Política de privacidad

Esta Política de Privacidad explica cómo CanarHost Cloud (“CanarHost”, “nosotros”, “nuestro”) trata datos personales en relación con nuestro sitio web, consultas precontractuales, comunicaciones con clientes, soporte, operaciones de hosting, seguridad y actividades de cumplimiento. Pretende facilitar la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679 (“RGPD”), la Ley Orgánica 3/2018 (“LOPDGDD”) y otras normas españolas relacionadas cuando proceda.

1. Responsable del tratamiento

Para los tratamientos cubiertos por esta Política de Privacidad, el responsable es:

• CanarHost Cloud
• Dirección: Calle Tomas Cruz 3 of 8, Las Chafiras 38639, España
• Contacto de privacidad: support@canarhost.com

Si designamos un delegado de protección de datos para las actividades cubiertas por esta política, actualizaremos este aviso en consecuencia.

2. Cuándo se aplica esta política

Esta política se aplica a:

• visitantes del sitio web de CanarHost;
• personas que nos contactan por formulario, correo electrónico u otras comunicaciones directas;
• potenciales clientes y representantes de clientes;
• clientes existentes en la medida en que tratemos datos personales para fines propios de negocio, como administración de cuentas, soporte, seguridad, coordinación de facturación, prevención del fraude, cumplimiento y conservación legal de registros.

Esta política no sustituye a ningún contrato separado con clientes, anexo de tratamiento de datos, términos de servicio o documentación de seguridad que pueda aplicarse a una relación concreta.

3. Roles: cuándo actuamos como responsables y cuándo podemos actuar siguiendo instrucciones del cliente

Para consultas web, comunicaciones comerciales, gestión de soporte, coordinación de facturación, prevención del fraude, cumplimiento legal y logs de seguridad generados por nuestros propios sistemas, CanarHost actúa como responsable.

Si un cliente utiliza nuestros servicios de hosting para almacenar, alojar, transmitir o tratar de otro modo datos personales de sus propios usuarios, visitantes, empleados o clientes finales, por regla general será el cliente quien determine los fines y medios de ese tratamiento. En esos casos, CanarHost puede actuar como encargado del tratamiento o proveedor de infraestructura/servicio, salvo cuando debamos tratar ciertos datos para fines propios independientes, como seguridad, prevención de abusos, facturación, cumplimiento, continuidad del negocio y reclamaciones legales.

Los clientes siguen siendo responsables de que el contenido, aplicaciones, sitios web, bases de datos y comunicaciones que ejecutan a través de nuestros servicios cumplan la normativa aplicable de protección de datos e incluyan sus propios avisos de privacidad y bases jurídicas válidas.

4. Categorías de datos personales que tratamos

Dependiendo de la relación contigo, podemos tratar las siguientes categorías de datos personales:

Datos que facilitas directamente

• nombre;
• dirección de correo electrónico;
• nombre de empresa;
• contenido de tu consulta, solicitud o mensaje de soporte;
• cualquier información adicional que decidas incluir en tus comunicaciones con nosotros;
• datos de cuenta, contrato, facturación, administración del servicio y cobro si llegas a ser cliente.

Datos recogidos automáticamente cuando utilizas el sitio o los servicios

• dirección IP;
• metadatos de petición y respuesta;
• marcas temporales;
• user-agent e información técnica del dispositivo/navegador;
• información de referencia o de ruta cuando esté disponible;
• logs de seguridad, antiabuso y de servidor;
• metadatos de configuración y operación necesarios para prestar, mantener y proteger los servicios de hosting.

Datos que no pretendemos recopilar

No solicitamos categorías especiales de datos personales (por ejemplo, datos de salud, biométricos, creencias religiosas u opiniones políticas) a través del sitio web público. Por favor, no envíes este tipo de información salvo que sea estrictamente necesario y esté jurídicamente justificado. Si lo haces, declaras que cuentas con una base legal válida para comunicarla.

