Política de Privacidad
Política de Privacidad
Última actualización: 12 de abril de 2026
Esta Política de Privacidad explica cómo Roraima ("nosotros", "la Plataforma"), operada por [RAGIONE_SOCIALE], recopila, utiliza, comparte y protege sus datos personales cuando utiliza nuestra plataforma de marketplace IoT, incluido nuestro sitio web, servicios móviles, asistentes de IA y funciones de dispositivos conectados.
Nos comprometemos a proteger su privacidad de conformidad con el Reglamento (UE) 2016/679 (el "Reglamento General de Protección de Datos" o "RGPD"), el Decreto Legislativo italiano 196/2003 modificado por el Decreto Legislativo 101/2018, y todas las leyes de protección de datos aplicables.
Le rogamos que lea atentamente esta política. Al utilizar nuestra Plataforma, usted reconoce que ha leído y comprendido esta Política de Privacidad.
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales procesados a través de la Plataforma es:
| Empresa | [RAGIONE_SOCIALE] |
| Domicilio social | [INDIRIZZO] |
| Número de IVA (P.IVA) | [P_IVA] |
| Correo electrónico | [EMAIL] |
| Correo electrónico certificado (PEC) | [PEC] |
2. Delegado de Protección de Datos (DPD)
Hemos designado un Delegado de Protección de Datos al que puede dirigirse para cualquier consulta relativa al tratamiento de sus datos personales o al ejercicio de sus derechos:
Contacto del DPD: [DPO_EMAIL]
3. Categorías de datos personales que recopilamos
Dependiendo de cómo interactúe con la Plataforma, podemos recopilar las siguientes categorías de datos personales:
3.1 Datos de cuenta e identidad
- Nombre completo, dirección de correo electrónico, número de teléfono
- Dirección de facturación y de envío
- Nombre de la empresa, número de IVA (para vendedores)
- Credenciales de la cuenta (la contraseña se almacena exclusivamente en forma hash)
- Rol de usuario (comprador, vendedor, instalador)
- Clasificación del subtipo de vendedor (vendedor, instalador o ambos)
- Documentación profesional cargada por los instaladores (certificaciones, seguros)
3.2 Datos de transacciones y pedidos
- Historial de pedidos, importes de pedidos, estado de los pagos
- Reservas de alojamiento y alquiler (fechas, huéspedes, duración)
- Información de facturación
- Identificadores de pago de Stripe (no almacenamos números completos de tarjetas)
- Saldos de créditos de IA e historial de consumo
3.3 Datos de dispositivos IoT
- Estado del dispositivo: estado encendido/apagado, conectividad, versión del firmware, nivel de batería
- Datos de telemetría: lecturas de sensores (temperatura, humedad, movimiento, consumo energético), estados de relés, métricas de salud del dispositivo
- Registros de acceso de cerraduras inteligentes: marcas de tiempo de eventos de bloqueo/desbloqueo, método de acceso utilizado (PIN, app, código temporal), identificadores de usuario asociados a cada evento de acceso
- Patrones de uso: frecuencia de interacciones con dispositivos, historial de activadores de automatización, registros de ejecución de escenarios
- Configuración del dispositivo: nombres personalizados, habitaciones/zonas asignadas, reglas de automatización, programaciones
- Datos de vinculación y delegación de dispositivos: transferencias de propiedad de dispositivos, registros de delegación a instaladores, permisos de uso compartido
3.4 Datos de interacción con la IA
- Conversaciones con nuestros asistentes de IA (Buyer Agent, Vendor Agent, Installer Agent)
- Preguntas enviadas y respuestas recibidas
- Consultas de búsqueda en la base de conocimientos (solo Installer Agent)
3.5 Datos técnicos y de uso
- Dirección IP, tipo y versión del navegador, sistema operativo
- Páginas visitadas, tiempo de permanencia, patrones de navegación
- Cookies y tecnologías de seguimiento similares (véase Sección 12)
- Fuente de referencia
3.6 Datos de ubicación
- Dirección comercial del vendedor (mostrada en Google Maps para comodidad del comprador)
- Dirección de envío del comprador
- Ubicación aproximada derivada de la dirección IP
3.7 Datos de comunicación
- Solicitudes de soporte y correspondencia
