Política de privacidad
Última actualización: marzo 2026
1. Responsable del tratamiento
SPARRING LABS, S.L. está comprometida con la protección de los datos personales de sus usuarios. Tratamos la información personal con las máximas garantías de seguridad y confidencialidad, en estricto cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD). Los datos identificativos del responsable del tratamiento son los siguientes:
| Denominación social | SPARRING LABS, S.L. |
| CIF | B75876110 |
| Domicilio social | Calle Chile 54, 26007 Logroño, La Rioja, España |
| Correo electrónico | legal@emethra.com |
2. Datos personales que recogemos
Recogemos y tratamos las siguientes categorías de datos personales. En todos los casos, aplicamos el principio de minimización de datos, recogiendo únicamente la información estrictamente necesaria para cada finalidad:
2.1. Datos de registro
Para crear y gestionar la cuenta del usuario en la Plataforma necesitamos recoger datos básicos de identificación y acceso. Estos datos son imprescindibles para prestar el servicio contratado:
- Nombre y apellidos.
- Dirección de correo electrónico.
- Nombre de la empresa u organización (opcional).
- Contraseña (almacenada de forma cifrada, nunca en texto plano).
2.2. Datos de uso de la plataforma
Con el fin de garantizar la seguridad de la cuenta, proporcionar soporte técnico y mejorar la calidad del servicio, registramos determinada información sobre la actividad del usuario en la Plataforma:
- Registros de escaneos realizados (fecha, proyecto, resultados agregados).
- Dirección IP de acceso y metadatos de sesión.
- Registro de actividad (audit log) para operaciones sensibles de la cuenta.
2.3. Código fuente
Los usuarios pueden subir código fuente o conectar repositorios Git para su análisis. Este código se procesa de forma automatizada con la única finalidad de realizar el análisis de ciberresiliencia solicitado.
Garantía de eliminación: el código fuente se elimina de nuestros servidores de forma automática e irrecuperable una vez finalizado el análisis. No se conservan copias, respaldos ni fragmentos del código fuente original. Únicamente se conservan los resultados del análisis (SBOM, informes de vulnerabilidades, informes de cumplimiento).
2.4. Datos de pago
Los datos de pago (número de tarjeta, datos bancarios) son procesados directamente por nuestro proveedor de pagos, Stripe, Inc. SPARRING LABS, S.L. no almacena ni tiene acceso a los datos completos de la tarjeta de pago. Únicamente recibimos un identificador de transacción y el estado del pago.
3. Finalidades del tratamiento
De acuerdo con el principio de minimización de datos (artículo 5.1.c del RGPD), los datos personales se recogen exclusivamente para finalidades concretas, explícitas y legítimas, y no se tratan de manera incompatible con dichas finalidades. Cada dato recogido responde a una necesidad especifica del servicio:
| Finalidad | Descripción |
|---|---|
| Registro y autenticación | Gestion del registro y autenticación de usuarios en la Plataforma, incluyendo verificación de identidad y control de acceso. |
| Prestación del servicio | Ejecución del análisis de ciberresiliencia contratado, incluyendo el procesamiento del código fuente y la generación de resultados. |
| Generación de informes | Creacion de SBOM, informes de vulnerabilidades y documentación de cumplimiento normativo (CRA, NIS2). |
| Comunicaciones transaccionales | Envio de confirmaciones de escaneo, alertas de seguridad, notificaciones de cuenta y comunicaciones relativas al servicio. |
| Facturación | Gestion de pagos, facturación y administración de la suscripcion del usuario. |
| Obligaciones legales | Cumplimiento de obligaciones fiscales, contables y regulatorias aplicables a la actividad de la empresa. |
| Mejora del servicio | Análisis agregado y anonimizado del uso de la Plataforma para mejorar su rendimiento, funcionalidades y experiencia de usuario. |
4. Base jurídica del tratamiento
Todo tratamiento de datos personales requiere una base jurídica que lo legitime. A continuación se detalla la base aplicable a cada tipo de tratamiento, junto con el artículo correspondiente del RGPD:
| Base jurídica | Artículo RGPD | Aplicación |
|---|---|---|
| Ejecución contractual | Art. 6.1.b | Tratamiento necesario para la prestación del servicio contratado por el usuario (registro, análisis, generación de informes). |
| Consentimiento | Art. 6.1.a | Envio de comunicaciones comerciales, en su caso. El consentimiento puede retirarse en cualquier momento. |
| Interes legítimo | Art. 6.1.f | Mejora del servicio, prevencion de fraudes, garantía de la seguridad de la Plataforma y análisis agregados de uso. |
| Obligación legal | Art. 6.1.c | Cumplimiento de obligaciones fiscales, contables y de conservación documental exigidas por la legislación vigente. |
5. Plazos de conservación
Los datos personales se conservan únicamente durante el tiempo necesario para cumplir con la finalidad para la que fueron recogidos. Una vez superado dicho plazo, se eliminan o anonimizan de forma segura. A continuación se detallan los plazos de conservación aplicables a cada tipo de dato:
| Tipo de dato | Plazo de conservación | Justificación |
|---|---|---|
| Datos de cuenta | Vigencia contractual + 5 años | Duración de la relacion contractual y plazos legalmente exigidos para datos fiscales. |
| Código fuente | Eliminación inmediata | Se elimina automáticamente una vez finalizado el análisis. No se conservan copias. |
| Resultados de análisis | Cuenta activa (bajo demanda) | Mientras el usuario mantenga su cuenta activa. El usuario puede solicitar su eliminación en cualquier momento. |
| Registros de actividad | 2 años | Conforme a buenas prácticas de seguridad y normativa aplicable de trazabilidad. |
| Datos de facturación | 5 años | Conforme a la legislación fiscal vigente (Ley General Tributaria). |
6. Destinatarios de los datos
Los datos personales podrán ser comunicados a terceros únicamente cuando sea estrictamente necesario para la prestación del servicio o para el cumplimiento de obligaciones legales. En todos los casos, exigimos a nuestros proveedores garantías adecuadas de protección de datos.
