Aviso de privacidad
Estado (v0.1.2 ACTIVE — 2026-05-01): Este aviso se publica con fines de transparencia durante las operaciones pre-MVP. La versión efectiva formal (v1.0) se publicará en los 30 días posteriores al go-live MVP, tras la firma del administrador-controlador corporativo (Vadim) conforme al art. 233-234 LSC. El contenido material aquí divulgado es autoritativo en sus disposiciones; los elementos pendientes (datos de contacto del DPD, NIF/Registro Mercantil) se señalan en línea.
Esta versión española es la versión jurisdiccionalmente primaria conforme a la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) art. 10 + interacción con la Agencia Española de Protección de Datos (AEPD). En caso de discrepancia interpretativa con la versión EN equivalente y para audiencias y autoridades en el territorio español, prevalecerá la versión española conforme al principio de derecho aplicable + lengua oficial española en jurisdicción española.
§1 — Datos que recopilamos
§1.1 Datos recopilados directamente (art. 13 RGPD)
Cuando usted interactúa con el sitio web genetichistory.es, Genetic History SLU (el «Responsable del tratamiento») recopila las siguientes categorías de datos personales:
A. Envíos del formulario de contacto (art. 13(1)(a)+(c)+(e); art. 13(2)(a) RGPD)
- Datos de identificación: nombre y apellidos, dirección de correo electrónico profesional, denominación de la empresa, función profesional
- Datos de contacto: número de teléfono (opcional), idioma preferido para la respuesta
- Contenido de texto libre: su consulta, preguntas técnicas, propuestas de asociación
- Metadatos técnicos: marca temporal del envío, dirección IP (registrada por motivos de seguridad y prevención de abusos conforme al art. 32 RGPD MTO), cadena de identificación del navegador (user-agent)
B. Datos relacionados con cuentas (en su caso, para integraciones con socios B2B post-MVP)
- Credenciales de cuenta (correo electrónico + hash de contraseña; nunca en texto plano conforme a la criptografía de NIVEL 4 AEPD-ISMS-APEP)
- Metadatos de integración: claves API (con hash), configuración de extremos, divulgación de cadena de subencargados
C. Datos técnicos y de analítica (art. 13(1)(c) RGPD + art. 22 LSSI-CE)
- Cookies estrictamente necesarias: identificador de sesión, token CSRF, cookie de preferencia lingüística (art. 6(1)(f) RGPD interés legítimo + exención de consentimiento conforme al art. 22 LSSI-CE + Dictamen 9/2014 EDPB)
- Cookies funcionales (desactivadas por defecto; opt-in a través del centro de preferencias de cookies conforme al mandato de opt-in activo de AEPD mayo 2024 + precedente Caixabank A-2 €6M+€2M + Directrices EDPB 5/2020 sobre consentimiento específico + prohibición del consentimiento agrupado del art. 7(4) RGPD): cookie de preferencia de interfaz de usuario, cookie de configuración de accesibilidad
- Cookies analíticas (DESACTIVADAS por defecto; activación por opt-in conforme a la Guía de Cookies AEPD de mayo de 2024 + precedente Caixabank A-2 €6M+€2M): patrones de tráfico agregado, analítica de flujo de páginas — alcance mínimo Wave 1
- Cookies de marketing/publicidad: NINGUNA en la arquitectura Wave 1; cualquier despliegue futuro requiere DPIA explícita + rediseño del banner de consentimiento
§1.2 Datos NO recopilados directamente (art. 14 RGPD — fuentes terceras)
Si Genetic History SLU le contacta como prospecto B2B mediante comunicación de outreach (correo electrónico, teléfono, seguimiento posterior a evento de empresa), y sus datos de contacto se obtuvieron de una fuente DISTINTA al formulario de contacto de este sitio web, esta nota constituye la divulgación exigida por el art. 14(1)+(2) RGPD en la primera comunicación conforme al art. 14(3)(b) RGPD:
- Categorías de fuentes (art. 14(2)(f) RGPD): registros públicos de empresas, plataformas profesionales de creación de redes (LinkedIn / Sales Navigator bajo suscripción de grado empresarial cuando proceda; conforme a memoria de feedback: NO utilizadas en Wave 1), listas de asistentes a conferencias del sector donde usted se inscribió públicamente, presentaciones por referencia de socios donde el referente confirmó su interés, listados públicos de mercados B2B (p. ej., directorios de socios de plataformas genómicas)
- Categorías de datos personales tratados (art. 14(1)(d) RGPD): nombre y apellidos, correo electrónico profesional, afiliación empresarial, función profesional
- Base jurídica (art. 14(1)(c) RGPD): art. 6(1)(f) RGPD interés legítimo (outreach a prospectos B2B dirigido a responsables de plataformas genómicas) — acompañado de Evaluación de Interés Legítimo (LIA) en archivo conforme al test de tres prongs ICO (finalidad / necesidad / ponderación) + interpretación restrictiva STJUE C-621/22 KNLTB
- Derecho de oposición (art. 14(2)(c) + art. 21 RGPD): usted puede oponerse en cualquier momento sin justificación conforme al art. 21(2) RGPD; cesaremos de inmediato todo tratamiento de marketing directo al recibir la oposición
- Especificidad de la fuente (conforme al precedente AEPD Marina Salud PS/00475/2021 €500K — exigencia de profundidad sustantiva; «fuentes públicamente disponibles» de manera vaga es inadecuada): a petición a través de los canales del §7, identificaremos la categoría específica de fuente de la cual se obtuvieron sus datos de contacto para cualquier comunicación de outreach individual.
