Introducción:

En

GROI

nos tomamos muy en serio la protección de su información personal. La presente Política de Privacidad describe cómo recopilamos, utilizamos, almacenamos y protegemos los

datos personales

de los usuarios que interactúan con nuestro Sitio Web y con los servicios que ofrecemos a través del mismo. Esta política se ajusta al

Reglamento (UE) 2016/679 General de Protección de Datos (RGPD)

, a la

Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD)

, así como a la normativa española y europea aplicable en materia de protección de datos y servicios de la sociedad de la información. Al facilitarnos sus datos personales, el usuario declara haber leído y comprendido esta Política de Privacidad y consiente el tratamiento de sus datos en los términos aquí expuestos.

1. Identidad de los Responsables del Tratamiento:

Los responsables del tratamiento de los datos personales recopilados a través de este Sitio Web son:

• Arnau [Apellido1] [Apellido2], con NIF [XXXXXX], y

• Marcos [Apellido1] [Apellido2], con NIF [YYYYYY],

actuando ambos en calidad de profesionales autónomos que ejercen conjuntamente bajo la marca comercial

GROI

. Arnau y Marcos han acordado actuar como

Responsables Conjuntos del Tratamiento

, determinando de forma conjunta los objetivos (“finalidades”) y medios del tratamiento de los datos personales obtenidos. A efectos operativos, GROI utiliza una estructura unificada para el manejo de los datos, por lo que el usuario puede dirigirse a

cualquiera de los dos responsables

para el ejercicio de sus derechos (ver apartado 8) o para cualquier cuestión relativa a sus datos personales. A tal fin, se designa como punto de contacto general:

• Correo electrónico de privacidad: [email protected]

•

Dirección postal:

[Dirección completa, ciudad, provincia, país] (A la atención de “Responsables de Privacidad - GROI”).

No se ha designado Delegado de Protección de Datos (DPO) al no concurrir en GROI las circunstancias que hagan obligatoria dicha figura, sin perjuicio de que nuestro equipo atenderá cualquier consulta o solicitud relativa a protección de datos a través de los canales de contacto indicados.

2. Datos Personales Recogidos:

Dependiendo de la interacción del usuario con GROI, podemos recopilar distintas categorías de datos personales:

• Datos proporcionados voluntariamente por el usuario:

•

Formulario de contacto o solicitud de información:

nombre y apellidos, dirección de correo electrónico profesional, número de teléfono, nombre de la empresa o negocio, cargo o posición, y cualquier otra información que el usuario incluya en su mensaje o consulta. Estos datos se recogen cuando el usuario (profesional o representante de empresa) completa y envía el formulario correspondiente para solicitar información sobre nuestros servicios, solicitar una propuesta comercial o cualificarse como potencial cliente (“lead”).

•

Formulario de contratación de la asesoría de pago:

nombre y apellidos del profesional o persona de contacto, nombre fiscal de la empresa (si procede), NIF/CIF o número de identificación fiscal (si se requiere para facturación), domicilio fiscal o dirección, correo electrónico, teléfono de contacto, así como datos necesarios para la

facturación y pago

(por ejemplo, método de pago seleccionado, aunque

los datos de la tarjeta de crédito o cuenta de pago son introducidos directamente en plataformas seguras de terceros, como Stripe o PayPal

, sin que GROI almacene esos detalles financieros). Durante el proceso de contratación, también podemos solicitar información adicional sobre su negocio o necesidades específicas, con el fin de preparar una asesoría personalizada (por ejemplo, sector empresarial, principales retos o objetivos).

•

Formulario de suscripción a boletines o comunicaciones comerciales (si existiera):

dirección de correo electrónico profesional y, opcionalmente, nombre y empresa, cuando el usuario se inscribe voluntariamente para recibir nuestras newsletters, información sobre novedades, ofertas o contenidos de marketing relacionados con nuestros servicios.

(Nota: GROI actualmente dirige sus comunicaciones solo a contactos profesionales relacionados con sus servicios; cualquier envío masivo se hará únicamente con destinatarios que lo hayan consentido previamente.)

•

Datos recolectados automáticamente:

Al navegar por nuestro Sitio Web, ciertas informaciones pueden recogerse de forma automática mediante herramientas tecnológicas:

•

Datos de navegación:

dirección IP pública del dispositivo, tipo de navegador y sistema operativo, idioma, fechas y horas de acceso, páginas o secciones visitadas, tiempo de navegación, URL de referencia (página desde la que el usuario accedió al Sitio Web), identificadores en línea o cookies. Esta información la obtenemos principalmente a través de

cookies y tecnologías similares

instaladas en el dispositivo del usuario, con su consentimiento cuando no sean estrictamente necesarias. Para más detalle, consulte nuestra

Política de Cookies

.

•

Datos de analytics y tracking:

a través de servicios de terceros como

Google Analytics

o

Meta Pixel (Facebook)

, podemos recibir información agregada o identificadores pseudónimos sobre la interacción del usuario con el Sitio Web y nuestras campañas publicitarias (por ejemplo, qué páginas visita, si ha convertido tras ver un anuncio, etc.). Estos datos normalmente no identifican a una persona por sí mismos, pero podrían hacerlo en combinación con otros (por ejemplo, si un identificador de cookie se asociara a los datos personales que usted nos proporcionó en un formulario). Tratamos estos datos con precaución y de acuerdo con la normativa, y solo los recopilamos si usted aceptó nuestras cookies analíticas/publicitarias.

