Política de privacidad
Cómo Brifay recoge, utiliza y protege sus datos personales.
Última actualización: 10 de abril de 2026
Índice
- Responsable del tratamiento
- Datos personales recogidos
- Finalidades y bases legales
- Destinatarios y encargados del tratamiento
- Transferencias fuera de la Unión Europea
- Plazos de conservación
- Sus derechos
- Cookies y rastreadores
- Seguridad de los datos
- Protección de los menores
- Modificaciones de la política
- Contacto
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través de la aplicación y del sitio web Brifay es:
| Razón social | Brifay |
|---|---|
| Forma jurídica | Société par actions simplifiée unipersonnelle (SASU — sociedad por acciones simplificada unipersonal de Derecho francés) |
| Capital social | 5000 € |
| Domicilio social | 15 place Michelet, 37000 Tours, Francia |
| RCS / SIREN | RCS Tours 105 817 209 |
| SIRET | 105 817 209 00015 |
| N.º de IVA intracomunitario | FR30105817209 |
| Código APE / NAF | 58.29C |
| Representante legal | La sociedad Brifay, representada por su representante legal |
| [email protected] |
El referente en materia de protección de datos está disponible en la dirección: [email protected].
2. Datos personales recogidos
Brifay recoge únicamente los datos estrictamente necesarios para el funcionamiento del servicio de GMAO. No recogemos ningún dato sensible en el sentido del artículo 9 del RGPD.
| Categoría | Datos | Carácter |
|---|---|---|
| Cuenta de usuario | Email, nombre, apellidos, teléfono, foto de perfil | Email y nombre obligatorios; teléfono y foto facultativos |
| Autenticación | Email, contraseña (con hash) | Obligatorio |
| Localización | Coordenadas GPS de emplazamientos y edificios (introducidas manualmente) | Facultativo |
| Medios | Fotos y archivos adjuntos a las solicitudes de mantenimiento | Facultativo |
| Mensajería | Mensajes intercambiados en el chat de las solicitudes | Ligado al uso |
| Equipos | Datos de seguimiento de activos e historial de mantenimiento | Ligado al uso |
| Notificaciones | Tokens de notificación push, preferencias | Ligado al uso |
| Pago | Procesado exclusivamente por Stripe — Brifay no almacena ningún dato bancario | Obligatorio para la suscripción |
| Datos técnicos | Dirección IP, tipo de dispositivo, versión del SO y de la aplicación | Automático |
| Soporte al cliente | Capturas de pantalla, informes de errores a través de Gleap | Facultativo |
3. Finalidades del tratamiento y bases legales
Cada tratamiento de datos se basa en una base legal prevista por el RGPD (artículo 6):
| Finalidad | Base legal |
|---|---|
| Creación y gestión de la cuenta de usuario | Ejecución del contrato (art. 6.1.b) |
| Prestación del servicio de GMAO (solicitudes, equipos, mantenimiento) | Ejecución del contrato (art. 6.1.b) |
| Mensajería interna (chat de las solicitudes) | Ejecución del contrato (art. 6.1.b) |
| Almacenamiento de archivos adjuntos | Ejecución del contrato (art. 6.1.b) |
| Visualización cartográfica (Google Maps) | Ejecución del contrato (art. 6.1.b) |
| Notificaciones push (Firebase) | Interés legítimo (art. 6.1.f) — informar en tiempo real de los eventos de mantenimiento. Desactivable en los ajustes. |
| Facturación y suscripciones (Stripe) | Obligación legal (art. 6.1.c) y ejecución del contrato (art. 6.1.b) |
| Soporte al cliente (Gleap) | Interés legítimo (art. 6.1.f) — mejorar el servicio y resolver incidencias |
| Seguridad y prevención del fraude | Interés legítimo (art. 6.1.f) |
| Estadísticas y mejora del servicio | Interés legítimo (art. 6.1.f) |
| Cumplimiento de las obligaciones legales | Obligación legal (art. 6.1.c) |
Brifay no realiza ningún perfilado ni toma decisiones automatizadas que produzcan efectos jurídicos sobre los usuarios.
