Política de privacidad
Última actualización: 2026-05-11
Quotably («nosotros») es una herramienta de generación de presupuestos para proveedores de servicios para eventos. Esta Política de privacidad explica qué datos personales recopilamos, cómo los utilizamos y tus derechos en virtud de la legislación vigente en materia de protección de datos, incluidos el Reglamento General de Protección de Datos de la UE (RGPD), la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) de España, y la Ley de Privacidad del Consumidor de California (CCPA/CPRA).
Esta política se aplica a todos los visitantes y usuarios de quotably.app. Se actualizó por última vez en la fecha indicada más arriba.
Responsable del tratamiento
Quotably es operado por Ramón Carmenaty (autónomo).
NIF: Y9958619R
Domicilio registrado/profesional: Pintor López Mezquita, 9 3B, 18002 Granada, España
Jurisdicción: España.
Nuestra doble función
Quotably actúa como responsable del tratamiento de los datos personales de sus usuarios registrados (proveedores de eventos). Al mismo tiempo, actúa como encargado del tratamiento de los datos personales de los clientes finales cuya información introducen nuestros usuarios para crear presupuestos (por ejemplo, nombre, correo, teléfono y datos del evento). Los usuarios son los responsables del tratamiento de los datos de sus propios clientes y son responsables de contar con una base jurídica válida para dicho tratamiento.
Datos que recopilamos
Recopilamos las siguientes categorías de datos personales:
- Correo electrónico — se utiliza para crear la cuenta, la autenticación (enlace mágico) y los correos transaccionales.
- Nombre (opcional) — proporcionado durante el proceso de incorporación o en los ajustes de la cuenta.
- Nombre comercial y ajustes de marca — nombre del negocio, logotipo, color de acento, correo y teléfono de contacto, moneda y precios predeterminados.
- Contactos de clientes — nombres, correos electrónicos, teléfonos y direcciones de tus clientes, introducidos por ti para generar presupuestos. Tratamos estos datos en tu nombre como encargado del tratamiento.
- Contenido de presupuestos — detalles del evento (tipo, fecha, ubicación), partidas, precios, condiciones y estado del presupuesto.
- Recursos de marca — archivo de logotipo subido al almacenamiento de Vercel Blob; la URL del archivo incluye tu ID de usuario.
- Identificadores de facturación — ID de cliente de Stripe e ID de suscripción. Nunca vemos ni almacenamos datos de tarjetas de pago; Stripe gestiona todo el procesamiento.
- Datos de autenticación/sesión — Quotably utiliza cookies de autenticación/sesión estrictamente necesarias y registros de sesión relacionados en el servidor para mantenerte con la sesión iniciada (vigencia máxima actual de 30 días).
- Dirección IP y user-agent — se procesan para autenticación, prevención de abusos e integridad del servicio. Cuando alguien abre un enlace público de presupuesto, podemos almacenar la dirección IP y el user-agent en registros de eventos del presupuesto para detectar abusos, deduplicar vistas repetidas y diagnosticar incidencias de acceso o entrega. Base jurídica: interés legítimo (seguridad e integridad del servicio).
- Preferencia de idioma — tu idioma preferido (EN o ES), almacenado en una cookie del navegador.
- Analítica — Vercel Analytics recopila URLs de páginas, referencia, geolocalización aproximada (país/región), navegador, sistema operativo y tipo de dispositivo. No se recopilan identificadores personales; los hashes de visitante se descartan a las 24 horas. No se instalan cookies.
Bases jurídicas del tratamiento (Art. 6 RGPD)
Tratamos los datos personales bajo las siguientes bases jurídicas:
- Ejecución del contrato (Art. 6.1.b): creación de cuenta, autenticación, generación de presupuestos, facturación y gestión de suscripciones — tratamiento necesario para prestar el servicio que has contratado.
- Intereses legítimos (Art. 6.1.f): registro de eventos de seguridad (eventos de webhook de Stripe), prevención del fraude y estabilidad del servicio — siempre que nuestros intereses no prevalezcan sobre tus derechos.
- Consentimiento (Art. 6.1.a): actualmente no es necesario para ningún tratamiento — no enviamos correos de marketing y no utilizamos cookies de seguimiento.
Subencargados del tratamiento
Utilizamos los siguientes subencargados del tratamiento para prestar el servicio. Cada uno tiene suscrito un Acuerdo de Tratamiento de Datos (DPA):
| Subprocessor | Purpose | DPA |
|---|---|---|
| Stripe | Procesamiento de pagos y facturación de suscripciones. Stripe almacena los datos de la tarjeta; nosotros solo conservamos el ID de cliente y el ID de suscripción de Stripe. | DPA ↗ |
| Resend | Entrega de correos transaccionales — enlaces mágicos de inicio de sesión y correos de entrega de presupuestos. | DPA ↗ |
| Neon | Alojamiento de la base de datos Postgres para todos los datos de la aplicación. | DPA ↗ |
| Vercel | Alojamiento de la aplicación, entorno de ejecución edge, almacenamiento Blob (subida de logotipos) y analítica sin cookies. | DPA ↗ |
Tus derechos bajo el RGPD (Arts. 15–22)
Si resides en el Espacio Económico Europeo o en el Reino Unido, tienes los siguientes derechos como interesado en virtud de los artículos 15 a 22 del RGPD:
- Derecho de acceso (Art. 15): obtener una copia de tus datos personales e información sobre cómo los tratamos.
