La presente Política de Privacidad describe la manera en que HDdev (en adelante «HDdev», «nosotros» o «nuestro») recoge, utiliza, conserva y protege los datos personales de los usuarios (en adelante «usted» o «el Usuario») del servicio Finance.HDdev, de conformidad con el Reglamento (UE) 2016/679 del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal (RGPD) y la legislación belga del 30 de julio de 2018 relativa a la protección de las personas físicas respecto al tratamiento de datos de carácter personal.

Artículo 1 — Responsable del Tratamiento

El responsable del tratamiento de los datos personales es:

Denominación: HDdev
Correo de contacto: contact@hddev.eu
Delegado de Protección de Datos (DPO): privacy@hddev.eu
Para obtener la información legal completa, consulte nuestro aviso legal.

Artículo 2 — Datos Recopilados

2.1 Datos proporcionados directamente por el Usuario

Datos de registro: dirección de correo electrónico, apellidos, nombre, contraseña (almacenada en formato hash);
Datos de perfil: preferencias de idioma, divisa, ajustes de notificación;
Datos de pago: procesados exclusivamente por Stripe (HDdev no almacena ningún dato de tarjeta bancaria).

2.2 Datos recopilados mediante la sincronización bancaria

Datos de cuentas: nombre de la cuenta, número IBAN, saldo, tipo de cuenta;
Datos de transacciones: fecha, importe, concepto, categoría, referencia de la transferencia;
Identidad bancaria: nombre de la entidad bancaria, identificador de conexión bancaria (gestionado exclusivamente por Bridge, no almacenado por HDdev).

Importante: HDdev no almacena en ningún momento sus credenciales bancarias (usuario, contraseña, códigos de acceso). La conexión con sus cuentas se realiza exclusivamente a través de Bridge by Bankin', proveedor autorizado por la ACPR (Autorité de Contrôle Prudentiel et de Résolution) como proveedor de servicios de información sobre cuentas en virtud de la directiva PSD2 (Directiva (UE) 2015/2366).

2.3 Datos recopilados automáticamente

Datos técnicos: dirección IP (anonimizada), tipo de navegador, sistema operativo, resolución de pantalla;
Datos de uso: páginas consultadas, funcionalidades utilizadas, marca temporal de las acciones (con fines de mejora del Servicio).

Artículo 3 — Finalidades y Bases Legales del Tratamiento

Sus datos personales se tratan con las siguientes finalidades:

Ejecución del contrato (Art. 6.1.b RGPD): creación y gestión de la cuenta de usuario, prestación del Servicio de gestión financiera, sincronización bancaria, procesamiento de pagos, atención al cliente.
Consentimiento (Art. 6.1.a RGPD): envío de comunicaciones de marketing (boletines, ofertas promocionales). Puede retirar su consentimiento en cualquier momento.
Interés legítimo (Art. 6.1.f RGPD): mejora del Servicio, detección de fraude y seguridad, análisis estadístico anonimizado del uso del Servicio.
Obligación legal (Art. 6.1.c RGPD): conservación de los datos de facturación conforme a la legislación fiscal belga, respuesta a los requerimientos de las autoridades competentes.

Artículo 4 — Encargados del Tratamiento y Destinatarios

Sus datos personales podrán comunicarse a los siguientes encargados del tratamiento, que actúan por cuenta y siguiendo las instrucciones de HDdev:

public.privacy.article4Li1Rich
Stripe, Inc. (Estados Unidos, con tratamiento europeo): proveedor de servicios de pago certificado PCI-DSS Nivel 1, que garantiza el procesamiento seguro de pagos con tarjeta bancaria y domiciliación SEPA. Stripe cumple con el Data Privacy Framework UE-EE. UU.
Infomaniak Network SA (Suiza): proveedor de servicios de correo electrónico, que garantiza el envío de correos transaccionales y notificaciones. Infomaniak está sujeto a la ley federal suiza de protección de datos (nLPD), reconocida como adecuada por la Comisión Europea.

HDdev no vende, alquila ni comunica en ningún caso sus datos personales a terceros con fines publicitarios o comerciales.

Artículo 5 — Alojamiento y Transferencias de Datos

Los datos personales se alojan en una infraestructura situada en Europa. No se realiza ninguna transferencia de datos fuera del Espacio Económico Europeo, salvo en el marco de los servicios prestados por Stripe, que se acoge al Data Privacy Framework UE-EE. UU. y a las cláusulas contractuales tipo aprobadas por la Comisión Europea.

