Política De Privacidad De Emoz
De conformidad con lo dispuesto por el Reglamento (UE) 2016/679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y la libre circulación de éstos (GDPR) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se informa a los Clientes y al público en general, de los siguientes aspectos:
1. Introducción
El presente documento constituye la Política de Privacidad de la plataforma tecnológica EMOZ (en adelante, "EMOZ") disponible en emoz.io (en adelante, el Sitio Web) con respecto al tratamiento de los datos personales de sus Clientes o Usuarios, cuando estos sean personas físicas.
Se denominará Cliente o Usuario (o Clientes o Usuarios, en plural) a la parte que contrata los servicios de EMOZ.
2. ¿Quién es el responsable del tratamiento de sus datos?
Collarium Tech, S.L., identificada con NIF B68222921 (en adelante, la "Empresa").
- Dirección postal: Paseo de Gracia 53, Ático 08007, Barcelona (España)
- Correo electrónico: privacy arroba emoz punto io
3. ¿Qué datos personales tratamos y de dónde proceden?
Con ocasión de su relación con nosotros se tratará únicamente la siguiente categoría de datos personales:
Datos identificativos del Cliente:
- Nombre y apellidos completos, y correo electrónico
- Hash SHA-256 del archivo del Usuario cuya autoría (si contiene una obra) o cuya titularidad (si se trata de un contenido digital no considerado una obra por la legislación vigente) se pretende certificar a través de EMOZ, solo y únicamente cuando dicho archivo contenga datos personales
- Datos transaccionales básicos (pagos)
- Metadatos relacionados con marketing, incluyendo idioma preferido, país, tipo de certificado EMOZ creado (test o premium), categoría de archivo seleccionada en el momento de la creación del certificado, y eventos de interacción con correos electrónicos (aperturas, clics, cancelaciones de suscripción)
Los datos provendrán del propio interesado (Usuario o Cliente que sea una persona física).
4. ¿Dónde se almacenan los datos personales de los Usuarios?
Los datos personales proveídos por los Usuarios, es decir, sus datos identificativos (nombre y apellidos completos, y correo electrónico) y el Hash SHA-256 de su archivo, se almacenan en primer término en la base de datos de la Empresa. Esta base de datos se encuentra alojada en los servidores de Amazon Web Services (AWS) desplegados en la región de la Unión Europea y se trata de un RDS de tipo PostgreSQL.
El Usuario otorga un mandato a la Empresa, que ésta acepta en el acto, para que proceda a la creación de un NFT como medio tecnológico con el fin de acreditar que en una fecha y hora determinadas se ha registrado en la blockchain Polygon a nombre del Cliente una obra o un contenido digital específico. Dicho mandato se entiende confirmado por el Usuario con la aceptación de la presente Política de Privacidad y de los ToS de EMOZ.
Importante: El Usuario comprende que una vez creado el NFT y emitido el correspondiente certificado de autoría (o propiedad intelectual) de su obra o de titularidad de su contenido digital, la transacción registrada en la blockchain será irreversible, permanente, inmutable y que seguiría existiendo en la red blockchain, incluso si EMOZ dejara de operar o desapareciera.
Como se explica clara y detalladamente en los ToS de EMOZ, que usted ha leído, ha comprendido y ha aceptado antes de poder utilizar los servicios de EMOZ, EMOZ facilita al Usuario que obtenga una certificación de la autoría de obras y la certificación de la titularidad de contenidos digitales distintos de una obra, almacenados en ambos casos en archivos o ficheros digitales, mediante el registro de una huella digital (hash o fingerprint) en la blockchain pública Polygon.
El Usuario comprende también que el NFT creado por el smart contract de EMOZ al estar publicado en una blockchain pública (Polygon) no se puede alterar, eliminar ni destruir, e incluye un sello de tiempo público e inmutable (timestamp). Esto garantiza que el certificado sea permanente y no desaparezca nunca, incluso en el hipotético caso que EMOZ cesara su actividad, y sirve como prueba técnica de existencia y autoría vinculada al archivo original, sin necesidad de depender de bases de datos privadas o centralizadas.
