Cumplimiento RGPD / GDPR
Última actualización: 25 de febrero de 2026
GestorForms, propiedad de DAVID GUZMÁN QUIRÓS (nombre comercial: Gestor Forms), está comprometido con el cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD), así como de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. Nuestro compromiso con la protección de datos
La protección de los datos personales de nuestros usuarios y de los clientes finales de nuestros usuarios es una prioridad fundamental. Hemos implementado un programa integral de cumplimiento que abarca todos los aspectos de nuestra actividad:
Privacidad desde el diseño
Integramos la protección de datos en el diseño de nuestros sistemas y procesos desde su concepción (Privacy by Design, art. 25 RGPD).
Privacidad por defecto
Aplicamos las configuraciones más restrictivas como predeterminadas, limitando el tratamiento al mínimo necesario (Privacy by Default).
Minimización de datos
Solo recopilamos los datos estrictamente necesarios para la finalidad declarada, evitando cualquier exceso.
Transparencia total
Informamos de forma clara, concisa y accesible sobre todos los tratamientos de datos que realizamos.
2. Roles en el tratamiento de datos
Conforme a la terminología del RGPD, GestorForms puede actuar en diferentes roles dependiendo del contexto:
| Rol | Contexto | Base legal |
|---|---|---|
| Responsable del tratamiento | Datos de las Organizaciones (clientes directos): cuenta, facturación, autenticación, comunicaciones. | Ejecución contractual (art. 6.1.b RGPD) |
| Encargado del tratamiento | Datos de los clientes finales de las Organizaciones: formularios cumplimentados, documentos firmados, datos introducidos por terceros. | Contrato de encargado (art. 28 RGPD) |
Cuando actuamos como encargados del tratamiento, ofrecemos un Acuerdo de Procesamiento de Datos (DPA) que cumple con los requisitos del artículo 28 del RGPD. Este acuerdo está disponible bajo solicitud a dpo@gestorforms.com.
3. Medidas técnicas y organizativas (art. 32 RGPD)
Hemos implementado medidas de seguridad adecuadas al riesgo para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales:
3.1 Cifrado
- En tránsito: Todas las comunicaciones se cifran mediante TLS 1.3. Solo se aceptan conexiones HTTPS.
- En reposo: Los datos almacenados se protegen con cifrado AES-256 a nivel de base de datos.
- Credenciales de terceros: Las claves API de proveedores de firma electrónica se almacenan cifradas con AES-256-GCM y claves de cifrado gestionadas de forma segura.
3.2 Control de acceso
- Autenticación mediante tokens JWT con expiración configurable.
- Políticas de seguridad a nivel de fila (Row Level Security) en la base de datos, garantizando el aislamiento de datos entre organizaciones.
- Principio de mínimo privilegio en el acceso a sistemas internos.
- Registro de accesos y auditoría de operaciones sensibles.
3.3 Infraestructura
- Alojamiento en servidores ubicados en la Unión Europea (región eu-west).
- Copias de seguridad automatizadas con retención configurable.
- Monitorización continua de la disponibilidad y rendimiento del servicio.
- Plan de respuesta ante incidentes de seguridad documentado y actualizado periódicamente.
4. Derechos de los interesados (arts. 15-22 RGPD)
El RGPD reconoce los siguientes derechos a los interesados, que GestorForms facilita y garantiza:
| Derecho | Artículo | Descripción |
|---|---|---|
| Acceso | Art. 15 | Obtener confirmación de si se tratan sus datos y acceder a ellos. |
| Rectificación | Art. 16 | Solicitar la corrección de datos inexactos o incompletos. |
| Supresión | Art. 17 | Solicitar la eliminación de sus datos cuando ya no sean necesarios. |
| Limitación | Art. 18 | Solicitar la restricción del tratamiento en determinadas circunstancias. |
| Portabilidad | Art. 20 | Recibir sus datos en un formato estructurado, de uso común y lectura mecánica. |
| Oposición | Art. 21 | Oponerse al tratamiento de sus datos en determinadas situaciones. |
| No ser objeto de decisiones automatizadas | Art. 22 | No ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos. |
Para ejercer cualquiera de estos derechos, envíe una comunicación motivada y acreditada a dpo@gestorforms.com. Responderemos en un plazo máximo de 30 días naturales desde la recepción de la solicitud.
