Política de Privacidad de ZUI Technology S.L.

1. Introducción

En ZUI Technology S.L. ("ZUI" o "nosotros") protegemos los datos personales tratados a través de nuestros sitios web y subdominios, chatbots, nuestra infraestructura y servicios (incluidos servicios tipo SaaS) y servicios de hosting. Esta Política cumple con el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la LSSI en materia de comunicaciones electrónicas y cookies. Está publicada en URL pública e informa de qué datos tratamos, con qué fines y cómo ejercer tus derechos (incluida la eliminación de datos).

2. Responsable, DPO y contacto

• Responsable: ZUI Technology S.L.
• CIF/NIF: B23853435
• Domicilio social: CL. QUINTA DEL PRADERON, 25 – 28260 Galapagar (Madrid), España
• Correo de privacidad: privacidad@zui.es
• Teléfono: +34 610 16 77 28

Delegado/a de Protección de Datos (DPO): actualmente no designado. Si se nombra, se comunicará a la AEPD y se actualizará esta Política.

Ámbito geográfico: prestamos servicios dentro y fuera de España. Si para ello fuese necesario transferir datos fuera del EEE, aplicaremos las garantías del apartado 8.

3. Ámbito y roles

Esta Política aplica a:

• Web y subdominios
• Formularios y chatbots
• Nuestra infraestructura y servicios (incl. SaaS)
• Servicios de hosting
• APIs/SDK integradas por ZUI

ZUI como Responsable: web, marketing, cuentas y accesos, facturación/soporte, seguridad.

ZUI como Encargado: datos que clientes alojan o procesan en nuestra infraestructura/servicios tipo SaaS y hosting, conforme al Acuerdo de Encargado (ATD/DPA) con el cliente (incluyendo, cuando se publique, lista de subencargados y mecanismo de notificación de cambios).

4. Colectivos y datos tratados

• Leads y clientes: identificación y contacto (nombre, empresa, email, teléfono), credenciales (hash), preferencias de comunicación, facturación.
• Usuarios finales de clientes (cuando actuamos como Encargado): categorías definidas por cada cliente.
• Proveedores y candidatos: datos de relación profesional y selección.
• Datos técnicos y de uso: IP, user-agent, identificadores de dispositivo, telemetría y eventos del servicio, logs; cookies/tecnologías similares (ver Cookies).
• Comunicaciones: mensajes por formularios, DM/MD de Instagram, WhatsApp, email y chatbots; datos básicos derivados de servicios de mapas cuando lo requiera la prestación.

No tratamos categorías especiales ni datos de menores deliberadamente. Servicios orientados a +18. (En España, el consentimiento digital de menores para tratar sus datos se admite a partir de 14 años, art. 7 LOPDGDD.)

5. Origen de los datos

• Directamente del interesado (formularios, chat, email).
• Plataformas conectadas por el usuario (p. ej., Instagram/WhatsApp), integraciones con nuestra infraestructura y servicios de mapas.
• Automatizados: cookies/SDKs y telemetría (ver Cookies).

6. Finalidades y bases legales

• Alta y gestión de cuenta; prestación de infraestructura/servicios (incl. SaaS) y hosting; soporte: ejecución contractual o medidas precontractuales.
• Seguridad y prevención de fraude (control de acceso, auditoría y logs): interés legítimo y obligación legal cuando aplique.
• Analítica y mejora del servicio:
  • Con cookies/SDKs no necesarios → consentimiento (opt-in) mediante banner/capas (ver Cookies).
  • Con datos agregados/anonimizados → interés legítimo.
• Facturación/contabilidad: obligación legal.
• Marketing por email/WhatsApp/Instagram: consentimiento (opt-in), identificando remitente y con derecho a oposición en cada envío; si existe relación contractual previa, comunicaciones sobre productos/servicios similares con opción de baja (art. 21 LSSI).

Decisiones automatizadas: no adoptamos decisiones automatizadas con efectos jurídicos o similares; puede existir segmentación para comunicaciones relevantes. Puedes oponerte y solicitar intervención humana cuando proceda.

7. Destinatarios y encargados

• Proveedores que actúan como encargados (alojamiento cloud, correo, analítica, monitorización, mensajería), bajo contrato y medidas de seguridad adecuadas.
• Autoridades y terceros cuando exista obligación legal.

8. Transferencias internacionales

Si usamos proveedores fuera del EEE, aplicaremos garantías adecuadas:

• Decisión de adecuación (p. ej., EU–US Data Privacy Framework para entidades certificadas en EE. UU.).
• Cláusulas Contractuales Tipo (SCCs) y medidas adicionales cuando no exista adecuación.

