· Atribuya

Política de Privacidad

Última actualización: 24 de mayo de 2026.

Esta Política de Privacidad describe cómo se tratan los datos personales dentro de Atribuya, un servicio SaaS multi-tenant que permite a empresas con red comercial atribuir las reseñas de Google Business Profile a sus comerciales. Se aplica a las personas usuarias autorizadas del Servicio, a los clientes finales registrados por los comerciales y a los autores de reseñas cuyos datos públicos se sincronizan desde Google.

1. Responsable y encargado del tratamiento

Atribuya tiene dos roles distintos en función del tipo de datos:

• Responsable del tratamiento respecto de los datos de las personas que contratan el Servicio y de los administradores de las cuentas (datos identificativos, de facturación y de autenticación necesarios para prestar el Servicio).
• Encargado del tratamiento (art. 28 RGPD) respecto de los datos que cada organización cliente introduce en su instancia: comerciales, clientes finales, fichas de Google, reseñas y registros de actividad. En este caso es el Cliente (la organización contratante) quien actúa como Responsable del tratamiento de esos datos.

Los datos identificativos del Responsable están en el apartado 11.

2. Datos que tratamos

2.1 Datos del Cliente y sus administradores

• Razón social o nombre, NIF/CIF, dirección de facturación.
• Nombre, email, teléfono y cargo del administrador o contacto.
• Datos de uso del Servicio agregados a nivel de organización (número de fichas conectadas, comerciales activos, frecuencia de sync, etc.).

2.2 Datos de usuarios autorizados (comerciales y gestores)

• Nombre, email, teléfono (opcional), rol asignado y ficha de Google vinculada (en el caso de comerciales).
• Datos técnicos derivados de la autenticación: identificador único de usuario, fecha del último acceso, sesiones activas.
• Foto de perfil cuando la persona la sube voluntariamente.

2.3 Datos de los clientes finales registrados por los comerciales

• Nombre completo del cliente final y, opcionalmente, email y teléfono, tal como los introduce el comercial para generar el enlace personalizado.
• Registros de aperturas del enlace personalizado (share_links): fecha y hora, canal de procedencia (WhatsApp, email, SMS, QR, directo) y user-agent del navegador.

2.4 Datos sincronizados desde Google Business Profile

• Reseñas publicadas en las fichas de Google conectadas: nombre del autor mostrado por Google, valoración en estrellas, texto de la reseña, fecha y referencia interna de la reseña.
• Información administrativa de la ficha conectada: identificador de la cuenta de Google, identificador de la ficha y email de la cuenta que autorizó la conexión.
• Tokens OAuth de acceso a Google: se almacenan en una tabla aislada con acceso restringido a procesos servidor; nunca se exponen al navegador del usuario.

3. Finalidad y base legal

El tratamiento se realiza para las siguientes finalidades, con las bases legales que se indican:

• Prestación del Servicio (autenticación, atribución automática de reseñas, paneles, sincronización con Google): ejecución del contrato (art. 6.1.b RGPD) con el Cliente.
• Facturación, soporte y cumplimiento legal: cumplimiento de obligaciones legales (art. 6.1.c) e interés legítimo del Responsable (art. 6.1.f).
• Mejora del Servicio mediante métricas agregadas y anonimizadas: interés legítimo del Responsable (art. 6.1.f).
• Datos de clientes finales registrados por comerciales: el Cliente actúa como Responsable y debe acreditar la base legal adecuada (normalmente interés legítimo en el marco de la relación comercial o consentimiento del cliente final). Atribuya solo trata esos datos siguiendo las instrucciones del Cliente.

4. Encargados del tratamiento (sub-procesadores)

Para prestar el Servicio, el Responsable utiliza los siguientes proveedores como encargados del tratamiento o sub-encargados:

• Supabase (Singapur, con datacenters en la UE) — alojamiento de base de datos PostgreSQL y servicio de autenticación.
• Vercel (EE. UU., con edge nodes en la UE) — hosting de la aplicación y ejecución de los crons.
• Google LLC — proveedor de las APIs de Google Places y Google Business Profile a las que el Cliente conecta sus fichas.
• Proveedor SMTP (actualmente correo transaccional gestionado por Supabase Auth; en el futuro Brevo o equivalente, ambos con servidores en la UE) — envío de magic-links y notificaciones.
• GitHub (EE. UU., titularidad de Microsoft) — sólo para ejecutar el workflow horario que dispara el endpoint público de sincronización; no recibe datos personales del Cliente.

