Política de privacidad · GDPR

Política de privacidad

Última actualización: 11 de mayo de 2026

Resumen: Validq recoge únicamente los datos mínimos necesarios para operar el servicio (email, contraseña hash, historial de análisis). No vendemos datos a terceros. Cumplimos GDPR.

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es Alejandro Igual Gutiérrez, operador de Validq. Contacto: [email protected].

El servicio está en fase beta privada. Los datos del responsable de tratamiento se actualizarán cuando el servicio pase a explotación comercial completa.

2. Marco legal aplicable

Esta política cumple con:

Reglamento (UE) 2016/679 (GDPR).
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE).

3. Datos que recogemos

3.1. Datos de cuenta

Email: identificador único de la cuenta.
Contraseña: almacenada únicamente como hash bcrypt (no recuperable).
Nombre (opcional): si lo proporcionas.
Plan suscrito: free, basic, pro, trader, enterprise.

3.2. Datos de uso

Historial de análisis: tickers analizados, fecha, score resultante.
Watchlist: tickers que has añadido a tu lista personal.
Alertas configuradas: si las creas.

3.3. Datos técnicos

Dirección IP: registrada en logs de servidor (retención 30 días) para seguridad y rate limiting.
User agent: navegador y sistema operativo.
Cookies técnicas: token JWT de sesión (localStorage) y preferencia de tema (dark/light).

3.4. Datos de facturación (si te suscribes)

El procesamiento de pagos lo gestiona LemonSqueezy (Merchant of Record). Validq no almacena datos de tarjeta de crédito. Recibimos de LemonSqueezy únicamente:

ID de suscripción.
Estado (activo, cancelado).
Email del cliente (igual al de la cuenta).
Variante de plan (basic/pro/trader/enterprise).

Consulta la política de privacidad de LemonSqueezy ↗ para datos que ellos procesan.

4. Datos que NO recogemos

NO usamos cookies de tracking de terceros (Google Analytics, Facebook Pixel, etc.) en la versión actual.
NO recogemos datos de tu cartera real (Validq no se conecta a brokers).
NO accedemos a tu correo, contactos ni datos del dispositivo.
NO realizamos profiling automatizado con efectos jurídicos.

5. Finalidad del tratamiento

Prestación del servicio: ejecutar análisis, mostrar historial, gestionar watchlist.
Facturación: gestionar suscripciones a través de LemonSqueezy.
Comunicaciones operativas: confirmaciones de cuenta, recuperación de contraseña, avisos de seguridad.
Mejora del producto: análisis agregados y anonimizados de uso (qué features se usan, qué endpoints fallan).
Cumplimiento legal: facturas, registros fiscales, requerimientos de autoridades.

6. Base legal del tratamiento

Ejecución del contrato: para prestar el servicio que has solicitado al registrarte (art. 6.1.b GDPR).
Cumplimiento legal: para obligaciones fiscales y contables (art. 6.1.c GDPR).
Interés legítimo: para seguridad, rate limiting y prevención de abuso (art. 6.1.f GDPR).
Consentimiento: para newsletters o comunicaciones promocionales, si las activas explícitamente (art. 6.1.a GDPR).

7. Conservación de datos

Cuenta activa: mientras la cuenta esté activa.
Cuenta cancelada: 12 meses tras la cancelación, luego eliminación permanente (excepto registros fiscales que requieren conservación legal hasta 6 años).
Logs de servidor: 30 días.
Backups: rotación de 30 días.

8. Tus derechos (GDPR)

Como titular de los datos, puedes ejercer:

Acceso: obtener una copia de los datos que tenemos sobre ti.
Rectificación: corregir datos inexactos.
Supresión ("derecho al olvido"): eliminar tu cuenta y datos asociados.
Limitación: restringir el tratamiento en ciertas circunstancias.
Portabilidad: recibir tus datos en formato estructurado (JSON) para llevarlos a otro proveedor.
Oposición: oponerte al tratamiento basado en interés legítimo.
No ser objeto de decisiones automatizadas: derecho a intervención humana (aplica si el motor se usase para decisiones con efecto jurídico, no es el caso actual).

Para ejercer cualquier derecho: escribe a [email protected] identificándote. Respondemos en máximo 30 días.

Si consideras que no atendemos correctamente tus derechos, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD) ↗.

9. Encargados del tratamiento (terceros)

Para prestar el servicio confiamos en los siguientes terceros, todos con acuerdos de tratamiento de datos GDPR-compliant:

Hetzner Online GmbH (Alemania) — hosting del servidor.
Cloudflare Inc. (Estados Unidos / Cloudflare for Privacy & EU Data Boundary) — CDN, DNS, protección DDoS.
LemonSqueezy / Stripe — procesamiento de pagos.
Anthropic — modelo LLM (Claude) para los agentes ATLAS, HERMES, CLIO. Los datos enviados a Anthropic son únicamente los relativos al análisis del ticker, NO datos personales del usuario.
EODHD — proveedor de datos de mercado. No reciben datos personales nuestros.

10. Transferencias internacionales

Algunos encargados (Cloudflare, LemonSqueezy, Anthropic) operan parcial o totalmente desde Estados Unidos. Las transferencias se basan en cláusulas contractuales tipo aprobadas por la Comisión Europea o en el marco EU-US Data Privacy Framework.

11. Seguridad

Comunicaciones cifradas con TLS 1.3 (HTTPS).
Contraseñas hash con bcrypt (cost factor 12).
Tokens JWT con expiración.
Rate limiting en endpoints sensibles.
Backups diarios cifrados.
Acceso al servidor restringido por SSH key (sin password).

12. Menores de edad

Validq está dirigido a personas mayores de 18 años. No recogemos intencionadamente datos de menores. Si detectamos una cuenta de menor, la eliminaremos.

13. Cambios en esta política

Notificaremos cambios materiales por email con al menos 30 días de antelación. La fecha de actualización está siempre visible al inicio de este documento.

Pregunta a tu medida: Para cualquier consulta sobre privacidad o ejercicio de derechos, escribe a [email protected].