Prolio

Política de privacidad

Última actualización: 2026-04-22

Prolio trata datos personales conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 34/2002 (LSSI-CE). Esta política explica quién es el responsable, qué datos tratamos, con qué base jurídica, durante cuánto tiempo, con quién los compartimos y cómo puedes ejercer tus derechos. La versión en español es la vinculante; las versiones en otros idiomas son traducciones informativas.

1. Responsable del tratamiento

Mientras la entidad jurídica está en constitución, la persona responsable a efectos de RGPD es el promotor del servicio. Los datos identificativos finales (razón social, NIF y domicilio) se publicarán en cuanto se complete el alta. Mientras tanto, puedes dirigir cualquier consulta al email indicado.

  • Responsable: [TODO-RAZON-SOCIAL] (entidad en formación; ver aviso destacado en el pie de página).
  • NIF/CIF: [TODO-NIF]
  • Domicilio: [TODO-DOMICILIO]
  • Email de privacidad: privacidad@prolio.co
  • No hemos designado Delegado de Protección de Datos (DPO): Prolio no realiza tratamientos a gran escala de categorías especiales ni observación sistemática en los términos del Art. 37 RGPD. La figura se revisará cuando crezca el volumen.

2. Qué datos tratamos

Distinguimos cuatro tipos de interesados, con tratamientos diferentes:

  • Profesionales con ficha pre-cargada (no reclamada): nombre comercial o denominación profesional, actividad, ciudad, dirección del despacho, teléfono y email profesionales, web, número de colegiado o de registro público cuando esté disponible, coordenadas aproximadas y valoraciones públicas. El origen de los datos son fuentes públicas (colegios oficiales, BORME, registros de CCAA, OpenStreetMap, Google Places) y se publica solo información que ya estaba accesible públicamente con fines profesionales.
  • Profesionales que reclaman su ficha (ficha reclamada): lo anterior más el email de la cuenta, contraseña cifrada, datos voluntarios (descripción, fotografía, horarios, servicios) y la evidencia aportada para reclamar.
  • Usuarios que envían una solicitud de contacto (lead): nombre, email, teléfono (opcional) y el mensaje.
  • Visitantes del sitio: datos técnicos imprescindibles (IP, user-agent, evento) y, solo si prestan consentimiento, métricas de analítica.

3. Minimización y reducción de visibilidad pre-reclamación

Aplicamos el principio de minimización del Art. 5.1.c RGPD. Para fichas no reclamadas: (a) publicamos solo los datos profesionales estrictamente necesarios para que un usuario pueda identificar y contactar al profesional; (b) el email y el teléfono se muestran tras un clic explícito ("Mostrar contacto") para evitar scraping automatizado; (c) no publicamos CIF/NIF de personas físicas autónomas; (d) no publicamos direcciones residenciales, solo la del despacho profesional cuando es pública; (e) eliminamos la ficha de forma inmediata a solicitud del interesado a través del enlace de opt-out o del formulario de /ejercer-derechos.

4. Finalidades y base jurídica (Art. 6 RGPD)

  • Mantenimiento del directorio profesional público (fichas no reclamadas) — interés legítimo del responsable y de los usuarios (Art. 6.1.f) en disponer de información profesional contrastada. Se ha realizado el correspondiente juicio de ponderación (ver apartado 5).
  • Envío de solicitudes de contacto a profesionales (leads) — ejecución de un servicio solicitado por el usuario (Art. 6.1.b) y, respecto al profesional receptor, interés legítimo en recibir oportunidades comerciales relativas a su actividad publicada.
  • Autenticación, reclamación y gestión de ficha por el profesional — ejecución de un contrato con el profesional registrado (Art. 6.1.b).
  • Prevención de abusos, detección de fraude y seguridad (rate limiting, honeypots, bloqueo de scraping) — interés legítimo (Art. 6.1.f).
  • Analítica de tráfico y producto (GA4, PostHog) — consentimiento explícito del visitante (Art. 6.1.a), otorgado en el banner de cookies.
  • Cumplimiento de obligaciones legales (facturación, requerimientos judiciales o administrativos) — obligación legal (Art. 6.1.c).

5. Juicio de ponderación del interés legítimo (LIA)

Para las fichas de profesionales pre-cargadas desde fuentes públicas, hemos documentado el siguiente juicio de ponderación, disponible para la AEPD a requerimiento:

  • Interés perseguido: ofrecer un directorio fiable de profesionales regulados en España, reducir asimetrías de información para consumidores y dar visibilidad a autónomos y pymes que no disponen de herramientas SEO propias. Interés legítimo, lícito y real.
  • Necesidad: alcanzar una masa crítica inicial requiere pre-cargar datos que ya son públicos; sin ese núcleo el servicio no sería útil ni para usuarios ni para los propios profesionales (que luego pueden reclamar la ficha gratuitamente).
  • Ponderación: los datos tratados son profesionales (no de la esfera privada), proceden de fuentes públicas, son los mínimos necesarios, y el interesado cuenta con mecanismos de oposición, supresión y opt-out de un solo clic. No se realizan decisiones automatizadas con efectos jurídicos ni perfilado sensible.
  • Medidas compensatorias: ocultación del contacto tras clic, ausencia de publicidad y remarketing, enlace de opt-out permanente en cada comunicación saliente, formulario público de ejercicio de derechos, respuesta en el plazo legal de un mes, compromiso de borrado definitivo de la base (no solo ocultación) cuando el interesado lo solicite expresamente.

