Política de Privacidad

Última actualización: marzo de 2025

En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), le informamos de nuestra política de privacidad.

1. Identidad y datos de contacto del Responsable del Tratamiento

  • Razón social: Abadesa Export Center S.L.
  • Nombre comercial: Xpandex
  • CIF: B86507936
  • Domicilio social: Avenida Profesor Peraza de Ayala, nº 3, 38001, Santa Cruz de Tenerife, España
  • Correo electrónico: info@xpandex.es
  • Sitio web: https://xpandex.es

Abadesa Export Center S.L. no está obligada a designar Delegado de Protección de Datos (DPD) conforme al Art. 37 RGPD, al no tratarse de una autoridad pública ni realizar tratamientos que requieran observación habitual y sistemática a gran escala.

2. Principios aplicados en el tratamiento de datos

En el tratamiento de sus datos personales aplicamos los principios recogidos en el Art. 5 RGPD:

  • Licitud, lealtad y transparencia: Solo tratamos sus datos con una base jurídica válida y con plena transparencia.
  • Limitación de la finalidad: Los datos se recogen con fines determinados, explícitos y legítimos.
  • Minimización de datos: Solo tratamos los datos estrictamente necesarios.
  • Exactitud: Mantenemos los datos actualizados y corregimos los inexactos.
  • Limitación del plazo de conservación: Los datos se conservan solo durante el tiempo necesario.
  • Integridad y confidencialidad: Aplicamos medidas técnicas y organizativas adecuadas para proteger los datos.

3. Finalidades y bases jurídicas del tratamiento

Tratamos sus datos personales para las siguientes finalidades, con la base jurídica indicada en cada caso:

3.1 Gestión de la relación contractual y prestación de servicios

Finalidad: Gestionar la contratación, ejecución y facturación de los servicios digitales solicitados (diseño web, SEO, redes sociales, automatización, chatbots, etc.).

Base jurídica: Art. 6.1.b) RGPD — ejecución de un contrato en el que el interesado es parte, o para la aplicación de medidas precontractuales.

Datos tratados: nombre, apellidos o razón social, NIF/CIF, dirección fiscal, teléfono, correo electrónico, datos bancarios para facturación, información técnica del proyecto.

3.2 Cumplimiento de obligaciones legales

Finalidad: Cumplir con las obligaciones tributarias, mercantiles, laborales y de seguridad social derivadas de la relación contractual.

Base jurídica: Art. 6.1.c) RGPD — cumplimiento de una obligación legal.

Datos tratados: datos de facturación e identificación fiscal, conforme a la Ley 58/2003 General Tributaria y el Código de Comercio.

3.3 Comunicaciones comerciales y envío de presupuestos

Finalidad: Responder a solicitudes de información o presupuesto y, previo consentimiento, enviar comunicaciones comerciales sobre nuestros servicios.

Base jurídica: Art. 6.1.a) RGPD — consentimiento del interesado; y Art. 6.1.f) RGPD — interés legítimo para comunicaciones a clientes actuales sobre servicios similares (Art. 21.2 LSSICE).

Datos tratados: nombre, correo electrónico, teléfono, empresa, mensaje.

3.4 Gestión de clientes mediante CRM

Finalidad: Gestionar la cartera de clientes y el seguimiento comercial mediante nuestra plataforma CRM (GoHighLevel, operado bajo marca blanca).

Base jurídica: Art. 6.1.b) y 6.1.f) RGPD — ejecución del contrato e interés legítimo en la gestión eficaz de la relación comercial.

3.5 Coordinación con colaboradores externos

Finalidad: Compartir los datos estrictamente necesarios con autónomos o empresas colaboradoras subcontratadas para el desarrollo de proyectos.

Base jurídica: Art. 6.1.b) RGPD — ejecución del contrato; con acuerdos de confidencialidad y encargo del tratamiento firmados.

