Política de Privacidad y Protección de Datos de Carácter Personal

Documento conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y demás normativa aplicable.
Última revisión: 30 de abril de 2026 — Versión 1.0

1. Objeto y ámbito de aplicación

La presente Política de Privacidad regula el tratamiento de los datos de carácter personal recabados por Trinocex Solutions (en adelante, el "Responsable del Tratamiento" o la "Entidad") en el marco de la prestación de sus servicios de gestión unificada de comunicaciones digitales, atención al cliente y automatización de procesos comerciales.

Resulta de aplicación a todo Interesado cuyos datos personales sean objeto de tratamiento por parte del Responsable, ya sea con motivo del acceso al sitio web, la utilización de los canales de comunicación habilitados (mensajería instantánea, correo electrónico, telefonía, formularios web), la contratación de productos o servicios, o cualquier otra interacción con la Entidad o con sus sistemas de información.

El acceso o utilización de los servicios implica el conocimiento y aceptación expresa de los términos descritos en este documento, sin perjuicio del consentimiento específico que, en su caso, sea legalmente exigible para tratamientos concretos.

2. Identidad y datos de contacto del Responsable del Tratamiento

3. Definiciones

A los efectos de la presente Política, los términos empleados se interpretarán conforme a las definiciones contenidas en el artículo 4 del RGPD. En particular:

• "Datos personales": toda información sobre una persona física identificada o identificable.
• "Tratamiento": cualquier operación o conjunto de operaciones realizadas sobre datos personales.
• "Interesado": persona física titular de los datos personales objeto de tratamiento.
• "Encargado del tratamiento": persona física o jurídica que trata datos personales por cuenta del Responsable.
• "Consentimiento": manifestación de voluntad libre, específica, informada e inequívoca por la que el Interesado acepta el tratamiento.

4. Categorías de datos personales objeto de tratamiento

Atendiendo al contexto de la relación con el Interesado y a las finalidades indicadas en la cláusula quinta, el Responsable trata las siguientes categorías de datos:

4.1. Datos identificativos y de contacto

• Nombre, apellidos y, en su caso, denominación social.
• Dirección postal y dirección de correo electrónico.
• Número de teléfono fijo o móvil.
• Identificadores en plataformas de mensajería de terceros (nombre de usuario y/o identificador de cuenta de Instagram, número de WhatsApp, etc.).
• Imagen de perfil pública vinculada a las cuentas indicadas, en su caso.

4.2. Datos relativos a las comunicaciones mantenidas

• Contenido textual, gráfico, audiovisual o documental de los mensajes intercambiados a través de los canales habilitados.
• Metadatos asociados a la comunicación: fecha y hora, estado de entrega, lectura, reacciones y demás información técnica accesoria.
• Adjuntos enviados por el Interesado.

4.3. Datos de carácter económico, financiero y de seguros

• Datos fiscales (N.I.F., C.I.F., domicilio fiscal) precisos para la emisión de facturas o documentos equivalentes.
• Direcciones de envío y de facturación.
• Información transaccional vinculada a pedidos, presupuestos, devoluciones y reembolsos.
• Datos de pago tratados, en cualquier caso, exclusivamente por entidades certificadas conforme al estándar PCI-DSS, sin que el Responsable almacene en ningún momento los datos completos del instrumento de pago.

4.4. Datos derivados del uso de los sistemas de información

• Dirección IP de origen.
• Identificadores de sesión y cookies estrictamente necesarias.
• Información sobre el dispositivo, navegador, sistema operativo y configuración regional.
• Registros de acceso y trazabilidad para fines de auditoría y seguridad.

5. Finalidades del tratamiento y bases jurídicas

Los datos personales se tratan con las finalidades, bases jurídicas y plazos de conservación que se detallan a continuación:

Finalidad	Base jurídica (art. 6 RGPD)
Atención de consultas, solicitudes y reclamaciones cursadas por el Interesado.	Ejecución de un contrato o aplicación de medidas precontractuales [art. 6.1.b]
Gestión administrativa, contable, fiscal y logística de la relación comercial.	Ejecución contractual [art. 6.1.b] y obligación legal [art. 6.1.c]
Cumplimiento de obligaciones legales en materia tributaria, mercantil y de prevención del fraude.	Obligación legal [art. 6.1.c]
Remisión de comunicaciones comerciales electrónicas relativas a productos y servicios análogos.	Interés legítimo [art. 6.1.f] o consentimiento expreso [art. 6.1.a], según proceda conforme al art. 21.2 LSSI-CE.
Realización de análisis estadísticos y de calidad del servicio, sobre la base de datos previamente disociados.	Interés legítimo [art. 6.1.f]
Mantenimiento de la integridad, disponibilidad y seguridad de los sistemas de información.	Interés legítimo [art. 6.1.f]
Defensa frente a reclamaciones administrativas o judiciales.	Interés legítimo [art. 6.1.f]

El Responsable ha llevado a cabo la correspondiente ponderación entre el interés legítimo perseguido y los derechos y libertades fundamentales de los Interesados, en los términos del Considerando 47 del RGPD, no apreciando prevalencia de los segundos sobre los primeros.