5. Finalidades del tratamiento y bases jurídicas

Tratamos datos personales solo cuando contamos con una base jurídica válida conforme al artículo 6 RGPD. Las principales finalidades y bases son:

Finalidad	Datos implicados habitualmente	Base jurídica
Responder a consultas, presupuestos, solicitudes de migración, demos y pasos precontractuales	Nombre, correo, empresa, contenido del mensaje	Artículo 6.1.b RGPD: medidas a petición del interesado antes de contratar
Prestar servicios de hosting y relacionados, soporte y comunicaciones de servicio	Datos de cuenta, contacto, servicio, soporte y operación	Artículo 6.1.b RGPD: ejecución de un contrato
Autenticar, proteger, monitorizar, resolver incidencias, prevenir abusos, spam, fraude o accesos no autorizados y mantener copias y continuidad	Logs técnicos, direcciones IP, metadatos operativos, contexto de soporte	Artículo 6.1.f RGPD: intereses legítimos
Cumplir obligaciones legales, fiscales, contables, de conservación de registros, requerimientos de autoridades y regulación	Datos identificativos, de facturación, contables, transaccionales, correspondencia y logs	Artículo 6.1.c RGPD: obligación legal
Formular, ejercer o defender reclamaciones legales, auditorías, investigaciones o gestión de incidentes	Correspondencia relevante, logs, datos de cuenta, facturación y soporte	Artículo 6.1.f RGPD: intereses legítimos y, cuando proceda, artículo 6.1.c RGPD
Enviar comunicaciones electrónicas de marketing cuando sea legalmente necesario con base en el consentimiento, o cuando esté permitido por otra base válida	Datos de contacto y preferencias	Artículo 6.1.a RGPD: consentimiento, u otra base lícita cuando proceda

Cuando nos basamos en intereses legítimos, estos incluyen operar un negocio de hosting seguro, proteger nuestros sistemas y clientes, prevenir usos indebidos, preservar pruebas, organizar la administración interna y gestionar de forma proporcionada el riesgo legal y comercial.

No utilizamos el sitio web público para adoptar decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o afecten significativamente de forma similar a las personas.

6. Si los datos son obligatorios

Algunos datos son necesarios para que podamos responder a una solicitud o prestar un servicio. Por ejemplo, si no facilitas la información marcada o tratada como obligatoria en un proceso de contacto o soporte, es posible que no podamos responder, validar la solicitud o prestar el servicio de forma segura.

7. Destinatarios y categorías de destinatarios

No vendemos datos personales. Podemos comunicar o poner datos personales a disposición, en función de la necesidad de conocer, a:

• proveedores de hosting, infraestructura y sistemas;
• proveedores de correo, comunicaciones, soporte, monitorización, seguridad o copias;
• proveedores de pagos, facturación, contabilidad, fiscalidad, banca o prevención del fraude, cuando proceda;
• asesores profesionales, auditores, aseguradoras y asesores legales;
• autoridades competentes, reguladores, tribunales, fuerzas de seguridad o administraciones públicas cuando la ley lo exija o sea necesario para proteger derechos legales;
• potenciales compradores, inversores o contrapartes en una operación corporativa y sus asesores cuando la divulgación sea razonablemente necesaria, sujeta a medidas adecuadas de confidencialidad.

Cuando terceros tratan datos personales por nuestra cuenta, les exigimos actuar con obligaciones contractuales y de seguridad apropiadas.

8. Transferencias internacionales

Como regla general, procuramos utilizar proveedores e infraestructura que nos permitan operar dentro del Espacio Económico Europeo (“EEE”) o bajo un nivel adecuado de protección. Sin embargo, algunos proveedores o labores de soporte pueden implicar acceso desde, almacenamiento en o transferencia a países fuera del EEE.

Cuando se realice una transferencia internacional, nos apoyaremos en un mecanismo válido conforme al capítulo V del RGPD, como:

• una decisión de adecuación adoptada por la Comisión Europea; o
• garantías adecuadas, incluidas las cláusulas contractuales tipo de la Comisión Europea, complementadas cuando sea necesario por medidas técnicas, organizativas o contractuales adicionales.

Puedes solicitar información general sobre el mecanismo de transferencia relevante para tu situación contactándonos.

9. Conservación

Conservamos datos personales solo durante el tiempo necesario para las finalidades para las que se recopilaron y, después, durante el tiempo necesario para cumplir obligaciones legales, preservar pruebas, resolver disputas y defender reclamaciones.

