Política de Privacidad

Última actualización: 8 de abril de 2026  ·  En vigor desde: 8 de abril de 2026

CaseStories ("nosotros", "nuestro") es operado por Vento Digitale di Marco Forlani (NIF IT03694090139), Italia. Esta política explica cómo recopilamos, usamos y protegemos sus datos personales de conformidad con el RGPD (UE 2016/679), el Código de Privacidad italiano, el UK GDPR y las leyes de privacidad aplicables.

1. Responsable del Tratamiento y Datos de Contacto

El responsable del tratamiento de sus datos personales es:

  • Vento Digitale di Marco Forlani
  • NIF IT03694090139 — Italia
  • Dirección registrada: Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy
  • Plataforma: CaseStorieswww.casestories.com
  • Correo: support@casestories.com

Delegado de Protección de Datos (DPD)

Según el Art. 37 RGPD, un DPD es obligatorio para autoridades públicas, organizaciones con vigilancia sistemática a gran escala o que tratan categorías especiales de datos a gran escala. Vento Digitale di Marco Forlani es un pequeño operador privado que no realiza vigilancia sistemática a gran escala. Por lo tanto, no se requiere legalmente un DPD. Todos los asuntos de privacidad son gestionados directamente por el responsable.

2. Datos que Recopilamos

2.1 Datos de Cuenta

Cuando te registras, recopilamos:

  • Dirección de correo electrónico (obligatorio — identificador de cuenta)
  • Nombre y apellido (obligatorio)
  • Contraseña — hash Argon2id (no reversible)
  • Nombre de empresa, descripción, sitio web, ciudad, país, sector, teléfono (opcionales)
  • Logotipo de empresa (opcional)
  • Idioma preferido

2.2 Datos de Contenido

Todos los casos de estudio, descripciones, archivos multimedia y mensajes directos se almacenan y asocian a tu cuenta.

2.3 Análisis

2.3.1 Analítica basada en cookies — Matomo (consentimiento requerido)

Utilizamos Matomo, una plataforma de análisis web de código abierto operada exclusivamente en nuestros propios servidores dentro de la Unión Europea. Ningún dato analítico se envía a servicios de análisis de terceros. Matomo se carga únicamente tras aceptar las cookies a través de nuestro banner. Cuando está activo, Matomo recopila:

  • IP anonimizada — los dos últimos octetos se enmascaran antes del almacenamiento (ej. 203.0.113.0.0); la IP completa nunca se almacena.
  • Páginas visitadas y marcas de tiempo
  • Navegador y SO
  • URL de referencia
  • País aproximado (derivado de la IP enmascarada)

Si rechazas las cookies, Matomo no se carga y no se realiza ningún seguimiento basado en cookies.

2.3.2 Analítica first-party en el servidor (sin consentimiento requerido)

Independientemente del consentimiento de cookies, la plataforma registra en el servidor eventos de interacción — en concreto vistas de página, clics en CTA, compartidos, búsquedas y clics en enlaces de contacto de casos de estudio publicados. Estos datos se procesan exclusivamente para proporcionar a los propietarios de casos de estudio estadísticas de rendimiento agregadas. La base jurídica es el interés legítimo (Art. 6(1)(f) RGPD).

Por cada evento se registran en el servidor los siguientes datos:

  • Tipo de evento (vista, clic, compartido, búsqueda o clic de contacto)
  • Hash SHA-256 de la dirección IP — la IP bruta nunca se almacena; solo su hash unidireccional, irreversible.
  • Código de país (ISO 3166-1 de 2 letras, ej. IT, ES) — derivado de la IP antes del hash.
  • URL de referencia — el encabezado HTTP Referer, si está presente.
  • Cadena User-Agent — el identificador completo de navegador y sistema operativo enviado por tu navegador en cada solicitud HTTP (ej. Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)…). Esta cadena se almacena tal cual y se utiliza para clasificar las visitas por tipo de dispositivo y navegador en las estadísticas agregadas. Aunque la cadena User-Agent no identifica por sí sola de forma unívoca, combinada con el hash IP y el referente constituye un dato seudonimizado según el RGPD. Se conserva 24 meses y luego se elimina.

Este tratamiento no utiliza cookies ni mecanismos de almacenamiento en el lado del cliente y queda por tanto fuera del ámbito de la Directiva ePrivacy. Puedes oponerte en cualquier momento conforme al Art. 21 RGPD escribiendo a support@casestories.works.