6. Origen de los datos personales

Los datos personales tratados proceden, con carácter general, del propio Interesado, quien los facilita voluntariamente a través de los canales de comunicación habilitados, formularios electrónicos o procesos contractuales.

Adicionalmente, determinados datos pueden ser obtenidos a través de las plataformas de mensajería de terceros con las que el Responsable mantiene integraciones técnicas (Meta Platforms Ireland Ltd., entre otras), siempre con base en el consentimiento previo prestado por el Interesado a dichas plataformas y en el marco de los respectivos términos de uso.

7. Tratamientos específicos derivados de la integración con plataformas de Meta

El Responsable utiliza, en el marco de su actividad y previo cumplimiento de los requisitos exigidos por el proveedor, los servicios de mensajería empresarial proporcionados por Meta Platforms, Inc. y sus filiales europeas, en concreto:

7.1. Instagram Messaging API (Instagram Business Login)

Cuando un Interesado dirige comunicaciones a la cuenta empresarial de Instagram operada por el Responsable, Meta transmite a los sistemas del Responsable, mediante webhook autenticado, los siguientes datos:

• Identificador de la cuenta empresarial del Interesado (Instagram Business Account ID) y nombre de usuario público.
• Contenido del mensaje y, en su caso, archivos adjuntos.
• Metadatos relativos a la conversación: identificadores de mensaje, fechas, marcas de lectura y entrega, reacciones y elementos análogos.

El Responsable solicita exclusivamente los permisos instagram_business_basic e instagram_business_manage_messages, con el fin único de gestionar la conversación con el Interesado en el panel unificado de atención. No se accede en ningún caso a la lista de seguidores, contactos privados, contenido de carácter personal no incluido en la conversación, ni a ninguna otra información ajena al estricto ámbito de la mensajería empresarial.

7.2. WhatsApp Business Platform (Cloud API)

Análogamente, las comunicaciones recibidas a través de WhatsApp se procesan al amparo de las condiciones de la WhatsApp Business Solution. La Entidad recibe el número de teléfono del Interesado, su nombre de perfil de WhatsApp y el contenido del mensaje, validando criptográficamente la autenticidad de cada notificación mediante verificación HMAC-SHA256 de la firma proporcionada por Meta.

7.3. Cumplimiento de la Política de Plataforma de Meta

El Responsable se obliga al cumplimiento íntegro de las condiciones contenidas en la Política de la Plataforma de Meta, así como del Anexo de Tratamiento de Datos, lo que comporta, entre otras obligaciones, las siguientes:

• No utilizar los datos obtenidos de las plataformas de Meta con fines publicitarios externos a la propia conversación.
• No cederlos a terceros para finalidades distintas a la prestación del servicio contratado.
• No utilizarlos para la elaboración de perfiles ajenos al ámbito de la mensajería empresarial.
• Proceder a su supresión cuando se extinga la relación con el Interesado o cuando este ejerza el derecho de supresión.

8. Destinatarios de los datos y encargados del tratamiento

Los datos personales podrán ser comunicados a las siguientes categorías de destinatarios y encargados del tratamiento, todos ellos vinculados por las correspondientes garantías contractuales y de seguridad exigidas por el artículo 28 del RGPD:

Encargado / Destinatario	Finalidad	Ubicación
OVHcloud SAS	Servicios de alojamiento de infraestructura	Unión Europea (Francia)
Meta Platforms Ireland Limited	Provisión de las APIs de Instagram y WhatsApp Business	Unión Europea (Irlanda) — flujos secundarios a EE. UU. amparados por Cláusulas Contractuales Tipo
Stripe Payments Europe Limited	Procesamiento de pagos electrónicos	Unión Europea (Irlanda)
OpenAI Ireland Limited	Servicios de procesamiento de lenguaje natural para asistencia conversacional, cuando proceda	Unión Europea (Irlanda) — flujos secundarios a EE. UU. amparados por Cláusulas Contractuales Tipo
n8n GmbH	Motor de automatización de flujos de trabajo, desplegado en infraestructura propia del Responsable	Unión Europea (Alemania)
Administraciones públicas, Fuerzas y Cuerpos de Seguridad y autoridades judiciales	Cumplimiento de obligaciones legales y atención a requerimientos formales	Reino de España / Unión Europea

