Legal

Política de Privacidad y Protección de Datos (GDPR)

1. Resumen en una lectura

Tratamos tus datos para prestarte el servicio, facturarte y proteger la plataforma. No vendemos tus datos ni los compartimos con terceros, salvo con los proveedores imprescindibles para operar (por ejemplo, la pasarela de pago o el proveedor de verificación de identidad) o cuando la ley nos lo exige.

La verificación de cuenta la realiza Didit, una empresa con sociedad en España que cumple el GDPR. En el flujo estándar puedes elegir entre una breve prueba de vida (un selfie), sin necesidad de mostrar tu documento de identidad, o la validación de tu número de móvil mediante un código SMS, sin cámara ni datos biométricos. En el Manager solo guardamos un resumen textual del resultado: nunca almacenamos imágenes de tu documento, selfies, vídeos ni plantillas biométricas en los sistemas del Manager.

Puedes ejercer tus derechos de protección de datos en cualquier momento, tal y como se explica al final de este documento.

2. Quién es el responsable del tratamiento

  • GINERNET S.L.
  • NIF/CIF: B54660485
  • Domicilio social: Pza. San Cristóbal 14, 03002 Alicante, España

Para cualquier cuestión sobre tus datos puedes abrir un ticket de soporte desde el Manager.

3. Qué datos tratamos

  • Datos de cuenta: nombre y apellidos, email, teléfono, dirección, y empresa y NIF/VAT si los facilitas.
  • Datos de facturación y pago: contactos fiscales, facturas, recargas de saldo y referencias de pago. No almacenamos los números completos de tu tarjeta; los gestiona directamente la pasarela de pago.
  • Datos técnicos y de seguridad: direcciones IP de acceso, historial de sesiones, actividad realizada en el panel y registros necesarios para prevenir fraude y abuso.
  • Soporte: los mensajes y tickets que nos envías.
  • Verificación de cuenta: si completas la verificación, el resumen del resultado que se describe en la sección 5.
  • Prestar el servicio y gestionar tu cuenta: ejecución del contrato.
  • Emitir facturas y cumplir obligaciones fiscales y contables: obligación legal.
  • Proteger la plataforma, prevenir fraude, abuso e impagos: interés legítimo.
  • Enviarte avisos sobre tus servicios (renovaciones, saldo, incidencias, seguridad): ejecución del contrato.
  • Enviarte comunicaciones comerciales u ofertas: solo si las aceptas expresamente, y puedes darte de baja en cualquier momento (consentimiento).

5. Verificación de cuenta con Didit (prueba de vida o código SMS)

Para prevenir el fraude y, si lo aceptas, activar la recuperación de cuenta, podemos pedirte que verifiques tu cuenta. La verificación la realiza Didit, un proveedor especializado en verificación de identidad, y en el flujo estándar puedes elegir entre dos vías: una prueba de vida facial o la validación de tu número de móvil por SMS.

La entidad que presta este servicio para clientes de la Unión Europea es Didit Identity Spain, S.L. (CIF B22929327, Calle Nápoles 227, 08013 Barcelona, España). Didit actúa como encargado del tratamiento por cuenta de GINERNET, cumple el GDPR y su autoridad de control principal es la Agencia Española de Protección de Datos (AEPD).

Verificación facial (sin documento): la prueba de vida es un selfie corto en vídeo que confirma que eres una persona real. No se captura tu documento de identidad. Cuando sea necesario para comprobar la capacidad para contratar o aplicar controles de riesgo, Didit podrá devolver una estimación de edad a partir de la prueba de vida.

Verificación por SMS (sin biometría): como alternativa a la prueba de vida, puedes verificar tu cuenta validando tu número de teléfono móvil mediante un código de un solo uso que Didit envía por SMS. En esta vía no se captura ninguna imagen ni vídeo y no se trata ningún dato biométrico. Didit trata tu número de teléfono y datos técnicos asociados (operador, tipo de línea y país del número) para completar la validación y generar las señales antifraude descritas más abajo, por ejemplo si el número es virtual, desechable o aparece asociado a varias cuentas. Este tratamiento se basa en el interés legítimo de GINERNET en verificar cuentas y prevenir fraude, abuso, suplantación y evasión de restricciones, conforme al art. 6.1.f GDPR; al elegir esta vía, confirmas que el número es tuyo y autorizas el envío del código SMS a ese número.

Verificación completa (con documento): solo en casos concretos de riesgo (por ejemplo, indicios de fraude, identidades duplicadas, suplantación, disputas de pago o un requerimiento legal) podremos pedirte una verificación completa, en la que Didit captura la imagen de tu documento de identidad y la compara con tu cara.