•

Datos de comunicaciones:

Si se comunica con nosotros por correo electrónico, teléfono, WhatsApp/Telegram (si ofrecemos esos canales) o cualquier otro medio, podremos conservar la correspondencia y los datos proporcionados (como su dirección de correo, teléfono y el contenido de la comunicación) con la finalidad de atender su consulta o mantener un historial de la relación comercial.

En todos los formularios del Sitio Web, los campos obligatorios estarán claramente indicados (por ejemplo, con un asterisco “*”). Si el usuario no proporciona los datos obligatorios, es posible que no podamos atender su solicitud o prestar el servicio solicitado. El usuario garantiza que los datos personales facilitados son veraces, actuales y pertenecen al propio interesado o sobre los que ostenta autorización para entregárnoslos. GROI no se hace responsable de datos falsos, inexactos, desactualizados o de terceros proporcionados sin su consentimiento.

3. Finalidades del Tratamiento:

Los datos personales recopilados por GROI podrán ser tratados con las siguientes

finalidades explícitas

:

•

3.1. Atender solicitudes de información y contacto comercial:

Los datos que el usuario nos facilita a través del

formulario de contacto

o al enviarnos una consulta se utilizan para gestionar y responder a su solicitud, consulta o petición de información sobre nuestros servicios. Esto incluye evaluar si el usuario cumple el perfil de cliente profesional con el que trabajamos, facilitarle información comercial personalizada sobre cómo GROI puede ayudar a su negocio (por ejemplo, enviándole una propuesta, concertando una reunión o demostración de nuestros servicios), y hacer seguimiento posterior para valorar su interés en contratar nuestros servicios. En el caso de que el usuario haya solicitado expresamente una

propuesta comercial

o material informativo, podremos utilizar sus datos para prepararla y enviársela a través del medio de contacto proporcionado.

•

3.2. Gestión de clientes y prestación de servicios contratados:

Si el usuario contrata con GROI el

servicio de asesoría de pago

u otro servicio profesional, sus datos se tratarán para gestionar la relación contractual. Esto incluye procesar el pago y verificar la transacción, formalizar el contrato, agendar y prestar la asesoría (por ejemplo, organizar la sesión de consultoría, elaborar informes o recomendaciones personalizadas basadas en la información proporcionada por el cliente), comunicarnos con el cliente durante la prestación del servicio para recabar información adicional o dar feedback, emitir la factura correspondiente, y realizar las gestiones administrativas, contables y fiscales derivadas del contrato. Sus datos también podrán ser utilizados para proporcionar soporte o atención post-servicio, gestionar eventuales incidencias o reclamaciones, y asegurar la satisfacción del cliente.

•

3.3. Envío de comunicaciones comerciales (marketing directo):

Con el

consentimiento previo

del interesado, GROI podrá enviar por medios electrónicos (correo electrónico, SMS, WhatsApp u otros medios de mensajería electrónica) comunicaciones comerciales e informativas relativas a nuestros servicios, novedades, promociones, invitaciones a eventos o recursos de contenido (por ejemplo, newsletter, artículos de blog, guías) que consideremos puedan ser de interés para el profesional. Estas comunicaciones estarán siempre relacionadas con los servicios de

marketing, ventas, estrategia empresarial, automatización o creación de contenido

que ofrecemos y van dirigidas exclusivamente a contactos en el ámbito profesional. El usuario podrá en cualquier momento

revocar su consentimiento

y oponerse al envío de nuevas comunicaciones, siguiendo las instrucciones de cancelación incluidas en cada mensaje (por ejemplo, un enlace para darse de baja) o solicitándolo expresamente a [email

protected].

Importante:

Si el usuario ya es

cliente

de GROI (por ejemplo, ha contratado la asesoría o algún servicio) es posible que, en virtud de la normativa aplicable (art. 21.2 LSSI-CE), podamos enviarle comunicaciones comerciales sobre servicios similares de GROI basadas en nuestro

interés legítimo

, incluso sin su consentimiento expreso, siempre ofreciéndole la posibilidad de darse de baja en cada envío. En cualquier caso, nuestra intención es no saturar su correo y solo enviar información relevante para su negocio.

•

3.4. Análisis de uso de la web y mejoras (cookies analíticas):

Los datos de navegación agregados y anónimos o pseudónimos recopilados mediante

cookies analíticas

(como Google Analytics) se utilizan con la finalidad de analizar tendencias de tráfico, entender cómo interactúan los usuarios con nuestro Sitio Web, detectar áreas de mejora en la experiencia de usuario, el rendimiento de la web o la eficacia de nuestras campañas publicitarias, y en general, para mejorar nuestros servicios y optimizar nuestras estrategias de marketing. Por ejemplo, podemos elaborar informes internos que nos indiquen qué páginas son más visitadas, qué contenidos generan más interés o de dónde provienen las visitas (país, canal). Siempre que sea posible, utilizamos opciones de anonimización ofrecidas por estas herramientas (como la anonimización de IP en Google Analytics) para que la información recopilada no identifique directamente a los usuarios. Este tratamiento se realiza

únicamente si el usuario ha consentido

el uso de cookies analíticas, de conformidad con la legislación vigente en materia de cookies y privacidad.