No utilizamos Google Analytics, Meta Pixel ni scripts de seguimiento de terceros en la plataforma ni en nuestros correos.

2.4 Datos de Pago

Paddle actúa como Merchant of Record y responsable autónomo de los datos de pago. No almacenamos números de tarjeta ni CVV. Solo conservamos el ID de cliente, suscripción, transacción y estado de pago de Paddle.

2.5 Contenido Generado por IA

El texto del proyecto se transmite a la API de Anthropic. Sin identificadores personales. Procesamiento transitorio; no usado para entrenar modelos según nuestro DPA.

2.6 Datos de Inicio de Sesión OAuth

Vía Google, LinkedIn o Facebook: solo recibimos correo y nombre de visualización. Almacenamos nombre de proveedor e ID de usuario. Sin tokens OAuth ni contraseñas.

2.7 Metadatos de Correos Transaccionales

Para correos transaccionales procesamos tu dirección y estado de entrega. No incluimos píxeles de seguimiento ni enlaces rastreados en nuestros correos.

3. Cómo Usamos Sus Datos

  • Prestación del servicio: Gestión de cuenta, publicación de casos, pagos, IA de escritura y traducción.
  • Mejora del servicio: Análisis de patrones de uso agregados y anonimizados.
  • Comunicación: Correos transaccionales (verificación, restablecimiento, recibos, alertas). Sin correos de marketing sin consentimiento explícito previo.
  • Seguridad: Detección y prevención de accesos fraudulentos, limitación de velocidad, prevención de abusos.
  • Cumplimiento legal y contabilidad: Conservación de registros de facturación según la legislación fiscal de la UE e italiana.
  • Divulgación a autoridades públicas: Cuando la ley, una orden judicial o una solicitud vinculante de autoridad competente lo exija, podremos divulgar datos personales. Te informaremos salvo prohibición legal.
  • Soporte: Respuesta a solicitudes y resolución de disputas.
  • Administración y mantenimiento de la plataforma: Como operador de la plataforma, podemos acceder a los datos de cuenta y contenidos de los usuarios únicamente cuando sea estrictamente necesario para el mantenimiento técnico, diagnóstico del sistema, respuesta a incidentes de seguridad e investigación de abusos. Dicho acceso se limita a lo estrictamente necesario, queda registrado y nunca se utiliza con fines comerciales.

Nunca vendemos, alquilamos, cedemos ni comercializamos tus datos personales a terceros, ni los usamos para publicidad dirigida ni los compartimos con intermediarios de datos.

4. Bases Legales del Tratamiento (Art. 6 RGPD)

  • Ejecución contractual (Art. 6(1)(b)): Tratamiento necesario para prestar el servicio — gestión de cuenta, publicación de casos, pagos, escritura IA.
  • Intereses legítimos (Art. 6(1)(f)): Monitoreo de seguridad, prevención de fraudes y análisis propio. Se ha realizado una Evaluación de Intereses Legítimos (LIA): nuestros intereses se equilibran con técnicas de privacidad (hash de IP, anonimización). Puedes oponerte en cualquier momento (§8).
  • Obligación legal (Art. 6(1)(c)): Conservación de registros de facturación según la normativa fiscal (10 años).
  • Consentimiento (Art. 6(1)(a)): Actualmente solo para el registro (verificación de correo). Las funciones opcionales futuras serán opt-in, con derecho a retirar el consentimiento en cualquier momento sin penalización.

5. Encargados Externos y Proveedores de Servicios

5.1 Paddle (Pagos — Responsable Autónomo)

Paddle.com Market Ltd (Reino Unido / Irlanda). Actúa como Merchant of Record — Paddle es responsable autónomo de los datos de pago, no encargado nuestro. PCI-DSS conforme según su propia política: paddle.com/legal/privacy. Solo recibimos los metadatos del §2.4.

5.2 Anthropic (Escritura IA & Traducción — Encargado del Tratamiento)

Anthropic, PBC (EE.UU.). Bajo DPA firmado. Solo se transmite texto del proyecto. Transferencia a EE.UU. cubierta por CCE (Art. 46(2)(c) RGPD) y medidas suplementarias. TIA realizada. Política: anthropic.com/privacy.

