Política de Privacidad
Última actualización: 28 de abril de 2026
En Wishit CSA SUPPLY SLU nos tomamos muy en serio la privacidad y la seguridad de los datos personales. Esta política describe cómo recogemos, tratamos y protegemos los datos personales conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y normativa sectorial aplicable (Ley 41/2002 de autonomía del paciente, ENS).
1. Responsable del tratamiento
- Identidad: Wishit CSA SUPPLY SLU (marca CESEA Sistemas)
- CIF: B06842256
- Domicilio: Calle Gomis 86, local 8, 08023 Barcelona
- Email: contacto@ceseasistemas.com
- Delegado de Protección de Datos (DPO): [Pendiente de designación formal cuando se inicie tratamiento masivo de datos de salud en plataforma SIGO]
2. Datos que tratamos y finalidades
2.1 Visitantes del sitio web
Cuando navegas por sistemascsa.com no recogemos datos personales identificativos salvo los que tú decides facilitarnos al contactar con nosotros (formularios, email, llamadas).
2.2 Solicitudes comerciales y demos
| Finalidad | Datos tratados | Base legal | Conservación |
|---|---|---|---|
| Atender solicitudes de demo, presupuestos y consultas comerciales | Nombre, email, teléfono, empresa, sector, mensaje | Consentimiento (art. 6.1.a RGPD) y/o medidas precontractuales (art. 6.1.b) | Hasta 3 años desde el último contacto si no hay relación contractual |
| Envío de comunicaciones comerciales sobre nuestros productos | Email, nombre | Consentimiento expreso (art. 6.1.a) | Hasta retirada del consentimiento |
| Cumplimiento de obligaciones legales (fiscales, contables) | Datos de facturación | Obligación legal (art. 6.1.c) | 6 años (Ley General Tributaria) |
2.3 Clientes de SIGO 360 / CESEA Formación
El cliente que contrata SIGO 360 actúa como Responsable del Tratamiento de los datos de sus pacientes/usuarios. CESEA Sistemas actúa como Encargado del Tratamiento en virtud de un contrato de encargo (DPA) firmado conforme al artículo 28 RGPD. El detalle del DPA se entrega en la firma del contrato.
3. Datos de categoría especial (datos de salud)
El tratamiento de datos de salud en la plataforma SIGO se realizará bajo:
- Cifrado en reposo (AES-256) y en tránsito (TLS 1.3).
- Aislamiento estricto por tenant (cada cliente accede solo a sus datos).
- Doble factor de autenticación obligatorio para acceso a HCE.
- Logs de auditoría inalterables (mínimo 5 años).
- Evaluación de Impacto en la Protección de Datos (EIPD/DPIA) previa al tratamiento.
- Cumplimiento del Esquema Nacional de Seguridad (ENS) en categoría Media o superior.
4. Destinatarios de los datos
No cedemos datos personales a terceros salvo:
- Proveedores tecnológicos que actúan como encargados del tratamiento (alojamiento cloud, email, servicios de IA, gestión de leads), con contrato de encargo firmado.
- Administraciones públicas cuando exista obligación legal.
- Autoridades judiciales en caso de requerimiento.
Encargados del tratamiento que actualmente intervienen en nuestros servicios:
- Nominalia Internet S.L. (España, UE) — alojamiento web y servicio de correo electrónico para los buzones
@sistemascsa.com. Datos tratados: contenido del formulario de contacto y comunicaciones email. - Notion Labs, Inc. (Estados Unidos) — gestión de la base de datos comercial CRM ("LEADS APP CESEA SISTEMAS") en la que se registran los datos del formulario para seguimiento del contacto comercial. Datos tratados: nombre, email, teléfono, empresa, sector, líneas de interés y mensaje del usuario.
Transferencias internacionales: el tratamiento por parte de Notion Labs, Inc. implica una transferencia de datos personales fuera del Espacio Económico Europeo, hacia Estados Unidos. Esta transferencia se realiza al amparo de:
- Las Cláusulas Contractuales Tipo (CCT/SCCs) aprobadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914, incorporadas al contrato de procesamiento de datos (DPA) de Notion.
- El marco EU-U.S. Data Privacy Framework al que Notion Labs, Inc. está adherida y certificada (verificable en dataprivacyframework.gov/list).
- Medidas adicionales de seguridad técnicas y organizativas: cifrado en tránsito (TLS 1.3) y en reposo, controles de acceso por integración con permisos mínimos, registro de auditoría de accesos.
Si no deseas que tus datos se traten en Notion, puedes contactar con nosotros en contacto@ceseasistemas.com y gestionaremos tu consulta exclusivamente por correo electrónico, sin almacenamiento adicional en Notion.
5. Tus derechos (ARSULIPO)
Tienes derecho a:
- Acceso · saber qué datos tenemos sobre ti.
- Rectificación · corregir datos inexactos.
- Supresión · "derecho al olvido".
- Oposición · oponerte al tratamiento.
- Limitación · pedir que se limite el tratamiento.
- Portabilidad · recibir tus datos en formato estructurado.
- No ser objeto de decisiones automatizadas con efectos jurídicos.
Para ejercerlos, escríbenos a contacto@ceseasistemas.com identificándote y especificando el derecho que deseas ejercer. Responderemos en el plazo máximo de un mes (prorrogable a dos meses en casos complejos).
Si consideras que no hemos atendido correctamente tus derechos, puedes presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
6. Medidas de seguridad
Aplicamos medidas técnicas y organizativas apropiadas al riesgo, incluyendo:
- Cifrado en tránsito (HTTPS, TLS 1.3) y en reposo para datos sensibles.
- Control de accesos por roles y mínimo privilegio.
- Copias de seguridad cifradas y probadas regularmente.
- Logging y monitorización de accesos.
- Política de divulgación responsable de vulnerabilidades (security.txt).
- Formación en seguridad y privacidad al personal con acceso a datos.
7. Notificación de brechas de seguridad
En caso de brecha de seguridad que pueda suponer un riesgo para tus derechos y libertades, notificaremos:
- A la AEPD en un plazo máximo de 72 horas desde su detección.
- A los afectados sin dilación indebida si el riesgo es alto.
8. Cambios en la política
Podemos actualizar esta política para reflejar cambios legales, operativos o de servicio. Publicaremos siempre la fecha de la última actualización al inicio del documento y, en caso de cambios sustanciales, notificaremos por email a los interesados.
Política conforme a RGPD (UE 2016/679), LOPDGDD (LO 3/2018) y normativa sectorial sociosanitaria.