EstipulaEU-FRA-1

Información legal · RGPD

Política de privacidad

Última actualización: 30 de abril de 2026

Aviso: este texto refleja las prácticas actuales de tratamiento de datos en Estipula. Para revisión legal definitiva consulta a un abogado especializado en RGPD y eIDAS antes de su publicación oficial. La versión final puede variar.

1. Responsable del tratamiento

Estipula Sistemas, S.L. (en adelante, «Estipula»), CIF B-XXXXXXXXX, con domicilio en C/ Ejemplo, 1, 28001 Madrid, España. Email del DPO: dpo@estipula.es.

Cuando utilizas Estipula como empleado de un tenant (clínica, despacho, centro docente), ese tenant es el Responsable del Tratamiento y Estipula actúa como Encargado del Tratamiento conforme al Art. 28 RGPD. Cuando firmas un documento como contraparte externa invitada via enlace mágico, el responsable es la organización que te invitó.

2. Datos que tratamos

  • Identificativos: nombre completo, email, DNI/NIF (si aplica al rol).
  • Firma electrónica: imagen de tu firma personal, iniciales y/o sello.
  • Datos técnicos: dirección IP, agente de usuario, fecha y hora de cada firma.
  • Documentos: contenido de los PDFs en los que actúas como firmante o preparador.

3. Finalidad y base legal

Tratamos tus datos para permitir la firma electrónica de documentos, generar evidencias técnicas con validez probatoria (Certificate of Completion + audit chain criptográfico), y cumplir las obligaciones legales del Servicio.

  • Empleados internos del tenant: ejecución del contrato laboral (Art. 6.1.b RGPD).
  • Firmantes externos: interés legítimo de las partes en formalizar acuerdos electrónicamente (Art. 6.1.f RGPD).
  • Notificaciones opcionales (`notifyOnSignature`): consentimiento expreso (Art. 6.1.a RGPD), revocable en cualquier momento desde tu perfil.

4. Conservación

  • Documentos firmados: 7 años desde la última actividad.
  • Audit log: 7 años en formato append-only. Tras solicitud de borrado, los datos identificativos se anonimizan (SHA-256) pero la cadena de hashes se preserva conforme al considerando 26 RGPD.
  • Datos de cuenta activa: mientras la cuenta esté activa. Tras solicitud de borrado: soft-delete inmediato + purga definitiva tras 30 días.
  • Backups de BD: 7 días rolling con point-in-time recovery.

5. Subencargados

Estipula utiliza los siguientes subencargados, todos con sede en la UE o garantías RGPD equivalentes:

  • Supabase (Frankfurt, UE): hosting de base de datos y almacenamiento de PDFs y firmas.
  • Resend (UE): envío de emails transaccionales.
  • Vercel (UE): hosting frontend.

6. Tus derechos

Conforme al RGPD (Art. 15-22) puedes ejercer en cualquier momento los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. Si tienes cuenta en Estipula, puedes ejercerlos directamente desde tu perfil (botones «Descargar mis datos» y «Solicitar borrado de cuenta»). Si no, contacta con la organización que te invitó a firmar o escribe a dpo@estipula.es.

Tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos si consideras que tu derecho ha sido vulnerado.

7. Medidas de seguridad

Aislamiento multi-tenant con Row-Level Security en base de datos · audit chain con hash linking inmutable (eIDAS Art. 32) · cifrado en tránsito TLS 1.3 y en reposo AES-256 · Argon2id para passwords + lockout tras 5 intentos fallidos · DNI/NIF enmascarado por defecto en certificados de firma · headers de seguridad estrictos (CSP, HSTS, X-Frame-Options) · logger con redacción automática de datos sensibles.