Octopussian - Política de privacidad
Versión del 23 de abril de 2026
Índice
- Preámbulo y objeto
- Responsable del tratamiento y contacto
- Definiciones
- Finalidades y bases jurídicas de los tratamientos
- Categorías de Datos personales tratados
- Destinatarios y Subencargados
- Transferencias fuera de la Unión Europea
- Plazos de conservación
- Registro técnico
- Derechos de los interesados
- Cookies, rastreadores y píxeles publicitarios
- Inteligencia artificial y ausencia de elaboración de perfiles
- Seguridad y notificación de violaciones
- Modificaciones de la Política
1 - Preámbulo y objeto
1.1 Quiénes somos
La sociedad Octopussian, SAS con un capital de 10 000 €, con domicilio social en 78, avenue des Champs-Élysées, 75008 París - Francia, inscrita en el Registro Mercantil de París con el número 981 982 358 y con número de IVA intracomunitario FR50 981 982 358 (en adelante, «Octopussian», «Nosotros», «nuestro», «nuestros»), desarrolla la aplicación accesible en modalidad SaaS en la dirección app.octopussian.com y sus subdominios (en adelante, la «Aplicación»), así como el sitio web octopussian.com (en adelante, el «Sitio»).
1.2 Objeto
La presente Política de privacidad (en adelante, la «Política») describe cómo Octopussian trata los datos de carácter personal recogidos durante la consulta del Sitio o el uso de la Aplicación, en el sentido del Reglamento (UE) 2016/679 de 27 de abril de 2016 («GDPR») y de la normativa francesa de protección de datos aplicable.
Va dirigida a toda persona física cuyos Datos personales sean tratados por Nosotros en este contexto: visitantes del Sitio, Usuarios de la Aplicación, Titulares, clientes potenciales, personas que nos contactan a través del formulario de contacto y cualquier otro interesado en el sentido del GDPR.
1.3 Relación con las CGU y el DPA
El Contrato entre Octopussian y sus Clientes se rige por las Condiciones Generales de Uso (en adelante, las «CGU») y sus anexos, entre los que destaca el Anexo A - Data Processing Agreement (en adelante, el «DPA»), suscrito en virtud del artículo 28 del GDPR.
Cuando un Cliente y sus Usuarios registran Datos en la Aplicación en el marco de su propia actividad (en particular: fichas de contactos, archivos almacenados en el drive, contraseñas compartidas, contenidos de chat y videoconferencia, contenidos de la base de conocimiento, eventos de agenda, tareas de la todo list, documentos firmados), Octopussian actúa como Subencargado en el sentido del artículo 4.8 del GDPR, bajo la responsabilidad del Cliente, que sigue siendo el Responsable del tratamiento para dichos Tratamientos. El marco aplicable es entonces el DPA, y no la presente Política.
La presente Política cubre, en cambio, los Tratamientos para los cuales Octopussian es ella misma Responsable del tratamiento en el sentido del artículo 4.7 del GDPR, a saber, de forma indicativa y no exhaustiva: la creación y gestión de Cuentas y Usuarios, la facturación y el cobro, la asistencia técnica, la seguridad de la aplicación y la lucha contra los abusos, las comunicaciones comerciales, el funcionamiento del Sitio y la gestión de cookies, así como el tratamiento de las solicitudes de ejercicio de derechos de los interesados. La lista detallada de finalidades y sus bases jurídicas figura en el artículo 4 de la presente Política.
En caso de contradicción entre la presente Política y el DPA sobre un Tratamiento concreto, las estipulaciones del DPA prevalecen para dicho Tratamiento.
1.4 Ámbito de aplicación y aceptación
La consulta del Sitio y el uso de la Aplicación implican el conocimiento de la presente Política. La Política no es un contrato: por sí sola no constituye una base jurídica de Tratamiento en el sentido del artículo 6 del GDPR. Informa a los interesados sobre los Tratamientos llevados a cabo por Octopussian en calidad de Responsable del tratamiento, de conformidad con los artículos 13 y 14 del GDPR.
La Política puede evolucionar. Las modalidades de notificación de modificaciones figuran en el artículo 14.
2 - Responsable del tratamiento y contacto
2.1 Responsable del tratamiento
El Responsable del tratamiento de los Datos personales objeto de la presente Política es:
Octopussian, SAS con un capital de 10 000 € Domicilio social: 78, avenue des Champs-Élysées, 75008 París - Francia RCS París 981 982 358 IVA intracomunitario: FR50 981 982 358 Representada por su Presidente, D. Simon-Émile Guetta
2.2 Punto de contacto
Para cualquier consulta relativa a la presente Política, a los Tratamientos que llevamos a cabo, o para ejercer sus derechos en virtud del GDPR, puede contactarnos:
- por correo electrónico en la dirección
- a través del formulario de contacto accesible en
https://octopussian.com/contact, seleccionando, según la naturaleza de su solicitud, el motivo «Pregunta sobre la Política de privacidad» o «Ejercer mis derechos en materia de datos personales»; - por correo postal en la dirección del domicilio social indicada anteriormente.
Nos comprometemos a acusar recibo de su solicitud en el menor plazo posible. Las modalidades detalladas para el ejercicio de sus derechos se especifican en el artículo 10 de la presente Política.
3 - Definiciones
Los siguientes términos, empleados con mayúscula inicial en la presente Política, tienen el significado que se define a continuación.
- Datos de carácter personal (o «Datos personales»): toda información relativa a una persona física identificada o identificable, en el sentido del artículo 4.1 del GDPR.