5.3 Proveedores OAuth — Google, LinkedIn (Identidad — Responsables Autónomos)

Google LLC y LinkedIn Corporation — solo si eliges iniciar sesión a través de sus servicios. Cada proveedor es responsable autónomo para la autenticación OAuth. Solo recibimos nombre y correo (§2.6); no recibimos tokens OAuth, contraseñas ni otros datos de perfil. El inicio de sesión vía Facebook también está disponible como opción alternativa. Las transferencias a EE.UU. están cubiertas por la decisión de adecuación EU-EE.UU. (10 de julio de 2023) o, en su caso, por CCE.

5.4 Infraestructura de Alojamiento — Amazon Web Services UE (Encargado del Tratamiento)

Todos los servidores de aplicaciones y bases de datos están alojados en Amazon Web Services (AWS), región Unión Europea (eu-west-1 — Irlanda o eu-central-1 — Fráncfort). Ningún dato primario se almacena fuera de la Unión Europea. AWS ha firmado un DPA con nosotros y está vinculado por el Art. 28 RGPD. Las regiones UE de AWS cuentan con certificación ISO 27001, SOC 2 y ofrecen garantías contractuales de residencia de datos en la UE.

5.5 Entrega de Correos Transaccionales (Encargado del Tratamiento)

Correos enviados vía SMTP cifrado TLS. Infraestructura en la UE, vinculada por un DPA y el Art. 28 RGPD. Tu dirección se usa exclusivamente para la entrega de la notificación del sistema.

5.6 Análisis — Matomo (Operado por Nosotros, Infraestructura UE)

Alojamos y operamos Matomo, una plataforma de análisis web de código abierto, en nuestra propia infraestructura dentro de la Unión Europea. Matomo no es un servicio de terceros: funciona completamente en servidores que nosotros controlamos y ningún dato analítico se transmite a partes externas. Matomo procesa únicamente los datos anonimizados descritos en §2.3. Como herramienta interna, Matomo está íntegramente sujeto a esta política de privacidad.

6. Cookies y Tecnologías Similares

CaseStories utiliza cookies en dos categorías:

Cookies Estrictamente Necesarias (no se requiere consentimiento)

Estas cookies son esenciales para el funcionamiento de la plataforma y no pueden desactivarse.

  • Cookie de sesión (PHPSESSID): Mantiene la autenticación. Expira al cerrar el navegador o tras 30 min de inactividad. Atributos: HttpOnly, Secure, SameSite=Strict.
  • Cookie CSRF: Protección CSRF. Sin identificación ni rastreo. Atributos: HttpOnly, Secure, SameSite=Strict.
  • Cookie de idioma: Almacena el idioma preferido. Sin datos personales. Expira tras 1 año.
  • Cookie de preferencia de consentimiento: Registra tu elección de aceptar o rechazar las cookies analíticas. Expira tras 1 año.

Cookies Analíticas (consentimiento requerido)

Estas cookies solo se establecen una vez que aceptas a través de nuestro banner de cookies. Se usan exclusivamente para el análisis agregado y anonimizado descrito en §2.3 (Matomo, alojado en nuestra infraestructura UE).

  • _pk_id.*: Identifica una sesión de navegador para Matomo. Expira a los 13 meses. No almacena información de identificación personal.
  • _pk_ses.*: Cookie de sesión de corta duración para Matomo. Expira a los 30 minutos.

Puedes retirar tu consentimiento a las cookies analíticas en cualquier momento mediante el enlace de configuración de cookies en el pie de página. Matomo es operado por nosotros en nuestros servidores UE — ningún dato analítico se comparte con terceros.

No utilizamos cookies publicitarias, píxeles de seguimiento, fingerprinting ni cookies de terceros.

7. Conservación de Datos

  • Datos de cuenta: Mientras esté activa. Eliminados en 30 días tras solicitud verificada (§8), salvo obligaciones de conservación legal.
  • Casos de estudio: Hasta eliminación o cierre. Retirados inmediatamente de vista pública; borrados de copias de seguridad en 90 días.
  • Datos analíticos (IP hash + estadísticas): 24 meses. El hash de IP es técnicamente irreversible.
  • Registros de facturación: 10 años — Directiva IVA UE y ley fiscal italiana. No pueden eliminarse antes.
  • Mensajes de soporte: 3 años desde el último contacto.
  • Registros de entrega de correos: 30 días, solo para resolución de problemas.
  • Datos eliminados en copias de seguridad: Sobrescritos en 90 días.

