Política de Privacidad
Última actualización: marzo 2026
1. Responsable del tratamiento
De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), se le informa de que el responsable del tratamiento de sus datos personales es:
- Nombre comercial: WhistleLegal
- Correo electrónico: info@whistlelegal.com
- Sitio web: whistlelegal.com
2. Datos personales que recopilamos
En función de la relación que mantenga con nosotros, podremos tratar las siguientes categorías de datos personales:
Datos de registro y cuenta
Nombre y apellidos, dirección de correo electrónico y contraseña (almacenada cifrada) proporcionados al crear una cuenta en la plataforma.
Datos de la organización
Denominación social, CIF/NIF, sector de actividad, número de empleados, logotipo y datos del responsable del Sistema Interno de Información.
Datos de facturación
Datos fiscales necesarios para la emisión de facturas. Los datos de pago (tarjeta de crédito/débito) son procesados directamente por Stripe, Inc. y nunca se almacenan en nuestros servidores.
Datos de navegación y uso
Dirección IP, tipo de navegador, sistema operativo, páginas visitadas, fecha y hora de acceso, y datos de interacción con la plataforma recogidos a través de cookies (consulte nuestra Política de Cookies).
Datos del canal de denuncias
Las comunicaciones recibidas a través del canal de denuncias son tratadas conforme a la Ley 2/2023 con cifrado extremo a extremo. WhistleLegal actúa como encargado del tratamiento respecto de estos datos, siendo la organización cliente la responsable del tratamiento.
3. Finalidades del tratamiento y base jurídica
Sus datos personales serán tratados para las siguientes finalidades:
| Finalidad | Base jurídica (RGPD) |
|---|---|
| Gestión del registro de usuarios y prestación del servicio contratado | Art. 6.1.b - Ejecución de un contrato |
| Facturación y gestión administrativa y fiscal | Art. 6.1.c - Cumplimiento de obligación legal (Ley 58/2003 General Tributaria) |
| Cumplimiento de obligaciones derivadas de la Ley 2/2023 (canal de denuncias) | Art. 6.1.c - Cumplimiento de obligación legal |
| Envío de comunicaciones relacionadas con el servicio (notificaciones, alertas de plazos, incidencias) | Art. 6.1.b - Ejecución de un contrato |
| Atención de consultas y solicitudes de soporte | Art. 6.1.b - Ejecución de un contrato / Art. 6.1.f - Interés legítimo |
| Análisis estadístico y mejora del servicio (datos anonimizados) | Art. 6.1.f - Interés legítimo |
4. Destinatarios y encargados del tratamiento
Sus datos personales no serán cedidos a terceros salvo obligación legal. Para la prestación del servicio, contamos con los siguientes encargados del tratamiento, con los que se han formalizado los correspondientes contratos conforme al artículo 28 del RGPD:
Supabase, Inc.
Alojamiento de infraestructura, base de datos y autenticación. Servidores ubicados en la Unión Europea (región eu-central).
Stripe, Inc.
Procesamiento de pagos con tarjeta. Certificado PCI DSS Nivel 1. Datos tratados en la UE. Adherido al marco de protección de datos UE-EE.UU. (EU-US Data Privacy Framework).
Twilio Inc. (SendGrid)
Envío de correos electrónicos transaccionales (notificaciones, alertas, comunicaciones de servicio). Adherido al EU-US Data Privacy Framework.
Vercel Inc.
Alojamiento y distribución de la aplicación web. CDN con nodos en la Unión Europea. Adherido al EU-US Data Privacy Framework.
5. Transferencias internacionales de datos
Algunos de los encargados del tratamiento mencionados tienen sede en Estados Unidos. Dichas transferencias se realizan al amparo del marco de protección de datos UE-EE.UU. (EU-US Data Privacy Framework), conforme a la Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023 (Decisión de Ejecución (UE) 2023/1795). Los datos de la base de datos y del canal de denuncias se almacenan en servidores ubicados físicamente en la Unión Europea.
6. Plazos de conservación
Los datos personales se conservarán durante los siguientes plazos:
- Datos de cuenta: mientras la cuenta permanezca activa y, una vez cancelada, durante los plazos legales de prescripción aplicables.
- Datos de facturación: durante el plazo de 4 años conforme a la Ley 58/2003 General Tributaria, y 6 años conforme al artículo 30 del Código de Comercio.
- Datos del canal de denuncias: un mínimo de 10 años conforme al artículo 26 de la Ley 2/2023 y los plazos de prescripción de las posibles acciones derivadas.
- Datos de navegación: conforme a los plazos indicados en la Política de Cookies.
7. Derechos del interesado
De conformidad con los artículos 15 a 22 del RGPD y los artículos 12 a 18 de la LOPDGDD, usted tiene derecho a:
- Acceso: obtener confirmación sobre si estamos tratando sus datos personales y, en su caso, acceder a los mismos.
- Rectificación: solicitar la corrección de datos inexactos o incompletos.
- Supresión: solicitar la eliminación de sus datos cuando, entre otros motivos, ya no sean necesarios para la finalidad para la que fueron recogidos.
- Limitación del tratamiento: solicitar la limitación del tratamiento de sus datos en los supuestos contemplados en el artículo 18 del RGPD.
- Portabilidad: recibir los datos personales que nos haya facilitado en un formato estructurado, de uso común y lectura mecánica.
- Oposición: oponerse al tratamiento de sus datos en determinadas circunstancias, en cuyo caso dejaremos de tratarlos salvo por motivos legítimos imperiosos.
- No ser objeto de decisiones automatizadas: incluida la elaboración de perfiles que produzcan efectos jurídicos o le afecten significativamente.
Para ejercer cualquiera de estos derechos, envíe un correo electrónico a info@whistlelegal.com indicando el derecho que desea ejercer y acompañando copia de su DNI u otro documento identificativo. Se le responderá en el plazo máximo de un mes desde la recepción de la solicitud.
Si considera que el tratamiento de sus datos no se ajusta a la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), www.aepd.es, C/ Jorge Juan 6, 28001 Madrid.
8. Medidas de seguridad
En cumplimiento del artículo 32 del RGPD, hemos implantado las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo:
- Cifrado de datos en tránsito mediante TLS 1.3.
- Cifrado de datos en reposo mediante AES-256.
- Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
- Políticas de seguridad a nivel de fila (RLS) en la base de datos.
- Autenticación segura con hashing de contraseñas (bcrypt).
- Registro de auditoría de accesos y operaciones sensibles.
- Copias de seguridad automatizadas y cifradas.
9. Modificaciones de la política de privacidad
Nos reservamos el derecho de modificar la presente política de privacidad para adaptarla a novedades legislativas o jurisprudenciales, así como a cambios en nuestras prácticas de tratamiento de datos. Cualquier modificación será publicada en esta página con indicación de la fecha de última actualización. Le recomendamos revisar periódicamente esta política.