jurídica) te lo notificaremos por email al menos 30 días antes de la entrada en vigor y mostraremos un banner en la aplicación. Si no aceptas los cambios puedes solicitar la cancelación de la cuenta antes del vencimiento.