El Cliente comprende también que los datos almacenados en dicha blockchain son públicos. Cada NFT generado por EMOZ guarda en claro (es decir, sin cifrar o en texto plano) la huella digital (hash o fingerprint) del archivo que contiene la obra o el contenido digital del Usuario, además del algoritmo usado (en este caso, SHA-256).
Todos los datos demás datos que el contrato inteligente de EMOZ almacena están cifrados (encriptados). Es decir, además de la huella digital (hash o fingerprint) del archivo que contiene la obra o el contenido digital, el smart contract de EMOZ almacena un bloque de metadatos JSON cifrados previamente fuera del smart contract antes de ser enviados a la blockchain Polygon. Estos metadatos contienen el nombre y apellido completos, así como el hash del email del Usuario, además de la declaración de autoría o propiedad intelectual sobre la obra (o, según el caso, la declaración de titularidad sobre el contenido digital). Todos estos datos están cifrados (encriptados) con XSalsa20-Poly1305, que es un algoritmo de cifrado simétrico con autenticación, antes de ser registrados en la blockchain.
En cualquier caso, dado que el archivo o fichero original siempre permanece en poder del Usuario, este es el único responsable de su debida custodia.
¿Dónde se almacenan los datos de marketing de los Usuarios?
Por diseño deliberado, y como característica definitoria del servicio EMOZ, el archivo original que contiene la obra o el contenido digital certificado por los Usuarios nunca entra en la infraestructura de la Empresa en ninguna fase. El cálculo criptográfico del hash del archivo se realiza localmente en el dispositivo del Usuario, dentro del propio navegador del Usuario, y únicamente el hash SHA-256 resultante y el nombre del archivo elegido por el Usuario se transmiten a EMOZ. La Empresa es, por tanto, técnicamente incapaz de acceder, leer, copiar, conservar o divulgar el contenido de los archivos certificados (con fines de marketing o de cualquier otra naturaleza) con independencia de cualquier compromiso contractual o de política a tal efecto.
En consecuencia, ningún contenido de los archivos certificados, ningún hash SHA-256 de dichos archivos, ni ninguna información capaz de identificar o describir la obra certificada se transmite jamás a Brevo ni a ningún otro encargado del tratamiento relacionado con marketing. El conjunto de datos de marketing se limita a información de contacto y atributos generales de uso del servicio (como nombre, idioma preferido, país, tipo de certificado generado y eventos de interacción con correos electrónicos) según lo enumerado en la Sección 3.
Los datos de contacto relacionados con marketing descritos en la Sección 3 se almacenan en Brevo, una plataforma de servicios de correo electrónico y compromiso con clientes operada por Brevo SAS, con sede en París (Francia). La infraestructura de datos de Brevo se encuentra alojada íntegramente dentro de la Unión Europea.
De conformidad con el Artículo 28 del GDPR, un Acuerdo de Procesamiento de Datos (DPA, por sus siglas en inglés) regula el tratamiento por parte de Brevo de los datos personales de los Usuarios en nombre de la Empresa. El DPA forma parte de las Condiciones Generales de Uso de Brevo y se acepta automáticamente al suscribirse y utilizar los servicios de Brevo. Los términos completos, incluyendo el DPA, están públicamente disponibles en https://www.brevo.com/legal/termsofuse/.
El DPA refleja el procesamiento estándar de datos personales de Brevo y se aplica "tal cual" a todos los clientes de Brevo. La Empresa ha revisado y acepta estos términos.
5. ¿Cómo protegemos sus datos personales?
La Empresa ha adoptado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los posibles riesgos latentes, en atención al estado de la técnica actual, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad para los derechos y libertades de las personas físicas. Asimismo, ha dotado de los mecanismos precisos a su alcance para proteger la información personal frente a accesos no autorizados, sustracciones y modificaciones ilícitas y la pérdida de los datos, en concreto, protegiendo la base de datos de la Empresa con contraseñas robusta, estableciendo un protocolo de acceso controlado, auditorías internas y un almacenamiento cifrado.
