Última actualización: May 20, 2026
Política de privacidad
Esta Política de Privacidad explica cómo IT Systeme Flores UG (haftungsbeschränkt) („nosotros") tratamos datos personales en relación con el producto SaaS MSPercury. El tratamiento se realiza conforme al Reglamento General de Protección de Datos (RGPD), la Ley Federal Alemana de Protección de Datos (BDSG) y la Ley alemana de Telecomunicaciones y Servicios Digitales (TDDDG).
1. Responsable del tratamiento
Responsable del tratamiento conforme al RGPD para mspercury.com y la aplicación SaaS:
IT Systeme Flores UG (haftungsbeschränkt)Neufeldweg 25a
51427 Bergisch Gladbach, Germany
Email: info@mspercury.com
Director gerente: Lucas Flores
Registro: Amtsgericht Köln, HRB 111 656
NIF/IVA: DE355661309
2. Delegado de protección de datos
Para consultas sobre datos personales contacta: privacy@mspercury.com. No estamos legalmente obligados a designar un DPO formal (≤19 personas tratan datos por nuestra cuenta) — esta dirección concentra todas las consultas de privacidad y responde dentro de un mes hábil.
3. Finalidades del tratamiento y bases jurídicas
- Cuenta + workspace: creación, autenticación, sesión, 2FA. Base: Art. 6(1)(b) RGPD (ejecución del contrato).
- Datos del cliente final / oferta / proyecto: tratamiento por encargo bajo tu instrucción; ver el DPA. Base: Art. 28 RGPD.
- Facturación de la suscripción Pro: nombre, email, dirección de facturación, NIF — necesarios para Stripe + factura §14 UStG. Base: Art. 6(1)(b) + Art. 6(1)(c) RGPD.
- Estadísticas de uso (logs): IP, user-agent, ruta, código HTTP — para diagnóstico + seguridad. Rotación cada 14 días. Base: Art. 6(1)(f) RGPD (interés legítimo).
- Marketing landing: Google Ads (solo con consentimiento), formularios de feedback. Base: Art. 6(1)(a) RGPD (consentimiento).
4. Categorías de datos tratados
- Datos de cuenta: nombre, email, contraseña hash (bcrypt), 2FA secret cifrado, preferencias UI. Hasta cancelación + 30 días.
- Datos de tu cliente final (en MSPercury): nombre de empresa, dirección, persona de contacto, email, teléfono, NIF. Tratados por encargo. Permanecen mientras dure el contrato; se eliminan al borrar el workspace tras el período de gracia.
- Datos de pago: los datos de tarjeta NUNCA llegan a nuestro servidor; van directamente a Stripe. Solo guardamos el ID de cliente Stripe + ID de suscripción para uso operativo.
- Logs: IP, user-agent, hora, método HTTP. Rotación 14 días.
- Correspondencia de soporte: emails a support@, privacy@ o info@mspercury.com. Hasta cierre de la consulta + 6 meses.
5. Destinatarios y encargados
Solo compartimos datos con los destinatarios listados a continuación, y solo bajo un acuerdo de tratamiento Art. 28 RGPD firmado:
| Destinatario | Finalidad | Sede | Base jurídica |
|---|---|---|---|
| Hetzner Online GmbH, Gunzenhausen |
Hosting del VPS (aplicación + base de datos PostgreSQL), relay SMTP
(mail.your-server.de), backup off-site (Storage Box). Todos los datos de
aplicación y de cliente residen exclusivamente en infraestructura Hetzner en Alemania.
| Alemania | Art. 28 RGPD + DPA con Hetzner |
| NinjaOne Inc. | Monitorización del servidor + patch-management en el VPS Hetzner. Procesa telemetría del sistema (uso CPU/RAM/disco, estado de servicios, nivel de updates OS). No procesa datos de aplicación ni datos de cliente. | EE.UU. | Art. 28 RGPD + EU-US Data Privacy Framework (NinjaOne está certificado) |
| Stripe Payments Europe, Ltd., Dublín | (a) Procesamiento de pagos de la suscripción MSPercury (cuando contratas
Pro): tu método de pago + datos de facturación. (b) Cuando la integración Stripe está activa en tu workspace: conectas tu propia cuenta Stripe con tu propia API-Key, y MSPercury envía datos de cliente y facturas a tu instancia Stripe. En ese caso TÚ eres el responsable frente a Stripe; nosotros solo transportamos. Stripe-Tax gestiona la lógica de IVA en tus facturas. | Irlanda; algunos sistemas de soporte en EE.UU. | Art. 28 + Art. 46(2)(c) SCCs / Art. 45 EU-US DPF |
|
Anthropic, Inc. / OpenAI, LLC / otros proveedores IA
(solo cuando hay funciones IA configuradas) | Bring-your-own-key. Si configuras una API-Key de un proveedor de IA en la nube en Settings → AI, o un endpoint OpenAI-compatible auto-alojado (Ollama, vLLM, LiteLLM), los datos necesarios para la consulta se envían a tu endpoint cada vez que usas una función IA (resumen IT Assessment, drafter de oferta, estructurador de status, etc.). MSPercury no cachea las consultas; el routing va directamente entre nuestro servidor y tu endpoint. Sin clave configurada todas las funciones IA están desactivadas. | variable (EE.UU. para Anthropic / OpenAI; local para Ollama / auto-alojado) | Tú como operador eliges el proveedor y firmas el DPA con él directamente; nosotros no somos el encargado del tratamiento de esos datos, solo un transportador. |
| Apple Inc. | Solo distribución iOS; no entregamos datos a Apple más allá del uso de la Store | EE.UU. | Acuerdos del Apple Developer Program |
| Google LLC (Google Ads) | Solo en la landing de marketing mspercury.com, solo tras consentimiento de cookies explícito. Conversion tracking vía gtag.js. Dentro de la aplicación MSPercury, tras login, no se cargan servicios Google. | EE.UU. | Art. 6(1)(a) RGPD (consentimiento) |
Firmamos un DPA por escrito con cada encargado antes de iniciar el tratamiento. Tu propio DPA con nosotros está disponible en tu cuenta en Settings → Data protection & processing agreement. La lista de sub-encargados se actualiza aquí cuando hay cambios.