- Tratamiento: cualquier operación o conjunto de operaciones, automatizadas o no, realizadas sobre Datos personales —como la recogida, el registro, la organización, la estructuración, la conservación, la adaptación, la consulta, el uso, la comunicación, la difusión, la supresión o la destrucción—, en el sentido del artículo 4.2 del GDPR.
- Responsable del tratamiento: la persona física o jurídica que, sola o conjuntamente con otras, determina los fines y los medios del Tratamiento, en el sentido del artículo 4.7 del GDPR.
- Subencargado: la persona física o jurídica que trata Datos personales por cuenta de un Responsable del tratamiento, en el sentido del artículo 4.8 del GDPR.
- Interesado: la persona física identificada o identificable cuyos Datos personales son objeto de un Tratamiento.
- Destinatario: la persona física o jurídica, la autoridad pública, el servicio u otro organismo que recibe comunicación de Datos personales, sea o no un tercero, en el sentido del artículo 4.9 del GDPR.
- Violación de Datos personales: toda violación de la seguridad que ocasione, de forma accidental o ilícita, la destrucción, la pérdida, la alteración, la comunicación no autorizada de Datos personales transmitidos, conservados o tratados de otro modo, o el acceso no autorizado a dichos datos, en el sentido del artículo 4.12 del GDPR.
- AEPD / autoridad de control: la autoridad nacional de control competente en materia de protección de datos en el sentido del artículo 51 del GDPR. Dado que Octopussian está establecida en Francia, la autoridad de control principal es la CNIL (Commission nationale de l'informatique et des libertés).
- GDPR: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al Tratamiento de Datos personales y a la libre circulación de estos datos.
- DPA: el Anexo A de las CGU, que formaliza las obligaciones de Octopussian en calidad de Subencargado en el sentido del artículo 28 del GDPR.
Los términos CGU, Aplicación, Sitio, Servicios, Cliente, Usuario, Administrador, Titulaire, Cuenta, Datos e Identificadores tienen el significado que se les atribuye en el artículo 1 de las CGU. Su definición no se reproduce aquí, con el fin de evitar cualquier divergencia entre los documentos contractuales. En caso de discrepancia redaccional, prevalece la definición que figura en las CGU.
4 - Finalidades y bases jurídicas de los Tratamientos
4.1 Tratamientos para los cuales Octopussian es Responsable del tratamiento
Octopussian trata Datos personales para las finalidades enumeradas a continuación. Para cada finalidad, se indica la base jurídica aplicable en el sentido del artículo 6, apartado 1, del GDPR.
Cuando se mencionan varias bases jurídicas, cada una fundamenta la parte del Tratamiento que le corresponde; por ejemplo, la emisión y el envío de una factura se basan en la ejecución del contrato, mientras que su conservación durante diez años se basa en una obligación legal.
| Ref. | Finalidad | Descripción resumida | Base jurídica (art. 6.1 GDPR) |
|---|---|---|---|
| 4.1.1 | Creación y gestión de Cuentas y Usuarios | Registro, autenticación, gestión de derechos y vinculaciones a una o varias Cuentas, mantenimiento operativo, seudonimización en caso de revocación de un Usuario de todas las Cuentas a las que estaba vinculado | (b) Ejecución del contrato y de las medidas precontractuales adoptadas a petición del interesado |
| 4.1.2 | Facturación, cobro y seguimiento contable | Emisión de facturas, seguimiento de pagos y saldo, conciliación contable, llevanza de la contabilidad, cobro de importes pendientes | (b) Ejecución del contrato; (c) Obligación legal en virtud de las obligaciones contables y fiscales aplicables a Octopussian |
| 4.1.3 | Asistencia técnica | Recepción, clasificación y gestión de las solicitudes de soporte enviadas a través del formulario de contacto y, en su caso, del chatbot de asistencia de autoservicio | (b) Ejecución del contrato |
| 4.1.4 | Onboarding transaccional | Envío, a través de nuestro subencargado Brevo (véase art. 6), de correos electrónicos de activación, bienvenida y formación inicial sobre la Aplicación, con control técnico de la entregabilidad de dichos mensajes | (b) Ejecución del contrato |
| 4.1.5 | Comunicaciones de servicio | Información a Clientes y Usuarios sobre cambios significativos en la Aplicación, incidentes de seguridad o disponibilidad, revisiones de las CGU o de la presente Política, vencimientos de facturación y eventos contractuales (suspensión, rescisión, renovación) | (b) Ejecución del contrato; (c) Obligación legal para la notificación de una Violación que afecte al Cliente (art. 33.1 del GDPR vía el DPA) o de una modificación impuesta por ley |
| 4.1.6 | Seguridad de la aplicación y lucha contra los abusos | Detección de intrusiones y comportamientos anómalos, prevención del fraude, aplicación de la Acceptable Use Policy (Anexo C de las CGU), suspensión cautelar o rescisión de una Cuenta en caso de abuso | (f) Interés legítimo de Octopussian en preservar la integridad y disponibilidad de sus Servicios, proteger a los demás Usuarios y prevenir usos ilícitos |
| 4.1.7 | Registro técnico | Conservación de registros relativos a las operaciones realizadas sobre el gestor de contraseñas compartidas (identidad del autor, tipo de operación, marca de tiempo, lista de accesos). Los detalles figuran en el artículo 9 | (f) Interés legítimo de Octopussian en garantizar la integridad del gestor de contraseñas y proteger a los Usuarios frente a operaciones no autorizadas (art. 6.1.f del GDPR) |
| 4.1.8 | Tratamiento de las solicitudes recibidas a través del formulario de contacto o por correo | Gestión de las solicitudes según el motivo seleccionado: información comercial, información técnica, consulta sobre la presente Política, ejercicio de derechos GDPR, notificación de un incidente de seguridad o abuso, otras solicitudes | (b) Medidas precontractuales para las solicitudes de información comercial; (c) Obligación legal para las solicitudes de ejercicio de derechos GDPR y las consultas sobre la presente Política; (f) Interés legítimo de Octopussian en responder a las demás solicitudes de sus interlocutores |
