Política de Privacidad
Última actualización: 18 de mayo de 2026 · Versión: 2.0
ARIA Analyst se compromete a proteger la privacidad de las personas que utilizan la Plataforma, de conformidad con el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y demás normativa de aplicación. Esta política describe qué datos tratamos, con qué finalidad, sobre qué base legal, con quién los compartimos, durante cuánto tiempo y qué derechos te asisten.
Este documento se redacta originalmente en español. Las versiones en otros idiomas son traducciones de cortesía; en caso de discrepancia, prevalecerá la versión española.
1. Responsable del tratamiento
El responsable del tratamiento es ARIA Analyst (en adelante "ARIA"), titular del dominio ariaanalyst.pro y de la Plataforma accesible en dicho sitio.
Contacto en materia de protección de datos: [email protected]. Para cualquier comunicación general sobre privacidad puedes escribir a [email protected].
Si necesitas los datos registrales completos del responsable (nombre o razón social, NIF/CIF y domicilio fiscal) — por ejemplo, para una notificación postal o una reclamación formal — solicítalos por escrito a [email protected] y te los facilitaremos en un plazo máximo de cinco días hábiles.
2. Datos que tratamos
Tratamos únicamente los datos estrictamente necesarios para prestar el servicio. Las categorías principales son:
- Datos identificativos y de cuenta: nombre o alias, dirección de correo electrónico, contraseña almacenada con hash bcrypt y, opcionalmente, factor TOTP de doble autenticación.
- Datos de uso del servicio: análisis ejecutados, watchlists, alertas, preferencias de interfaz, idioma y zona horaria, historial de conversaciones con el asistente.
- Datos técnicos: dirección IP, agente de usuario, sistema operativo, marcas temporales de acceso y logs de seguridad necesarios para detectar abuso.
- Datos de facturación: los pagos se procesan íntegramente por Stripe. ARIA no almacena ni accede al número completo de tarjeta; recibimos únicamente identificadores de transacción, los últimos cuatro dígitos y la marca, a efectos de facturación y soporte.
- Datos de bróker (opcional): si conectas voluntariamente una cuenta de bróker (p. ej. Alpaca), almacenamos las credenciales API cifradas con Fernet, junto con tus órdenes, ejecuciones y posiciones, exclusivamente para mostrarte y gestionar la operativa.
- Datos del asistente conversacional: el contenido de tus mensajes al chat se procesa por un modelo de lenguaje para generar respuestas. Se almacena de forma asociada a tu cuenta para mantener el contexto de la conversación; puedes eliminarlo en cualquier momento desde la propia interfaz.
3. Finalidades y bases legales
Cada finalidad tiene asignada una base legal específica conforme al artículo 6 RGPD:
| Finalidad | Descripción | Base legal |
|---|---|---|
| Prestación del servicio | Ejecutar análisis, generar scores y veredictos, mostrar gráficos, mantener watchlists, alertas, portfolio y operativa con bróker conectado. | Ejecución del contrato (art. 6.1.b RGPD). |
| Gestión de cuenta y suscripción | Alta, autenticación, facturación, renovaciones y cancelaciones, soporte al usuario. | Ejecución del contrato (art. 6.1.b RGPD). |
| Comunicaciones transaccionales | Emails imprescindibles del servicio: bienvenida, restablecimiento de contraseña, aviso de nuevo inicio de sesión, recibos, cambios contractuales. | Ejecución del contrato e interés legítimo en la seguridad (art. 6.1.b y 6.1.f RGPD). |
| Comunicaciones comerciales | Boletín, novedades de producto, campañas de marketing. | Consentimiento revocable en cualquier momento (art. 6.1.a RGPD). |
| Mejora del servicio | Análisis estadístico agregado del uso, métricas de calidad de los modelos, detección de incidencias. | Interés legítimo (art. 6.1.f RGPD), ponderado y documentado. |
| Seguridad y prevención de fraude | Logs, rate limiting, detección de comportamiento anómalo, protección frente a abuso. | Interés legítimo y obligación legal (art. 6.1.f y 6.1.c RGPD). |
| Cumplimiento legal y contable | Conservación de facturas y registros conforme a la normativa fiscal y mercantil. | Obligación legal (art. 6.1.c RGPD). |
4. Decisiones automatizadas y elaboración de perfiles
ARIA genera de forma automatizada puntuaciones (0-100), veredictos (STRONG_BUY, BUY, HOLD, SELL, DO_NOT_TRADE), tesis de inversión, sugerencias de tamaño de posición y alertas. La lógica combina: (i) un scorer determinista por clase de activo basado en seis dimensiones ponderadas (fundamental, técnico, valoración, sentimiento, calidad y macro); (ii) un ensemble de modelos de aprendizaje automático estratificado por régimen de mercado y horizonte temporal, calibrado isotónicamente; (iii) agentes especializados de búsqueda profunda; y (iv) un sintetizador que integra todas las señales.
