Tus datos,
tratados de la manera en que construimos software.
Esta Política de Privacidad explica, en lenguaje sencillo, cómo Giroteam recopila, utiliza, almacena y protege los datos personales cuando visitas nuestro sitio web, solicitas una consulta, firmas un contrato con nosotros o interactúas con cualquiera de nuestros servicios. Está redactada para cumplir con el Reglamento General de Protección de Datos de la UE (Reglamento 2016/679, GDPR) y la Ley Orgánica Española 3/2018 de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD). Léela una vez; los derechos que describe son tuyos, y los tomamos en serio.
Lo que cubre esta política, de un vistazo.
Doce secciones, cada una abordando una obligación que tenemos bajo la ley de protección de datos española y europea. Salta a cualquiera de ellas.
Quién es responsable
de tus datos personales.
Según el Artículo 4(7) del GDPR, el responsable del tratamiento es la entidad que determina los fines y medios del tratamiento de tus datos personales. Para todo lo descrito en esta Política de Privacidad, esa entidad es Giroteam — un estudio de software registrado en España, con operaciones en Málaga y clientes en toda la Unión Europea. Los detalles de identificación legal vinculantes se enumeran a continuación.
- Nombre legal
- Giroteam
- Forma jurídica
- Entidad comercial privada española
- ID fiscal (CIF/NIF)
- [Por completar con el CIF actual]
- Dirección registrada
- Málaga, Andalucía, España
- Correo electrónico de contacto
- hello@giroteam.com
- Teléfono
- +34 851 81 72 90
- Contacto de privacidad
- privacy@giroteam.com
Giroteam no ha nombrado formalmente a un Delegado de Protección de Datos (DPO) porque no se cumplen las condiciones del Artículo 37 del GDPR (no realizamos monitoreo regular a gran escala ni procesamos categorías especiales de datos a gran escala). No obstante, hay un contacto de privacidad dedicado disponible en el correo electrónico anterior y responderá dentro de los plazos legales.
Solo recopilamos lo que realmente requiere el trabajo.
Minimización de datos, en la práctica. A continuación se presentan las categorías de datos personales que podemos procesar — y solo cuando hay una razón clara y legal para hacerlo.
Datos de identificación
Nombre completo, título profesional, la empresa que representas y — cuando sea necesario para la facturación — tu número de identificación fiscal. Recopilados directamente de ti cuando nos contactas o firmas un compromiso.
Datos de contacto
Dirección de correo electrónico, número de teléfono, dirección postal y el canal que utilizaste para contactarnos (formulario web, correo electrónico, teléfono, LinkedIn). Utilizados únicamente para responder a tu consulta y gestionar el compromiso.
Datos de relación comercial
Detalles del proyecto, notas de alcance, contratos, declaraciones de trabajo, historial de comunicaciones y los registros necesarios para entregar y facturar el trabajo. Mantenemos estos como parte del archivo de tu compromiso.
Datos técnicos y de uso
Dirección IP, tipo de navegador, clase de dispositivo, páginas visitadas, tiempo en la página y geolocalización aproximada (a nivel de ciudad). Recopilados automáticamente cuando visitas nuestro sitio web, y solo con tu consentimiento previo para cookies no esenciales.
Datos de facturación y financieros
Detalles de facturación, datos de cuenta bancaria o tarjeta enrutados a través de un procesador de pagos regulado, número de IVA y los registros contables exigidos por la legislación comercial y fiscal española.
Datos de reclutamiento
CV, portafolio, carta de presentación, referencias, notas de entrevistas y los datos de contacto de cualquier persona que solicite unirse a Giroteam. Procesados solo para el proceso de selección al que aplicaste.
Nota — No procesamos intencionadamente categorías especiales de datos (Art. 9 GDPR) como datos de salud, biométricos, genéticos, religiosos o políticos. No recopilamos datos de menores. Si una categoría especial aparece accidentalmente (por ejemplo, en un campo de texto libre), la eliminamos tan pronto como la identificamos.
Ocho propósitos. Cada uno nombrado, cada uno delimitado.
De acuerdo con el Artículo 5(1)(b) del RGPD, los datos personales deben ser recopilados para propósitos específicos, explícitos y legítimos. La siguiente tabla enumera cada propósito por el cual Giroteam procesa datos personales, las actividades que abarca y la base legal que lo permite. No reutilizamos sus datos para nada fuera de esta tabla sin notificarle primero.
