Política de privacidad

El responsable del tratamiento en el sentido del art. 4, apartado 7, del RGPD es:

PROXALY OÜ
Sepapaja tn 6, 15551 Tallinn, Estonia
N.º de registro: 16726093
NIF-IVA: EE102611229
Correo electrónico: info@proxaly.com
Director general: Daniel Held

No se ha designado un delegado de protección de datos, ya que no se cumplen los requisitos establecidos en el art. 37 del RGPD.

Tratamos datos personales de nuestros usuarios en la medida en que sea necesario para la prestación de nuestro servicio de envío de correo electrónico «emlyx» (en adelante, «Servicio»). El Servicio comprende los dominios emlyx.eu, app.emlyx.eu y webmail.emlyx.eu.

A continuación le informamos, de conformidad con el art. 13 del RGPD, sobre la naturaleza, el alcance y la finalidad del tratamiento de datos personales dentro de nuestro Servicio.

Tratamos datos personales sobre la base de las siguientes bases jurídicas:

• Art. 6, apartado 1, letra a) del RGPD (Consentimiento) – En la medida en que usted nos haya otorgado su consentimiento para el tratamiento, p. ej., para el seguimiento opcional de aperturas (open tracking) y de clics (click tracking).
• Art. 6, apartado 1, letra b) del RGPD (Ejecución del contrato) – En la medida en que el tratamiento sea necesario para la ejecución de nuestro contrato con usted, en particular para el registro, la prestación del Servicio y el envío de correos electrónicos.
• Art. 6, apartado 1, letra c) del RGPD (Obligación legal) – En la medida en que el tratamiento sea necesario para el cumplimiento de una obligación legal, p. ej., obligaciones de conservación en materia fiscal.
• Art. 6, apartado 1, letra f) del RGPD (Interés legítimo) – En la medida en que el tratamiento sea necesario para la protección de nuestros intereses legítimos, en particular para garantizar la seguridad informática, el registro de actividad (logging) y la detección de abusos.

4.1 Registro y cuenta de usuario

Durante el registro recopilamos y tratamos los siguientes datos:

• Nombre
• Dirección de correo electrónico
• Contraseña (se almacena exclusivamente como hash bcrypt; la contraseña en texto plano no se almacena)

Base jurídica: Art. 6, apartado 1, letra b) del RGPD (Ejecución del contrato).
Finalidad: Creación y gestión de su cuenta de usuario, autenticación.

4.2 Datos del proyecto

Para la configuración de proyectos tratamos:

• Dominio y subdominio
• Token de API (almacenado con cifrado AES-256)

Base jurídica: Art. 6, apartado 1, letra b) del RGPD (Ejecución del contrato).
Finalidad: Prestación del servicio de envío de correo electrónico, asignación de correos electrónicos a proyectos.

4.3 Datos de correo electrónico

Al enviar correos electrónicos a través de nuestro Servicio tratamos:

• Dirección del remitente
• Dirección del destinatario
• Asunto
• Contenido del correo electrónico (cuerpo HTML)
• Estado de entrega (p. ej., entregado, fallido, rebote)
• Marca de tiempo del envío

Base jurídica: Art. 6, apartado 1, letra b) del RGPD (Ejecución del contrato).
Finalidad: Ejecución del envío de correos electrónicos, registro de entregas, resolución de errores.

4.4 Contactos del webmail

En el cliente de webmail puede crear contactos. Para ello tratamos:

• Nombre
• Dirección de correo electrónico
• Notas (opcional)

Base jurídica: Art. 6, apartado 1, letra b) del RGPD (Ejecución del contrato).
Finalidad: Gestión de sus contactos en el cliente de webmail.

4.5 Firmas

Puede crear y guardar firmas de correo electrónico. Para ello tratamos el texto de la firma en formato HTML.

Base jurídica: Art. 6, apartado 1, letra b) del RGPD (Ejecución del contrato).
Finalidad: Prestación de la función de firma en el cliente de webmail.

4.6 Seguimiento de aperturas y de clics (opcional)

Si activa esta función, se recopilan los siguientes datos:

• Seguimiento de aperturas (Open Tracking): Mediante un píxel de seguimiento integrado en el correo electrónico se registra si el destinatario ha abierto el correo y cuándo.
• Seguimiento de clics (Click Tracking): Los enlaces del correo electrónico se reescriben para registrar si el destinatario ha hecho clic en un enlace y cuándo.

Base jurídica: Art. 6, apartado 1, letra a) del RGPD (Consentimiento). La función está desactivada por defecto y debe ser activada deliberadamente por el usuario.
Finalidad: Evaluación estadística del envío de correos electrónicos.
Nota: Como usuario de nuestro Servicio, usted es responsable de obtener el consentimiento necesario en materia de protección de datos de los destinatarios de los correos electrónicos si activa el seguimiento de aperturas o de clics.