| Destinatario | Finalidad | Garantías |
|---|---|---|
| Proveedores de infraestructura | Alojamiento y procesamiento de datos | Centros de datos ubicados íntegramente en la Union Europea, sujetos a legislación comunitaria. |
| Stripe, Inc. | Procesamiento de pagos | Actúa como encargado del tratamiento. Cumple con las cláusulas contractuales tipo de la Comisión Europea para transferencias internacionales. |
| Resend | Envio de correos electrónicos transaccionales | Acceso limitado a direcciones de correo. Contrato de encargado del tratamiento suscrito. |
| Autoridades públicas | Cumplimiento de obligaciones legales | Comunicación únicamente cuando exista obligación legal o requerimiento judicial. |
SPARRING LABS, S.L. no vende, alquila ni cede datos personales a terceros con fines comerciales, publicitarios ni de perfilado. Nuestro modelo de negocio se basa exclusivamente en la prestación del servicio contratado, no en la comercializacion de datos de nuestros usuarios.
7. Transferencias internacionales
Toda la infraestructura de procesamiento de EMETHRA se encuentra ubicada en la Union Europea. En aquellos casos en que un proveedor de servicios auxiliares opere fuera del Espacio Económico Europeo (como Stripe para pagos), las transferencias se realizan al amparo de las cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión 2021/914), conforme al Capítulo V del RGPD.
8. Medidas de seguridad
La seguridad constituye un pilar fundamental de EMETHRA. Dado que la Plataforma procesa código fuente y datos de seguridad de nuestros usuarios, hemos adoptado un enfoque de seguridad desde el diseño (security by design) que impregna todas las capas de nuestra arquitectura. Las medidas técnicas y organizativas implementadas se revisan y actualizan de forma periódica para adaptarse a las amenazas emergentes.
Cifrado
- Cifrado de datos en tránsito mediante TLS 1.3 para todas las comunicaciones.
- Cifrado de datos en reposo en todas las bases de datos y sistemas de almacenamiento.
- Copias de seguridad cifradas con verificación periódica de integridad.
Autenticación y control de acceso
- Contraseñas almacenadas mediante funciones de hash seguras (bcrypt/argon2).
- Autenticación basada en sesiones con cookies seguras (HttpOnly, SameSite).
- Soporte para autenticación en dos factores (2FA).
Aislamiento y multitenancy
- Aislamiento de datos por tenant (multitenancy segura) para evitar accesos cruzados.
- Registro de actividad (audit log) de todas las operaciones sensibles.
- Eliminación automática de código fuente tras el análisis.
Infraestructura
- Infraestructura alojada íntegramente en la Union Europea.
- Monitorización continua de la infraestructura y alertas de seguridad en tiempo real.
9. Derechos del interesado
De conformidad con el RGPD, el usuario puede ejercer los siguientes derechos en relacion con sus datos personales:
| Derecho | Descripción |
|---|---|
| Acceso | Obtener confirmacion de si se tratan sus datos y acceder a los mismos, incluyendo una copia de los datos personales en tratamiento. |
| Rectificación | Solicitar la correccion de datos inexactos o el completamiento de datos incompletos. |
| Supresion | Solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos. |
| Limitación | Solicitar la limitación del tratamiento en los supuestos previstos por el artículo 18 del RGPD. |
| Portabilidad | Recibir sus datos en un formato estructurado, de uso comun y lectura mecánica, y transmitirlos a otro responsable. |
| Oposicion | Oponerse al tratamiento de sus datos en determinadas circunstancias, en particular cuando se base en interes legítimo. |
| Retirada del consentimiento | Retirar el consentimiento prestado en cualquier momento, sin que ello afecte a la licitud del tratamiento previo. |
Para ejercer cualquiera de estos derechos, envie un correo electrónico a legal@emethra.com indicando su identidad y el derecho que desea ejercer. Responderemos en un plazo máximo de 30 dias.
Asimismo, tiene derecho a presentar una reclamacion ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
10. Notificación de incidentes de seguridad
En caso de producirse una violación de seguridad que afecte a datos personales, SPARRING LABS, S.L. procederá de conformidad con el artículo 33 del RGPD:
- Notificación a la autoridad de control competente (AEPD) en un plazo máximo de 72 horas desde que se tenga conocimiento de la violación.
- Notificación a los interesados afectados sin dilacion indebida cuando la violación suponga un alto riesgo para sus derechos y libertades.
- Documentación interna de todos los incidentes de seguridad, incluyendo los hechos, efectos y medidas correctivas adoptadas.
Adicionalmente, y en linea con los requisitos de la directiva NIS2 para entidades relevantes, EMETHRA mantiene procedimientos internos de notificación de incidentes con los siguientes plazos:
| Fase | Plazo |
|---|---|
| Alerta temprana | 24 horas desde la detección del incidente |
| Notificación intermedia | 72 horas con evaluación inicial del impacto y la gravedad |
| Informe final | 1 mes con descripción detallada, causa raíz y medidas correctivas |
11. Modificaciones de esta política
SPARRING LABS, S.L. se reserva el derecho de modificar esta política de privacidad para adaptarla a novedades legislativas, criterios jurisprudenciales o cambios en nuestras prácticas. Cualquier modificación será publicada en esta página con indicacion de la fecha de la última actualización. En caso de cambios sustanciales, notificaremos a los usuarios registrados por correo electrónico.