Política de Privacidad

Última actualización: 13 de mayo de 2026

Versión 2.0

Conformidad: Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 (LOPDGDD), Ley 34/2002 (LSSI-CE) y guías de la AEPD vigentes.

1. Responsable del tratamiento

Pendiente de completar por el titular antes de publicar

  • Titular: [Pendiente: razón social definitiva — autónomo o SL]
  • NIF / CIF: [Pendiente]
  • Domicilio social: [Pendiente]
  • Nombre comercial: OposAGE
  • Sitio web: https://oposage.com
  • Email de contacto: contacto@oposage.com

Delegado de Protección de Datos (DPO): A la fecha de esta Política, OposAGE no está obligada a designar DPO conforme al artículo 37.1 RGPD y artículo 34 LOPDGDD (volumen y categorías de datos por debajo de los umbrales obligatorios). El contacto de referencia para asuntos de privacidad es contacto@oposage.com.

Se designará DPO conforme se alcancen los umbrales que lo exijan reglamentariamente (más de 50.000 interesados activos/año, tratamiento de categorías especiales a gran escala, o exigencia derivada del Reglamento IA UE).

2. Datos personales que tratamos

2.1 Datos de identificación y cuenta

  • Nombre y apellidos (opcional en el perfil de usuario).
  • Dirección de correo electrónico (obligatoria para el registro).
  • Contraseña (almacenada con hash; nunca en texto plano).
  • Fecha de registro y último acceso.

2.2 Datos de uso y progreso académico

  • Sesiones de estudio: duración, bloques completados, intervalos FSRS.
  • Resultados de exámenes y simulacros: puntuaciones, respuestas, tiempo empleado.
  • Conversaciones con el asistente de IA: texto introducido y respuestas generadas.
  • Progreso por tema y artículo legal: nivel de dominio, áreas débiles detectadas.

2.3 Datos de facturación

  • Historial de suscripción y plan activo.
  • Datos de facturación (nombre fiscal, dirección). No almacenamos datos de tarjeta; el procesamiento lo realiza Stripe.

2.4 Datos técnicos

  • Dirección IP (pseudonimizada mediante hash).
  • User agent y tipo de dispositivo.
  • Logs de autenticación y acceso.
  • Identificador de sesión y preferencias de consentimiento (cookie oposage-consent-v1).

3. Finalidades y bases jurídicas

FinalidadBase jurídicaPrecepto RGPD
Prestación del servicio de preparación de oposiciones (acceso a contenido, flashcards, exámenes, chat IA)Ejecución del contrato de suscripciónArt. 6.1.b RGPD
Facturación, cobro y contabilidadCumplimiento de obligación legal (LGT, Código de Comercio)Art. 6.1.c RGPD
Gestión de cuenta, soporte técnico y atención al clienteEjecución del contratoArt. 6.1.b RGPD
Mejora del producto mediante análisis agregado y anonimizado del usoInterés legítimo (mejora del servicio contratado, sin posibilidad de reidentificación)Art. 6.1.f RGPD
Seguridad de la plataforma y prevención de fraudeInterés legítimoArt. 6.1.f RGPD
Analítica web (Vercel Analytics, PostHog cuando esté activo)Consentimiento explícito mediante banner CMPArt. 6.1.a RGPD
Comunicaciones comerciales sobre productos similares a clientes activosInterés legítimo (art. 21 LSSI-CE) + derecho de oposición activoArt. 6.1.f RGPD
Cumplimiento de obligaciones legales (requerimientos judiciales, AEPD)Obligación legalArt. 6.1.c RGPD

4. Plazos de conservación

Categoría de datoPlazo activoPlazo post-cancelación
Cuenta de usuario y datos de progresoMientras la cuenta está activa30 días (backup), luego supresión
Datos de facturación y contabilidadVigencia contrato4 años (LGT) / 6 años (Código de Comercio)
Conversaciones con el asistente IAVigencia cuenta30 días post-cancelación
Logs de seguridad y acceso6 años6 años
Datos de consentimiento (RGPD)24 meses (prueba de consentimiento, AEPD 2023)24 meses
Cookies analíticas14 meses desde instalaciónn/a

5. Destinatarios, subencargados y transferencias internacionales

OposAGE no cede datos personales a terceros salvo a los subencargados necesarios para la prestación del servicio y a administraciones o tribunales por obligación legal.

El listado completo y actualizado de subencargados del tratamiento (11 proveedores documentados) está disponible en /legal/subencargados.

Transferencias internacionales (fuera del EEE): algunos subencargados procesan datos en Estados Unidos. Dichas transferencias se amparan en:

  • Cláusulas Contractuales Tipo (SCCs) UE 2021/914, módulo aplicable según la relación responsable/encargado.
  • Adhesión del importador al EU-US Data Privacy Framework (Decisión de Adecuación 2023/1795) cuando aplique.
  • Medidas suplementarias técnicas: cifrado en tránsito y en reposo, control de logs, opción de zero data retention (OpenAI) cuando está disponible.

