Última actualización: 22/05/2026
1. Responsable del tratamiento
- Identidad: Juan Carlos Carvajal Clemente
- CIF/NIF: 52761794R
- Domicilio: Ur Cañada Molina 121, 16123 Arcas, (Cuenca)
- Email: info@certificum.com
En adelante, "CERTIFICUM" o "el Responsable".
2. Datos personales que tratamos
Tratamos las siguientes categorías de datos según el servicio que utilices:
| Finalidad | Datos tratados | Base legal |
|---|---|---|
| Registro y cuenta de usuario | Nombre, apellidos, email, contraseña (cifrada con Argon2ID), tipo de usuario (física/jurídica), razón social y CIF/NIF (jurídicas), DNI/NIE (físicas), dirección postal, teléfono | Ejecución de contrato (art. 6.1.b RGPD) |
| Certificación de archivos | Hash criptográfico SHA-256 del archivo, metadatos opcionales, descripción | Ejecución de contrato |
| Verificación opcional en servidor | El archivo subido se procesa para recalcular el hash y se elimina inmediatamente tras la verificación. No se almacena copia. | Ejecución de contrato + consentimiento expreso |
| Envío de emails certificados | Destinatario, asunto, cuerpo y adjuntos del email enviado, todo cifrado con clave derivada del usuario | Ejecución de contrato |
| Cobros y facturación | Datos fiscales del comprador, importe, pasarela, identificador externo de la transacción | Ejecución de contrato + obligación legal (art. 6.1.b y 6.1.c RGPD; conservación 6 años por art. 30 del Código de Comercio) |
| Logs de acceso y seguridad | IP, user-agent, fecha/hora de inicio de sesión, intentos fallidos | Interés legítimo (art. 6.1.f RGPD) — prevención de fraude y seguridad |
| Comunicaciones comerciales (opcional) | Consentimiento (art. 6.1.a RGPD) — revocable en cualquier momento |
2.1 Medidas de seguridad técnicas
- Cifrado at-rest: los campos PII (email, documento, teléfono, dirección) se cifran con AES-256-GCM antes de almacenarse.
- Cifrado por usuario: cada usuario dispone de una clave AES-256 propia (DEK) que cifra el contenido sensible (emails enviados, adjuntos, evidencias). La DEK se cifra a su vez con la clave maestra de la aplicación. La eliminación de la DEK al cerrar cuenta produce el "crypto-shredding" del contenido del usuario.
- Sin almacenamiento de archivos: los archivos certificados nunca se conservan; solo se registra su hash criptográfico. Si optas por la verificación en servidor, el archivo se elimina automáticamente tras la comprobación.
- Contraseñas: hasheadas con Argon2ID.
3. Finalidades del tratamiento
- Prestar los servicios de certificación contratados y entregar las certificaciones blockchain.
- Gestionar tu cuenta, soporte y comunicaciones operativas (avisos de saldo, confirmaciones de pago).
- Cumplir obligaciones legales fiscales y contables.
- Prevenir fraude, abuso del servicio y proteger nuestros sistemas.
- Enviarte comunicaciones comerciales solo si has otorgado tu consentimiento expreso.
4. Conservación de los datos
| Categoría | Plazo |
|---|---|
| Datos de cuenta | Mientras la cuenta esté activa. Tras solicitud de baja: anonimización inmediata, conservando solo los datos necesarios para obligaciones legales |
| Datos fiscales (pagos, facturas) | 6 años (art. 30 del Código de Comercio) |
| Hashes y datos blockchain | Permanentemente (la inmutabilidad es inherente al servicio; el hash en sí no contiene datos personales identificables) |
| Logs de acceso | 12 meses |
| Logs de verificación | 90 días |
5. Contacto en materia de protección de datos
Para cualquier consulta relacionada con el tratamiento de tus datos personales, puedes escribir a info@certificum.com. Por el volumen y la naturaleza del tratamiento, el Responsable no está obligado a designar un Delegado de Protección de Datos (DPO) conforme al art. 37 RGPD.
6. Destinatarios y encargados del tratamiento
Tus datos pueden ser comunicados a:
- Stripe Payments Europe Ltd. (Irlanda) — procesado de pagos con tarjeta. Política de Stripe.
- PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburgo) — procesado de pagos vía PayPal. Política de PayPal.
- Tesys Internet S.L.U. (nombre comercial PiensaSolutions) — proveedor del servidor dedicado donde se aloja el servicio; datacenter ubicado en la Unión Europea. Encargado del tratamiento conforme al art. 28 RGPD.
- Red Polygon (blockchain pública): el hash criptográfico (sin datos personales) y la dirección de la wallet del Responsable se registran de forma pública e inmutable. Por la propia naturaleza de una blockchain pública descentralizada, esta información se difunde globalmente a través de los nodos de la red y no es posible su rectificación ni supresión una vez publicada. Solo se publica el hash (huella criptográfica unidireccional) y nunca el archivo original ni datos personales identificables del usuario.
- Administración Tributaria en cumplimiento de obligaciones legales.
No realizamos transferencias internacionales fuera del Espacio Económico Europeo salvo: (i) las inherentes al uso de Stripe y PayPal, que cuentan con garantías adecuadas (cláusulas contractuales tipo aprobadas por la Comisión Europea); y (ii) la difusión pública del hash en la red Polygon descrita en el punto anterior, que no incluye datos personales identificables.
7. Tus derechos
Como interesado puedes ejercer en cualquier momento los siguientes derechos:
- Acceso: solicitar copia de los datos que tratamos sobre ti.
- Rectificación: corregir datos inexactos.
- Supresión: solicitar la eliminación de tus datos cuando ya no sean necesarios (con las limitaciones legales aplicables).
- Oposición: oponerte al tratamiento basado en interés legítimo.
- Limitación: pedir que limitemos el tratamiento.
- Portabilidad: recibir tus datos en formato estructurado y portarlos a otro responsable.
- Revocación del consentimiento: cuando el tratamiento se base en él.
- Reclamación: presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
Para ejercer cualquiera de estos derechos, escribe a info@certificum.com indicando el derecho que deseas ejercer y adjuntando copia de tu DNI o documento equivalente que acredite tu identidad.
8. Decisiones automatizadas
No tomamos decisiones automatizadas que produzcan efectos jurídicos sobre los usuarios.
9. Modificaciones
El Responsable puede actualizar esta política. Te notificaremos por email los cambios sustanciales con al menos 15 días de antelación a su entrada en vigor.