Política de Privacidad

Última actualización: 4 de abril de 2026  ·  En vigor desde: 4 de abril de 2026

CaseStories ("nosotros", "nuestro") es operado por Vento Digitale di Marco Forlani (NIF IT03694090139), Italia. Esta política explica cómo recopilamos, usamos y protegemos sus datos personales de conformidad con el RGPD (UE 2016/679), el Código de Privacidad italiano, el UK GDPR y las leyes de privacidad aplicables.

1. Responsable del Tratamiento y Datos de Contacto

El responsable del tratamiento de sus datos personales es:

Delegado de Protección de Datos (DPD)

Según el Art. 37 RGPD, un DPD es obligatorio para autoridades públicas, organizaciones con vigilancia sistemática a gran escala o que tratan categorías especiales de datos a gran escala. Vento Digitale di Marco Forlani es un pequeño operador privado que no realiza vigilancia sistemática a gran escala. Por lo tanto, no se requiere legalmente un DPD. Todos los asuntos de privacidad son gestionados directamente por el responsable.

2. Datos que Recopilamos

2.1 Datos de Cuenta

Cuando te registras, recopilamos:

  • Dirección de correo electrónico (obligatorio — identificador de cuenta)
  • Nombre y apellido (obligatorio)
  • Contraseña — hash Argon2id (no reversible)
  • Nombre de empresa, descripción, sitio web, ciudad, país, sector, teléfono (opcionales)
  • Logotipo de empresa (opcional)
  • Idioma preferido

2.2 Datos de Contenido

Todos los casos de estudio, descripciones, archivos multimedia y mensajes directos se almacenan y asocian a tu cuenta.

2.3 Análisis Propio

Recopilamos:

  • IP en hash — hasheada inmediatamente (SHA-256 + sal); IP sin procesar nunca almacenada. Hash máximo 24 meses, técnicamente irreversible.
  • Páginas visitadas y marcas de tiempo
  • Navegador y SO
  • URL de referencia
  • País (derivado de la IP; IP descartada inmediatamente)

No utilizamos Google Analytics, Meta Pixel ni scripts de seguimiento de terceros en la plataforma ni en nuestros correos.

2.4 Datos de Pago

Paddle actúa como Merchant of Record y responsable autónomo de los datos de pago. No almacenamos números de tarjeta ni CVV. Solo conservamos el ID de cliente, suscripción, transacción y estado de pago de Paddle.

2.5 Contenido Generado por IA

El texto del proyecto se transmite a la API de Anthropic. Sin identificadores personales. Procesamiento transitorio; no usado para entrenar modelos según nuestro DPA.

2.6 Datos de Inicio de Sesión OAuth

Vía Google, LinkedIn o Facebook: solo recibimos correo y nombre de visualización. Almacenamos nombre de proveedor e ID de usuario. Sin tokens OAuth ni contraseñas.

2.7 Metadatos de Correos Transaccionales

Para correos transaccionales procesamos tu dirección y estado de entrega. No incluimos píxeles de seguimiento ni enlaces rastreados en nuestros correos.

3. Cómo Usamos Sus Datos

  • Prestación del servicio: Gestión de cuenta, publicación de casos, pagos, IA de escritura y traducción.
  • Mejora del servicio: Análisis de patrones de uso agregados y anonimizados.
  • Comunicación: Correos transaccionales (verificación, restablecimiento, recibos, alertas). Sin correos de marketing sin consentimiento explícito previo.
  • Seguridad: Detección y prevención de accesos fraudulentos, limitación de velocidad, prevención de abusos.
  • Cumplimiento legal y contabilidad: Conservación de registros de facturación según la legislación fiscal de la UE e italiana.
  • Divulgación a autoridades públicas: Cuando la ley, una orden judicial o una solicitud vinculante de autoridad competente lo exija, podremos divulgar datos personales. Te informaremos salvo prohibición legal.
  • Soporte: Respuesta a solicitudes y resolución de disputas.

Nunca vendemos, alquilamos, cedemos ni comercializamos tus datos personales a terceros, ni los usamos para publicidad dirigida ni los compartimos con intermediarios de datos.

