Compromiso de Custodia de Datos

elvaxylvia, con domicilio en Calle Ramón y Cajal, #46, 38006 Santa Cruz de Tenerife, España, asume la responsabilidad sobre el tratamiento de información personal derivada de la prestación de servicios de automatización financiera. Nuestra actividad se rige por la legislación española vigente y el Reglamento General de Protección de Datos de la Unión Europea.

Operamos bajo el principio de que cada categoría de dato debe tener una justificación operativa específica. No acumulamos información por previsión futura ni creamos perfiles predictivos más allá de lo estrictamente necesario para ofrecer las funcionalidades contratadas.

El procesamiento de datos personales descansa sobre tres pilares legales diferenciados según el contexto. Cuando un usuario contrata nuestros servicios, la ejecución del contrato constituye la base legal primaria — sin ciertos datos, simplemente no podríamos entregar el servicio acordado. En situaciones donde la ley española o europea nos obligue a conservar registros (por ejemplo, documentación contable o fiscal), el cumplimiento normativo justifica la retención.

Existe un tercer escenario: operaciones que, sin ser contractualmente imprescindibles ni legalmente obligatorias, mejoran la experiencia del usuario o facilitan la gestión interna. En esos casos, solicitamos consentimiento explícito antes de proceder. Ese consentimiento puede retirarse en cualquier momento sin afectar la legalidad del tratamiento previo.

La mayor parte de los datos que gestionamos llegan a través de formularios completados por los propios usuarios. Durante el registro inicial, solicitamos datos de identificación básicos: nombre completo, dirección de correo electrónico y número de teléfono. Estos elementos permiten crear la cuenta y establecer canales de comunicación.

Al configurar las funciones de automatización presupuestaria, los usuarios ingresan información financiera descriptiva: categorías de gasto, umbrales de alerta, preferencias de notificación. No solicitamos ni almacenamos credenciales bancarias completas; las integraciones con entidades financieras se realizan mediante protocolos de autorización donde el banco valida al usuario sin compartir contraseñas con nosotros.

Nuestro sistema registra ciertos metadatos técnicos inherentes al funcionamiento de cualquier plataforma digital. Al iniciar sesión, se capturan marcas temporales, direcciones IP y datos del navegador utilizado. Esta información sirve para detectar accesos anómalos y cumplir con obligaciones de seguridad.

Las interacciones dentro de la plataforma generan registros de actividad: qué funciones se utilizan, cuándo se configuran automatizaciones, frecuencia de consulta de informes. Estos registros operativos nos ayudan a identificar errores técnicos, mejorar flujos de trabajo y dimensionar recursos de infraestructura.

La automatización presupuestaria requiere que nuestros sistemas procesen continuamente datos financieros para generar alertas personalizadas, categorizar transacciones y producir análisis periódicos. Estas operaciones se ejecutan mediante algoritmos que comparan patrones de gasto contra los umbrales definidos por cada usuario.

El envío de notificaciones por correo electrónico o WhatsApp constituye parte integral del servicio — sin esos canales, las alertas automáticas carecerían de utilidad práctica. Cada notificación contiene información específica sobre el evento que la desencadenó: superación de límite, anomalía detectada, recordatorio programado.

Los registros de acceso se analizan constantemente mediante sistemas automatizados que buscan patrones sospechosos: intentos de inicio de sesión desde ubicaciones geográficas inusuales, múltiples fallos de autenticación consecutivos, acceso simultáneo desde dispositivos incompatibles. Cuando se detecta una anomalía, el sistema puede requerir verificación adicional o suspender temporalmente el acceso mientras investigamos.

Conservamos logs de actividad técnica durante períodos prolongados porque los patrones de fraude no siempre son inmediatamente evidentes — algunos ataques sofisticados despliegan actividad sospechosa a lo largo de semanas. Esta retención prolongada responde a necesidades legítimas de seguridad, no a curiosidad corporativa.

Cuando un usuario contacta nuestro servicio de atención, creamos un registro de la consulta que incluye el problema reportado, las soluciones propuestas y el resultado final. Estos registros nos permiten identificar problemas recurrentes, mejorar documentación de ayuda y entrenar adecuadamente al equipo de soporte.

Periódicamente analizamos datos agregados sobre uso de funcionalidades — qué características se utilizan frecuentemente, cuáles generan confusión, dónde abandonan los usuarios procesos incompletos. Este análisis es siempre estadístico y no identifica usuarios individuales; buscamos tendencias generales para priorizar mejoras en la plataforma.

La infraestructura tecnológica de elvaxylvia no opera de forma aislada. Dependemos de servicios especializados cuyo funcionamiento requiere acceso limitado a ciertos datos. Nuestro proveedor de alojamiento en la nube almacena físicamente la información en servidores ubicados dentro del Espacio Económico Europeo. El servicio de entrega de correo electrónico necesita direcciones de destinatarios para enviar notificaciones. El sistema de comunicaciones por WhatsApp opera a través de la API oficial proporcionada por Meta Platforms Ireland Limited.

Todos estos proveedores actúan como encargados del tratamiento bajo nuestras instrucciones documentadas. Hemos firmado acuerdos que limitan estrictamente qué pueden hacer con los datos: únicamente prestar el servicio específico contratado. No tienen permiso para utilizar información con fines propios, compartirla con terceros o retenerla más allá de lo operativamente necesario.

Existen situaciones donde la divulgación de información no depende de nuestra voluntad sino de imperativos legales. Una orden judicial válida, una investigación de las autoridades de protección de datos, un requerimiento fiscal — estos escenarios pueden obligarnos a entregar información específica a organismos oficiales.