•

3.5. Publicidad dirigida y remarketing (cookies de marketing):

Si el usuario lo consiente, utilizamos herramientas de terceros (por ejemplo,

Meta Pixel

de Facebook/Instagram,

Google Ads/Analytics

con funciones publicitarias, u otras plataformas de anuncios) que instalan cookies o identificadores para recoger información sobre la navegación del usuario por nuestro Sitio Web y su interacción con nuestras campañas publicitarias. La finalidad es poder

mostrar anuncios personalizados

de GROI al usuario en redes sociales u otros sitios web que visite posteriormente (lo que se conoce como “remarketing” o retargeting), así como medir la eficacia de esos anuncios (por ejemplo, saber si usted solicitó información tras ver un anuncio nuestro en Facebook). Este tratamiento implica la elaboración de perfiles de navegación con fines publicitarios. No obstante, GROI

no toma decisiones automatizadas con efectos jurídicos o significativos basadas únicamente en dicho perfilado

; se trata solo de segmentación comercial. Dicho tratamiento se basa en el consentimiento del usuario para las cookies de marketing. Si usted no desea este tipo de tratamiento, puede rechazar estas cookies al acceder al Sitio Web o retirarlo en cualquier momento (ver Política de Cookies). Asimismo, puede configurar directamente sus preferencias de anuncios en las plataformas de terceros (p.ej., en Facebook Ads Settings o utilizando herramientas como YourOnlineChoices para desactivar la publicidad personalizada de redes participantes).

•

3.6. Cumplimiento de obligaciones legales:

GROI podrá tratar datos personales cuando sea necesario para el cumplimiento de ciertas obligaciones legales que le sean aplicables. Por ejemplo, obligaciones fiscales y contables (almacenar facturas con datos identificativos), obligaciones de atender requerimientos de autoridades o proporcionar información en investigaciones oficiales, cumplimiento de normativa de prevención de blanqueo de capitales si fuera aplicable, gestión de ejercicios de derechos en protección de datos, etc. En cada caso, solo se tratarán los datos necesarios y se conservarán durante los plazos que la ley correspondiente establezca.

•

3.7. Otras finalidades legítimas:

Adicionalmente, GROI podría tratar datos si resultara necesario para la defensa de sus derechos ante reclamaciones, la prevención del fraude, la garantía de la seguridad de la información (por ejemplo, monitorización de accesos no autorizados al Sitio Web), o en el marco de eventuales operaciones corporativas (hipotéticas) de venta o reorganización del negocio, siempre de acuerdo con la legalidad vigente. En cualquiera de estos supuestos, de darse, GROI valorará su interés legítimo prevalente y, de ser requerido por la normativa, informará al interesado o recabará su consentimiento según corresponda.

GROI garantiza que

NO

utilizará sus datos personales para finalidades incompatibles con las descritas expresamente. En caso de que se requiriera tratar sus datos para un propósito distinto (por ejemplo, si en el futuro deseáramos ampliar el tratamiento a una nueva finalidad no prevista inicialmente), se le informará previamente de dicho nuevo uso y, si legalmente es necesario, se solicitará su consentimiento.

4. Base Jurídica del Tratamiento (Legitimación):

De acuerdo con la normativa de protección de datos, todo tratamiento debe fundamentarse en una base legal que lo legitime. En GROI nos basamos en las siguientes bases de legitimación para las finalidades antes mencionadas:

•

4.1. Consentimiento del interesado (Art. 6.1.a RGPD):

Solicitamos el

consentimiento expreso

del usuario antes de tratar sus datos en las situaciones requeridas por la ley. En concreto, la base de legitimación es el consentimiento para:

•

El tratamiento de datos proporcionados en formularios de

contacto o suscripción

con la finalidad de atender su solicitud y/o enviarle comunicaciones comerciales, en aquellos casos en los que marque la casilla de aceptación correspondiente. (Nota: En el caso de una simple solicitud de información comercial iniciada por el propio usuario, puede entenderse que existe interés legítimo o necesidad precontractual para responder; no obstante, en GROI optamos por recabar consentimiento expreso mediante la aceptación de la Política de Privacidad para mayor transparencia).

•

El envío de

comunicaciones comerciales

por medios electrónicos cuando el usuario no es cliente actual, se basa en el consentimiento que nos otorgue al suscribirse voluntariamente.

•

La instalación y uso de

cookies analíticas y de publicidad

y el tratamiento de los datos asociados a las mismas para las finalidades de análisis y publicidad comportamental, se basan en el consentimiento del usuario, prestado a través del banner/configuración de cookies.

•

Cualquier otro tratamiento que explícitamente solicitemos consentimiento (por ejemplo, publicación de un testimonio o caso de éxito con datos personales en nuestro Sitio Web, en cuyo caso solicitaríamos autorización por separado).

El usuario tiene derecho a

retirar su consentimiento

en cualquier momento, sin que ello afecte a la licitud del tratamiento realizado con anterioridad. La retirada del consentimiento puede comunicarse a [email

protected] o mediante las herramientas específicas proporcionadas (ejemplo: enlace de baja en emails, panel de cookies).

