Política de Privacidad
1. Introducción
El presente documento aplica al tratamiento de los datos personales de los usuarios de Internet que accedan a la plataforma denominada "eTítulo", que permite ofrecer servicios relacionados con la emisión, gestión, verificación y compartición de credenciales digitales verificables.
Responsable del tratamiento:
- Denominación social: Signe, S.A.
- N.I.F.: A11029279
- Dirección: Calle de la Imprenta 6, C.P. 28760, Tres Cantos, Madrid
- Teléfono de contacto: 918 06 00 99
- Delegado de protección de datos: protecciondedatos@signe.es
El acceso al Servicio Web implica el tratamiento de datos personales de acuerdo con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPD).
2. Tratamientos como encargado del tratamiento
2.1 Entidad responsable
Respecto de los servicios prestados por medio del Servicio Web, el responsable del tratamiento será normalmente el usuario que hubiera contratado directamente el servicio, o la entidad a la que el usuario pertenece.
2.2 Finalidades del tratamiento
Signe tratará los datos como encargado para ofrecer las funcionalidades contenidas en el Servicio Web, incluyendo:
- Alta, autenticación, autorización y gestión de usuarios, roles, permisos y unidades organizativas.
- Configuración de tenants, dominios, marca visual, idiomas, plantillas y flujos de aprobación.
- Diseño, aprobación, publicación, emisión, firma, almacenamiento, descarga, revocación, expiración y verificación de credenciales digitales.
- Generación de documentos PDF, HTML, DOCX, JSON-LD y credenciales firmadas.
- Notificación por correo electrónico a destinatarios y usuarios autorizados.
- Puesta a disposición de la cartera digital del destinatario y generación de enlaces de compartición temporal.
- Verificación pública de credenciales mediante enlace con hash criptográfico.
- Auditoría de operaciones, trazabilidad, métricas de consumo y facturación.
- Atención de consultas, incidencias y soporte técnico.
2.3 Categorías de datos tratados
Signe podrá tratar las siguientes categorías de datos:
- Datos identificativos y de contacto: Nombres, apellidos, emails, identificadores de usuario.
- Datos de acceso y seguridad: Credenciales, roles, permisos, datos de sesión, IP, navegador.
- Datos de contenido de credenciales: Datos definidos por el estándar o plantilla configurada.
- Datos de identidades organizativas: Nombres de entidades emisoras, certificados digitales, logos.
- Datos criptográficos: Credenciales firmadas, hashes de verificación, tokens de compartición.
- Datos documentales: PDFs de credenciales, documentos, plantillas, ficheros de importación.
- Datos de auditoría y consumo: Usuario, acción, fecha/hora, estado de la credencial, consumos.
- Datos de configuración del tenant: Dominio, marca visual, SMTP, idiomas, motor de firma.
3. Tratamientos como responsable del tratamiento
Signe podrá tratar determinados datos como responsable del tratamiento para las siguientes finalidades:
| Finalidad | Datos | Base jurídica |
|---|---|---|
| Gestión de consultas y soporte directo | Datos identificativos, contacto, información de la consulta | Ejecución de contrato y/o interés legítimo |
| Seguridad, prevención de fraude y mantenimiento técnico | IP, identificadores técnicos, logs, navegador, dispositivo | Interés legítimo en garantizar la seguridad |
| Gestión contractual y administrativa | Datos de representantes, contactos, facturación | Ejecución del contrato e interés legítimo |
| Cumplimiento de obligaciones legales | Datos necesarios para cumplir requerimientos legales | Cumplimiento de obligaciones legales |
4. Tiempo de conservación de los datos
Los datos personales se conservarán durante los plazos necesarios para la prestación del Servicio Web, la vigencia de la relación contractual y los plazos de prescripción de responsabilidades que pudieran derivarse (generalmente 5 años).
5. Destinatarios de los datos
Los datos podrán ser transmitidos a:
- Proveedores de infraestructura cloud, alojamiento, almacenamiento, backup y seguridad.
- Proveedor o motor de firma digital configurado para la emisión de credenciales.
- Proveedor SMTP o servicio de correo electrónico transaccional.
- Terceros verificadores que accedan a enlaces públicos de verificación.
- Organismos públicos, autoridades, juzgados o tribunales cuando exista obligación legal.
6. Transferencias internacionales
No se ha previsto la realización de transferencias internacionales de datos en la utilización ordinaria del Servicio Web. En caso de que una configuración específica implique transferencias internacionales, se aplicarán las garantías exigibles conforme a la normativa de protección de datos.
7. Derechos de los interesados
El usuario puede ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad a través de:
- Correo postal: Signe, S.A., Avenida de la Industria, nº 18, 28760 Tres Cantos (Madrid)
- Correo electrónico: protecciondedatos@signe.es
Para identificar correctamente al interesado, la solicitud deberá incluir: nombre completo, apellidos, número de documento identificativo, petición concreta, dirección a efectos de notificaciones, fecha y firma.
Los interesados también tienen derecho a presentar una reclamación ante la Agencia Española de Protección de Datos si consideran que el tratamiento de sus datos personales infringe la normativa aplicable.
8. Medidas de seguridad
Signe tratará los datos de los usuarios de forma confidencial, adoptando medidas técnicas y organizativas para garantizar la seguridad de los datos, incluyendo:
- Aislamiento multi-tenant
- Autenticación mediante OpenID Connect/JWT
- Realm independiente por tenant
- Autorización por roles y permisos granulares
- TLS/HTTPS en todas las comunicaciones
- Almacenamiento inmutable WORM/Object Lock cuando proceda
- Firma digital JAdES-LTA
- Gestión segura de secretos
- Hashing Argon2id en el servidor de identidad
- Redacción de datos sensibles en logs
- Auditoría de operaciones y monitorización