Protección de datos · RGPD + LOPD-GDD
Política de Privacidad — Grupo ASegura
1. Quién es el responsable de tus datos
Alberto Suárez Gutiérrez, mediador de seguros (corredor) inscrito en el Registro Administrativo de Distribuidores de Seguros y Reaseguros con la clave CS-F/0170.
- NIF: 28823484E
- Email de contacto general: info@grupoasegura.es
- Domicilio: San Juan de La Palma, nº 28, 41003 Sevilla
- Marca operativa del producto: Grupo ASegura
1.1. Delegado de Protección de Datos (DPO)
Conforme al art. 37 RGPD y art. 34.ñ LOPD-GDD (Ley Orgánica 3/2018), Grupo ASegura tiene designado un Delegado de Protección de Datos:
- Identidad: Alberto Suárez Gutiérrez (DPO interno)
- Canal de contacto público: dpo@grupoasegura.com
- Funciones: las descritas en el art. 39 RGPD (información, asesoramiento, supervisión del cumplimiento, cooperación con la AEPD, punto de contacto del interesado).
Si quieres ejercer cualquiera de tus derechos (apartado 7), comunicar una incidencia de privacidad o consultar sobre el tratamiento de tus datos, escríbenos preferentemente a dpo@grupoasegura.com (canal DPO específico) o a info@grupoasegura.es indicando “Privacidad” en el asunto.
2. Qué datos tratamos
Los datos que tratamos dependen de cómo entres en contacto con nosotros:
Si solicitas una cotización en nuestra web
- Identidad: nombre completo, DNI/NIE
- Contacto: email, teléfono móvil, código postal
- Datos del riesgo según el ramo: matrícula y datos del vehículo (auto), metros cuadrados y datos de la vivienda (hogar), edad y declaración de preexistencias (salud)
Si te das de alta como cliente
- Identidad y contacto (igual que arriba)
- Credenciales: contraseña (almacenada con hash, nunca en claro), datos de doble factor (cifrados)
- Histórico de cotizaciones y pólizas tuyas
Si nos contactas (email, WhatsApp, teléfono)
- Tus datos de contacto
- El contenido de tu mensaje
Si tu lead llega desde un portal o comparador externo
Tratamos los mismos datos, adicionalmente los datos identificativos del portal de origen (ver apartado 3, supuesto de Art. 14 RGPD).
No tratamos datos de pago. El cobro de la prima lo gestiona la entidad aseguradora con la que finalmente se contrata la póliza.
3. Para qué tratamos tus datos y bajo qué base legal
| Finalidad | Base legal |
|---|---|
| Tramitar tu cotización y, en su caso, contratar la póliza | Ejecución de contrato o medidas precontractuales (art. 6.1.b RGPD) |
| Gestionar tu cuenta de usuario, autenticación y MFA | Ejecución de contrato (art. 6.1.b RGPD) |
| Cumplir obligaciones legales del mediador (LDS, LOPD-GDD) | Obligación legal (art. 6.1.c RGPD) |
| Prevenir fraude y abuso del servicio | Interés legítimo (art. 6.1.f RGPD), siempre proporcionado |
| Enviarte recordatorios sobre tu póliza (vencimientos, renovaciones) | Ejecución de contrato + interés legítimo del cliente |
| Enviarte comunicaciones comerciales relacionadas con seguros adicionales | Solo si nos das consentimiento explícito (art. 6.1.a RGPD) |
| Si tratamos datos sensibles (salud), elaborar tu cotización | Consentimiento explícito (art. 9.2.a RGPD) |
4. Quién accede a tus datos
Para prestarte el servicio, compartimos tus datos con los siguientes encargados de tratamiento, todos ellos con contrato firmado bajo el artículo 28 RGPD:
- Aseguradoras con las que finalmente contrates la póliza — son corresponsables del tratamiento desde el momento de la emisión.
- Codeoscopic / Avant2 (España) — integrador con aseguradoras para cotización y emisión.
- Supabase (Frankfurt, EU) — base de datos, autenticación y almacenamiento.
- Vercel (EU) — infraestructura de hosting y funciones serverless.
- Resend (Irlanda, EU) — envío de email transaccional.
- PostHog (Frankfurt, EU) — analítica de producto pseudonimizada.
- Meta WhatsApp Business — solo si nos das consentimiento explícito para usar WhatsApp como canal.
No vendemos tus datos ni los cedemos a terceros distintos de los anteriores sin base legal o consentimiento.
Transferencias internacionales
Algunos sub-encargados de los proveedores anteriores (especialmente WhatsApp/Meta) pueden suponer transferencias fuera del EEE. Cuando ocurra, las amparamos en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando proceda, en marcos como el EU-U.S. Data Privacy Framework.
