Protección de Datos (GDPR)

Protección de Datos — RGPD / GDPR

Última actualización: 15 de enero de 2026

Este documento detalla cómo AURIGA System S.L. cumple con el Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPDGDD).

1. Roles en el Tratamiento

AURIGA actúa en dos roles según el contexto:

Responsable del Tratamiento: respecto a datos de usuarios de la plataforma (empleados de empresas clientes que acceden al SaaS).

Encargado del Tratamiento: respecto a datos de terceros que los clientes introducen en la plataforma (contactos de transportistas, emails procesados por agentes IA).

2. Registro de Actividades de Tratamiento

Mantenemos un Registro de Actividades de Tratamiento actualizado conforme al Art. 30 RGPD, disponible para la autoridad de control previa solicitud.

3. Evaluación de Impacto (DPIA)

Hemos realizado una Evaluación de Impacto en Protección de Datos para el tratamiento de emails mediante IA, al considerarse un tratamiento a gran escala con tecnologías innovadoras. La DPIA concluye que los riesgos están adecuadamente mitigados.

4. Medidas Técnicas y Organizativas

Cifrado

Cifrado en tránsito: TLS 1.3 para todas las comunicaciones.

Cifrado en reposo: AES-256 para datos almacenados.

Cifrado de credenciales: bcrypt + salt para contraseñas, AES-256-GCM para tokens de terceros.

Control de Acceso

Autenticación multifactor disponible para todos los usuarios.

Row-Level Security (RLS) en base de datos: cada tenant solo accede a sus propios datos.

Principio de mínimo privilegio en todos los servicios internos.

Aislamiento de Datos (Multi-Tenancy)

Cada empresa cliente (tenant) tiene sus datos completamente aislados a nivel de base de datos mediante RLS.

No es posible que un usuario de un tenant acceda a datos de otro tenant, ni siquiera por error de código, gracias a las políticas de RLS.

Monitorización y Auditoría

Logs de acceso y modificación de datos.

Alertas automáticas ante accesos anómalos.

Auditorías internas trimestrales.

5. Transferencias Internacionales

Todos los datos se almacenan y procesan dentro de la Unión Europea. No realizamos transferencias de datos personales fuera del EEE.

Los modelos de IA se ejecutan en infraestructura propia localizada en la UE. No enviamos datos a APIs de terceros (OpenAI, Google, etc.).

6. Derechos de los Interesados

Facilitamos el ejercicio de derechos ARCO+ (Acceso, Rectificación, Cancelación/Supresión, Oposición, Portabilidad, Limitación) a través de:

Email: privacidad@aurigasystem.com

Plazo de respuesta: máximo 30 días.

Para datos de terceros introducidos por clientes (transportistas), los clientes son responsables de atender las solicitudes de derechos; AURIGA colabora como encargado.

7. Notificación de Brechas

En caso de brecha de seguridad que afecte a datos personales:

Notificación a la AEPD en menos de 72 horas (Art. 33 RGPD).

Comunicación a los interesados afectados sin dilación indebida cuando suponga alto riesgo (Art. 34 RGPD).

Comunicación al cliente (Responsable) en menos de 24 horas cuando AURIGA actúe como Encargado.

8. Delegado de Protección de Datos

Contacto DPD: privacidad@aurigasystem.com

El DPD supervisa el cumplimiento, asesora en evaluaciones de impacto y actúa como punto de contacto con la autoridad de control.

9. Acuerdo de Encargado del Tratamiento (DPA)

Todo cliente que contrate AURIGA firma un DPA que incluye:

Objeto, duración, naturaleza y finalidad del tratamiento.

Tipos de datos personales y categorías de interesados.

Obligaciones y derechos del responsable y del encargado.

Medidas de seguridad aplicables.

Gestión de subencargados (lista actualizada disponible bajo solicitud).

Procedimiento de devolución o supresión de datos al finalizar el servicio.

10. Contacto

Para cualquier consulta relacionada con protección de datos: privacidad@aurigasystem.com