Política de Privacidad

El responsable del tratamiento es el operador de GRIDVULCAN, email de contacto privacy@gridvulcan.com. La identificación legal completa está en la página de aviso legal.

• Datos de cuenta: email, contraseña hasheada (gestionados por Supabase Auth).
• Credenciales API: claves API del exchange, cifradas en reposo con AES-256-GCM. Nunca se muestran en claro tras su creación.
• Datos operativos: configuración de bots, órdenes, fills, curvas de equity.
• Datos técnicos: dirección IP (transitoria, para rate limiting y seguridad), cookie de idioma (gv_lang).
• Comunicaciones: mensajes enviados vía formulario de contacto o modal de soporte.

• Contrato (Art. 6.1.b): datos de cuenta y operativos se tratan para prestar el servicio contratado.
• Interés legítimo (Art. 6.1.f): logs técnicos para seguridad, prevención de abuso y rate limiting.
• Consentimiento (Art. 6.1.a): el email de la waitlist se trata solo tras envío voluntario.
• Obligación legal (Art. 6.1.c): registros contables, cuando aplique, una vez activado el cobro.

Utilizamos los siguientes sub-procesadores, cada uno con su propia política:

• Supabase (autenticación, base de datos) — alojado en la UE.
• Vercel (hosting del frontend, Web Analytics — sin cookies, IP anonimizada).
• Render (hosting del backend).
• Resend (envío de emails transaccionales: verificación, recuperación de contraseña, waitlist, respuestas a contacto).

No vendemos datos personales ni los compartimos con terceros con fines publicitarios.

• Datos de cuenta: mientras la cuenta esté activa, más 30 días tras su cierre.
• Credenciales API: hasta que las elimines o cierres la cuenta.
• Fills y datos operativos: mientras la cuenta esté activa. Métricas agregadas anonimizadas pueden conservarse para mejora del servicio.
• Mensajes de contacto: 24 meses desde su recepción.
• Waitlist: hasta que pidas darte de baja o se cierre la lista.

Tienes derecho a acceder, rectificar, suprimir, limitar el tratamiento, portar tus datos y oponerte al tratamiento. Para ejercer cualquiera de estos derechos escríbenos a privacy@gridvulcan.com. Respondemos en un plazo máximo de 30 días. También tienes derecho a reclamar ante tu autoridad nacional de protección de datos (en España: AEPD, www.aepd.es).

Cuando los datos se transfieren fuera del EEE (p. ej. a un sub-procesador en EEUU), la transferencia se ampara en Cláusulas Contractuales Tipo (SCC) o en una decisión de adecuación de la Comisión Europea.

Las credenciales API se cifran en reposo con AES-256-GCM y datos autenticados adicionales (AAD) por usuario. La autenticación usa JWT de Supabase con tokens de corta duración y rotación JWKS. El transporte es HTTPS. El tráfico interno engine→backend está protegido por tokens HMAC por bot.

Solo usamos cookies estrictamente necesarias: una cookie de sesión de autenticación (Supabase) y una de preferencia de idioma (gv_lang). La analítica es de Vercel y no usa cookies. Detalle completo en la Política de Cookies.

Podemos actualizar esta política. Los cambios materiales se comunicarán por email y desde el dashboard con al menos 14 días de antelación.