Información legal
Política de privacidad
Información detallada sobre qué datos personales trata MyWorkingArea, para qué los utiliza, durante cuánto tiempo y cómo ejercer tus derechos.
1. Responsable y contacto
- Titular o razón social
- Sergio Moreno Garcia
- NIF
- 77757043T
- Domicilio
- Avd. Doctor Fleming, 25 1A. 30110 Murcia (Murcia, Spain)
- Contacto
- CAMBIAR_EMAIL_LEGAL
El responsable es quien determina los fines y medios del tratamiento descrito en esta política. Si se ha designado un delegado de protección de datos, su contacto figura arriba; en otro caso puedes ejercer tus derechos en CAMBIAR_EMAIL_LEGAL.
2. Alcance, origen y categorías de datos
La política se aplica al sitio, las cuentas, el formulario de contacto, las herramientas de archivos, la analítica opcional y la publicidad. Obtenemos los datos directamente de ti, de tu uso técnico del servicio y, cuando lo autorizas, de los proveedores de medición o publicidad.
Actualmente las herramientas se ofrecen sin coste y el servicio se financia con publicidad. No solicitamos ni tratamos datos fiscales, de cobro o de facturación a través del área de usuario.
- Cuenta y perfil: correo, estado y fecha de verificación, contraseña derivada criptográficamente, nombre, apellidos, teléfono, idioma, favoritos, aceptaciones y preferencias. Para activar la cuenta y recuperar el acceso tratamos tokens aleatorios de un solo uso, almacenados únicamente como hash, y su fecha de caducidad.
- Contacto: nombre, correo, asunto, mensaje, idioma, token antiabuso y dirección IP usada para limitar envíos y validar Turnstile.
- Uso y seguridad: identificadores de sesión, fecha y hora, dirección IP, cabeceras técnicas, errores, herramienta ejecutada, estado del trabajo y registros necesarios para seguridad y diagnóstico.
- Archivos: contenido, nombre saneado, opciones elegidas y resultado, únicamente para ejecutar la operación solicitada.
- Analítica y publicidad opcionales: páginas, referente, navegador, dispositivo, sistema, idioma, resolución, ubicación aproximada derivada de la IP, identificadores publicitarios e interacción con anuncios, según el consentimiento y la configuración del proveedor.
No solicitamos categorías especiales de datos ni datos penales. No subas información sanitaria, biométrica, ideológica, sindical, sexual, penal o de menores salvo que tengas una base jurídica suficiente y el servicio esté expresamente preparado para ese tratamiento.
3. Finalidades, bases jurídicas y conservación
| Tratamiento | Finalidad y base jurídica | Conservación |
|---|---|---|
| Cuenta, perfil, favoritos, verificación y sesiones | Crear y administrar la cuenta, comprobar que el correo pertenece al usuario, enviar avisos transaccionales y recuperar el acceso: ejecución del contrato o medidas precontractuales. Seguridad y prevención de abuso: interés legítimo. | Mientras la cuenta esté activa. Tras su supresión, solo se bloquearán los datos imprescindibles durante los plazos de prescripción aplicables, normalmente hasta cinco años. Las sesiones caducan a los 30 días como máximo; el token de activación, a las 8 horas; y el de recuperación, a los 30 minutos. Los tokens se eliminan al usarse o sustituirse y los caducados se depuran automáticamente al generarse nuevos tokens. |
| Procesamiento de archivos | Ejecutar la herramienta elegida y entregar el resultado: ejecución del contrato o de la solicitud del usuario. | Las entradas se eliminan al terminar correctamente el procesamiento. Si está activo el borrado inmediato, el resultado se elimina después de completar la descarga; una descarga interrumpida lo conserva para reintentar. Los resultados no descargados, los fallidos y los conservados temporalmente caducan a las 2 horas y una limpieza de seguridad se ejecuta cada 15 minutos. |
| Consultas y soporte | Responder la solicitud: medidas precontractuales o interés legítimo en atender y documentar consultas. | Hasta doce meses desde la última comunicación; después, bloqueados solo si son necesarios para formular, ejercer o defender reclamaciones. |
| Comunicaciones comerciales | Consentimiento específico y revocable. La prestación del servicio no se condiciona a aceptarlas. | Hasta retirar el consentimiento o solicitar la supresión; se conserva una lista mínima de exclusión para respetar la baja. |
| Umami | Medir y mejorar el sitio: consentimiento. | Hasta 13 meses, conforme a la retención configurada en la instancia, o antes si retiras el consentimiento. |
| Google AdSense | Mostrar, limitar, personalizar y medir publicidad según las decisiones expresadas en la CMP certificada de Google. | La indicada para cada proveedor y finalidad en la CMP. Google aplica la retirada a las solicitudes posteriores; el interruptor general de MyWorkingArea elimina la etiqueta y las nuevas solicitudes al recargar. |
Los plazos pueden ampliarse cuando exista una obligación legal, una investigación de seguridad o una reclamación abierta. En ese caso los datos quedan limitados a esa finalidad.
