Política de Privacidad
Última actualización: 17 de febrero de 2026
La presente Política de Privacidad regula el tratamiento de datos personales que realiza SumaKey a través de la plataforma www.sumakey.com y sus servicios asociados, de conformidad con el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).
1. Identificación del Responsable del Tratamiento
| Responsable | SumaKey S.L. |
|---|---|
| CIF | En trámite |
| Domicilio social | Madrid, España |
| Correo electrónico | privacidad@sumakey.com |
| Sitio web | www.sumakey.com |
2. Objeto y Ámbito de Aplicación
SumaKey es una plataforma SaaS de fidelización de clientes que permite a negocios crear y gestionar programas de puntos con integración en billeteras digitales (Apple Wallet y Google Wallet). En el ejercicio de su actividad, SumaKey actúa en un doble rol:
- Responsable del tratamiento respecto a los datos de los negocios (usuarios registrados) que contratan nuestros servicios.
- Encargado del tratamiento respecto a los datos de los clientes finales que los negocios gestionan a través de nuestra plataforma, actuando por cuenta e instrucciones del negocio (responsable).
Esta política se aplica a todos los datos personales recogidos a través de la web, la aplicación, las API y los servicios integrados de SumaKey.
3. Datos Personales Recopilados
A continuación se detallan las categorías de datos personales que tratamos, organizadas por tipo:
3.1. Datos de registro del negocio
- Nombre del negocio
- Dirección de correo electrónico
- Contraseña (almacenada exclusivamente como hash criptográfico irreversible mediante bcrypt)
- Datos de autenticación con Google OAuth (en caso de registro mediante Google)
3.2. Datos de los clientes finales
- Nombre y apellidos
- Dirección de correo electrónico
- Número de teléfono (opcional)
- Fecha de nacimiento (opcional)
- Datos del programa de fidelización: puntos acumulados, historial de actividad, recompensas canjeadas
3.3. Datos de dispositivos y billeteras digitales
- Tokens de notificaciones push de Apple (APNs push token)
- Identificadores de dispositivos registrados en Apple Wallet (device library identifier)
- Datos técnicos necesarios para la generación y actualización de pases en Google Wallet y Apple Wallet
3.4. Datos de pago y suscripción
- Identificador de cliente en Stripe (no almacenamos datos de tarjetas bancarias; estos son gestionados íntegramente por Stripe conforme a PCI DSS)
- Plan de suscripción contratado y estado de la misma
- Identificador de suscripción de Stripe
3.5. Datos de ubicación del negocio (opcional)
- Coordenadas GPS (latitud y longitud) del establecimiento, proporcionadas voluntariamente para habilitar funciones de geolocalización en billeteras digitales
3.6. Datos de navegación y cookies
- Cookies esenciales para el funcionamiento del servicio (autenticación y sesión)
- Cookies de análisis mediante Google Analytics (con dirección IP anonimizada)
- Token de autenticación almacenado en localStorage del navegador
3.7. Acceso a la cámara del dispositivo
- La funcionalidad de escáner QR de la plataforma requiere acceso a la cámara del dispositivo para leer códigos QR de las tarjetas de fidelización de los clientes. Este acceso se solicita mediante el permiso nativo del navegador y solo se activa cuando el usuario accede voluntariamente a la función de escáner.
- No grabamos, almacenamos ni transmitimos imágenes ni vídeo capturados por la cámara. El flujo de vídeo se procesa localmente en el dispositivo en tiempo real, únicamente para decodificar el contenido del código QR. Una vez leído el código, el flujo de cámara se descarta inmediatamente.
- El usuario puede revocar el permiso de cámara en cualquier momento desde la configuración de su navegador o dispositivo.
3.8. Datos de seguridad y acceso
- Dirección IP y user agent del navegador, utilizados exclusivamente para notificaciones de inicio de sesión por correo electrónico. Estos datos se incluyen en el email de notificación pero no se almacenan en nuestras bases de datos.
4. Base Jurídica del Tratamiento
De conformidad con el artículo 6.1 del RGPD, el tratamiento de datos se fundamenta en las siguientes bases jurídicas:
| Finalidad | Base jurídica |
|---|---|
| Prestación del servicio SaaS de fidelización | Art. 6.1.b) Ejecución de un contrato |
| Gestión de la cuenta de usuario y autenticación | Art. 6.1.b) Ejecución de un contrato |
| Procesamiento de pagos y gestión de suscripciones | Art. 6.1.b) Ejecución de un contrato |
| Generación de pases en Google Wallet y Apple Wallet | Art. 6.1.b) Ejecución de un contrato |
| Envío de notificaciones push a billeteras digitales | Art. 6.1.b) Ejecución de un contrato |
| Envío de emails transaccionales (confirmaciones, actualizaciones de puntos) | Art. 6.1.b) Ejecución de un contrato |
| Notificaciones de seguridad de inicio de sesión | Art. 6.1.f) Interés legítimo (seguridad de la cuenta) |
| Newsletter y comunicaciones comerciales | Art. 6.1.a) Consentimiento del interesado |
| Análisis de uso y mejora del servicio (Google Analytics) | Art. 6.1.a) Consentimiento del interesado |
| Cumplimiento de obligaciones fiscales y legales | Art. 6.1.c) Obligación legal |
5. Finalidades del Tratamiento
Los datos personales recopilados se tratan para las siguientes finalidades:
- Crear y gestionar la cuenta del negocio en la plataforma.
