Saltar al contenido
Logo de TraceWeaveTraceWeave
Legal

Política de Privacidad

Cómo TraceWeave recopila, usa y protege tu información personal

Versión 2.1 · Mayo de 2026

Tu privacidad es nuestra prioridad

Esta Política de Privacidad describe cómo TraceWeave recopila, usa y protege tu información personal. Cumplimos con el RGPD, LOPD-GDD y CCPA. Si tienes preguntas sobre el tratamiento de tus datos, escríbenos a hola@traceweave.eu.

1. Responsable del tratamiento

TraceWeave es responsable del tratamiento de sus datos personales. Nos comprometemos a proteger su privacidad y a cumplir con todas las normativas aplicables.

Datos del responsable

  • Denominacion social: TraceWeave S.L. (en proceso de inscripcion registral)
  • Nombre comercial: TraceWeave
  • Representante legal: Rafael Rodriguez (Administrador Unico)
  • Domicilio social: Sevilla, Espana
  • Email: hola@traceweave.eu
  • Contacto en materia de privacidad: hola@traceweave.eu

2. Información que recopilamos

Recopilamos diferentes categorías de datos personales según el propósito y la base legal:

Categoría de datosEjemplosPropósito
IdentificaciónNombre, apellidos, email, teléfonoGestión de cuenta
EmpresarialesEmpresa, cargo, sector, NIFFacturación, contrato
NavegaciónIP, cookies, user agent, páginas visitadasAnálisis, seguridad
Uso del servicioProductos creados, consultas API, archivos subidosPrestación servicio
ComunicacionesMensajes, tickets soporte, feedbackAtención al cliente
Newsletter ESPR Iberia BriefEmail + metadata del consentimiento (país por IP, navegador, URL de origen, versión política, tipo de proveedor de email)Envío newsletter mensual + auditoría legal (ver sección 14)

3. Finalidad del tratamiento

Utilizamos sus datos personales para:

  • Proporcionar, operar y mejorar nuestros servicios
  • Procesar pagos y gestionar facturación
  • Responder a sus consultas y solicitudes de soporte
  • Enviar comunicaciones comerciales (solo con su consentimiento)
  • Enviar la newsletter mensual ESPR Iberia Brief y entregar el recurso descargable inicial (solo con doble opt-in confirmado — ver sección 14)
  • Cumplir con obligaciones legales y regulatorias
  • Detectar y prevenir fraude, abusos y problemas de seguridad
  • Realizar análisis estadísticos para mejorar el servicio

5. Compartir información con terceros

No vendemos, alquilamos ni compartimos sus datos personales con terceros con fines comerciales. Compartimos datos únicamente con las siguientes categorías de destinatarios (Art. 13.1.e RGPD):

  • Subprocesadores de infraestructura y operación: proveedores de hosting, base de datos gestionada, object storage, email transaccional, monitorización de errores, analítica de uso agregada y, cuando aplique, pasarela de pago. Todos operan bajo Cláusulas Contractuales Tipo (SCCs) y, en su caso, EU-US Data Privacy Framework.
  • Cumplimiento legal: autoridades competentes cuando sea legalmente requerido.
  • Operaciones corporativas: en caso de fusión, adquisición o venta de activos, previo aviso al interesado.
  • Con su consentimiento: cuando autorice expresamente compartir datos con terceros específicos.

Las categorías de subprocesadores y sus garantías están detalladas en /legal/subprocesadores. El listado nominal y los detalles operativos del tratamiento se ponen a disposición de los Responsables del tratamiento que hayan suscrito un DPA, previa solicitud razonada.

6. Transferencias internacionales de datos

Algunos de nuestros proveedores están ubicados fuera del Espacio Económico Europeo (EEE). Garantizamos la protección de sus datos mediante:

Garantías implementadas

  • ✓ Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914)
  • ✓ EU-US Data Privacy Framework para transferencias a subprocesadores certificados en EE.UU.
  • ✓ Evaluación de Impacto de Transferencias (TIA) documentada para los subprocesadores fuera del EEE
  • ✓ Acuerdos de procesamiento de datos (DPA) con todos los subprocesadores

La base de datos principal y el almacenamiento de archivos se alojan en la Unión Europea (Frankfurt, Alemania). Determinados subprocesadores operativos (email transaccional, pasarela de pago cuando aplique, hosting multi-región) procesan datos puntualmente en EE.UU. bajo SCCs y, cuando aplique, EU-US Data Privacy Framework. Las categorías y garantías están detalladas en /legal/subprocesadores.

