Marco Normativo y Cumplimiento
Política de Privacidad y Tratamiento de Datos
Versión de Documento: 2.2 | Efectiva desde: Marzo 2026
El presente documento establece las directrices normativas bajo las cuales SecureZZ (en adelante, "la Compañía", "el Prestador" o "Nosotros") recopila, procesa, almacena y destruye los datos personales e información corporativa de sus usuarios y clientes (en adelante, "el Usuario" o "el Cliente"). Esta política está diseñada para cumplir estrictamente con el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y marcos internacionales equivalentes.
Arquitectura de Seguridad basada en Principios Zero-Trust
La arquitectura de SecureZZ se fundamenta en modelos de seguridad técnica y procesamiento efímero. La Compañía implementa medidas orientadas a favorecer la minimización de la retención de datos, actuando bajo un marco de procesamiento orientado a evitar la persistencia estructural de los activos digitales sometidos a análisis.
1. Naturaleza de los Datos Procesados y Exclusiones
En cumplimiento del principio de minimización de datos (Art. 5.1.c RGPD), limitamos estrictamente la recopilación de información. A continuación, se detalla nuestra política de retención cero:
- Archivos y Cargas Útiles (Payloads): Los archivos procesados a través de nuestras herramientas son analizados, en la medida de lo técnicamente posible, en entornos de ejecución efímeros. Una vez emitido el veredicto de seguridad, el procesamiento contempla la eliminación segura o anonimización de los activos conforme a las políticas de retención. La Compañía implementa medidas técnicas orientadas a favorecer la reducción del riesgo de persistencia fuera de la operación activa.
- Sanitización de Metadatos (Exif Stripper): El procesamiento de imágenes se orienta a la ejecución local en entornos de memoria efímera. Los datos procesados se someten a rutinas de eliminación segura tras completar la operación. Este servicio busca minimizar la comunicación con servicios externos, mitigando la exposición del contenido durante el entorno de ejecución.
- Datos Técnicos: El procesamiento técnico está orientado a no realizar auditorías sistemáticas del contenido semántico de los documentos. El análisis se centra en la estructura binaria, heurística y metadatos técnicos destinados a la seguridad.
Documentos con Datos Personales (Facturas, Justificantes, Contratos)
Algunas herramientas (como el Escáner PDF) permiten subir documentos que pueden contener datos personales o de terceros. Respecto a estos archivos, se establece expresamente lo siguiente:
- Rol de las partes (Art. 28 RGPD): Cuando el documento contiene datos personales, el Usuario actúa como Responsable del Tratamiento y SecureZZ interviene únicamente como Encargado del Tratamiento, limitándose a ejecutar por cuenta del Usuario el análisis técnico solicitado conforme a sus instrucciones.
- Finalidad estrictamente técnica: El documento se procesa exclusivamente para emitir el veredicto de seguridad e integridad estructural (detección de scripts, manipulación, metadatos técnicos). SecureZZ no lee, no indexa, no comercializa, no cede a terceros ni emplea para entrenar modelos de inteligencia artificial el contenido ni los datos personales que el documento pudiera contener.
- Procesamiento efímero y borrado: El archivo se analiza en entornos de memoria efímeros y se elimina automáticamente tras emitir el veredicto. Nunca se conserva el archivo ni el contenido (cuerpo) del documento. Únicamente puede persistir un registro técnico del resultado: la huella criptográfica, el veredicto y los metadatos técnicos del propio documento (p. ej. software productor, creador y fechas de creación/modificación), que constituyen indicadores necesarios para la detección de manipulación. Respecto de los datos que dichos metadatos técnicos pudieran contener, el Usuario actúa como Responsable del Tratamiento en los términos de esta misma sección.
- Garantía y responsabilidad del Usuario: Al subir un documento, el Usuario declara y garantiza que ostenta la titularidad o la autorización legal necesaria para tratarlo. SecureZZ no será responsable del tratamiento ilícito derivado de que el Usuario cargue datos personales de terceros sin base legitimadora, recayendo dicha responsabilidad de forma exclusiva en el Usuario que realiza la carga.
2. Datos Recopilados y Base Legitimadora (Art. 6 RGPD)
Para la provisión de los servicios SaaS y la gestión comercial, la Compañía actúa, según el servicio y el vínculo contractual aplicable, como Responsable o Encargado del Tratamiento conforme al artículo 28 del RGPD, tratando los siguientes datos bajo criterios de necesidad y proporcionalidad:
- Información de Identidad y Acceso: Dirección de correo electrónico y credenciales de acceso (procesadas mediante funciones hash unidireccionales de seguridad).