- Prestar el servicio de fidelización: gestión de programas de puntos, tarjetas de fidelización y recompensas.
- Generar y actualizar pases digitales en Apple Wallet y Google Wallet, incluyendo el envío de notificaciones push ante cambios en los puntos o la tarjeta.
- Procesar pagos y gestionar la suscripción del negocio a través de Stripe.
- Enviar comunicaciones transaccionales relacionadas con el servicio (confirmaciones, actualizaciones, alertas de seguridad).
- Enviar comunicaciones comerciales y newsletters, previo consentimiento expreso.
- Analizar el uso de la plataforma para mejorar la experiencia del usuario (mediante Google Analytics con IP anonimizada).
- Garantizar la seguridad de la plataforma y prevenir accesos no autorizados.
- Cumplir con obligaciones legales y fiscales aplicables.
6. Destinatarios y Transferencias Internacionales de Datos
No vendemos, alquilamos ni cedemos tus datos personales ni los de tus clientes a terceros. Solo compartimos datos con los proveedores de servicios estrictamente necesarios para la prestación de nuestro servicio:
| Proveedor | Finalidad | Ubicación | Garantía |
|---|---|---|---|
| Stripe | Procesamiento de pagos y gestión de suscripciones | EE.UU. | Cláusulas Contractuales Tipo (CCT) de la Comisión Europea |
| Google Wallet (pases digitales) y Google Analytics (analítica web) | EE.UU. | EU-U.S. Data Privacy Framework | |
| Apple | Apple Wallet (pases PassKit) y Apple Push Notification service (APNs) | EE.UU. | EU-U.S. Data Privacy Framework |
| AWS (Amazon Web Services) | Alojamiento de infraestructura y almacenamiento de archivos (S3) | UE (eu-west-1) / EE.UU. | Cláusulas Contractuales Tipo (CCT) / EU-U.S. Data Privacy Framework |
| Resend | Envío de correos electrónicos transaccionales y newsletters | EE.UU. | Cláusulas Contractuales Tipo (CCT) |
Todos los proveedores mencionados actúan como encargados del tratamiento y han suscrito los correspondientes acuerdos de tratamiento de datos (DPA). Las transferencias internacionales de datos fuera del Espacio Económico Europeo se amparan en los mecanismos indicados, conforme a los artículos 46 y 47 del RGPD.
Adicionalmente, los datos podrán comunicarse a autoridades públicas competentes cuando exista una obligación legal que así lo requiera.
7. Plazos de Conservación de los Datos
Los datos personales se conservarán durante el tiempo estrictamente necesario para cumplir con la finalidad para la que fueron recogidos:
| Tipo de dato | Plazo de conservación |
|---|---|
| Datos de cuenta del negocio | Mientras la cuenta esté activa, más 30 días tras la solicitud de cancelación |
| Datos de clientes finales | Mientras la relación comercial con el negocio esté vigente, o hasta que el negocio o el cliente soliciten su supresión |
| Datos de facturación y pagos | 5 años desde la última transacción (obligación fiscal, Ley General Tributaria) |
| Datos de dispositivos y billeteras digitales | Mientras el pase digital esté activo en el dispositivo del usuario |
| Datos de navegación y cookies de análisis | Según la duración indicada en la Política de Cookies (máximo 13 meses para analítica) |
| IP y user agent de notificaciones de inicio de sesión | No se almacenan en base de datos; solo se incluyen en el email de notificación |
Una vez finalizado el plazo de conservación, los datos serán suprimidos o anonimizados de forma irreversible, salvo que exista una obligación legal que exija su conservación adicional.
8. Derechos de los Interesados (ARSULIPO)
De conformidad con el RGPD y la LOPD-GDD, puedes ejercer en cualquier momento los siguientes derechos:
- Acceso (Art. 15 RGPD): Obtener confirmación de si se están tratando tus datos y acceder a una copia de los mismos.
- Rectificación (Art. 16 RGPD): Solicitar la corrección de datos inexactos o completar datos incompletos.
- Supresión (Art. 17 RGPD): Solicitar la eliminación de tus datos cuando, entre otros motivos, ya no sean necesarios para la finalidad para la que fueron recogidos.
- Limitación del tratamiento (Art. 18 RGPD): Solicitar la limitación del tratamiento de tus datos en determinadas circunstancias.
