// Privacidad y datos personales
Política de privacidad
Información sobre tratamiento de datos personales conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 34/2002 (LSSI-CE).
01Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través de este Sitio Web es Hephaestus Agency, nombre comercial bajo el que opera el prestador identificado de manera completa en el Aviso Legal, con domicilio profesional en la provincia de Málaga (España) y dirección de contacto a efectos de protección de datos: hola@hephaestusagency.com.
02Datos que tratamos y finalidades
Tratamos las siguientes categorías de datos personales únicamente cuando tú decides facilitárnoslos a través de los formularios disponibles en el Sitio Web:
| Formulario | Datos recogidos | Finalidad |
|---|---|---|
| Consulta / Contacto | Nombre, cargo, empresa, email, teléfono (opcional), tipo de negocio, mensaje | Atender la consulta, preparar propuesta comercial personalizada, agendar reunión gratuita y entregar el diagnóstico AIMA personalizado. |
| Diagnóstico AIMA | Nombre, cargo, empresa, email, teléfono, tipo de negocio, áreas de pérdida operativa, urgencia, mensaje libre | Generar y entregar el diagnóstico AIMA personalizado; agendar reunión de presentación. |
| Recursos gratuitos (Mapa de procesos + Calculadora ROI) | Email, tipo de negocio (y sector si aplica) | Enviar los recursos solicitados y, si nos das consentimiento, consejos puntuales relacionados. |
| Consulta sobre Aura (recepcionista IA) | Datos de contacto, tipo de negocio y caso de uso que nos facilites | Valorar si una recepcionista IA como Aura encaja en tu clínica o negocio y preparar una propuesta. |
| Chat con Aura | Texto que escribas + metadatos técnicos (timestamp, navegador) | Atender tu consulta en tiempo real. Las conversaciones se almacenan para mejorar el servicio. |
| Comunicación directa | Datos que voluntariamente nos facilites por email, WhatsApp o LinkedIn | Atender tu consulta y mantener la relación comercial derivada. |
En el sitio web público no recogemos categorías especiales de datos del artículo 9 RGPD (datos de salud, biométricos, etc.) ni datos de menores. La gestión de datos sanitarios solo aplica cuando actuamos como Encargado de Tratamiento de un cliente del sector sanitario — ver sección 10.
03Base jurídica del tratamiento
La base jurídica que legitima el tratamiento de tus datos es tu consentimiento explícito (artículo 6.1.a RGPD), prestado al marcar la casilla correspondiente en cada formulario. Si la comunicación deriva en una relación contractual, la base adicional será la ejecución del contrato (artículo 6.1.b RGPD). Para comunicaciones sobre servicios similares a los ya solicitados, la base será el interés legítimo (artículo 6.1.f RGPD), pudiendo oponerte en cualquier momento.
04Plazo de conservación
Los datos se conservarán durante el tiempo necesario para cumplir las finalidades indicadas y hasta que el interesado solicite su supresión. En caso de existir relación comercial, los datos se conservarán durante la vigencia de la misma y los plazos de prescripción aplicables (con carácter general hasta seis años conforme al Código de Comercio). Los datos recogidos únicamente para fines informativos o comerciales sin contratación posterior se eliminarán en un plazo máximo de 24 meses sin actividad del interesado.
05Destinatarios y encargados de tratamiento
Tus datos no se cederán a terceros salvo obligación legal. Pueden ser tratados por encargados de tratamiento contratados para fines técnicos, bajo las garantías del artículo 28 RGPD. Los principales encargados actuales son:
- Hostinger International Ltd. — alojamiento del servidor (VPS) donde corre la web, la orquestación n8n y los agentes IA. Servidores en la Unión Europea.
- n8n GmbH — software de orquestación de flujos. Instancia auto-hospedada en VPS propio en la UE.
- OpenAI, L.L.C. y Anthropic PBC — modelos de lenguaje utilizados por el chat con Aura y agentes IA. Tratamiento bajo cláusulas contractuales tipo aprobadas por la Comisión Europea. No usamos los datos enviados para entrenar modelos.
- Cloudflare, Inc. — analítica anónima y servicios de red. Acuerdo SCC + addendum RGPD.
- Google LLC — Google Calendar para agendado de reuniones (solo cuando reservas vía el calendario público). Acuerdo SCC + addendum RGPD.
Las transferencias fuera del Espacio Económico Europeo (en su caso) están amparadas por cláusulas contractuales tipo aprobadas por la Comisión Europea y, cuando es necesario, medidas suplementarias adicionales.
06Tus derechos
Como interesado, en virtud de los artículos 15 a 22 del RGPD, tienes derecho a:
- Acceso — saber qué datos tuyos tratamos.
