Política de Privacidad
Última actualización: 13 de mayo de 2026
Versión 2.0
Conformidad: Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 (LOPDGDD), Ley 34/2002 (LSSI-CE) y guías de la AEPD vigentes.
1. Responsable del tratamiento
Pendiente de completar por el titular antes de publicar
- Titular: [Pendiente: razón social definitiva — autónomo o SL]
- NIF / CIF: [Pendiente]
- Domicilio social: [Pendiente]
- Nombre comercial: OposAGE
- Sitio web: https://oposage.com
- Email de contacto: contacto@oposage.com
Delegado de Protección de Datos (DPO): A la fecha de esta Política, OposAGE no está obligada a designar DPO conforme al artículo 37.1 RGPD y artículo 34 LOPDGDD (volumen y categorías de datos por debajo de los umbrales obligatorios). El contacto de referencia para asuntos de privacidad es contacto@oposage.com.
Se designará DPO conforme se alcancen los umbrales que lo exijan reglamentariamente (más de 50.000 interesados activos/año, tratamiento de categorías especiales a gran escala, o exigencia derivada del Reglamento IA UE).
2. Datos personales que tratamos
2.1 Datos de identificación y cuenta
- Nombre y apellidos (opcional en el perfil de usuario).
- Dirección de correo electrónico (obligatoria para el registro).
- Contraseña (almacenada con hash; nunca en texto plano).
- Fecha de registro y último acceso.
2.2 Datos de uso y progreso académico
- Sesiones de estudio: duración, bloques completados, intervalos FSRS.
- Resultados de exámenes y simulacros: puntuaciones, respuestas, tiempo empleado.
- Conversaciones con el asistente de IA: texto introducido y respuestas generadas.
- Progreso por tema y artículo legal: nivel de dominio, áreas débiles detectadas.
2.3 Datos de facturación
- Historial de suscripción y plan activo.
- Datos de facturación (nombre fiscal, dirección). No almacenamos datos de tarjeta; el procesamiento lo realiza Stripe.
2.4 Datos técnicos
- Dirección IP (pseudonimizada mediante hash).
- User agent y tipo de dispositivo.
- Logs de autenticación y acceso.
- Identificador de sesión y preferencias de consentimiento (cookie
oposage-consent-v1).
3. Finalidades y bases jurídicas
| Finalidad | Base jurídica | Precepto RGPD |
|---|---|---|
| Prestación del servicio de preparación de oposiciones (acceso a contenido, flashcards, exámenes, chat IA) | Ejecución del contrato de suscripción | Art. 6.1.b RGPD |
| Facturación, cobro y contabilidad | Cumplimiento de obligación legal (LGT, Código de Comercio) | Art. 6.1.c RGPD |
| Gestión de cuenta, soporte técnico y atención al cliente | Ejecución del contrato | Art. 6.1.b RGPD |
| Mejora del producto mediante análisis agregado y anonimizado del uso | Interés legítimo (mejora del servicio contratado, sin posibilidad de reidentificación) | Art. 6.1.f RGPD |
| Seguridad de la plataforma y prevención de fraude | Interés legítimo | Art. 6.1.f RGPD |
| Analítica web (Vercel Analytics, PostHog cuando esté activo) | Consentimiento explícito mediante banner CMP | Art. 6.1.a RGPD |
| Comunicaciones comerciales sobre productos similares a clientes activos | Interés legítimo (art. 21 LSSI-CE) + derecho de oposición activo | Art. 6.1.f RGPD |
| Cumplimiento de obligaciones legales (requerimientos judiciales, AEPD) | Obligación legal | Art. 6.1.c RGPD |
4. Plazos de conservación
| Categoría de dato | Plazo activo | Plazo post-cancelación |
|---|---|---|
| Cuenta de usuario y datos de progreso | Mientras la cuenta está activa | 30 días (backup), luego supresión |
| Datos de facturación y contabilidad | Vigencia contrato | 4 años (LGT) / 6 años (Código de Comercio) |
| Conversaciones con el asistente IA | Vigencia cuenta | 30 días post-cancelación |
| Logs de seguridad y acceso | 6 años | 6 años |
| Datos de consentimiento (RGPD) | 24 meses (prueba de consentimiento, AEPD 2023) | 24 meses |
| Cookies analíticas | 14 meses desde instalación | n/a |
5. Destinatarios, subencargados y transferencias internacionales
OposAGE no cede datos personales a terceros salvo a los subencargados necesarios para la prestación del servicio y a administraciones o tribunales por obligación legal.
El listado completo y actualizado de subencargados del tratamiento (11 proveedores documentados) está disponible en /legal/subencargados.
Transferencias internacionales (fuera del EEE): algunos subencargados procesan datos en Estados Unidos. Dichas transferencias se amparan en:
- Cláusulas Contractuales Tipo (SCCs) UE 2021/914, módulo aplicable según la relación responsable/encargado.
- Adhesión del importador al EU-US Data Privacy Framework (Decisión de Adecuación 2023/1795) cuando aplique.