4. Destinatarios y encargados del tratamiento
Sus datos nunca se venden a terceros. Solo se comparten con los siguientes encargados del tratamiento, contractualmente obligados a tratarlos únicamente conforme a las instrucciones de Brifay:
Encargados «producto» (aplicación Brifay)
| Encargado del tratamiento | Función | Localización | Garantías |
|---|---|---|---|
| Supabase | Base de datos, autenticación, almacenamiento de archivos, Edge Functions | Unión Europea | DPA, cifrado AES-256 |
| Firebase / FCM (Google) | Notificaciones push móviles | EE. UU. / global | EU-US Data Privacy Framework, ISO 27001 |
| Stripe | Pagos y suscripciones | UE / EE. UU. | PCI-DSS nivel 1, DPA |
| Pennylane | Facturación con IVA (sincronización con Stripe) | Francia (UE) | DPA, cumplimiento contable francés |
| EmailIt | Emails transaccionales de producto (desde brifay.com) | UE | DPA |
| Gleap | Soporte al cliente, informes de errores | Austria (UE) | RGPD nativo, DPO designado |
| Sentry | Observabilidad de errores en las Edge Functions | EE. UU. | Cláusulas contractuales tipo (SCC), seudonimización |
| Google Maps | Visualización cartográfica | EE. UU. / global | EU-US Data Privacy Framework |
Encargados «sitio y adquisición» (sitio vitrina + emails de marketing warm)
| Encargado del tratamiento | Función | Localización | Garantías |
|---|---|---|---|
| Cloudflare (DNS, Turnstile, Stream, Web Analytics) | DNS de los dominios brifay.com y usebrifay.com, anti-bot invisible de los formularios, alojamiento y firma del vídeo de demostración, estadísticas de audiencia anónimas del sitio | Global (edge UE prioritario) | SCC, DPA, alojamiento edge UE por defecto |
| Acumbamail | Emails de marketing warm únicamente (previo consentimiento explícito) desde usebrifay.com | España (UE) | DPA, opt-out de 1 clic, SPF/DKIM/DMARC |
| PostHog | Analítica de producto y de sitio (funnels, identificación posterior a la captura), cookie first-party únicamente, sin cookies de terceros | UE (instancia EU) | DPA, hashing de IP, anonimización por defecto |
| RADAAR | Publicación programada de contenidos de marca en LinkedIn / YouTube / X / Google Business Profile | EE. UU. | SCC; solo trata contenidos públicos |
| Google Workspace | Buzón colaborativo [email protected] (recepción de respuestas por email), agenda de reserva de citas en FR | UE / EE. UU. | EU-US Data Privacy Framework, DPA |
Encargados «prospección cold» (solo si está activada)
Los siguientes encargados del tratamiento solo intervienen para la prospección B2B saliente (cold email), sobre la base jurídica del interés legítimo (LIA documentada), con opt-out de 1 clic (List-Unsubscribe) sistemático. Por ellos no transita ningún dato «producto» de cliente.
| Encargado del tratamiento | Función | Localización | Garantías |
|---|---|---|---|
| Apify / Outscraper | Sourcing de empresas (únicamente fuentes públicas, nunca LinkedIn) | UE / global | SCC, fuentes públicas |
| Dropcontact (o Pharow) | Enriquecimiento profesional nominativo conforme al RGPD (B2B únicamente) | Francia (UE) | DPA, RGPD by design |
| Smartlead | Envío de emails cold desde usebrifay.com (buzones dedicados, aislados del envío warm) | EE. UU. | SCC, opt-out de 1 clic |
Dentro de Brifay, únicamente las personas habilitadas (soporte técnico, dirección) acceden a los datos en el límite de sus funciones.
Aislamiento multi-tenant
Cada organización que utiliza Brifay dispone de un espacio aislado. Un usuario solo puede acceder a los datos de la organización a la que pertenece.
5. Transferencias fuera de la Unión Europea
Algunos de nuestros encargados del tratamiento (Firebase/Google, Stripe, Cloudflare, Sentry, RADAAR, Google Workspace y —si la prospección cold está activada— Smartlead) pueden tratar datos en los Estados Unidos. Estas transferencias se enmarcan en:
- El EU-US Data Privacy Framework (decisión de adecuación de la Comisión Europea)
- Las Cláusulas contractuales tipo (SCC) de la Comisión Europea
- Medidas técnicas adicionales (cifrado de extremo a extremo, seudonimización)
Su base de datos principal (Supabase) está alojada en la Unión Europea. Puede obtener una copia de las garantías de transferencia contactando con [email protected].
6. Plazos de conservación
Sus datos se conservan siguiendo las recomendaciones de la autoridad de control competente (ciclo en tres fases: base activa, archivo intermedio, supresión):
| Dato | Conservación activa | Archivo |
|---|---|---|
| Cuenta de usuario | Duración de la relación contractual | 3 años tras la última actividad |
| Datos de mantenimiento | Duración del contrato | 5 años tras el fin del contrato |
| Mensajes internos | Duración del contrato | 1 año tras el cierre de la solicitud |
| Archivos adjuntos | Duración del contrato | Eliminados con la cuenta |
| Datos de facturación | Duración del contrato | 10 años (obligación legal) |
| Logs técnicos | 1 año | — |
| Cookies | 13 meses máximo | — |
Al término de estos plazos, los datos se suprimen o se anonimizan de forma irreversible. Puede solicitar una supresión anticipada, salvo obligaciones legales en contrario.