- Comunicaciones entre vendedor y comprador relativas a pedidos
- Preferencias de notificación
4. Finalidades y bases legales del tratamiento
Tratamos sus datos personales para las siguientes finalidades, cada una con la correspondiente base legal conforme al artículo 6(1) del RGPD:
4.1 Ejecución del contrato (Art. 6(1)(b))
| Finalidad | Datos implicados |
|---|---|
| Creación y gestión de su cuenta | Datos de cuenta e identidad |
| Procesamiento de pedidos, pagos y reembolsos | Datos de transacciones, datos de identidad |
| Gestión de tokens de acceso a dispositivos IoT vinculados a compras | Datos de pedidos, datos de dispositivos |
| Ejecución de reservas de alojamiento y alquiler | Datos de reservas, datos de identidad |
| Prestación de servicios de asistente de IA | Datos de interacción con IA, saldos de créditos |
| Gestión de la asignación y el consumo de créditos de IA | Saldos de créditos, datos de uso |
| Facilitación de transacciones entre vendedor y comprador | Datos de identidad, transacciones y comunicación |
| Gestión de delegaciones y certificaciones de instaladores | Documentación profesional, registros de delegación |
| Provisión de códigos de acceso temporales para cerraduras inteligentes | Registros de acceso, datos de reservas |
4.2 Interés legítimo (Art. 6(1)(f))
| Finalidad | Interés legítimo |
|---|---|
| Seguridad de la plataforma y prevención del fraude | Protección de los usuarios y de la plataforma frente al abuso |
| Análisis y mejora del servicio | Mejora de la experiencia del usuario y la fiabilidad de la plataforma |
| Telemetría de dispositivos IoT para resolución de problemas | Garantía de la funcionalidad de los dispositivos y resolución de problemas técnicos |
| Aplicación de los Términos y Condiciones | Mantenimiento de la integridad de la plataforma |
| Verificación de vendedores y controles de cumplimiento | Garantía de la confianza y seguridad del marketplace |
4.3 Obligación legal (Art. 6(1)(c))
- Conservación de registros fiscales y contables (legislación fiscal italiana)
- Cumplimiento de la normativa de protección al consumidor
- Respuesta a solicitudes legítimas de las autoridades públicas
- Cálculo y declaración del IVA para transacciones transfronterizas en la UE
4.4 Consentimiento (Art. 6(1)(a))
- Comunicaciones de marketing y boletines informativos (cuando corresponda)
- Cookies no esenciales y analíticas (gestionadas mediante el gestor de consentimiento Klaro)
- Tratamiento de categorías especiales de datos, si alguna vez fuera necesario
Cuando el tratamiento se base en el consentimiento, usted puede revocarlo en cualquier momento sin que ello afecte a la licitud del tratamiento realizado antes de la revocación.
5. Datos de dispositivos IoT — Disposiciones especiales
Dada la naturaleza de nuestra plataforma, los datos de dispositivos IoT requieren una atención específica:
5.1 Qué datos IoT recopilamos y por qué
- Estado del dispositivo y telemetría se recopilan para permitir la monitorización en tiempo real, los escenarios de automatización y la resolución de problemas. Estos datos fluyen a través de nuestro IoT Gateway y pueden almacenarse temporalmente en caché por razones de rendimiento.
- Registros de acceso de cerraduras inteligentes registran quién accedió a una propiedad y cuándo. Estos datos son esenciales para la seguridad, la verificación de reservas y la resolución de disputas. Los registros de acceso incluyen marcas de tiempo, el método de entrada (PIN, código temporal, app) y el identificador del usuario o huésped asociado.
- Registros de ejecución de escenarios de automatización se conservan para habilitar automatizaciones basadas en activadores, permitir a los usuarios revisar el historial de escenarios y diagnosticar fallos.
- Datos MQTT en tiempo real pueden transmitirse para dispositivos que utilizan el protocolo MQTT. Estos datos se cifran en tránsito y no se almacenan más allá del tiempo necesario para el procesamiento en tiempo real, salvo configuración explícita del usuario en un escenario de automatización.