Estas decisiones automatizadas son meramente informativas y no producen efectos jurídicos ni significativamente similares sobre tu persona en el sentido del artículo 22.1 RGPD: ARIA no concede crédito, no contrata seguros, no decide la admisión a empleo ni adopta decisiones equivalentes. Ninguna orden de mercado se ejecuta en tu nombre sin tu acción explícita en la interfaz.
Aun así, y por transparencia, te asiste el derecho a: (a) recibir información sobre la lógica aplicada en cada análisis (sección "Metodología" de cada informe y página /about/methodology); (b) solicitar revisión humana de cualquier resultado escribiendo a [email protected]; (c) expresar tu punto de vista e impugnar la decisión.
Ningún resultado de ARIA constituye asesoramiento financiero, fiscal o legal. Las decisiones de inversión son siempre del usuario.
5. Destinatarios y sub-procesadores
Para prestar el servicio recurrimos a los siguientes encargados del tratamiento, vinculados por contrato y con obligaciones equivalentes a las nuestras en materia de seguridad y confidencialidad:
| Proveedor | Finalidad | País | Mecanismo de garantía |
|---|---|---|---|
| Hetzner Online GmbH | Hosting de infraestructura, base de datos y almacenamiento | Alemania (EEE) | Tratamiento dentro del EEE. |
| Cloudflare, Inc. | CDN, WAF, mitigación DDoS, terminación TLS | EE. UU. con presencia UE | Cláusulas Contractuales Tipo (CCT 2021) y adhesión al EU-US Data Privacy Framework. |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos y suscripciones | Irlanda (EEE) / EE. UU. | Contrato dentro del EEE; CCT y DPF para flujos a EE. UU. |
| Resend, Inc. | Envío de correos electrónicos transaccionales | EE. UU. | Cláusulas Contractuales Tipo. |
| Alpaca Securities LLC | Datos y ejecución de órdenes de bróker (solo si conectas cuenta voluntariamente) | EE. UU. | Cláusulas Contractuales Tipo; relación contractual directa entre el usuario y el bróker. |
| Anthropic, PBC | Procesamiento de lenguaje natural para el asistente y la generación de tesis | EE. UU. | Cláusulas Contractuales Tipo; no se utilizan los datos para entrenar modelos. |
| Proveedores de datos financieros y de noticias | yfinance, Alpha Vantage, NewsAPI, SEC EDGAR, USPTO, SerpAPI | EE. UU. y UE | Se consultan únicamente datos públicos del mercado; no se transmiten datos personales del usuario. |
ARIA no vende, alquila ni cede tus datos personales a terceros con fines publicitarios. Solo se comunican a autoridades competentes cuando exista obligación legal.
6. Transferencias internacionales
Algunos de los encargados anteriores tratan datos fuera del Espacio Económico Europeo, principalmente en Estados Unidos. En todos los casos aplicamos las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea en 2021 y, cuando el proveedor está adherido, el marco EU-US Data Privacy Framework. Aplicamos además medidas adicionales (cifrado en tránsito y en reposo, minimización de datos, pseudonimización cuando es posible) tal y como exige la jurisprudencia Schrems II.
