Cómo tratamos tus datos
Esta página resume en un minuto qué datos salen de tu máquina cuando usas CertApp y, sobre todo, qué datos NUNCA salen. Es el documento que puedes compartir con el responsable de protección de datos (DPO) de tu organización para explicar el flujo.
El principio
CertApp es una herramienta de escritorio que tú instalas en tus máquinas. Funciona como Word o Excel: tú procesas los datos de tus clientes finales en tu equipo, y nosotros solo te proporcionamos el software para hacerlo. Los datos de tus clientes finales nunca salen de tu máquina.
Datos que SÍ salen de tu máquina (hacia nuestro servidor)
| Dato | Cuándo | Finalidad |
|---|---|---|
| Email del contacto + CIF + nombre de la organización | Al crear la cuenta | Identificación, facturación e identificación en el portal |
| Clave de licencia + fingerprint de la máquina (hash SHA-256) | Cada vez que se renueva la sesión (~ cada 24h) | Verificar que la licencia es válida y el puesto está autorizado |
| Nombre del puesto (opcional, ej. "Despacho - Pedro") | Cuando lo introduces manualmente en "Mi cuenta" | Identificar la máquina en el portal de gestión |
| IP de origen + User-Agent | Cada conexión al server | Audit log de seguridad y detección de abuso |
| Reportes de errores (opt-in) | Solo si activas la opción en "Mi cuenta" | Diagnosticar bugs de la aplicación |
| Datos de tarjeta | Al pagar la suscripción | Procesados directamente por Stripe (PCI-DSS); nosotros no los vemos |
Datos que NUNCA salen de tu máquina
| Dato | Dónde vive |
|---|---|
Certificados digitales .p12/.pfx |
Carpeta cifrada local de tu máquina |
| Contraseñas de certificados | Cifradas con clave derivada de la máquina, solo locales |
| NIF / datos fiscales de tus clientes finales | En los formularios que rellenan las automatizaciones (memoria) |
| Justificantes / certificados / modelos descargados | En las carpetas locales que tú elijas |
| Historial de qué cliente has gestionado, cuándo, con qué certificado | En la base de datos local (SQLite) de tu máquina |
| Capturas, logs detallados de los trámites, contenido de páginas web | Solo en logs locales, rotados a 14 días |
Implicaciones para tu cumplimiento RGPD
- Respecto a los datos de tus clientes finales: tú eres el único Responsable del Tratamiento. CertApp NO actúa como Encargado del Tratamiento porque no los procesa en sus servidores.
- Respecto a los datos que tú nos das (email, CIF, fingerprint): CertApp es el Responsable del Tratamiento. Consulta nuestra Política de Privacidad para los detalles.
- ¿Necesitas firmar un DPA con CertApp? En el modelo de uso estándar, no: no procesamos datos de tus clientes. Si tu organización quiere un documento formal igualmente (planes Enterprise), tenemos plantilla disponible.
Verifícalo tú mismo
Puedes auditar todo el tráfico que CertApp envía a nuestros servidores
con cualquier proxy HTTP (Fiddler, mitmproxy, Wireshark). Verás que
las únicas peticiones salientes son POST /session,
GET /catalog, POST /crash (opt-in) y
GET /updates/ (auto-updater). Ninguna contiene NIFs,
contraseñas ni contenido de los trámites.
Contacto
Para preguntas sobre tratamiento de datos: info@certapp.es.