Política de Privacidad

Última actualización: [FECHA]

1. Responsable del tratamiento

Identidad: [NOMBRE COMERCIAL / RAZÓN SOCIAL]
CIF/NIF: [CIF/NIF]
Dirección postal: [DOMICILIO FISCAL]
Contacto en materia de protección de datos: privacidad@merlinautosys.com

2. Principios

En [Empresa] aplicamos los principios de privacidad por diseño y por defecto. Esto significa que:

El núcleo del sistema reside en su dispositivo físico, en su red local. La mayor parte del procesamiento ocurre allí.
Solo recopilamos lo estrictamente necesario para prestar el servicio contratado.
No vendemos, alquilamos ni compartimos sus datos personales con terceros para fines comerciales.
El asistente IA opera con anonimización previa (PII Stripping): nombres, direcciones, números de cuenta y otros datos sensibles se reemplazan por tokens antes de salir del dispositivo, y se recomponen localmente.

3. Datos que tratamos

Categoría	Datos	Finalidad	Base legal
Identificación de cuenta	Nombre, email, contraseña (cifrada), teléfono	Crear cuenta, autenticar, contactar	Ejecución del contrato
Datos de facturación	Razón social, NIF, dirección, datos de pago (procesados por Stripe)	Facturación y cumplimiento fiscal	Obligación legal
Datos del dispositivo	MAC, hostname, versión, código de activación, último heartbeat	Activación y mantenimiento	Ejecución del contrato
Datos de uso	Cantidad de tokens IA consumidos, SMS y llamadas enviados, accesos	Aplicar límites del plan y facturar consumos	Ejecución del contrato
Datos domóticos	Áreas, escenas, automatizaciones, dispositivos integrados	Funcionamiento del sistema	Ejecución del contrato
Datos de presencia	Conexiones a Dashboard, tipo de dispositivo, IP (parcial)	Mostrar quién está conectado, automatizaciones de presencia	Ejecución del contrato / interés legítimo
Comunicaciones del asistente IA	Texto del mensaje (anonimizado), respuesta	Prestar el servicio de asistente	Ejecución del contrato
Datos opcionales del Fichaje	Hora de entrada/salida, GPS (si autorizado)	Cumplimiento del registro horario laboral (Ley 10/2021)	Obligación legal del empleador

4. Dónde se almacenan los datos

En su dispositivo Merlin (local): automatizaciones, escenas, áreas, fichajes, archivos, configuración, historial de conexiones. Bajo su control físico.

En nuestros servidores cloud (VPS en la Unión Europea): cuenta del Portal, datos de facturación, agregados de consumo IA/SMS/llamadas, copias de seguridad si está activado el plan correspondiente. Proveedor actual: [PROVEEDOR VPS — actualmente IONOS, posible migración a Hetzner], con servidores ubicados en territorio de la Unión Europea.

Backups off-site: copias cifradas en Backblaze B2 (servidor en la UE) para recuperación ante desastres.

5. Encargados del tratamiento

Para prestar el servicio compartimos datos estrictamente necesarios con los siguientes encargados, todos con garantías contractuales adecuadas (cláusulas tipo de la Comisión Europea o ubicación dentro de la UE):

Stripe Payments Europe Ltd (Irlanda) — procesamiento de pagos.
Anthropic, PBC (Estados Unidos) — servicio de inteligencia artificial. Los datos enviados están previamente anonimizados mediante PII Stripping.
Twilio Ireland Limited (Irlanda) — envío de SMS y llamadas.
Resend Inc. (EE.UU. / UE) — envío de emails transaccionales.
Cloudflare Inc. (EE.UU. con cifrado extremo a extremo) — túnel seguro para acceso remoto.
IONOS Cloud GmbH / proveedor equivalente (Alemania) — alojamiento del backend.
Backblaze Inc. (EE.UU., región UE) — backups off-site cifrados.

6. Plazo de conservación

Datos de cuenta: mientras dure la relación contractual y 4 años tras la baja (obligaciones fiscales).
Datos de facturación: 6 años (Código de Comercio).
Logs técnicos y de seguridad: 12 meses.
Datos en su dispositivo local: bajo su control; permanecen indefinidamente salvo que los elimine.
Mensajes del asistente IA: 30 días, en formato anonimizado.
Registro de fichaje (si aplica): 4 años (Estatuto de los Trabajadores).

7. Sus derechos

Conforme al RGPD y la LOPDGDD, usted tiene derecho a:

Acceso: solicitar qué datos suyos tratamos.
Rectificación: corregir datos inexactos.
Supresión: eliminar sus datos cuando no sean necesarios.
Limitación: restringir el tratamiento.
Portabilidad: recibir sus datos en formato estructurado.
Oposición: oponerse a determinados tratamientos.
Retirar el consentimiento en cualquier momento, sin efecto retroactivo.

Para ejercer sus derechos: privacidad@merlinautosys.com. Responderemos en el plazo máximo de un mes.

Si considera que tratamos sus datos incorrectamente, puede presentar reclamación ante la Agencia Española de Protección de Datos (aepd.es).

8. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas: cifrado de contraseñas con bcrypt, conexiones HTTPS con HSTS, autenticación JWT, separación de credenciales por dispositivo, auditoría de accesos técnicos, backups cifrados, firewall y fail2ban en el backend. No obstante, ningún sistema es 100% seguro; nos comprometemos a notificar cualquier brecha en el plazo legal.

9. Cookies

El Portal y los paneles de Merlin utilizan cookies técnicas estrictamente necesarias para el funcionamiento (sesión, preferencia de idioma, tema claro/oscuro). No utilizamos cookies de analítica de terceros ni de publicidad. Más detalle en el aviso de cookies del propio portal.

10. Menores

El servicio no está dirigido a menores de 14 años. Si descubrimos que hemos recopilado datos de un menor sin el consentimiento de sus tutores, los eliminaremos.

11. Cambios en esta política

Publicaremos cualquier modificación material en esta misma página y, cuando sea exigible, le notificaremos por email con 30 días de antelación.