4. Categorías de datos tratados

  • Datos identificativos: nombre, apellidos, denominación social, DNI/NIF/CIF, firma electrónica.
  • Datos de contacto: dirección postal, correo electrónico, número de teléfono, número de WhatsApp.
  • Datos económicos y financieros: datos bancarios para cobros y pagos, información de facturación.
  • Datos profesionales: puesto de trabajo, empresa, sector de actividad.
  • Datos de navegación: dirección IP, datos de cookies (ver Política de Cookies).
  • Contenido facilitado por el cliente: fotografías, textos, logotipos y materiales aportados para el desarrollo del proyecto.

No tratamos categorías especiales de datos (Art. 9 RGPD) ni datos relativos a condenas e infracciones penales (Art. 10 RGPD).

5. Origen de los datos personales

Los datos son facilitados directamente por el interesado mediante:

  • Formularios de contacto o solicitud de presupuesto del sitio web.
  • Correo electrónico (info@xpandex.es).
  • Comunicación telefónica o por WhatsApp.
  • Reuniones presenciales o videoconferencias.
  • Firma de contratos o propuestas comerciales.

6. Plazos de conservación

Tipo de datoPlazo de conservaciónNormativa de referencia
Datos de facturación y contabilidad6 años desde la emisiónArt. 30 Código de Comercio; Ley General Tributaria
Datos contractuales (contratos, propuestas)5 años desde la finalizaciónArt. 1964 Código Civil
Datos de contacto (consultas/presupuestos)Hasta 2 años desde el último contacto, o hasta revocación del consentimientoRGPD Art. 5.1.e)
Datos de empleados y colaboradores4 años (obligaciones laborales y SS)Ley General de la Seguridad Social
Datos de navegación/cookies analíticasMáximo 13 mesesGuía de cookies AEPD 2023

Transcurridos los plazos indicados, los datos serán suprimidos o anonimizados de forma segura.

7. Destinatarios y encargados del tratamiento

Sus datos podrán ser comunicados a los siguientes destinatarios:

7.1 Administraciones Públicas

A la Agencia Tributaria, Seguridad Social y demás organismos públicos, cuando así lo exija la normativa vigente.

7.2 Encargados del tratamiento

Hemos suscrito contratos de encargo del tratamiento (Art. 28 RGPD) con los siguientes proveedores de servicios:

  • Hostinger International Ltd. — Proveedor de alojamiento web y dominios. Sede en la Unión Europea. Contrato de encargo del tratamiento suscrito.
  • Google LLC (Google Workspace: Gmail, Google Drive) — Herramientas de correo electrónico, almacenamiento y colaboración en la nube. Sede en EE.UU. Las transferencias internacionales se amparan en Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Art. 46.2.c) RGPD) y en el marco EU-US Data Privacy Framework.
  • GoHighLevel (HighLevel Inc.) — Plataforma CRM de gestión de clientes, operada bajo marca blanca. Sede en EE.UU. Las transferencias internacionales se amparan en Cláusulas Contractuales Tipo.
  • Meta Platforms Ireland Ltd. — Herramientas de publicidad y analítica (Meta Pixel, si está activo). Sede en Irlanda (UE). Posibles transferencias a EE.UU. bajo CCT.
  • Asesoría externa — Gestoría fiscal y laboral con acceso limitado a los datos necesarios para el cumplimiento de obligaciones legales.
  • Colaboradores y autónomos subcontratados — Con acceso limitado a los datos del cliente estrictamente necesarios para el desarrollo del proyecto, bajo acuerdos de confidencialidad.

8. Transferencias internacionales de datos

Algunos de los encargados del tratamiento indicados en el apartado anterior tienen su sede fuera del Espacio Económico Europeo (EEE), en particular en los Estados Unidos. En todos estos casos, la transferencia internacional se realiza con las garantías adecuadas exigidas por el Art. 46 RGPD:

  • Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914.
  • EU-US Data Privacy Framework (Marco de Privacidad UE-EE.UU.), adoptado por la Decisión de Adecuación de la Comisión de 10 de julio de 2023, para los proveedores certificados bajo dicho marco.

