Política de Privacidad — ManipulaPro
Última actualización: 27 de abril de 2026 Versión: 1.0
1. Identidad del Responsable del Tratamiento
| Campo | Valor |
|---|---|
| Nombre | Fabio Tassone |
| Forma jurídica | Trabajador autónomo (alta IAE en España) |
| NIE | [a completar] |
| Domicilio fiscal | [a completar — Sevilla, España] |
| Email de contacto privacidad | privacy@manipulapro.com |
| Email general | hola@manipulapro.com |
| Marca comercial | ManipulaPro |
| Dominios | manipulapro.com, manipulapro.com |
No se ha designado Delegado de Protección de Datos (DPO) por no concurrir los supuestos del Art. 37 del RGPD: la actividad no implica observación sistemática a gran escala ni tratamiento a gran escala de categorías especiales de datos del Art. 9.
2. Datos personales tratados
| Categoría | Datos concretos | Origen |
|---|---|---|
| Identificación | Nombre, apellidos, email | Formulario de registro |
| Autenticación | Hash de contraseña (gestionado por Clerk), tokens de sesión | Servicio de autenticación |
| Facturación | Email de pago, importe, ID de transacción Stripe | Stripe Checkout |
| Académicos | Cursos comprados, intentos de examen, puntuaciones, certificados emitidos | Plataforma ManipulaPro |
| Técnicos | IP, user agent, fecha de acceso, idioma | Logs de servidor (Vercel) |
| Cookies | Ver sección 9 | Navegador del usuario |
No tratamos datos de las categorías especiales del Art. 9 RGPD (origen racial, opiniones políticas, salud, biometría, etc.). No tratamos datos de menores de 14 años (LOPDGDD Art. 7).
3. Finalidades y bases legales del tratamiento
| Finalidad | Base legal (Art. 6 RGPD) |
|---|---|
| Prestación del servicio de formación online (registro, acceso a cursos, examen, certificado) | Ejecución de contrato (Art. 6.1.b) |
| Cobro y facturación | Obligación legal (Art. 6.1.c — normativa fiscal) |
| Comunicaciones transaccionales (recuperación contraseña, factura, certificado) | Ejecución de contrato (Art. 6.1.b) |
| Atención de solicitudes (Art. 15-22 RGPD) | Obligación legal (Art. 6.1.c) |
| Mejora del servicio mediante analítica agregada | Interés legítimo (Art. 6.1.f) — solo si el usuario consiente cookies de análisis |
| Marketing por email | Consentimiento (Art. 6.1.a) — opt-in explícito, no se envía sin previo consentimiento |
4. Encargados del tratamiento (subprocesadores)
ManipulaPro utiliza los siguientes proveedores que tratan datos personales por cuenta del Responsable. Todos cuentan con Acuerdo de Encargado de Tratamiento (DPA) firmado y, en transferencias fuera del EEE, con Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) o adhesión al EU-U.S. Data Privacy Framework.
| Proveedor | País sede | Finalidad | Datos transferidos | Garantía transferencia |
|---|---|---|---|---|
| Clerk Inc. | Estados Unidos | Autenticación de usuarios, gestión de sesiones | Email, nombre, IP, tokens | SCC + EU-U.S. DPF |
| Stripe Payments Europe Ltd. | Irlanda (sede UE) | Procesamiento de pagos | Email, importe, ID transacción, IP | Tratamiento dentro del EEE |
| Stripe Inc. | Estados Unidos | Soporte técnico al servicio de pagos | Datos pseudonimizados | SCC + EU-U.S. DPF |
| Neon Inc. | Estados Unidos (datos en región EU eu-central-1) | Base de datos PostgreSQL | Todos los datos de cuenta y académicos | SCC + datos en residencia europea |
| Resend Inc. | Estados Unidos | Envío de emails transaccionales | Email destinatario, contenido del mensaje | SCC |
| Vercel Inc. | Estados Unidos | Alojamiento de la aplicación, ejecución de funciones serverless | Logs técnicos (IP, user agent), datos en tránsito | SCC + EU-U.S. DPF |
| Cloudflare Ireland Ltd. | Irlanda (sede UE para clientes EEE) | DNS y red de distribución de contenidos (CDN) | IP, datos de tráfico técnico | Tratamiento dentro del EEE |
| Upstash Inc. | Estados Unidos (datos en región EU si configurada) | Rate limiting y caché | IP truncada, contadores | SCC |
ManipulaPro no autoriza a estos encargados a usar los datos para fines propios distintos de la prestación del servicio contratado. Antes de añadir un nuevo encargado, ManipulaPro evalúa garantías técnicas y organizativas y suscribe el correspondiente DPA.
