Cómo tratamos tus datos
Última actualización: 21 de abril de 2026
Esta página ofrece una capa adicional, práctica y ordenada de transparencia sobre cómo se articula el tratamiento de datos personales en SINPLEITOS. Su finalidad es reforzar la comprensión real del servicio y explicar, con lenguaje claro, qué categorías de datos solemos tratar, de dónde proceden, para qué se utilizan, durante cuánto tiempo suelen conservarse y con qué categorías de destinatarios pueden compartirse.
No sustituye ni modifica la Política de Privacidad, que sigue siendo el documento principal en esta materia. Tampoco altera por sí sola las bases jurídicas aplicables, los plazos legales de conservación ni el régimen contractual del servicio. Su función es explicativa y complementaria.
1. Qué explica esta página
La presente página se apoya en los tratamientos efectivamente identificados en la documentación pública vigente, en los flujos actualmente publicados y en el funcionamiento operativo del servicio. Por ello:
- se centra en el perímetro público y operativo actual de SINPLEITOS, hoy focalizado en reclamaciones extrajudiciales de microcréditos;
- distingue entre datos aportados por la propia persona usuaria, datos generados por el uso del servicio y evidencias técnicas o jurídicas de trazabilidad;
- no convierte esta página en una segunda política de privacidad ni en un inventario técnico interno de bajo nivel;
- debe leerse junto con la Política de Privacidad, la Política de Cookies, la Política de Seguridad y, cuando proceda, con las condiciones específicas del servicio.
2. Qué datos tratamos y de dónde suelen salir
No todas las personas usuarias generan los mismos tratamientos. La intensidad y el tipo de datos dependen de si solo navegan por la web, si abren cuenta, si crean un expediente, si aportan documentación o si utilizan canales de soporte, privacidad o seguridad. En la práctica, las categorías relevantes suelen ser estas:
- Cuenta, acceso y autenticación. Correo de registro, identificadores de cuenta, estado de sesión, señales de autenticación multifactor y otros datos estrictamente necesarios para acceder con seguridad. Suelen proceder del registro, del inicio de sesión, del mantenimiento de la sesión y de los controles de seguridad asociados.
- Perfil, contacto, identidad, verificación y datos bancarios. Nombre y apellidos, teléfono, dirección, DNI/NIE, fecha de nacimiento, documentos de identidad, IBAN y estados operativos de revisión o verificación. Proceden del perfil autenticado, de formularios específicos de verificación y de la documentación aportada por la propia persona usuaria.
- Expediente, documentación y comunicaciones del caso. Datos del microcrédito o de la reclamación, documentos subidos, mensajes del expediente, estados operativos, hitos y trazas de actividad relacionadas con la gestión del caso. Proceden de la apertura del expediente, de la documentación remitida, de las comunicaciones mantenidas y de eventos internos generados por la evolución del propio servicio.
- Tickets, soporte, privacidad, reclamaciones y comunicaciones de seguridad. Nombre, correo, categoría, asunto, mensajes, adjuntos, referencias de ticket, códigos de verificación, actividad de seguimiento y datos mínimos de trazabilidad. Proceden del formulario público de tickets, del seguimiento posterior, de correos remitidos a los buzones habilitados y de solicitudes de privacidad, reclamaciones o reportes de seguridad.
- Evidencias contractuales, aceptaciones legales y decisiones de privacidad. Versiones aceptadas de documentos legales, consentimientos o revocaciones de cookies, registros asociados al ejercicio de derechos cuando se producen y otras evidencias necesarias para acreditar cumplimiento, trazabilidad y gobernanza documental. Proceden de la contratación electrónica, de la aceptación de documentos, del panel de cookies y de actuaciones ligadas a privacidad y cumplimiento.
- Datos técnicos, de seguridad, auditoría y trazabilidad. Dirección IP, datos del navegador o dispositivo, eventos de seguridad, marcas temporales, registros de acceso o descarga, hashes de integridad, marcas de agua y otras trazas técnicas relevantes. Proceden del uso del sitio, de áreas privadas, de operaciones sensibles y de controles internos de seguridad, cumplimiento y trazabilidad.