En ambos casos, el proceso ocurre íntegramente en la plataforma segura de Didit: las imágenes y vídeos no pasan por los servidores del Manager.

En el Manager solo guardamos un resumen textual del resultado: el estado de la verificación, la fecha, la referencia de la sesión, las señales antifraude necesarias, la estimación de edad cuando se haya calculado, si la verificación incluyó documento, los datos textuales extraídos de este (nombre, tipo y número de documento, fechas y nacionalidad) y, si la verificación fue por SMS, el número de teléfono verificado con su operador, tipo de línea y país. Nunca almacenamos imágenes, vídeos, selfies ni plantillas biométricas en los sistemas del Manager.

Antes de iniciar la verificación facial te mostramos información específica y te pedimos consentimiento explícito para que Didit trate tus datos de liveness/facial cuando dicho tratamiento pueda considerarse biométrico, conforme al art. 9.2.a GDPR. La finalidad general de verificar cuentas, prevenir fraude, abuso, spam, phishing, DDoS, suplantación, disputas de pago e impagos, y proteger la red, la plataforma y a otros clientes, se basa en el interés legítimo de GINERNET conforme al art. 6.1.f GDPR.

También te pedimos un consentimiento separado y opcional para conservar la referencia de verificación y poder comparar una nueva prueba facial si solicitas la recuperación de cuenta con tu cara. Este consentimiento es revocable en cualquier momento desde los ajustes de tu cuenta y su ausencia no impide completar la verificación estándar.

Como parte de la prevención del fraude cubierta por el consentimiento anterior y por el interés legítimo de GINERNET, Didit podrá generar señales de riesgo sobre posibles verificaciones duplicadas, inconsistentes o potencialmente abusivas, incluyendo el uso de una misma identidad facial o de un mismo número de teléfono en varias cuentas. Estas señales se registran internamente, se utilizan únicamente para revisión de riesgo y nunca se muestran a otros clientes.

Didit no vende ni comercia con datos biométricos, cifra los datos en reposo y en tránsito, y si alguna operación implica una transferencia internacional de datos la realiza con las garantías previstas por el GDPR (decisiones de adecuación o Cláusulas Contractuales Tipo).

Puedes consultar la política de privacidad de Didit en https://didit.me/terms/privacy-policy

6. Recuperación de acceso verificando tu identidad

Si has completado la verificación de cuenta y mantienes activo el consentimiento de recuperación, puedes recuperar el acceso a tu cuenta cuando pierdas la contraseña y las passkeys, demostrando tu identidad por la misma vía con la que te verificaste: una nueva prueba facial si te verificaste con selfie, o un código SMS a tu número verificado si te verificaste por teléfono.

Recuperación facial: la comparación facial la realiza íntegramente Didit, utilizando la referencia de verificación que custodia Didit y la nueva prueba facial que realices durante el proceso de recuperación. El Manager no almacena imágenes, selfies, vídeos ni plantillas biométricas en ningún momento: actúa como mero intermediario técnico para iniciar la comprobación y únicamente conserva el resultado.

Recuperación por SMS: te pediremos que escribas tu número de teléfono. Ese número se utiliza únicamente para comprobar, en el momento, que coincide con el que verificaste (la comparación se realiza contra una huella criptográfica y el número tecleado no se guarda) y, si coincide, Didit envía un código de un solo uso a ese número. Por seguridad, el Manager nunca muestra ni pre-rellena tu número durante la recuperación.

Puedes revocar el consentimiento de recuperación en cualquier momento desde los ajustes de tu cuenta. Al revocarlo, esta vía de recuperación queda desactivada de inmediato y los datos de verificación entran en el plazo de eliminación descrito en la sección 9.

7. Facturación en USD (NEURALIA LLC)

Si eliges facturación en dólares estadounidenses, NEURALIA LLC, la entidad de facturación en USD, tratará los datos administrativos y fiscales necesarios para emitir tus facturas y gestionar los cobros.

Esto puede implicar una transferencia limitada de esos datos administrativos a Estados Unidos, exclusivamente para esa finalidad de facturación y cobro.

8. Con quién compartimos tus datos

No vendemos ni alquilamos tus datos personales.

Solo acceden a ellos los proveedores imprescindibles para operar el servicio: pasarelas de pago, el proveedor de verificación de identidad (Didit), proveedores de envío de email y la infraestructura técnica. Cada uno trata únicamente los datos mínimos necesarios para su función.

Atenderemos requerimientos de juzgados, fuerzas y cuerpos de seguridad u organismos públicos solo cuando exista una base legal válida y se tramiten por los canales oficiales.