4.7 Archivos de registro del servidor

Con cada acceso a nuestro Servicio se registran automáticamente los siguientes datos:

• Dirección IP del dispositivo que accede
• Fecha y hora del acceso
• URL solicitada
• Código de estado HTTP
• Volumen de datos transferidos
• Tipo de navegador y sistema operativo (User-Agent)

Base jurídica: Art. 6, apartado 1, letra f) del RGPD (Interés legítimo).
Interés legítimo: Garantía de la seguridad informática, detección y defensa frente a ataques, resolución de errores.
Periodo de conservación: Los archivos de registro se eliminan automáticamente transcurridos 14 días.

Para la gestión de suscripciones de pago utilizamos el proveedor de servicios de pago Stripe.

Stripe, Inc.
354 Oyster Point Blvd, South San Francisco, CA 94080, EE. UU.

Los datos de pago (p. ej., número de tarjeta de crédito, fecha de caducidad) son recopilados y tratados exclusivamente por Stripe. No almacenamos datos de pago en nuestros servidores. Únicamente recibimos de Stripe una información de confirmación sobre el estado del pago, así como una referencia anonimizada (p. ej., los últimos cuatro dígitos de su tarjeta).

Base jurídica: Art. 6, apartado 1, letra b) del RGPD (Ejecución del contrato).
Finalidad: Procesamiento de los pagos de los planes de pago.

Stripe está certificado en el marco del EU-US Data Privacy Framework (DPF). Puede encontrar más información sobre la protección de datos en Stripe en: stripe.com/privacy.

Para la prestación de nuestro Servicio empleamos los siguientes terceros como encargados del tratamiento de conformidad con el art. 28 del RGPD:

6.1 Resend – Envío de correo electrónico

Resend, Inc.
2261 Market Street #5039, San Francisco, CA 94114, EE. UU.

Finalidad: Entrega técnica de los correos electrónicos enviados a través de nuestro Servicio.
Datos transmitidos: Remitente, destinatario, asunto, contenido del correo electrónico, estado de entrega.
Base jurídica de la transmisión: Art. 28 del RGPD (Encargo de tratamiento) en relación con el art. 6, apartado 1, letra b) del RGPD.
Transferencia a terceros países: Resend está certificado en el marco del EU-US Data Privacy Framework (DPF) (Decisión de adecuación conforme al art. 45 del RGPD). Adicionalmente, existen cláusulas contractuales tipo de la UE (art. 46, apartado 2, letra c) del RGPD) como garantía complementaria.

Más información: resend.com/legal/dpa.

6.2 Stripe – Procesamiento de pagos

Stripe, Inc.
354 Oyster Point Blvd, South San Francisco, CA 94080, EE. UU.

Finalidad: Procesamiento de pagos para suscripciones de pago.
Datos transmitidos: Datos de pago (recopilados directamente por Stripe), dirección de correo electrónico, nombre.
Base jurídica de la transmisión: Art. 6, apartado 1, letra b) del RGPD (Ejecución del contrato).
Transferencia a terceros países: Stripe está certificado en el marco del EU-US Data Privacy Framework (DPF) (Decisión de adecuación conforme al art. 45 del RGPD). Adicionalmente, existen cláusulas contractuales tipo de la UE (art. 46, apartado 2, letra c) del RGPD) como garantía complementaria.

Más información: stripe.com/privacy.

6.3 Hetzner – Alojamiento

Hetzner Online GmbH
Industriestr. 25, 91710 Gunzenhausen, Alemania

Finalidad: Provisión de la infraestructura de servidores para nuestro Servicio.
Datos transmitidos: Todos los datos tratados en el marco del uso del Servicio se almacenan en servidores de Hetzner en Alemania.
Base jurídica: Art. 28 del RGPD (Encargo de tratamiento) en relación con el art. 6, apartado 1, letra b) del RGPD.
Transferencia a terceros países: Ninguna. Los servidores se encuentran en Alemania (UE).

Más información: hetzner.com/de/legal/privacy-policy.

En el marco de la prestación del Servicio, se transfieren datos personales a destinatarios en los EE. UU. (Resend, Stripe). La transferencia se realiza sobre la base de la Decisión de adecuación de la Comisión Europea para el EU-US Data Privacy Framework (DPF) conforme al art. 45 del RGPD.

Ambos proveedores están certificados en el marco del DPF y se han comprometido a cumplir los principios del DPF. La certificación puede verificarse en dataprivacyframework.gov/list.