7. Plazos de conservación
Conservamos cada categoría de datos durante el tiempo estrictamente necesario para su finalidad y, después, durante los plazos legales aplicables:
| Categoría | Plazo | Fundamento |
|---|---|---|
| Datos de cuenta y uso del servicio | Mientras la cuenta esté activa + 30 días tras la baja | Ejecución del contrato; ventana de reactivación. |
| Logs de acceso y seguridad | 12 meses | Interés legítimo en seguridad (art. 6.1.f RGPD). |
| Datos de facturación y contables | 6 años | Código de Comercio art. 30 y Ley General Tributaria art. 66. |
| Datos del asistente conversacional | Hasta que el usuario los elimine; 90 días en backups | Control del usuario sobre su contexto. |
| Datos de bróker conectado | Mientras la conexión esté activa; órdenes históricas hasta 5 años | Obligaciones de trazabilidad financiera. |
| Tokens de sesión y de refresco | Hasta 30 días | Mantenimiento de la sesión. |
8. Tus derechos
Te asisten los siguientes derechos en relación con tus datos personales:
- Acceso: obtener confirmación de qué datos tuyos tratamos y una copia de los mismos.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión: solicitar la eliminación cuando ya no sean necesarios o retires el consentimiento.
- Limitación: pedir que se restrinja el tratamiento mientras se resuelve una incidencia.
- Oposición: oponerte al tratamiento basado en interés legítimo o en marketing directo.
- Portabilidad: recibir tus datos en formato estructurado, de uso común y lectura mecánica.
- Retirada del consentimiento: cuando el tratamiento se base en él, en cualquier momento y sin efectos retroactivos.
- Revisión humana de decisiones automatizadas: solicitar intervención humana, expresar tu punto de vista e impugnar el resultado.
- No ser objeto de discriminación por ejercer cualquiera de los derechos anteriores.
Para ejercerlos, escribe a [email protected] identificándote con un medio razonable (por ejemplo, desde el email asociado a tu cuenta). Atenderemos tu solicitud en el plazo máximo de un mes, prorrogable dos meses adicionales en peticiones especialmente complejas. Dispones además de las funciones de exportación y eliminación de cuenta directamente desde tu perfil (/account/export y /account/delete).
9. Seguridad
Aplicamos medidas técnicas y organizativas proporcionadas al riesgo: cifrado TLS en tránsito y AES-256 en reposo, almacenamiento de contraseñas con bcrypt (12 rondas), credenciales de bróker cifradas con Fernet, doble factor opcional con TOTP, segmentación de red, control de accesos basado en roles, registro de auditoría inmutable, copias de seguridad cifradas y revisiones periódicas de seguridad. En caso de violación de seguridad que entrañe riesgo alto, notificaremos a la AEPD en 72 horas y a los afectados sin dilación indebida, conforme a los artículos 33 y 34 RGPD.
10. Menores de edad
ARIA está dirigida exclusivamente a personas mayores de 18 años. No tratamos conscientemente datos de menores. Si tienes conocimiento de que un menor ha creado una cuenta, comunícalo a [email protected] y procederemos a su eliminación inmediata.
11. Cookies
Utilizamos exclusivamente cookies técnicas esenciales para mantener la sesión y recordar tu idioma. No empleamos cookies publicitarias ni de seguimiento de terceros. Para el detalle completo, consulta nuestra Política de Cookies.
12. Cambios en esta política
Podemos actualizar esta política para reflejar cambios legales, técnicos o de servicio. La versión vigente es siempre la publicada en esta página, con su fecha de última actualización. Si los cambios son sustanciales, te lo comunicaremos por email o mediante aviso destacado en la Plataforma con antelación razonable antes de su entrada en vigor.
13. Reclamaciones ante la autoridad de control
Si consideras que el tratamiento de tus datos vulnera la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (C/ Jorge Juan 6, 28001 Madrid, www.aepd.es) o ante la autoridad de control de tu país de residencia. Te agradecemos que, con carácter previo, nos lo comuniques en [email protected] para intentar resolverlo.