Política de Privacidad
I. Responsable del Tratamiento
El tratamiento de datos personales en la Plataforma GESTEXLINK es realizado por dos responsables con roles diferenciados:
1.1 Responsable Técnico de la Plataforma (Operador Digital)
- Denominación: NexLink Hub S.L.U.
- CIF: B88756994
- Domicilio: Avenida Meridiana 320, 3º 6ª, 08027 Barcelona, España
- Email: privacidad@gestexlink.com
1.2 Responsable del Servicio Jurídico (Prestador Legal)
- Denominación: GESTEXPERT S.L.
- CIF: B55701668
- Domicilio: Avenida Diagonal, 468, Planta 8, 08006 Barcelona, España
- Email: privacidad@gestexpert.com
Nota sobre responsabilidad conjunta: En los supuestos en que ambas entidades determinen conjuntamente los fines y medios del tratamiento, actuarán como corresponsables del tratamiento (RGPD Art. 26), disponiendo de un acuerdo interno que establece las obligaciones respectivas. El usuario podrá ejercer sus derechos ante cualquiera de ellas.
II. Finalidades, Base Jurídica y Categorías de Datos Tratados
En función del área jurídica contratada y del servicio utilizado, GESTEXLINK trata los siguientes datos personales con las finalidades y bases jurídicas indicadas:
| Finalidad del Tratamiento | Categorías de Datos | Base Jurídica (RGPD) | Plazo de Conservación |
|---|---|---|---|
| Gestión del registro de usuarios y acceso a la Plataforma | Nombre, apellidos, email, contraseña (hash), idioma preferido, IP de acceso | Art. 6.1.b) — Ejecución de contrato | Durante la vigencia del contrato + 3 años tras baja |
| Prestación de servicios jurídicos (Derecho Corporativo, Fiscal, Laboral, Civil) | Documentación corporativa, NIFs, poderes notariales, contratos, información financiera, datos del caso | Art. 6.1.b) — Ejecución de contrato | Durante la relación + 5 años (prescripción mercantil) o 15 años (prescripción civil) |
| Servicios de Extranjería e Inmigración | Pasaporte, NIE/TIE, documentación migratoria, situación familiar, datos de nacimiento y nacionalidad | Art. 6.1.b) — Ejecución de contrato | Durante la relación + 5 años |
| Gestión de expedientes de litigación (procedimientos judiciales o arbitrales) | Información procesal, antecedentes, documentos del expediente judicial | Art. 6.1.b) y Art. 6.1.c) — Ejecución de contrato + obligación legal | Hasta resolución firme + 5 años |
| Propiedad Intelectual e Industrial — registro y defensa | Datos del titular, documentación técnica de la obra/invención, datos de terceros en litigios de infracción | Art. 6.1.b) — Ejecución de contrato | Vida útil del registro + 10 años |
| Cumplimiento de obligaciones legales (contabilidad, fiscalidad, LSSI-CE) | Datos de facturación, NIF, dirección fiscal, importe de servicios | Art. 6.1.c) — Obligación legal | 6 años (Código de Comercio) / 4 años (AEAT) |
| Comunicaciones comerciales y newsletter (con consentimiento previo) | Email, nombre, preferencias de servicio, idioma | Art. 6.1.a) — Consentimiento | Hasta revocación del consentimiento |
| Análisis de uso de la Plataforma (mejora del servicio) | Datos de navegación, cookies de análisis (sujetos a consentimiento), origen del tráfico (QR, web, app) | Art. 6.1.f) — Interés legítimo / Art. 6.1.a) — Consentimiento | 25 meses máximo (CNIL/AEPD guidelines) |
III. Datos de Categorías Especiales
En determinados supuestos, la prestación de servicios jurídicos puede implicar el tratamiento de datos de categorías especiales en el sentido del RGPD, Artículo 9, así como datos relativos a condenas e infracciones penales conforme al RGPD, Artículo 10.
3.1 Datos relativos a Procedimientos Judiciales y Registros Penales (RGPD Art. 10)
En el contexto de servicios de litigación penal o defensas jurídicas que impliquen información sobre condenas o infracciones penales, GESTEXPERT S.L. aplica las siguientes medidas de seguridad reforzadas:
- Cifrado de extremo a extremo (AES-256) en almacenamiento y transmisión.