5.2 Minimización de datos para IoT
Recopilamos únicamente los puntos de datos del dispositivo necesarios para las funciones que usted ha activado. Si no utiliza escenarios de automatización, no se generan datos de ejecución de escenarios. La granularidad de la telemetría viene determinada por el firmware del fabricante del dispositivo y las funciones que usted elija habilitar.
5.3 Compartición de datos del dispositivo
Cuando un dispositivo se delega a un instalador o se comparte con otros usuarios, la parte delegada obtiene acceso a los datos del dispositivo necesarios para su función. La delegación se registra y puede ser revocada en cualquier momento por el propietario del dispositivo. Tras la revocación, el acceso de la parte delegada a los datos del dispositivo cesa de inmediato.
6. Asistentes de IA — Disposiciones especiales
6.1 Cómo funcionan nuestros asistentes de IA
Roraima ofrece tres asistentes impulsados por inteligencia artificial (Buyer Agent, Vendor Agent e Installer Agent) basados en el modelo de lenguaje Claude de Anthropic. Estos asistentes ayudan a los usuarios con preguntas sobre productos, la gestión de dispositivos IoT y orientación sobre instalación.
6.2 Datos procesados por los asistentes de IA
- Sus mensajes y consultas enviados durante una sesión de conversación
- Datos contextuales relevantes (p. ej., estado del dispositivo, información del pedido) proporcionados a la IA para generar respuestas útiles
- Para el Installer Agent: documentación indexada de la base de conocimientos (RAG) utilizada para responder consultas técnicas
6.3 Lo que NO hacemos con los datos de IA
- No utilizamos sus conversaciones para entrenar o ajustar ningún modelo de IA
- No compartimos el contenido de sus conversaciones con otros usuarios
- No utilizamos las conversaciones de IA para elaboración de perfiles o toma de decisiones automatizada que produzca efectos jurídicos o igualmente significativos
6.4 Conservación de datos de IA
Los registros de conversaciones de IA se conservan durante un máximo de 90 días para permitir la continuidad de la conversación y apoyar la resolución de disputas. Transcurrido este período, las conversaciones se eliminan de forma permanente. Puede solicitar la eliminación anticipada en cualquier momento (véase Sección 10).
6.5 Subencargado del tratamiento
El procesamiento de IA lo realiza Anthropic, PBC (EE. UU.) como subencargado del tratamiento. Véanse las Secciones 7 y 8 para detalles sobre las transferencias internacionales y las garantías.
7. Destinatarios y encargados del tratamiento
Podemos compartir sus datos personales con las siguientes categorías de destinatarios:
7.1 Vendedores del marketplace (responsables independientes)
Cuando usted realiza un pedido con un vendedor en Roraima, el vendedor recibe los datos personales necesarios para cumplir con su pedido (nombre, dirección de envío, detalles del pedido). Cada vendedor es un responsable independiente del tratamiento para los datos que recibe y procesa en el contexto de su relación con el cliente. Los vendedores están contractualmente obligados a cumplir con el RGPD y las leyes de protección de datos aplicables. Le recomendamos que revise la política de privacidad de cada vendedor.
7.2 Procesador de pagos
Stripe, Inc. (EE. UU.) y su filial Stripe Payments Europe, Ltd. (Irlanda) procesan las transacciones de pago a través de Stripe Connect. Stripe actúa como responsable independiente del tratamiento para los datos de pago. La política de privacidad de Stripe está disponible en stripe.com/privacy.
7.3 Proveedor del servicio de IA
Anthropic, PBC (EE. UU.) proporciona el modelo de lenguaje Claude que impulsa nuestros asistentes de IA. Anthropic procesa los datos de las conversaciones exclusivamente en nuestro nombre como encargado del tratamiento y no utiliza estos datos para entrenar sus modelos.
7.4 Servicio de cartografía
Google LLC (EE. UU.) proporciona los servicios de Google Maps para mostrar las ubicaciones de los vendedores. La política de privacidad de Google está disponible en policies.google.com/privacy.