Ahora bien, en cumplimiento del mandato otorgado por el Usuario, la Empresa antes de proceder a registrar sus datos personales en la blockchain pública Polygon, ha adoptado una serie de medidas técnicas y organizativas para evitar que tales datos sean almacenados en la cadena de bloques de forma directamente identificables. Estas medidas son en concreto las siguientes:
Hashing de datos personales:
Lo que la Empresa registra en la blockchain Polygon es únicamente el hash SHA-256 (fingerprint) del archivo digital del Usuario y el hash SHA-256 de su correo electrónico, tal como se explica en los ToS de EMOZ. En cuanto al archivo digital, la Empresa no lo almacena ni lo guarda en ningún lugar: solo dicho hash y el nombre del archivo se transmiten a la base de datos y los servidores de EMOZ para ser inscrito y posteriormente registrado en la blockchain Polygon.
Cifrado (encriptado) de datos personales:
La Empresa cifra el nombre y apellido completos del Usuario, así como el hash de su email utilizando XSalsa20-Poly1305, que es un algoritmo de cifrado simétrico con autenticación, antes de ser registrados en la blockchain, tal como se explica en los ToS de EMOZ.
No obstante, el Usuario comprende que ni el hashing ni el cifrado de datos personales eliminan la obligación de aplicar el GDPR ya que el hash y los datos personales cifrados siguen siendo datos personales. El Usuario comprende también que todas estas medidas podrían no ser suficientes para garantizar el nivel necesario de confidencialidad para almacenar datos personales en una cadena de bloques públicas como es Polygon.
6. ¿Con qué finalidad tratamos sus datos personales?
Sus datos personales serán tratados por el responsable del tratamiento con las siguientes finalidades:
- Crear y gestionar cuentas de los Usuarios
- Generar una prueba válida y verificable de existencia en una fecha y hora determinadas del archivo digital del Usuario que contiene una obra o un contenido digital distinto de una obra, mediante el registro de una huella digital (hash o fingerprint) en la blockchain pública Polygon
- Enviar al Usuario comunicaciones relacionadas con EMOZ, tales como actualizaciones de sus servicios, responder consultas de asistencia y remitir avisos importantes
- Envío de comunicaciones comerciales
- La navegación a través de EMOZ, de acuerdo con la Política de Cookies que puede consultar en el siguiente enlace: https://emoz.io/cookies-policy
7. EMOZ no almacena datos financieros de los Usuarios
La Empresa ni la plataforma EMOZ tienen acceso ni almacenan los datos financieros de los Usuarios. Toda la gestión de los pagos realizados por el uso de los servicios de EMOZ se hace a través de la plataforma Paddle (https://www.paddle.com/), un procesador de pagos externo gestionado por la sociedad Paddle Payments Ltd., constituida y con domicilio en 42 Pearse Street, Dublin, D02 YX88, Irlanda (en adelante, Paddle).
La Empresa ha delegado en Paddle la gestión de los pagos por el uso de sus servicios. Por tanto, Paddle se encarga de procesar los pagos de los Clientes, de almacenar los números de las tarjetas de débito, crédito o prepago de los Usuarios, de recaudar los impuestos aplicables (como el Impuesto sobre el Valor Añadido o IVA en el caso de España) y de transferirlos a las autoridades fiscales correspondientes.
En la base de datos de EMOZ, la Empresa solo y únicamente registra datos transaccionales o de pago generales del Usuario como el ID de la transacción y el ID del checkout, ambos generados por Paddle, así como la moneda utilizada por el Usuario, la fecha y hora del pago, y el monto total del pago.
Estándares de Seguridad: Adicionalmente, Paddle garantiza que cumple con los estándares de seguridad PCI y SOC2, así como con la California Consumer Privacy Act (CCPA), además de GDPR, según lo indicado en su página de seguridad y en su política de privacidad.