Contexto actual: el Tribunal General de la UE confirmó el 3 de septiembre de 2025 la validez del DPF (asunto T-553/23, Latombe/Comisión), aportando estabilidad jurídica, sin perjuicio de eventuales apelaciones.

9. Conservación y bloqueo

Aplicamos el principio de limitación del plazo y políticas de bloqueo/eliminación:

• Leads y soporte: hasta 6 meses desde la última interacción (o antes si te opones).
• Conversaciones de chatbots de prueba: < 24 h con fines de calidad/mejora.
• Cuentas/infraestructura (metadatos operativos): mientras dure la relación contractual.
• Facturación/fiscal: 4 años (prescripción tributaria, LGT).
• Documentación contable: 6 años (art. 30 Código de Comercio).
• Logs de seguridad/acceso y telemetría: criterio de proporcionalidad; referencia habitual: 12 meses con revisión periódica.

10. Medidas de seguridad

Controles de acceso y MFA/SSO; cifrado en tránsito y, cuando aplique, en reposo; hardening; gestión de vulnerabilidades; backups y plan de continuidad/DRP; segregación de entornos; monitorización y registro de accesos; formación del personal; rotación de claves/API ≤ 90 días. Pruebas periódicas (automatizadas y pentest al menos trimestralmente). EIPD cuando un tratamiento lo requiera.

11. Brechas de seguridad

Si se produce una violación de seguridad de datos personales, evaluaremos el riesgo y notificaremos a la AEPD en ≤72 h cuando proceda, y a los afectados si el riesgo es alto. La notificación se realiza por la Sede Electrónica (formulario oficial). Disponemos de procedimiento interno y conservamos evidencias.

12. Cookies y tecnologías similares

Usamos cookies necesarias y, previo consentimiento, analíticas, publicitarias y funcionales (p. ej., Google Ads, Meta Ads, Microsoft Clarity). El banner muestra "Aceptar", "Rechazar" y "Configurar" con igual prominencia, sin patrones engañosos, y no se instalan cookies no necesarias hasta tu elección. Ver la Política de Cookies y el panel de preferencias para más detalles.

13. Derechos de las personas

Puedes ejercer acceso, rectificación, supresión, oposición, limitación, portabilidad y retirada del consentimiento escribiendo a privacidad@zui.es o por correo postal (ver apartado 2). Responderemos en 1 mes (ampliable en casos complejos). También puedes reclamar ante la AEPD (www.aepd.es).

14. Servicios y redes de terceros

Cuando te conectas o interactúas con Meta (Facebook/Instagram/WhatsApp), TikTok, LinkedIn, Google Ads u otros, tus datos se rigen por sus políticas. Si integramos APIs/SDKs, tratamos los datos solo para las finalidades descritas y según las condiciones del proveedor.

15. Instrucciones de eliminación (Meta/TikTok y otras plataformas)

Además de escribir a privacidad@zui.es, ponemos a tu disposición la URL:

Data Deletion Instructions: https://www.zui.es/legal/data-deletion

En esa página se detallarán los pasos y, en su caso, un endpoint para solicitudes verificables. Cuando una plataforma lo requiera, implementaremos un Data Deletion Callback URL (HTTPS) en los paneles de desarrollador.

16. Chatbots, IA y mejora del servicio

Podemos usar datos no identificados de conversaciones para mejora continua (calidad de respuestas), con retención < 24 h y seudonimización. No adoptamos decisiones automatizadas con efectos jurídicos; puedes solicitar opt-out a privacidad@zui.es.

17. Clientes de hosting/infraestructura (servicios tipo SaaS) como Responsables

Cuando actuamos como Encargado, aislamos los datos por segregación lógica/física (multi-tenant). Backups: diarios con pruebas periódicas de restauración. La eliminación de datos a solicitud del cliente (producción y backups) se realizará conforme al ATD/DPA y a los SLA pactados. Publicaremos la lista de subencargados y el procedimiento de cambios cuando esté disponible.

18. Cambios en esta Política

Publicaremos cualquier cambio con nueva fecha de actualización y, si es relevante, lo comunicaremos (p. ej., aviso en la web o email a clientes).

19. Contacto

• Email: privacidad@zui.es
• Dirección: CL. QUINTA DEL PRADERON, 25 – 28260 Galapagar (Madrid), España
• Teléfono: +34 610 16 77 28
• Autoridad de control: AEPD (www.aepd.es)