Antes de cumplir cualquier requerimiento externo, nuestro equipo legal evalúa su validez formal y alcance. Si consideramos que una solicitud excede los límites legales o amenaza derechos fundamentales, ejercemos las vías de impugnación disponibles. Cuando la divulgación es legalmente ineludible, nos limitamos al conjunto mínimo de datos estrictamente exigidos — nunca entregamos archivos completos si se puede satisfacer el requerimiento con información parcial.

elvaxylvia no vende, alquila ni comercializa listas de usuarios a terceros. No participamos en intercambios de datos con brokers de información. No permitimos que anunciantes accedan directamente a información identificable de nuestros usuarios. Nuestro modelo de ingresos se basa exclusivamente en las suscripciones al servicio de automatización presupuestaria.

Toda la información en tránsito entre dispositivos de usuarios y nuestros servidores viaja cifrada mediante protocolos TLS actualizados. Los datos almacenados en bases de producción se cifran en reposo utilizando estándares AES. Las contraseñas nunca se guardan en texto plano; aplicamos funciones hash con salt individuales.

El acceso interno a sistemas que contienen datos personales está restringido mediante controles de autenticación multifactor. Los permisos se asignan siguiendo el principio de mínimo privilegio necesario — cada empleado puede acceder únicamente a los datos imprescindibles para sus funciones específicas. Registramos todas las operaciones de consulta y modificación para mantener trazabilidad.

Nuestros sistemas se someten a evaluaciones de seguridad periódicas realizadas por especialistas externos. Cuando se detectan vulnerabilidades, implementamos parches correctivos con carácter prioritario. Mantenemos planes de respuesta ante incidentes que establecen procedimientos específicos para diferentes tipos de brechas potenciales.

Ningún sistema digital alcanza seguridad absoluta. A pesar de nuestras medidas defensivas, persisten riesgos que no podemos eliminar completamente. Ataques sofisticados de actores con recursos significativos podrían potencialmente superar nuestras defensas. Vulnerabilidades de día cero en software subyacente pueden permanecer desconocidas hasta su explotación. Errores humanos internos — aunque trabajamos activamente para minimizarlos mediante entrenamiento y controles — siguen siendo posibles.

Si detectamos o nos notifican de un incidente de seguridad que afecte a información personal, activamos nuestro protocolo de respuesta que incluye: contención inmediata del incidente, investigación forense para determinar alcance y causa, notificación a la autoridad de protección de datos dentro del plazo legal de 72 horas, y comunicación directa a usuarios afectados cuando el incidente presente riesgos significativos para sus derechos.

Cualquier usuario puede solicitar una copia completa de los datos personales que mantenemos sobre él. Respondemos estas solicitudes en formato electrónico estructurado dentro de un plazo máximo de un mes. Si la información resulta inexacta o está desactualizada, puede requerir su corrección. La mayoría de datos básicos (nombre, correo, preferencias) son directamente editables desde la configuración de cuenta; para modificaciones que afecten registros históricos o datos financieros vinculados, puede ser necesario contactar soporte para garantizar integridad operativa.

Los usuarios pueden solicitar la eliminación de su cuenta y datos asociados. Este proceso no es instantáneo porque debemos preservar cierta información durante períodos legalmente establecidos (por ejemplo, documentación fiscal requerida por Hacienda). Eliminamos inmediatamente todo lo que no esté sujeto a obligaciones de retención legal.

En situaciones donde la eliminación completa no sea viable por razones legítimas, puede solicitar la limitación del tratamiento — marcamos los datos para que no se procesen activamente salvo para cumplir obligaciones legales o ejercer defensas jurídicas.

Cuando el tratamiento se base en consentimiento o ejecución contractual, y se realice mediante medios automatizados, tiene derecho a recibir sus datos en formato estructurado y de uso común (JSON o CSV) para transferirlos a otro servicio. Facilitamos esta portabilidad sin obstáculos técnicos artificiales.

Puede oponerse en cualquier momento a tratamientos basados en interés legítimo o con fines de análisis estadístico. Evaluaremos la objeción y, salvo que demostremos motivos imperiosos que prevalezcan sobre sus intereses, cesaremos ese tratamiento específico.

La información de perfil básica y configuraciones de automatización se conservan mientras la cuenta permanezca activa. Si un usuario abandona el servicio, iniciamos un período de gracia de 90 días durante el cual la cuenta queda suspendida pero recuperable. Pasado ese plazo, eliminamos definitivamente la información de usuario salvo elementos que debamos retener por obligaciones legales.

Los registros de actividad técnica (logs de acceso, eventos de sistema) se conservan durante dos años para permitir investigaciones de seguridad retrospectivas. Transcurrido ese período, se eliminan automáticamente mediante procesos programados. La documentación fiscal y contable se retiene durante el plazo establecido por la legislación española — actualmente seis años desde el último ejercicio fiscal al que se refieren.

Las comunicaciones de soporte técnico se archivan durante tres años después de resolver el caso. Este plazo permite hacer seguimiento de problemas recurrentes y defender la organización ante posibles reclamaciones relacionadas con el servicio prestado.

La eliminación de información no consiste simplemente en borrar referencias visibles. Nuestros procedimientos incluyen sobrescritura segura de espacios de almacenamiento, purga de copias de respaldo que hayan superado su período de retención, y eliminación de réplicas en sistemas de caché o staging. Verificamos que los proveedores de infraestructura cumplan procedimientos similares cuando finaliza nuestra relación contractual.