7. Seguridad de datos

Implementamos medidas técnicas y organizativas de acuerdo con el estado del arte:

Medidas técnicas

  • ✓ Cifrado TLS/SSL en tránsito
  • ✓ Cifrado AES-256 en reposo
  • ✓ Autenticación multifactor (MFA)
  • ✓ Monitorización 24/7
  • ✓ Backups automáticos diarios

Medidas organizativas

  • ✓ Control de acceso basado en roles
  • ✓ Auditorías de seguridad regulares
  • ✓ Formación del personal
  • ✓ Plan de respuesta a incidentes
  • ✓ Política de minimización de datos

8. Sus derechos (RGPD)

Conforme al RGPD, tiene los siguientes derechos sobre sus datos personales:

Derecho de acceso

Obtener confirmación y copia de sus datos personales

Derecho de rectificación

Corregir datos inexactos o incompletos

Derecho de supresión

Solicitar la eliminación de sus datos ("derecho al olvido")

Derecho de limitación

Restringir el procesamiento en ciertas circunstancias

Derecho de portabilidad

Recibir sus datos en formato estructurado y transferirlos a otro responsable

Derecho de oposición

Oponerse al tratamiento basado en interés legítimo o marketing directo

Derecho a retirar consentimiento

Revocar el consentimiento en cualquier momento

¿Cómo ejercer sus derechos?

Puede ejercer sus derechos enviando un email a hola@traceweave.eu con el asunto "Ejercicio de derechos RGPD" o desde su panel de usuario.

Para la newsletter, además, dispone de baja en un solo clic desde el enlace incluido al pie de cada email enviado (ver sección 14.4).

Responderemos en un plazo máximo de 1 mes desde la recepción de su solicitud. También tiene derecho a presentar una reclamación ante la AEPD (www.aepd.es).

Decisiones automatizadas (Art. 22 RGPD)

No aplicamos decisiones automatizadas con efectos jurídicos significativos sobre el suscriptor o el visitante de este sitio web. Los tratamientos automáticos públicos se limitan a operaciones técnicas (envío de correos, retención programada de datos) sin perfilado individual.

En el contexto de la plataforma B2B de TraceWeave, los motores deterministas DPP Readiness Engine, Risk Scanner e Impact Engine producen scores agregados y recomendaciones priorizadas. Estos resultados están concebidos como apoyo a la decisión humana del cliente del servicio (típicamente departamentos de sostenibilidad, compliance o cadena de suministro): nunca sustituyen la decisión final del usuario sobre un proveedor concreto. El cliente del servicio, como Responsable del tratamiento sobre los datos de sus proveedores, garantiza la intervención humana significativa antes de cualquier decisión con efecto jurídico o impacto significativo, conforme al Art. 22 RGPD.

9. Retención de datos

Conservamos sus datos personales durante el tiempo necesario según el propósito:

Tipo de datoPeríodo de retención
Datos de cuenta activaMientras la cuenta esté activa
Datos de facturación10 años (obligación legal fiscal)
Logs de seguridad2 años
Datos de marketing (con consentimiento)Hasta revocación de consentimiento
Cuenta cancelada90 días (salvo obligación legal)
Newsletter — pendiente sin confirmar30 días desde el envío del email de confirmación
Newsletter — confirmado activoHasta que el suscriptor se da de baja
Newsletter — tras unsubscribe30 días adicionales (gracia auditoría) → eliminado
Newsletter — registro de auditoría (hash)6 años (Cód. Comercio + RGPD Art. 5.1.f), sin email plano

Para el detalle completo del ciclo de vida de los datos asociados a la newsletter, consulte la .

10. Cookies y tecnologías similares

Utilizamos cookies y tecnologías similares. Para más información, consulte nuestra Política de Cookies.