- Portabilidad (Art. 20 RGPD): Recibir tus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
- Oposición (Art. 21 RGPD): Oponerte al tratamiento de tus datos en determinadas circunstancias, incluido el tratamiento basado en interés legítimo o con fines de marketing directo.
Para ejercer cualquiera de estos derechos, puedes contactarnos en privacidad@sumakey.com, indicando tu identidad y el derecho que deseas ejercer. Responderemos en el plazo máximo de un mes desde la recepción de la solicitud, prorrogable dos meses más en caso de solicitudes complejas o numerosas (Art. 12.3 RGPD).
Cuando el tratamiento se base en el consentimiento, tienes derecho a retirar tu consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
9. Derecho a Reclamar ante la Autoridad de Control
Si consideras que el tratamiento de tus datos personales vulnera la normativa vigente, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Dirección: C/ Jorge Juan, 6 - 28001 Madrid
- Web: www.aepd.es
- Teléfono: 912 663 517
No obstante, te agradeceríamos que antes de presentar una reclamación formal, contactes con nosotros para intentar resolver cualquier incidencia.
10. Medidas de Seguridad
De conformidad con el artículo 32 del RGPD, SumaKey ha implementado medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo:
- Cifrado en tránsito: Todas las comunicaciones se realizan mediante protocolo HTTPS con cifrado SSL/TLS.
- Cifrado de contraseñas: Las contraseñas se almacenan utilizando el algoritmo de hash bcrypt, siendo irreversibles.
- Autenticación segura: Sistema de autenticación basado en JWT (JSON Web Tokens) con expiración.
- Protección contra ataques: Limitación de peticiones (rate limiting), validación estricta de entradas y protección CORS.
- Infraestructura segura: Bases de datos y servicios alojados en infraestructura profesional con controles de acceso restringido.
- Certificados digitales: Uso de certificados dedicados para la firma de pases de Apple Wallet.
- Separación de datos: Arquitectura multi-tenant que garantiza el aislamiento de datos entre negocios.
- Control de accesos: Acceso restringido y monitorizado a los sistemas y datos.
11. Política de Cookies
Nuestra plataforma utiliza cookies y tecnologías similares de almacenamiento local. Para información detallada sobre las cookies que utilizamos, su finalidad, duración y cómo gestionarlas, consulta nuestra Política de Cookies.
De forma resumida, utilizamos:
- Cookies esenciales: Necesarias para el funcionamiento del servicio (autenticación, sesión). No requieren consentimiento.
- Cookies de análisis: Google Analytics con IP anonimizada, sujetas a tu consentimiento previo.
- localStorage: Almacenamiento del token de autenticación para mantener la sesión activa, esencial para el funcionamiento del servicio.
12. SumaKey como Encargado del Tratamiento
Cuando los negocios registrados en SumaKey gestionan los datos de sus clientes finales a través de nuestra plataforma, el negocio actúa como responsable del tratamiento y SumaKey como encargado del tratamiento de dichos datos, de conformidad con el artículo 28 del RGPD.
En este contexto, SumaKey se compromete a:
- Tratar los datos de los clientes finales únicamente siguiendo las instrucciones documentadas del negocio responsable.
- Garantizar que las personas autorizadas para tratar datos se hayan comprometido a respetar la confidencialidad.
- Adoptar las medidas de seguridad técnicas y organizativas apropiadas.
- No subcontratar sin autorización previa del responsable (subencargados detallados en la sección 6).
- Asistir al responsable en el cumplimiento de sus obligaciones (atención de derechos, notificación de brechas, evaluaciones de impacto).
- Suprimir o devolver los datos personales al finalizar la prestación del servicio.
- Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD.
13. Menores de Edad
Los servicios de SumaKey no están dirigidos a menores de 14 años, de conformidad con el artículo 7 de la LOPD-GDD. No recopilamos de forma consciente datos personales de menores de 14 años. Si tuviéramos conocimiento de que hemos recogido datos de un menor sin el consentimiento de sus padres o tutores legales, procederemos a eliminar dicha información a la mayor brevedad posible.
En el caso de los clientes finales de los programas de fidelización, corresponde al negocio (responsable del tratamiento) verificar que los datos recogidos cumplen con los requisitos de edad establecidos por la normativa.
14. Modificaciones de esta Política
SumaKey se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o de práctica empresarial. En caso de introducir cambios sustanciales que afecten al tratamiento de tus datos, te notificaremos mediante:
- Un aviso destacado en la plataforma al iniciar sesión.
- Una comunicación por correo electrónico a la dirección asociada a tu cuenta.
Te recomendamos revisar periódicamente esta política. La fecha de la última actualización se indica al inicio de este documento.
15. Contacto
Para cualquier consulta relacionada con la protección de datos personales, el ejercicio de tus derechos o esta Política de Privacidad, puedes contactar con nosotros a través de:
- Correo electrónico: privacidad@sumakey.com
- Responsable: SumaKey S.L.
- Domicilio: Madrid, España