Política de Privacidad

ASOCIACION ESTUDIANTIL JUNIOR NEXIO (NIF G75579508) ("nosotros", "nos" o "nuestro") opera el sitio web simforme.com y los servicios relacionados (el "Servicio"). Esta Política de Privacidad explica cómo recopilamos, utilizamos, divulgamos y protegemos su información personal cuando utiliza nuestro Servicio. Responsable del tratamiento: ASOCIACION ESTUDIANTIL JUNIOR NEXIO Domicilio social: PS/ URIBITARTE, 6, 48001 BILBAO (BIZKAIA), España NIF: G75579508 Contacto de Protección de Datos: privacy@simforme.com Nos comprometemos a proteger su privacidad y a cumplir con el Reglamento General de Protección de Datos (RGPD), la Ley de Protección de Datos del Reino Unido de 2018 y otras leyes de protección de datos aplicables. Al utilizar nuestro Servicio, usted acepta la recopilación y el uso de información de acuerdo con esta política.

Recopilamos los siguientes tipos de información personal: Información de la cuenta: Cuando crea una cuenta mediante el inicio de sesión con Google, recibimos su nombre, dirección de correo electrónico y foto de perfil de Google. Información de compra: Cuando realiza una compra, recopilamos los datos necesarios para procesar su pedido, incluida su dirección de correo electrónico e información relacionada con el pago. Los datos de la tarjeta de pago son procesados directamente por Stripe y nunca se almacenan en nuestros servidores. Datos de eSIM: Almacenamos los identificadores de eSIM (ICCID), el estado de activación y los datos de uso para proporcionar y gestionar su servicio eSIM. Datos de uso: Recopilamos automáticamente información sobre cómo interactúa con nuestro Servicio, incluyendo su dirección IP, tipo de navegador, páginas visitadas y marcas de tiempo. Datos de comunicación: Si se pone en contacto con nuestro soporte, recopilamos el contenido de sus mensajes y los metadatos asociados.

Utilizamos su información personal para los siguientes fines: - Proporcionar, operar y mantener nuestros servicios de eSIM - Procesar sus compras y gestionar sus pedidos - Enviarle confirmaciones de pedido, códigos QR de eSIM y notificaciones del servicio - Proporcionar atención al cliente y responder a sus consultas - Enviarle avisos de expiración y alertas de datos bajos para sus eSIMs - Detectar, prevenir y abordar fraudes o problemas técnicos - Cumplir con las obligaciones legales - Mejorar nuestro Servicio y desarrollar nuevas funciones

Bajo el RGPD, tratamos sus datos personales con las siguientes bases legales: Ejecución de un contrato: Tratamiento necesario para cumplir nuestras obligaciones cuando adquiere una eSIM o utiliza nuestro Servicio. Intereses legítimos: Tratamiento necesario para nuestros intereses comerciales legítimos, como la prevención de fraude, la mejora del servicio y la seguridad, siempre que estos intereses no prevalezcan sobre sus derechos fundamentales. Obligación legal: Tratamiento necesario para cumplir con las leyes y regulaciones aplicables. Consentimiento: Cuando sea necesario, obtendremos su consentimiento explícito antes de tratar sus datos personales para fines específicos, como comunicaciones de marketing. Puede retirar su consentimiento en cualquier momento.

