1. Responsable del tratamiento
El responsable del tratamiento es Tatic ApS (CVR 42532940), Mejsevej 2, Hadbjerg, 8370 Hadsten, Dinamarca, que opera bajo el nombre secundario OpenBanking IO ApS.
Solicitudes sobre privacidad y RGPD: [email protected].
2. Qué recopilamos
Datos personales: únicamente tu dirección de correo electrónico, que recibimos cuando inicias sesión a través de OIDC. La utilizamos para la facturación y para notificaciones operativas. Sin marketing sin tu consentimiento, sin venta de datos, sin anuncios, sin elaboración de perfiles.
Datos bancarios: con tu consentimiento PSD2, recuperamos y almacenamos los datos de tu cuenta bancaria y de tus transacciones. Esto es la esencia del servicio — los tratamos únicamente para devolvértelos a ti.
3. Fines y bases jurídicas
- Prestación del servicio y facturación — contrato, RGPD art. 6.1.b
- Seguridad y avisos cuando un consentimiento bancario está a punto de caducar — interés legítimo, RGPD art. 6.1.f
- Acceso a tus datos bancarios en virtud de la PSD2 — tu consentimiento, RGPD art. 6.1.a, otorgado directamente en tu banco y revocable en cualquier momento
4. Encargados y subencargados del tratamiento
Recurrimos a un pequeño conjunto de encargados del tratamiento europeos:
- Enable Banking Oy (Espoo, Finlandia) — conectividad bancaria; un AISP registrado y supervisado por la Autoridad de Supervisión Financiera de Finlandia (FIN-FSA) en virtud de la PSD2. Ni nosotros ni Enable Banking almacenamos tus credenciales bancarias.
- Hetzner (Hetzner Online GmbH / Hetzner Finland Oy) — alojamiento en centros de datos certificados según ISO/IEC 27001:2022 en Alemania y Finlandia.
- Gcore — protección frente a DDoS y borde de red, sobre infraestructura europea.
- Flatpay (Dinamarca) — facturación y pagos con tarjeta. Nunca almacenamos los datos de la tarjeta.
Los datos bancarios nunca se comparten con terceros más allá de estos encargados del tratamiento.
5. Dónde residen tus datos
Todos los datos se almacenan y procesan dentro de la UE — en centros de datos en Alemania y Finlandia. No transferimos tus datos fuera de la UE.
6. Conservación y eliminación
Conservamos tus datos mientras tu cuenta esté activa. Cuando eliminas tu cuenta, se eliminan los datos de tu cuenta bancaria y de tus transacciones.
También puedes revocar consentimientos bancarios concretos en cualquier momento; a partir de ese momento dejamos de recuperar datos de ese banco.
7. Seguridad
Los datos se cifran en tránsito y en reposo. El alojamiento se realiza en centros de datos certificados según ISO/IEC 27001:2022, tras protección europea frente a DDoS.
¿Has encontrado una vulnerabilidad? Comunícala a [email protected]. Acusamos recibo de los informes en un plazo de 48 horas y te pedimos que coordines con nosotros antes de divulgarla públicamente.
8. Tus derechos
En virtud del RGPD tienes derecho de acceso, rectificación, supresión, portabilidad de los datos, limitación del tratamiento y oposición. Para ejercer cualquiera de ellos, escribe a [email protected].
Si consideras que tratamos tus datos de forma ilícita, puedes presentar una reclamación ante Datatilsynet, la Agencia Danesa de Protección de Datos (datatilsynet.dk).
9. Notificaciones de caducidad del consentimiento
En virtud de la PSD2, los consentimientos bancarios caducan periódicamente y deben renovarse. Te enviamos un correo electrónico antes de que un consentimiento caduque para que la sincronización continúe sin interrupciones. Se trata de notificaciones operativas, no de marketing, y se envían sobre la base de nuestro interés legítimo en mantener el servicio funcionando para ti.
10. Cambios en esta política
Si modificamos esta política de forma sustancial — por ejemplo, añadiendo un encargado del tratamiento o un nuevo fin — te lo notificaremos por correo electrónico antes de que el cambio surta efecto. La fecha que figura al principio refleja siempre la versión vigente.
11. Contacto
- Solicitudes sobre privacidad y RGPD: [email protected]
- Soporte general: [email protected]
- Informes de seguridad: [email protected]