Política de privacidad
Última actualización: 20 de mayo de 2026
Introducción
VantarGroup LLC ("Matproof", "nosotros" o "nuestro") respeta su privacidad y se compromete a proteger sus datos personales. Esta política de privacidad explica cómo recopilamos, utilizamos, divulgamos y protegemos su información cuando visita nuestro sitio web o utiliza nuestra plataforma de automatización de cumplimiento.
ℹ️ Aviso importante
Matproof proporciona software de automatización de cumplimiento y NO ofrece asesoramiento legal, fiscal ni servicios de consultoría regulatoria. Nada en esta Política de Privacidad o en nuestro Servicio debe interpretarse como asesoramiento legal. Debe consultar a profesionales legales y de cumplimiento cualificados respecto a sus obligaciones específicas de protección de datos.
Información que recopilamos
Recopilamos información que usted nos proporciona directamente, incluyendo:
- Información de la cuenta (nombre, dirección de correo electrónico, nombre de la empresa)
- Información de facturación (procesada de forma segura a través de nuestro procesador de pagos)
- Comunicaciones que nos envía (solicitudes de soporte, comentarios)
- Datos de cumplimiento que carga en nuestra plataforma (políticas, evidencias, controles)
Cómo utilizamos su información
Utilizamos la información que recopilamos para:
- Proporcionar y mantener nuestra plataforma de cumplimiento
- Procesar sus transacciones y gestionar su cuenta
- Enviarle avisos técnicos y mensajes de soporte
- Responder a sus comentarios, preguntas y solicitudes de servicio al cliente
- Analizar patrones de uso para mejorar nuestros servicios (de forma agregada y anonimizada)
- Enviar comunicaciones de marketing (con su consentimiento, cuando sea necesario)
Almacenamiento y seguridad de datos
Sus datos se almacenan exclusivamente en centros de datos de la UE ubicados en Alemania. Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales contra el procesamiento no autorizado o ilícito, la pérdida accidental, destrucción o daño. Estas medidas incluyen cifrado en reposo y en tránsito, controles de acceso y evaluaciones de seguridad periódicas.
Sus derechos en virtud del GDPR
Como interesado en la Unión Europea, tiene los siguientes derechos:
- Derecho de acceso: Puede solicitar una copia de sus datos personales
- Derecho de rectificación: Puede solicitar la corrección de datos inexactos
- Derecho de supresión: Puede solicitar la eliminación de sus datos personales
- Derecho a la portabilidad de datos: Puede solicitar sus datos en un formato legible por máquina
- Derecho de oposición: Puede oponerse al procesamiento de sus datos personales
- Derecho a retirar el consentimiento: Puede retirar su consentimiento en cualquier momento cuando dependamos de su consentimiento para procesar sus datos
Base jurídica del tratamiento
Tratamos sus datos personales sobre las siguientes bases jurídicas en virtud del artículo 6 del RGPD:
- Ejecución del contrato (art. 6(1)(b)): tratamiento necesario para prestar nuestros servicios cuando se registra o solicita una demostración.
- Intereses legítimos (art. 6(1)(f)): análisis para mejorar nuestro sitio web y servicios, siempre que nuestros intereses no prevalezcan sobre sus derechos.
- Consentimiento (art. 6(1)(a)): comunicaciones de marketing y envíos del formulario de contacto, cuando ha dado su consentimiento explícito.
Conservación de datos
Conservamos los datos personales solo durante el tiempo necesario para los fines descritos en esta política. En concreto: las consultas del formulario de contacto se conservan 24 meses. Los datos de cuenta y los datos de cumplimiento subidos a la plataforma se conservan durante la vigencia del contrato; al cancelarlo comienza un periodo de gracia de 30 días en el que pueden exportarse (derecho a la portabilidad), tras el cual se eliminan de forma automática. Los datos analíticos están agregados/anonimizados y se conservan hasta 26 meses. Una conservación más prolongada solo se aplica cuando lo exige la ley (p. ej. § 257 HGB alemán para datos contables, 10 años). Puede solicitar la eliminación en cualquier momento.
Cookies y análisis
En matproof.com (sitio de marketing) utilizamos Umami Analytics para medición agregada sin cookies y — solo tras su consentimiento explícito mediante nuestro banner — Google Ads para medición de conversiones. Ambas herramientas se cargan únicamente después de obtener el consentimiento (§ 25(1) TDDDG, Art. 6(1)(a) RGPD). En la plataforma autenticada app.matproof.com utilizamos PostHog para analítica de producto (EU Cloud Frankfurt, también basada en consentimiento). Puede retirar el consentimiento en cualquier momento mediante el banner o borrando el almacenamiento del navegador.