4. Bases Legales del Tratamiento (Art. 6 RGPD)

  • Ejecución contractual (Art. 6(1)(b)): Tratamiento necesario para prestar el servicio — gestión de cuenta, publicación de casos, pagos, escritura IA.
  • Intereses legítimos (Art. 6(1)(f)): Monitoreo de seguridad, prevención de fraudes y análisis propio. Se ha realizado una Evaluación de Intereses Legítimos (LIA): nuestros intereses se equilibran con técnicas de privacidad (hash de IP, anonimización). Puedes oponerte en cualquier momento (§8).
  • Obligación legal (Art. 6(1)(c)): Conservación de registros de facturación según la normativa fiscal (10 años).
  • Consentimiento (Art. 6(1)(a)): Actualmente solo para el registro (verificación de correo). Las funciones opcionales futuras serán opt-in, con derecho a retirar el consentimiento en cualquier momento sin penalización.

5. Encargados Externos y Proveedores de Servicios

5.1 Paddle (Pagos — Responsable Autónomo)

Paddle.com Market Ltd (Reino Unido / Irlanda). Actúa como Merchant of Record — Paddle es responsable autónomo de los datos de pago, no encargado nuestro. PCI-DSS conforme según su propia política: paddle.com/legal/privacy. Solo recibimos los metadatos del §2.4.

5.2 Anthropic (Escritura IA & Traducción — Encargado del Tratamiento)

Anthropic, PBC (EE.UU.). Bajo DPA firmado. Solo se transmite texto del proyecto. Transferencia a EE.UU. cubierta por CCE (Art. 46(2)(c) RGPD) y medidas suplementarias. TIA realizada. Política: anthropic.com/privacy.

5.3 Proveedores OAuth (Identidad — Responsables Autónomos)

Google LLC, LinkedIn Corporation, Meta Platforms Inc. — solo si eliges iniciar sesión a través de sus servicios. Cada proveedor es responsable autónomo para la autenticación OAuth. Solo recibimos nombre y correo (§2.6). Transferencias a EE.UU. cubiertas por la decisión de adecuación EU-EE.UU. o CCE.

5.4 Infraestructura de Alojamiento (Encargado del Tratamiento)

Todos los servidores en la UE. Sin proveedores cloud de EE.UU. para almacenamiento primario. Todos los proveedores tienen DPA firmados según el Art. 28 RGPD.

5.5 Entrega de Correos Transaccionales (Encargado del Tratamiento)

Correos enviados vía SMTP cifrado TLS. Infraestructura en la UE. Cualquier relay SMTP externo está en la UE, vinculado por un DPA y el Art. 28 RGPD. Tu dirección se usa exclusivamente para la entrega de la notificación del sistema.

6. Cookies y Tecnologías Similares

CaseStories usa solo cookies estrictamente necesarias. No se requiere banner de consentimiento según la Directiva ePrivacy (2002/58/CE).

  • Cookie de sesión (PHPSESSID): Mantiene la autenticación. Expira al cerrar el navegador o tras 30 min de inactividad. Atributos: HttpOnly, Secure, SameSite=Strict.
  • Cookie CSRF: Protección CSRF. Sin identificación ni rastreo. Atributos: HttpOnly, Secure, SameSite=Strict.
  • Cookie de idioma: Almacena el idioma preferido. Sin datos personales. Expira tras 1 año.

No utilizamos cookies de análisis, publicidad, píxeles de seguimiento, fingerprinting ni cookies de terceros. Ningún dato de cookies se comparte con terceros.

7. Conservación de Datos

  • Datos de cuenta: Mientras esté activa. Eliminados en 30 días tras solicitud verificada (§8), salvo obligaciones de conservación legal.
  • Casos de estudio: Hasta eliminación o cierre. Retirados inmediatamente de vista pública; borrados de copias de seguridad en 90 días.
  • Datos analíticos (IP hash + estadísticas): 24 meses. El hash de IP es técnicamente irreversible.
  • Registros de facturación: 10 años — Directiva IVA UE y ley fiscal italiana. No pueden eliminarse antes.
  • Mensajes de soporte: 3 años desde el último contacto.
  • Registros de entrega de correos: 30 días, solo para resolución de problemas.
  • Datos eliminados en copias de seguridad: Sobrescritos en 90 días.

