Política de Privacidad / Privacy Policy

1) Identidad del responsable

Responsable: [Nombre o razón social] — [NIF/CIF]

Domicilio: [Dirección postal completa]

Correo electrónico: [email@dominio.tld]

Delegado/a de Protección de Datos (si aplica): [Nombre y contacto]

2) Finalidades, bases jurídicas y categorías de datos

2.1 Análisis de correos .eml

• Finalidad: procesar el contenido del archivo .eml para calcular una probabilidad de phishing y mostrarte el resultado.
• Base jurídica: ejecución de un contrato o medidas precontractuales (art. 6.1.b RGPD); en su caso, tu consentimiento (art. 6.1.a RGPD).
• Datos tratados de forma efímera: cabeceras, cuerpo y metadatos del correo, y señales técnicas derivadas del análisis. No guardamos adjuntos, ni sus hash, ni enlaces, ni el resultado del análisis.
• Decisiones automatizadas: el resultado es informativo y no produce efectos jurídicos ni te afecta significativamente de modo similar.

2.2 Formularios de contacto y gestión comercial

• Finalidad: responder a tus solicitudes de información sobre nuestros servicios de ciberseguridad.
• Base jurídica: consentimiento (art. 6.1.a) y/o ejecución de medidas precontractuales (art. 6.1.b). En comunicaciones B2B estrictamente relacionadas, posible interés legítimo (art. 6.1.f).
• Datos: nombre, empresa, correo, teléfono y mensaje.

2.3 Seguridad y operativa de la web

• Finalidad: mantener la seguridad y prevenir fraudes/abusos (p. ej., registros de servidor con IP, marca temporal, user-agent).
• Base jurídica: interés legítimo en la seguridad de redes y sistemas (art. 6.1.f RGPD; Considerando 49).

3) Tratamiento efímero (sin conservación)

El contenido del .eml se procesa en memoria exclusivamente para devolverte la probabilidad de phishing y se descarta inmediatamente. No mantenemos repositorios ni históricos, ni usamos esos contenidos para entrenar modelos u otros fines.

4) Destinatarios y encargados

• No cedemos datos a terceros para fines propios.
• Podemos apoyarnos en proveedores como encargados del tratamiento (alojamiento, seguridad, soporte). Formalizamos contratos conforme al art. 28 RGPD y exigimos garantías de confidencialidad y seguridad.
• Comunicaremos datos cuando exista obligación legal o requerimiento de autoridades competentes.

5) Transferencias internacionales

Nuestra infraestructura puede estar en el EEE, pero tu proveedor de alojamiento podría estar fuera de la UE/EEE (p. ej., en [país]). Cuando una transferencia sea necesaria, aplicaremos:

• Decisiones de adecuación de la Comisión Europea (p. ej., EU-U.S. Data Privacy Framework para destinatarios estadounidenses certificados).
• Cláusulas Contractuales Tipo (Decisión (UE) 2021/914), con medidas complementarias cuando proceda.
• Para datos del Reino Unido, la extensión UK-U.S. Data Bridge si aplica.

Limitamos las transferencias a lo necesario, evaluamos la protección y documentamos las garantías aplicables.

6) Plazos de conservación

• Archivos .eml y resultados: no se conservan (tratamiento efímero).
• Formularios/consultas: mientras gestionamos tu solicitud y, si procede, durante la relación pre/contractual o hasta que retires tu consentimiento.
• Registros técnicos de seguridad: por el tiempo estrictamente necesario [p. ej., 30–90 días], salvo obligación legal distinta.

7) Derechos

Puedes ejercer acceso, rectificación, supresión, oposición, limitación y portabilidad, y a no ser objeto de decisiones individuales automatizadas, escribiendo a [email@dominio.tld] y acreditando tu identidad. Si la base es el consentimiento, puedes retirarlo en cualquier momento.

Si no estás conforme, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD) en aepd.es.

8) Cookies

No utilizamos cookies propias ni de terceros para analítica, publicidad o seguimiento. Si esto cambia, te informaremos y recabaremos tu consentimiento previamente.

9) Seguridad

• Cifrado en tránsito (HTTPS/TLS).
• Procesamiento en memoria y descarte inmediato del contenido analizado.
• Minimización de datos: sin repositorios de correos ni perfiles persistentes.
• Controles de acceso, desarrollo seguro y gestión de vulnerabilidades.
• Registros técnicos proporcionales para detección de abusos.