9. Cuánto tiempo conservamos tus datos

  • Los datos de tu cuenta, mientras la cuenta esté activa.
  • Las facturas y registros contables, durante los plazos legales fiscales y mercantiles.
  • Los logs de seguridad y registros técnicos, durante el tiempo limitado necesario para seguridad y prevención de abuso.
  • El resumen del resultado de la verificación de cuenta, mientras exista la cuenta, como prueba de la verificación realizada.

Los datos de verificación que custodia Didit (imágenes o número de teléfono, según la vía utilizada, y los resultados) siguen una retención por capas: (a) si mantienes activo el consentimiento de recuperación, se conservan mientras tu cuenta esté activa y dicho consentimiento no haya sido revocado, para que la recuperación de cuenta funcione; (b) si no diste ese consentimiento o lo revocas, la referencia de verificación deja de usarse para la recuperación y los datos de verificación se eliminan de Didit en un plazo máximo de 2 años desde la verificación, plazo durante el cual se conservan únicamente para prevenir la reutilización abusiva, las identidades o números duplicados, el fraude recurrente, las disputas de pago y la creación de cuentas para evadir restricciones (interés legítimo, art. 6.1.f GDPR), salvo que sea necesario conservarlos más tiempo por fraude, abuso, suplantación, disputa de pago, impago, requerimiento legal, investigación, seguridad de la red o defensa de reclamaciones; y (c) si cierras tu cuenta y no existen motivos legítimos de conservación como los anteriores, solicitamos a Didit su eliminación sin demora indebida, sea cual sea tu consentimiento. También puedes solicitar su supresión anticipada ejerciendo tus derechos (sección 12); en todos los casos, al eliminarse, la recuperación de cuenta deja de estar disponible hasta que vuelvas a verificarte.

10. Cierre de cuenta y derecho de supresión

Puedes cerrar tu cuenta desde el Manager en cualquier momento, siempre que no tengas servicios activos, deudas ni elementos pendientes. El cierre es inmediato e irreversible y anonimiza tus datos personales: nombre, email, datos fiscales, teléfono, métodos de pago, resumen de verificación de cuenta y contenido de comunicaciones se eliminan o se sustituyen por valores anónimos. También solicitamos, sin demora indebida, la eliminación de tu ficha de cliente en la pasarela de pago y la eliminación de tus datos de verificación en Didit (imágenes, vídeos, número de teléfono y resultados de todas tus sesiones), salvo que sea necesario conservarlos por fraude, abuso, disputa, requerimiento legal o defensa de reclamaciones.

Hay datos que la ley nos obliga a conservar y que no se anonimizan: las facturas emitidas y sus PDF se custodian íntegros durante los plazos fiscales y mercantiles, con acceso restringido. Los registros técnicos (asignaciones de IP, apuntes de saldo, pagos y auditoría de seguridad) se conservan asociados a la cuenta anonimizada, sin datos personales, por interés legítimo en la prevención del fraude y la defensa frente a reclamaciones.

Tu dirección de email queda liberada: podrás volver a registrarte con ella si algún día quieres regresar. Tu nombre de usuario (nic-handle) es permanente, no contiene datos personales y no se reutiliza.

Si tu cuenta mantiene saldo al cerrarla, en el formulario de cierre se te pedirá que aceptes expresamente su renuncia; GINERNET donará un importe equivalente a REFORESTA.ES. Conservamos un registro mínimo del cierre (fecha, IP, consentimiento y tu email cifrado) como prueba, durante un plazo alineado con el de las facturas.

Los datos anonimizados pueden persistir temporalmente en copias de seguridad hasta su rotación natural.

11. Seguridad

Aplicamos medidas técnicas y organizativas para proteger tus datos: contraseñas almacenadas cifradas, segundo factor de autenticación (2FA) y passkeys opcionales, secretos cifrados en reposo y comunicaciones cifradas.

Si detectáramos una brecha de seguridad que afecte a tus datos, te lo notificaremos con la información disponible y las medidas adoptadas.

12. Tus derechos

Puedes ejercer en cualquier momento tus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, así como retirar tu consentimiento cuando el tratamiento se base en él.

Para ejercerlos, abre un ticket de soporte desde el Manager.

Si consideras que no hemos tratado correctamente tus datos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).

13. Cambios en esta política

Podremos actualizar esta política para adaptarla a cambios legales, técnicos u operativos. La fecha de la cabecera indica la última versión en vigor.

Cuando los cambios sean relevantes, te lo comunicaremos a través del Manager o por email.