- Autenticación de Terceros (SSO): En caso de utilizar proveedores de identidad (ej. Google OAuth), procesamos el token de autenticación y los datos básicos del perfil autorizados por el usuario.
- Datos Transaccionales y de Facturación: Para la gestión de cobros y el cumplimiento de obligaciones fiscales, se procesan datos de facturación a través de nuestra pasarela de pagos Stripe, Inc.. En cumplimiento de los estándares internacionales de seguridad, la Compañía implementa una arquitectura de tokenización: esto significa que los datos de su tarjeta de crédito o débito son capturados directamente por Stripe mediante sus propios formularios seguros. SecureZZ no procesa, no visualiza, ni almacena en sus servidores los datos de su tarjeta bancaria, garantizando el cumplimiento estricto de la normativa PCI-DSS.
- Indicadores Técnicos de Análisis (IoCs): En el marco de los servicios de Deep Analysis, extraemos y procesamos direcciones IP, URLs y dominios detectados dentro de las muestras analizadas. Este tratamiento se realiza bajo el Interés Legítimo (Art. 6.1.f RGPD y Recital 49) con el objetivo de proporcionar inteligencia de seguridad y prevenir ciberataques.
- Telemetría y Registro de Auditoría (Logs): Direcciones IP de acceso (recopiladas con el fin de garantizar el cumplimiento de nuestros límites de uso, prevenir abusos del sistema y asegurar la integridad de la plataforma contra intentos de evasión mediante navegación privada o identidades múltiples), y metadatos de uso del sistema.
3. Política de Retención y Purgado Automático de Historiales
De conformidad con el Art. 5.1.e del RGPD (Limitación del plazo de conservación), SecureZZ ha implementado rutinas automatizadas de destrucción de registros:
- Registro de Veredictos sobre Archivos (Metadatos): Para proporcionar al Cliente un registro de auditoría accesible desde su panel de control, almacenamos los siguientes metadatos técnicos asociados a cada análisis de archivo: el nombre original del archivo enviado (ej. informe_financiero.pdf), su tamaño en bytes, su huella criptográfica (Hash SHA-256), el veredicto del análisis (Limpio / Sospechoso / Malicioso), la marca temporal de creación, el tipo de análisis efectuado (Threat Scan, Deep Analysis, Threat Radar o Escáner PDF) y un identificador interno del trabajo (jobId) que permite al Cliente re-abrir el informe técnico generado sin necesidad de volver a cargar el archivo.
- Registro de Veredictos sobre URLs: En el caso de los análisis de enlaces y dominios (Link Guard, Threat Radar), se almacenan de forma equivalente la URL analizada, el veredicto obtenido, el número de motores de reputación que la marcaron y la marca temporal. Estos registros están sujetos al mismo plazo de retención y rutinas de purgado descritas en el presente apartado.
- Informe Técnico Asociado: Junto con los metadatos anteriores, la Compañía conserva temporalmente —y con la finalidad exclusiva de permitir al Cliente reconsultar el resultado sin volver a procesar el archivo— el informe técnico generado por los motores locales (reglas YARA disparadas, capacidades MITRE ATT&CK detectadas por CAPA, cadenas extraídas, entropía y demás indicadores técnicos), así como, en su caso, la interpretación contextual en lenguaje natural producida por SecureZZ AI. Este informe se almacena en formato estructurado (JSON) vinculado al jobId y nunca incluye el archivo original ni el contenido (cuerpo) del documento analizado. En el caso del Escáner PDF, dicho informe puede incluir, cuando existan, la estructura de objetos, las palabras clave de riesgo detectadas y los metadatos técnicos del propio documento (p. ej. productor, creador y fechas de creación/modificación), en su condición de indicadores técnicos necesarios para detectar manipulación; respecto de los datos que tales metadatos pudieran contener, el Cliente actúa como Responsable del Tratamiento (Sección 1).