- Derecho de rectificación (Art. 16): corregir datos inexactos o incompletos.
- Derecho de supresión (Art. 17): solicitar la eliminación de tus datos personales. Puedes iniciar la eliminación desde Ajustes → Cuenta → Eliminar cuenta; algunos datos pueden conservarse por motivos legales, fiscales, contables, de prevención del fraude, seguridad o cumplimiento similar.
- Derecho a la portabilidad (Art. 20): recibir tus datos en un formato estructurado y legible por máquina.
- Derecho a la limitación del tratamiento (Art. 18): solicitarnos que limitemos el uso de tus datos mientras se resuelve una controversia.
- Derecho de oposición (Art. 21): oponerte al tratamiento basado en intereses legítimos.
- Derecho a retirar el consentimiento (Art. 7): retirar el consentimiento en cualquier momento cuando el tratamiento se base en él (actualmente no aplicable — tratamos los datos en base a la ejecución del contrato).
- Derecho a presentar una reclamación: puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en https://www.aepd.es, o ante la autoridad de control de tu país de residencia.
AEPD (Agencia Española de Protección de Datos)
Cómo ejercer tus derechos
- Canal de solicitud designado: escribe a support@quotably.app con el asunto «Solicitud de derechos de privacidad» indicando el derecho que deseas ejercer.
- Opciones autoservicio: los titulares de cuenta pueden exportar sus datos desde Ajustes → Cuenta → Exportar tus datos y solicitar eliminación desde Ajustes → Cuenta → Eliminar cuenta, cuando esté disponible.
- Verificación: te pediremos que confirmes el correo asociado a tu cuenta de Quotably o que proporciones información identificativa razonable. Los agentes autorizados pueden presentar solicitudes en tu nombre con autorización por escrito.
- Plazo de respuesta: acusamos recibo de las solicitudes en un plazo de 10 días hábiles y respondemos en el plazo de 1 mes desde la recepción (ampliable hasta 2 meses adicionales para solicitudes complejas o numerosas, con notificación). Las respuestas se entregan electrónicamente sin coste hasta dos veces cada 12 meses.
- No se cobra ninguna tarifa por solicitudes ordinarias. Las solicitudes manifiestamente infundadas o excesivas y repetidas pueden conllevar una tarifa razonable o ser denegadas, con motivación.
Tus derechos bajo la CCPA/CPRA (residentes de California)
Si resides en California, la Ley de Privacidad del Consumidor de California (CCPA), modificada por la CPRA, te otorga los siguientes derechos:
- Derecho a saber: puedes solicitar la divulgación de las categorías y los datos personales específicos que hemos recopilado sobre ti.
- Derecho de supresión: puedes solicitar la eliminación de tu información personal, con ciertas excepciones.
- Derecho de rectificación: puedes solicitar la corrección de información personal inexacta.
- Derecho a limitar el uso de información personal sensible: no aplicable — no recopilamos información personal sensible tal como la define la CPRA.
- No discriminación: no te discriminaremos por ejercer tus derechos bajo la CCPA.
- No venta ni cesión de información personal: Quotably no vende ni cede tu información personal para publicidad conductual contextual cruzada. No es necesario ningún mecanismo de exclusión.
Otros derechos de privacidad de estados de EE. UU.
Si resides en un estado de EE. UU. con una ley integral de privacidad del consumidor, puedes tener derechos conforme a la legislación de ese estado, además o en lugar de los derechos de California indicados arriba. Los estados que actualmente seguimos incluyen Colorado (CPA), Connecticut (CTDPA), Virginia (VCDPA), Utah (UCPA), Texas (TDPSA), Oregón (OCPA) y Montana (MCDPA). La cobertura puede ampliarse a otros estados a medida que sus leyes entren en vigor.
Sujeto a los umbrales y excepciones aplicables, los residentes de estos estados pueden tener los siguientes derechos:
- Derecho de acceso: confirmar si tratamos tus datos personales y obtener una copia.
- Derecho de rectificación: solicitar la corrección de datos personales inexactos.
- Derecho de eliminación: solicitar la eliminación de los datos personales que hemos recogido de ti o sobre ti.
- Derecho de portabilidad: recibir tus datos personales en un formato estructurado, comúnmente utilizado y legible por máquina.
- Derecho a oponerse a la venta de datos personales: Quotably no vende datos personales, por lo que no se necesita exclusión.
- Derecho a oponerse a la publicidad dirigida: Quotably no realiza publicidad dirigida, por lo que no se necesita exclusión.
- Derecho a oponerse a la elaboración de perfiles para decisiones con efectos legales o significativos similares: Quotably no realiza ese tipo de perfilado.
- Derecho a limitar el tratamiento de datos sensibles: Quotably no recoge datos personales sensibles según la definición de estas leyes.