§1.3 Destinatarios + subencargados (art. 13(1)(e) + art. 28 RGPD)
Destinatarios internos: personal corporativo de Genetic History SLU que actúa por instrucciones documentadas del Responsable del tratamiento (en la actualidad: Vadim, administrador único corporativo conforme al art. 233-234 LSC).
Subencargados divulgados conforme al art. 28(3) RGPD + precedente Marina Salud €500K de divulgación sustantiva:
| Subencargado | Función | Jurisdicción | Base del DPA |
|---|---|---|---|
| Scaleway SAS | Alojamiento de infraestructura en la nube (centro de datos Francia-UE, DC2 Vitry-sur-Seine, Val-de-Marne) | UE (Francia-UE, DC2 Vitry-sur-Seine, Val-de-Marne — área metropolitana de París) | DPA del art. 28(3) RGPD ejecutado; Cláusulas Contractuales Tipo Módulo 2 NO aplicables (sin transferencia a tercer país) |
| Resend (Resend.com Inc.) | Envío transaccional + outreach por correo | Región de enrutamiento de correo en la UE eu-west-1 (Irlanda; metadatos de cuenta + registros en EE. UU. según la documentación pública de Resend) | DPA del art. 28(3) RGPD ejecutado (efectivo 2025-12-31; 8 de 8 cláusulas verificadas 2026-04-30); Cláusulas Contractuales Tipo Módulo 2 para transferencia de metadatos a EE. UU. con monitorización permanente DPF/Schrems III |
| Sin subencargados de tercer país en Wave 1 | (la expansión de jurisdicción Wave 2+ podría introducir transferencias que requieran SCC conforme a los arts. 44-49 RGPD) | n/a | n/a |
YFull (proveedor de datos de árbol de haplogrupos) es un socio proveedor de datos en sentido ascendente bajo un acuerdo separado responsable-a-responsable; YFull NO trata sus datos de prospecto B2B y no es subencargado a efectos de esta nota.
§1.4 Conservación (art. 13(2)(a) RGPD)
| Categoría de datos | Plazo de conservación | Base jurídica |
|---|---|---|
| Envíos del formulario de contacto | 24 meses desde la última interacción (renovable por continuidad de relación comercial) | Art. 6(1)(f) RGPD interés legítimo en la continuidad de la relación comercial; art. 5(1)(e) RGPD principio de limitación del plazo de conservación |
| Credenciales de cuenta (socios B2B) | Duración de la asociación + 6 años post-terminación conforme a obligación legal de registro mercantil español | Art. 6(1)(c) RGPD obligación legal (Código de Comercio art. 30) |
| Registros técnicos (seguridad/abuso) | 12 meses desde la recopilación | Art. 6(1)(f) RGPD interés legítimo en la seguridad de la red |
| Datos analíticos agregados | 26 meses tras anonimización | Art. 6(1)(a) RGPD consentimiento + art. 5(1)(e) |
| Registros de opt-in de marketing por correo | Duración de la suscripción + 3 años post-oposición (conservación de prueba de consentimiento previo conforme a la guía de aplicación AEPD) | Art. 7(1) RGPD principio de demostrabilidad |
Nota sobre la retención mínima de 5 años de datos genéticos conforme a la Ley 14/2007 arts. 50-52: esta disposición NO se aplica a los datos recopilados a través de este sitio web. El tratamiento de datos genéticos (etiquetas de haplogrupos) se realiza exclusivamente del lado del servidor mediante la API de Genetic History bajo acuerdos separados responsable-a-responsable con plataformas cliente B2B (24Genetics, MyHeritage, etc.), aplicándose la disciplina de retención de la Ley 14/2007 en la capa de tratamiento de la API conforme a la arquitectura efímera-abstraída-solo-UE.