4. Cómo se procesan los archivos
Los archivos se almacenan temporalmente en el volumen privado de la API de la herramienta y se procesan de forma automatizada. La Web actúa como proxy hacia esa API: el navegador recibe una ruta de MyWorkingArea con un identificador UUID aleatorio y nunca una ruta del sistema de archivos. Antes de transmitirlo, la API reserva el resultado mediante un renombrado atómico para impedir descargas simultáneas del mismo archivo.
Cuando el envío termina sin error, la API elimina asíncronamente todo el directorio temporal. Si la conexión se interrumpe, restaura el resultado para que pueda reintentarse. No utilizamos los archivos para entrenar modelos, perfilarte, mostrar publicidad ni crear bibliotecas de contenido; tampoco se envían a PostgreSQL, Umami o Google AdSense.
Si actúas profesionalmente y los archivos contienen datos personales de clientes, empleados u otras personas, debes contar con base jurídica y cumplir tus propias obligaciones. No utilices el servicio como encargado para tratamientos empresariales de terceros hasta haber formalizado, cuando proceda, un acuerdo de encargo conforme al artículo 28 del RGPD.
5. Destinatarios y proveedores
- Alojamiento e infraestructura: IONOS Cloud S.L.U. (VPS administrado por MyWorkingArea; centro de datos en España).
- Base de datos gestionada: Supabase, Inc. (PostgreSQL gestionado sobre Amazon Web Services; región eu-west-1, Irlanda); aloja cuentas, sesiones, preferencias y configuración, pero no el contenido de los archivos procesados.
- Correo transaccional y soporte: proveedor pendiente de identificar antes de activar registros, recuperación de acceso, formularios o comunicaciones; recibe la dirección, asunto y contenido imprescindibles para entregar cada mensaje.
- Analítica: Umami Analytics autoalojado y administrado por MyWorkingArea en infraestructura de IONOS Cloud S.L.U. (España); solo tras consentimiento.
- Protección antiabuso: Cloudflare Turnstile, que recibe el token y la IP necesarios para verificar el envío.
- Publicidad: Google Ireland Limited y los proveedores seleccionados en la CMP de Google, conforme a las opciones elegidas; la personalización y las finalidades que la requieran solo se activan tras el consentimiento.
También podrán comunicarse datos a administraciones, autoridades, juzgados o profesionales cuando exista obligación legal o sea necesario para una reclamación. No vendemos datos personales.
6. Transferencias internacionales
Algunos proveedores, especialmente Google, Cloudflare o el proveedor de base de datos elegido, pueden tratar datos fuera del Espacio Económico Europeo. Cuando ocurra, el responsable exigirá una decisión de adecuación, cláusulas contractuales tipo u otra garantía válida, además de las medidas complementarias que procedan. Puedes solicitar información o una copia de las garantías escribiendo al contacto legal. Antes de activar un proveedor, el titular debe verificar y documentar su ubicación, contrato, subencargados y mecanismo de transferencia.
7. Tus derechos
Puedes solicitar gratuitamente acceso, rectificación, supresión, oposición, limitación y portabilidad, y retirar cualquier consentimiento sin afectar al tratamiento previo. También puedes oponerte a decisiones individuales automatizadas. Responderemos, con carácter general, en un mes; el plazo puede ampliarse otros dos meses si la solicitud es compleja, informándote del motivo.
Envía la solicitud al contacto del responsable, indicando el derecho que deseas ejercer y la información necesaria para localizar tus datos. Solo pediremos acreditación adicional de identidad cuando existan dudas razonables. Si no quedas conforme, puedes reclamar ante la Agencia Española de Protección de Datos.
8. Datos obligatorios, menores y decisiones automatizadas
Los campos marcados como obligatorios son necesarios para crear la cuenta o responder una consulta. Si no facilitas los datos necesarios, no podremos completar esa solicitud.
Los menores de 14 años no pueden crear una cuenta ni consentir tratamientos opcionales por sí solos. Entre 14 y 17 años deben contar con la autorización de sus representantes cuando la ley o la naturaleza del contrato lo exijan. No diseñamos publicidad personalizada ni herramientas de archivo para menores.
MyWorkingArea no adopta decisiones automatizadas que produzcan efectos jurídicos o similares sobre el usuario. Google puede realizar personalización publicitaria si se autoriza en su CMP; puedes rechazarla o retirarla sin perder acceso a las herramientas esenciales.
9. Seguridad, brechas y cambios
Aplicamos minimización, control de acceso, contraseñas derivadas, sesiones HttpOnly, cifrado de secretos, tokens de cuenta aleatorios almacenados como hash, identificadores de descarga de alta entropía, volúmenes privados, reserva atómica del resultado, descarga mediante proxy, límites de intentos, enlaces de un solo uso, segregación de servicios y borrado periódico. Al restablecer la contraseña cerramos las sesiones anteriores y enviamos un aviso al correo de la cuenta. Ninguna medida elimina por completo el riesgo. Si una brecha de datos presenta riesgo, se notificará a la autoridad competente sin dilación indebida y, cuando corresponda, a las personas afectadas.
Actualizaremos esta política cuando cambien finalidades, proveedores o servicios. Los cambios materiales se comunicarán y, cuando requieran un nuevo consentimiento, no se aplicarán hasta obtenerlo.