7. Sus derechos
De conformidad con el RGPD y la normativa nacional aplicable, dispone de los siguientes derechos:
| Derecho | Descripción |
|---|---|
| Acceso (art. 15) | Obtener la confirmación de que sus datos son objeto de tratamiento y recibir una copia de los mismos |
| Rectificación (art. 16) | Corregir o completar sus datos inexactos o incompletos |
| Supresión (art. 17) | Solicitar la supresión de sus datos («derecho al olvido») |
| Limitación (art. 18) | Suspender temporalmente el tratamiento de sus datos |
| Portabilidad (art. 20) | Recibir sus datos en un formato estructurado y legible (CSV, JSON) |
| Oposición (art. 21) | Oponerse al tratamiento basado en el interés legítimo |
| Retirada del consentimiento (art. 7) | Retirar su consentimiento en cualquier momento, sin que ello afecte al tratamiento anterior |
| Instrucciones post mortem | Definir instrucciones sobre el destino de sus datos tras su fallecimiento (cuando proceda con arreglo al derecho aplicable) |
Cómo ejercer sus derechos
- Por email: [email protected]
- A través de la página: Eliminar mi cuenta
Respondemos en un plazo de un mes (prorrogable dos meses para las solicitudes complejas). Puede solicitarse una verificación de identidad.
Reclamación ante una autoridad de control
Si considera que el tratamiento de sus datos no respeta la normativa, puede presentar una reclamación ante la autoridad de control competente. En España, dicha autoridad es la Agencia Española de Protección de Datos (AEPD); en Francia, la CNIL.
Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6
28001 Madrid (España)
www.aepd.es
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715
75334 París Cedex 07 (Francia)
www.cnil.fr
8. Cookies y rastreadores
Cookies estrictamente necesarias
Estas cookies son indispensables para el funcionamiento del servicio y no requieren su consentimiento:
- Supabase Auth — sesión de autenticación, tokens de seguridad
- Stripe — seguridad de las transacciones y prevención del fraude
Cookies sujetas a consentimiento
- Firebase Analytics — medición de audiencia y mejora del servicio (duración: 13 meses máx.)
- Google Maps — visualización de mapas interactivos
- Gleap — soporte técnico y retorno de usuario
Gestionar sus preferencias
Puede modificar sus preferencias en materia de cookies en cualquier momento mediante los ajustes de su navegador. El rechazo de las cookies no esenciales no bloquea el acceso al servicio.
9. Seguridad de los datos
Brifay aplica medidas técnicas y organizativas para proteger sus datos conforme al artículo 32 del RGPD:
Medidas técnicas
- Cifrado de los datos en tránsito (TLS/HTTPS)
- Cifrado de los datos en reposo (AES-256)
- Hash de las contraseñas (bcrypt)
- Autenticación mediante tokens JWT
- Copias de seguridad automáticas y regulares
- Registro de los accesos (audit logs)
- Alojamiento en centros certificados SOC 2 e ISO 27001
Medidas organizativas
- Acceso limitado al personal estrictamente necesario (principio del menor privilegio)
- Política de contraseñas robustas
- Procedimientos de gestión de incidentes de seguridad
En caso de violación
En caso de violación de datos, Brifay notifica a la autoridad de control competente en un plazo de 72 horas (art. 33 RGPD) e informa a las personas afectadas si el riesgo es elevado (art. 34 RGPD).
10. Protección de los menores
Brifay es un servicio profesional dirigido a empresas y administraciones públicas (B2B). El servicio no está destinado a personas menores de 16 años. No se recogen datos de menores de forma intencionada.
11. Modificaciones de la política
Brifay puede actualizar la presente política de privacidad. En caso de modificación sustancial, le informaremos por email o mediante notificación en la aplicación. La fecha de la última actualización se indica en el encabezado de esta página.
La presente política se rige por el derecho francés, sin perjuicio de las disposiciones imperativas aplicables a los consumidores y de los derechos reconocidos por la normativa europea y española de protección de datos. En caso de litigio, los tribunales franceses son competentes, sin perjuicio de las acciones que el usuario pueda ejercer ante las autoridades y tribunales de su lugar de residencia habitual.
12. Contacto
Para cualquier consulta relativa a la protección de sus datos:
- Email: [email protected]
- Formulario: Página de contacto