7.5 Alojamiento e infraestructura
Nuestra plataforma está alojada en servidores ubicados en [HOSTING_LOCATION]. Nuestro proveedor de alojamiento procesa los datos exclusivamente en nuestro nombre en virtud de un acuerdo de tratamiento de datos conforme al artículo 28 del RGPD.
7.6 Otros destinatarios
- Asesores profesionales: abogados, contables y auditores, vinculados por obligaciones de secreto profesional
- Autoridades públicas: cuando así lo requiera la legislación, normativa o proceso legal aplicable
- Fabricantes de dispositivos IoT: ciertos datos del dispositivo pueden intercambiarse con la plataforma en la nube del fabricante del dispositivo (p. ej., Tuya Smart) para habilitar la funcionalidad del dispositivo. Dichos intercambios se rigen por la política de privacidad del fabricante y nuestros acuerdos de tratamiento de datos
8. Transferencias internacionales de datos
Algunos de nuestros encargados del tratamiento y socios se encuentran fuera del Espacio Económico Europeo (EEE), específicamente en Estados Unidos. Nos aseguramos de que cualquier transferencia de datos personales a países fuera del EEE esté protegida por las garantías adecuadas conforme al Capítulo V del RGPD:
- Cláusulas Contractuales Tipo (CCT): Hemos suscrito las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión de ejecución de la Comisión (UE) 2021/914) con nuestros encargados del tratamiento con sede en EE. UU. (Anthropic, Stripe, Google) para garantizar un nivel adecuado de protección para los datos transferidos.
- Marco de Privacidad de Datos UE-EE. UU.: Cuando corresponda, nos basamos en la certificación de nuestros encargados del tratamiento en el marco del Marco de Privacidad de Datos UE-EE. UU. como garantía adicional.
- Medidas complementarias: Implementamos medidas técnicas y organizativas adicionales según sea necesario, incluido el cifrado en tránsito y en reposo, los controles de acceso y la minimización de datos.
Puede solicitar una copia de las garantías pertinentes contactando con nuestro DPD.
9. Conservación de datos
Conservamos sus datos personales únicamente durante el tiempo necesario para cumplir las finalidades para las que fueron recopilados, o según lo exija la legislación aplicable. A continuación se detallan los períodos de conservación específicos por categoría de datos:
| Categoría de datos | Período de conservación |
|---|---|
| Datos de la cuenta | Duración de la relación contractual + 12 meses tras la eliminación de la cuenta (para solicitudes de reactivación y resolución de disputas) |
| Datos de transacciones y pedidos | 10 años desde la fecha de la transacción (legislación fiscal y contable italiana, Art. 2220 Código Civil) |
| Facturas y registros fiscales | 10 años (obligaciones fiscales italianas) |
| Telemetría de dispositivos IoT | 12 meses desde la recopilación, salvo que un período más largo sea necesario para un escenario de automatización activo |
| Registros de acceso de cerraduras inteligentes | 24 meses (seguridad y resolución de disputas) |
| Registros de reservas/alquiler | 10 años (obligaciones fiscales) para datos financieros; 24 meses para datos de acceso de huéspedes |
| Registros de conversaciones de IA | 90 días |
| Registros de créditos de IA | Duración de la cuenta + 10 años para registros fiscales |
| Documentación de instaladores | Duración del estado activo de instalador + 24 meses |
| Registros de cookies y consentimiento | 24 meses desde el consentimiento |
| Registros del servidor y direcciones IP | 6 meses |
| Registros de consentimiento de marketing | Duración del consentimiento + 24 meses |
| Acuerdos con vendedores y aceptación de T&C | Duración de la relación con el vendedor + 10 años |
Cuando los datos ya no sean necesarios, se eliminarán de forma segura o se anonimizarán de manera que no puedan asociarse con usted.