| 4.1.9 | Gestión de las solicitudes de ejercicio de derechos de los interesados | Recepción, verificación de identidad cuando proceda, tramitación y respuesta motivada a las solicitudes de acceso, rectificación, supresión, portabilidad, oposición, limitación, retirada del consentimiento y directrices post mortem | (c) Obligación legal - artículos 12 a 22 del GDPR y normativa francesa de protección de datos aplicable |
| 4.1.10 | Cookies, rastreadores y píxeles publicitarios en el Sitio | Medición de audiencia, análisis de tráfico, difusión de publicidad dirigida en plataformas asociadas (Meta, Google, LinkedIn), conversión del lado servidor. Las modalidades, la lista de rastreadores y las opciones de retirada figuran en el artículo 11 | (a) Consentimiento previo para los rastreadores que no sean estrictamente necesarios para el servicio solicitado |
| 4.1.11 | Cumplimiento de obligaciones legales y defensa de nuestros derechos | Conservación de documentos contables, contractuales y probatorios conforme a los plazos legales; respuesta a requerimientos regulares de autoridades judiciales, administrativas o de control; constitución y gestión de pruebas en caso de litigio | (c) Obligación legal; (f) Interés legítimo para la constitución de pruebas y la defensa en juicio |
4.2 Tratamientos para los cuales Octopussian es Subencargado
Los Tratamientos que el Cliente y sus Usuarios llevan a cabo mediante la Aplicación, relativos a los Datos que registran en ella en el marco de su propia actividad —en particular la todo list, los contactos, los archivos almacenados en el drive, las contraseñas compartidas en el gestor, los contenidos de chat y videoconferencia, los contenidos de la base de conocimiento, los eventos de agenda, los archivos transferidos y los documentos firmados electrónicamente—, no están comprendidos en el ámbito de la presente Política.
Para dichos Tratamientos, el Cliente sigue siendo el Responsable del tratamiento y determina por sí mismo las finalidades y la base jurídica aplicables. Octopussian los ejecuta en calidad de Subencargado, en las condiciones definidas en el DPA (Anexo A de las CGU), en virtud del artículo 28 del GDPR.
5 - Categorías de Datos personales tratados
El presente artículo enumera, por naturaleza, las categorías de Datos personales tratados por Octopussian en el marco de las finalidades descritas en el artículo 4.1. No todos los Datos se recogen para todas las finalidades: únicamente se tratan los Datos estrictamente necesarios para cada finalidad, de conformidad con el principio de minimización establecido en el artículo 5, apartado 1, letra c), del GDPR.
5.1 Datos de identificación y contacto
Nombre, apellidos, tratamiento (si se ha facilitado), dirección de correo electrónico profesional, número de teléfono (si se ha facilitado), cargo o puesto (si se ha facilitado), dirección postal profesional (cuando sea necesaria para la facturación).
5.2 Datos relativos a la Cuenta y a la autenticación
Identificador interno único del Usuario (UUID no significativo), identificador(es) de la(s) Cuenta(s) de vinculación, perfil funcional (Titulaire, Administrador, Usuario), contraseña (conservada exclusivamente en forma de huella criptográfica con sal —no es legible por Octopussian—), secreto compartido TOTP cifrado para la autenticación de doble factor cuando está activada, fechas y marcas de tiempo de los últimos accesos, zona horaria declarada por el Usuario para el envío de notificaciones en los horarios deseados.
5.3 Datos de conexión y datos técnicos
Direcciones IP de origen de las conexiones, identificadores técnicos de sesión, user agent del navegador e identificación del sistema operativo. Estos datos se tratan en tiempo real con fines de autenticación y detección de anomalías de conexión, pero no se almacenan de forma persistente más allá de la duración de la sesión activa. Los únicos registros duraderos se describen en el artículo 9.
5.4 Datos de facturación y pago
Razón social, forma jurídica, número de identificación (SIREN o equivalente), número de IVA intracomunitario, dirección de facturación, nombre y dirección electrónica de la persona responsable de facturación en su caso, historial de facturas emitidas, pagos recibidos y saldo.
El número de tarjeta bancaria no se comunica en ningún momento a Octopussian ni se almacena en nuestros sistemas. El pago es gestionado íntegramente por nuestro subencargado Stripe Payments Europe Ltd (véase art. 6 y art. 7). Conservamos exclusivamente los datos técnicos devueltos por Stripe para fines de conciliación contable y continuidad del servicio: identificador opaco de cliente Stripe, token de transacción, marca de la tarjeta, cuatro últimos dígitos del número de tarjeta, fecha de caducidad y estado del pago.
5.5 Datos relativos a las solicitudes dirigidas a Octopussian
Contenido de los mensajes enviados a través del formulario de contacto, la dirección o el correo postal, documentos adjuntos en su caso, marcas de tiempo y motivo seleccionado en el formulario. Estos intercambios pueden contener Datos personales que el Interesado haya decidido transmitirnos; se le invita a comunicarnos únicamente la información estrictamente necesaria para la gestión de su solicitud.
5.6 Datos declarativos B2B y pruebas de aceptación contractual
Al crear una Cuenta, el Titulaire marca una casilla declarativa confirmando su mayoría de edad, su actuación en el marco de una actividad profesional y su capacidad para obligar a la persona jurídica que representa. Esta declaración se conserva junto con la marca de tiempo de la aceptación, el identificador del Usuario, su dirección IP y la versión del texto aceptado.