§2 — Base jurídica (marco art. 6(1) RGPD por flujo)
Conforme al art. 6 RGPD + art. 9 RGPD (cuando proceda) + art. 7 LOPDGDD, Genetic History SLU trata sus datos personales sobre las siguientes bases jurídicas, aplicadas por flujo:
| Flujo de tratamiento | Base jurídica | Interés legítimo específico perseguido (divulgación explícita art. 13(1)(d) RGPD) | Cita |
|---|---|---|---|
| Tratamiento del envío del formulario de contacto | Art. 6(1)(b) RGPD contrato / medidas precontractuales (su consulta constituye una solicitud para entablar una conversación de asociación B2B) | n/a (base art. 6(1)(b); no 6(1)(f)) | Art. 6(1)(b) RGPD |
| Creación de cuenta B2B + gestión de integración | Art. 6(1)(b) RGPD ejecución contractual + art. 6(1)(f) interés legítimo en la prestación del servicio | Continuidad en la prestación del servicio + gestión de integraciones para relaciones con socios B2B | Art. 6(1)(b)+(f) RGPD + art. 13(1)(d) |
| Cookies estrictamente necesarias | Art. 6(1)(f) RGPD interés legítimo + exención del art. 22 LSSI-CE para cookies estrictamente necesarias | Mantenimiento del estado de sesión + protección CSRF + disponibilidad del servicio | Art. 22 LSSI-CE + Dictamen 9/2014 EDPB + art. 13(1)(d) RGPD |
| Cookies funcionales + analíticas | Art. 6(1)(a) RGPD consentimiento (opt-in activo a través del centro de preferencias de cookies conforme a la Guía AEPD de mayo de 2024 + precedente Caixabank A-2 €6M+€2M) | n/a (base art. 6(1)(a); no 6(1)(f)) | Art. 6(1)(a) RGPD + art. 22 LSSI-CE |
| Outreach a prospectos B2B (datos no recopilados directamente) | Art. 6(1)(f) RGPD interés legítimo (outreach a prospectos B2B) + LIA en archivo conforme al test de tres prongs ICO | Outreach a prospectos B2B dirigido a responsables de plataformas genómicas (24Genetics, MyHeritage, LivingDNA, etc.) para conversación de asociación + investigación de mercado | Art. 6(1)(f) RGPD + Cdo. 47 + STJUE C-621/22 KNLTB + art. 13(1)(d) + art. 14(2)(b) |
| Seguridad + prevención del fraude | Art. 6(1)(f) RGPD interés legítimo en la integridad de la red y del servicio | Detección + mitigación de envíos fraudulentos, ataques de fuerza bruta de credenciales, abuso del formulario de contacto, scraping automatizado; conservación de registros de seguridad para respuesta ante incidentes | Art. 6(1)(f) + art. 32 RGPD + art. 13(1)(d) |
| Cumplimiento de obligaciones legales (registro, indagaciones de la autoridad) | Art. 6(1)(c) RGPD obligación legal (registro mercantil español + cooperación en investigaciones AEPD) | n/a (base art. 6(1)(c); no 6(1)(f)) | Art. 6(1)(c) RGPD + art. 30 Código de Comercio + art. 588 sept LECrim (cooperación con autoridad bajo orden judicial únicamente) |
Notas de disciplina:
- NO invocamos el art. 6(1)(f) RGPD interés legítimo como base para el tratamiento de datos de categoría especial del art. 9 RGPD; el art. 9(2)(a) RGPD consentimiento explícito es la única vía para cualquier tratamiento del art. 9 RGPD conforme a STJUE C-621/22 KNLTB + Directrices EDPB 1/2024.
