Política de privacidad

De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en adelante, "RGPD"), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, "LOPDGDD") y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), se informa sobre el tratamiento de los datos personales que se recogen a través del Sitio Web y de la plataforma Meetsite Academy.

1. Responsable del tratamiento

2. Roles y responsabilidades en el tratamiento de datos

La plataforma Meetsite Academy es un servicio SaaS dirigido a academias formativas. En relación con los datos personales, los roles son los siguientes:

• Datos del cliente contratante (academia): el titular actúa como responsable del tratamiento. Esto incluye los datos identificativos, de contacto, de facturación y de uso de la persona que contrata el Servicio en nombre de la academia.
• Datos introducidos por la academia en la Plataforma (alumnos, profesores, clientes, tutores, etc.): el titular actúa como encargado del tratamiento conforme al artículo 28 RGPD. La academia es la responsable de esos datos y debe disponer de la base jurídica legítima para su tratamiento e informar adecuadamente a los interesados.
• Visitantes del Sitio Web: el titular actúa como responsable del tratamiento de los datos recogidos a través de formularios de contacto o registro.

3. Finalidad del tratamiento

Tratamos sus datos personales con las siguientes finalidades:

• Administradores de academia (clientes contratantes): ejecución del contrato de prestación del Servicio SaaS, facturación, soporte técnico, comunicaciones relativas al Servicio, mantenimiento de la cuenta, gestión de cobros y, en su caso, gestión de impagos.
• Usuarios finales registrados por la academia (profesores, alumnos, clientes, tutores y similares): los datos son tratados conforme a las instrucciones de la academia contratante, cuyo objeto principal es la gestión académica (matrículas, asistencia, calificaciones, comunicaciones, etc.).
• Visitantes web: respuesta a consultas, gestión de altas y, si ha consentido expresamente, envío de comunicaciones comerciales propias.
• Todos los usuarios: análisis técnico para el correcto funcionamiento del Servicio, prevención del fraude, garantía de la seguridad de la red y cumplimiento de obligaciones legales.

4. Base jurídica del tratamiento

• Ejecución del contrato de prestación del Servicio (art. 6.1.b RGPD): aplicable al tratamiento de los datos del cliente contratante.
• Cumplimiento de obligaciones legales (art. 6.1.c RGPD): fiscales, mercantiles, contables, así como las derivadas de la normativa de prevención del blanqueo de capitales cuando proceda.
• Interés legítimo (art. 6.1.f RGPD): mejora del Servicio, prevención del fraude, garantía de la seguridad de la red y, en su caso, comunicaciones a clientes activos sobre productos similares al contratado.
• Consentimiento (art. 6.1.a RGPD): para el envío de comunicaciones comerciales a usuarios no clientes, revocable en cualquier momento.

5. Categorías de datos tratados

• Datos identificativos: nombre, apellidos, NIF, fotografía (en su caso).
• Datos de contacto: email, teléfono, dirección postal.
• Datos académicos: matrículas, asistencia, calificaciones, comunicaciones realizadas por la academia (cuando proceda).
• Datos económicos: facturación, método de pago. Los datos completos de tarjeta NUNCA se almacenan en nuestros sistemas; son gestionados directamente por nuestra pasarela de pago (Stripe), conforme al estándar PCI-DSS.
• Datos de conexión: dirección IP, fechas y horas de acceso, navegador y sistema operativo, con fines técnicos, de seguridad y de prevención del fraude.
• Datos de uso de la Plataforma: registros de acciones para soporte técnico, auditoría y prevención del fraude.

No se tratan categorías especiales de datos (datos de salud, ideológicos, religiosos, etc.) salvo que la propia academia decida incorporarlos a la Plataforma como responsable del tratamiento, en cuyo caso debe disponer de la base jurídica adecuada y haber informado al interesado.

6. Plazo de conservación

Los plazos de conservación dependen del tipo de dato:

• Datos del contrato (cliente activo): mientras se mantenga la relación contractual.
• Datos tras la cancelación del Servicio: los datos introducidos por el cliente en la Plataforma se conservan durante 30 días naturales tras la fecha efectiva de cancelación, por si el cliente desea recuperar la cuenta o exportar la información. Transcurrido ese plazo, los datos son eliminados o anonimizados, salvo los necesarios para cumplir obligaciones legales.
• Datos contables y de facturación: se conservan bloqueados durante un mínimo de 6 años conforme al artículo 30 del Código de Comercio, y hasta 4 años adicionales conforme a la Ley General Tributaria (art. 66 LGT).
• Datos sujetos a obligaciones de prevención del blanqueo de capitales (Ley 10/2010): hasta 10 años cuando resulte aplicable.
• Logs técnicos y de seguridad: por defecto, máximo 12 meses, salvo que sean necesarios para la investigación de incidentes.