10. Sus derechos como interesado
En virtud del RGPD, usted tiene los siguientes derechos respecto a sus datos personales:
| Derecho | Descripción |
|---|---|
| Acceso (Art. 15) | Tiene derecho a obtener confirmación de si tratamos sus datos personales y, en su caso, a recibir una copia de los mismos junto con información sobre el tratamiento. |
| Rectificación (Art. 16) | Tiene derecho a solicitar la corrección de datos personales inexactos y a que se completen los datos incompletos. |
| Supresión (Art. 17) | Tiene derecho a solicitar la supresión de sus datos personales cuando, entre otros supuestos, los datos ya no sean necesarios para su finalidad original, usted retire su consentimiento, o los datos hayan sido tratados de forma ilícita. Este derecho está sujeto a las obligaciones legales de conservación. |
| Limitación (Art. 18) | Tiene derecho a solicitar la limitación del tratamiento de sus datos en determinadas circunstancias, como cuando impugna la exactitud de los datos o se opone al tratamiento. |
| Portabilidad de los datos (Art. 20) | Tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica (p. ej., JSON o CSV) y a transmitirlos a otro responsable del tratamiento, cuando el tratamiento se base en el consentimiento o el contrato y se efectúe por medios automatizados. |
| Oposición (Art. 21) | Tiene derecho a oponerse al tratamiento basado en el interés legítimo. Cesaremos el tratamiento a menos que demostremos motivos legítimos imperiosos que prevalezcan sobre sus intereses. Puede oponerse a la mercadotecnia directa en cualquier momento. |
| Retirada del consentimiento (Art. 7(3)) | Cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento. La retirada no afecta a la licitud del tratamiento realizado antes de la retirada. |
| Reclamación (Art. 77) | Tiene derecho a presentar una reclamación ante la autoridad de control competente. |
Cómo ejercer sus derechos
Puede ejercer cualquiera de los derechos anteriores contactándonos en [EMAIL] o a nuestro DPD en [DPO_EMAIL]. Responderemos a su solicitud en un plazo de 30 días, que podrá ampliarse en otros 60 días para solicitudes complejas, en cuyo caso le informaremos de la ampliación y de los motivos de la misma.
Podemos solicitarle que verifique su identidad antes de atender su solicitud para evitar el acceso no autorizado a datos personales.
Autoridad de control
La autoridad de control competente para reclamaciones es:
Garante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma, Italia
Sitio web: www.garanteprivacy.it
Correo electrónico: protocollo@gpdp.it
PEC: protocollo@pec.gpdp.it
11. Roles en el marketplace — Responsable y encargado del tratamiento
Roraima opera como plataforma de marketplace que conecta vendedores y compradores. Esto crea roles distintos como responsable del tratamiento de datos:
11.1 Roraima como responsable del tratamiento
Somos responsables del tratamiento para:
- Datos de cuentas de usuario (registro, autenticación, gestión del perfil)
- Datos de uso y análisis de la plataforma
- Coordinación del procesamiento de pagos (a través de Stripe Connect)
- Datos de dispositivos IoT gestionados a través de la plataforma
- Conversaciones con los asistentes de IA
- Gestión de créditos de IA
- Gestión del consentimiento de cookies
- Comunicaciones y soporte de la plataforma
11.2 Vendedores como responsables independientes del tratamiento
Cada vendedor en el marketplace de Roraima es un responsable independiente del tratamiento para los datos personales que recopila y procesa en el contexto de su relación con los compradores, incluidos:
- Cumplimiento de pedidos y prestación de servicio posventa
- Gestión de sus propias comunicaciones con los clientes
- Procesamiento de devoluciones y reclamaciones de garantía
- Servicios de instalación y acuerdos de acceso a propiedades
Los vendedores están obligados en virtud de nuestros Términos y Condiciones a cumplir con el RGPD y a mantener sus propias políticas de privacidad. No somos responsables de las prácticas de tratamiento de datos de los vendedores más allá de lo que ocurre a través de la Plataforma.
11.3 Corresponsabilidad del tratamiento
Para determinadas actividades de tratamiento (p. ej., visualización de páginas de perfil de vendedores, facilitación de reseñas), Roraima y el vendedor pueden actuar como corresponsables del tratamiento conforme al artículo 26 del RGPD. Las responsabilidades respectivas se definen en nuestro Acuerdo con el Vendedor.
12. Cookies y tecnologías similares
Utilizamos cookies y tecnologías similares en nuestra Plataforma. Utilizamos Klaro como nuestra plataforma de gestión del consentimiento para permitirle gestionar sus preferencias de cookies.