- Cuando se invoca el art. 6(1)(f) RGPD, hay una LIA documentada en archivo conforme al test de tres prongs ICO (finalidad / necesidad / ponderación), disponible para los interesados a petición a través de los canales del §7. El interés legítimo específico perseguido se enumera en la 3.ª columna anterior conforme a la disciplina de divulgación explícita del art. 13(1)(d) RGPD.
§2.bis — Requisito legal o contractual (art. 13(2)(e) RGPD)
Conforme al art. 13(2)(e) RGPD, divulgamos explícitamente si el suministro de datos personales constituye un requisito legal o contractual, así como las consecuencias del incumplimiento del suministro de tales datos:
| Categoría de datos | ¿Obligatorio o voluntario? | Origen de la obligación | Consecuencias de la negativa a suministrar |
|---|---|---|---|
| Envíos del formulario de contacto (nombre, correo, empresa, función, texto de la consulta) | Voluntario (usted decide si lo envía) | Ni legal ni contractual — suministrado a su iniciativa con la finalidad de entablar una conversación de asociación B2B | Si no envía el formulario, no podremos responder a su consulta. Sin otra consecuencia. Conserva todos los derechos de acceso, navegación y uso del contenido público disponible en genetichistory.es sin necesidad de enviar ningún formulario. |
| Credenciales de cuenta B2B (correo + contraseña) post-MVP | Contractual para socios B2B que ejecutan acuerdo de asociación | Acuerdo bilateral de asociación B2B entre Genetic History SLU y el socio | Si declina suministrar credenciales de cuenta, no podremos establecer la integración con el socio B2B. Los términos de asociación quedan disponibles para nueva ejecución en cualquier momento. |
Datos de verificación de identidad (Campo 2 del formulario /legal/dsar-request/, sólo Nivel 3) | Condicional (exigido únicamente para solicitudes DSAR de riesgo ALTO) | Art. 12(2) RGPD principio de proporcionalidad en la verificación de identidad | Si declina suministrar la verificación de Nivel 3 de riesgo ALTO, podríamos no estar en condiciones de tramitar la solicitud DSAR de riesgo ALTO conforme al art. 12(6) RGPD (derecho del responsable a denegar la actuación cuando no pueda identificar al interesado); le explicaremos por escrito en el plazo de 1 mes conforme al art. 12(4) RGPD. Las solicitudes DSAR de riesgo BAJO y MEDIO NO requieren esta verificación. |
| Confirmación por correo para tramitación DSAR (Nivel 1 base) | Obligatorio para tramitación DSAR | Art. 12(2) RGPD verificación de identidad de base | Si no responde a la solicitud de verificación por correo en el plazo de 30 días, cerraremos el ticket DSAR sin tramitarlo conforme al art. 12(6) RGPD (no se puede identificar al interesado). Puede volver a enviar la solicitud DSAR en cualquier momento. |
| Consentimiento de cookies (opt-in analíticas + funcionales) | Voluntario | Art. 7 RGPD + art. 22 LSSI-CE | Si declina las cookies analíticas + funcionales, el sitio web sigue siendo plenamente funcional con cookies estrictamente necesarias únicamente; sin consecuencias para el acceso o el contenido. NO operamos un modelo «consent-or-pay» (véase §6.3). |
Nota de disciplina: esta divulgación implementa la transparencia explícita exigida por el art. 13(2)(e) RGPD. No solicitamos datos más allá de lo necesario para las finalidades divulgadas en el §2 anterior, conforme al principio de minimización de datos del art. 5(1)(c) RGPD.
§3 — Datos de categoría especial (determinación de aplicabilidad del art. 9 RGPD)
§3.1 NO APLICABILIDAD del art. 9 RGPD en la capa del sitio web
Genetic History SLU NO trata datos de categoría especial (art. 9 RGPD) a través de este sitio web. Específicamente:
- El sitio web recopila datos ordinarios de contacto B2B (nombre, correo, empresa, función, texto de la consulta) — ninguno de los cuales encaja en las categorías del art. 9(1) RGPD (origen racial/étnico, opiniones políticas, convicciones religioso-filosóficas, afiliación sindical, datos genéticos, datos biométricos para identificación unívoca, datos de salud, vida sexual, orientación sexual).