Cada operación
tiene un fundamento legal.
El artículo 6 del GDPR requiere que cada actividad de procesamiento se base en al menos una de seis bases legales. Giroteam se basa en cuatro de ellas, que se enumeran a continuación. Te decimos cuál se aplica a una actividad dada en el momento de la recolección, y nuevamente aquí para el registro.
Cumplimiento de un contrato
Cuando te conviertes en cliente, procesar tus datos es necesario para entregar el compromiso que hemos acordado: definir el proyecto, diseñar el sistema, construirlo, integrarlo con tu stack y operarlo después del lanzamiento. Sin este procesamiento, no podemos cumplir el contrato.
Tu consentimiento
Dependemos del consentimiento para cookies no esenciales, para comunicaciones de marketing y para cualquier dato opcional que solicitamos en el sitio web. El consentimiento se da libremente, puede ser retirado en cualquier momento y retirarlo nunca afecta la legalidad del procesamiento que tuvo lugar antes de la retirada.
Obligación legal
La ley fiscal española (LGT, Ley 58/2003) y la ley comercial (Código de Comercio) requieren que mantengamos facturas, libros contables y ciertos registros comerciales durante períodos fijos. Procesamos y retenemos los datos necesarios para cumplir con esas obligaciones, y no más.
Interés legítimo
Para la monitorización de seguridad, prevención de fraudes, la gestión de nuestro sitio web e infraestructura de TI, y un limitado prospecto B2B a contactos profesionales, nos basamos en nuestro interés legítimo en operar un negocio seguro y viable. Se ha realizado una prueba de equilibrio en cada caso y está disponible a solicitud.
Mantenemos tus datos solo mientras los necesitemos — y no un día más.
El artículo 5(1)(e) del GDPR requiere que los datos personales se mantengan en forma identificable solo durante el tiempo necesario. Los siguientes períodos de retención se derivan de ese principio, aplicado a la ley comercial, fiscal y laboral española. Una vez que un período expira, los datos se eliminan de forma segura o se anonimizan.
Cuando expire un período de retención, los datos se eliminan de los sistemas de producción y copias de seguridad en el siguiente ciclo de rotación, o se anonimizarán de forma irreversible para que no se puedan vincular a ningún individuo. Si hay una reclamación legal, auditoría o investigación en curso, los datos relevantes pueden ser retenidos más allá de estos períodos hasta que se cierre el asunto.
Quién más ve sus datos —
y bajo qué términos vinculantes.
Proveedores de infraestructura en la nube
Alojamiento, almacenamiento y computación para nuestro sitio web y sistemas de clientes. Principalmente ubicados en la UE (Fráncfort, Helsinki, Madrid) en AWS, GCP o Hetzner, seleccionados por proyecto.
Herramientas de correo electrónico y colaboración
Correo electrónico empresarial, calendarios, colaboración en documentos y videollamadas para nuestro trabajo diario contigo. Se prefieren servicios residentes en la UE.
Analíticas que respetan la privacidad
Analíticas sin cookies o basadas en el consentimiento para entender el uso del sitio web en conjunto. Las direcciones IP están anonimizadas; no hay perfilado entre sitios.
Procesadores de pagos
Instituciones de pago reguladas procesan pagos con tarjeta y transferencias bancarias. Nunca almacenamos números de tarjeta completos; solo recibimos confirmación de que un pago ha tenido éxito o ha fallado.
Herramientas de CRM y proyectos
Los sistemas donde mantenemos tu archivo de compromiso, nuestras tableros de tareas compartidas y la documentación que producimos durante un proyecto.
Asesores contables y fiscales
Contadores externos y asesores fiscales que procesan la facturación y los datos contables para ayudarnos a cumplir con las obligaciones fiscales y comerciales españolas. Obligados por secreto profesional.
Autoridades públicas y reguladores
Agencia Tributaria Española (AEAT), autoridad de seguridad social (TGSS), AEPD, tribunales y fuerzas policiales cuando una solicitud legalmente vinculante requiere que compartamos datos específicos.
Asesores legales y auditores
Abogados, auditores y aseguradoras cuando sea necesario para establecer, ejercer o defender reclamaciones legales, o para cumplir con auditorías obligatorias. Obligados por confidencialidad profesional.