- Exclusión del contenido binario en el historial persistente: El archivo original cargado por el Cliente no forma parte del historial almacenado. Conforme a lo descrito en la Sección 1, el binario se escribe únicamente en un área de procesamiento efímera y de carácter operativo durante el tiempo estrictamente necesario para que los motores de análisis locales (YARA, CAPA, ClamAV, etc.) emitan su veredicto, e inmediatamente después es sometido a una rutina de eliminación segura del sistema de ficheros que se ejecuta de forma automática tanto en caso de finalización correcta como en caso de error. En consecuencia, lo que el Cliente visualiza al pulsar un registro del historial es exclusivamente el informe técnico previamente generado, no el archivo físico, que no puede ser recuperado ni reentregado por la Compañía una vez completado el análisis.
- Plazo de retención y purgado automatizado: El historial activo accesible al Cliente desde su panel de control muestra, por motivos de usabilidad, los 20 registros más recientes dentro de la ventana de retención. La totalidad de los registros (metadatos, informe técnico, interpretación de IA cacheada y trabajos asociados con estado finalizado) está sujeta a un plazo máximo de conservación de 30 días naturales desde su creación. Transcurrido dicho plazo, una rutina automatizada que se ejecuta cada 24 horas procede a su eliminación segura de nuestras bases de datos, no pudiendo ser recuperados posteriormente ni por el Cliente ni por la Compañía (Art. 5.1.e RGPD).
- Contador estadístico agregado: Con finalidad meramente estadística y de visualización de la actividad acumulada del Cliente en su panel de control (ej. "Total de análisis realizados", "Amenazas detectadas históricas"), la Compañía conserva contadores numéricos agregados y anonimizados que no contienen nombres de archivo, hashes ni metadatos identificables del contenido analizado. Estos contadores no permiten reconstruir el historial de actividad una vez purgados los registros detallados.
- Derecho de supresión anticipada (Borrado Forense): Todos los Clientes, con independencia de su plan (incluido el plan gratuito), disponen dentro de su panel de control de la funcionalidad Zero-Trace Wipe, que permite la eliminación inmediata —individual o masiva— de los registros del historial sin necesidad de esperar al ciclo de purgado automático. Con carácter adicional, el Cliente puede ejercer en cualquier momento su derecho de supresión mediante los canales descritos en la Sección 6 (Ejercicio de Derechos ARCO+).
4. Subencargados del Tratamiento y Transferencias Internacionales
La Compañía no comercializa estructuralmente los datos de sus Clientes. La información solo se comparte con subencargados estrictamente necesarios para la operatividad de la infraestructura (Art. 28 RGPD):
- Procesamiento de Pagos: Stripe, Inc. (Facturación y cumplimiento fiscal).
- Análisis de Archivos: El procesamiento de cualquier archivo o activo sometido a análisis se ejecuta íntegramente de forma local mediante motores propios (YARA, CAPA, ClamAV, etc.). Bajo ninguna circunstancia el contenido físico del archivo es transmitido a motores externos. Cualquier consulta de reputación externa (ej. MalwareBazaar, servidores WHOIS) se realiza enviando exclusivamente identificadores técnicos anónimos como la huella criptográfica (Hash SHA-256). Esta huella funciona como un "número de DNI": permite verificar si el archivo o dominio es conocido en bases de datos globales sin necesidad de entregar el archivo real, preservando la privacidad total del contenido.
- Interpretación asistida por Inteligencia Artificial (SecureZZ AI): Para
ofrecer las funciones de interpretación contextual de amenazas integradas en los planes de pago
(Threat Scan y Deep Analysis), la Compañía utiliza la infraestructura de inferencia de
modelos de lenguaje de Groq, Inc. (Mountain View, California, EEUU), o del
proveedor equivalente que en cada momento preste el servicio.
Garantías contractuales verificadas de Groq, Inc.: De conformidad con el Addendum de Procesamiento de Datos para Servicios GroqCloud (disponible en console.groq.com/docs/legal), Groq actúa como encargado del tratamiento bajo las instrucciones documentadas de la Compañía, con las siguientes garantías vinculantes:- Prohibición absoluta de entrenamiento: Groq no puede utilizar los prompts (entradas) ni las respuestas (salidas) generadas a través de su API para entrenar, mejorar ni afinar ningún modelo de IA, salvo autorización expresa del Cliente.
- Sin retención de inferencia por defecto: Las solicitudes de inferencia no son retenidas por defecto. Los datos de cliente solo pueden conservarse temporalmente (máximo 30 días) para diagnóstico de fiabilidad o investigación de abusos.