- Las inferencias derivables del contenido voluntario del texto de la consulta (p. ej., un prospecto que menciona el área de investigación de su empresa) NO se tratan como datos del art. 9 RGPD a menos que el prospecto designe expresamente el contenido como tal, en cuyo caso se aplica el tratamiento del art. 9(2)(a) RGPD consentimiento explícito.
§3.2 Calibración de posición
Articulamos esta posición de NO APLICABILIDAD con referencia explícita a las dos posiciones profesionalmente defendibles de calibración del art. 9 RGPD:
- Posición A (AEPD Restrictiva — Informe 0098/2022 + precedente Yoti €950K): trataría cualquier inferencia adyacente a ancestralidad o adyacente a salud de manera amplia como activador del art. 9 RGPD. La Posición A es la postura adecuada para escenarios de adyacencia clínica / sombra IVDR y escenarios de lenguaje literal de cara al cliente. NO se aplica en la capa del sitio web B2B porque no existe vía de inferencia desde los datos de contacto del prospecto B2B a ningún atributo del art. 9 RGPD.
- Posición B (EDPB Matizada — Dictamen 11/2024 + análisis de vía de inferencia STJUE C-621/22 KNLTB): los datos de ancestralidad únicamente o de relación B2B sin inferencia de implicación de salud quedan FUERA del art. 9 RGPD. La Posición B es la lectura principal para el alcance de tratamiento de datos de este sitio web.
Aplicamos la Posición B para los datos de prospectos B2B recopilados a través de este sitio web. Continuamos aplicando la Posición A (AEPD Restrictiva) en la capa de tratamiento de la API donde se procesan los datos de etiquetas de haplogrupos (datos genéticos del art. 4(13) RGPD por definición) bajo acuerdos separados responsable-a-responsable con plataformas cliente — cubierto por el correspondiente Acuerdo de Tratamiento de Datos, NO por esta nota del sitio web.
§3.3 Aclaración del alcance del tratamiento de datos genéticos
En caso de que usted, como prospecto B2B, también sea usuario final de un producto de ancestralidad genética ofrecido por una de nuestras plataformas cliente (p. ej., 24Genetics, MyHeritage, LivingDNA), el tratamiento de sus datos genéticos en ese producto se rige por el aviso de privacidad y flujo de consentimiento de la propia plataforma cliente, no por esta nota. Genetic History SLU actúa como encargado o subencargado en ese contexto conforme al acuerdo responsable-a-responsable / responsable-a-encargado divulgado en el DPA correspondiente.
§4 — Sus derechos (art. 15-22 RGPD + art. 64-69 LOPDGDD)
Usted tiene los siguientes derechos respecto a sus datos personales tratados por Genetic History SLU:
| Derecho | Artículo | Alcance |
|---|---|---|
| Derecho de acceso | Art. 15 RGPD + art. 13 LOPDGDD | Recibir copia de los datos personales objeto de tratamiento (reproducción fiel conforme a STJUE C-487/21 Österreichische Datenschutzbehörde); primera copia gratuita conforme a STJUE C-307/22 |
| Derecho de rectificación | Art. 16 RGPD | Corregir datos inexactos; completar datos incompletos |
| Derecho de supresión («derecho al olvido») | Art. 17 RGPD | Sujeto a las exenciones del art. 17(3) RGPD (obligación legal, interés público, reclamaciones legales); Nota: los datos sujetos a obligación legal de registro mercantil español conforme al art. 30 del Código de Comercio serán bloqueados en lugar de suprimidos conforme a la disciplina de resolución de conflictos del art. 32 LOPDGDD |
| Derecho a la limitación | Art. 18 RGPD | 4 motivos: exactitud impugnada / tratamiento ilícito + oposición a la supresión / ya no necesarios pero requeridos para reclamaciones legales / oposición pendiente de verificación |
| Derecho a la portabilidad de los datos | Art. 20 RGPD | Recibir los datos personales en formato estructurado, de uso común y de lectura mecánica (JSON/CSV) cuando se cumplan las condiciones del art. 20(1) RGPD |
| Derecho de oposición | Art. 21 RGPD | Oposición general por motivos de situación particular (art. 21(1)); oposición absoluta al marketing directo sin justificación (art. 21(2)) — explícito en la primera comunicación comercial conforme al art. 21(4) + Cdo. 47 |
| Derecho a no ser objeto de decisiones automatizadas | Art. 22 RGPD | Genetic History SLU NO realiza tratamiento del art. 22 RGPD ADM a través de este sitio web (interpretación restrictiva Schufa; la salida de la API de narrativa de ancestralidad del lado del servidor es informativa únicamente, sin efecto legal/significativo) |
| Derecho a retirar el consentimiento | Art. 7(3) RGPD + art. 13(2)(c) RGPD | Retirar el consentimiento en cualquier momento sin afectar a la licitud del tratamiento previo; igual facilidad que el opt-in (art. 22 LSSI-CE + Guía AEPD mayo 2024) |