11. Derechos bajo CCPA (California)

Si reside en California, tiene derechos adicionales bajo la California Consumer Privacy Act (CCPA):

  • Derecho a saber: Qué datos personales recopilamos, usamos, divulgamos y vendemos
  • Derecho a eliminar: Solicitar la eliminación de sus datos personales
  • Derecho a opt-out: Oponerse a la venta de datos (no vendemos datos)
  • Derecho a no discriminación: No discriminación por ejercer derechos CCPA

Para ejercer estos derechos: hola@traceweave.eu con asunto "[CCPA] Su consulta".

12. Contacto en materia de protección de datos

TraceWeave SL no está obligada a designar un Delegado de Protección de Datos conforme al artículo 37 del RGPD ni al artículo 34 de la LOPDGDD, dado que su actividad no se encuadra en ninguno de los supuestos taxativos previstos. Para cualquier consulta relativa al tratamiento de sus datos personales o al ejercicio de sus derechos puede contactar con nosotros en:

Email: hola@traceweave.eu

Domicilio postal: TraceWeave SL · Sevilla, España

Atenderemos su consulta sin dilación indebida y, en todo caso, dentro del plazo máximo de un mes previsto por el artículo 12.3 del RGPD.

13. Subprocesadores

TraceWeave trabaja con un conjunto de subprocesadores agrupados por categoría funcional (hosting y CDN, base de datos gestionada, object storage, email transaccional, monitorización de errores, analítica de uso agregada y, cuando aplique, pasarela de pago).

Las categorías, ubicaciones y garantías de cada una están publicadas en /legal/subprocesadores.

El listado nominal con la identidad concreta de cada subprocesador, su domicilio social y los detalles operativos del tratamiento están documentados internamente en el Registro de Actividades (Art. 30 RGPD) y se ponen a disposición de los Responsables del tratamiento que hayan suscrito un DPA, previa solicitud razonada por correo electrónico a hola@traceweave.eu con el asunto [Subprocesadores] Solicitud de listado detallado.

14. Newsletter — Tratamientos específicos

Esta sección describe el detalle operativo del tratamiento de datos asociado a la suscripción a la newsletter mensual ESPR Iberia Brief. Las medidas generales (seguridad, derechos, subprocesadores, transferencias internacionales) se rigen por las secciones 7, 8, 13 y 6 respectivamente.

14.1 Datos específicos y consentimiento informado

Al suscribirte a la newsletter recogemos:

  • Email (obligatorio): para enviar la newsletter y el recurso descargable inicial.
  • Snapshot del consentimiento (automático): registramos información técnica del momento en que aceptas la suscripción para poder demostrar la validez del consentimiento ante una eventual inspección de la AEPD. Incluye: país detectado por IP (sin almacenar la IP completa), familia del navegador (sin huella digital), URL de origen, versión de esta política aceptada, marca temporal, resultado del campo anti-bot, y tipo de proveedor de email (corporativo o gratuito tipo gmail/outlook).

Edad mínima: la newsletter está dirigida a profesionales adultos del sector textil. No aceptamos suscripciones de personas menores de 14 años conforme al Art. 7 de la LOPD-GDD.

14.2 Doble opt-in: cómo confirmas tu suscripción

Tras enviar el formulario, recibes un email de confirmación. La suscripción solo se activa cuando pulsas el enlace de confirmación. Si no confirmas en 30 días, el registro se elimina automáticamente y no se envía ningún correo adicional. Base legal: consentimiento explícito (Art. 6.1.a RGPD + Art. 21 LSSI-CE).

14.3 Plazos de retención específicos

  • Pendiente sin confirmar: 30 días desde el envío del email de confirmación → eliminado automáticamente.
  • Confirmado activo: hasta que te das de baja.
  • Tras unsubscribe: 30 días adicionales (gracia para auditoría) → eliminado.
  • Registro de auditoría inmutable: 6 años conservando solo un hash criptográfico SHA-256 del email (sin dato plano), conforme al Cód. de Comercio Art. 30 y al principio de rendición de cuentas RGPD Art. 5.1.f.