- Zero Data Retention (ZDR): La Compañía tiene habilitada la opción de retención cero en los controles de datos de GroqCloud, eliminando incluso la retención temporal para fiabilidad del sistema.
- Transferencias internacionales: Las transferencias de datos UE→EEUU se amparan en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, con representantes UE y UK designados formalmente (DP-Dock GmbH, Hamburgo, Alemania).
- Certificación SOC 2 Tipo II y medidas técnicas: cifrado en reposo y en tránsito, autenticación multifactor y acceso de red de confianza cero (zero-trust).
El Cliente reconoce y acepta que, al utilizar las funciones de SecureZZ AI, dichos metadatos técnicos podrán ser procesados por el proveedor de infraestructura de IA en los términos descritos. La interpretación generada por el modelo tiene carácter orientativo, puede contener imprecisiones, generalizaciones o falsos positivos, y no sustituye la valoración profesional ni el análisis dinámico complementario. - Analítica Web: Utilizamos Google Analytics 4 (implementado vía Google Tag Manager) para métricas de rendimiento y usabilidad. Se ha configurado la anonimización forzada de direcciones IP para prevenir el seguimiento cruzado. Los usuarios pueden revocar su consentimiento en cualquier momento mediante el panel de gestión de Cookies.
Nota técnica: Al revocar el consentimiento, SecureZZ ejecutará automáticamente el purgado de las cookies analíticas de su navegador y cesará cualquier envío de telemetría en la sesión actual.
Las transferencias de datos fuera del Espacio Económico Europeo (EEE), como en el caso de prestadores ubicados en EEUU (ej. Stripe, Groq), se realizan bajo mecanismos destinados a garantizar un nivel de protección adecuado conforme al Artículo 46 del RGPD. En el caso de Stripe, Inc., la transferencia se ampara en el Marco de Privacidad de Datos UE-EEUU (Data Privacy Framework - DPF). En el caso de Groq, Inc., la transferencia se realiza bajo las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, con representantes formalmente designados en la UE y en el Reino Unido, tal y como recoge su Addendum de Procesamiento de Datos (DPA). La transferencia al proveedor de IA se limita exclusivamente a los metadatos técnicos descritos en el apartado anterior y nunca incluye el contenido de archivos, datos personales del Cliente ni ningún identificador que permita la reidentificación.
5. Limitación de Responsabilidad y Naturaleza del Servicio
SecureZZ proporciona herramientas de análisis de seguridad avanzadas; sin embargo, debido a la naturaleza evolutiva del malware, ningún análisis puede garantizar la detección de amenazas de día cero (zero-day) o ataques dirigidos con un 100% de precisión. La Compañía no será responsable de daños directos, indirectos, incidentales o lucro cesante derivados de la interpretación de los veredictos de seguridad, falsos positivos o falsos negativos. El Cliente es el único responsable de la licitud del contenido procesado.
6. Ejercicio de Derechos (ARCO+)
El Cliente ostenta plenos derechos sobre sus datos personales conforme a los Artículos 15 a 22 del RGPD. Puede ejercer sus derechos ARCO mediante comunicación directa:
- Acceso: Consultar qué datos tenemos sobre usted.
- Rectificación: Corregir información inexacta.
- Cancelación/Supresión: Derecho al Olvido y procedimiento de eliminación segura de cuenta.
- Limitación: Solicitar la restricción del tratamiento durante la verificación de otros derechos.
- Portabilidad: Recibir sus datos en formato estructurado.
Para ejercer estos derechos, el Cliente puede gestionar sus preferencias directamente desde su panel de control o enviar un correo a info@securezz.com desde la dirección de email asociada a su cuenta. En cumplimiento del principio de minimización de datos, la Compañía solo solicitará documentación identificativa adicional (como copia del DNI) en aquellos casos excepcionales donde existan dudas razonables sobre la identidad del solicitante.
Derecho de Reclamación
En caso de que considere que el tratamiento de sus datos no se ajusta a la normativa vigente, le informamos de su derecho a presentar una reclamación ante la Autoridad de Control competente (en España, la Agencia Española de Protección de Datos), a través de su sede electrónica en https://www.aepd.es
Para consultas legales, notificaciones de brechas de seguridad o ejercicio formal de derechos en representación de una entidad corporativa, póngase en contacto con nuestro departamento de cumplimiento normativo a través de: info@securezz.com.