•

4.2. Ejecución de un contrato o medidas precontractuales (Art. 6.1.b RGPD):

Esta base nos legitima a tratar los datos cuando son necesarios para

cumplir un contrato

en el que el interesado es parte o para

aplicar medidas precontractuales

solicitadas por éste. En GROI aplicamos esta base para:

•

Gestionar la relación con el usuario que ha contratado un

servicio de asesoría de pago

u otro servicio profesional ofrecido por GROI. Sus datos (incluidos datos identificativos, de contacto, información empresarial proporcionada, y datos de pago/facturación) son necesarios para formalizar, gestionar y ejecutar el contrato de prestación de servicios que el usuario contrata (por ejemplo, sin sus datos no podríamos procesar el pago ni prestar la asesoría).

•

Atender solicitudes concretas del interesado que puedan considerarse pasos precontractuales. Por ejemplo, si un potencial cliente profesional nos facilita sus datos para solicitar una propuesta de servicios o una evaluación diagnóstica gratuita, el tratamiento de esos datos para preparar y ofrecer dicha propuesta se basa en la aplicación, a petición suya, de medidas precontractuales (incluso si además existe consentimiento, esta base coexiste).

•

4.3. Cumplimiento de obligaciones legales (Art. 6.1.c RGPD):

Algunos tratamientos son necesarios para cumplir con

obligaciones legales

aplicables a GROI. Por ejemplo, las normativas fiscales y mercantiles nos obligan a conservar facturas con datos de clientes (nombre, NIF, dirección) por determinados años; la normativa de protección de datos nos exige responder a solicitudes de derechos de los interesados; la legislación sobre servicios de la sociedad de la información (LSSI-CE) nos exige, en ciertos casos, conservar constancia de consentimientos para comunicaciones comerciales por medios electrónicos. En estos supuestos, la base de legitimación es el cumplimiento de esas obligaciones legales.

•

4.4. Interés legítimo del responsable (Art. 6.1.f RGPD):

GROI puede tratar datos en función de su

interés legítimo

, siempre que sobre este no prevalezcan los derechos y libertades fundamentales del interesado. Hemos realizado un test de ponderación para asegurar que nuestro interés no resulte abusivo ni implique una expectativa desproporcionada para el interesado. Los escenarios donde aplicamos el interés legítimo son, principalmente:

•

El

envío de comunicaciones comerciales a clientes existentes

sobre servicios o contenidos relacionados con los que contrataron, tal y como permite el art. 21.2 de la LSSI-CE. Consideramos que, habiendo ya una relación contractual con GROI, nuestros clientes pueden razonablemente esperar recibir información útil para su negocio sobre nuestros servicios complementarios. En todo caso, se proporcionará siempre una opción sencilla de oposición en cada comunicación.

•

Gestiones internas de análisis estadístico o mejora del servicio

usando datos agregados de clientes, para entender por ejemplo tasas de reincidencia, satisfacción, etc., sin afectar a la privacidad individual.

•

La

prevención del fraude

y la seguridad de la web: por ejemplo, monitorizar ciertos patrones de navegación para detectar bots, ataques o accesos no autorizados.

•

Defensa jurídica

: conservar datos o utilizarlos estrictamente lo necesario para formular la defensa ante una reclamación legal, en cuyo caso el interés legítimo de GROI es proteger su posición jurídica.

En cualquier caso, el interesado tiene derecho a

oponerse

a aquellos tratamientos basados en interés legítimo que no desee, en los términos del art. 21 RGPD, enviando una petición a [email

protected]. No obstante, tengan en cuenta que hay intereses legítimos (como cumplir la ley o prevenir fraudes) que podrían permitirnos continuar el tratamiento si existen motivos imperiosos, según la normativa.

5. Destinatarios de los Datos y Transferencias:

En general, GROI

no vende, alquila ni comunica a terceros

los datos personales de los usuarios, salvo en las circunstancias descritas a continuación o que exista una obligación legal. Sí es posible que, para el adecuado cumplimiento de las finalidades antes descritas, debamos

compartir ciertos datos

con terceros que actúan como

encargados de tratamiento

o como

corresponsables/Responsables independientes

, según el caso:

•

Proveedores de servicios (Encargados del Tratamiento):

GROI cuenta con proveedores externos de confianza para algunas funciones, que podrían necesitar acceder o tratar datos personales en nombre y por cuenta de GROI, siguiendo nuestras instrucciones. Por ejemplo:

•

El

proveedor de alojamiento web (hosting)

y mantenimiento del Sitio Web, donde se almacenan nuestras bases de datos o servidores de correo. [Por ejemplo:

Empresa de Hosting S.L.

, CIF […], con servidores ubicados en …].

•

La

plataforma de gestión de contactos y envío de correo electrónico

(por ejemplo, un servicio de email marketing o CRM en la nube) que nos permite organizar las listas de suscriptores o contactos comerciales y enviarles comunicaciones de forma segura y eficiente. [Por ejemplo:

Mailchimp (The Rocket Science Group LLC)

u otro, si corresponde].

•

El

proveedor de servicios de analítica

que instala cookies en nuestra web (por ejemplo,

Google Analytics

, prestado por Google Ireland Limited) y procesa datos de navegación para entregarnos informes estadísticos.

•

La

plataforma de publicidad/remarketing

(por ejemplo,

Meta Platforms Ireland Ltd.

para el Meta Pixel) que actúa como encargado al ofrecernos datos agregados de conversiones.