Asimismo, se conservan a título probatorio la marca de tiempo, el identificador del Usuario y la versión del texto aceptado para cada aceptación de las CGU, el DPA y la presente Política, así como para sus revisiones posteriores comunicadas al Titulaire.
5.7 Historial de consentimientos a cookies y rastreadores
Para los rastreadores depositados en el Sitio que requieren consentimiento previo, se conserva un historial de las opciones realizadas por el visitante (aceptación, rechazo, retirada del consentimiento), con marca de tiempo, con el fin de garantizar la prueba del consentimiento exigida por el artículo 7, apartado 1, del GDPR. Los detalles figuran en el artículo 11.
5.8 Sus datos en la Aplicación son suyos
La información que usted registra en la Aplicación —sus contactos, los archivos de su drive, las contraseñas compartidas en el gestor, sus mensajes de chat, sus videoconferencias, sus bases de conocimiento, su agenda, sus tareas, sus archivos transferidos y sus documentos firmados electrónicamente— le pertenece.
Nosotros la alojamos para hacerla accesible únicamente a las personas que usted ha autorizado. No la utilizamos para ningún fin propio: sin reventa, sin publicidad, sin elaboración de perfiles, sin entrenamiento de inteligencia artificial. No la comunicamos a ningún tercero, salvo a petición suya, para responder a un requerimiento judicial válido, o para cumplir una obligación legal que nos sea aplicable.
El marco jurídico preciso, los compromisos de seguridad y nuestras obligaciones frente a su organización figuran en el DPA (Anexo A de las CGU).
6 - Destinatarios y Subencargados
6.1 Principio - necesidad de conocer
Los Datos personales tratados por Octopussian solo se comunican a las personas habilitadas para acceder a ellos en razón de sus funciones o cometido, y en la medida estrictamente necesaria para las finalidades descritas en el artículo 4.
6.2 Destinatarios internos de Octopussian
El personal de Octopussian habilitado para el tratamiento de Datos personales —equipos de producto, desarrollo, operaciones, soporte, administración y facturación— accede únicamente a los Datos estrictamente necesarios para el ejercicio de sus respectivas funciones, en el marco de una política interna de habilitación. Cada persona está sujeta a una obligación de confidencialidad de nivel profesional.
6.3 Subencargados estratégicos
Recurrimos a los siguientes Subencargados para la prestación de la Aplicación y del Sitio. Cada uno está vinculado por un contrato de subencargo conforme al artículo 28 del GDPR.
| Subencargado | Entidad y domicilio | Finalidad para Octopussian | Referencia pública del DPA |
|---|---|---|---|
| OVH | OVH SAS - 2 rue Kellermann, 59100 Roubaix, Francia (RCS Lille Métropole 424 761 419) | Alojamiento de la Aplicación y del Sitio, almacenamiento de los archivos depositados en el drive y de las copias de seguridad; todos los centros de datos ubicados en la Unión Europea | DPA formalizado según la versión vigente publicada por OVH |
| Stripe | Stripe Payments Europe Ltd - Dublín, Irlanda | Procesamiento de pagos y gestión de los justificantes de pago | https://stripe.com/legal/ssa y Data Transfers Addendum https://stripe.com/legal/dta |
| Brevo | Sendinblue SAS - 106 boulevard Haussmann, 75008 París, Francia (RCS París 498 019 298) | Envío de correos electrónicos de onboarding transaccional (activación, bienvenida, formación inicial) | DPA integrado en las Condiciones generales de Brevo publicadas en https://www.brevo.com/legal/termsofuse/ |
| Mistral AI | Mistral AI SAS - 15 rue des Halles, 75001 París, Francia (RCS París 952 418 325) | Suministro del modelo de lenguaje que alimenta las funcionalidades de inteligencia artificial; la opción de entrenamiento de modelos ha sido desactivada contractualmente por Octopussian | https://legal.mistral.ai/terms/data-processing-addendum |
6.4 Otros proveedores técnicos
En el marco de la prestación de la Aplicación y del Sitio, recurrimos también a otros proveedores técnicos con un papel más puntual o periférico:
- Distribución de vídeos formativos publicados en el Sitio, a través de una red de distribución de contenidos (Content Delivery Network) cuyos puntos de presencia están configurados para permanecer en la Unión Europea;
- Enriquecimiento geográfico de direcciones IP a partir del número de dirección IP, con fines de detección de anomalías de conexión, mediante un servicio especializado establecido en la Unión Europea;
- Verificación sintáctica y de entregabilidad de direcciones de correo electrónico introducidas durante el registro, mediante un servicio especializado establecido en la Unión Europea.
Cada uno de estos proveedores está vinculado por un contrato de subencargo conforme al artículo 28 del GDPR.
6.5 Lista nominativa actualizada
La lista nominativa completa de nuestros Subencargados, mantenida al día, figura en el Anexo D de las CGU. De conformidad con el DPA, cualquier cambio sustancial en dicha lista se notifica previamente a los Clientes con un preaviso de treinta (30) días, lo que les otorga un derecho de objeción motivada en las condiciones previstas en el DPA.
El recurso a esta referencia contractual —en lugar de la cita nominal en la presente Política— permite mantener actualizada la lista de proveedores técnicos sin multiplicar las revisiones redaccionales de la propia Política. Esta modalidad está expresamente admitida por el artículo 13, apartado 1, letra e), del GDPR, que autoriza la designación de los destinatarios por categorías.