Subencargados
Utilizamos los siguientes subencargados conforme al Art. 28 RGPD. La columna «Superficie» indica qué proveedores actúan solo en el sitio público (matproof.com), solo en la plataforma autenticada (app.matproof.com) o en ambas. Todos disponen de acuerdos de tratamiento de datos. Para proveedores con sede o tratamiento de datos fuera de la UE (en particular EE. UU., Reino Unido) se aplican Cláusulas Contractuales Tipo de la UE (CCT 2021/914) según el Art. 46 RGPD y medidas técnicas y organizativas complementarias. Nota: los datos enviados a través de formularios web (contacto, herramientas, evaluaciones) también se escriben en nuestra instancia auto-alojada de Twenty CRM (en nuestra propia infraestructura Hetzner en Alemania, disponible en crm.klyntos.com) para el seguimiento de consultas. No se trata de un subencargado externo, sino de una herramienta interna sobre la infraestructura Hetzner ya listada.
| Proveedor | Sede / Entidad jurídica | Región de tratamiento | Superficie | Finalidad | Categorías de datos | Base jurídica |
|---|---|---|---|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, Alemania | Falkenstein y Núremberg, DE | Ambos | Alojamiento de la aplicación, cómputo, tareas cron, sistemas auxiliares autoalojados (incl. CRM interno) | Sesiones, registros de la aplicación, todos los datos en tránsito por el sistema | Art. 28 RGPD |
| Neon, Inc. | Delaware, EE. UU. | AWS eu-central-1 (Frankfurt, DE) | App (autenticada) | Alojamiento de base de datos PostgreSQL | todos los datos persistentes de los clientes (cuentas, documentos de cumplimiento, registros de auditoría) | Art. 28 RGPD + CCT UE 2021/914 (Módulo 3) |
| Amazon Web Services EMEA SARL | Luxemburgo (matriz del grupo: AWS Inc., EE. UU.) | eu-central-1 (Frankfurt, DE) | App (autenticada) | Almacenamiento de archivos (S3), AWS Security Hub | Cargas de archivos, copias de seguridad, registros relevantes para la seguridad | Art. 28 RGPD + AWS GDPR DPA + CCT |
| Upstash, Inc. | Delaware, EE. UU. | Región UE (Frankfurt) | App (autenticada) | Caché Redis, búsqueda vectorial para funciones de IA | Tokens de sesión, contadores de rate-limit, vectores de embedding | Art. 28 RGPD + CCT |
| Stripe Payments Europe, Ltd. | Dublín, Irlanda (matriz del grupo: Stripe, Inc., EE. UU.) | UE con failover global | App (autenticada) | Procesamiento de pagos, gestión de suscripciones | Nombre, correo electrónico, dirección de facturación, método de pago (tokenizado) | Art. 28 RGPD + Stripe DPA + CCT |
| Resend, Inc. | Delaware, EE. UU. | Multirregión con enrutamiento UE | Ambos | Correos electrónicos transaccionales y de marketing | Direcciones de correo electrónico, contenido del mensaje | Art. 28 RGPD + CCT |
| Trigger.dev Ltd. | Londres, Reino Unido | Reino Unido | App (autenticada) | Procesamiento asíncrono de tareas (p. ej. tareas largas de IA, informes) | Payloads de tareas (pueden contener datos personales) | Art. 28 RGPD + decisión de adecuación de la Comisión Europea para el Reino Unido |
| OpenAI Ireland Ltd. | Dublín, Irlanda (matriz del grupo: OpenAI, Inc., EE. UU.) | Residencia de datos en la UE cuando esté disponible; en caso contrario, región de EE. UU. | App (autenticada) | Inferencia LLM para funciones de cumplimiento | Contenido de las solicitudes (normalmente texto de cumplimiento no personal) | Art. 28 RGPD + CCT; sin entrenamiento del modelo (cero retención de datos solicitada) |
| Anthropic, PBC | San Francisco, EE. UU. | EE. UU. (región API de Anthropic) | App (autenticada) | Inferencia LLM para funciones de cumplimiento y seguridad (asistente IA, agentes Sentinel) | Contenido de las solicitudes (texto de cumplimiento; con Sentinel: código fuente del cliente con opt-in) | Art. 28 RGPD + CCT; sin entrenamiento del modelo (cero retención de datos solicitada) |
| Functional Software, Inc. (Sentry) | San Francisco, EE. UU. | Residencia de datos en la UE (Frankfurt) | Ambos | Monitorización de errores y rendimiento | Trazas de pila de errores, direcciones IP, IDs de usuario, metadatos del navegador | Art. 28 RGPD + CCT |
| PostHog, Inc. | San Francisco, EE. UU. | EU Cloud (Frankfurt) | App (autenticada) | Analítica de producto en la aplicación (usuarios autenticados) | Datos de dispositivo/navegador, IDs de sesión, rutas de clic (seudonimizado) | Art. 28 RGPD + CCT + consentimiento conforme al § 25 TDDDG |
| Umami Software, Inc. | EE. UU. | EE. UU. (Umami Cloud) | Sitio marketing | Analítica web anónima para matproof.com (sujeta a consentimiento) | Vistas agregadas, referrer, user-agent (sin cookies, IP no se persiste) | Consentimiento Art. 6 (1) a RGPD + § 25 TDDDG (solo tras aceptar banner de cookies) |