| Derecho a presentar reclamación | Art. 13(2)(d) RGPD + art. 64 LOPDGDD | Presentar reclamación ante la Agencia Española de Protección de Datos (AEPD) en https://sedeagpd.gob.es/ (Sede Electrónica) o por correo a C/ Jorge Juan, 6, 28001 Madrid, España |
Cómo ejercer: véase §7 canales. Plazo de respuesta: en el plazo de 1 mes desde la recepción conforme al art. 12(3) RGPD; prorrogable por 2 meses adicionales para solicitudes complejas o numerosas con explicación conforme al segundo subpárrafo del art. 12(3) RGPD. El ejercicio es gratuito conforme al art. 12(5) RGPD, salvo en solicitudes manifiestamente infundadas o excesivas (excepción de tasa por abuso de derecho del art. 12(5) RGPD, de interpretación restrictiva).
§5 — Transferencias internacionales (arts. 44-49 RGPD)
Genetic History SLU opera una arquitectura de datos solo-UE en Wave 1. Ningún dato personal recopilado a través de este sitio web se transfiere fuera del Espacio Económico Europeo a la fecha efectiva de esta nota.
Si en una expansión jurisdiccional Wave 2+ futura, las transferencias a terceros países llegaran a ser necesarias, Genetic History SLU:
- Aplicará el marco del Capítulo V de los arts. 44-49 RGPD: decisión de adecuación (art. 45 RGPD) cuando esté disponible; Cláusulas Contractuales Tipo (Módulo 2 / Módulo 3 SCC conforme a la Decisión 2021/915) para relaciones de encargo; medidas suplementarias conforme al test de impacto de la transferencia (TIA) de 6 pasos Schrems II (STJUE C-311/18 + Recomendaciones EDPB 01/2020).
- Actualizará esta nota con antelación a cualquier transferencia, identificando el país de destino, el mecanismo de transferencia, las medidas suplementarias aplicadas y la conclusión del TIA.
- Mantendrá una revisión pre-transferencia escalonada por niveles de riesgo, incluyendo verificación por asesoría externa.
Postura Schrems III: el Marco de Privacidad de Datos UE-EE.UU. (DPF) está actualmente sujeto a validación pendiente del TJUE (Latombe T-553/23). Genetic History SLU no se basa actualmente en el DPF y solo evaluará cualquier acuerdo de transferencia futura con destino en EE.UU. tras la resolución de Schrems III y dictamen vinculante de asesoría externa.
§6 — Cookies + consentimiento
§6.1 Categorías de cookies (conforme al art. 22 LSSI-CE + Guía AEPD mayo 2024 + Dictamen 8/2024 EDPB)
| Categoría | Estado por defecto | Toggle | Base jurídica | Cookies en uso Wave 1 |
|---|---|---|---|---|
| Estrictamente necesarias | Activas | No pueden desactivarse | Art. 6(1)(f) RGPD + exención del art. 22 LSSI-CE para cookies estrictamente necesarias | ID de sesión (gestión de sesión del lado del servidor); token CSRF (seguridad); cookie de preferencia de idioma (funcional por defecto) |
| Funcionales | Desactivadas por defecto | Opt-in a través del centro de preferencias de cookies | Art. 6(1)(a) RGPD consentimiento (opt-in activo conforme a AEPD mayo 2024 + precedente Caixabank A-2 €6M+€2M + Directrices EDPB 5/2020 sobre consentimiento específico + prohibición del consentimiento agrupado del art. 7(4) RGPD) | Cookie de preferencia de interfaz; cookie de configuración de accesibilidad |
| Analíticas | Desactivadas por defecto | Opt-in vía centro de preferencias de cookies | Art. 6(1)(a) RGPD consentimiento (opt-in activo conforme a la Guía AEPD mayo 2024 + precedente Caixabank A-2 €6M+€2M) | Analítica de tráfico agregado de origen (Wave 1: mínima; proveedor específico TBD según especificación de Coder Fase 5) |
| Marketing / publicidad | NINGUNA Wave 1 | n/a | n/a (no desplegado) | Ninguna — la arquitectura Wave 1 excluye explícitamente las cookies de marketing/publicidad |
§6.2 Mecanismo de consentimiento (conforme a Caixabank A-2 + AEPD 2024 + Dictamen 8/2024 EDPB)
El banner de cookies mostrado en la primera visita a genetichistory.es presenta tres opciones igualmente prominentes:
- «Aceptar todas» — opt-in a todas las categorías conmutables
- «Rechazar todas» — rechazar todas las categorías conmutables (prominencia visual equivalente + paridad de posición conforme al precedente Caixabank)
- «Gestionar preferencias» — acceso a conmutación granular por categoría
Puede modificar sus preferencias de cookies en cualquier momento a través del centro de preferencias de cookies (enlace en el pie de página + a través de esta nota), con igual facilidad que el opt-in conforme al art. 22 LSSI-CE + Guía AEPD 2024. NO utilizamos casillas premarcadas (conforme a la Guía AEPD mayo 2024 + Caixabank A-2 mandato de opt-in activo).