8. ¿Cuál es la base de legitimación para el tratamiento de sus datos?
| Finalidad | Base para el Tratamiento |
|---|---|
| Generar una prueba válida y verificable de existencia en una fecha y hora determinadas del archivo digital del Usuario que contiene una obra o un contenido digital distinta de una obra, para lo cual se ejecuta un smart contract y crea un NFT en la red de blockchain Polygon | Tratamiento necesario para la ejecución de un contrato en el que el Cliente (interesado) es parte; y/o interés legítimo del responsable del tratamiento; y el consentimiento del Usuario |
| Atención de solicitudes de los Clientes | Tratamiento basado en el consentimiento del interesado y/o interés legítimo del responsable del tratamiento |
| Cumplimiento de obligaciones legales | Tratamiento necesario para el cumplimiento de las obligaciones legales aplicables al responsable del tratamiento |
| Formalización y ejecución del contrato | Tratamiento necesario para la ejecución de los ToS en el que el Cliente (interesado) es parte |
| Envío de comunicaciones comerciales | Consentimiento del interesado para nuevos contactos, o el interés legítimo de la Empresa en promocionar servicios similares de EMOZ a Usuarios existentes con una opción de cancelación de suscripción visible en cada mensaje (Art. 6(1)(a) y 6(1)(f) del GDPR; Art. 21.2 de la LSSI-CE) |
9. ¿Durante cuánto tiempo conservamos sus datos personales?
Con carácter general sólo se conservarán sus datos durante el tiempo estrictamente necesario para la finalidad para la que fueron recabados.
Los datos recabados para la formalización y ejecución del contrato serán conservados en la base de datos de la Empresa durante el plazo en el que dure la relación contractual, así como durante el periodo necesario para la formulación, ejercicio o defensa de reclamaciones, como mínimo cinco años.
Datos de Blockchain: Sin embargo, los datos identificativos cifrados de los Usuarios (nombre y apellidos completos, y hash SHA-256 de su correo electrónico) y el Hash SHA-256 de su archivo digital, que hubieran sido registrados en la blockchain Polygon permanecerán indefinidamente inmutables y no serán susceptibles de supresión, debido a la propia naturaleza de la tecnología utilizada (blockchain).
Los datos personales proporcionados con la finalidad de gestionar cualquier solicitud de información, queja, sugerencia, reclamación, ejercicio de derechos de protección de datos, etc., se conservarán durante el tiempo necesario para tramitar la solicitud, y en todo caso durante el tiempo establecido legalmente, así como durante el periodo necesario para la formulación, ejercicio o defensa de reclamaciones.
Los datos tratados para el cumplimiento de obligaciones legales se conservarán durante el tiempo establecido en la legislación aplicable.
Los datos tratados para el envío de comunicaciones comerciales serán conservados hasta que el interesado no revoque el consentimiento y/o ejercite sus derechos de oposición y/o supresión.
10. ¿A qué destinatarios se comunicarán sus datos?
Para garantizar una adecuada prestación del servicio, resulta necesario que determinados proveedores de servicios traten datos de los Usuarios por cuenta del responsable y como encargados del tratamiento sus datos personales.
Sus datos personales no serán comunicados a terceros salvo obligación legal, interés legítimo, o previo consentimiento del interesado, así como a los destinatarios que a continuación se detallan:
- AWS (Amazon Web Services), para la prestación de servicios de alojamiento, almacenamiento y computación de EMOZ. Todos los datos están alojados en regiones de AWS ubicadas dentro de la Unión Europea.