- Cookies, almacenamiento local y señales de uso. Cookies técnicas, estado de consentimiento, almacenamiento local del navegador, eventos analíticos del navegador cuando corresponda y cargas expresamente solicitadas de integraciones opcionales de terceros, como el mapa de oficina. Proceden de la navegación, del panel de preferencias y de la activación expresa de funcionalidades concretas.
- Feedback voluntario y preferencias operativas. Valoraciones de experiencia, contexto mínimo del momento en que se emiten, preferencias de notificación y silenciamiento de determinados avisos. Proceden de la interacción de la persona usuaria con las herramientas de feedback y con sus opciones de configuración.
3. Para qué los utilizamos y con qué base jurídica
La lógica jurídica del tratamiento no es uniforme. Algunas operaciones son necesarias para prestar el servicio; otras responden a seguridad, trazabilidad o cumplimiento normativo; y ciertas tecnologías del navegador solo se activan si existe el consentimiento exigible. La siguiente síntesis recoge la arquitectura real del tratamiento:
| Finalidad real | Qué suele implicar | Base jurídica principal |
|---|---|---|
| Prestación del servicio y gestión del expediente | Alta de cuenta, perfil, apertura del caso, gestión documental, chat del expediente, seguimiento del estado y comunicaciones esenciales del servicio. | Ejecución del contrato o aplicación de medidas precontractuales. |
| Verificación de identidad y prevención de fraude | Revisión de identidad, comprobaciones adicionales, controles antiabuso y mitigación de accesos irregulares, suplantaciones o usos incompatibles con el servicio. | Cumplimiento de obligaciones legales cuando proceda e interés legítimo en proteger la Plataforma, a sus usuarios y la integridad del expediente. |
| Atención, tickets y comunicaciones formales | Gestión de soporte, reclamaciones, solicitudes de privacidad, incidencias, reportes de vulnerabilidad, confirmaciones y correos operativos del servicio. | Ejecución del contrato o medidas precontractuales, interés legítimo y, cuando corresponda, cumplimiento de obligaciones legales. |
| Seguridad, auditoría y evidencias de cumplimiento | Logs de acceso, auditoría de descargas, eventos de seguridad, pruebas de integridad, aceptaciones legales versionadas, evidencias de consentimiento y otras trazas necesarias para seguridad y defendibilidad. | Interés legítimo en seguridad, trazabilidad e integridad del servicio, junto con las obligaciones legales de cumplimiento que resulten aplicables. |
| Estabilidad técnica y diagnóstico del servicio | Monitorización técnica del lado servidor, diagnóstico de errores, rendimiento, estabilidad y revisión de incidencias operativas sin depender por sí solos de tecnologías analíticas no necesarias del navegador. | Interés legítimo en mantener la seguridad, estabilidad y calidad técnica del servicio. |
| Analítica del navegador y medición no esencial | Analítica funcional del navegador, medición agregada, embudos y otros eventos no estrictamente necesarios que solo se activan cuando la configuración efectiva del sitio y el consentimiento lo permiten. | Consentimiento cuando la tecnología no sea necesaria conforme a la normativa aplicable. |
| Mejora operativa y feedback voluntario | Detección de fricciones, análisis de valoraciones voluntarias y ajustes de claridad, experiencia o producto en términos proporcionados. | Interés legítimo en mejorar el servicio, con participación voluntaria y con posibilidad de oposición cuando proceda. |
| Cumplimiento normativo y defensa frente a reclamaciones | Atención de requerimientos, ejercicio de derechos, bloqueo o conservación probatoria, respuesta a autoridades y defensa de SINPLEITOS o de la posición jurídica asociada al expediente. | Cumplimiento de obligaciones legales e interés legítimo en la formulación, el ejercicio o la defensa de reclamaciones. |
Si la documentación aportada por la persona usuaria revela categorías especiales de datos personales, SINPLEITOS solo las trata cuando sea estrictamente necesario para la formulación, el ejercicio o la defensa de reclamaciones legales, conforme al artículo 9.2.f del RGPD.
