Política de Privacidad y Protección de Datos
Última actualización: 08/06/2026
La presente Política de Privacidad describe cómo CERP TECHNOLOGY S.L. (en adelante, "CERP") recopila, utiliza y protege los datos personales de los usuarios y clientes (en adelante, "el Cliente") que acceden a nuestra página web y contratan nuestro software como servicio (SaaS).
Esta política cumple rigurosamente con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. Identidad del Responsable del Tratamiento
- Titular: CERP TECHNOLOGY S.L.
- NIF: B24926800
- Domicilio Social: Madrid, España.
- Correo electrónico para temas de privacidad: admin@cerp.es
2. Datos que Recopilamos
Como plataforma SaaS B2B, recopilamos estrictamente los datos necesarios para la prestación del servicio y la facturación:
- Datos de contacto y cuenta: Nombre, apellidos, correo electrónico corporativo y cargo del representante legal o administrador de la cuenta.
- Datos de facturación: Razón social, NIF/NIT/RUT, domicilio fiscal y datos de pago. (Nota de seguridad: Los datos completos de tarjetas de crédito son procesados directamente por nuestra pasarela de pagos Stripe, Inc., y no son almacenados en los servidores de CERP).
- Datos de uso técnico: Direcciones IP, logs de acceso y métricas de uso del sistema para garantizar el correcto funcionamiento y la seguridad del servicio.
- Datos de perfil de inicio de sesión social: Si inicias sesión con Google o Apple, recibimos del proveedor de identidad tu nombre, tu correo electrónico y, cuando esté disponible, tu foto de perfil (ver apartado 8).
3. Finalidad y Base Legitimadora del Tratamiento
Tratamos los datos del Cliente con las siguientes finalidades y bases legales:
- Ejecución del contrato (Art. 6.1.b RGPD): Para la creación de la cuenta, provisión de licencias SaaS, prestación de servicios de consultoría y gestión del soporte técnico.
- Cumplimiento de obligaciones legales (Art. 6.1.c RGPD): Emisión de facturas, gestión contable y declaración de impuestos (AEAT).
- Interés legítimo (Art. 6.1.f RGPD): Para el envío de comunicaciones operativas (actualizaciones del sistema, caídas, mantenimiento) y prevención de fraudes.
- Ejecución del contrato (Art. 6.1.b RGPD): La autenticación (incluido el inicio de sesión social) y las funcionalidades de inteligencia artificial que forman parte del servicio.
- Consentimiento / interés legítimo (Art. 6.1.a / 6.1.f RGPD): La analítica de uso y las cookies no esenciales, que requieren tu consentimiento, y las métricas de mejora del producto.
4. Conservación de los Datos
Los datos de facturación y contratos se conservarán durante un período mínimo de seis (6) años desde la finalización del servicio para cumplir con las obligaciones mercantiles y fiscales españolas. Los datos de uso y acceso se eliminarán o anonimizarán una vez que el Cliente solicite la baja definitiva del SaaS, salvo que deban conservarse para el ejercicio o defensa de reclamaciones.
5. Destinatarios y Transferencias Internacionales
Para prestar el servicio, CERP recurre a proveedores tecnológicos que actúan como Encargados o Subencargados del Tratamiento por cuenta de CERP. Los principales son:
- Autenticación e identidad: Auth0 / Okta, Inc. (EE.UU.), incluido el inicio de sesión social con Google y Apple.
- Inteligencia artificial: Anthropic, PBC (EE.UU.) — análisis de documentos, presupuestos y pliegos, y asistentes.
- Pasarela de pago: Stripe, Inc. (EE.UU. / UE) — suscripción y facturación.
- Alojamiento del backend: Google Cloud (Google LLC), en las regiones de Madrid y Bélgica (UE).
- Alojamiento del frontend y analítica de uso: Vercel, Inc. (EE.UU.).
- Base de datos: MongoDB Atlas (MongoDB, Inc.).
- Integraciones (activadas por el usuario): Composio — conexión con Gmail, Outlook, Calendar, Drive, OneDrive, Teams, Slack, Notion y WhatsApp.
- Mensajería: WhatsApp Business API — Meta Platforms, Inc. (EE.UU. / Irlanda).
Algunos de estos proveedores están ubicados en Estados Unidos. Para esas transferencias internacionales nos amparamos, según el proveedor, en: (a) la Decisión de Adecuación del Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework) cuando el importador esté certificado en dicho marco; o (b) las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión de Ejecución (UE) 2021/914), complementadas con una evaluación de impacto de la transferencia y medidas técnicas y organizativas suplementarias (cifrado en tránsito y en reposo, controles de acceso), conforme a la sentencia Schrems II. La base de datos del SaaS se aloja dentro del Espacio Económico Europeo.
6. Rol de CERP como "Encargado del Tratamiento" (SaaS)
En relación con la información, bases de datos, know-how y datos personales de terceros que el Cliente introduzca, suba o gestione dentro del software SaaS de CERP, el Cliente actúa como Responsable del Tratamiento y CERP actúa como Encargado del Tratamiento, tratando dichos datos únicamente siguiendo las instrucciones documentadas del Cliente y con la exclusiva finalidad de prestar el servicio. CERP no utiliza esos datos para fines propios.