Nota — Una lista actual y nombrada de nuestros subprocesadores activos está disponible a solicitud en privacy@giroteam.com. Notificamos a los clientes sobre cambios materiales en esa lista antes de que un nuevo subprocesador comience a procesar sus datos.
Cuando los datos salen de la UE,
viajan bajo contrato.
Algunos de nuestros procesadores tienen su sede fuera del Espacio Económico Europeo (EEE) — típicamente en los Estados Unidos o el Reino Unido. Siempre que tus datos se transfieran fuera del EEE, Giroteam se basa en las salvaguardias requeridas por el Capítulo V del GDPR (Artículos 44–49). Estas salvaguardias se enumeran a continuación.
Cláusulas Contractuales Estándar (SCCs)
Donde no existe una decisión de adecuación, firmamos las Cláusulas Contractuales Estándar de 2021 de la Comisión Europea con el procesador, en el módulo apropiado, antes de que se realice cualquier transferencia.
Decisiones de adecuación
Para las transferencias a países que la Comisión Europea ha reconocido formalmente como que proporcionan un nivel adecuado de protección (por ejemplo, el Reino Unido bajo la decisión de 2021), nos basamos en esa decisión de adecuación como el mecanismo de transferencia.
Marco de Privacidad de Datos UE–EE. UU.
Para los procesadores certificados bajo el Marco de Privacidad de Datos UE–EE. UU. (Decisión de Ejecución de la Comisión de 10 de julio de 2023), nos basamos en esa certificación, verificada para el estado activo antes de la transferencia.
Evaluaciones de impacto de transferencia
Para cada procesador no perteneciente al EEE, realizamos una Evaluación de Impacto de Transferencia (TIA) de acuerdo con las Recomendaciones 01/2020 del EDPB, evaluando las leyes del país de destino y añadiendo medidas suplementarias (cifrado, seudonimización) cuando sea necesario.
Ocho derechos bajo el RGPD.
Libres para ejercer. Siempre.
La ley española y europea te otorga un conjunto definido de derechos sobre tus propios datos personales. Ejercer cualquiera de ellos es gratuito y no requiere que te justifiques. Responderemos dentro de un mes a tu solicitud, ampliable por dos meses más para casos complejos (Art. 12(3) RGPD).
Acceso
Obtén una copia de los datos personales que tenemos sobre ti, los propósitos para los cuales los procesamos y los destinatarios a quienes los divulgamos (Art. 15 RGPD).
Rectificación
Corrige datos inexactos y completa datos incompletos sin demora indebida (Art. 16 RGPD).
Supresión
Pídenos que eliminemos tus datos personales cuando se apliquen los fundamentos legales del Artículo 17 RGPD, también conocido como el 'derecho al olvido'.
Restricción
Restringe el procesamiento de tus datos mientras verificamos una solicitud de rectificación, impugnamos su exactitud o evaluamos una objeción de interés legítimo (Art. 18 RGPD).
Portabilidad
Reciba los datos que nos ha proporcionado en un formato estructurado, de uso común y legible por máquina, y transfiera a otro controlador (Art. 20 GDPR).
Oposición
Oponerse al tratamiento basado en el interés legítimo — incluyendo el marketing directo — en cualquier momento, por motivos relacionados con su situación particular (Art. 21 GDPR).
Retirar el consentimiento
Retirar el consentimiento en cualquier momento para cualquier tratamiento basado en él. La retirada no afecta la legalidad del tratamiento realizado antes de la retirada (Art. 7(3) GDPR).
No decisiones automatizadas
No estar sujeto a una decisión basada únicamente en el procesamiento automatizado que produzca efectos legales sobre usted. Giroteam no realiza tal toma de decisiones (Art. 22 GDPR).
Envíenos una solicitud de derechos.
Utilice cualquiera de estos cuatro pasos. Cualquiera que sea la ruta que elija, la rastrearemos y responderemos de la misma manera.
- 01Envíe un correo electrónico a privacy@giroteam.com desde la dirección que tenemos registrada para usted, nombrando el(los) derecho(s) que desea ejercer.
- 02Si escribe desde una dirección diferente, es posible que le pidamos que confirme su identidad para evitar divulgar sus datos a otra persona (Art. 12(6) GDPR).
- 03Acusamos recibo dentro de 72 horas y respondemos sustantivamente dentro de un mes calendario.
- 04Si no podemos cumplir con la solicitud, explicaremos por qué por escrito y le recordaremos su derecho a presentar una queja ante la AEPD.