9. Transferencias internacionales de datos

Con carácter general, los datos personales se tratan dentro del Espacio Económico Europeo. No obstante, determinadas operaciones técnicas pueden conllevar transferencias internacionales a Estados Unidos u otros terceros países, en cuyo caso el Responsable garantiza que dichas transferencias se efectúan al amparo de alguno de los mecanismos previstos en el Capítulo V del RGPD, en particular:

• Decisiones de adecuación adoptadas por la Comisión Europea, conforme al artículo 45 del RGPD (en su caso, EU-U.S. Data Privacy Framework).
• Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución UE 2021/914), conforme al artículo 46.2 del RGPD.
• Adopción de medidas suplementarias técnicas y organizativas, cuando el análisis de impacto así lo requiera, en línea con las recomendaciones del Comité Europeo de Protección de Datos.

10. Plazos de conservación de los datos

Los datos personales se conservarán durante el tiempo estrictamente necesario para el cumplimiento de las finalidades para las que fueron recabados, así como para la determinación de las posibles responsabilidades derivadas de la relación. Concretamente:

• Datos contractuales y de transacción: durante la vigencia de la relación y, posteriormente, durante los plazos de prescripción aplicables a las acciones derivadas de la misma, con un mínimo de seis (6) años conforme al artículo 30 del Código de Comercio en lo concerniente a documentación mercantil y contable.
• Comunicaciones a través de los canales de mensajería: durante un período de veinticuatro (24) meses desde la última interacción, salvo solicitud previa de supresión por parte del Interesado o existencia de obligación legal de conservación.
• Datos tratados con fines de mercadotecnia: hasta la retirada del consentimiento prestado o, en su caso, la oposición ejercida por el Interesado.
• Registros técnicos de acceso y auditoría: durante un período máximo de noventa (90) días, salvo que su conservación sea necesaria para la investigación de incidentes de seguridad.
• Tokens de autorización y credenciales cifradas: durante el tiempo de vigencia de la integración técnica con la plataforma correspondiente, procediéndose a su revocación inmediata en caso de desconexión.

Transcurridos los plazos indicados, los datos serán suprimidos o, en su caso, debidamente anonimizados con carácter irreversible, de modo que no resulte posible la reidentificación del Interesado.

11. Derechos del Interesado

El Interesado tiene reconocidos, en relación con los datos de carácter personal que le conciernan, los siguientes derechos previstos en los artículos 15 a 22 del RGPD y en los artículos 12 a 18 de la LOPDGDD:

• Derecho de acceso: a obtener confirmación sobre la existencia o no de tratamiento, así como información sobre las características del mismo y copia de los datos que sean objeto de tratamiento.
• Derecho de rectificación: a obtener la rectificación de los datos inexactos o incompletos.
• Derecho de supresión ("derecho al olvido"): a obtener la supresión de los datos cuando concurra alguno de los supuestos del artículo 17 del RGPD.
• Derecho a la limitación del tratamiento: a solicitar la suspensión temporal del tratamiento en los supuestos del artículo 18 del RGPD.
• Derecho a la portabilidad de los datos: a recibir, en formato estructurado, de uso común y lectura mecánica, los datos facilitados al Responsable, así como a transmitirlos a otro responsable cuando ello sea técnicamente posible.
• Derecho de oposición: a oponerse al tratamiento basado en el interés legítimo del Responsable, así como al tratamiento con fines de mercadotecnia directa.
• Derecho a no ser objeto de decisiones automatizadas: en los términos del artículo 22 del RGPD, sin perjuicio de las excepciones legalmente previstas.
• Derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

El ejercicio de los derechos enumerados podrá efectuarse mediante comunicación escrita dirigida a la dirección postal indicada en la cláusula segunda o, alternativamente, a la dirección de correo electrónico privacidad@trinocex.es, identificando la solicitud con el asunto "Ejercicio de derechos en materia de protección de datos" y acompañando documento acreditativo de la identidad del solicitante.

El Responsable atenderá la solicitud en el plazo máximo de un (1) mes desde su recepción, prorrogable por dos (2) meses adicionales en supuestos de especial complejidad, conforme al artículo 12.3 del RGPD.

12. Decisiones automatizadas y elaboración de perfiles

El Responsable no adopta, con carácter general, decisiones basadas exclusivamente en el tratamiento automatizado de datos personales que produzcan efectos jurídicos sobre el Interesado o le afecten significativamente de modo similar.