14.4 Cancelación y baja

Cada email de la newsletter incluye un enlace de baja en el pie. La cancelación es inmediata y no requiere autenticación adicional. Implementamos también el estándar RFC 8058 (List-Unsubscribe-Post), lo que activa un botón nativo "Cancelar suscripción" en la cabecera de Gmail, Outlook y otros clientes compatibles. La baja se procesa en menos de 72 horas.

14.5 Filtros aplicados al recibir suscripciones

  • Bloqueo de emails desechables: rechazamos direcciones de proveedores tipo Mailinator o 10minutemail. Esos servicios generan inboxes que existen 10 minutos: no representan a una persona real y degradan la calidad del servicio.
  • Deduplicación de plus aliases: tratamos "carol+x@ecoalf.com" y "carol@ecoalf.com" como la misma suscripción real. Conservamos el email original tal como lo facilitaste para envío, pero unificamos la unicidad por la dirección base.
  • Sugerencias de typos sin bloqueo: si detectamos un error frecuente en el dominio (por ejemplo "gmial.com" en lugar de "gmail.com"), te ofrecemos la corrección de un solo clic. Nunca te bloqueamos el envío. No almacenamos los typos.

14.6 Análisis interno y NO perfilado individual

Clasificamos el tipo de proveedor de email (corporativo vs proveedor gratuito tipo gmail/outlook) solo para análisis estadístico agregado anonimizado de la composición de la base de suscriptores (por ejemplo, "el 60% de nuestros suscriptores son corporativos"). NO segmentamos contenido individual por suscriptor, NO aplicamos decisiones automatizadas con efectos jurídicos significativos (Art. 22 RGPD), y NO compartimos esta clasificación con terceros.

← Volver al formulario de suscripción

15. Candidaturas — proceso de selección

Esta sección detalla el tratamiento de los datos personales que TraceWeave recoge cuando una persona presenta una candidatura espontánea o dirigida a un track abierto a través de /careers/apply. Aplica además la política general anterior (secciones 1-13) y prevalece esta sección en lo específico.

15.1 Datos que recogemos

  • Identificativos: nombre y apellido, email.
  • Profesionales: URL de LinkedIn (opcional), CV en PDF.
  • Motivación: texto libre "¿Por qué TraceWeave?" (50–2000 caracteres).
  • Pronombres (opcional): free-text para trato respetuoso. NO recogemos género, orientación, discapacidad ni otros datos del Art. 9 RGPD.
  • Metadatos técnicos: país detectado por IP (ISO 3166-1 alpha-2), familia del navegador, URL de procedencia (referrer). NO almacenamos la IP completa (minimización Art. 5.1.c RGPD).
  • Versión de política aceptada y marca temporal del envío.

15.2 Base legal

Tratamos sus datos sobre la base de medidas precontractuales adoptadas a su solicitud (Art. 6.1.b RGPD), complementada con nuestro interés legítimo en evaluar talento (Art. 6.1.f). El acto de pulsar "Enviar candidatura" constituye su consentimiento explícito al tratamiento descrito en esta sección.

15.3 Finalidad

  • Evaluar la candidatura presentada y contactar al interesado para avanzar o rechazar.
  • Mantener comunicación bidireccional durante el proceso de selección.
  • Conservar la candidatura para futuras vacantes solo con reconsentimiento explícito a los 6 meses (ver §15.4).

15.4 Plazos de conservación

  • 6 meses tras la última actividad si la candidatura no avanza, salvo que pida supresión antes.
  • 24 meses con su reconsentimiento explícito, si desea permanecer en bolsa para futuras vacantes.
  • Indefinido si es contratada, en cuyo caso pasa a expediente laboral con la base legal de ejecución del contrato (Art. 6.1.b).

15.5 Destinatarios

Solo el equipo interno de TraceWeave responsable del proceso. Como subprocesadores intervienen las categorías de proveedores listados en la sección 13. Toda la infraestructura está alojada en la Unión Europea (Frankfurt, Dublín). NO existen transferencias internacionales fuera del EEE.

15.6 Decisiones automatizadas (Art. 22 RGPD)

TraceWeave NO emplea sistemas de scoring automatizado ni inteligencia artificial para evaluar candidaturas. Cada candidatura es revisada manualmente por una persona del equipo. NO existe perfilado del candidato.