6.6 Destinatarios que actúan como Responsables del tratamiento autónomos
Algunos de nuestros Subencargados realizan, al margen de los Tratamientos que ejecutan por nuestra cuenta, Tratamientos que llevan a cabo para sus propias finalidades, en calidad de Responsables del tratamiento autónomos. Estos Tratamientos escapan a nuestro control y se rigen por sus propias políticas, que comunican a sus usuarios finales.
En aras de la transparencia, señalamos a continuación los casos identificados:
- Stripe: prevención del fraude, cumplimiento de las obligaciones en materia de lucha contra el blanqueo de capitales y conocimiento del cliente (AML/KYC), gestión de sus relaciones con socios financieros, desarrollo y mejora de productos.
- Brevo: seguridad e integridad de su plataforma de envío, agregación estadística y mejora de sus servicios.
- ipregistry: mejora de sus propias bases de datos geográficas, prevención del fraude en sus propios servicios.
- Mistral AI: moderación automatizada y detección de abusos en el uso de sus modelos, estadísticas de uso agregadas. La utilización de los Datos para entrenar los modelos de Mistral AI está excluida mediante el opt-out contractual que Octopussian ha activado.
6.7 Otros destinatarios terceros
Los Datos personales pueden comunicarse, cuando sea necesario y dentro de los límites estrictamente requeridos por la situación:
- a proveedores jurídicos que intervienen en misiones puntuales (abogado, notario u oficial equivalente), sujetos al secreto profesional;
- a autoridades judiciales, administrativas o de control regularmente competentes sobre una base legal (requerimiento, solicitud de una autoridad de control, resolución judicial ejecutiva);
- al cesionario o adquirente en caso de operación de cesión de activos, fusión o adquisición que afecte a la totalidad o parte de la actividad de Octopussian, en las condiciones previstas en las CGU y con sujeción a la protección equivalente de los Datos.
7 - Transferencias fuera de la Unión Europea
7.1 Principio - tratamiento en la Unión Europea
Octopussian aloja y trata los Datos personales en el territorio de la Unión Europea. Los Subencargados estratégicos designados en el artículo 6.3 están establecidos en la Unión Europea y operan infraestructuras ubicadas en la Unión Europea.
Solo existe un caso que da lugar a una transferencia directa y estructural a un tercer país: el procesamiento de pagos por parte de Stripe, descrito en el artículo 7.2. En el caso de los demás Subencargados, pueden producirse transferencias en determinados casos dentro de su propia organización con motivo de la prestación de sus servicios o de sus propias finalidades; dichas hipótesis se precisan en el artículo 7.3.
7.2 Transferencia directa a Stripe en Estados Unidos
El procesamiento de pagos por Stripe implica una comunicación de Datos a Stripe Payments Europe Ltd (Irlanda) y, en el marco de su organización interna y sus propias finalidades, a Stripe, Inc. (Estados Unidos) y a otras entidades del grupo Stripe.
Estas transferencias están encuadradas de forma acumulativa:
- por la adhesión de las entidades Stripe afectadas al Marco de Privacidad de Datos UE-Estados Unidos, objeto de la Decisión de adecuación (UE) 2023/1795 de la Comisión Europea de 10 de julio de 2023;
- por las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea el 4 de junio de 2021 (Decisión de Ejecución (UE) 2021/914), Módulos 1 y 2, incorporadas al contrato de Stripe a través del Data Transfers Addendum publicado en
https://stripe.com/legal/dta.
7.3 Transferencias que pueden producirse en el seno de nuestros Subencargados establecidos en la Unión Europea
Algunos de los Subencargados designados en los artículos 6.3 y 6.4 pueden, para la ejecución interna de sus servicios o para sus propias finalidades, recurrir a tratamientos o subencargados ulteriores situados fuera de la Unión Europea. Estas operaciones se rigen por el DPA propio de cada uno de dichos Subencargados, formalizado con Octopussian. Los mecanismos de encuadramiento previstos en estos DPA son los siguientes:
- Sendinblue SAS (Brevo): recurso al Marco de Privacidad de Datos y a las Cláusulas Contractuales Tipo para las eventuales transferencias fuera de la Unión Europea que se produzcan en el marco de su organización;
- Elaunira SARL (ipregistry): recurso a las Cláusulas Contractuales Tipo (Módulos 2 y 3) y al denominado UK International Data Transfer Addendum para las eventuales transferencias fuera del Espacio Económico Europeo que se produzcan en el marco de su organización;
- Mistral AI SAS: tratamiento por defecto dentro de la Unión Europea; en caso de intervención de subencargados ulteriores situados fuera de la Unión Europea, recurso a las Cláusulas Contractuales Tipo o a las decisiones de adecuación aplicables;
- CyberPanda s.r.o. (operador del servicio EmailListVerify, Eslovaquia): recurso a las Cláusulas Contractuales Tipo (Módulos 2 y 3) para las eventuales transferencias fuera del Espacio Económico Europeo que se produzcan en el marco de su organización.
Para la red de distribución de contenidos utilizada para la difusión de los vídeos formativos del Sitio, los puntos de presencia han sido configurados para permanecer en la Unión Europea. Los Datos generados por la consulta de dichos vídeos —en particular la dirección IP del visitante— se tratan, por tanto, dentro de la Unión Europea.
La lista y la identidad de los Subencargados mencionados anteriormente figuran en el Anexo D de las CGU, que se actualiza según las modalidades indicadas en el artículo 6.5. En caso de cambio sustancial en las medidas de encuadramiento de las transferencias aplicadas por dichos Subencargados, la presente Política se actualizará en las condiciones previstas en el artículo 14.
