Cumplimiento

RGPD y tratamiento de datos

Última actualización: 15 de abril de 2026 · En vigor: RGPD (UE) 2016/679

Esta página está dirigida a responsables de cumplimiento, equipos de compras y delegados de protección de datos que evalúan QRStandard como proveedor. Aquí explicamos nuestra arquitectura de residencia de datos, la lista de subencargados, la conformidad con el art. 28 y cómo solicitar un acuerdo de encargo de tratamiento (DPA).

Ubicación de datos
Alemania, UE
Responsable del tratamiento
Contenza K/S
Legislación aplicable
RGPD + derecho danés
DPA disponible
Sí — bajo solicitud

Responsable del tratamiento

Contenza K/S
CVR: 43349023 · NIF-UE: DK43349023
Dinamarca
Contacto: qrstandard.eu/contact

Contenza K/S es el responsable del tratamiento de todos los datos personales procesados a través de QRStandard. No designamos corresponsables del tratamiento. Cuando usted, como cliente empresarial, utiliza QRStandard para tratar datos personales de sus propios usuarios o clientes (p. ej., análisis de escaneos vinculados a personas identificables), actúa como responsable independiente y nosotros actuamos como su encargado del tratamiento conforme al art. 28 RGPD.

Residencia de datos

Todos los datos personales tratados por QRStandard se almacenan exclusivamente en servidores ubicados en Núremberg, Alemania, gestionados por Hetzner Online GmbH. No se transfieren datos personales fuera del Espacio Económico Europeo para su almacenamiento o tratamiento.

Esto significa:

  • Sus datos de cuenta, configuraciones de códigos QR y registros de redirección se almacenan en Alemania.
  • Los análisis de escaneos se procesan y almacenan en Alemania.
  • Las copias de seguridad se almacenan en la misma infraestructura en Alemania.
  • No se utilizan servicios en la nube estadounidenses (AWS, GCP, Azure) para datos personales.

Subencargados del tratamiento

Utilizamos los siguientes subencargados. Mantenemos acuerdos de encargo de tratamiento con cada uno de ellos conforme al art. 28(4) RGPD.

Encargado País Finalidad Mecanismo de transferencia
Hetzner Online GmbH Alemania Infraestructura de servidor, base de datos, almacenamiento de objetos EEE — sin transferencia
Stripe, Inc. EE. UU. Procesamiento de pagos y gestión de suscripciones Marco de Privacidad de Datos UE-EE. UU. + CCE
Resend, Inc. EE. UU. Correos electrónicos transaccionales (autenticación, confirmaciones de pago) Cláusulas contractuales estándar (art. 46(2)(c))

Informamos a los clientes sobre cambios sustanciales en nuestra lista de subencargados con al menos 14 días de preaviso, con la posibilidad de oponerse antes de que el cambio entre en vigor.

Qué datos tratamos en su nombre (art. 28)

Cuando utiliza QRStandard como cliente empresarial, tratamos las siguientes categorías de datos en su nombre:

  • Eventos de escaneo de códigos QR: Marca de tiempo, país aproximado (derivado de la IP, la IP no se almacena), tipo de dispositivo, URL de referencia. Estos datos pueden vincularse a personas cuando sus códigos QR se despliegan en contextos en los que el escaneador es identificable (p. ej., códigos relacionados con empleados o rutas de clientes autenticados).
  • URL de destino: Las URL a las que apuntan sus códigos QR, que usted proporciona y gestiona.
  • Entradas del registro de auditoría: Registros de quién cambió qué destino de código QR y cuándo, basados en las cuentas de usuario que gestiona dentro de nuestra plataforma.

Medidas técnicas y organizativas (MTO)

Implementamos las siguientes medidas para proteger los datos personales:

  • Cifrado en tránsito: Todas las conexiones utilizan TLS 1.2 o superior. Los certificados se gestionan automáticamente mediante Let's Encrypt.
  • Cifrado en reposo: Las copias de seguridad de la base de datos están cifradas. Los secretos de aplicación se almacenan en variables de entorno, no en el código fuente ni en el control de versiones.
  • Control de acceso: El acceso a la base de datos está restringido a los procesos de aplicación que se ejecutan en el mismo servidor. No se permite ningún acceso externo directo a la base de datos. El acceso administrativo al servidor requiere autenticación por clave SSH — las contraseñas están deshabilitadas.
  • Autenticación: Exclusivamente mediante enlace mágico — no se almacenan contraseñas. Los tokens de sesión están firmados criptográficamente, son de un solo uso y caducan a los 15 minutos.
  • Monitorización: El estado del sistema y las tasas de error se supervisan continuamente. Hay alertas configuradas para interrupciones del servicio y patrones de error inusuales.
  • Minimización de datos: No almacenamos direcciones IP de los escaneos de códigos QR. El país se deriva de la IP y la IP se elimina inmediatamente.
  • Plazos de conservación: Los eventos de escaneo se eliminan tras 24 meses. Los registros de servidor se eliminan tras 30 días. Los tokens de sesión caducan tras 30 días.

Sus derechos como interesado

Los detalles completos sobre los derechos de los interesados están disponibles en nuestra Política de privacidad. Resumen:

  • Derecho de acceso (art. 15) — solicitar todos los datos almacenados sobre usted
  • Derecho de supresión (art. 17) — solicitar la eliminación de la cuenta y los datos
  • Derecho a la portabilidad (art. 20) — recibir los datos en formato JSON
  • Derecho de rectificación (art. 16) — corregir datos inexactos
  • Derecho de oposición (art. 21) — oponerse al tratamiento basado en interés legítimo

Contáctenos a través de nuestro formulario de contacto. Respuesta en 30 días. También puede presentar una reclamación ante la AEPD: aepd.es, o ante la Datatilsynet danesa: datatilsynet.dk · +45 33 19 32 00.

Contexto normativo de cumplimiento

QRStandard es infraestructura para los requisitos de etiquetado digital y trazabilidad de la UE. Nuestros clientes operan bajo normativas como el EU MDR/IVDR (2017/745+746), el Reglamento UE de Maquinaria (2023/1230), el Reglamento UE de Baterías (2023/1542) y los requisitos ESPR para Pasaportes de Producto Digitales. Entendemos que estos contextos implican datos sensibles de cadena de suministro y producto, y nuestra arquitectura de datos está diseñada en consecuencia.

Si su contexto normativo requiere acuerdos específicos de tratamiento de datos — como períodos de conservación de registros ampliados, formatos de exportación de auditoría personalizados o infraestructura dedicada — contáctenos para hablar sobre las opciones empresariales.

¿Necesita un acuerdo de encargo de tratamiento?

Proporcionamos un DPA estándar conforme al art. 28 a todos los suscriptores de pago bajo solicitud. Contáctenos y lo enviaremos en un plazo de 2 días hábiles.

Solicitar DPA →
Contacto de privacidad
Contenza K/S · CVR 43349023
Dinamarca