- Acceso restringido a abogados y profesionales jurídicos habilitados vinculados al expediente.
- Registro de accesos y auditoría de operaciones sobre datos especialmente sensibles.
- Seudonimización de datos en entornos de prueba y desarrollo tecnológico.
3.2 Datos Civiles y Corporativos Sensibles (Contratos, NIFs, Activos Financieros)
Los contratos mercantiles, escrituras de constitución, información de accionariado, balances financieros y NIFs de personas físicas vinculadas a personas jurídicas son tratados bajo el principio de minimización de datos (RGPD Art. 5.1.c) y se conservan exclusivamente durante el tiempo necesario para la prestación del servicio.
3.3 Propiedad Intelectual y Transmisión NDA
La documentación técnica, prototipos, obras inéditas, memorias de patente y cualquier información cubierta por acuerdos de no divulgación (NDA) se transmite a través de canales cifrados TLS 1.3 y se almacena en sistemas de gestión documental con acceso controlado y registrado.
IV. Destinatarios y Transferencias Internacionales de Datos
4.1 Destinatarios
Los datos personales no serán cedidos a terceros salvo en los siguientes supuestos:
- Obligación legal: Administraciones Públicas, órganos judiciales, Agencia Tributaria, Seguridad Social u otras autoridades competentes, cuando así lo exija la normativa aplicable.
- Encargados del tratamiento: Proveedores tecnológicos que actúan como encargados del tratamiento (cloud hosting, correo electrónico transaccional, herramientas de análisis) bajo contrato conforme al RGPD Art. 28, garantizando medidas de seguridad adecuadas.
- Abogados colaboradores: Profesionales colegiados vinculados a la Plataforma que actúan como responsables independientes del tratamiento para la gestión de su expediente jurídico específico.
4.2 Transferencias Internacionales
Como regla general, los datos personales son procesados y almacenados en servidores ubicados dentro del Espacio Económico Europeo (EEE). En el supuesto de que sea necesaria una transferencia internacional de datos a un tercer país fuera del EEE, se garantizará que dicha transferencia se realice conforme a las salvaguardas adecuadas establecidas en el Capítulo V del RGPD, incluyendo Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
V. Plazos de Conservación
Los datos personales serán conservados durante el tiempo mínimo necesario para la prestación del servicio contratado y, posteriormente, durante los plazos de prescripción aplicables según la normativa vigente, a efectos de atender posibles responsabilidades.
Con carácter general, y sin perjuicio de los plazos específicos indicados en la tabla del apartado II:
- Datos de contratación de servicios: 5 años desde la última prestación (prescripción de acciones personales, Art. 1964 CC).
- Datos de facturación y contabilidad: 6 años (Art. 30 Código de Comercio).
- Datos tributarios: 4 años (Art. 66 Ley 58/2003 General Tributaria).
- Datos de prevención de blanqueo de capitales: 10 años (Ley 10/2010).
- Datos con consentimiento (marketing): hasta la revocación del consentimiento.
VI. Derechos del Interesado
En virtud del RGPD y la LOPDGDD, el interesado tiene derecho a ejercer los siguientes derechos respecto al tratamiento de sus datos personales:
📋 Acceso (Art. 15)
Obtener confirmación de si se tratan datos personales que le conciernen y acceder a los mismos.
✏️ Rectificación (Art. 16)
Solicitar la corrección de datos personales inexactos o incompletos sin dilación indebida.
🗑️ Supresión (Art. 17)
Solicitar la supresión de sus datos cuando, entre otros motivos, ya no sean necesarios para la finalidad que motivó su recogida.
⏸️ Limitación (Art. 18)
Solicitar la limitación del tratamiento en determinadas circunstancias previstas en el RGPD.
📦 Portabilidad (Art. 20)
Recibir los datos personales en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
🚫 Oposición (Art. 21)
Oponerse al tratamiento de sus datos en determinadas circunstancias, incluyendo la elaboración de perfiles.
Para ejercer cualquiera de estos derechos, el interesado puede dirigirse por escrito a privacidad@gestexlink.com, adjuntando copia de su documento de identidad. Dispondrá de respuesta en el plazo máximo de un mes desde la recepción de la solicitud, prorrogable hasta tres meses en casos de especial complejidad.