8 - Plazos de conservación
Octopussian conserva los Datos personales únicamente durante el tiempo necesario para las finalidades para las que fueron recogidos, de conformidad con los principios de limitación de la conservación y de minimización establecidos en el artículo 5 del GDPR.
| Categoría | Plazo en base activa | Destino al vencimiento |
|---|---|---|
| Datos de cuenta y autenticación (§5.1 y §5.2) | Vida útil de la Cuenta | Seudonimización: nombre y apellidos sustituidos por las iniciales; correo electrónico sustituido por una huella SHA-256 con sal de servidor; teléfonos, dirección postal, comentario y avatar suprimidos |
| Pruebas de aceptación contractual y declaraciones B2B (§5.6) | Vida útil de la Cuenta | Conservadas 5 años tras el cierre de la Cuenta (prescripción quinquenal) |
| Datos de conexión técnicos asociados a una sesión activa | Duración de la sesión | Supresión al expirar la sesión |
| Datos de facturación y documentos contables (§5.4) | Duración del contrato | Conservación 10 años a partir del cierre del ejercicio contable |
| Solicitudes enviadas a través del formulario de contacto (§5.5) | Duración del tratamiento de la solicitud | 1 año a partir del cierre del expediente |
| Solicitudes de ejercicio de derechos GDPR (§5.5) | Duración del tratamiento de la solicitud | 5 años a partir del cierre del expediente |
| Historial de consentimientos a cookies y rastreadores (§5.7) | - | 13 meses a partir de cada opción expresada |
| Metadatos del gestor de contraseñas compartidas | Vida útil de la Cuenta | Supresión al cierre de la Cuenta (véase §9.2) |
| Copias de seguridad de las bases de datos | - | Máximo 72 horas (varias copias rotativas) |
8.1 Seudonimización al cierre de la Cuenta
Cuando un Usuario ya no está vinculado a ninguna Cuenta activa, su ficha es seudonimizada en el sentido del artículo 4.5 del GDPR. Las siguientes operaciones se realizan de forma automática:
- Nombre y apellidos → sustituidos por las iniciales del Usuario.
- Dirección de correo electrónico → sustituida por una huella SHA-256 con sal de servidor, no reversible en frío. Esta huella permite únicamente a Octopussian verificar la identidad de una persona que presente ella misma su dirección de correo electrónico para ejercer sus derechos.
- Datos opcionales identificativos (números de teléfono fijo y móvil, dirección postal, comentario, avatar) → suprimidos.
- Idioma de la interfaz → conservado (dato no identificativo).
Esta operación preserva la integridad referencial de los registros de la Aplicación sin mantener ningún identificador directo accesible.
En caso de solicitud posterior de ejercicio de derechos, el interesado puede facilitar su dirección de correo electrónico, lo que permite a Octopussian localizar su ficha mediante la verificación de la huella. Si la identificación no puede establecerse con una certeza razonable, Octopussian tiene derecho a no dar curso a la solicitud, de conformidad con el artículo 11 del GDPR, e informa de ello al interesado.
8.2 Copias de seguridad
Las bases de datos se copian en infraestructuras de almacenamiento de objetos alojadas en Francia. Se conservan varias copias de seguridad rotativas, con una retención máxima de 72 horas, transcurridas las cuales las copias se purgan automáticamente. Las copias de seguridad se utilizan únicamente con fines de continuidad del servicio y recuperación tras incidentes.
9 - Registro técnico
9.1 Ámbito de aplicación
El presente artículo describe los únicos registros técnicos implementados por Octopussian que contienen Datos personales. Los registros de supervisión de infraestructuras (disponibilidad, carga, rendimiento) no incluyen Datos personales y quedan excluidos del ámbito de la presente Política.
9.2 Trazabilidad de las operaciones sobre el gestor de contraseñas compartidas
El gestor de contraseñas compartidas cuenta con un sistema de trazabilidad de operaciones para proteger a los Usuarios frente a cualquier modificación o supresión no autorizada.
Se registran en base de datos: la identidad del Usuario autor de la operación, el tipo de operación (creación, modificación, supresión), la marca de tiempo y la lista de Usuarios que tienen o han tenido derecho de acceso a cada entrada.
El contenido de las contraseñas no es en ningún momento accesible para Octopussian. Están cifradas de extremo a extremo mediante un mecanismo asimétrico: solo los Usuarios con los derechos de acceso correspondientes pueden descifrarlas, del lado del cliente.
Estos registros se conservan durante toda la vida útil de la Cuenta y se suprimen al cierre de la misma.
Base jurídica: interés legítimo de Octopussian en garantizar la integridad del gestor de contraseñas y proteger a los Usuarios frente a operaciones no autorizadas (art. 6.1.f del GDPR).
9.3 Autenticación
Los intentos fallidos de autenticación no dan lugar a un registro persistente. Un contador temporal registra el número de fallos sucesivos para una Cuenta determinada; superado un número limitado de intentos infructuosos consecutivos, se impone un período de espera de veinte minutos antes de cualquier nuevo intento. Este contador se reinicia en caso de conexión exitosa y no constituye un registro duradero de Datos personales.
9.4 Ausencia de registros de acceso persistentes
Octopussian no conserva registros de acceso HTTP, registros de aplicación ni registros de seguridad que contengan Datos personales. Los datos de conexión (direcciones IP, user agents, marcas de tiempo) se tratan en tiempo real con fines de autenticación y detección de anomalías, y se descartan sin almacenamiento persistente. Las métricas de supervisión de infraestructuras (carga de CPU, memoria, espacio en disco) no contienen Datos personales y quedan excluidas del ámbito de la presente Política, de conformidad con el artículo 9.1.