8. Sus Derechos bajo el RGPD y la Normativa Aplicable

En el EEE, el Reino Unido o Suiza, tienes los siguientes derechos:

  • Acceso (Art. 15): Copia de todos tus datos personales e información sobre su tratamiento.
  • Rectificación (Art. 16): Corregir datos inexactos. La mayoría de campos editables en configuración de cuenta.
  • Supresión — "derecho al olvido" (Art. 17): Eliminación en 30 días. Excepción: datos legalmente obligatorios (§7).
  • Portabilidad (Art. 20): Datos en formato JSON. Solicita por correo.
  • Limitación (Art. 18): Tratamiento limitado durante resolución de disputas.
  • Oposición (Art. 21): Oponerte al tratamiento basado en intereses legítimos. Cesamos salvo motivos legítimos imperiosos.
  • Retirar consentimiento (Art. 7(3)): En cualquier momento, sin efecto retroactivo.
  • No ser objeto de decisiones automatizadas (Art. 22): No tomamos decisiones basadas exclusivamente en tratamiento automatizado. Ver §15.

Provisión de datos — obligatoria y voluntaria (Art. 13(2)(e)): El correo electrónico y el nombre son obligatorios para crear una cuenta. El resto de campos del perfil son opcionales.

Ejercicio de derechos: Correo a support@casestories.com, asunto "GDPR Request", o por carta a: Vento Digitale di Marco Forlani, Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy. Respuesta en 30 días (60 para solicitudes complejas). Sin coste.

Derecho a presentar reclamación: Puedes presentarla ante cualquier autoridad de control competente del EEE en tu Estado miembro de residencia habitual o trabajo. La autoridad principal es:
Garante per la protezione dei dati personaliwww.garanteprivacy.it
Los residentes en el Reino Unido pueden contactar con la ICO: ico.org.uk.

9. Seguridad de los Datos

Implementamos medidas técnicas y organizativas (MTO) según el Art. 32 RGPD y privacidad desde el diseño (Art. 25):

  • HTTPS con TLS 1.2+; redirecciones HTTP a HTTPS
  • Hash Argon2id para contraseñas (no reversible, con sal)
  • Anonimización IP SHA-256 + sal (IP sin procesar nunca almacenada)
  • Tokens CSRF en solicitudes que cambian estado
  • Limitación de velocidad en endpoints de autenticación y API
  • HttpOnly, Secure, SameSite=Strict en cookies de sesión
  • Prevención de inyección SQL mediante sentencias preparadas
  • Validación MIME y almacenamiento fuera de la raíz web
  • Control de acceso por rol con principio de mínimo privilegio
  • Revisiones de seguridad periódicas y auditorías de dependencias
  • Copias de seguridad cifradas en la UE

Ningún sistema es 100% seguro. En caso de violación: notificación al Garante en 72 horas (Art. 33 RGPD) y a los afectados sin demora si hay riesgo elevado (Art. 34).

10. Transferencias Internacionales de Datos

Todos los datos primarios — cuentas, contenidos, análisis — se almacenan y procesan exclusivamente en Amazon Web Services (AWS), región Unión Europea. No transferimos tus datos fuera de la UE para ningún propósito de almacenamiento o procesamiento principal.

Las únicas transferencias fuera de la UE/EEE están estrictamente limitadas a lo siguiente:

  • Anthropic (EE.UU.) — solo generación de texto IA: Cubierto por CCE (Art. 46(2)(c) RGPD) en DPA firmado, complementado por TIA. Solo se transmite texto del proyecto; no se incluyen identificadores personales.
  • Proveedores OAuth (EE.UU.) — Google, LinkedIn: Decisión de adecuación EU–EE.UU. (10 de julio de 2023) o CCE. Aplica solo cuando eliges activamente iniciar sesión a través de estos proveedores.

No vendemos, compartimos ni transferimos datos personales a ninguna otra parte fuera de la UE con fines de marketing, comerciales o técnicos.

UK GDPR: Los usuarios del Reino Unido están cubiertos por el UK GDPR. Las transferencias al RU se benefician de la decisión de adecuación de la UE. Los derechos del §8 aplican igualmente. Contacta con nosotros para detalles sobre las salvaguardas específicas.

