Política de Privacidad
1. Responsable del tratamiento
- Razón social: Col·lectiu Aicat Barcelona SLU
- CIF: B67280248
- Domicilio: Carrer Sant Antoni Maria Claret, 34, 08025, Barcelona
- Email de contacto DPD: [email protected]
- Teléfono: 930 275 603
2. Datos personales que recogemos
A través de auth.aicat.barcelona recogemos y tratamos los siguientes datos personales:
- Datos de identificación: nombre, apellidos, dirección de correo electrónico.
- Datos de autenticación: contraseña (almacenada de forma cifrada con bcrypt), UID de tarjeta NFC profesional (identificador único del carnet AICAT).
- Datos organizativos: nombre de agencia, rol dentro del ecosistema, permisos asignados.
- Datos de navegación y acceso: dirección IP, user-agent del navegador, fecha y hora de acceso, método de autenticación utilizado (email/contraseña o NFC), aplicaciones accedidas mediante SSO.
- Datos de suscripción: estado de suscripción a las aplicaciones del ecosistema, datos de facturación gestionados a través de Stripe.
- Datos de consentimiento: fecha y hora de aceptación de textos legales, versión del texto legal aceptado, preferencias de comunicaciones comerciales.
3. Tratamiento del UID de tarjeta NFC
El UID (Unique Identifier) de la tarjeta NFC profesional AICAT se recoge exclusivamente como dato de autenticación alternativo al correo electrónico y contraseña. Este identificador se almacena vinculado al perfil del usuario y se utiliza únicamente para verificar la identidad del titular al acceder al ecosistema. El UID no constituye un dato biométrico ni permite por sí mismo identificar a la persona física sin acceso a la base de datos del sistema.
El usuario puede vincular, reemplazar o desvincular su tarjeta NFC en cualquier momento desde la sección "Mi Cuenta" del panel de usuario.
4. Finalidades del tratamiento
- Gestión de la cuenta de usuario y autenticación (Single Sign-On).
- Vinculación y gestión de tarjetas NFC profesionales como método de acceso.
- Gestión de suscripciones a las aplicaciones del ecosistema y facturación.
- Redirección segura entre aplicaciones del ecosistema mediante tokens JWT.
- Registro de accesos y acciones administrativas (logs de auditoría) para garantizar la seguridad del sistema.
- Envío de comunicaciones comerciales sobre novedades y servicios del ecosistema AICAT/NEXIA (solo con consentimiento explícito del usuario).
5. Legitimación del tratamiento
- Ejecución de contrato (art. 6.1.b RGPD): el tratamiento es necesario para la prestación del servicio de autenticación SSO y la gestión de la cuenta de usuario.
- Consentimiento (art. 6.1.a RGPD): para el envío de comunicaciones comerciales. El usuario puede retirar este consentimiento en cualquier momento desde "Mi Cuenta".
- Interés legítimo (art. 6.1.f RGPD): para el mantenimiento de logs de seguridad y auditoría necesarios para la protección del sistema y los datos de los usuarios.
6. Destinatarios de los datos
Los datos personales no se cederán a terceros salvo obligación legal. No obstante, los siguientes proveedores tecnológicos tienen acceso a datos en calidad de encargados del tratamiento:
- Stripe, Inc.: procesamiento de pagos y gestión de suscripciones. Stripe actúa como encargado del tratamiento conforme a su DPA (Data Processing Agreement). Los datos transferidos están amparados por las Cláusulas Contractuales Tipo de la Comisión Europea.
- Proveedor de alojamiento: los servidores que alojan la plataforma pueden tratar datos en calidad de encargados del tratamiento conforme a los acuerdos de tratamiento de datos vigentes.
7. Gestión SSO y JWT
Cuando el usuario accede a una aplicación del ecosistema a través de auth.aicat.barcelona, se genera un token JWT (JSON Web Token) que contiene: identificador de usuario, email, rol, identificador de agencia, permisos, aplicaciones activas y fecha de expiración. Este token es transmitido a la aplicación de destino para autenticar al usuario sin necesidad de un nuevo inicio de sesión. Los tokens tienen una validez limitada (2 horas) y no se almacenan en servidores de las aplicaciones de destino.
8. Plazo de conservación
- Datos de cuenta de usuario: mientras la cuenta esté activa y durante el plazo legal de prescripción tras su baja.
- Datos de facturación: durante el plazo legal de conservación de datos contables y fiscales (6 años según el Código de Comercio).
- Logs de acceso y auditoría: 24 meses desde su generación.
- Datos de consentimiento: mientras sea necesario demostrar el cumplimiento del RGPD.
9. Derechos del usuario
El usuario puede ejercer en cualquier momento los siguientes derechos reconocidos por el RGPD y la LOPDGDD:
- Acceso: derecho a conocer qué datos personales tratamos.
- Rectificación: derecho a solicitar la corrección de datos inexactos.
- Supresión: derecho a solicitar la eliminación de sus datos.
- Oposición: derecho a oponerse a determinados tratamientos.
- Limitación del tratamiento: derecho a solicitar que se limite el tratamiento en determinadas circunstancias.
- Portabilidad: derecho a recibir sus datos en formato estructurado.
Para ejercer estos derechos, el usuario puede dirigirse a [email protected] indicando su nombre completo, email asociado a la cuenta y el derecho que desea ejercer.
Asimismo, el usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de www.aepd.es.
10. Medidas de seguridad
Col·lectiu Aicat Barcelona SLU ha adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales, incluyendo: cifrado de contraseñas con bcrypt, comunicaciones cifradas mediante HTTPS/TLS, control de acceso basado en roles (RBAC), tokens JWT con expiración limitada, registro de auditoría de todas las acciones críticas y copias de seguridad periódicas de la base de datos.
11. Modificación de la política
Col·lectiu Aicat Barcelona SLU se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento. En caso de cambios sustanciales, se informará al usuario por los medios disponibles.
Última actualización: marzo de 2025