En los casos en que se utilicen herramientas de inteligencia artificial conversacional para la asistencia inicial del Interesado, dichas herramientas operan bajo supervisión humana y no sustituyen la decisión final que pueda adoptarse en relación con cualquier solicitud del Interesado, garantizándose en todo caso el derecho a obtener intervención humana, a expresar el punto de vista del Interesado y a impugnar la decisión.

13. Medidas técnicas y organizativas de seguridad

El Responsable ha implementado medidas técnicas y organizativas apropiadas, conformes al estado de la técnica, al alcance del tratamiento y al riesgo identificado para los derechos y libertades de los Interesados, en cumplimiento de los artículos 24, 25 y 32 del RGPD. Entre las medidas adoptadas se incluyen, sin carácter limitativo:

• Cifrado de las comunicaciones en tránsito mediante TLS versión 1.2 o superior.
• Cifrado en reposo de credenciales y datos sensibles mediante AES-256-GCM con gestión segura de claves.
• Autenticación reforzada de doble factor para el personal con acceso administrativo.
• Aislamiento lógico por inquilino mediante esquemas independientes en la base de datos, garantizando la segregación efectiva entre clientes.
• Registro y auditoría completa de accesos administrativos y operaciones críticas.
• Realización periódica de copias de seguridad cifradas con política de rotación.
• Verificación criptográfica de la integridad y autenticidad de los webhooks recibidos de plataformas externas mediante HMAC-SHA256.
• Renovación automatizada de los certificados digitales emitidos por autoridades de certificación reconocidas.
• Aplicación efectiva del principio de minimización de datos, recabando exclusivamente los estrictamente necesarios para cada finalidad.
• Procedimientos de respuesta ante incidentes de seguridad, incluidas las obligaciones de notificación previstas en los artículos 33 y 34 del RGPD.

14. Tratamiento de datos relativos a menores de edad

Los servicios prestados por el Responsable están dirigidos a personas mayores de catorce (14) años, en aplicación del límite previsto en el artículo 7 de la LOPDGDD. Cuando el tratamiento se base en el consentimiento, el Responsable presumirá que el Interesado dispone de la capacidad legal necesaria para prestarlo.

En el supuesto de tener conocimiento de que se han recabado datos de menores que no cumplan dicho requisito de edad sin el consentimiento de los titulares de la patria potestad o tutela, el Responsable procederá a la inmediata supresión de los datos correspondientes. Cualquier sospecha en tal sentido podrá comunicarse a la dirección electrónica indicada en la cláusula segunda.

15. Política de cookies

El sitio web del Responsable utiliza exclusivamente cookies estrictamente necesarias para el funcionamiento técnico del servicio (mantenimiento de sesión, prevención de ataques de falsificación de petición en sitios cruzados y análogas), las cuales están exentas del deber de información y consentimiento previo conforme al artículo 22.2 de la LSSI-CE y a las directrices de la Agencia Española de Protección de Datos.

La utilización de cookies analíticas o de cualquier otra naturaleza no esencial requerirá, en su caso, la obtención del consentimiento previo, libre, específico, informado e inequívoco del Interesado mediante mecanismo de aceptación expresa, conforme a las directrices vigentes.

16. Modificaciones de la presente Política

El Responsable se reserva el derecho a modificar la presente Política con el objeto de adaptarla a novedades legislativas, jurisprudenciales o técnicas, así como a las prácticas de la industria. Las modificaciones serán publicadas en el presente sitio web, indicándose en todo caso la fecha de la última actualización.

Cuando las modificaciones afecten de manera sustancial a los derechos del Interesado o introduzcan nuevas finalidades de tratamiento, se procederá a su notificación individual a través de los medios habituales de comunicación.

17. Autoridad de control y derecho de reclamación

Sin perjuicio del derecho a interponer reclamación ante el Responsable a través de los cauces indicados en la cláusula undécima, el Interesado tiene derecho a presentar reclamación ante la Agencia Española de Protección de Datos, autoridad de control competente en territorio nacional, especialmente cuando no haya obtenido satisfacción en el ejercicio de sus derechos.

18. Legislación aplicable y jurisdicción

La presente Política se rige por la normativa española y de la Unión Europea en materia de protección de datos personales, en particular por:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
• Demás normativa nacional, europea y sectorial que resulte de aplicación.

Para la resolución de cuantas controversias pudieran derivarse de la interpretación o aplicación de esta Política, las partes se someten expresamente, con renuncia a cualquier otro fuero que pudiera corresponderles, a los Juzgados y Tribunales de la ciudad de Vigo (Pontevedra), salvo cuando el Interesado tenga la consideración de consumidor o usuario, en cuyo caso resultarán competentes los del domicilio del Interesado, conforme al artículo 90.2 del Real Decreto Legislativo 1/2007, de 16 de noviembre.