11. Privacidad de los Menores

CaseStories es una plataforma B2B profesional no dirigida a personas menores de 16 años (edad de consentimiento digital RGPD). No recopilamos conscientemente datos de menores de 16 años. Si crees que un menor nos ha proporcionado datos, contáctanos de inmediato en support@casestories.com.

12. Notificación de Violación de Datos

Ante una violación de datos:

  • Notificación al Garante en 72 horas (Art. 33 RGPD), salvo riesgo improbable
  • Notificación a los afectados sin demora (Art. 34 RGPD) ante riesgo elevado, salvo datos ininteligibles
  • Contenido: naturaleza y alcance, categorías y número de afectados, consecuencias probables, medidas adoptadas
  • Mantenimiento de un registro interno de violaciones (Art. 33(5) RGPD)

13. Cambios en esta Política

Podemos actualizar esta política para reflejar cambios en nuestras prácticas, tecnología o requisitos legales.

Los cambios materiales (finalidades, tipos de datos, nuevos encargados o cambios en derechos) se notificarán a los titulares de cuentas por correo electrónico al menos 30 días antes de su entrada en vigor y con un aviso destacado. El uso continuado solo implica aceptación de actualizaciones no materiales.

Los cambios no materiales (aclaraciones, formato, datos de contacto) pueden entrar en vigor de inmediato.

Versiones anteriores disponibles bajo solicitud.

14. Contacto

Para cualquier consulta, solicitud o queja relacionada con la privacidad:

  • Correo electrónico: support@casestories.com — asunto "Privacy / GDPR"
  • Dirección postal: Vento Digitale di Marco Forlani, Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy, Italia
  • Tiempo de respuesta: 30 días (60 para solicitudes complejas, Art. 12(3) RGPD). Acuse de recibo en 5 días hábiles.

Verificación de identidad antes de procesar cualquier solicitud. Sin coste para solicitudes estándar; se puede aplicar una tarifa razonable para solicitudes manifiestamente infundadas o excesivas (Art. 12(5) RGPD).

15. Decisiones Automatizadas y Elaboración de Perfiles

De conformidad con los Art. 13(2)(f) y 22 del RGPD:

  • No realizamos ninguna toma de decisiones automatizada individual que produzca efectos jurídicos o similares.
  • No realizamos elaboración de perfiles según el Art. 4(4) RGPD — ningún tratamiento automatizado para evaluar aspectos personales, analizar o predecir comportamientos, preferencias o intereses.
  • El análisis propio (§2.3) produce únicamente estadísticas agregadas y anonimizadas.
  • Las funciones de IA (§2.5) generan texto editorial basado en descripciones de proyectos. Sin evaluación, puntuación ni decisión individual.
  • La limitación de velocidad y detección de fraudes implican comprobaciones automatizadas, pero cualquier restricción de cuenta está sujeta a revisión humana antes de su aplicación.

En caso de cambio, actualizaremos esta sección y notificaremos con antelación.

16. No Venta ni Comercialización de Datos Personales

Confirmamos explícitamente que:

  • Nunca vendemos, alquilamos, cedemos ni intercambiamos tus datos personales por ninguna contraprestación.
  • No compartimos datos con intermediarios de datos, anunciantes ni redes publicitarias.
  • No usamos tus datos para publicidad comportamental, targeting basado en intereses o seguimiento entre contextos.
  • No usamos el contenido de tus casos publicados para entrenar modelos de IA ni para otros fines que no sean prestar el servicio.

Este compromiso se aplica independientemente de tu jurisdicción. Residentes en California: esta política cumple el derecho "Do Not Sell or Share My Personal Information" del CCPA/CPRA.

17. Jurisdicciones Adicionales

17.1 UK GDPR

Los residentes en el Reino Unido están protegidos por el UK GDPR y el Data Protection Act 2018. Los derechos del §8 aplican plenamente. Autoridad: ICO — ico.org.uk.

17.2 Brasil — LGPD

Los titulares de datos brasileños están protegidos por la LGPD (Ley 13.709/2018). Derechos ejercibles vía §14. Autoridad: ANPDgov.br/anpd.

17.3 Suiza

Los residentes suizos están protegidos por la LPD revisada (en vigor desde el 1 de septiembre de 2023). Autoridad: PFPDTedoeb.admin.ch.

17.4 California — CCPA/CPRA

Los residentes de California tienen derechos bajo el CCPA/CPRA. Como se indica en el §16, no vendemos ni compartimos datos. Derechos vía §14.