| Google Ireland Ltd. (Google Ads + GTM) | Dublín, Irlanda (matriz: Alphabet Inc., EE. UU.) | UE + EE. UU. | Sitio marketing | Medición de conversiones publicitarias; gestión de etiquetas (solo tras consentimiento) | Click-IDs, dirección IP, ruta URL, eventos de conversión (con ads_data_redaction) | Consentimiento Art. 6 (1) a RGPD + § 25 TDDDG + Google Consent Mode v2 + CCT |
| lempire SAS (lemlist) | París, Francia | UE (Francia) con subprocesador AWS | Sitio marketing | Atribución de visitantes para campañas de correo electrónico outbound (sitio matproof.com, sujeto a consentimiento) — vincula visitas web con destinatarios de campañas de lemlist | Cookie de visitor-ID, dirección IP, user-agent, rutas de página, tokens UTM/campaña | Consentimiento Art. 6 (1) a RGPD + § 25 TDDDG (solo tras aceptar banner de cookies) + CCT |
| Google Ireland Ltd. (OAuth Login) | Dublín, Irlanda (matriz: Alphabet Inc., EE. UU.) | UE + EE. UU. | App (autenticada) | Inicio de sesión con Google (OAuth, opcional por cliente) | Correo electrónico, nombre, foto de perfil | Consentimiento Art. 6 (1) a RGPD + CCT |
| Cloudflare, Inc. | San Francisco, EE. UU. | Edge multirregión (enrutamiento UE preferido) | Ambos | DNS, CDN, protección DDoS, WAF, enrutamiento de correo | Direcciones IP, metadatos de solicitudes HTTP, datos de handshake TLS | Art. 28 RGPD + Cloudflare DPA + CCT |
| Dub, Inc. | Delaware, EE. UU. | EE. UU. | App (autenticada) | Programa de referidos / partners (atribución de clicks y ventas) | Click-IDs, correo electrónico, Stripe Customer ID, parámetros UTM | Art. 28 RGPD + CCT |
| Novu, Inc. | Delaware, EE. UU. | EE. UU. | App (autenticada) | Orquestación de notificaciones in-app y por correo | IDs de usuario, correos, payloads de notificación | Art. 28 RGPD + CCT |
| Vercel, Inc. | San Francisco, EE. UU. | Multirregión (UE preferido) | App (autenticada) | Hosting de subdominios Trust Portal del cliente; sandbox; Web Analytics para Trust Portal | Solicitudes HTTP, contenido del Trust Portal (publicado por el cliente) | Art. 28 RGPD + Vercel DPA + CCT |
| GitHub, Inc. | San Francisco, EE. UU. (matriz: Microsoft Corp.) | EE. UU. | App (autenticada) | Pentest Sentinel: acceso opcional al código fuente del cliente vía Matproof-Sentinel GitHub App | Contenido de repositorios (código fuente), posteo de issues (hallazgos) | Art. 28 RGPD + CCT; solo con instalación activa por parte del cliente |
| Firecrawl, Inc. | San Francisco, EE. UU. | EE. UU. | App (autenticada) | Scraping web para investigación de proveedores (TPRM, registro DORA Art. 28) | URLs públicas de los proveedores (sin datos personales) | Interés legítimo Art. 6 (1) f RGPD |
| Logokit, Inc. (logo.dev) | EE. UU. | EE. UU. / CDN edge | App (autenticada) | API de logos y favicons para visualización de proveedores | Cadenas de dominio (sin datos personales) | Interés legítimo Art. 6 (1) f RGPD |
| NIST National Vulnerability Database | Agencia federal, EE. UU. | EE. UU. | App (autenticada) | Consulta de datos públicos de CVE para la monitorización de vulnerabilidades | Sin datos personales (solo IDs de CVE y cadenas de versión) | Fuente pública |
Última actualización de la lista: 20 de mayo de 2026. Notificaremos cualquier cambio a los clientes existentes con al menos 30 días de antelación.
Transferencias internacionales de datos (transferencias a terceros países)
Cuando recurrimos a subencargados con sede o tratamiento de datos fuera de la UE/EEE (en particular EE. UU., Reino Unido y filiales en la UE de grupos matriz estadounidenses), basamos la transferencia en las siguientes garantías conforme al Art. 44 y ss. RGPD: (1) para el Reino Unido: la decisión de adecuación de la UE de 28 de junio de 2021; (2) para EE. UU. y otros terceros países: Cláusulas Contractuales Tipo de la UE (Decisión de Ejecución 2021/914, Módulo 2 o 3 según el caso); (3) medidas técnicas y organizativas complementarias, incluyendo cifrado, seudonimización cuando sea posible, acuerdos de cero retención de datos con proveedores de IA y limitación contractual de la finalidad. Mantenemos una Evaluación de Impacto de las Transferencias (TIA) interna para cada subencargado en tercer país.
Contacto y protección de datos
Para preguntas sobre esta Política de Privacidad, para ejercer sus derechos RGPD o para contactar con nuestro responsable de protección de datos, escríbanos a:
VantarGroup LLC
Delegado de Protección de Datos
Email: privacy@matproof.com
30 N Gould St Ste R, Sheridan, WY 82801, USA
También tiene derecho a presentar una reclamación ante su autoridad supervisora local. En España: Agencia Española de Protección de Datos (AEPD), Madrid.