6. Plazos de conservación

  • Fichas profesionales no reclamadas: mientras el dato siga siendo relevante o hasta que el interesado ejerza oposición/supresión o use el enlace de opt-out, momento en el que se despublica de forma inmediata y se borra de los índices en un máximo de 30 días.
  • Fichas profesionales reclamadas: durante la relación contractual y, tras su baja, los plazos de prescripción legal aplicables (hasta 6 años para obligaciones mercantiles y fiscales).
  • Leads (solicitudes de contacto): 24 meses desde la creación, salvo pacto expreso con el profesional receptor.
  • Tokens de opt-out: 90 días desde su emisión.
  • Registros de consentimiento de cookies: 24 meses (evidencia para la AEPD).
  • Logs técnicos y de seguridad: 12 meses.
  • Datos de facturación (cuando Stripe esté activo): 6 años (obligación fiscal).

7. Destinatarios y encargados del tratamiento

Para prestar el servicio utilizamos los siguientes encargados del tratamiento, todos con acuerdos de tratamiento (DPA) y, cuando la transferencia sale del EEE, Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea el 4 de junio de 2021 y, en su caso, medidas técnicas adicionales (cifrado en tránsito y reposo, pseudonimización).

  • Supabase (base de datos y autenticación) — Frankfurt / Irlanda (EEE).
  • Vercel Inc. (hosting del frontend y edge network) — EE. UU., SCC + cifrado.
  • Google LLC (API de Places para construir el directorio) — EE. UU., SCC + cifrado.
  • Google LLC — Google Analytics 4 (analítica de tráfico, solo con consentimiento) — EE. UU., SCC.
  • PostHog Inc. — analítica de producto en us.i.posthog.com (solo con consentimiento) — EE. UU., SCC.
  • Stripe Payments Europe Ltd. (pagos, cuando se active) — Irlanda, con Stripe Inc. como subencargado en EE. UU. bajo SCC.
  • Resend, Inc. (email transaccional, cuando se active) — EE. UU., SCC.
  • Anthropic PBC (generación de descripciones con IA, cuando se active) — EE. UU., SCC. Prompt enviado no contiene datos personales de usuarios finales.

8. Transferencias internacionales

Varios encargados están ubicados fuera del Espacio Económico Europeo, principalmente en Estados Unidos. Nos apoyamos en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea y, cuando es de aplicación, en el EU-US Data Privacy Framework (DPF) para proveedores certificados. Aplicamos medidas técnicas adicionales: cifrado TLS en tránsito, cifrado en reposo gestionado por el proveedor, minimización del campo transmitido y, cuando es posible, elección de región europea.

9. Derechos del interesado

Tienes derecho a (a) acceder a tus datos, (b) rectificarlos, (c) suprimirlos (derecho al olvido), (d) oponerte al tratamiento, (e) solicitar la limitación, (f) portar tus datos a otro responsable y (g) retirar en cualquier momento el consentimiento que hayas prestado (por ejemplo, para cookies analíticas), sin que ello afecte a la licitud del tratamiento previo.

Puedes ejercerlos escribiendo a privacidad@prolio.co o mediante el formulario de /es/ejercer-derechos. Responderemos en el plazo máximo de un mes desde la recepción (ampliable otros dos meses en casos complejos, previa comunicación). Si eres un profesional cuya ficha se publicó a partir de fuentes públicas, cada email saliente que recibas de Prolio incluye un enlace de opt-out que elimina la ficha de forma inmediata, sin necesidad de trámite adicional.

Verificación de identidad: para evitar suplantaciones, podemos pedirte una prueba razonable de identidad cuando la solicitud implique acceso o supresión de datos que no consten ya asociados al email remitente. La petición será proporcionada (por ejemplo, confirmación desde el email profesional publicado, o una comunicación desde el colegio profesional).

Tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD, C/ Jorge Juan 6, 28001 Madrid; www.aepd.es) si consideras que el tratamiento no se ajusta a la normativa.

10. Seguridad y notificación de brechas

Aplicamos medidas técnicas y organizativas razonables y proporcionales al riesgo (Art. 32 RGPD): control de acceso por rol, cifrado en tránsito (TLS 1.2+), cifrado en reposo por el proveedor de base de datos, secretos gestionados por el proveedor de hosting, principio de mínimo privilegio en claves de API, registros de auditoría, y dependencias actualizadas.

En caso de brecha de seguridad con riesgo para los derechos y libertades de los interesados, notificaremos a la AEPD en un plazo máximo de 72 horas desde su conocimiento (Art. 33 RGPD) y, cuando el riesgo sea alto, comunicaremos también a los afectados (Art. 34 RGPD).

11. Decisiones automatizadas

No adoptamos decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o afecten significativamente a los interesados. Los rankings y ordenaciones del directorio son meramente informativos y se basan en criterios agregados (relevancia textual, ciudad, categoría).

12. Menores

Prolio no está dirigido a menores de 14 años (art. 7 LOPDGDD) ni tratamos conscientemente sus datos. Si tenemos conocimiento de que los hemos tratado sin consentimiento válido, los eliminaremos sin demora.

13. Cambios en esta política

Podemos actualizar esta política cuando cambie la ley, el servicio o los encargados. La fecha de última actualización figura al inicio. En caso de cambios sustanciales solicitaremos de nuevo el consentimiento para cookies no estrictamente necesarias.