- Derecho a apelar la denegación de una solicitud: si rechazamos una solicitud de derechos, puedes apelar respondiendo a nuestro correo de respuesta; revisaremos y responderemos en un plazo de 60 días (o según lo exija la legislación de tu estado).
Cómo ejercer estos derechos
- Canal de solicitud designado: escribe a support@quotably.app con el asunto «Solicitud de derechos de privacidad» indicando el derecho que deseas ejercer y tu estado de residencia.
- Derechos autenticados: los titulares de cuenta también pueden utilizar la página Ajustes → Cuenta dentro de la app para acciones autoservicio cuando estén disponibles.
- Verificación: te pediremos que confirmes el correo asociado a tu cuenta de Quotably o que proporciones información razonable para verificar tu identidad. Los agentes autorizados pueden presentar solicitudes en tu nombre con autorización por escrito.
- Plazo de respuesta: acusaremos recibo de las solicitudes en un plazo de 10 días hábiles y responderemos en un plazo de 45 días (ampliable 45 días cuando lo permita la ley, con notificación). La respuesta se entrega electrónicamente sin coste hasta dos veces cada 12 meses.
- Señales universales de exclusión: cuando sea aplicable, Quotably respeta señales de preferencia de exclusión como Global Privacy Control (GPC). Dado que Quotably no vende datos personales ni realiza publicidad dirigida, estas señales no producen actualmente ningún cambio de comportamiento.
No discriminación: no te discriminaremos por ejercer ninguno de estos derechos, incluyendo la denegación del servicio, el cobro de precios distintos o la prestación de un nivel de calidad de servicio diferente.
Conservación de datos
Conservamos los datos personales solo el tiempo necesario para los fines descritos en esta política o lo que exija la normativa aplicable. Períodos de conservación específicos:
- Perfil de cuenta y metadatos de facturación: se conservan mientras tu cuenta esté activa y durante 90 días tras el cierre de la cuenta, salvo que un período mayor sea exigido por motivos fiscales, contables, de prevención del fraude o de reclamaciones legales.
- Presupuestos y datos de contacto de clientes introducidos por ti: se conservan mientras tu cuenta esté activa; se eliminan en un plazo de 30 días desde una solicitud de eliminación por escrito, salvo conservación legalmente exigida.
- Registros de seguridad y prevención de abuso (eventos de autenticación, eventos de webhook, metadatos de acceso a enlaces públicos de presupuesto): se conservan durante 180 días y luego se eliminan o agregan.
- Hilos de soporte por correo electrónico: se conservan durante 24 meses desde la última interacción, salvo que se exija una eliminación anterior por ley.
- Copias de seguridad cifradas de la base de datos: se sobrescriben en una ventana móvil de 35 días. Los datos personales eliminados de los sistemas en producción persisten en las copias de seguridad solo hasta el siguiente ciclo de sobrescritura.
- Registros de eventos de webhook de Stripe (registro de auditoría de facturación): se conservan durante la vida útil de la cuenta más 6 años para cumplir con las obligaciones de conservación de la legislación contable y fiscal española.
Cuando solicitas la eliminación (por ejemplo, desde Ajustes → Cuenta → Eliminar cuenta), procesamos la solicitud y borramos o anonimizamos los datos que podemos retirar, sujetos a los períodos anteriores. Se envía confirmación por correo electrónico cuando la solicitud está completa.
Transferencias internacionales de datos
Algunos de nuestros subencargados del tratamiento procesan datos personales fuera del Espacio Económico Europeo. Ubicaciones de tratamiento y mecanismos de transferencia por proveedor:
- Neon — alojamiento de la base de datos Postgres. Región principal de tratamiento: Estados Unidos (AWS US East 2, Ohio). Mecanismo de transferencia: Cláusulas Contractuales Tipo de la UE (CCT, Decisión de la Comisión 2021/914) en el DPA de Neon.
- Vercel — alojamiento de la aplicación, edge runtime, almacenamiento Blob, analítica sin cookies. Tratamiento en Estados Unidos y regiones edge globales. Mecanismo de transferencia: CCT UE y certificación del Marco de Privacidad de Datos UE-EE. UU. (DPF) cuando proceda.
- Stripe — procesamiento de pagos y facturación de suscripciones. Tratamiento en Estados Unidos y la infraestructura regional de Stripe. Mecanismo de transferencia: CCT UE y certificación DPF cuando proceda.
- Resend — entrega de correos transaccionales. Tratamiento en Estados Unidos. Mecanismo de transferencia: CCT UE.
Todas las transferencias desde el Espacio Económico Europeo, el Reino Unido o Suiza a un país sin decisión de adecuación de la UE se basan en las CCT UE (con la cláusula adicional de transferencia internacional de datos del Reino Unido y su equivalente suizo cuando proceda). Para solicitar una copia de las garantías de transferencia ejecutadas, o una descripción suficiente para demostrar el cumplimiento, escribe a support@quotably.app y responderemos por vía electrónica.
Contacto
Para cualquier consulta relacionada con la privacidad, solicitudes de derechos de los interesados o reclamaciones:
Revisamos manualmente las solicitudes de privacidad e intentamos responder dentro de los plazos exigidos por la normativa aplicable.