- Rectificación — corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido") — solicitar el borrado de tus datos.
- Oposición — oponerte al tratamiento, especialmente a comunicaciones comerciales.
- Limitación — solicitar que se restrinja el tratamiento durante revisiones.
- Portabilidad — recibir tus datos en formato estructurado.
- Revocación del consentimiento en cualquier momento, sin afectar a la licitud del tratamiento previo.
Para ejercer cualquiera de estos derechos envía un correo a hola@hephaestusagency.com indicando el derecho que deseas ejercer y adjuntando copia de tu DNI. Te responderemos en el plazo máximo de un mes. Si consideras que el tratamiento no se ajusta a la normativa, puedes reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).
07Medidas de seguridad
Hemos adoptado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo: cifrado de comunicaciones (HTTPS/TLS), control de accesos por mínimo privilegio, copias de seguridad periódicas y autenticación multifactor en servicios críticos. En caso de brecha de seguridad que pudiera afectar a derechos de los interesados, notificaremos a la AEPD en un máximo de 72 horas y, cuando proceda, también a los afectados.
08Política de cookies
Este Sitio Web utiliza cookies y tecnologías similares para garantizar el correcto funcionamiento de la página y, opcionalmente, para análisis estadístico anónimo.
Cookies técnicas (estrictamente necesarias) — se cargan automáticamente y no requieren consentimiento. Permiten funciones esenciales como recordar tu decisión sobre el banner de cookies (almacenado en localStorage del navegador, máximo 6 meses).
Cookies analíticas (Cloudflare Web Analytics) — solo se cargan si has aceptado expresamente. Esta solución no utiliza cookies de identificación personal, no realiza fingerprinting agresivo y no rastrea usuarios entre sitios. Recopila datos agregados y anonimizados sobre páginas visitadas y métricas de rendimiento. Puedes retirar tu consentimiento en cualquier momento borrando las preferencias guardadas en el almacenamiento local de tu navegador.
Información adicional: cloudflare.com/web-analytics/privacy.
09Datos sanitarios (clientes del sector salud)
Cuando un cliente del sector sanitario (clínica veterinaria, clínica dental, etc.) contrata nuestros servicios, los datos de sus pacientes son tratados con un régimen jurídico distinto al del sitio web público:
- Roles: el cliente sanitario actúa como Responsable del Tratamiento; Hephaestus Agency actúa como Encargado del Tratamiento en los términos del artículo 28 RGPD.
- Contrato de Encargo (DPA): antes de iniciar cualquier tratamiento de datos sanitarios firmamos con el cliente un Contrato de Encargo de Tratamiento conforme al artículo 28 RGPD, que define el objeto, la duración, la naturaleza de los datos, las obligaciones de seguridad, las subcontrataciones autorizadas y las medidas de devolución o supresión al finalizar la relación.
- Categoría especial (art. 9 RGPD): los datos de salud son categoría especial y se tratan únicamente cuando exista una base legitimadora válida del Responsable (consentimiento explícito del paciente, ejecución de contrato sanitario, interés vital, etc.). Nosotros no recabamos consentimiento directo del paciente — esa relación la mantiene la clínica.
- Datos mínimos por diseño: los agentes IA implementados para clínicas trabajan con el conjunto mínimo de datos necesario (nombre del paciente, contacto, motivo de consulta general, agenda). No incluimos historial clínico detallado en flujos automatizados salvo petición expresa y justificada del Responsable.
- Servidores y cifrado: servidores en la Unión Europea, cifrado en tránsito (TLS) y en reposo, autenticación multifactor en accesos administrativos, segregación lógica por cliente.
- Trazabilidad: registro de actividad de tratamiento (RAT) específico por cada cliente sanitario, accesible por su DPO si lo tuviera.
- Plazos: los datos se conservan durante la vigencia del contrato. Al finalizar, se devuelven al cliente o se eliminan según su instrucción, conforme al DPA firmado.
- Subencargados: los subencargados que intervienen en el tratamiento (alojamiento, IA, comunicaciones) son los listados en la sección 05 y se comunican al cliente para su aprobación antes de cualquier cambio sustantivo.
Si eres una clínica y quieres conocer en detalle las medidas técnicas y organizativas y/o solicitar copia de nuestro Contrato de Encargo de Tratamiento modelo, escribe a hola@hephaestusagency.com indicando "DPA sanitario" en el asunto.
10Cambios en la política
Nos reservamos el derecho a modificar esta Política de Privacidad cuando sea necesario para adaptarla a cambios normativos o de la actividad. Las modificaciones serán publicadas en esta página con indicación de la fecha de actualización.
— ÚLTIMA ACTUALIZACIÓN: 25 DE MAYO DE 2026