Política de Protección de Datos
De conformidad con el artículo 30 del Reglamento General de Protección de Datos (RGPD), ARANOVA mantiene el siguiente registro de actividades de tratamiento de datos personales realizadas en el marco de la prestación del servicio Aprendly.
1. Registro de Actividades de Tratamiento
1.1 Tratamiento: Gestión de cuentas de usuario
| Campo | Detalle |
|---|---|
| Responsable | ARANOVA, undefined, Plaza Fonz 4, local 1 |
| Finalidad | Registro, autenticación y gestión de cuentas de usuario en la plataforma |
| Categorías de interesados | Usuarios registrados de Aprendly |
| Categorías de datos | Nombre, email, contraseña (hash), datos de perfil |
| Base jurídica | Ejecución de contrato (Art. 6.1.b RGPD) |
| Plazo de supresión | Durante la vigencia de la cuenta + 30 días tras la cancelación |
| Destinatarios | Proveedores de infraestructura cloud (encargados del tratamiento) |
1.2 Tratamiento: Facturación y gestión de pagos
| Campo | Detalle |
|---|---|
| Responsable | ARANOVA, undefined, Plaza Fonz 4, local 1 |
| Finalidad | Emisión de facturas, gestión de cobros y cumplimiento de obligaciones fiscales |
| Categorías de interesados | Clientes con suscripción activa |
| Categorías de datos | Nombre/razón social, NIF, dirección de facturación, datos de pago |
| Base jurídica | Obligación legal (Art. 6.1.c RGPD) y ejecución de contrato (Art. 6.1.b RGPD) |
| Plazo de supresión | 5 años (obligación fiscal en España) |
| Destinatarios | Entidades financieras, pasarelas de pago (Stripe), asesoría fiscal |
1.3 Tratamiento: Seguridad y logs
| Campo | Detalle |
|---|---|
| Responsable | ARANOVA, undefined, Plaza Fonz 4, local 1 |
| Finalidad | Monitorización de seguridad, detección de intrusiones y prevención de fraude |
| Categorías de interesados | Todos los visitantes y usuarios de la plataforma |
| Categorías de datos | Dirección IP, timestamp, user-agent, URL solicitada, código de respuesta |
| Base jurídica | Interés legítimo (Art. 6.1.f RGPD) |
| Plazo de supresión | 1 año |
| Destinatarios | Proveedores de infraestructura cloud y servicios de monitorización |
1.4 Tratamiento: Análisis de uso
| Campo | Detalle |
|---|---|
| Responsable | ARANOVA, undefined, Plaza Fonz 4, local 1 |
| Finalidad | Análisis estadístico del uso de la plataforma para mejora del servicio |
| Categorías de interesados | Usuarios que han dado su consentimiento |
| Categorías de datos | Datos de navegación anonimizados, eventos de interacción |
| Base jurídica | Consentimiento (Art. 6.1.a RGPD) |
| Plazo de supresión | 2 años |
| Destinatarios | Google LLC (Google Analytics) |
2. Medidas de Protección de Datos
2.1 Privacidad desde el diseño (Art. 25 RGPD)
- Minimización de datos: Solo recopilamos los datos estrictamente necesarios para cada finalidad.
- Limitación de la finalidad: Los datos se utilizan exclusivamente para las finalidades declaradas.
- Transparencia: Los usuarios son informados de todos los tratamientos a través de la Política de Privacidad.
2.2 Seguridad del tratamiento (Art. 32 RGPD)
Véase la Política de Seguridad de la Información para el detalle completo de las medidas técnicas y organizativas implementadas.
2.3 Evaluación de Impacto (EIPD)
Se realiza una Evaluación de Impacto en Protección de Datos para cualquier nuevo tratamiento que suponga un alto riesgo para los derechos y libertades de los interesados, en particular aquellos que impliquen el uso de nuevas tecnologías.
2.4 Notificación de brechas (Art. 33-34 RGPD)
En caso de violación de la seguridad de los datos personales, ARANOVA notificará a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas. Si la violación entraña un alto riesgo para los derechos y libertades de los usuarios, se les notificará sin dilación indebida.
3. Subencargados del Tratamiento
| Proveedor | Servicio | Ubicación | Garantías |
|---|---|---|---|
| Arsys Internet S.L. | Infraestructura cloud principal y alojamiento | España | RGPD (jurisdicción UE) |
| Amazon Web Services (AWS) | Infraestructura cloud secundaria — almacenamiento S3 de imágenes con CDN y copias de seguridad | España (eu-south-2) | SCC + certificación GDPR |
| Google Cloud Platform | Infraestructura cloud secundaria — BigData (Cloud Storage, BigQuery) y autenticación OAuth | España (región europea) | SCC + certificación GDPR |
| Stripe Inc. | Procesamiento de pagos con tarjeta | EE.UU. | SCC + DPF |
| Redsys Servicios de Procesamiento S.L. | Procesamiento de pagos con tarjeta (pasarela bancaria española) | España | RGPD (jurisdicción UE) |
| Google LLC | Analítica web (Google Analytics) | EE.UU. | SCC + DPF |
Todos los subencargados del tratamiento han suscrito las correspondientes Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, o están sujetos a la jurisdicción de la UE en el caso de proveedores europeos (Arsys y Redsys). El sistema de notificaciones es propio y está sujeto a las mismas medidas de seguridad y políticas aquí descritas.
4. Delegado de Protección de Datos
El Delegado de Protección de Datos (DPO) de ARANOVA puede ser contactado a través del correo electrónico info@aprendly.es, indicando en el asunto "A la atención del DPO".
5. Revisión
Esta política se revisa anualmente o cuando se produzcan cambios significativos en los tratamientos de datos. Última revisión: 20 de junio de 2026.