§6.3 Postura «consent-or-pay»
Genetic History SLU NO opera un modelo «consent-or-pay». La negativa a las cookies analíticas o funcionales no restringe el acceso al contenido del sitio web conforme al marco matizado del Dictamen 8/2024 EDPB (la arquitectura Wave 1 cierra explícitamente la posibilidad consent-or-pay hasta dictamen vinculante de asesoría externa + finalización del marco EDPB).
§7 — DSAR + contacto del DPD
§7.1 Designación del Delegado de Protección de Datos
Conforme al art. 37(1)(c) RGPD + art. 34 LOPDGDD sector 11 (adyacencia a salud para la operación más amplia de tratamiento de datos genéticos de Genetic History SLU, incluida la API de Genetic History que procesa datos genéticos del art. 4(13) RGPD del lado del servidor), Genetic History SLU ha designado un Delegado de Protección de Datos.
Estado de designación del DPD (divulgación de transparencia v0.1):
- Postura interina pre-MVP: el contrato con DPD externo certificado por la AEPD está en curso; Vadim, como administrador-controlador corporativo conforme al art. 233-234 LSC, actúa como contacto principal de protección de datos durante la fase interina.
- Objetivo post-MVP: los datos de contacto del DPD externo se publicarán en la revisión v0.1.1+ de esta nota en el plazo de 30 días desde el contrato formal del DPD.
Contacto interino (contacto funcional del art. 13(1)(b) RGPD para consultas de protección de datos):
- Correo electrónico: privacy@genetichistory.es (TBD según especificación de despliegue de Coder Fase 5; correo publicado sujeto a verificación en go-live MVP 2026-05-05)
- Postal: TBD por Vadim conforme a publicación de la dirección de domicilio social en España
§7.2 Canales de solicitud de derechos (DSAR)
Para ejercer cualquiera de los derechos descritos en el §4:
- Formulario online:
/legal/dsar-request/(post-MVP; conforme al esqueleto UX WF-102 + estructura de 7 campos) - Correo electrónico: privacy@genetichistory.es (TBD según §7.1)
- Postal: TBD según §7.1
- Derecho a presentar reclamación ante la AEPD: véase §4 supra
§7.3 Verificación de identidad (art. 12(2) RGPD)
Para la tramitación DSAR, Genetic History SLU podrá solicitar información de verificación adicional proporcional al riesgo de la operación de tratamiento solicitada conforme al art. 12(2) RGPD + Directrices EDPB 01/2022:
- Solicitudes de bajo riesgo (p. ej., acceso al historial de envíos del formulario de contacto): confirmación por correo es suficiente
- Solicitudes de mayor riesgo (p. ej., supresión con impacto descendente, cambios de credenciales de cuenta): puede solicitarse verificación adicional de identidad conforme a la disciplina criptográfica de NIVEL 4 AEPD-ISMS-APEP
No impondremos cargas de verificación desproporcionadas; la verificación de identidad se calibra al riesgo del tratamiento conforme al principio de minimización de datos del art. 5(1)(c) RGPD.