Podemos compartir su información personal con los siguientes terceros, que actúan como Encargados del tratamiento, Corresponsables o Responsables independientes. Para cada proveedor utilizamos regiones alojadas en la UE cuando están disponibles, y nos basamos en Cláusulas Contractuales Tipo (CCT) y otras garantías aprobadas por la Comisión Europea para cualquier transferencia fuera del EEE. AirGSM Pte Ltd (Singapur, fuera del EEE) — nuestro proveedor mayorista de eSIM. AirGSM/Airalo trata determinados datos relacionados con clientes por cuenta nuestra en virtud de nuestro Contrato de Socio y su Anexo de Tratamiento de Datos, que incorpora las Cláusulas Contractuales Tipo de la UE (Decisión de Ejecución 2021/914 de la Comisión, Módulos 2 y 3) como garantía para la transferencia a Singapur. A través de la integración por API transmitimos la selección de paquete y una referencia interna de pedido, y Airalo aprovisiona y gestiona la eSIM en consecuencia. Stripe Payments Europe, Ltd (Irlanda, dentro del EEE) — nuestro procesador de pagos. Stripe trata su información de pago como Responsable independiente conforme a su propia política de privacidad. Supabase Inc. — nuestro proveedor de base de datos y autenticación. Aunque la sociedad está constituida en Estados Unidos, los datos de su cuenta se alojan en la UE (Irlanda, eu-west-1) según la configuración de residencia de datos de Supabase. Rol: Encargado del tratamiento. Las CCT se aplican como garantía para cualquier transferencia ulterior fuera del EEE (por ejemplo, accesos remotos de soporte). Resend Inc. — nuestro proveedor de correo electrónico transaccional (confirmaciones de pedido, entrega de eSIM, alertas). Aunque la sociedad está constituida en Estados Unidos, la infraestructura de envío para nuestro dominio se aloja en la UE (Irlanda, eu-west-1). Rol: Encargado del tratamiento. Las CCT se aplican como garantía para cualquier transferencia ulterior fuera del EEE. Google LLC (Estados Unidos, fuera del EEE) — proveedor de Google Analytics 4 e Inicio de Sesión con Google. En función del servicio y del acuerdo contractual aplicable, Google puede actuar como Encargado del tratamiento (Analytics) o como Responsable independiente (Sign-In). Las cookies de Analytics solo se activan con su consentimiento (base jurídica). Las CCT se aplican como garantía para las transferencias fuera del EEE. Meta Platforms Ireland Ltd (Irlanda, dentro del EEE) — proveedor de Meta Pixel y otras Business Tools utilizadas para medición publicitaria. Según la integración específica (por ejemplo, Meta Pixel u otras Business Tools), Meta puede actuar como Corresponsable o como Responsable independiente. Las cookies y los píxeles de seguimiento solo se activan con su consentimiento (base jurídica). Cuando los datos salgan del EEE, las CCT se aplican como garantía. Microsoft Ireland Operations Ltd (Irlanda, dentro del EEE) — proveedor de Microsoft Clarity para análisis de experiencia de usuario y grabación de sesiones. Rol: Encargado del tratamiento. Las cookies solo se activan con su consentimiento (base jurídica). Las entradas sensibles (contraseñas, campos de pago, identificadores personales) se enmascaran automáticamente y no se capturan en las grabaciones. Las CCT se aplican como garantía para cualquier transferencia ulterior fuera del EEE. Vercel Inc. (Estados Unidos, fuera del EEE) — nuestro proveedor de alojamiento y análisis de rendimiento. Vercel no es nuestro almacén de datos personales a largo plazo (esa función la cumple Supabase), pero procesa registros operativos (incluidas direcciones IP) y telemetría de rendimiento necesarios para operar el sitio web. Rol: Encargado del tratamiento. Las CCT se aplican como garantía. Notion (contabilidad interna): Anteriormente utilizábamos Notion como herramienta interna de contabilidad. Tras una revisión de minimización de datos, los datos identificativos del cliente (como el nombre) ya no se transmiten a Notion; solo se replican identificadores de pedido, importes y fechas con fines contables. En consecuencia, Notion ya no recibe datos personales de nuestra parte y no figura como encargado del tratamiento en la lista anterior. No vendemos su información personal a terceros. Solo compartimos datos según sea necesario para proporcionar nuestro Servicio.

Utilizamos cookies y tecnologías de seguimiento similares para operar nuestro Servicio. Estas incluyen: Cookies esenciales: Necesarias para que el Servicio funcione correctamente, incluyendo la autenticación y la gestión de sesiones. Cookies de análisis: Nos ayudan a comprender cómo los visitantes interactúan con nuestro Servicio para mejorar la experiencia del usuario. Puede controlar las preferencias de cookies a través de la configuración de su navegador. Desactivar las cookies esenciales puede afectar la funcionalidad de nuestro Servicio. Para más información sobre las cookies que utilizamos, por favor contáctenos.

Conservamos su información personal durante el tiempo necesario para proporcionar nuestro Servicio y cumplir los fines descritos en esta política. Específicamente: - Datos de la cuenta: Se conservan mientras su cuenta esté activa y durante 3 años después de la eliminación de la cuenta - Datos de pedidos y transacciones: Se conservan durante 7 años para cumplir con las regulaciones financieras y fiscales - Datos de eSIM: Se conservan durante el período de validez de la eSIM más 1 año - Registros de uso: Se conservan durante 90 días Cuando los períodos de conservación expiran, eliminamos o anonimizamos sus datos de forma segura.