Este tratamiento se rige por un Acuerdo de Encargo del Tratamiento (DPA) conforme al artículo 28 del RGPD, que forma parte de los Términos aceptados en el alta. Regula, entre otros: la confidencialidad, las medidas de seguridad, la autorización de los subencargados recogidos en el apartado 5 de esta política (con el derecho del Cliente a oponerse a los cambios), la asistencia en el ejercicio de derechos, la notificación de violaciones de seguridad sin dilación indebida, y la devolución o supresión de los datos a la finalización del servicio.
7. Uso de Inteligencia Artificial
CERP incorpora funcionalidades de inteligencia artificial que ayudan a analizar documentos, presupuestos y pliegos y ofrecen asistentes y chat. Para prestar estas funcionalidades, el contenido y los datos de proyecto correspondientes son tratados por Anthropic, PBC (EE.UU.), que actúa como subencargado, con las garantías de transferencia internacional descritas en el apartado 5.
Anthropic no utiliza los datos enviados a través de su API para entrenar sus modelos. Las funcionalidades de IA son de apoyo: sus resultados asisten las decisiones del usuario y no producen efectos jurídicos ni significativos sobre las personas de forma únicamente automatizada. Los documentos de licitación confidenciales que se procesan mediante la aplicación de escritorio se mantienen en local, en el dispositivo del usuario.
8. Inicio de sesión con Google y Apple
Si decides iniciar sesión con Google o Apple, recibimos del proveedor de identidad los datos necesarios para crear e identificar tu cuenta: tu nombre, tu dirección de correo electrónico y, cuando esté disponible, tu foto de perfil. Obtenemos estos datos de Google (Google LLC) o Apple Inc. como fuente de origen, y los tratamos para autenticarte y prestar el servicio (art. 6.1.b RGPD). No recibimos tu contraseña de estos proveedores.
9. Cookies
Una cookie es un pequeño archivo de texto que un sitio web almacena en tu dispositivo cuando lo visitas. Las cookies permiten recordar tus preferencias, mantener tu sesión activa y recopilar información de uso anónima para mejorar el servicio. A continuación detallamos las cookies utilizadas en cerp.es y app.cerp.es.
Tipos de cookies que utilizamos
| Nombre | Titular | Finalidad | Tipo | Duración |
|---|---|---|---|---|
| cerp_session | CERP (propia) | Mantener la sesión iniciada (token de acceso) | Técnica / necesaria | Sesión |
| cerp_refresh | CERP (propia) | Renovar la sesión de forma segura | Técnica / necesaria | Sesión |
| cerp_oauth_state | CERP (propia) | Seguridad del inicio de sesión con Google/Apple (protección CSRF) | Técnica / necesaria | ~10 minutos |
| _ga, _ga_* | Google LLC (EE.UU.) | Analítica de uso del sitio web | Analítica (terceros) | Hasta 24 meses |
| _fbp | Meta Platforms (EE.UU.) | Medición publicitaria (Meta Pixel) | Publicitaria (terceros) | 3 meses |
Las cookies técnicas o necesarias (cerp_session, cerp_refresh, cerp_oauth_state) están exentas de consentimiento en virtud del art. 22.2 de la LSSI-CE, por ser imprescindibles para el funcionamiento del servicio. Las cookies analíticas y publicitarias únicamente se instalan tras tu consentimiento expreso mediante el banner de cookies. Además, utilizamos Vercel Web Analytics, un servicio de telemetría agregada y sin cookies (cookieless) que no instala cookies en tu dispositivo.
Gestión del consentimiento
En tu primera visita verás un banner de cookies donde puedes aceptar todas las cookies o rechazar las no esenciales. Puedes retirar o modificar tu consentimiento en cualquier momento, con la misma facilidad con que lo otorgaste, volviendo a abrir el panel de preferencias de cookies. No usamos el "consentimiento por navegación" ni por desplazamiento: el consentimiento solo se considera otorgado cuando haces clic activamente en "Aceptar".
Cómo desactivar las cookies en tu navegador
Además de nuestro panel de preferencias, puedes bloquear o eliminar las cookies desde la configuración de tu navegador (Google Chrome, Mozilla Firefox, Apple Safari y Microsoft Edge lo permiten en sus ajustes de privacidad / cookies). Ten en cuenta que deshabilitar las cookies técnicas/necesarias puede impedir que puedas iniciar sesión en la aplicación.
10. Medidas de Seguridad
CERP aplica medidas técnicas y organizativas apropiadas para proteger los datos personales, incluidas el cifrado en tránsito (HTTPS) y en reposo, controles de acceso basados en roles, cookies de sesión httpOnly/Secure, aislamiento de datos entre clientes (multi-tenant), registro de actividad y copias de seguridad periódicas. En caso de violación de la seguridad de los datos personales, CERP actuará conforme a los artículos 33 y 34 del RGPD y, cuando actúe como encargado, lo notificará al Cliente afectado sin dilación indebida.
11. Derechos del Usuario (Derechos ARCO+)
El Cliente puede ejercer en cualquier momento sus derechos de:
- Acceso, Rectificación y Supresión de sus datos.
- Limitación y Oposición al tratamiento.
- Portabilidad de los datos.
Para ejercer estos derechos, envía un correo electrónico a admin@cerp.es desde la dirección de correo asociada a tu cuenta, indicando el derecho que deseas ejercer. Con carácter general no es necesario aportar copia de un documento de identidad; solo te pediremos información adicional y proporcionada para confirmar tu identidad si existen dudas razonables sobre la misma. Asimismo, te informamos de tu derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es) si consideras que se han vulnerado tus derechos.