§7.4 Plazo de respuesta
- Estándar: en el plazo de 1 mes desde la recepción conforme al art. 12(3) RGPD
- Extendido: hasta 2 meses adicionales para solicitudes complejas o numerosas, con explicación proporcionada en el período inicial de 1 mes
§7.5 Canales de escalado
Si usted, como interesado, considera que cualquier solicitud de protección de datos no se ha tratado adecuadamente a través de los canales anteriores, puede escalar mediante:
- Reclamación directa ante la AEPD (art. 13(2)(d) RGPD + art. 64 LOPDGDD) en https://sedeagpd.gob.es/
- Revisión judicial conforme a la LJCA (marco de tribunales contencioso-administrativos español) conforme al art. 65 LOPDGDD
§8 — Versión de la política + protocolo de actualización
§8.1 Registro de versiones
| Versión | Fecha | Resumen del cambio |
|---|---|---|
| v0.1 DRAFT | 2026-04-28 | Autoría inicial; borrador pre-MVP pendiente de firma de Vadim. |
| v0.1.1 ACTIVE | 2026-04-30 | Corrección factual de ubicación de Scaleway aplicada (§1.3 tabla de subencargados: Francia-UE / DC2 Paris). Postura de cumplimiento materialmente sin cambios: Francia ≈ España — ambos Estados miembros de la UE bajo RGPD + EDPB; base del DPA art. 28(3) idéntica. Versión española §9 ratificada como autoritativa conforme a LSSI-CE art. 10. |
| v0.1.2 ACTIVE | 2026-05-01 | Identidad del subencargado de envío de correo divulgada: Resend (Resend.com Inc.); región de enrutamiento de correo en la UE eu-west-1 (Irlanda) confirmada; DPA del art. 28(3) RGPD efectivo 2025-12-31 con 8 de 8 cláusulas verificadas según agents/coder/work/compliance/resend-dpa-verified.md. Cláusulas Contractuales Tipo Módulo 2 + postura de monitorización permanente DPF/Schrems III divulgadas para la transferencia de metadatos de cuenta a EE.UU. |
| v0.1.3 ACTIVE | 2026-05-06 | Precisión geográfica de la ubicación de Scaleway aplicada (§1.3 tabla de subencargados: «DC2 Paris» → «DC2 Vitry-sur-Seine, Val-de-Marne — área metropolitana de París»). Ubicación específica del centro de datos según Plan de Negocio §C §4.4 + §I §4 (auditoría externa de hechos primarios 2026-05-06). Postura de cumplimiento materialmente sin cambios: misma jurisdicción Francia-UE; base del DPA art. 28(3) idéntica; sin transferencia a tercer país. |
| v1.0 (objetivo post-MVP) | TBD post-MVP-go-live + 30 días | Datos de contacto del DPD finalizados; NIF / domicilio / Registro Mercantil publicados; primera versión efectiva tras despliegue Wave 1; sustituye a todos los DRAFTs v0.x. |
§8.2 Protocolo de actualización (art. 13 RGPD + art. 11(2) LOPDGDD)
- Actualizaciones materiales (cambios en categorías de datos recopilados, base jurídica, destinatarios, conservación o mecanismos de derechos): notificadas con al menos 30 días de antelación por correo electrónico a interesados con cuentas activas + a través de banner prominente en la página principal del sitio web; los interesados afectados podrán retirar el consentimiento o ejercer la oposición del art. 21 RGPD durante el período de notificación
- Actualizaciones no materiales (correcciones tipográficas, actualización de información de contacto, paridad de traducción): publicadas inmediatamente con entrada en el registro de versiones; sin notificación individual
- Cadencia de revisión anual: el aviso de privacidad se revisa como mínimo anualmente + en cada cambio regulatorio material (p. ej., actualización de la guía de aplicación AEPD, nueva publicación de Directrices EDPB, implicaciones de la entrada en vigor del Reglamento de IA de la UE 2026-08-02)
§8.3 Archivo de versiones efectivas
Las versiones efectivas previas de este Aviso de Privacidad se archivan en /legal/privacy-notice/archive/ y permanecen accesibles para consulta conforme a la disciplina de continuidad de transparencia del art. 13 RGPD (aplicación interpretativa del art. 11(2) LOPDGDD). Cada versión archivada conserva su sello de fecha efectiva + fecha de sustitución.