15.7 Medidas de seguridad

  • El CV se almacena en bucket privado en Supabase (Frankfurt, UE) sin acceso público. Las URLs firmadas usadas internamente caducan en 7 días.
  • El nombre de archivo es un UUID aleatorio sin contener email ni datos identificativos.
  • Validación obligatoria del contenido del archivo (firma %PDF) en servidor.
  • Logs sin PII: solo se registra un hash SHA-256 del email y un código de referencia legible (ver §15.8).

15.8 Sus derechos

Puede ejercer en cualquier momento los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición (Art. 15-22 RGPD). Tras su candidatura le entregamos un código de referencia con formato TW-AAAA-XXXX que facilita la localización de su expediente.

Para ejercer cualquier derecho: hola@traceweave.eu con asunto [Candidaturas] Su solicitud, indicando su código de referencia si lo conserva. Atendemos la solicitud en un plazo máximo de 30 días.

15.9 Edad mínima

Solo aceptamos candidaturas de personas mayores de 16 años, en cumplimiento del artículo 7 de la LOPDGDD y del marco español de empleo (Estatuto de los Trabajadores, Art. 6). El formulario incluye una confirmación expresa que el interesado debe marcar.

15.10 Versión de la política aceptada

En el momento del envío persistimos la versión exacta de esta política aceptada por el interesado (RGPD Art. 7.1, prueba del consentimiento). Si esta política cambia con posterioridad, su candidatura sigue regida por la versión aceptada en el momento del envío salvo que se le notifique expresamente lo contrario.

← Volver al formulario de candidatura

16. Cambios en esta política

Esta política se identifica con un número de versión (actualmente 2.1) que se registra en el momento de cada suscripción a la newsletter o de cada candidatura para garantizar trazabilidad legal de la versión aceptada por cada interesado.

Podemos actualizar esta política ocasionalmente. Los cambios significativos se notificarán por email a los suscriptores activos de la newsletter y mediante un aviso destacado en el sitio web con al menos 30 días de antelación. Los cambios que afecten al tratamiento de candidaturas no requieren notificación previa a candidaturas pasadas: cada candidatura queda regida por la versión aceptada en el momento del envío.

Historial de versiones

  • 2.1 (mayo 2026) — añade la sección 15: tratamiento de candidaturas para procesos de selección. Documenta finalidad, base legal (Art. 6.1.b precontractual), plazos de conservación (6 meses base, 24 meses con reconsentimiento), inexistencia de decisiones automatizadas (Art. 22), edad mínima 16 años (LOPDGDD Art. 7) y proceso de ejercicio de derechos.
  • 2.0 (mayo 2026) — auditoría legal-defensiva integral. Sustituye nominaciones de proveedores por categorías de destinatarios (Art. 13.1.e RGPD); reemplaza referencia a Privacy Shield por EU-US Data Privacy Framework; consolida la política específica de newsletter como sección 14; refina la cláusula de decisiones automatizadas (Art. 22 RGPD) para clarificar el papel de los motores deterministas como apoyo a la decisión humana del cliente del servicio; unifica el contacto en un único buzón con asuntos canónicos. Esta versión sustituye y deja sin efecto las versiones 1.x.
  • 1.1 (mayo 2026) — añadía el tipo de proveedor de email a los metadatos del consentimiento.
  • 1.0 (mayo 2026) — versión inicial con tratamientos específicos del newsletter en documento separado.

17. Contacto

Si tiene alguna pregunta sobre esta Política de Privacidad o desea ejercer sus derechos:

Contacto único en materia de privacidad

Email: hola@traceweave.eu
Asunto recomendado: [Privacidad] Su consulta
Domicilio postal: TraceWeave SL · Sevilla, España

Indicar el asunto recomendado nos permite priorizar y responder dentro del plazo legal del RGPD.

¿Dudas?

¿Tienes dudas sobre privacidad?

Nuestro equipo de protección de datos está disponible para resolver cualquier consulta sobre cómo tratamos tu información personal.

Contactar con el equipo de privacidad