10 - Derechos de los interesados
10.1 Derechos aplicables
El GDPR le confiere, como Interesado, los siguientes derechos respecto a los Datos personales que tratamos en calidad de Responsable del tratamiento.
| Derecho | Objeto | Condiciones y límites |
|---|---|---|
| Acceso (art. 15 GDPR) | Obtener la confirmación de que se tratan Datos que le conciernen y recibir una copia | Gratuito; en caso de solicitudes manifiestamente excesivas o reiteradas, podemos cobrar tasas razonables o negarnos a atenderlas |
| Rectificación (art. 16 GDPR) | Hacer corregir Datos inexactos o incompletos | Puede modificar directamente su propia ficha de Usuario en la Aplicación; para los demás Datos, envíenos una solicitud |
| Supresión (art. 17 GDPR) | Solicitar la eliminación de sus Datos | No aplicable a los Datos que estamos obligados a conservar en virtud de una obligación legal (documentos contables, pruebas contractuales) o para el establecimiento, ejercicio o defensa de reclamaciones legales |
| Portabilidad (art. 20 GDPR) | Recibir sus Datos en un formato estructurado y legible por máquina | Limitado a los Datos que usted ha facilitado y a los tratamientos basados en su consentimiento o en la ejecución del contrato; para la Aplicación, el Titulaire puede solicitar una exportación completa de su Cuenta |
| Oposición (art. 21 GDPR) | Oponerse a un tratamiento basado en el interés legítimo | Podemos mantener el tratamiento si demostramos motivos legítimos imperiosos —en particular para la seguridad de la aplicación y la trazabilidad del gestor de contraseñas— |
| Limitación (art. 18 GDPR) | Suspender temporalmente un tratamiento mientras se impugna su licitud o exactitud | Aplicable en los casos previstos en el artículo 18 del GDPR |
| Retirada del consentimiento (art. 7.3 GDPR) | Retirar en cualquier momento un consentimiento previamente otorgado | Aplicable a los tratamientos basados en el consentimiento (cookies no esenciales, activación de las funcionalidades de inteligencia artificial); la retirada no afecta a la licitud de los tratamientos anteriores |
| Directrices post mortem | Definir el destino de sus Datos tras su fallecimiento | Previsto por la legislación francesa aplicable; envíe sus directrices por correo postal o a .com` |
10.2 Modalidades de ejercicio
Para ejercer uno de los derechos enumerados en el artículo 10.1, envíenos su solicitud a través del formulario de contacto en https://octopussian.com/contact (motivo «Ejercer mis derechos en materia de datos personales»), o por correo electrónico a .
Indique su nombre, su dirección de correo electrónico vinculada a la Aplicación —o, si su Cuenta ha sido cerrada, cualquier elemento que permita identificarle (empresa, período de uso aproximado)—, así como la naturaleza precisa de su solicitud. Podemos, si la situación lo justifica, solicitarle documentación adicional antes de dar curso a su petición.
10.3 Plazos
Respondemos en un plazo de un mes a partir de la recepción de su solicitud. Este plazo puede prorrogarse dos meses adicionales en caso de solicitud compleja; en tal caso, le informaremos durante el primer mes, indicando los motivos de la prórroga.
Si su ficha ha sido seudonimizada tras el cierre de la Cuenta y no puede establecerse su identificación con una certeza razonable, le informaremos de ello y no estaremos obligados a dar curso a su solicitud —véase §8.1.
10.4 Derecho a presentar una reclamación ante la autoridad de control
Si considera, tras habernos contactado, que sus derechos no están siendo respetados, puede presentar una reclamación ante la Commission nationale de l'informatique et des libertés (CNIL) en https://www.cnil.fr/fr/plaintes, o ante la autoridad de control competente de su país de residencia.
10.5 Directrices post mortem y solicitudes de herederos
De conformidad con la normativa francesa de protección de datos aplicable, el Usuario puede enviar a o por correo sus directrices sobre el destino de sus Datos tras su fallecimiento. Estas directrices se refieren únicamente a su ficha personal de identificación y Cuenta (§5.1 y §5.2); los Datos registrados en la Aplicación en el marco de la actividad profesional del Cliente quedan excluidos y son competencia del Cliente en su calidad de Responsable del tratamiento. Las directrices deben ser claras, concisas, en un idioma comprensible para Octopussian y ejecutables sin interpretación jurídica; en caso contrario, se tratarán como inexistentes.
A falta de directrices ejecutables, o cuando el Cliente es él mismo una persona física que actúa de forma profesional sin personalidad jurídica distinta, los causahabientes pueden dirigirse a Octopussian a través de un notario u oficial ministerial equivalente en el derecho aplicable, o directamente con un acta de notoriedad y un certificado de defunción, legalizados o apostillados según los convenios aplicables. Octopussian no está en condiciones de resolver controversias entre causahabientes ni de apreciar la oponibilidad de un secreto profesional aplicable a la actividad del fallecido; las solicitudes dudosas se remiten al notario o a la autoridad colegial competente, y aquellas cuya autenticación no pueda establecerse razonablemente no recibirán curso (artículo 11 del GDPR).
Cuando el Usuario fallecido ya no esté vinculado a ninguna Cuenta, su ficha habrá sido seudonimizada (§8.1); a falta de solicitud en el plazo previsto en el artículo A.11 del DPA, los Datos se suprimen según el calendario de fin de Contrato.
11 - Cookies, rastreadores y píxeles publicitarios
11.1 Sitio de la Aplicación ( app.octopussian.com )
La Aplicación deposita una cookie de sesión técnica en el momento de la autenticación. Esta cookie es estrictamente necesaria para el funcionamiento del servicio: mantiene la sesión del Usuario conectado y no puede rechazarse sin inutilizar la Aplicación. No está sujeta a recogida de consentimiento.