Nuestro enfoque de conservación suele incluir lo siguiente:

• Consultas precontractuales y de contacto: normalmente se conservan el tiempo necesario para gestionar la solicitud y durante un periodo razonable de seguimiento, salvo que se formalice un contrato o que una retención más larga esté justificada por riesgo legal, seguimiento repetido o necesidades de cumplimiento.
• Datos de cuenta, servicio y soporte del cliente: se conservan durante la relación con el cliente y posteriormente durante los periodos razonablemente necesarios para continuidad del servicio, gestión de incidencias, auditorías, prevención de abusos y plazos de prescripción.
• Registros contables, facturas, correspondencia comercial y documentación soporte: se conservan al menos durante el periodo exigido por la normativa mercantil, contable y fiscal. Conforme al artículo 30 del Código de Comercio español, libros, correspondencia, documentación y justificantes deben conservarse en general durante seis años, sin perjuicio de plazos más largos exigidos por ley o necesarios para reclamaciones.
• Logs técnicos y de seguridad: se conservan durante el tiempo razonablemente necesario para mantener la seguridad, prevenir abusos, investigar incidentes y garantizar la integridad del servicio, tras lo cual pueden eliminarse, sobrescribirse o reducirse.

Las copias de seguridad pueden permanecer hasta ser sobreescritas en el ciclo normal de backup, siempre sujetas a controles de seguridad adecuados.

10. Tus derechos

Sujeto a las condiciones y límites establecidos por la ley aplicable, puedes ejercer los siguientes derechos:

• acceso;
• rectificación;
• supresión;
• oposición;
• limitación del tratamiento;
• portabilidad;
• retirada del consentimiento en cualquier momento, cuando el tratamiento se base en consentimiento;
• no ser objeto de decisiones basadas exclusivamente en tratamientos automatizados cuando el RGPD reconozca ese derecho.

Para ejercer tus derechos, contacta con support@canarhost.com e identifica claramente tu solicitud. Podemos pedir información razonable para verificar tu identidad y prevenir divulgaciones no autorizadas.

Si tu solicitud es válida, normalmente responderemos en un mes, aunque ese plazo podrá ampliarse cuando la ley lo permita por complejidad o volumen de solicitudes. Si consideras que nuestro tratamiento infringe la normativa de protección de datos, también tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

11. Seguridad y gestión de incidentes

Aplicamos medidas técnicas y organizativas diseñadas para proteger los datos personales frente a destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada, acceso no autorizado o uso indebido. Estas medidas pueden incluir controles de acceso, mínimo privilegio, monitorización, logging, parcheado, controles de backup y procedimientos de respuesta a incidentes acordes con la naturaleza del tratamiento.

Ningún sistema puede garantizarse como completamente seguro. Si se produce una brecha de datos personales, la evaluaremos y actuaremos conforme a la ley aplicable, incluida la notificación a la autoridad competente y, cuando proceda, a las personas afectadas.

12. Niños y menores

Nuestros servicios están dirigidos con carácter general a empresas y usuarios adultos. No buscamos deliberadamente recopilar datos personales de menores en circunstancias en las que el consentimiento del propio menor no sería legalmente válido.

Conforme a la legislación española, cuando el tratamiento se basa en el consentimiento, un menor debe tener por regla general más de 14 años para consentir por sí mismo, salvo que otra norma requiera asistencia de padre, madre o tutor. Si crees que un menor nos ha facilitado datos personales de forma ilícita, contacta con nosotros y revisaremos la situación.

13. Sitios web y servicios de terceros

Nuestro sitio puede contener enlaces a sitios web, herramientas, documentación, páginas de estado, paneles de control o servicios externos de terceros. No somos responsables de las prácticas de privacidad de terceros fuera de nuestro control. Debes revisar sus avisos de privacidad antes de facilitarles datos personales.

14. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad para reflejar cambios legales, técnicos u operativos. La versión publicada en este sitio mostrará su fecha de entrada en vigor. Cuando la ley lo exija, facilitaremos un aviso adicional u obtendremos consentimiento antes de que los cambios surtan efecto.