10) Menores

El servicio no está dirigido a menores de 14 años. Si detectamos tratamiento de datos de menores sin autorización, adoptaremos medidas razonables para su eliminación.

11) Cambios

Podremos actualizar esta Política para reflejar cambios legales, técnicos o del servicio. Publicaremos la versión vigente con su fecha.

12) Contacto

Email: [email@dominio.tld] — Dirección postal: [Dirección completa]

Si subes correos con datos de terceros, declaras tener una base jurídica válida para ello. Check4Phish actúa como responsable de las operaciones descritas.

1) Identity of the Controller

Controller: [Legal name] — [Tax ID]

Address: [Full postal address]

Email: [email@domain.tld]

Data Protection Officer (if applicable): [Name & contact]

2) Purposes, Legal Bases & Data Categories

2.1 .eml Analysis

• Purpose: process your .eml to compute a phishing probability and display the result.
• Legal basis: performance of a contract or pre-contractual steps (Art. 6(1)(b) GDPR); and, where applicable, your consent (Art. 6(1)(a)).
• Data processed ephemerally: headers, body and metadata, plus derived technical signals. We do not store attachments, their hashes, URLs, or the analysis result.
• Automated decision-making: informative only; no legal effects nor similarly significant impacts.

2.2 Contact/Business Enquiries

• Purpose: to respond to enquiries about our cybersecurity services.
• Legal basis: consent (Art. 6(1)(a)) and/or pre-contractual steps (Art. 6(1)(b)); for strictly related B2B outreach, legitimate interests (Art. 6(1)(f)).
• Data: name, company, email, phone, and your message.

2.3 Website Security & Operation

• Purpose: to keep our service secure and prevent abuse (e.g., server logs containing IP address, timestamp, user-agent).
• Legal basis: our legitimate interests in network and information security (Art. 6(1)(f) GDPR; Recital 49).

3) Ephemeral Processing (no retention)

We process the .eml content in memory only to return the phishing probability and then immediately discard it. We do not maintain repositories, historical records, or use such content to train models or for any secondary purpose.

4) Recipients & Processors

• No disclosures for third-party purposes.
• We may engage processors (hosting, security, support) under Article 28 GDPR with appropriate contractual and security safeguards.
• We may disclose data where required by law or by competent authorities.

5) International Transfers

Our infrastructure may be in the EEA, but your hosting provider may be outside the EU/EEA (e.g., in [country]). Where a transfer is necessary, we rely on:

• Adequacy decisions (e.g., the EU-U.S. Data Privacy Framework for certified U.S. recipients).
• Standard Contractual Clauses (Commission Decision (EU) 2021/914), plus supplementary measures where appropriate.
• For UK personal data, the UK-U.S. Data Bridge where applicable.

We limit transfers to what is necessary, assess protections, and document applicable safeguards.

6) Retention Periods

• .eml files & results: not retained (ephemeral processing).
• Enquiries: as long as needed to respond and, if applicable, during pre/contractual relations or until consent is withdrawn.
• Security logs: retained only as strictly necessary [e.g., 30–90 days], unless a different legal obligation applies.

7) Your Rights

You may exercise rights of access, rectification, erasure, objection, restriction, portability, and not to be subject to solely automated decisions by emailing [email@domain.tld]. Where processing relies on consent, you may withdraw it at any time.

EEA residents may lodge a complaint with their supervisory authority. In Spain, the AEPD (aepd.es).

8) Cookies

We do not use cookies (first- or third-party) for analytics, advertising or tracking. If this changes, we will inform you and, where required, request your consent first.

9) Security

• TLS/HTTPS in transit.
• In-memory processing and immediate discard of analysed content.
• Data minimisation: no persistent profiles or email repositories.
• Access controls, secure development, vulnerability management.
• Proportionate technical logs for abuse detection.

10) Children

The service is not intended for children under 14. If we become aware of unauthorised processing of children’s data, we will take reasonable steps to delete it.

11) Changes

We may update this Policy to reflect legal, technical or service changes. We will post the current version with its effective date.

12) Contact

Email: [email@domain.tld] — Postal address: [Full address]

If you upload emails containing third-party personal data, you represent that you have a valid legal basis to do so. Check4Phish acts as the controller for the operations described.