1. Responsable del tratamiento
AP FRANCE — SASU, SIREN 802 005 108, 49 bd du Lycée, 92170 Vanves, Francia.
Contacto del DPO: contact@assistantprive.io
2. Datos recopilados
Solo recopilamos los datos necesarios para las finalidades descritas a continuación:
- Cuenta y autenticación: dirección de correo electrónico (cifrada en reposo con AWS KMS), claves de acceso WebAuthn. Base jurídica: ejecución del contrato.
- Facturación: nombre, apellidos, dirección postal, país y, en su caso, número de IVA y SIREN. Base jurídica: ejecución del contrato y obligación legal (conservación durante 10 años — Art. L123-22 del Código de Comercio francés).
- Documentos transmitidos: documentos de identidad y justificantes que subes o nos confías para la realización de tus trámites administrativos (permiso de residencia, visado, estado civil, etc.). Base jurídica: ejecución del contrato. Estos documentos solo se utilizan para los trámites que nos confías.
- Seguimiento de expedientes: proyectos, tareas, plazos e intercambios relacionados con tus trámites. Base jurídica: ejecución del contrato.
- Consentimientos: fecha y versión de las condiciones de venta aceptadas, renuncia al derecho de desistimiento, dirección IP. Base jurídica: obligación legal.
- Datos técnicos: registros de solicitudes (IP, agente de usuario, marca temporal). Base jurídica: interés legítimo (seguridad, depuración). Conservación: 90 días.
3. Destinatarios de los datos
Tus datos pueden transmitirse a los siguientes encargados del tratamiento, con estricta limitación a las finalidades descritas:
- Neon Inc. (base de datos PostgreSQL) — alojamiento en la UE disponible.
- Vercel Inc. (alojamiento de la aplicación) — certificado SOC 2.
- AWS KMS (cifrado de datos sensibles) — región eu-west-1.
- Cloudflare Inc. (almacenamiento de documentos — R2) — datos alojados en la Unión Europea.
- Stripe Payments Europe Ltd. (pago con tarjeta bancaria) — entidad de pago autorizada; no almacenamos ningún dato bancario.
- Resend Inc. (envío de correos electrónicos transaccionales).
- Upstash Inc. (caché Redis) — región de la UE disponible.
- PostHog Inc. (medición de audiencia, analítica de producto y seguimiento de errores técnicos de la aplicación) — datos alojados en la región de la UE (
eu.i.posthog.com). El seguimiento de errores solo recopila datos técnicos (mensaje de error, traza), sin datos personales. Se utilizan exclusivamente para mejorar y garantizar la fiabilidad del servicio; sin compartir con terceros con fines publicitarios.
Tus documentos y datos también pueden comunicarse a las administraciones francesas competentes (prefectura, OFII, URSSAF, CAF, etc.), únicamente en el marco de los trámites que nos hayas confiado expresamente.
Ningún dato se vende a terceros. Ningún dato se utiliza con fines publicitarios ni de elaboración de perfiles comerciales.
4. Plazos de conservación
- Datos de cuenta activa: duración de la relación contractual.
- Documentos transmitidos: duración de la relación contractual; supresión a petición en cualquier momento.
- Datos de cuenta eliminada: anonimización inmediata, salvo los datos de facturación conservados durante 10 años.
- Registros técnicos: 90 días.
- Consentimientos de las condiciones de venta: 5 años a partir de la fecha de aceptación.
5. Tus derechos (RGPD, Art. 15-22)
Dispones del derecho de acceso, rectificación, supresión, portabilidad, oposición y limitación del tratamiento de tus datos.
Para ejercer estos derechos, contáctanos en contact@assistantprive.io. Responderemos en un plazo de 30 días. En caso de desacuerdo, puedes presentar una reclamación ante la CNIL.
6. Cookies
Consulta nuestra Política de cookies para conocer el detalle de los rastreadores utilizados.
7. Seguridad
Los datos sensibles (dirección de correo electrónico) se cifran en reposo mediante AWS KMS. La autenticación se basa en claves de acceso WebAuthn — no se almacena ninguna contraseña. El acceso a tus documentos está estrictamente compartimentado por cuenta. Las comunicaciones se cifran en tránsito (TLS 1.3).
8. Transferencias fuera de la UE
Algunos encargados del tratamiento (Vercel, Resend, Upstash) están establecidos en Estados Unidos. Estas transferencias se rigen por las cláusulas contractuales tipo (CCT) de la Comisión Europea o por el marco EU-US Data Privacy Framework.