- Paddle, para la prestación y gestión de los servicios de pago, en los términos indicados en el apartado 7 de este documento. Paddle opera a través de una estructura multi-entidad que incluye Paddle Payments Ltd. (Irlanda, la entidad contratante para clientes europeos), Paddle.com Market Ltd. (Reino Unido) y Paddle.com Inc. (Estados Unidos). Las relaciones se rigen por el Acuerdo de Procesamiento de Datos de Paddle (https://www.paddle.com/legal/data-processing-addendum) y el Acuerdo de Compartición de Datos (https://www.paddle.com/legal/data-sharing-addendum). Las transferencias internacionales de datos desde la Unión Europea se rigen por las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea.
- Brevo (Brevo SAS, París, Francia), para la prestación de servicios de correo electrónico, entrega de comunicaciones de marketing y compromiso con clientes. Todos los datos están alojados dentro de la Unión Europea. La relación de procesamiento se rige por el Acuerdo de Procesamiento de Datos referenciado en la Sección 4.
- Sentry (Functional Software, Inc., operando como Sentry.io), para monitoreo de errores de aplicaciones y observabilidad. La Empresa utiliza la región europea de Sentry, con datos alojados en Alemania.
11. ¿Cuáles son sus derechos cuando nos facilita sus datos?
En cuanto los datos personales del Usuario almacenados en la base de datos de la Empresa (fuera de la cadena de bloques Polygon), el Usuario podrá en cualquier momento ejercitar sus derechos de acceso; rectificación de los datos inexactos; solicitar la supresión, cuando, entre otros motivos los datos ya no sean necesarios para los fines que fueron recogidos; podrá solicitar la limitación del tratamiento de sus datos, en cuyo caso únicamente los conservaremos para el ejercicio o defensa de reclamaciones; finalmente, y por motivos relacionados con su situación particular, también podrá ejercitar el derecho de oposición y la portabilidad. Asimismo, podrá revocar, en cualquier momento, el consentimiento prestado para el tratamiento de sus datos.
Para ejercer los referidos derechos, deberá enviar un correo electrónico a privacy arroba emoz punto io o dirigirse por correo postal a Paseo de Gracia 53, Ático 08007, Barcelona, España.
Limitaciones de Blockchain: En cuanto a los datos personales del Usuario registrados en la blockchain Polygon, como ya se ha indicado, debido a las propiedades técnicas de la cadena de bloques, en la práctica, no resulta técnicamente posible que pueda ejercer sus derechos de rectificación y supresión (derecho al olvido) respecto de sus datos identificativos cifrados.
Estos derechos también le asisten para oponerse al envío de comunicaciones comerciales por vía electrónica de EMOZ, para lo cual se podrá dirigir a las anteriores direcciones o bien siguiendo las indicaciones que aparecen en cada comunicación comercial que recibe.
Además, en todos los correos electrónicos que no sean transaccionales (es decir, no obligatorios para prestar los servicios de EMOZ) siempre habrá un enlace para que el Usuario pueda cancelar la suscripción y no volver a recibir más mensajes.
12. Cookies
EMOZ utiliza cookies técnicas esenciales para el funcionamiento de su Sitio Web, así como cookies analíticas (como Google Analytics) para comprender el comportamiento del Usuario y mejorar sus servicios.
El Usuario puede aceptar, rechazar o configurar el uso de cookies a través del banner habilitado en la primera visita al Sitio Web o desde la sección "Ajuste de Cookies". Para más información, consulte nuestra Política de Cookies detallada en https://emoz.io/cookies-policy.
13. Reclamaciones relacionadas con protección de datos
El Usuario podrá dirigirse siempre a la Oficina de Privacidad de EMOZ. Para cualquier cuestión relacionada con el tratamiento de sus datos personales puede escribir a privacy arroba emoz punto io.
Si cree que se han infringido sus derechos en virtud del GDPR, puede presentar una reclamación ante la autoridad de control local y, en el caso de España, ante la Agencia Española de Protección de Datos (www.aepd.es), si estuviera en desacuerdo con la respuesta que hubiera recibido de la Empresa.
La Empresa puede actualizar este documento en el futuro. La fecha de su entrada en vigor se indica en la parte superior. Consulte esta información periódicamente para asegurarse de que conoce la última versión.