Política de privacidad

INTEK CENTER SASU, registrada en 369Q Avenue de Verdun, 33700 Mérignac, Francia (RCS Burdeos 844 849 174, IVA intracomunitario FR02844849174), actúa como Responsable del tratamiento en el sentido del Reglamento (UE) 2016/679 ("RGPD") y la Ley francesa n.° 78-17 del 6 de enero de 1978 ("Loi Informatique et Libertés").

Contacto de protección de datos: el formulario de soporte integrado en la aplicación.

Aunque la Sociedad no está legalmente obligada a designar un Delegado de Protección de Datos (artículo 37 RGPD), el contacto anterior sirve como punto de contacto designado para todos los asuntos relativos a la protección de datos y tratará todas las solicitudes con la misma diligencia que un DPD formal.

2.1. Datos del servicio

2.2. Datos de cuenta (opcional)

La creación de cuenta es opcional. El servicio gratuito de eliminación de contraseña de propietario no requiere cuenta ni email.

2.3. Datos de pago

La Sociedad no almacena números de tarjeta de crédito. Todos los datos de pago son procesados exclusivamente por Stripe en un entorno conforme con PCI-DSS.

2.4. Datos técnicos

2.5. Datos analíticos (consentimiento requerido)

Los datos analíticos se recopilan mediante Google Analytics 4 (GA4) solo tras consentimiento explícito a través del banner de consentimiento de cookies.

Toma de decisiones automatizada y elaboración de perfiles (art. 22 RGPD): El Servicio no realiza ninguna toma de decisiones automatizada ni elaboración de perfiles que produzca efectos jurídicos o afecte de manera similar significativa al usuario.

Usamos tus datos exclusivamente para:

• Prestar, operar y mejorar el Servicio (recuperación de contraseñas, desbloqueo de PDF).
• Extraer solo el hash de cifrado de los PDFs subidos — nunca leemos, indexamos ni almacenamos el contenido real de tus documentos.
• Procesar pagos, generar facturas y gestionar reembolsos a través de Stripe.
• Comunicarnos contigo (notificaciones de finalización de trabajo, confirmaciones de compra, respuestas de soporte).
• Detectar y prevenir fraude, abuso y accesos no autorizados (limitación de tasa, verificación de webhooks).
• Cumplir con obligaciones legales (contabilidad, fiscalidad, requerimientos de las autoridades).
• Analizar patrones de uso con datos anonimizados (solo con consentimiento).

Nunca vendemos, alquilamos ni comercializamos tus datos personales.

Tus datos pueden ser compartidos con los siguientes proveedores de servicios, estrictamente para los fines descritos anteriormente:

Solo trabajamos con subencargados que ofrecen garantías adecuadas según el RGPD. Tus datos nunca se comparten con anunciantes, intermediarios de datos ni ningún otro tercero.

El almacenamiento principal de datos se realiza dentro de la Unión Europea (Google Cloud, Bélgica, europe-west1). Algunos subencargados están ubicados en Estados Unidos. Estas transferencias están protegidas por:

• El EU-U.S. Data Privacy Framework (DPF), decisión de adecuación de la Comisión Europea (10 de julio de 2023), al cual nuestros subencargados estadounidenses se adhieren y están certificados.
• Cuando el DPF no aplica, las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea (Decisión 2021/914), complementadas con medidas técnicas y organizativas apropiadas (cifrado en tránsito y en reposo, controles de acceso, seudonimización).

Según el RGPD y la legislación aplicable, tienes los siguientes derechos:

• Acceso (art. 15 RGPD): Obtener una copia de todos los datos que tenemos sobre ti.
• Rectificación (art. 16): Corregir datos inexactos o incompletos.
• Supresión (art. 17): Solicitar la eliminación (sujeto a obligaciones legales de conservación).
• Limitación (art. 18): Solicitar la limitación del tratamiento.
• Portabilidad (art. 20): Recibir tus datos en un formato estructurado y legible por máquina.
• Oposición (art. 21): Oponerte al tratamiento basado en interés legítimo.
• Retirada del consentimiento (art. 7): Retirar tu consentimiento analítico/marketing en cualquier momento a través de "Gestionar cookies" en el pie de página.

