Legal · QCapital
Política de privacidad
Tratamiento de datos personales conforme al RGPD y la LOPDGDD
Última actualización: 3 de julio de 2026
1. Responsable del tratamiento
NIF: B21768494
Calle de Gustavo Pérez Puig, 61, Hortaleza, 28055 Madrid, España
Contacto legal y RGPD: legal@qsecure.es
2. Finalidades del tratamiento
- Prestación del servicio: gestión de cuenta, carteras, holdings, transacciones, métricas e informes.
- Facturación y pagos a través de Stripe.
- Comunicaciones operativas: códigos de verificación, alertas de riesgo, recuperación de contraseña, informes mensuales.
- Comunicaciones comerciales: novedades del producto, consejos educativos y análisis de mercado por email, únicamente si has dado tu consentimiento (ver sección 4).
- Mejora del servicio mediante métricas técnicas y de uso (con tu consentimiento expreso para analítica).
- Cumplimiento de obligaciones legales (fiscales, contables, requerimientos de autoridades).
3. Bases jurídicas
- Ejecución del contrato (art. 6.1.b RGPD).
- Cumplimiento de obligaciones legales (art. 6.1.c RGPD).
- Interés legítimo en la seguridad y mejora del servicio (art. 6.1.f RGPD).
- Consentimiento explícito para cookies opcionales y comunicaciones comerciales (art. 6.1.a RGPD).
4. Comunicaciones comerciales
Solo te enviamos correos con novedades, consejos y análisis de mercado si has dado tu consentimiento expreso (art. 6.1.a RGPD y art. 21 LSSI-CE), marcando la casilla opcional al crear tu cuenta o activando «Novedades y consejos» en Ajustes. Dar este consentimiento no es condición para usar el servicio.
Puedes retirar el consentimiento en cualquier momento y sin coste: mediante el enlace de baja incluido en cada correo (un solo clic) o desde Ajustes. Conservamos un registro de la fecha en que otorgas o retiras el consentimiento para poder acreditarlo. Los correos operativos y de seguridad (verificación, alertas que tú configures, facturación) no se ven afectados por esta baja.
Estos contenidos tienen carácter informativo y educativo; no constituyen asesoramiento financiero ni recomendaciones personalizadas de inversión.
5. Categorías de datos tratados
- Identificativos y de contacto: nombre, email, país, divisa base, país fiscal.
- Datos de cartera: activos, cantidades, precios de compra, transacciones, dividendos. Visibles únicamente para ti y nuestros sistemas de cálculo.
- Datos técnicos: IP, navegador, eventos de seguridad, cookies estrictamente necesarias.
- Datos de pago: tratados directamente por Stripe; nosotros no almacenamos número de tarjeta ni CVV.
- Datos de suscripción (apps móviles): en iOS y Android las compras se realizan mediante las suscripciones in-app de las tiendas. Recibimos un identificador de compra y el estado de la suscripción (producto, plataforma, vigencia) a través de App Store, Google Play y RevenueCat; no recibimos los datos de tu tarjeta.
6. Conservación
Conservamos los datos mientras tu cuenta esté activa y, tras la eliminación, durante los plazos legales aplicables (hasta 6 años para registros contables y fiscales conforme al Código de Comercio y la LGT).
7. Destinatarios y encargados de tratamiento
Compartimos datos estrictamente necesarios con los siguientes encargados, todos ellos con garantías RGPD:
- Stripe Payments Europe Ltd (Irlanda) — pagos y facturación.
- Resend Inc. (EE. UU., con DPA y SCC) — envío de emails transaccionales y, si has dado tu consentimiento, de comunicaciones comerciales.
- Anthropic, PBC (EE. UU., con DPA y SCC) — generación de resúmenes analíticos con IA. Se envía a la API de Anthropic Claude únicamente métricas calculadas de la cartera (distribución, rentabilidad, alertas detectadas), sin nombre ni datos de contacto del usuario. Anthropic no utiliza estos datos para entrenar modelos según el DPA API vigente.
- MongoDB Atlas (MongoDB, Inc.) — base de datos alojada en servidores dentro de la UE (región West Europe). Datos sujetos al DPA de MongoDB Atlas.
- Google Cloud Platform (Google LLC) (EE. UU., con DPA y SCC) — infraestructura cloud de alojamiento del servidor de aplicaciones. Google accede a los datos exclusivamente a nivel de infraestructura para la prestación del servicio de hosting, sin acceso lógico a los datos del usuario.
- Apple Distribution International Ltd (Irlanda) y Google Ireland Ltd — procesamiento de los pagos de las suscripciones in-app realizadas en las apps de iOS y Android, respectivamente.
- RevenueCat, Inc. (EE. UU., con DPA y SCC) — gestión y validación de las suscripciones in-app de las apps móviles. Recibe un identificador de usuario de la app y los datos de la compra (producto, estado, plataforma), sin nombre ni datos de contacto.
Los proveedores externos de datos de mercado financiero (cotizaciones, tipos de cambio, datos de fondos e índices) reciben únicamente identificadores de instrumentos financieros (tickers, ISINs), que no constituyen datos personales en el sentido del art. 4.1 RGPD, por lo que no tienen la consideración de encargados del tratamiento.
8. Transferencias internacionales
Algunos encargados se encuentran fuera del Espacio Económico Europeo: Stripe Payments Europe Ltd y Apple Distribution International Ltd actúan desde Irlanda (UE); Resend, Anthropic, RevenueCat y Google Cloud Platform operan desde EE. UU. Las transferencias a EE. UU. se realizan al amparo de las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea y, donde aplica, adhesión al EU-US Data Privacy Framework (decisión de adecuación de 10 de julio de 2023).
9. Tus derechos
Como interesado, puedes ejercer en cualquier momento los siguientes derechos:
- Acceso, rectificación, supresión, limitación, oposición y portabilidad.
- Retirar el consentimiento prestado para cookies opcionales o comunicaciones.
- No ser objeto de decisiones individuales automatizadas con efectos jurídicos.
Desde Ajustes puedes exportar todos tus datos en formato JSON y eliminar tu cuenta en cualquier momento. Para cualquier otra solicitud, escríbenos a legal@qsecure.es.
10. Reclamaciones ante la autoridad de control
Si consideras que el tratamiento no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es, C/ Jorge Juan 6, 28001 Madrid).
11. Seguridad
Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito (TLS), contraseñas hasheadas (bcrypt), autenticación basada en JWT, control de accesos por rol, registros de auditoría y verificación por código en operaciones sensibles (cambio de email o contraseña).
Quantum Secure Labs SL · NIF B21768494 · Calle de Gustavo Pérez Puig, 61, Hortaleza, 28055 Madrid, España
Contacto: legal@qsecure.es