5. Conservación de los datos
| Categoría | Plazo de conservación | Base |
|---|---|---|
| Cuenta de usuario (perfil, autenticación) | Hasta solicitud de supresión por el usuario o inactividad superior a 36 meses | Ejecución del servicio |
| Datos de pago y facturación (importes, fechas, IDs Stripe) | 7 años desde la emisión de la factura | Obligación legal: Art. 30 Código de Comercio + Art. 67 LGT (Ley General Tributaria) |
Intentos de examen (QuizAttempt) | Hasta supresión de la cuenta | Ejecución del servicio |
| Certificados emitidos | Indefinido, anonimizados tras supresión de la cuenta del titular | Interés legítimo: integridad sistema verificación pública anti-falsificación + obligaciones del operador alimentario (RD 109/2010) |
Backup pg_dump cifrado | 30 días rotación automática | Seguridad |
| Logs de acceso técnicos | 90 días | Interés legítimo: seguridad y detección de fraude |
| Cookies | Ver sección 9 | Consentimiento o ejecución del servicio |
| Comunicaciones de marketing | Hasta retirada del consentimiento | Consentimiento |
Anonimización de certificados: tras la solicitud de supresión, el campo userId del registro Certificate se desvincula y los datos personales (nombre, email) se sustituyen por hashes irreversibles. El código único del certificado y la fecha de emisión se conservan para que la verificación pública mediante código (/verifica/[code]) siga siendo válida frente a inspecciones sanitarias y empleadores que la consulten.
6. Derechos del interesado (Art. 15-22 RGPD)
Tienes derecho a:
- Acceso (Art. 15): obtener confirmación de si se tratan tus datos y, en su caso, copia de los mismos.
- Rectificación (Art. 16): corregir datos inexactos.
- Supresión (Art. 17) — "derecho al olvido": eliminar tus datos cuando ya no sean necesarios o cuando retires el consentimiento, sin perjuicio de los plazos de conservación obligatorios (Sección 5).
- Limitación del tratamiento (Art. 18): solicitar la suspensión del tratamiento en supuestos tasados.
- Portabilidad (Art. 20): recibir tus datos en formato estructurado (JSON) y transmitirlos a otro responsable.
- Oposición (Art. 21): oponerte al tratamiento basado en interés legítimo (analítica) o marketing directo.
- No ser objeto de decisiones automatizadas (Art. 22): ManipulaPro no realiza decisiones automatizadas con efectos jurídicos sobre los usuarios. La calificación del examen es algorítmica pero no constituye una decisión jurídica autónoma.
Cómo ejercer tus derechos: envía un email a privacy@manipulapro.com indicando el derecho que deseas ejercer y adjuntando copia de tu DNI/NIE/pasaporte para acreditar tu identidad. Plazo de respuesta: un mes prorrogable a tres meses en casos complejos (Art. 12 RGPD).
Reclamación ante autoridad de control: si consideras que el tratamiento vulnera el RGPD puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid, www.aepd.es, tel. 901 100 099 / 912 663 517.