8. Sus Derechos bajo el RGPD y la Normativa Aplicable

En el EEE, el Reino Unido o Suiza, tienes los siguientes derechos:

  • Acceso (Art. 15): Copia de todos tus datos personales e información sobre su tratamiento.
  • Rectificación (Art. 16): Corregir datos inexactos. La mayoría de campos editables en configuración de cuenta.
  • Supresión — "derecho al olvido" (Art. 17): Eliminación en 30 días. Excepción: datos legalmente obligatorios (§7).
  • Portabilidad (Art. 20): Datos en formato JSON. Solicita por correo.
  • Limitación (Art. 18): Tratamiento limitado durante resolución de disputas.
  • Oposición (Art. 21): Oponerte al tratamiento basado en intereses legítimos. Cesamos salvo motivos legítimos imperiosos.
  • Retirar consentimiento (Art. 7(3)): En cualquier momento, sin efecto retroactivo.
  • No ser objeto de decisiones automatizadas (Art. 22): No tomamos decisiones basadas exclusivamente en tratamiento automatizado. Ver §15.

Provisión de datos — obligatoria y voluntaria (Art. 13(2)(e)): El correo electrónico y el nombre son obligatorios para crear una cuenta. El resto de campos del perfil son opcionales.

Ejercicio de derechos: Correo a support@casestories.com, asunto "GDPR Request", o por carta a: Vento Digitale di Marco Forlani, [ADDRESS]. Respuesta en 30 días (60 para solicitudes complejas). Sin coste.

Derecho a presentar reclamación: Puedes presentarla ante cualquier autoridad de control competente del EEE en tu Estado miembro de residencia habitual o trabajo. La autoridad principal es:
Garante per la protezione dei dati personaliwww.garanteprivacy.it
Los residentes en el Reino Unido pueden contactar con la ICO: ico.org.uk.

9. Seguridad de los Datos

Implementamos medidas técnicas y organizativas (MTO) según el Art. 32 RGPD y privacidad desde el diseño (Art. 25):

  • HTTPS con TLS 1.2+; redirecciones HTTP a HTTPS
  • Hash Argon2id para contraseñas (no reversible, con sal)
  • Anonimización IP SHA-256 + sal (IP sin procesar nunca almacenada)
  • Tokens CSRF en solicitudes que cambian estado
  • Limitación de velocidad en endpoints de autenticación y API
  • HttpOnly, Secure, SameSite=Strict en cookies de sesión
  • Prevención de inyección SQL mediante sentencias preparadas
  • Validación MIME y almacenamiento fuera de la raíz web
  • Control de acceso por rol con principio de mínimo privilegio
  • Revisiones de seguridad periódicas y auditorías de dependencias
  • Copias de seguridad cifradas en la UE

Ningún sistema es 100% seguro. En caso de violación: notificación al Garante en 72 horas (Art. 33 RGPD) y a los afectados sin demora si hay riesgo elevado (Art. 34).

10. Transferencias Internacionales de Datos

Datos principales en servidores UE. Ciertos procesadores fuera de la UE/EEE:

  • Anthropic (EE.UU.): Cubierto por CCE (Art. 46(2)(c) RGPD) en DPA firmado, complementado por TIA. Solo generación de texto IA; sin identificadores personales.
  • Proveedores OAuth (EE.UU.) — Google, LinkedIn, Meta: Decisión de adecuación EU–EE.UU. (10 de julio de 2023) o CCE.

UK GDPR: Los usuarios del Reino Unido están cubiertos por el UK GDPR. Las transferencias al RU se benefician de la decisión de adecuación de la UE. Los derechos del §8 aplican igualmente.

Contacta con nosotros para detalles sobre las salvaguardas específicas.

11. Privacidad de los Menores

CaseStories es una plataforma B2B profesional no dirigida a personas menores de 16 años (edad de consentimiento digital RGPD). No recopilamos conscientemente datos de menores de 16 años. Si crees que un menor nos ha proporcionado datos, contáctanos de inmediato en support@casestories.com.