El bloqueo de datos consiste en su identificación y reserva, con la adopción de medidas técnicas y organizativas que impidan su tratamiento, salvo para la puesta a disposición de Jueces, Tribunales, Ministerio Fiscal o Administraciones Públicas competentes, durante el plazo de prescripción de las posibles responsabilidades nacidas del tratamiento.

7. Destinatarios y cesiones

Sus datos pueden ser comunicados a:

• Administraciones públicas competentes (Agencia Tributaria, Seguridad Social, Cuerpos y Fuerzas de Seguridad del Estado, Juzgados y Tribunales) cuando así lo exija una norma con rango de ley.
• Encargados del tratamiento, que prestan servicios al titular con las debidas garantías contractuales:
  • Stripe Payments Europe Ltd. (pasarela de pago) — Irlanda.
  • Facturadirecta SL (facturación electrónica) — España.
  • Sendinblue / Brevo SAS (servicio de envío de email transaccional y comercial) — Francia.
  • Proveedor de hosting que aloja el dominio meetsite.es — España.
  • Anthropic PBC (procesamiento de consultas al asistente de soporte por IA "Meete Soporte", únicamente cuando el cliente lo utilice) — EE.UU., con garantías adecuadas conforme al art. 46 RGPD.

No se realizan otras cesiones a terceros distintas de las anteriores, salvo obligación legal.

8. Transferencias internacionales

Con carácter general, los datos se tratan dentro del Espacio Económico Europeo (EEE). Cuando intervienen encargados con tratamiento fuera del EEE (por ejemplo, Anthropic PBC para el asistente IA), las transferencias se realizan amparadas en alguna de las garantías previstas en el Capítulo V del RGPD, en particular, las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

9. Derechos del interesado

Puede ejercer sus derechos de acceso, rectificación, supresión ("derecho al olvido"), oposición, limitación del tratamiento, portabilidad y a no ser objeto de decisiones automatizadas, en cualquier momento y de forma gratuita, enviando una solicitud al email soporte@meetsite.es, indicando claramente el derecho que desea ejercer y adjuntando copia de su DNI o documento de identidad equivalente.

Si tiene una cuenta activa en la Plataforma, también puede ejercer parte de estos derechos directamente desde la misma:

• Acceso y rectificación: desde su perfil de usuario.
• Portabilidad: descarga de sus datos en formato JSON desde la sección "Mis datos personales".
• Supresión: mediante solicitud desde "Mis datos personales".

Si considera que el tratamiento de sus datos no se ajusta a la normativa, tiene derecho a presentar reclamación ante la autoridad de control:

No obstante, le rogamos que, antes de presentar reclamación ante la AEPD, se ponga en contacto con nosotros para tratar de resolver la incidencia.

10. Decisiones automatizadas y elaboración de perfiles

No se realizan decisiones automatizadas con efectos jurídicos significativos para los interesados ni elaboración de perfiles, salvo las estrictamente necesarias para la prestación del Servicio y la prevención del fraude (por ejemplo, bloqueo automático de cuentas con actividad sospechosa).

11. Medidas de seguridad

Aplicamos las medidas técnicas y organizativas necesarias para garantizar la seguridad, confidencialidad e integridad de los datos personales, entre otras:

• Cifrado de las comunicaciones mediante HTTPS/TLS.
• Contraseñas hasheadas con algoritmos robustos (bcrypt o equivalente).
• Control de accesos por roles y mínimo privilegio.
• Copias de seguridad periódicas gestionadas por el proveedor de hosting.
• Registro de actividad de los usuarios para auditoría.
• Revisión periódica de medidas de seguridad y aplicación de actualizaciones de seguridad del software.
• Suscripción a contratos de encargo del tratamiento con cada proveedor que accede a datos personales.

No obstante, ningún sistema de seguridad es infalible. En caso de incidente de seguridad que pueda afectar a los derechos y libertades de los interesados, el titular lo notificará a la autoridad de control en el plazo legalmente exigible y, cuando proceda, a los propios interesados.

12. Modificaciones de esta política

Esta política puede ser modificada en cualquier momento para adaptarla a cambios normativos, jurisprudenciales o a nuevas funcionalidades de la Plataforma. La fecha de última actualización aparece al inicio de este documento. Si la modificación afectara sustancialmente a los derechos del interesado, se le notificará por email con antelación razonable.