7. Seguridad
ManipulaPro aplica medidas técnicas y organizativas apropiadas (Art. 32 RGPD), entre otras:
- Cifrado en tránsito mediante TLS 1.3
- Cifrado en reposo de la base de datos (Neon utiliza AES-256)
- Autenticación con factor adicional (2FA) disponible para administradores
- Hash de contraseñas con bcrypt/argon2 (gestionado por Clerk, ManipulaPro nunca accede a contraseñas en claro)
- Aislamiento de credenciales mediante variables de entorno (Vercel Encrypted Env Vars)
- Verificación criptográfica de webhooks entrantes (firma Stripe + Clerk svix)
- Anti-tampering server-side en la calificación del examen
- Limitación de tasa (rate limiting) en endpoints sensibles
- Backups cifrados con rotación de 30 días
- Registro de actividades de tratamiento (RAT) interno conforme al Art. 30 RGPD
Notificación de violaciones de seguridad: en caso de quiebra de seguridad que entrañe un alto riesgo para los derechos y libertades de los afectados, ManipulaPro notificará a la AEPD en un plazo máximo de 72 horas (Art. 33 RGPD) y comunicará a los afectados sin dilación indebida (Art. 34).
8. Disclaimer sobre validez de los certificados (RD 109/2010)
El Real Decreto 109/2010, de 5 de febrero, modificó diversos reales decretos en materia agroalimentaria y, en lo relativo a la formación de manipuladores de alimentos, derogó el sistema de carnets oficiales. La responsabilidad de garantizar la formación adecuada del personal recae sobre el operador de la empresa alimentaria conforme al Reg. (CE) 852/2004.
ManipulaPro no es una entidad acreditada por ninguna comunidad autónoma ni por la AESAN. La formación que proporciona ManipulaPro se ofrece como una herramienta técnica al servicio del operador alimentario, que es quien asume la responsabilidad última frente a las autoridades sanitarias de garantizar que su personal recibe la formación apropiada al puesto desempeñado. El certificado emitido por ManipulaPro acredita la realización y superación del programa formativo, pero su validez frente a inspección depende del cumplimiento por el operador alimentario de sus obligaciones específicas (plan APPCC, riesgo del puesto, etc.).
Si necesitas un carnet de manipulador acreditado por una comunidad autónoma con normativa específica que lo exija, debes acudir a una entidad acreditada por dicha comunidad.
9. Cookies
ManipulaPro utiliza únicamente las siguientes cookies:
| Nombre | Tipo | Finalidad | Duración | Tercero |
|---|---|---|---|---|
__session | Técnica necesaria | Sesión de autenticación Clerk | Sesión / hasta cierre de sesión | Clerk |
__client_uat | Técnica necesaria | Validación cliente Clerk | 1 año | Clerk |
NEXT_LOCALE | Técnica necesaria | Idioma del usuario | 1 año | ManipulaPro |
manipulapro_consent_v1 | Técnica necesaria | Almacena tu preferencia de cookies | 1 año | ManipulaPro |
__stripe_mid, __stripe_sid | Técnica necesaria | Prevención de fraude en pagos | 1 año / 30 minutos | Stripe |
No utilizamos cookies de análisis ni de marketing en la versión actual del servicio. Si en el futuro añadimos analítica (por ejemplo Plausible Analytics, autoalojado en EU sin cookies), o cookies de marketing, esta política se actualizará y se solicitará el consentimiento adicional al usuario antes de su activación.
Las cookies estrictamente necesarias están exentas del requisito de consentimiento conforme al Art. 22.2 LSSI y a las directrices de la AEPD.
10. Modificaciones de la política
ManipulaPro se reserva el derecho a modificar esta Política de Privacidad para adaptarla a cambios legislativos o a la evolución del servicio. Las modificaciones sustanciales se comunicarán a los usuarios registrados por email con una antelación mínima de 30 días. La fecha de la última actualización aparece al inicio del documento.
11. Legislación aplicable y jurisdicción
Esta Política se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI). Para cualquier controversia los Tribunales competentes serán los de Sevilla, sin perjuicio de los derechos del consumidor según el Art. 90.2 TRLGDCU.
Contacto privacidad: privacy@manipulapro.com Responsable: Fabio Tassone — Sevilla, España