5a. Flujo de datos en funciones BYO-AI
Para mayor transparencia, esto es exactamente lo que llega a un proveedor de IA:
- Resumen ejecutivo de IT Assessment: lista de hallazgos (descripción + prioridad + esfuerzo) + sector / tamaño del cliente (si está fijado). Sin dirección, sin contactos, sin logos.
- Drafter de oferta desde IT Assessment: lista de hallazgos + catálogo de servicios del workspace. Sin datos personales del cliente.
- Drafter de outreach a leads: email del lead + las tres categorías IT Assessment más débiles. Sin lista completa de respuestas, sin score, sin IP.
- Drafter de respuesta en hilo de oferta: los últimos ~10 mensajes del hilo.
- Drafter de service-report / estructurador de status / generador de hitos: solo los campos visibles en el editor al enviar.
Con proveedores cloud como Anthropic u OpenAI rigen sus términos DPA. Con endpoints auto-alojados (Ollama en tu servidor) nada sale de tu red. Puedes desactivar las funciones IA en cualquier momento poniendo el proveedor en „—" en Settings → AI.
5b. Asistente IA (Bob)
Los datos del workspace pueden enviarse a la API de Anthropic cuando usas el Asistente IA integrado en producto („Bob"). Consulta el § 5 de los Términos y el DPA para detalles sobre qué se transmite, los plazos de conservación y tus derechos. Puedes desactivar Bob en Settings → AI Assistant.
6. Transferencias a terceros países
Cuando se transfieren datos a EE.UU. u otro tercer país (soporte Stripe, Apple App Store, NinjaOne, AI cloud), la transferencia se basa en:
- la decisión de adecuación de la Comisión Europea para el EU-US Data Privacy Framework (Art. 45 RGPD), si el receptor está certificado bajo DPF, o
- las Cláusulas Contractuales Tipo (Art. 46(2)(c) RGPD), complementadas con medidas de mitigación (cifrado, pseudonimización).
Copias de los acuerdos disponibles bajo solicitud.
7. Períodos de conservación
- Datos de cuenta: durante la relación; tras cancelación 30 días para resolución de disputas, luego eliminación irrevocable.
- Datos de tu cliente final: durante la vigencia del contrato; eliminados al borrar el workspace tras el período de gracia.
- Logs: 14 días.
- Datos de pago / facturas: 10 años (obligación de retención según §147 AO).
- Soporte: hasta cierre + 6 meses.
8. Tus derechos como interesado
Conforme al Art. 15-22 RGPD tienes derecho a:
- Acceso a los datos que tratamos sobre ti.
- Rectificación de datos incorrectos.
- Supresión („derecho al olvido").
- Limitación del tratamiento.
- Portabilidad: Settings → Data export proporciona un export JSON+CSV.
- Oposición al tratamiento basado en interés legítimo.
- Reclamación ante la autoridad de control: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) , Kavalleriestraße 2–4, 40213 Düsseldorf.
Para ejercer estos derechos: privacy@mspercury.com. Respondemos dentro de un mes.
9. Cookies y tracking
Usamos exclusivamente cookies técnicamente necesarias dentro de la aplicación logueada:
session— autenticación, HttpOnly, SameSite=Lax, vigencia ~30 días.flash— mensaje breve tras una acción, max-age 30 segundos.locale— preferencia de idioma del usuario.consent— solo en la landing de marketing: tu decisión sobre cookies de analytics.
En la landing de marketing pública (mspercury.com) cargamos solamente con tu consentimiento Google Ads (gtag.js) para conversion tracking. Tras login, dentro de la aplicación, no hay servicios de tracking — tu consentimiento se respeta también allí.
10. PWA y app iOS
MSPercury se puede instalar como Progressive Web App en escritorio y móvil; la app iOS nativa usa Capacitor y la misma autenticación que la web. Los datos del IT Assessment se almacenan temporalmente en IndexedDB en el dispositivo durante el modo offline y se sincronizan cuando hay red. Nada se envía a Apple, terceros ni al sistema operativo más allá de lo que haría una web app simple. Las descargas desde App Store están sujetas a la política de Apple.
11. Versión de esta política
Vigente desde: 20 de mayo de 2026. Podemos actualizar esta política conforme cambia el tratamiento o así lo exija la legislación. La versión actual siempre en mspercury.com/legal/privacy.