La mayor parte de nuestro tratamiento principal (base de datos, correo electrónico transaccional, pagos) está configurada para ejecutarse en la UE (Irlanda) conforme a la configuración de residencia de datos de cada proveedor, cuando está disponible. No obstante, algunos de nuestros proveedores están establecidos fuera del EEE, y determinadas actividades de tratamiento —incluidos accesos remotos de soporte, telemetría o servicios específicos como el aprovisionamiento de eSIM, la analítica y la infraestructura de alojamiento— pueden implicar transferencias de datos personales a países fuera del EEE. Cuando los datos personales se transfieren fuera del EEE, nos basamos en las siguientes garantías conforme al Capítulo V del RGPD: - Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea. Las CCT son cláusulas tipo de protección de datos adoptadas por la Comisión como garantía jurídica para las transferencias de datos personales a terceros países que no se benefician de una decisión de adecuación. - Decisiones de adecuación adoptadas por la Comisión Europea, cuando sean aplicables. - Otros mecanismos de transferencia legales conforme a la normativa de protección de datos aplicable. Para los países de destino concretos y las garantías aplicables a cada uno de nuestros proveedores, consulte la Sección 5 ("Cómo compartimos su información"). El consentimiento (por ejemplo, para las cookies analíticas) se describe en la Sección 4 como base jurídica de determinadas actividades de tratamiento. El consentimiento en sí mismo no legitima una transferencia internacional; cuando los datos personales salen del EEE, se aplica como garantía jurídica un mecanismo del Capítulo V del RGPD, como las CCT descritas anteriormente.

Bajo el RGPD y las leyes de protección de datos aplicables, usted tiene los siguientes derechos: Derecho de acceso: Puede solicitar una copia de los datos personales que tenemos sobre usted. Derecho de rectificación: Puede solicitar la corrección de datos personales inexactos o incompletos. Derecho de supresión: Puede solicitar la eliminación de sus datos personales cuando no exista una razón imperativa para continuar con el tratamiento. Derecho a la limitación del tratamiento: Puede solicitar que limitemos el tratamiento de sus datos personales en determinadas circunstancias. Derecho a la portabilidad de datos: Puede solicitar una copia de sus datos en un formato estructurado y de lectura mecánica (JSON o CSV). Derecho de oposición: Puede oponerse al tratamiento de sus datos personales basado en intereses legítimos. Derecho a retirar el consentimiento: Cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento. Cómo ejercer sus derechos (Solicitud de acceso del interesado): - Envíe su solicitud a: privacy@simforme.com - Responderemos dentro de los 30 días siguientes a la recepción de su solicitud (Art. 12(3) RGPD) - Podemos solicitar verificación de identidad a través de su correo electrónico de la cuenta - Los datos se proporcionarán en formato electrónico (JSON o CSV) Derecho a presentar una reclamación: Tiene derecho a presentar una reclamación ante su autoridad de supervisión de protección de datos: - España: Agencia Española de Protección de Datos (AEPD) — https://www.aepd.es - Alemania: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) — https://www.bfdi.bund.de - Reino Unido: Information Commissioner's Office (ICO) — https://ico.org.uk

Nuestro Servicio no está destinado a personas menores de 18 años. No recopilamos conscientemente información personal de menores de 18 años. Si descubrimos que hemos recopilado datos personales de un menor de 18 años, tomaremos medidas para eliminar esa información de inmediato. Si cree que hemos recopilado información de un menor de 18 años, contáctenos inmediatamente.

Implementamos medidas técnicas y organizativas apropiadas para proteger su información personal contra el acceso no autorizado, la alteración, la divulgación o la destrucción. Estas medidas incluyen: - Cifrado de datos en tránsito (TLS/SSL) y en reposo - Seguridad a nivel de fila (RLS) en nuestra base de datos - Autenticación segura mediante OAuth 2.0 (inicio de sesión con Google) - Revisiones de seguridad periódicas Sin embargo, ningún método de transmisión por Internet o almacenamiento electrónico es 100% seguro. Aunque nos esforzamos por proteger su información personal, no podemos garantizar su seguridad absoluta.

Podemos actualizar esta Política de Privacidad de vez en cuando. Le notificaremos de cualquier cambio material publicando la política actualizada en nuestro sitio web y actualizando la fecha de "Última actualización". Le recomendamos revisar esta política periódicamente para estar informado sobre cómo protegemos su información.

Si tiene alguna pregunta sobre esta Política de Privacidad o desea ejercer sus derechos de protección de datos, contáctenos: Consultas generales: support@simforme.com Consultas de protección de datos: privacy@simforme.com Para los residentes de la UE, también tiene derecho a presentar una reclamación ante su autoridad de supervisión de protección de datos local (ver Sección 9 para más detalles).