Asimismo, tiene derecho a presentar una reclamación ante la autoridad de control competente:
- España: Agencia Española de Protección de Datos (AEPD) — www.aepd.es
- UE: La autoridad de protección de datos del Estado miembro de residencia habitual del interesado.
VII. Política de Cookies
La Plataforma GESTEXLINK utiliza cookies y tecnologías similares de seguimiento de conformidad con la Directiva ePrivacy (2002/58/CE) y el RGPD.
7.1 Cookies Estrictamente Necesarias
Estas cookies son imprescindibles para el funcionamiento de la Plataforma y no pueden ser desactivadas. No almacenan información identificable. Incluyen:
- Sesión de usuario: Mantenimiento de la sesión autenticada.
- CSRF token: Protección contra ataques de falsificación de solicitudes entre sitios.
- Preferencia de idioma: Cookie de idioma seleccionado (localStorage, no cookie).
7.2 Cookies de Análisis (Sujetas a Consentimiento)
Solo se instalarán con el consentimiento previo e informado del usuario.
Permiten analizar el uso de la Plataforma para mejorar el servicio.
El origen del tráfico (incluyendo visitas procedentes de códigos QR con parámetro
?origin=qr) puede ser analizado de forma agregada y anonimizada.
7.3 Gestión de Cookies
El usuario puede gestionar, bloquear o eliminar las cookies instaladas a través de la configuración de su navegador. La desactivación de cookies no estrictamente necesarias no afectará al funcionamiento esencial de la Plataforma.
La Plataforma incluye un banner de consentimiento de cookies en la primera
visita, conforme a las directrices de la AEPD. El usuario puede aceptar o rechazar las
cookies no esenciales. La preferencia queda guardada en localStorage bajo la
clave gestexlink_cookies y puede modificarse en cualquier momento.
Para más información, consulte la
Política de Cookies.
VIII. Medidas de Seguridad
De conformidad con el RGPD, Artículo 32, NexLink Hub S.L.U. y GESTEXPERT S.L. han implantado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo entre otras:
- Cifrado de datos en tránsito mediante TLS 1.3.
- Cifrado de datos en reposo (AES-256) para documentación jurídica sensible.
- Autenticación de doble factor (2FA) para acceso a expedientes jurídicos.
- Controles de acceso basados en roles (RBAC) con principio de mínimo privilegio.
- Registro de auditoría (audit log) de todas las operaciones sobre datos personales.
- Procedimiento de gestión de brechas de seguridad con notificación a la AEPD en 72 horas.
- Evaluaciones periódicas de impacto relativas a la protección de datos (EIPD/DPIA) para tratamientos de alto riesgo.
- Servidores alojados en centros de datos certificados ISO 27001 dentro del EEE.
IX. Menores de Edad
Los servicios de la Plataforma GESTEXLINK están dirigidos exclusivamente a personas mayores de 16 años. De conformidad con el RGPD Art. 8 y la LOPDGDD Art. 7, si el responsable del tratamiento tiene conocimiento de que ha recabado datos personales de menores de 16 años sin el consentimiento verificable del titular de la patria potestad o tutela, procederá a la supresión inmediata de dichos datos.
X. Cambios en la Política de Privacidad
La presente Política de Privacidad podrá ser modificada para adaptarse a cambios legislativos, jurisprudenciales, o de práctica de la Plataforma. Toda modificación sustancial será comunicada al usuario registrado a través del correo electrónico proporcionado, con antelación mínima de 30 días a su entrada en vigor.
El uso continuado de la Plataforma tras la entrada en vigor de la nueva versión implicará la aceptación de la misma.
XI. Contacto y Delegado de Protección de Datos
Para cualquier consulta relativa al tratamiento de sus datos personales o al ejercicio de sus derechos, puede contactar con:
- Email de privacidad: privacidad@gestexlink.com
- Email legal: legal@gestexlink.com
- Delegado de Protección de Datos (DPO): dpo@gestexlink.com — Responsable de Cumplimiento de Protección de Datos de NexLink Hub S.L.U. y GESTEXPERT S.L.
Para reclamaciones ante la autoridad supervisora española: Agencia Española de Protección de Datos (AEPD) — www.aepd.es