No realizamos decisiones automatizadas que produzcan efectos jurídicos sobre la persona usuaria o que la afecten significativamente de modo similar. Sí pueden aplicarse medidas automáticas, proporcionales y revisables de seguridad, como limitaciones temporales, fricción antiabuso o verificaciones adicionales.
4. Durante cuánto tiempo suelen conservarse
No todos los datos se conservan durante el mismo plazo ni con idéntico criterio. En esta materia no siempre existe un único número fijo y universal: la conservación depende del tipo de dato, de si existe cuenta o expediente activo, del momento procesal del asunto, de las necesidades de seguridad, de las obligaciones legales y de la eventual defensa frente a reclamaciones. Por ello, los criterios de conservación se expresan aquí de forma orientativa y por bloques funcionales, sin perjuicio de los plazos concretos que resulten exigibles por ley o necesarios para la formulación, el ejercicio o la defensa de reclamaciones.
- Navegación pública, sesión técnica y artefactos locales. Mientras la sesión del navegador siga abierta, durante el tiempo estrictamente necesario para la funcionalidad técnica correspondiente o hasta que el navegador, la persona usuaria o la propia lógica de consentimiento eliminen ese estado local.
- Cuenta, perfil, preferencias y relación activa. Mientras exista una relación contractual o la cuenta siga operativa. Tras el cierre, el dato puede quedar bloqueado, sustituido o anonimizado cuando ello sea compatible con la integridad del servicio, del expediente y de las obligaciones aplicables.
- Expediente abierto u operativamente vivo. Mientras el asunto esté en tramitación, requiera seguimiento, intercambio documental, análisis, comunicaciones o actuaciones vinculadas a la reclamación extrajudicial.
- Expediente cerrado, documentación asociada y fase posterior de defensa. Una vez finalizado el trabajo ordinario, parte de la información puede seguir siendo necesaria para acreditar actuaciones realizadas, preservar la coherencia del expediente, cumplir obligaciones legales o atender controversias posteriores.
- Identidad, verificación, IBAN y documentos especialmente sensibles. Durante el tiempo estrictamente necesario para identificar a la persona usuaria, prevenir fraude, tramitar el expediente o defender reclamaciones. Cuando la operativa lo permite, estos datos son candidatos claros a borrado, sustitución o anonimización específica antes que otras piezas estructurales del expediente.
- Tickets, soporte, privacidad, reclamaciones y seguridad. Mientras la comunicación esté activa y durante el tiempo posterior razonablemente necesario para su cierre, seguimiento, coordinación interna, seguridad, gobernanza del hallazgo o defensa documental.
- Evidencias jurídicas, aceptaciones versionadas y registros de cumplimiento. Las aceptaciones legales, los consentimientos o revocaciones de cookies, los registros de descarga auditada, las marcas de agua, los hashes de integridad y otras evidencias comparables suelen mantenerse mientras resulte necesario para acreditar cumplimiento, investigar incidentes, atender requerimientos o conservar una trazabilidad defendible.
- Logs, eventos de seguridad y señales antiabuso. Durante el tiempo necesario para detectar accesos irregulares, investigar incidentes, aplicar medidas proporcionales de seguridad y conservar evidencia técnica suficiente sobre actuaciones sensibles.
- Cookies, almacenamiento local y analítica del navegador. Según la necesidad técnica, el consentimiento vigente, la configuración efectiva del proveedor y las reglas de retención de la propia tecnología, del navegador o del proveedor implicado.
- Tokens efímeros o artefactos de muy corta duración. Algunos tokens de subida, descarga, verificación o acceso puntual se crean con una validez muy breve y no funcionan como registros duraderos del expediente.
Cuando proceda, la conservación no implica uso ordinario del dato: parte de la información puede quedar bloqueada, reservada o desacoplada funcionalmente para atender solo obligaciones legales, seguridad o defensa frente a reclamaciones.
En otras palabras, no todo lo que se conserva sigue siendo visible, editable o reutilizable en la operativa diaria. Una parte de la información puede mantenerse solo como evidencia histórica, jurídica o técnica, con acceso restringido y con una función residual de cumplimiento, seguridad o defensa.