•

Pasarelas de pago

: En la contratación de la asesoría de pago, utilizamos terceros para procesar de forma segura las transacciones financieras:

Stripe Payments Europe, Ltd.

(Irlanda) y

PayPal (Europe) S.à.r.l. et Cie, S.C.A.

(Luxemburgo). Estas entidades actúan como encargados o responsables independientes en cuanto a los datos de pago. GROI comparte con ellas únicamente la información necesaria para procesar el pago (por ejemplo, importe, concepto, identificación del cliente) y, una vez redirigido a su plataforma, el cliente introduce sus datos de tarjeta o cuenta directamente en esas pasarelas. Stripe/PayPal nos devuelven una confirmación del pago pero

no nos facilitan los datos completos de la tarjeta

(solo posiblemente 4 últimos dígitos para referencia). Ambas plataformas están certificadas y cumplen con PCI DSS y las normativas de seguridad financiera, y tienen sus propias políticas de privacidad disponibles en sus sitios web.

•

Otros posibles proveedores: servicios de almacenamiento en la nube (cloud) para copias de seguridad, consultores o asesores profesionales que nos presten servicios (por ejemplo, nuestro asesor contable podría ver datos de facturación), herramientas de chat o comunicación en línea integradas en la web, etc.

Todos estos proveedores solo acceden a la información personal

imprescindible

para la tarea subcontratada, y mediante un contrato de

Encargo de Tratamiento

que incluye garantías de confidencialidad, seguridad y cumplimiento de la normativa de protección de datos (art. 28 RGPD). GROI selecciona proveedores que ofrezcan garantías adecuadas y, preferiblemente, con infraestructura dentro del Espacio Económico Europeo o países considerados seguros.

•

Comunicación de datos por obligación legal:

GROI podrá comunicar datos personales a terceros cuando exista una obligación legal de hacerlo. Por ejemplo, a las

autoridades tributarias

(Agencia Tributaria) en el marco del cumplimiento de obligaciones fiscales (p.ej., información contenida en facturas), a

juzgados y tribunales

en caso de requerimiento judicial, o a

Fuerzas y Cuerpos de Seguridad

si alguna normativa lo exige (p.ej., ante indicios de fraude o delito). También podríamos atender eventuales requerimientos de la

Agencia Española de Protección de Datos (AEPD)

u otras autoridades de control en materia de privacidad, en caso de investigación de una denuncia.

•

Corresponsables o terceros independientes:

En principio, Arnau y Marcos actúan como responsables conjuntos únicamente entre sí bajo la marca GROI. Fuera de ello, no existen terceros que decidan conjuntamente con GROI sobre los datos recopilados en este Sitio Web. Sin perjuicio de lo anterior, algunas terceras partes con las que interactuamos pueden tratar sus datos como

responsables del tratamiento independientes

, con sus propias finalidades. Por ejemplo, cuando utiliza las pasarelas de

Stripe o PayPal

, estas pueden tratar sus datos financieros para sus propios fines (prevención de fraude, cumplimiento normativo bancario) bajo sus términos y políticas; o cuando navega tras aceptar cookies de

Google o Meta

, dichas empresas pueden usar la información recopilada para sus finalidades publicitarias generales, como responsables independientes (aunque GROI reciba solo datos agregados). Recomendamos consultar las políticas de privacidad de estos proveedores externos para conocer cómo tratan sus datos:

•

Política de Privacidad de Stripe:

https://stripe.com/es/privacy

•

Política de Privacidad de PayPal:

https://www.paypal.com/es/webapps/mpp/ua/privacy-full

•

Política de Privacidad de Google:

https://policies.google.com/privacy

•

Política de Datos de Meta (Facebook/Instagram):

https://www.facebook.com/policy.php

•

Transferencias Internacionales de Datos:

GROI, en la medida de lo posible, trata de mantener sus datos dentro del

Espacio Económico Europeo (EEE)

. Sin embargo, algunos de nuestros proveedores mencionados anteriormente pueden encontrarse o procesar datos fuera de España o incluso fuera del EEE. Por ejemplo, las herramientas de Google y Meta implican en ocasiones tratamiento por parte de sus matrices en Estados Unidos; nuestro servicio de correo o backups podría alojar datos en servidores globales; Stripe/PayPal pueden enviar datos a EE. UU. para ciertos procesos. Cuando se produce una

transferencia internacional de datos

a un país que no cuenta con una decisión de adecuación de la Comisión Europea (como es el caso de EE. UU., que no tenía adecuación hasta la adopción del nuevo Marco de Privacidad UE-EEUU en 2023), GROI garantiza que se aplicarán

garantías adecuadas

conforme al RGPD para proteger sus datos. Tales garantías pueden incluir:

•

La firma con el proveedor de las

Cláusulas Contractuales Tipo

aprobadas por la Comisión Europea, imponiendo obligaciones de protección y seguridad equivalentes a las europeas.

•

La verificación de que el receptor extranjero está adherido a mecanismos reconocidos como el

EU-US Data Privacy Framework

(Nuevo marco de protección de datos UE-EEUU), en caso de transferencias a entidades certificadas en EE. UU.

•

La aplicación de normas corporativas vinculantes, certificaciones o códigos de conducta aprobados, cuando proceda.