Adicionalmente, hemos suscrito con ambos proveedores cláusulas contractuales tipo de la UE (Standard Contractual Clauses, SCC) conforme al art. 46, apartado 2, letra c) del RGPD. Estas sirven como garantía adicional en caso de que la Decisión de adecuación sea revocada o limitada.

Nuestro Servicio utiliza exclusivamente cookies técnicamente necesarias. No se requiere consentimiento para ello (§ 25, apartado 2, n.º 2 TDDDG).

Base jurídica: § 25, apartado 2, n.º 2 TDDDG (necesidad técnica) en relación con el art. 6, apartado 1, letra f) del RGPD (interés legítimo en la seguridad y funcionalidad del Servicio).

No utilizamos cookies de análisis, cookies publicitarias ni cookies de seguimiento. No se utiliza Google Analytics ni ningún servicio de análisis comparable.

Conservamos los datos personales únicamente durante el tiempo necesario para la finalidad de tratamiento correspondiente o mientras existan obligaciones legales de conservación.

Una vez transcurrido el periodo de conservación correspondiente, los datos se eliminan o anonimizan automáticamente, siempre que no existan obligaciones legales de conservación que impidan su eliminación.

De conformidad con el RGPD, le asisten los siguientes derechos:

• Derecho de acceso (art. 15 del RGPD): Tiene derecho a obtener información sobre los datos personales almacenados que le conciernen.
• Derecho de rectificación (art. 16 del RGPD): Tiene derecho a solicitar la rectificación de datos personales inexactos o incompletos.
• Derecho de supresión (art. 17 del RGPD): Tiene derecho a solicitar la supresión de sus datos personales, siempre que se cumplan los requisitos del art. 17 del RGPD.
• Derecho a la limitación del tratamiento (art. 18 del RGPD): Tiene derecho a solicitar la limitación del tratamiento de sus datos personales.
• Derecho a la portabilidad de los datos (art. 20 del RGPD): Tiene derecho a recibir los datos personales que le conciernen y que nos haya facilitado en un formato estructurado, de uso común y lectura mecánica.
• Derecho de oposición (art. 21 del RGPD): Tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de datos personales que le conciernan basado en el art. 6, apartado 1, letra f) del RGPD.
• Derecho a retirar el consentimiento (art. 7, apartado 3, del RGPD): En la medida en que el tratamiento se base en un consentimiento, tiene derecho a retirarlo en cualquier momento con efecto para el futuro. La licitud del tratamiento realizado hasta la retirada no se verá afectada.

Para ejercer sus derechos puede dirigirse a nosotros en cualquier momento a: info@proxaly.com.

Sin perjuicio de cualquier otro recurso administrativo o judicial, tiene derecho a presentar una reclamación ante una autoridad de control si considera que el tratamiento de los datos personales que le conciernen infringe el RGPD (art. 77 del RGPD).

La autoridad de control competente para nosotros es:

Andmekaitse Inspektsioon (Autoridad Estonia de Protección de Datos)
Väike-Ameerika 19, 10129 Tallinn, Estonia
Teléfono: +372 627 4135
Correo electrónico: info@aki.ee
Sitio web: www.aki.ee

También puede dirigirse a la autoridad de protección de datos del lugar de su residencia habitual o de su lugar de trabajo.

La facilitación de su nombre, dirección de correo electrónico y contraseña es necesaria para el registro y el uso de nuestro Servicio. Sin estos datos no podemos celebrar el contrato con usted ni prestar el Servicio.

La activación del seguimiento de aperturas y de clics es voluntaria y no es necesaria para el uso del Servicio.

No se lleva a cabo ninguna toma de decisiones automatizada, incluida la elaboración de perfiles, en el sentido del art. 22 del RGPD.

En la medida en que utilice nuestro Servicio para el tratamiento de datos personales de terceros (p. ej., direcciones de correo electrónico de sus clientes o visitantes de su sitio web), usted actúa como responsable del tratamiento en el sentido del art. 4, apartado 7, del RGPD. En ese caso, nosotros actuamos como encargado del tratamiento de conformidad con el art. 28 del RGPD.

Los detalles del encargo de tratamiento están regulados en el Acuerdo de Encargo de Tratamiento (AVV) disponible en emlyx.eu/es/dpa, que pasa a formar parte del contrato con el registro.

Nuestro Servicio utiliza, por razones de seguridad y para la protección de la transmisión de contenidos confidenciales, un cifrado SSL o TLS. Puede reconocer una conexión cifrada porque la barra de direcciones del navegador cambia de «http://» a «https://» y por el símbolo del candado en la barra de su navegador.

Nos reservamos el derecho de adaptar esta política de privacidad para ajustarla a cambios en la legislación vigente o a modificaciones del Servicio y del tratamiento de datos. La versión vigente está siempre disponible en emlyx.eu/es/privacy.