Carvoxcar/vox

Legal

Política de privacidad

Tratamos tus datos conforme al RGPD (UE 2016/679) y la LOPDGDD (Ley Orgánica 3/2018). Última actualización en mayo de 2026.

ATUALIZADO MAYO DE 2026

1. Responsable del tratamiento

Carvox Spain, S.L., con domicilio en Madrid, España, CIF [• insertar CIF •], es responsable del tratamiento de tus datos personales en virtud del RGPD. Delegado de Protección de Datos (DPD): dpd@carvox.es.

2. Qué datos recopilamos

  • Búsquedas y filtros: lo que se busca en el catálogo (de forma anónima; solo agregamos para estadísticas).
  • Cuenta de usuario (a través de Clerk): email, nombre, teléfono (opcional), foto de avatar opcional.
  • Lead de contacto: al contactar con un vendedor — nombre, teléfono, email, mensaje opcional, hash de IP, user agent (anti-spam).
  • Conversaciones con Vox: prompts y respuestas; los identificadores personales se anonimizan a los 30 días.
  • Pagos (a través de Stripe): los datos de facturación/tarjeta los guarda Stripe (con mandato off-session si el usuario activa la recarga automática). Carvox solo almacena el identificador Stripe (customer_id, payment_method_id) — no vemos el número de tarjeta.
  • KYB (solo concesionarios): CIF, autorización DGT, domicilio fiscal. Validados manualmente.
  • Cookies: ver sección 7.

3. Finalidades y bases legales

FinalidadBase legal
Permitir el uso de la plataforma (sesión, cuenta, anuncios)Ejecución del contrato (art. 6.1.b RGPD)
Enviar leads al vendedorConsentimiento explícito (art. 6.1.a RGPD)
Facturación y obligaciones fiscalesObligación legal (art. 6.1.c RGPD)
Antifraude, anti-spam, seguridad de la plataformaInterés legítimo (art. 6.1.f RGPD)
Mejorar la relevancia de los resultados y de VoxInterés legítimo, con anonimización

4. Con quién compartimos

  • Vendedor elegido: nombre, teléfono, email y mensaje del lead — solo tras tu consentimiento explícito en el formulario.
  • Subencargados con contratos DPA firmados:
    • Stripe Payments Europe Ltd. (Irlanda) — pagamentos
    • Clerk, Inc. (EE. UU., con SCCs) — autenticación
    • Resend, Inc. (EE. UU., con SCCs) — email transaccional
    • OpenAI, Inc. (EE. UU., con SCCs) — modelo de Vox; prompts y respuestas. OpenAI se compromete a no entrenar modelos con estos datos.
    • Neon Inc. (UE, eu-central-1) — base de datos
    • Vercel Inc. (EE. UU., con SCCs; edge en UE) — hosting
    • Sentry (Functional Software, Inc.) (EE. UU., con SCCs) — monitorización de errores, solo tras tu consentimiento de cookies
  • Autoridades: AEAT, DGT, Guardia Civil / Policía Nacional, AEPD cuando estemos legalmente obligados a colaborar.

Nunca vendemos tus datos a terceros para marketing.

5. Transferencias internacionales

Algunos de los subencargados mencionados están ubicados en EE. UU. Las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y, cuando corresponda, del Data Privacy Framework UE-EE. UU.

6. Tus derechos (RGPD / LOPDGDD)

  • Acceso (art. 15 RGPD) — solicitar copia de los datos que tenemos sobre ti
  • Rectificación (art. 16) — corregir datos incorrectos
  • Supresión(art. 17) — solicitar la eliminación de tus datos (“derecho al olvido”), salvo obligación legal de conservación
  • Limitación (art. 18) — bloquear el tratamiento temporalmente
  • Portabilidad (art. 20) — recibir tus datos en formato estructurado y legible
  • Oposición (art. 21) — oponerte al tratamiento basado en interés legítimo
  • Retirada del consentimiento en cualquier momento, sin afectar a la licitud del tratamiento anterior
  • Reclamación ante la autoridad de control: AEPD (Agencia Española de Protección de Datos)

Para ejercer estos derechos: datos@carvox.es. Respuesta en un plazo máximo de 30 días. El acceso y la supresión también pueden gestionarse de forma autónoma en /backoffice/conta.

7. Cookies y tecnologías similares

Utilizamos:

  • Cookies estrictamente necesarias: sesión Clerk, preferencias (comparador, idioma). Siempre activas, sin necesidad de consentimiento.
  • Cookies analíticas: Vercel Analytics (sin identificadores personales), datos agregados. Sujetas a consentimiento.
  • Cookies de monitorización de errores: Sentry session replay, con enmascaramiento de campos sensibles. Sujetas a consentimiento.

Puedes gestionar tus preferencias en cualquier momento en el banner inferior o en /cookies.

8. Conservación

  • Cuenta activa: mientras dure la relación contractual
  • Cuenta cerrada: anonimización a los 90 días
  • Leads: 24 meses (después soft-delete + anonimización)
  • Conversaciones con Vox: 12 meses (anonimizadas a los 30 días)
  • Datos de facturación: 5 años (obligación legal — art. 30 Código de Comercio español)
  • Logs de auditoría: 24 meses

9. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas: HTTPS/TLS 1.3 obligatorio, datos cifrados en reposo (Neon AES-256), autenticación multifactor disponible (a través de Clerk), principio de mínimo privilegio en los accesos internos, monitorización de errores y webhooks con firma verificada (Stripe, Resend, Clerk).

10. Cambios

Esta política puede actualizarse cuando añadamos nuevas funcionalidades o subencargados. Los cambios materiales se comunicarán por email con 30 días de antelación.

11. Contacto

Delegado de Protección de Datos (DPD): dpd@carvox.es. Otras consultas: datos@carvox.es.