En resumen, utilizamos:
- Cookies estrictamente necesarias: esenciales para el funcionamiento de la Plataforma (p. ej., gestión de sesiones, carrito de compras, seguridad). Estas no requieren consentimiento.
- Cookies funcionales: recuerdan sus preferencias (p. ej., idioma, moneda).
- Cookies analíticas: nos ayudan a comprender cómo se utiliza la Plataforma para poder mejorarla.
- Cookies de terceros: establecidas por nuestros socios (p. ej., Stripe para la seguridad de los pagos, Google Maps para las ubicaciones de los vendedores).
Puede gestionar sus preferencias de cookies en cualquier momento haciendo clic en el enlace de configuración de cookies en el pie de página de nuestro sitio web. Para obtener información completa, consulte nuestra Política de Cookies.
13. Toma de decisiones automatizada
Actualmente no realizamos toma de decisiones automatizada, incluida la elaboración de perfiles, que produzca efectos jurídicos que le afecten o le afecte de manera significativamente similar en el sentido del artículo 22 del RGPD.
Nuestros asistentes de IA proporcionan respuestas informativas y sugerencias, pero no toman decisiones que tengan efectos jurídicos o significativos sobre los usuarios. Todas las decisiones de compra, acciones de cuenta y activaciones de servicios requieren una acción explícita del usuario.
Si en el futuro introdujéramos alguna forma de toma de decisiones automatizada, actualizaremos esta Política de Privacidad y, cuando sea necesario, obtendremos su consentimiento explícito o implementaremos garantías adecuadas, incluido el derecho a obtener intervención humana, expresar su punto de vista e impugnar la decisión.
14. Privacidad de los menores
La Plataforma Roraima no está destinada a personas menores de 18 años. No recopilamos deliberadamente datos personales de menores de 18 años. Si tuviéramos conocimiento de que hemos recopilado datos personales de un menor de 18 años, tomaremos las medidas necesarias para eliminar dichos datos con prontitud.
Si usted es padre, madre o tutor legal y cree que su hijo nos ha proporcionado datos personales, le rogamos que se ponga en contacto con nosotros en [EMAIL] para que podamos tomar las medidas oportunas.
15. Medidas de seguridad
Implementamos medidas técnicas y organizativas adecuadas para proteger sus datos personales contra el acceso, la alteración, la divulgación o la destrucción no autorizados, incluyendo:
- Cifrado de datos en tránsito (TLS/SSL) y en reposo cuando corresponda
- Almacenamiento de contraseñas en forma hash utilizando algoritmos estándar del sector
- Controles de acceso y permisos basados en roles
- Evaluaciones periódicas de seguridad y pruebas de vulnerabilidades
- Generación segura de códigos de acceso para cerraduras inteligentes y transmisión cifrada
- Limitación de frecuencia y prevención de abusos en todos los endpoints de la API
- Protección CSRF en todos los formularios
- Cabeceras Content Security Policy (CSP)
- Validación y saneamiento de entradas del lado del servidor
16. Cambios en esta Política de Privacidad
Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas, tecnología, requisitos legales u otros factores. Cuando realicemos cambios sustanciales:
- Actualizaremos la fecha de "Última actualización" en la parte superior de esta política
- Notificaremos a los usuarios registrados por correo electrónico o notificación de la plataforma sobre cambios significativos
- Cuando lo exija la ley, solicitaremos su consentimiento renovado antes de aplicar los cambios a sus datos
Le recomendamos que revise esta Política de Privacidad periódicamente. El uso continuado de la Plataforma después de la fecha de entrada en vigor de cualquier cambio constituye su reconocimiento de la política actualizada.
17. Contáctenos
Si tiene preguntas, inquietudes o solicitudes relativas a esta Política de Privacidad o a nuestras prácticas de tratamiento de datos, póngase en contacto con nosotros:
| Consultas generales | [EMAIL] |
| Consultas sobre protección de datos | [DPO_EMAIL] |
| Dirección postal | [RAGIONE_SOCIALE], [INDIRIZZO] |
| PEC | [PEC] |
Esta Política de Privacidad está disponible en los siguientes idiomas: English, Italiano, Deutsch, Ελληνικά, Español, Français, Polski, Português.