11.2 Sitio comercial ( octopussian.com ) - principio general
No se deposita ningún rastreador ni se transmite ningún dato a socios analíticos o publicitarios sin recabar previamente su consentimiento.
Durante su primera visita al Sitio, se le presenta un diálogo de consentimiento. Este le permite aceptar o rechazar el conjunto de los rastreadores descritos en el artículo 11.3. En ausencia de aceptación, no se activa ningún rastreador. Su elección queda memorizada en el almacenamiento local de su navegador (localStorage) durante un período de 13 meses; transcurrido dicho plazo, el diálogo se le presenta de nuevo. Puede modificar su elección en cualquier momento accediendo al enlace «Más información» disponible en el diálogo.
11.3 Rastreadores sujetos a consentimiento
En caso de aceptación, se activan los siguientes servicios:
| Servicio | Editor | Finalidad | Transferencia fuera de la UE |
|---|---|---|---|
| Google Analytics 4 | Google Ireland Ltd (Irlanda) | Medición de audiencia y análisis del comportamiento de los visitantes; gestión de campañas publicitarias (Google Ads, YouTube Ads) mediante Google Consent Mode v2 | Hacia Google LLC (Estados Unidos) - Marco de Privacidad de Datos UE-Estados Unidos + Cláusulas Contractuales Tipo |
| LinkedIn Insight Tag | LinkedIn Ireland Unlimited Company (Irlanda) | Medición de conversiones y segmentación publicitaria en LinkedIn | Hacia LinkedIn Corporation (Estados Unidos) - Cláusulas Contractuales Tipo |
| Meta Pixel / Conversions API | Meta Platforms Ireland Ltd (Irlanda) | Medición de conversiones y segmentación publicitaria en las redes de Meta (Facebook, Instagram) | Hacia Meta Platforms, Inc. (Estados Unidos) - Marco de Privacidad de Datos UE-Estados Unidos + Cláusulas Contractuales Tipo |
Estos servicios pueden, para sus propias finalidades, tratar Datos personales en calidad de Responsables del tratamiento autónomos (elaboración de perfiles publicitarios, mejora de sus productos). Dichos tratamientos se rigen por sus propias políticas de privacidad.
Las campañas de LinkedIn y Meta no están activas de forma permanente. Los documentos legales de Octopussian cubren su eventual activación desde el momento en que se ha recabado su consentimiento en virtud del presente artículo.
11.4 Infraestructura de recogida del lado servidor
Los datos se transmiten a las plataformas designadas en el artículo 11.3 a través de un mecanismo de recogida del lado servidor (server-side tagging) operado por nuestro subencargado Stape Europe OÜ (Sepapaja tn 6, Tallin, Estonia), establecido en la Unión Europea. En caso de rechazo de los rastreadores, no se recoge ningún dato a través de este mecanismo.
12 - Inteligencia artificial y ausencia de elaboración de perfiles
12.1 Funcionalidades de inteligencia artificial
Nuestra funcionalidad de asistencia inteligente se apoya en un modelo de inteligencia artificial proporcionado por Mistral AI SAS (Francia). Esta funcionalidad solo se activa si el Titulaire la ha habilitado explícitamente para su Cuenta. Por defecto, los datos enviados a dicho modelo se tratan dentro de la Unión Europea. En el caso de que subencargados de Mistral AI situados fuera de la Unión Europea intervinieran en la cadena de tratamiento, Mistral AI garantiza que dichas transferencias están encuadradas por mecanismos conformes al GDPR (cláusulas contractuales tipo o decisión de adecuación). Los datos tratados en este marco no se utilizan para entrenar los modelos de Mistral AI: la opción de opt-out de entrenamiento ha sido activada contractualmente por Octopussian.
12.2 Ausencia de elaboración de perfiles y de decisiones automatizadas
Octopussian no lleva a cabo ninguna elaboración de perfiles de los Usuarios ni adopta ninguna decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o afecte significativamente a los interesados, en el sentido del artículo 22 del GDPR.
13 - Seguridad y notificación de violaciones
13.1 Medidas de seguridad
Octopussian implementa las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los Datos personales, de conformidad con el artículo 32 del GDPR.
13.2 Mecanismos automáticos de prevención de abusos
Los Servicios integran mecanismos automatizados destinados a prevenir el uso indebido de la Aplicación, en particular el análisis previo de los contenidos antes de su transmisión a un subencargado tercero y la no ejecución de operaciones contrarias a la Política de uso aceptable. Estos mecanismos operan sin consulta humana de los Datos del Cliente.
Cuando se detecta una infracción manifiesta de la Política de uso aceptable, la operación en cuestión no se ejecuta y se notifica automáticamente una advertencia al Usuario. La repetición de tales eventos puede dar lugar a una suspensión o rescisión decidida por un miembro del personal habilitado, tras un examen puntual limitado a los metadatos correspondientes (autor, marca de tiempo, tipo de operación), sin acceso al contenido, en las condiciones del artículo 13.4 de las CGU.
13.3 Notificación de violaciones
En caso de violación de Datos personales, Octopussian notifica a la CNIL en un plazo de 72 horas desde el descubrimiento del incidente, cuando dicha notificación sea requerida por el artículo 33 del GDPR. Las obligaciones de notificación frente al Cliente en calidad de Responsable del tratamiento se rigen por el DPA (Anexo A de las CGU).
14 - Modificaciones de la Política
La presente Política puede modificarse en cualquier momento. La fecha de la última actualización figura al pie de página. En caso de modificación sustancial, los Titulaires serán informados según las modalidades previstas en el artículo 20 de las CGU. La versión vigente es la publicada en el Sitio.