Los proveedores establecidos fuera del Espacio Económico Europeo ofrecen garantías adecuadas: cláusulas contractuales tipo de la Comisión Europea, certificaciones EU-US Data Privacy Framework u otros mecanismos previstos en el Capítulo V del RGPD.

El Cliente puede solicitar al Responsable el listado actualizado de sub-encargados y firmar un acuerdo específico de encargo del tratamiento (DPA) al contratar el Servicio.

5. Plazos de conservación

• Datos del Cliente y administradores: durante la vigencia del contrato y los plazos legales aplicables tras finalizarla (típicamente seis años para obligaciones mercantiles y fiscales).
• Datos de usuarios autorizados: mientras pertenezcan a una organización activa. Tras la eliminación de un usuario, los datos identificativos se eliminan; los registros de actividad asociados se mantienen anonimizados.
• Datos de clientes finales y share_links: mientras sean necesarios para la atribución de reseñas (orientativamente 12 meses), salvo borrado manual por el comercial o el administrador antes.
• Reseñas sincronizadas: mientras existan en Google. Si el cliente final las elimina, el sistema lo refleja en el siguiente sync mediante el campo removed_at.
• Tokens OAuth: hasta que el Cliente revoque la conexión desde el panel de fichas o desde su cuenta de Google.
• Audit log: cinco años desde la fecha de cada entrada, salvo obligación legal de conservación superior.

6. Derechos de las personas

Cualquier persona cuyos datos consten en Atribuya puede ejercer los derechos reconocidos por el RGPD: acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad. Para hacerlo, envía una solicitud por escrito a alejandro@castillocanton.com identificándote y describiendo el derecho que quieres ejercer.

Si los datos pertenecen a un cliente final registrado por un comercial de una organización contratante, la solicitud se traslada a esa organización (responsable real del tratamiento) y se atiende en conjunto.

Si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).

7. Seguridad

El Servicio implementa medidas técnicas y organizativas para proteger los datos personales: aislamiento multi-tenant mediante Row Level Security de PostgreSQL, cifrado en tránsito (HTTPS/TLS) y en reposo, rotación de tokens OAuth, registro de auditoría de acciones críticas y separación de responsabilidades a nivel de roles dentro de cada organización.

8. Cookies y tecnologías similares

Atribuya utiliza exclusivamente cookies técnicas estrictamente necesarias para mantener la sesión del usuario autenticado y para el correcto funcionamiento del servicio. No se utilizan cookies de terceros, ni cookies analíticas, ni cookies publicitarias. Por ese motivo no se muestra banner de cookies (no aplica la obligación del art. 22 LSSI).

9. Datos públicos de reseñas de Google

Las reseñas publicadas en Google Business Profile son contenido publicado voluntariamente por sus autores en una plataforma pública. Atribuya las sincroniza con la finalidad de identificar al comercial que originó la visita y de presentar al Cliente un panel agregado. Los autores de las reseñas conservan todos sus derechos sobre dicho contenido frente a Google y pueden ejercer los derechos enumerados en el apartado 6 también frente al Responsable de Atribuya.

10. Cambios en esta política

Esta política puede actualizarse para reflejar cambios en el producto, en la legislación aplicable o en los sub-encargados del tratamiento. La fecha de la última actualización aparece al principio del documento. Los cambios sustanciales se notificarán a los administradores de las organizaciones contratantes por correo electrónico con un preaviso razonable.

11. Datos de contacto del responsable

Alejandro Castillo Cantón
NIF: 55418862V
Domicilio: Calle Leopoldo Querol 53, 3, 12560 Benicàssim, Castellón
Teléfono: +34 644 295 159
Correo de contacto para temas de privacidad: alejandro@castillocanton.com