Para obtener información adicional sobre las garantías aplicables, puede contactarnos en info@xpandex.es.

9. Derechos de los interesados

En cualquier momento puede ejercer ante el Responsable del Tratamiento los derechos reconocidos en el RGPD y la LOPDGDD:

  • Derecho de acceso (Art. 15 RGPD): Conocer qué datos suyos tratamos y obtener copia de los mismos.
  • Derecho de rectificación (Art. 16 RGPD): Solicitar la corrección de datos inexactos o incompletos.
  • Derecho de supresión o «al olvido» (Art. 17 RGPD): Solicitar la eliminación de sus datos cuando ya no sean necesarios o haya retirado el consentimiento, salvo que exista obligación legal de conservarlos.
  • Derecho a la limitación del tratamiento (Art. 18 RGPD): Solicitar que se restrinja el tratamiento de sus datos en determinadas circunstancias.
  • Derecho a la portabilidad (Art. 20 RGPD): Recibir sus datos en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
  • Derecho de oposición (Art. 21 RGPD): Oponerse al tratamiento basado en interés legítimo o a las comunicaciones comerciales en cualquier momento.
  • Derecho a no ser objeto de decisiones automatizadas (Art. 22 RGPD): No ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos significativos.
  • Derecho a retirar el consentimiento: En cualquier momento y sin necesidad de justificación, sin que ello afecte a la licitud del tratamiento anterior a la retirada.

Cómo ejercer sus derechos

Para ejercer cualquiera de estos derechos, envíe un escrito a info@xpandex.es con el asunto «Ejercicio de derechos RGPD«, indicando el derecho que desea ejercer y adjuntando copia de su DNI, NIE u otro documento identificativo válido. Responderemos en el plazo máximo de un mes (prorrogable dos meses más en casos complejos).

Asimismo, tiene derecho a presentar una reclamación ante la autoridad de control competente: Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid. www.aepd.es — Teléfono: 901 100 099.

10. Decisiones automatizadas y elaboración de perfiles

Abadesa Export Center S.L. no toma decisiones basadas exclusivamente en tratamiento automatizado que produzcan efectos jurídicos sobre los interesados ni realiza elaboración de perfiles en el sentido del Art. 22 RGPD.

11. Menores de edad

Nuestros servicios están dirigidos a empresas y profesionales (B2B). No recopilamos conscientemente datos de menores de 14 años. Si tuviéramos conocimiento de haber recibido datos de un menor sin consentimiento parental, procederemos a su supresión inmediata. En caso de ser menor de 14 años y haber facilitado datos, contacte con nosotros en info@xpandex.es.

12. Medidas de seguridad

Conforme al Art. 32 RGPD, Abadesa Export Center S.L. ha implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, entre las que se incluyen:

  • Control de acceso mediante credenciales seguras y autenticación en dos factores (2FA).
  • Cifrado de comunicaciones mediante protocolos SSL/TLS.
  • Copia de seguridad periódica de datos.
  • Formación del personal en materia de protección de datos y confidencialidad.
  • Contratos de confidencialidad con empleados y colaboradores externos.
  • Gestión de incidentes de seguridad con notificación a la AEPD en el plazo de 72 horas en caso de brecha de datos (Art. 33 RGPD).

13. Actualizaciones de la política de privacidad

Podemos actualizar esta Política de Privacidad cuando sea necesario para adaptarla a cambios legislativos, jurisprudenciales, prácticas del sector o servicios ofrecidos. La versión actualizada estará siempre disponible en xpandex.es/politica-de-privacidad con indicación de la fecha de última modificación.

Ante cambios sustanciales que afecten al tratamiento de sus datos, se lo comunicaremos por email o mediante aviso destacado en nuestro sitio web.

Contacto