Responsable del tratamiento y delegado de protección de datos
El responsable del tratamiento de tus datos es la sociedad que edita y explota el servicio Sucesio. Para cualquier cuestión relacionada con la privacidad, puedes contactar con nuestro delegado de protección de datos (DPO).
Responsable del tratamiento
Sucesio SA, sociedad anónima, editor del servicio Sucesio (sucesio.io / app.sucesio.io). Dirección del domicilio social facilitada bajo petición.
Delegado de protección de datos
Para ejercer tus derechos o realizar cualquier consulta: dpo@sucesio.io. Nos comprometemos a responder en un plazo máximo de un mes.
Categorías de datos recopilados
Para hacer posible el servicio, Sucesio recopila las siguientes categorías de datos, facilitados voluntariamente por ti:
- Datos de identidad: nombre, apellidos, fecha de nacimiento, tipo y número de documento de identidad.
- Datos de contacto: dirección de correo electrónico, número de teléfono, país de residencia, idioma preferido.
- Datos patrimoniales: inventario de tus activos (cuentas bancarias, bienes inmuebles, criptoactivos, objetos, derechos intelectuales), pasivos (préstamos, deudas), adjuntos asociados.
- Datos relativos a tus allegados: nombre, correo electrónico, teléfono, vínculo familiar de tus herederos y de tu contacto de confianza. Esta recopilación se basa en el interés legítimo; garantizas haber informado a estas personas.
Finalidades del tratamiento
Tus datos se tratan únicamente para las siguientes finalidades:
- Prestarte el servicio de caja fuerte patrimonial digital: alojamiento cifrado, acceso personal, exportación, eliminación.
- Ejecutar el protocolo de transmisión post mortem: verificación periódica de presencia, escalado al contacto de confianza, transmisión a los herederos designados tras validación oficial del fallecimiento.
- Gestionar tu suscripción, facturación y atención al cliente.
- Garantizar la seguridad del servicio y prevenir el fraude: registro de accesos, detección de anomalías, conservación de un registro de auditoría inmutable.
- Enviarte, únicamente con tu consentimiento previo, granular y revocable, comunicaciones opcionales: consejos y buenas prácticas, novedades del producto, ofertas comerciales. Cada consentimiento es independiente de los demás y puede retirarse en cualquier momento desde tu espacio personal o desde el enlace de baja presente en cada email.
Base legal del tratamiento
Conforme al artículo 6 del RGPD, cada tratamiento se basa en alguna de las siguientes bases legales:
- Ejecución del contrato (art. 6.1.b): para la prestación del servicio, facturación, autenticación, protocolo de transmisión.
- Consentimiento (art. 6.1.a): para las comunicaciones opcionales (recordatorios mensuales de la caja fuerte, boletines), revocable en cualquier momento.
- Interés legítimo (art. 6.1.f): para la seguridad del servicio, prevención del fraude, mejora del producto (sin perfilado individual).
- Obligación legal (art. 6.1.c): para la conservación de los registros de auditoría con fines probatorios y de cumplimiento fiscal.
Puedes retirar tu consentimiento en cualquier momento desde tu espacio personal o escribiendo a dpo@sucesio.io. Esto no afecta la licitud de los tratamientos realizados antes de la retirada.
Destinatarios de los datos y encargados del tratamiento
Tus datos nunca se venden ni se ceden a terceros con fines comerciales. Pueden transmitirse a los siguientes destinatarios, estrictamente necesarios para la prestación del servicio:
- Equipo Sucesio habilitado: número reducido de personas sujetas a un compromiso de confidencialidad, con acceso limitado a las operaciones estrictamente necesarias (soporte, cumplimiento, validación manual de un certificado de defunción).
- Encargados del tratamiento (RGPD art. 28): Hetzner Cloud (Alemania) para el alojamiento, Scaleway (Francia) para las copias de seguridad cifradas, Resend para el envío de correos transaccionales, Clerk para la autenticación, Stripe para los pagos, Inngest para las tareas asíncronas.
- Tus herederos designados: únicamente tras tu fallecimiento, tras validación oficial por parte de nuestro equipo y tras el plazo de gracia de 30 días.
- Autoridades públicas: únicamente por requerimiento judicial u obligación legal formalmente establecida.
Transferencias fuera de la Unión Europea
Sucesio aplica una política estricta de alojamiento europeo. Ningún dato personal de caja fuerte se transfiere fuera del Espacio Económico Europeo (EEE):
- Servidores de aplicación: Hetzner Cloud, Alemania (Núremberg).
- Copias de seguridad cifradas: Scaleway Object Storage, Francia (París).
- Base de datos: auto-alojada en nuestros servidores en Alemania.
- Adjuntos (PDF, imágenes, audio, vídeo): almacenados cifrados en la misma infraestructura.
Plazo de conservación
Conservamos tus datos únicamente durante el tiempo necesario para las finalidades para las que se recopilaron:
- Datos de tu caja fuerte: mientras tu cuenta esté activa.
- Periodo de gracia post-eliminación: 30 días tras tu solicitud de eliminación, para permitirte cancelarla.
- Eliminación efectiva: transcurridos los 30 días, la totalidad de tus datos cifrados se borra de forma irreversible.
- Registros de auditoría anonimizados: conservados 10 años en Francia (artículo 2272 del Código Civil) y 5 años en España, sin datos personales identificables.
- Datos de facturación: 10 años conforme a las obligaciones contables y fiscales.
- Datos de transmisión post-mortem: los datos transmitidos a los herederos se eliminan 30 días después de la transmisión completa.
Una vez expirados estos plazos, tus datos se borran de forma segura o se anonimizan de manera irreversible.
Tus derechos y procedimiento de reclamación
Conforme al RGPD, dispones en todo momento de los siguientes derechos: acceso (art. 15), rectificación (art. 16), supresión (art. 17), limitación (art. 18), portabilidad (art. 20) y oposición (art. 21). Los derechos de acceso y supresión son directamente accesibles desde tu espacio personal, sección «Datos y privacidad» de «Mi cuenta».
Si resides en Francia
Puedes presentar una reclamación ante la Commission Nationale de l'Informatique et des Libertés (CNIL): www.cnil.fr, 3 place de Fontenoy, 75007 París.
Si resides en España
Puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es, C/ Jorge Juan, 6, 28001 Madrid.
Seguridad técnica y validación humana
Tus datos más sensibles (activos, mensajes, identificadores de herederos) se cifran con el algoritmo AES-256-GCM antes de su almacenamiento en base. La clave maestra de cada usuario está a su vez protegida por un protocolo criptográfico de umbrales (Shamir 2 de 3), garantizando que ningún actor por sí solo, incluido Sucesio, pueda acceder a tus datos sin el procedimiento completo de transmisión. Todas las conexiones están protegidas por HTTPS estricto (TLS 1.3), autenticación fuerte (contraseña + doble verificación 2FA TOTP opcional pero recomendada).
Nuestro compromiso diferenciador: la validación de cualquier certificado de defunción y el inicio de la transmisión se realizan manualmente por un operador humano habilitado de Sucesio, nunca por un algoritmo automático ni por una inteligencia artificial. Esta validación humana se acompaña de un periodo de gracia de 30 días, una verificación cruzada con los registros oficiales del estado civil y un registro de auditoría inmutable.
Modificaciones de la presente política
Esta política puede evolucionar para reflejar los cambios legales, técnicos u organizativos. Cualquier modificación sustancial se te notificará por correo electrónico al menos con 30 días de antelación a su entrada en vigor. La fecha de la última actualización figura en la parte superior de esta página.