- Medidas suplementarias técnicas: cifrado en tránsito y en reposo, control de logs, opción de zero data retention (OpenAI) cuando está disponible.
OposAGE no vende datos personales ni los cede con fines publicitarios de terceros.
6. Decisiones automatizadas e inteligencia artificial
El servicio incluye un asistente conversacional con IA y un motor de predicción bayesiana de probabilidad de plaza. OposAGE considera que estos procesos no constituyen decisiones automatizadas individuales con efectos jurídicos o significativos en el sentido del artículo 22 RGPD, por las siguientes razones:
- Las respuestas del chat tienen naturaleza educativa y orientativa; no son jurídicamente vinculantes.
- Las predicciones de probabilidad de plaza son estimaciones estadísticas internas y no determinan acceso a recursos oficiales ni calificaciones académicas.
- La intervención humana del usuario es decisiva en el uso final de la información.
Cada respuesta del asistente incluye un disclaimer educativo visible y cita al artículo del BOE de origen, conforme al artículo 50 del Reglamento de Inteligencia Artificial (UE) 2024/1689 (AI Act).
El usuario conserva en todo momento el derecho a obtener intervención humana, expresar su opinión e impugnar cualquier resultado del servicio.
7. Derechos de los interesados
Conforme a los artículos 15-22 RGPD y artículos 11-18 LOPDGDD, tienes los siguientes derechos:
| Derecho | Precepto | Cómo ejercerlo |
|---|---|---|
| Acceso | Art. 15 RGPD | Email a contacto@oposage.com o botón "Exportar tus datos" en Configuración |
| Rectificación | Art. 16 RGPD | Email a contacto@oposage.com o sección de perfil |
| Supresión (derecho al olvido) | Art. 17 RGPD | Email a contacto@oposage.com o botón "Eliminar cuenta" en Configuración. El endpoint /api/gdpr/delete-account ejecuta la supresión en menos de 24 horas. |
| Limitación del tratamiento | Art. 18 RGPD | Email a contacto@oposage.com |
| Portabilidad | Art. 20 RGPD | Botón "Exportar tus datos" en Configuración (exporta JSON/CSV). El endpoint /api/gdpr/export-account genera el archivo descargable. |
| Oposición | Art. 21 RGPD | Email a contacto@oposage.com (especialmente para tratamientos por interés legítimo) |
| No ser objeto de decisión automatizada individual | Art. 22 RGPD | Ver sección 6 de esta Política |
| Revocación del consentimiento | Art. 7.3 RGPD | Panel de cookies o email a contacto@oposage.com. El endpoint /api/gdpr/consent registra y gestiona el estado del consentimiento. |
Plazo de respuesta: máximo 1 mes desde la recepción de solicitud válida, ampliable a 2 meses adicionales si la complejidad lo justifica (con notificación previa). El ejercicio es gratuito salvo solicitudes manifiestamente infundadas o excesivas.
Documentación requerida: copia del DNI u otra identificación equivalente, o referencia inequívoca al contrato.
8. Reclamación ante la autoridad de control
Si consideras que el tratamiento de tus datos infringe la normativa aplicable, tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD) (C/ Jorge Juan 6, 28001 Madrid — tel. 901 100 099). No es necesario haber reclamado previamente a OposAGE, aunque recomendamos contactarnos primero en contacto@oposage.com para resolver de forma ágil.
9. Medidas de seguridad
Aplicamos las medidas técnicas y organizativas previstas en el artículo 32 RGPD:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Cabeceras de seguridad HTTP activas: HSTS, CSP, Permissions-Policy, X-Frame-Options.
- Autenticación multifactor disponible para cuentas de usuario.
- Control de accesos basado en mínimo privilegio.
- Audit logs con retención de 6 años.
- Plan de respuesta a incidentes con notificación a la AEPD en menos de 72 horas (art. 33 RGPD).
- Política de divulgación responsable de vulnerabilidades publicada en /legal/seguridad y en /.well-known/security.txt.
Para reportar una vulnerabilidad de seguridad: seguridad@oposage.com.
10. Menores de edad
El servicio está orientado a personas adultas que preparan oposiciones (mayores de 18 años). No solicitamos ni tratamos conscientemente datos de menores de 14 años, umbral establecido en el artículo 8 RGPD y artículo 7 LOPDGDD. Si detectamos tratamiento de datos de menores sin consentimiento parental válido, procederemos a su supresión inmediata.
11. Cambios en esta Política
OposAGE puede actualizar esta Política para reflejar cambios normativos, nuevas funcionalidades o incorporación/sustitución de subencargados. Los cambios sustanciales se notificarán con al menos 30 días naturales de antelación mediante email a usuarios activos y banner visible en oposage.com. El uso continuado del servicio tras la notificación implica aceptación de la nueva versión, sin perjuicio del derecho a resolver el contrato si los cambios son materialmente perjudiciales.
Última actualización: 13 de mayo de 2026 — Versión 2.0