Usted puede solicitar más información sobre las transferencias internacionales específicas que afecten a sus datos y las garantías aplicadas, contactándonos a través de los medios de contacto proporcionados en esta política.

6. Plazo de Conservación de los Datos:

GROI conservará sus datos personales

solo durante el tiempo necesario

para los fines del tratamiento para los que se recogieron, y en cumplimiento de los plazos de conservación exigidos por las leyes aplicables. En términos generales:

•

Datos de contacto y leads (no clientes):

Los datos proporcionados por un profesional que solicita información o realiza una consulta comercial a través del Sitio Web serán conservados durante el tiempo necesario para atender y dar seguimiento a su solicitud. Posteriormente, GROI podrá mantener dichos datos durante un plazo máximo de

1 año

desde la última interacción, para realizar seguimiento comercial adicional por si el interesado finalmente requiriera nuestros servicios (salvo que antes nos solicite la supresión). Entendemos que pasado ese tiempo sin respuesta positiva, el interés decae. No obstante, si en ese período el contacto da señales de interés (por ejemplo, responde, solicita posponer la decisión, descarga contenido, etc.), podríamos ampliar razonablemente el plazo de conservación de sus datos otros

6-12 meses

adicionales. En cualquier caso, siempre respetaremos la voluntad del interesado si antes ejerce su derecho de supresión u oposición.

•

Datos de suscriptores a comunicaciones comerciales:

Se conservarán mientras el interesado no retire su consentimiento o se oponga al tratamiento. En el momento en que el usuario solicite la baja (o GROI detecte que los envíos repetidamente no son recibidos, p.ej., por error de correo), sus datos serán eliminados o bloqueados de la lista de envío. Podemos retener de forma bloqueada su dirección de correo en una lista de supresión para asegurarnos de no volver a contactar, si así lo solicita.

•

Datos de clientes (servicios contratados):

La información personal de clientes que han contratado la asesoría de pago u otros servicios (incluyendo datos identificativos, de contacto, información empresarial proporcionada durante el servicio, historiales de comunicaciones y facturación) se conservará mientras dure la relación contractual activa. Tras la finalización del servicio, conservaremos aquellos datos que sean necesarios relacionados con la prestación efectuada durante los

plazos que exija la ley

:

•

Documentos contractuales y comerciales (por ejemplo, el acuerdo de servicio, comunicaciones relevantes) podrán mantenerse por los plazos de prescripción de posibles acciones legales derivadas de la relación (lo que puede ser entre 3 y 5 años con carácter general, según la normativa civil o mercantil aplicable). Esto es con el fin de atender eventuales reclamaciones.

•

Los registros contables y facturas que contengan datos personales se conservarán durante

6 años

(según el Código de Comercio) o

4 años

a efectos fiscales (Ley General Tributaria), lo que resulte de mayor duración, y eventualmente más si se establecen obligaciones adicionales o se interrumpen los plazos de prescripción por inspecciones.

•

Datos relacionados con la prestación intelectual (por ejemplo, un informe de consultoría personalizado) pueden conservarse como parte de nuestro portafolio interno indefinidamente, pero en ese caso procuraríamos anonimizarlos o eliminar datos personales identificativos del cliente, salvo que sea necesario conservar la versión identificada por razones legales.

•

Datos de navegación y cookies:

Dependerá de cada cookie en particular. Los datos de Google Analytics se anonimizan y se conservan de manera agregada por Google durante períodos como 14 meses o más, según configuración. Los identificadores de publicidad (Meta Pixel, etc.) suelen durar pocos días o semanas si no hay interacción (p.ej., 90 días). En nuestra

Política de Cookies

detallamos la duración de las principales cookies. Nosotros no accedemos directamente a datos personales de cookies más allá de esos informes agregados. En cualquier caso, usted puede

eliminar las cookies

de su navegador en cualquier momento, con lo cual la información vinculada desaparece o se anonimiza en nuestros sistemas.

•

Conservación bloqueada:

En algunos casos, aunque se solicite la supresión o finalice el plazo de tratamiento, GROI podrá conservar los datos

bloqueados

(es decir, restringidos para ciertos fines) durante periodos adicionales si pudiera derivarse alguna responsabilidad legal de su tratamiento, y solo a disposición de autoridades (por ejemplo, guardar evidencias de consentimientos o de transacciones durante los plazos de prescripción legales).

En resumen, una vez cumplida la finalidad y transcurridos los plazos legales o de prescripción aplicables, GROI procederá a la

supresión segura

de los datos personales. Si por razones técnicas no es posible borrarlos completamente de nuestros sistemas (por ejemplo, en backups), GROI se compromete a aplicar medidas para evitar cualquier uso posterior de esos datos hasta su eliminación definitiva.

7. Derechos del Interesado:

De acuerdo con el RGPD y la LOPDGDD, los titulares de los datos personales tienen una serie of

derechos

que pueden ejercer en relación con nuestros tratamientos. En particular, el usuario (o la persona cuyos datos tratemos, siempre que podamos verificar su identidad adecuadamente) tiene los siguientes derechos:

•

Derecho de Acceso:

Obtener confirmación de si GROI está tratando o no datos personales suyos, y en tal caso, recibir una copia de dichos datos que disponemos, junto con información sobre las finalidades del tratamiento, las categorías de datos, los destinatarios a quienes se comunicaron (o se comunicarán), el plazo de conservación previsto, la existencia de los demás derechos, la posibilidad de presentar una reclamación ante la autoridad de control, y si hubo transferencias internacionales, las garantías aplicadas. La primera copia se facilitará de forma gratuita; por copias adicionales podría cobrarse un canon razonable basado en costes administrativos.