Artículo 6 — Seguridad de los Datos

HDdev aplica medidas técnicas y organizativas adecuadas para proteger sus datos personales frente a cualquier acceso no autorizado, alteración, divulgación o destrucción:

Cifrado: todos los datos sensibles se cifran en reposo con el algoritmo Fernet (AES + HMAC) y en tránsito mediante HTTPS/TLS;
Contraseñas: almacenadas exclusivamente en forma de hash (bcrypt) con salt individual;
Acceso: acceso a los datos restringido únicamente a los empleados autorizados, según el principio del menor privilegio;
Supervisión: monitorización continua de los accesos y detección de anomalías;
Copias de seguridad: copias de seguridad cifradas periódicas con plan de recuperación de actividad;
Auditorías: evaluaciones de seguridad periódicas y pruebas de penetración.

Artículo 7 — Duración de la Conservación

Datos de la cuenta: conservados durante todo el periodo de uso del Servicio. En caso de supresión de la cuenta, los datos se eliminan en un plazo de treinta (30) días, salvo obligaciones legales de conservación.
Datos de facturación: conservados durante cinco (5) años tras la última transacción, conforme a las obligaciones contables y fiscales belgas (Art. III.86 del Código de derecho económico).
Datos bancarios sincronizados: conservados durante la vigencia de la cuenta. Eliminados en un plazo de treinta (30) días tras la desconexión de la cuenta bancaria o la supresión de la cuenta de usuario.
Registros técnicos: conservados durante un máximo de doce (12) meses y, a continuación, anonimizados.
Datos tras la supresión: tras la supresión de la cuenta, los datos no sujetos a una obligación legal de conservación se anonimizan o eliminan en un plazo de treinta (30) días. Los datos sujetos a obligación legal (facturación) se conservan durante cinco (5) años adicionales en un archivo seguro con acceso restringido.

Artículo 8 — Sus Derechos

De conformidad con el RGPD y la legislación belga, usted dispone de los siguientes derechos sobre sus datos personales:

Derecho de acceso (Art. 15 RGPD): obtener confirmación del tratamiento de sus datos y recibir una copia de los mismos;
Derecho de rectificación (Art. 16 RGPD): corregir los datos inexactos o incompletos;
Derecho de supresión (Art. 17 RGPD): solicitar la supresión de sus datos, salvo obligaciones legales;
Derecho a la portabilidad (Art. 20 RGPD): recibir sus datos en un formato estructurado, de uso común y legible por máquina;
Derecho de oposición (Art. 21 RGPD): oponerse al tratamiento de sus datos por motivos legítimos;
Derecho a la limitación (Art. 18 RGPD): solicitar la limitación del tratamiento en los casos previstos por el RGPD;
Derecho a retirar el consentimiento (Art. 7.3 RGPD): retirar su consentimiento en cualquier momento para los tratamientos basados en él;
Derecho a presentar una reclamación: ante la Autoridad de Protección de Datos belga (APD) — www.autoriteprotectiondonnees.be.

Para ejercer sus derechos, envíe su solicitud por correo electrónico a privacy@hddev.eu adjuntando una copia de su documento de identidad. Nos comprometemos a responder en un plazo de un mes desde la recepción de su solicitud, conforme al Artículo 12.3 del RGPD.

Artículo 9 — Cookies

Para cualquier información relativa al uso de cookies en Finance.HDdev, consulte nuestra Política de Cookies específica.

Artículo 10 — Protección de Menores

El Servicio está destinado a personas mayores de 16 años. HDdev no recopila conscientemente datos personales de menores de 16 años. Si tenemos conocimiento de que un menor de 16 años nos ha facilitado datos personales sin el consentimiento parental requerido, suprimiremos dichos datos lo antes posible.

Artículo 11 — Violación de Datos

En caso de violación de datos personales que pueda suponer un riesgo para sus derechos y libertades, HDdev se compromete a notificarlo a la Autoridad de Protección de Datos belga en un plazo de 72 horas, conforme al Artículo 33 del RGPD. Si la violación puede suponer un riesgo elevado, usted también será informado directamente, conforme al Artículo 34 del RGPD.

Artículo 12 — Modificación de la Política

HDdev se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento. Toda modificación sustancial se notificará a los Usuarios por correo electrónico y/o mediante notificación en el Servicio al menos treinta (30) días antes de su entrada en vigor. La fecha de la última actualización se indica al pie de esta página.

Artículo 13 — Contacto

Para cualquier consulta relativa a la presente Política de Privacidad o a la protección de sus datos personales, puede ponerse en contacto con nosotros:

Correo electrónico general: contact@hddev.eu
Delegado de Protección de Datos: privacy@hddev.eu