Para ejercer tus derechos, contacta con el formulario de soporte integrado en la aplicación. Responderemos en un plazo de 30 días (ampliable a 60 días para solicitudes complejas, con notificación).

Tienes derecho a presentar una reclamación ante una autoridad de control. En España: Agencia Española de Protección de Datos (AEPD) — aepd.es.

Implementamos medidas técnicas y organizativas conforme a los estándares de la industria:

• Todas las comunicaciones cifradas mediante TLS 1.2+ (HTTPS impuesto por Firebase Hosting).
• Contraseñas de usuario hasheadas — nunca almacenamos contraseñas de autenticación en texto plano.
• Acceso a la base de datos controlado por reglas de seguridad Firestore estrictas (principio de mínimo privilegio).
• Archivos PDF almacenados en Firebase Storage con TTL de eliminación automática (24 horas).
• Firmas de webhooks (Stripe) verificadas criptográficamente para prevenir manipulaciones.
• Limitación de tasa en todos los endpoints API para prevenir ataques de fuerza bruta y abuso (5 subidas/hora por IP, 3 trabajos simultáneos máx.).
• Contraseñas PDF recuperadas almacenadas cifradas, eliminadas automáticamente tras 7 días.
• Revisiones de seguridad regulares y actualización de dependencias.

En caso de violación de datos que pueda suponer un riesgo para tus derechos y libertades, notificaremos a la autoridad de control competente en 72 horas (art. 33 RGPD) e informaremos a los usuarios afectados sin dilación indebida (art. 34 RGPD).

9.1. Estrictamente necesarias (sin consentimiento requerido)

• Sesión de autenticación — Mantiene el estado de inicio de sesión (localStorage).
• Preferencias de interfaz — Tema (claro/oscuro) e idioma (claves localStorage: pdfunlock-theme, pdfunlock-locale).
• Elección de consentimiento — Registra tu decisión sobre cookies.

9.2. Analíticas (consentimiento requerido)

• Google Analytics 4 — Cookies: _ga, _ga_*. Duración: hasta 14 meses. Finalidad: comprender los patrones de uso del sitio web. Solo se activa tras consentimiento explícito.

9.3. Marketing (consentimiento requerido)

• Google Ads — Cookies: _gcl_*. Finalidad: medir la efectividad de las campañas publicitarias mediante la conexión GA4.
• Microsoft Advertising (Bing UET) — Cookies: _uetmsclkid, _uetvid. Finalidad: seguimiento de conversiones.

Implementamos Google Consent Mode v2. Todos los rastreadores analíticos y de marketing están bloqueados por defecto (analytics_storage: denied, ad_storage: denied, ad_user_data: denied, ad_personalization: denied) y solo se activan tras tu consentimiento explícito y afirmativo mediante el banner de cookies.

Puedes modificar tus elecciones en cualquier momento haciendo clic en "Gestionar cookies" en el pie de página.

Los eventos del lado del servidor (purchase, refund) se envían mediante el Measurement Protocol de GA4 desde nuestro backend (webhook de Stripe) y no están sujetos al consentimiento de cookies, ya que no implican recopilación de datos personales del lado del cliente más allá de la propia transacción.

El Servicio no está dirigido a menores de 16 años. No recopilamos deliberadamente datos personales de menores. Si descubrimos que hemos recopilado datos de un menor de 16 años sin consentimiento parental, los eliminaremos de inmediato. Si crees que esto ha ocurrido, contáctanos a través de el formulario de soporte integrado en la aplicación.

Podemos actualizar esta Política de Privacidad de vez en cuando para reflejar cambios en nuestras prácticas, tecnología, requisitos legales u otros factores. Los cambios se publicarán en esta página con una fecha de "Última actualización" actualizada.

Para cambios sustanciales que afecten a tus derechos, notificaremos a los usuarios registrados por email con al menos 15 días de antelación a la entrada en vigor de los cambios.