•

Derecho de Rectificación:

Solicitar la corrección o actualización de sus datos personales si fueran inexactos, incompletos o desactualizados. El interesado debe indicar en la petición qué dato es erróneo y la corrección que deba realizarse, aportando documentación de ser necesario que lo justifique. Esto incluye el derecho a completar datos que estén incompletos, teniendo en cuenta los fines del tratamiento.

•

Derecho de Supresión (“al olvido”):

Pedir la eliminación de sus datos personales cuando concurra alguna de las circunstancias previstas legalmente, por ejemplo: que ya no sean necesarios para la finalidad para la que se recogieron, que se retire el consentimiento (y el tratamiento no tenga otra base legal), que el interesado se oponga al tratamiento por motivos particulares y no prevalezca el interés legítimo del responsable, que los datos se hayan tratado ilícitamente, o para el cumplimiento de una obligación legal. Tenga en cuenta que este derecho no es absoluto: existen excepciones en las que GROI podría denegar la supresión (por ejemplo, si debe conservarlos por obligación legal o para la formulación, ejercicio o defensa de reclamaciones). En tal caso, mantendríamos los datos bloqueados y únicamente durante el tiempo necesario.

•

Derecho de Oposición:

Oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernen sean objeto de un tratamiento basado en

interés legítimo

de GROI. En tal caso, GROI dejará de tratar los datos, salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, ejercicio o defensa de reclamaciones.

Especialmente

, el interesado tiene derecho a oponerse en cualquier momento al tratamiento de sus datos con fines de

marketing directo

, incluido el perfilado relacionado con dicho marketing. Si ejercita este derecho, dejaremos de tratar sus datos para esa finalidad de forma inmediata.

•

Derecho a la Limitación del Tratamiento:

Solicitar que se suspenda temporalmente el uso de sus datos (o que se conserven pero no se traten) en ciertos supuestos previstos: por ejemplo, si el interesado impugna la exactitud de los datos (mientras se verifica esa exactitud), o si se ha opuesto al tratamiento basado en interés legítimo (mientras se verifica si los motivos del responsable prevalecen), o si el tratamiento es ilícito pero prefiere la limitación a la supresión, o si GROI ya no necesita los datos pero el interesado los requiere para la formulación, ejercicio o defensa de reclamaciones. Cuando la limitación esté vigente, GROI solo tratará los datos, aparte de para su conservación, para determinados supuestos (con consentimiento del interesado, para reclamaciones, por razones de interés público… según art. 18 RGPD).

•

Derecho a la Portabilidad de los Datos:

Cuando el tratamiento se base en el consentimiento o en un contrato, y se efectúe por medios automatizados, el interesado tiene derecho a

recibir los datos personales que nos haya proporcionado

en un formato estructurado, de uso común y lectura mecánica (por ejemplo, CSV, JSON, etc.), y a transmitirlos a otro responsable, si es técnicamente posible. Este derecho se refiere únicamente a los datos proporcionados por el usuario y aquellos generados por su actividad (por ejemplo, historial de compras) cuando el tratamiento se automatiza, pero no aplica a datos inferidos por GROI (por ejemplo, perfiles internos).

•

Derecho a no ser objeto de decisiones individualizadas automatizadas:

GROI no lleva a cabo decisiones totalmente automatizadas sin intervención humana que produzcan efectos jurídicos o significativamente afecten al interesado. En el hipotético caso de que en el futuro se fuesen a realizar, el interesado tendría derecho a no ser objeto de una decisión basada únicamente en tratamientos automatizados, incluyendo la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente de modo similar, salvo las excepciones legales (por ejemplo, consentimiento explícito). En tal caso, tendría también derecho a obtener intervención humana, expresar su punto de vista e impugnar la decisión.

Además de estos derechos, si el tratamiento se basa en el consentimiento, el interesado tiene derecho a

retirar su consentimiento en cualquier momento

, como ya se indicó, lo cual no afecta a la licitud del tratamiento previo.

Ejercicio de los derechos:

El interesado puede ejercer sus derechos en cualquier momento y de forma

gratuita

, enviando una comunicación a GROI a través de cualquiera de los siguientes medios de contacto:

•

Correo electrónico:

[email

protected]

•

Dirección postal:

[Dirección física completa], a la atención de “Ejercicio de derechos – GROI”.

Se recomienda especificar claramente qué derecho se desea ejercitar y respecto a qué datos personales, aportando copia de un documento de identidad (DNI, NIE, pasaporte) para poder verificar que solo damos respuesta al propio interesado o su representante legal. Si la solicitud la realiza un representante, deberá acreditarse tal representación (p.ej., con autorización escrita firmada y copia de DNI del representado).

GROI atenderá la solicitud en los plazos previstos por la normativa (en general, 1 mes, ampliable a 2 meses en casos complejos, en cuyo caso se le informará de la prórroga dentro del primer mes). Si la solicitud no reúne los requisitos necesarios, GROI podrá solicitar una rectificación de la misma.