OposAGE no vende datos personales ni los cede con fines publicitarios de terceros.

6. Decisiones automatizadas e inteligencia artificial

El servicio incluye un asistente conversacional con IA y un motor de predicción bayesiana de probabilidad de plaza. OposAGE considera que estos procesos no constituyen decisiones automatizadas individuales con efectos jurídicos o significativos en el sentido del artículo 22 RGPD, por las siguientes razones:

  • Las respuestas del chat tienen naturaleza educativa y orientativa; no son jurídicamente vinculantes.
  • Las predicciones de probabilidad de plaza son estimaciones estadísticas internas y no determinan acceso a recursos oficiales ni calificaciones académicas.
  • La intervención humana del usuario es decisiva en el uso final de la información.

Cada respuesta del asistente incluye un disclaimer educativo visible y cita al artículo del BOE de origen, conforme al artículo 50 del Reglamento de Inteligencia Artificial (UE) 2024/1689 (AI Act).

El usuario conserva en todo momento el derecho a obtener intervención humana, expresar su opinión e impugnar cualquier resultado del servicio.

7. Derechos de los interesados

Conforme a los artículos 15-22 RGPD y artículos 11-18 LOPDGDD, tienes los siguientes derechos:

DerechoPreceptoCómo ejercerlo
AccesoArt. 15 RGPDEmail a contacto@oposage.com o botón "Exportar tus datos" en Configuración
RectificaciónArt. 16 RGPDEmail a contacto@oposage.com o sección de perfil
Supresión (derecho al olvido)Art. 17 RGPDEmail a contacto@oposage.com o botón "Eliminar cuenta" en Configuración. El endpoint /api/gdpr/delete-account ejecuta la supresión en menos de 24 horas.
Limitación del tratamientoArt. 18 RGPDEmail a contacto@oposage.com
PortabilidadArt. 20 RGPDBotón "Exportar tus datos" en Configuración (exporta JSON/CSV). El endpoint /api/gdpr/export-account genera el archivo descargable.
OposiciónArt. 21 RGPDEmail a contacto@oposage.com (especialmente para tratamientos por interés legítimo)
No ser objeto de decisión automatizada individualArt. 22 RGPDVer sección 6 de esta Política
Revocación del consentimientoArt. 7.3 RGPDPanel de cookies o email a contacto@oposage.com. El endpoint /api/gdpr/consent registra y gestiona el estado del consentimiento.

Plazo de respuesta: máximo 1 mes desde la recepción de solicitud válida, ampliable a 2 meses adicionales si la complejidad lo justifica (con notificación previa). El ejercicio es gratuito salvo solicitudes manifiestamente infundadas o excesivas.

Documentación requerida: copia del DNI u otra identificación equivalente, o referencia inequívoca al contrato.

8. Reclamación ante la autoridad de control

Si consideras que el tratamiento de tus datos infringe la normativa aplicable, tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD) (C/ Jorge Juan 6, 28001 Madrid — tel. 901 100 099). No es necesario haber reclamado previamente a OposAGE, aunque recomendamos contactarnos primero en contacto@oposage.com para resolver de forma ágil.

9. Medidas de seguridad

Aplicamos las medidas técnicas y organizativas previstas en el artículo 32 RGPD:

  • Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
  • Cabeceras de seguridad HTTP activas: HSTS, CSP, Permissions-Policy, X-Frame-Options.
  • Autenticación multifactor disponible para cuentas de usuario.
  • Control de accesos basado en mínimo privilegio.
  • Audit logs con retención de 6 años.
  • Plan de respuesta a incidentes con notificación a la AEPD en menos de 72 horas (art. 33 RGPD).
  • Política de divulgación responsable de vulnerabilidades publicada en /legal/seguridad y en /.well-known/security.txt.

Para reportar una vulnerabilidad de seguridad: seguridad@oposage.com.

10. Menores de edad

El servicio está orientado a personas adultas que preparan oposiciones (mayores de 18 años). No solicitamos ni tratamos conscientemente datos de menores de 14 años, umbral establecido en el artículo 8 RGPD y artículo 7 LOPDGDD. Si detectamos tratamiento de datos de menores sin consentimiento parental válido, procederemos a su supresión inmediata.

11. Cambios en esta Política

OposAGE puede actualizar esta Política para reflejar cambios normativos, nuevas funcionalidades o incorporación/sustitución de subencargados. Los cambios sustanciales se notificarán con al menos 30 días naturales de antelación mediante email a usuarios activos y banner visible en oposage.com. El uso continuado del servicio tras la notificación implica aceptación de la nueva versión, sin perjuicio del derecho a resolver el contrato si los cambios son materialmente perjudiciales.

Última actualización: 13 de mayo de 2026 — Versión 2.0