Política de privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales derivados del uso de los sitios y aplicaciones AgroTraz es el titular del proyecto Juan Zas Marín, en la forma y alcance acordados con cada organización cliente. Para cuestiones de privacidad puede contactar en juanzas@weaselweb.es.

2. Ámbito de los servicios

La plataforma AgroTraz incluye, entre otros, los siguientes componentes técnicos descritos en nuestros repositorios y documentación:

• API principal de AgroTraz: servicio HTTP (Hono, OpenAPI) con autenticación JWT, gestión de proyectos, stock, registros, etiquetado, facturación, informes, configuración, panel de administración, subida de ficheros y descarga de versiones; base de datos PostgreSQL (TypeORM), Redis y colas BullMQ para trabajos en segundo plano.
• Tiempo real (Socket.IO, AgroTraz): servicio de WebSockets (Socket.IO) para presencia y comunicación en tiempo real, con validación de origen y autenticación mediante JWT (p. ej. cookies seguras). Puede desplegarse en subdominios como socket.agrotraz.com.
• Cliente web y escritorio de AgroTraz: aplicación web (Astro/React) y, opcionalmente, aplicación de escritorio Electron (com.agrotraz.ui) que se conecta a la API y al servicio de tiempo real.
• Portal de clientes: acceso en portal.agrotraz.com mediante código de cliente, con sesión en el navegador; los datos se validan en la API (/portal/…).
• Notificaciones: servicio modular de notificaciones (correo vía Resend, WhatsApp vía Meta Cloud API) con Redis y BullMQ.
• Microservicio de métricas de AgroTraz: proceso interno de métricas con BullMQ, TypeORM y PostgreSQL.
• Cumplimiento fiscal VeriFactu: microservicio dedicado (p. ej. Verifactu-Go) para firma XAdES, códigos QR y remisión a la AEAT según la normativa española de facturación.
• Integración industrial Modbus: conexión PLC ↔ API mediante WebSocket en la propia API (/modbus/ws) y pasarela; distinto del servicio Socket.IO de presencia.

3. Categorías de datos y finalidades

Tratamos datos identificativos y profesionales de usuarios de la plataforma (nombre, correo, teléfono, rol, empresa/proyecto), datos de producción y negocio introducidos por los clientes (lotes, stock, facturación, registros, etc.), así como datos técnicos de conexión (dirección IP, logs de solicitud en API para operaciones relevantes, métricas agregadas).

Las finalidades incluyen: prestación del servicio SaaS contratado, autenticación y seguridad (JWT, límites de peticiones, cabeceras HTTP seguras), soporte, comunicaciones transaccionales, cumplimiento legal (incluida facturación y VeriFactu frente a la AEAT cuando aplique), mejora del servicio y, si lo consiente, analítica web (p. ej. OpenPanel en el cliente UI).

La base jurídica puede ser la ejecución de un contrato, el interés legítimo (seguridad, mejora del producto) o el cumplimiento de obligaciones legales, según cada tratamiento.

4. Conservación y ubicación

Los datos se conservan mientras se mantenga la relación contractual o resulte necesario para cumplir obligaciones legales (p. ej. conservación contable y fiscal). Los servidores y proveedores de infraestructura se ubican conforme a los acuerdos con cada cliente; los subencargados de tratamiento (hosting, email, mensajería) se contratan con cláusulas tipo o medidas equivalentes cuando haya transferencias fuera del EEE.

5. Destinatarios

Podrán acceder a los datos: personal autorizado por Juan Zas Marín y del cliente, proveedores que presten servicios estrictamente necesarios (p. ej. envío de correo, WhatsApp empresarial, infraestructura en la nube), y organismos públicos cuando exista obligación legal (como la remisión de información a la AEAT en el marco VeriFactu).

6. Derechos del interesado

Puede ejercer los derechos de acceso, rectificación, supresión, limitación, oposición, portabilidad y retirar el consentimiento cuando proceda, escribiendo a juanzas@weaselweb.es. También puede reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).

7. Seguridad

Aplicamos medidas técnicas y organizativas acordes al riesgo: comunicaciones HTTPS, autenticación basada en JWT, cabeceras de seguridad (CSP, HSTS, mitigación XSS, etc.), rate limiting en API, registro de solicitudes sensibles tras autenticación y segregación de servicios (API, socket, métricas, facturación).