5. Cuánto tiempo guardamos tus datos
| Categoría | Plazo |
|---|---|
| Cotizaciones no convertidas en póliza | 12 meses desde la última actividad |
| Pólizas activas | Durante toda la vigencia |
| Pólizas terminadas | 6 años (obligación contable + plazo de prescripción acciones civiles) |
| Datos de cuenta de usuario | Mientras la cuenta esté activa; 6 años tras la baja por exigencias contables |
| Logs de auditoría LOPD-GDD | 12 meses |
| Comunicaciones comerciales | Hasta que retires el consentimiento |
Pasados estos plazos, los datos se eliminan o se anonimizan de forma irreversible.
6. Cómo protegemos tus datos
- Cifrado TLS 1.2+ en todas las comunicaciones cliente-servidor.
- Cifrado at-rest aplicado por proveedor + cifrado adicional aplicación-nivel para campos especialmente sensibles (secrets MFA, tokens externos).
- Hash bcrypt para contraseñas; nunca se guardan en claro.
- Acceso interno por mínimo privilegio: solo el mediador titular y el personal autorizado tienen acceso a datos de cliente.
- Segregación por correduría: cada cliente solo es accesible desde el ámbito de su mediador.
- Logging de auditoría sobre acciones críticas (lecturas/edición de PII, autenticaciones, cambios de configuración).
7. Tus derechos
Puedes ejercer en cualquier momento los siguientes derechos enviando un email a info@grupoasegura.es (o a dpo@grupoasegura.com):
- Acceso — saber qué datos tuyos tratamos.
- Rectificación — corregir datos inexactos.
- Supresión (“derecho al olvido”) — pedir que borremos tus datos cuando ya no sean necesarios o retires el consentimiento.
- Oposición — oponerte a tratamientos basados en interés legítimo (incluyendo perfilado).
- Limitación — pedirnos que limitemos el uso de tus datos en circunstancias específicas.
- Portabilidad — recibir tus datos en formato estructurado y, si es posible, transmitirlos a otro responsable.
- Retirar el consentimiento — para los tratamientos basados en consentimiento (ej. comunicaciones comerciales).
Si crees que no hemos atendido bien tu solicitud, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en aepd.es.
8. Cookies y tecnologías similares
- Cookies técnicas (estrictamente necesarias) — siempre activas. Sesión, autenticación, preferencias de idioma.
- Cookies analíticas — desactivables. PostHog (analítica de producto, sin huella digital de seguimiento agresivo). No usamos publicidad ni tracking cross-site.
9. Cambios en esta política
9.1. Cómo se gestionan las versiones
Esta Política de Privacidad se identifica con una versión en formato YYYY-MM-vN (ej. 2026-05-v1). La versión vigente figura al final del documento. El mismo formato y mecanismo se aplican a los demás documentos legales del Servicio (Términos y Condiciones, cláusulas informativas, aviso de cookies).
9.2. Comunicación de cambios
- Cambios materiales (nuevo sub-encargado, cambio de finalidad, ampliación de bases legales, cambio del responsable, modificación de plazos de conservación, cambio de régimen de transferencia internacional): email + modal bloqueante in-app + 30 días de preaviso cuando sea posible.
- Cambios no materiales (corrección de erratas, mejora de redacción, actualización de datos de contacto, aclaraciones informativas): aviso en la cabecera del documento, sin modal bloqueante.
Ante duda razonable, tratamos un cambio como material: el coste de un aviso innecesario es bajo frente al riesgo de no comunicar un cambio que sí afectaba a tus derechos.
9.3. Aceptación de la nueva versión
Cuando publiquemos una versión material nueva, la próxima vez que inicies sesión y operes en rutas críticas (cotizar, contratar, modificar perfil) verás un modal bloqueante con un resumen de los cambios y solicitud de aceptación. Tu aceptación se registra en el audit log con la versión exacta aceptada, fecha, hora y dispositivo.
Si los cambios afectan a un tratamiento basado en consentimiento explícito (art. 6.1.a o art. 9.2.a RGPD — comunicaciones comerciales, datos de salud), recabaremos un consentimiento renovado y específico, distinto del aviso general de versión.
9.4. Continuidad bajo versiones anteriores
Las pólizas y servicios contratados bajo una versión anterior siguen rigiéndose por esa versión hasta su renovación o nueva interacción transaccional. Esto significa que:
- El catálogo de sub-encargados de tratamiento que aplica a tus datos es el de la versión vigente cuando contrataste, hasta que aceptes la nueva.
- Los plazos de conservación declarados en versiones anteriores se respetan para los datos recabados bajo esas versiones.
- Si un cambio material afecta a derechos preexistentes (ej. ampliación de finalidad), te lo notificaremos de forma destacada y podrás ejercer derecho de oposición o supresión antes de aceptar la nueva versión.