5. Transferencias internacionales de datos
GestorForms almacena los datos personales en servidores ubicados en la Unión Europea. Cuando sea necesario transferir datos fuera del Espacio Económico Europeo (por ejemplo, por el uso de subencargados ubicados en terceros países), nos aseguramos de que se apliquen las garantías adecuadas conforme al Capítulo V del RGPD:
- Decisiones de adecuación de la Comisión Europea (art. 45 RGPD).
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (art. 46.2.c RGPD).
- EU-U.S. Data Privacy Framework cuando el destinatario esté certificado bajo dicho marco.
6. Subencargados del tratamiento
Para la prestación de nuestros servicios, utilizamos los siguientes subencargados del tratamiento, con los que mantenemos los acuerdos contractuales exigidos por el artículo 28 del RGPD:
| Subencargado | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Supabase | Base de datos, autenticación y almacenamiento | UE (Frankfurt) | DPA + CCT |
| Vercel | Alojamiento web y edge computing | UE + EE.UU. | DPA + DPF |
| Stripe | Procesamiento de pagos y facturación | UE (Irlanda) | DPA + CCT |
| Proveedores de firma | Firma electrónica avanzada / cualificada | UE | Según proveedor elegido por la Organización |
7. Períodos de conservación de datos
Conservamos los datos personales únicamente durante el tiempo necesario para cumplir con la finalidad para la que fueron recogidos y para atender las obligaciones legales aplicables:
| Tipo de dato | Período de conservación | Base legal |
|---|---|---|
| Datos de cuenta | Vigencia del contrato + 30 días | Ejecución contractual |
| Datos de facturación | 5 años desde la emisión | Obligación legal (Ley General Tributaria) |
| Formularios / documentos | Hasta que la Organización los elimine o cancele | Ejecución contractual |
| Logs de auditoría | 2 años | Interés legítimo (seguridad) |
| Datos analíticos (cookies) | 26 meses (anonimizados) | Consentimiento |
8. Notificación de violaciones de seguridad (arts. 33-34 RGPD)
En caso de brecha de seguridad que afecte a datos personales, GestorForms se compromete a:
- Notificar a la AEPD (Agencia Española de Protección de Datos) en un plazo máximo de 72 horas desde que tenga constancia de la brecha, salvo que sea improbable que constituya un riesgo para los derechos y libertades de los interesados.
- Notificar a los interesados sin dilación indebida cuando la brecha entrañe un alto riesgo para sus derechos y libertades.
- Notificar a las Organizaciones afectadas cuando actuemos como encargados del tratamiento, en el plazo más breve posible, para que puedan cumplir con sus propias obligaciones de notificación.
- Documentar la naturaleza de la brecha, sus efectos, las medidas correctoras adoptadas y las comunicaciones realizadas.
9. Evaluaciones de impacto (EIPD)
Conforme al artículo 35 del RGPD, realizamos Evaluaciones de Impacto en la Protección de Datos (EIPD) antes de implementar cualquier nuevo tratamiento que pueda entrañar un alto riesgo para los derechos y libertades de los interesados. Estas evaluaciones se documentan internamente y se revisan periódicamente.
10. Contacto y Delegado de Protección de Datos
Para cualquier cuestión relacionada con el tratamiento de sus datos personales o con el ejercicio de sus derechos, puede ponerse en contacto con nosotros a través de:
| Responsable | DAVID GUZMÁN QUIRÓS (Gestor Forms) |
| CIF | 04224089R |
| Domicilio | Calle Navacerrada 5 1A (28400 – Madrid) |
| E-mail DPO | dpo@gestorforms.com |
Si considera que el tratamiento de sus datos personales no se ajusta a la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
11. Documentación complementaria
Para una información completa sobre nuestras prácticas de protección de datos, le invitamos a consultar:
© 2026 Gestor Forms. Todos los derechos reservados.