Derecho a presentar una reclamación ante la Autoridad de Control:

Si un usuario considera que GROI ha violado la legislación de protección de datos o no ha atendido correctamente el ejercicio de sus derechos, tiene derecho a presentar una

reclamación

ante la autoridad de control competente. En España, la autoridad de control es la

Agencia Española de Protección de Datos (AEPD)

, con dirección en C/Jorge Juan, 6, 28001 Madrid, y sitio web

https://www.aepd.es

. La AEPD dispone de formularios y vías para presentar reclamaciones. No obstante, en GROI valoramos mucho la privacidad de nuestros usuarios y le invitamos a que, antes de recurrir a la autoridad, nos contacte directamente para intentar resolver cualquier asunto de manera amigable y eficaz.

8. Seguridad de los Datos:

GROI aplica las

medidas técnicas y organizativas de seguridad

apropiadas para proteger los datos personales bajo su responsabilidad, adecuadas al riesgo de los tratamientos realizados. Esto incluye medidas para garantizar la

confidencialidad, integridad y disponibilidad

de los datos, tales como:

•

El cifrado de las comunicaciones del Sitio Web mediante protocolo SSL/TLS (“https://”) para proteger los datos que usted transmite a través de formularios.

•

Sistemas de control de acceso restringido a las bases de datos personales; solo el personal autorizado de GROI (en este caso, los responsables Arnau y Marcos, y colaboradores puntuales bajo acuerdo de confidencialidad) y nuestros encargados de tratamiento acreditados pueden acceder a sus datos con una finalidad legítima conocida.

•

Políticas de contraseñas robustas y gestión adecuada de credenciales para los sistemas que usamos.

•

Mecanismos de

pseudonimización y cifrado

de datos sensibles cuando es posible (por ejemplo, cualquier dato de pago es gestionado directamente por Stripe/PayPal; en nuestras copias de seguridad, los datos están cifrados).

•

Programas y herramientas de

seguridad perimetral

en nuestro hosting (firewalls, antivirus, detección de intrusos) para prevenir accesos no autorizados o ataques cibernéticos.

•

Procedimientos para realizar

copias de seguridad periódicas

de los datos, con el fin de poder restaurarlos en caso de incidentes, y pruebas regulares de nuestros sistemas para evaluar su resiliencia.

•

Registros y auditorías de actividades de tratamiento cuando es apropiado, para monitorizar posibles accesos indebidos o alteraciones.

•

Formación y concienciación en materia de privacidad y seguridad para las personas que intervienen en el tratamiento.

A pesar de lo anterior, el usuario debe ser consciente de que ninguna transmisión o almacenamiento de datos es completamente seguro e invulnerable. GROI no puede garantizar una seguridad absoluta, pero sí garantiza que aplica diligentemente las medidas necesarias para proteger los datos. En caso de que ocurra una

violación de seguridad de datos personales

(brecha) que constituya un riesgo para los derechos de los usuarios, GROI lo notificará a la AEPD en el plazo legal establecido, y al propio afectado si es significativo, siguiendo lo previsto en el RGPD.

9. Tratamiento de datos de terceros y menores:

Los servicios de GROI están dirigidos exclusivamente a

personas mayores de 18 años

que actúan en un ámbito profesional o empresarial. No recopilamos intencionalmente datos de menores de edad. Si un usuario menor de 18 años (o que actúe como consumidor particular) envía datos personales a través del Sitio Web, GROI se reserva el derecho de no atender la solicitud y proceder a eliminar esa información, dado que nuestros servicios no están disponibles para dichos perfiles. Recomendamos a padres, madres o tutores que supervisen las actividades en línea de los menores a su cargo. Si cree que podríamos tener información de un menor indebidamente, por favor, contáctenos y tomaremos las medidas oportunas.

Asimismo, si el usuario proporciona datos personales de

terceras personas

(por ejemplo, referencia de un socio, datos de empleados para un programa formativo, etc.), garantiza que ha informado previamente a dichos terceros de esta política y obtenido su consentimiento o tiene otra base legítima para comunicarnos esos datos. GROI podrá contactarle para verificar esta situación si es necesario, no asumiendo responsabilidad por el incumplimiento por parte del usuario en este aspecto.

10. Actualizaciones de la Política de Privacidad:

GROI puede actualizar la presente Política de Privacidad ocasionalmente para adaptarla a cambios legislativos, jurisprudenciales, técnicos o de los servicios ofrecidos. Publicaremos cualquier modificación en esta misma página del Sitio Web, indicando la fecha de la última actualización al final del documento. Recomendamos revisarla periódicamente. En caso de cambios sustanciales que requieran un nuevo consentimiento (por ejemplo, si ampliásemos las finalidades o bases legales), solicitaremos dicho consentimiento nuevamente.

El uso continuado del Sitio Web o nuestros servicios después de dichas modificaciones implica la aceptación de la Política de Privacidad revisada. No obstante, si los cambios afectan a tratamientos basados en el consentimiento del usuario, le solicitaremos su autorización específica en su caso.

Si tiene preguntas o inquietudes sobre esta Política de Privacidad o sobre cómo gestionamos sus datos personales, no dude en contactarnos a través de [email

protected].

Última actualización de la Política de Privacidad: [fecha].