Acuerdo de Procesamiento de Datos (DPA)

1. Partes

Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre el usuario del servicio ("Controlador de Datos") y AuraMetrics.io ("Procesador de Datos"), operado por su propietario con domicilio de contacto en hello@aurametrics.io. Este DPA complementa los Términos de Servicio y la Política de Privacidad de AuraMetrics.io.

2. Definiciones

"Datos Personales" se refiere a cualquier información relativa a una persona física identificada o identificable, según lo definido en el artículo 4 del GDPR. "Procesamiento" incluye cualquier operación realizada sobre datos personales, incluyendo recopilación, almacenamiento, uso, transmisión y eliminación. "Subprocesador" se refiere a cualquier tercero contratado por el Procesador para asistir en el procesamiento de datos personales.

3. Alcance del procesamiento

AuraMetrics.io procesa datos personales exclusivamente para proporcionar los servicios contratados por el usuario. Los datos procesados incluyen:

• Dirección de email (autenticación via Google OAuth)
• Nombre y foto de perfil (de la cuenta Google)
• Datos de Google Analytics 4 (acceso de solo lectura, procesados temporalmente y no almacenados como datos crudos de forma permanente)
• URLs y dominios analizados por los módulos
• Historial de auditorías generado por los módulos

No procesamos datos sensibles, datos de menores, ni datos biométricos. No vendemos, compartimos ni utilizamos datos personales para publicidad.

3b. Uso de datos de Google Analytics

AuraMetrics.io accede a datos de Google Analytics 4 utilizando permisos de solo lectura para proporcionar funcionalidades de analytics y reportes dentro de la plataforma.

Estos datos se utilizan exclusivamente para:

• Analizar el tracking de eventos y su configuracion (Auditoria de Calidad de Datos)
• Detectar problemas como eventos faltantes, conversiones duplicadas o inconsistencias
• Generar reportes y almacenar resultados de auditoria dentro de la cuenta del usuario
• Identificar y medir fuentes de trafico, incluyendo trafico generado por IA (modulo AI Traffic)
• Mostrar metricas agregadas como sesiones, conversiones e ingresos dentro de los dashboards

AuraMetrics.io puede almacenar datos procesados y derivados (como resultados de auditorias, problemas detectados y metricas resumidas) para proporcionar funcionalidades de reportes e insights historicos.

AuraMetrics.io no almacena datos crudos de Google Analytics de forma permanente. Cualquier cache temporal se utiliza unicamente para mostrar datos en el dashboard y se elimina en un tiempo limitado.

Restricciones de uso y comparticion de datos

• AuraMetrics.io no vende, comparte ni divulga datos de Google Analytics ni datos derivados a terceros.
• Los datos del usuario se utilizan unicamente para proporcionar la funcionalidad de la plataforma y generar insights para el usuario.
• AuraMetrics.io no utiliza datos de usuario de Google para publicidad, perfilamiento ni reventa.

Control del usuario y eliminacion de datos

Los usuarios mantienen control total sobre sus datos. Los usuarios pueden:

• Desconectar su cuenta de Google en cualquier momento
• Revocar el acceso a traves de la Configuracion de Seguridad de Google
• Solicitar la eliminacion de sus datos almacenados en AuraMetrics

Al eliminar la cuenta, todos los datos asociados (incluyendo historial de auditorias y reportes procesados) se eliminan permanentemente dentro de un periodo definido.

4. Base legal del procesamiento

El procesamiento se basa en: (a) la ejecución del contrato de servicio (Art. 6(1)(b) GDPR), (b) el consentimiento explícito del usuario al conectar su cuenta Google (Art. 6(1)(a) GDPR), y (c) interés legítimo para mejorar el servicio y prevenir fraude (Art. 6(1)(f) GDPR).

5. Obligaciones del Procesador

AuraMetrics.io se compromete a:

• Procesar datos personales solo según las instrucciones documentadas del Controlador
• Garantizar que las personas autorizadas para procesar datos se comprometan a la confidencialidad
• Implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad del procesamiento (Art. 32 GDPR)
• No subcontratar sin autorización previa (ver lista de subprocesadores)
• Asistir al Controlador en responder solicitudes de derechos de los interesados
• Notificar al Controlador de cualquier violación de datos dentro de las 72 horas
• Eliminar o devolver todos los datos personales al finalizar el servicio

6. Medidas de seguridad

AuraMetrics.io implementa las siguientes medidas:

• Cifrado en tránsito (TLS/HTTPS en todas las conexiones)
• Cifrado en reposo (Supabase con cifrado AES-256)
• Autenticación OAuth 2.0 (sin almacenamiento de contraseñas)
• Tokens de acceso Google con refresh automático y alcance de solo lectura
• Row Level Security (RLS) en base de datos - cada usuario solo ve sus datos
• Sin almacenamiento de datos de tarjetas de crédito (procesado por PayPal)
• Monitoreo de acceso y logs de auditoría

7. Subprocesadores

AuraMetrics.io utiliza los siguientes subprocesadores para proveer el servicio. La lista completa y actualizada está disponible en nuestra página de Subprocesadores.

Ver lista de subprocesadores →

8. Transferencias internacionales de datos

Los datos pueden ser transferidos fuera del Espacio Económico Europeo (EEE) a servidores de nuestros subprocesadores en Estados Unidos. Estas transferencias se realizan bajo: (a) Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea, (b) el EU-U.S. Data Privacy Framework cuando aplique, y (c) medidas de seguridad adicionales descritas en la Sección 6.

9. Derechos de los interesados

Los usuarios tienen derecho a acceder, rectificar, eliminar, portar y restringir el procesamiento de sus datos personales conforme a los artículos 15-22 del GDPR. Para ejercer estos derechos, contactar a: hello@aurametrics.io. Responderemos dentro de los 30 días.

Para solicitar la eliminación completa de su cuenta y datos: enviar email a hello@aurametrics.io con asunto "Solicitud de eliminación de datos" desde el email asociado a su cuenta.

10. Retención de datos

Los datos personales se retienen mientras la cuenta del usuario esté activa. El historial de auditorías se retiene por 12 meses. Tras la eliminación de la cuenta, todos los datos personales se eliminan dentro de los 30 días. Los logs de sistema anonimizados pueden retenerse hasta 90 días por motivos de seguridad.

11. Notificación de violación de datos

En caso de una violación de seguridad que afecte datos personales, AuraMetrics.io notificará al Controlador de Datos dentro de las 72 horas de tener conocimiento de la violación, incluyendo: naturaleza de la violación, categorías y número de interesados afectados, consecuencias probables, y medidas adoptadas o propuestas.

12. Vigencia y terminación

Este DPA entra en vigor cuando el usuario crea una cuenta y permanece vigente mientras use el servicio. Tras la terminación, AuraMetrics.io eliminará todos los datos personales conforme a la Sección 10, salvo que la ley exija su retención.

13. Contacto

Para consultas relacionadas con este DPA o protección de datos:

Email: hello@aurametrics.io