12. Notificación de Violación de Datos

Ante una violación de datos:

  • Notificación al Garante en 72 horas (Art. 33 RGPD), salvo riesgo improbable
  • Notificación a los afectados sin demora (Art. 34 RGPD) ante riesgo elevado, salvo datos ininteligibles
  • Contenido: naturaleza y alcance, categorías y número de afectados, consecuencias probables, medidas adoptadas
  • Mantenimiento de un registro interno de violaciones (Art. 33(5) RGPD)

13. Cambios en esta Política

Podemos actualizar esta política para reflejar cambios en nuestras prácticas, tecnología o requisitos legales.

Los cambios materiales (finalidades, tipos de datos, nuevos encargados o cambios en derechos) se notificarán a los titulares de cuentas por correo electrónico al menos 30 días antes de su entrada en vigor y con un aviso destacado. El uso continuado solo implica aceptación de actualizaciones no materiales.

Los cambios no materiales (aclaraciones, formato, datos de contacto) pueden entrar en vigor de inmediato.

Versiones anteriores disponibles bajo solicitud.

14. Contacto

Para cualquier consulta, solicitud o queja relacionada con la privacidad:

  • Correo electrónico: support@casestories.com — asunto "Privacy / GDPR"
  • Dirección postal: Vento Digitale di Marco Forlani, [ADDRESS], Italia
  • Tiempo de respuesta: 30 días (60 para solicitudes complejas, Art. 12(3) RGPD). Acuse de recibo en 5 días hábiles.

Verificación de identidad antes de procesar cualquier solicitud. Sin coste para solicitudes estándar; se puede aplicar una tarifa razonable para solicitudes manifiestamente infundadas o excesivas (Art. 12(5) RGPD).

15. Decisiones Automatizadas y Elaboración de Perfiles

De conformidad con los Art. 13(2)(f) y 22 del RGPD:

  • No realizamos ninguna toma de decisiones automatizada individual que produzca efectos jurídicos o similares.
  • No realizamos elaboración de perfiles según el Art. 4(4) RGPD — ningún tratamiento automatizado para evaluar aspectos personales, analizar o predecir comportamientos, preferencias o intereses.
  • El análisis propio (§2.3) produce únicamente estadísticas agregadas y anonimizadas.
  • Las funciones de IA (§2.5) generan texto editorial basado en descripciones de proyectos. Sin evaluación, puntuación ni decisión individual.
  • La limitación de velocidad y detección de fraudes implican comprobaciones automatizadas, pero cualquier restricción de cuenta está sujeta a revisión humana antes de su aplicación.

En caso de cambio, actualizaremos esta sección y notificaremos con antelación.

16. No Venta ni Comercialización de Datos Personales

Confirmamos explícitamente que:

  • Nunca vendemos, alquilamos, cedemos ni intercambiamos tus datos personales por ninguna contraprestación.
  • No compartimos datos con intermediarios de datos, anunciantes ni redes publicitarias.
  • No usamos tus datos para publicidad comportamental, targeting basado en intereses o seguimiento entre contextos.
  • No usamos el contenido de tus casos publicados para entrenar modelos de IA ni para otros fines que no sean prestar el servicio.

Este compromiso se aplica independientemente de tu jurisdicción. Residentes en California: esta política cumple el derecho "Do Not Sell or Share My Personal Information" del CCPA/CPRA.

17. Jurisdicciones Adicionales

17.1 UK GDPR

Los residentes en el Reino Unido están protegidos por el UK GDPR y el Data Protection Act 2018. Los derechos del §8 aplican plenamente. Autoridad: ICO — ico.org.uk.

17.2 Brasil — LGPD

Los titulares de datos brasileños están protegidos por la LGPD (Ley 13.709/2018). Derechos ejercibles vía §14. Autoridad: ANPDgov.br/anpd.

17.3 Suiza

Los residentes suizos están protegidos por la LPD revisada (en vigor desde el 1 de septiembre de 2023). Autoridad: PFPDTedoeb.admin.ch.

17.4 California — CCPA/CPRA

Los residentes de California tienen derechos bajo el CCPA/CPRA. Como se indica en el §16, no vendemos ni compartimos datos. Derechos vía §14.