5. Con quién se comparten
Con carácter general, SINPLEITOS no vende datos personales ni los comunica a terceros para fines comerciales ajenos al servicio. En la práctica conviene distinguir entre proveedores que actúan por cuenta de SINPLEITOS y destinatarios necesarios para prestar el servicio o cumplir la ley.
Proveedores tecnológicos y encargados del tratamiento. Dependiendo de la funcionalidad utilizada, pueden intervenir distintos proveedores, sin que todos participen en todos los tratamientos ni accedan al mismo tipo de información.
- Supabase, para autenticación, base de datos y almacenamiento de archivos.
- Vercel, para alojamiento y servicios técnicos asociados.
- Resend, para correos operativos y transaccionales del servicio.
- Sentry, para monitorización técnica de errores y rendimiento con criterios de minimización.
- PostHog y Vercel Analytics, cuando la analítica del navegador se activa conforme al consentimiento y a la configuración efectiva de la Plataforma.
- Google Maps / Google Places, solo cuando la persona usuaria solicita expresamente cargar el mapa de oficina.
- Un webhook operativo de seguridad controlado por el Responsable, cuando esa funcionalidad se encuentre habilitada.
Destinatarios necesarios del propio asunto o del cumplimiento legal. En función del flujo utilizado, determinados datos del expediente, de la identidad o de la comunicación pueden remitirse:
- a la entidad reclamada u otros terceros directamente vinculados a la reclamación extrajudicial, cuando resulte necesario para presentar, sostener, documentar o verificar la reclamación;
- a autoridades, organismos u órganos competentes, cuando exista una obligación legal o un requerimiento válido y exigible;
- a otros destinatarios estrictamente necesarios para la operativa del asunto, siempre dentro del marco jurídico y funcional que corresponda.
Cuando la funcionalidad concreta implique acceso desde terceros países o una transferencia internacional, la mecánica aplicable y las garantías correspondientes se explican con mayor detalle en la Política de Privacidad y, cuando la lógica dependa de tecnologías del navegador, en la Política de Cookies.
6. Qué derechos tienes y cómo ejercerlos
Puedes ejercer los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y retirada del consentimiento cuando el tratamiento se base en él. También puedes presentar una reclamación ante la Agencia Española de Protección de Datos si consideras que el tratamiento no es conforme con la normativa.
El canal principal para ejercer derechos o plantear cuestiones específicas de protección de datos es privacidad@sinpleitos.es. Las solicitudes se atienden conforme al RGPD, con el plazo general de un mes desde su recepción, ampliable cuando la complejidad o el número de solicitudes lo justifique.
Para proteger la privacidad y evitar accesos indebidos, SINPLEITOS puede solicitar información adicional estrictamente necesaria y proporcionada para verificar la identidad de quien ejerce el derecho. Además, ciertos derechos pueden verse matizados por la necesidad de preservar la integridad del expediente, cumplir obligaciones legales o conservar evidencias necesarias para la formulación, el ejercicio o la defensa de reclamaciones.
Para facilitar la tramitación, conviene identificar con claridad la solicitud y, cuando exista, el expediente, ticket o relación contractual a la que se refiere. Eso no convierte el ejercicio de derechos en un trámite formalista: ayuda, simplemente, a localizar con precisión el tratamiento afectado.
Si lo que necesitas no es un ejercicio de derechos sino orientación sobre canales de atención, soporte o reclamaciones, puedes consultar también /atencion-cliente.
7. Documentación relacionada
Esta página está pensada para facilitar comprensión real, pero el ecosistema documental completo sigue siendo relevante:
- Política de Privacidad: documento principal sobre bases jurídicas, destinatarios, transferencias internacionales y ejercicio de derechos.
- Política de Cookies: régimen específico de cookies, consentimiento y tecnologías del navegador.
- Política de Seguridad: perímetro técnico y organizativo públicamente comunicado para proteger la Plataforma.
- Responsible Disclosure / Reporte de vulnerabilidades: canal específico para hallazgos de seguridad y comunicaciones de vulnerabilidades.
- Términos y Condiciones , y Condiciones Generales del servicio de microcréditos: marco contractual general y condiciones específicas del servicio actualmente publicado.