Derecho a presentar una queja ante la AEPD
Si cree que hemos manejado incorrectamente sus datos personales y nuestra respuesta no le ha satisfecho, tiene derecho a presentar una queja ante la Agencia Española de Protección de Datos, la autoridad de supervisión competente en España.
- Autoridad
- Agencia Española de Protección de Datos
- Dirección
- C/ Jorge Juan 6, 28001 Madrid
- Web
- www.aepd.es
Medidas técnicas y organizativas —
diseñadas, no añadidas.
El artículo 32 del RGPD requiere que los responsables y encargados del tratamiento implementen medidas de seguridad adecuadas al riesgo. Dado que Giroteam desarrolla software de producción para operaciones de mercado medio, la seguridad es parte de cómo trabajamos, no una preocupación posterior. Las medidas a continuación resumen nuestra línea base actual.
-
M·01
Cifrado en tránsito y en reposo
TLS 1.2+ en cada punto de acceso público que operamos. Datos sensibles cifrados en reposo utilizando AES-256 o equivalente. Secretos almacenados en gestores de secretos dedicados, nunca en el código fuente.
-
M·02
Control de acceso y mínimo privilegio
Acceso basado en roles en cada sistema, con concesiones explícitas revisadas al menos trimestralmente. Autenticación multifactor obligatoria para cada miembro del equipo de Giroteam en cada sistema de producción.
-
M·03
Copias de seguridad y recuperación ante desastres
Copias de seguridad cifradas y redundantes por región con procedimientos de recuperación documentados. Restauración de copias de seguridad probada en intervalos planificados, no solo cuando algo ya ha salido mal.
-
M·04
Gestión de vulnerabilidades
Dependencias escaneadas automáticamente en cada compilación. Parches críticos aplicados dentro de los SLA definidos. Pruebas de penetración realizadas en sistemas de clientes donde el compromiso lo incluye.
-
M·05
Registro de auditoría
Cada acceso a datos personales en nuestros sistemas internos se registra, con retención a prueba de manipulaciones ajustada a las obligaciones del compromiso y a las normas de ciberseguridad aplicables.
-
M·06
Capacitación del personal y confidencialidad
Cada miembro del equipo de Giroteam está obligado por un compromiso de confidencialidad por escrito y capacitado en responsabilidades de protección de datos al unirse y en intervalos de actualización posteriores.
Si algo sale mal, usted oirá de nosotros.
En caso de una brecha de datos personales que probablemente resulte en un riesgo para sus derechos y libertades, notificaremos a la AEPD dentro de las 72 horas de haber tomado conocimiento de ello (Art. 33 RGPD) y, cuando el riesgo sea alto, le notificaremos directamente sin demora indebida (Art. 34 RGPD). La notificación describirá la naturaleza de la brecha, las categorías y el número aproximado de personas afectadas, las consecuencias probables y las medidas tomadas o propuestas para abordarla.
Los servicios de Giroteam
no están dirigidos a niños.
Nuestro sitio web y servicios están dirigidos exclusivamente a profesionales, empresas y contactos adultos. No recopilamos ni procesamos intencionadamente datos personales de niños menores de 14 años, el umbral establecido por el Artículo 7 de la LOPDGDD española para el consentimiento directo al procesamiento de datos.
Si nos damos cuenta de que hemos procesado inadvertidamente datos personales de un niño menor de esa edad sin autorización parental o de un tutor verificable, eliminaremos esos datos sin demora indebida. Si eres un padre o tutor y crees que un menor a tu cargo nos ha proporcionado datos personales, por favor contacta a privacy@giroteam.com y actuaremos de inmediato.
Cuando esta política cambie,
el cambio se registrará aquí.
Actualizamos esta Política de Privacidad cuando la ley, nuestros sistemas, nuestros procesadores o nuestras actividades comerciales cambian de maneras que afectan cómo se manejan tus datos. Los cambios materiales —aquellos que alteran significativamente tus derechos o nuestras obligaciones— se anuncian antes de que entren en vigor, por correo electrónico donde tengamos una relación activa contigo y de manera prominente en esta página en todos los demás casos.
Hable con un humano,
no con una cola de tickets.
Cada consulta sobre protección de datos enviada a privacy@giroteam.com es revisada por una persona del equipo senior — las mismas personas que construirían su sistema si usted fuera un cliente. Respondemos dentro de un día hábil y sustantivamente dentro de los plazos legales.