Política de privacidad

Información sobre el tratamiento de datos personales en EleccionesDB API.

Última actualización: 17/04/2026

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es:

Héctor Meleiro Suárez NIF: 53730127B Domicilio: Madrid Correo electrónico de contacto: gdpr@spainelectoralproject.com

2. Qué datos recogemos

Tratamos los datos que el usuario nos facilita a través del formulario de registro y del uso de la API, en particular:

  • dirección de correo electrónico,
  • identificadores de cuenta,
  • credenciales o identificadores asociados a la API,
  • información técnica y registros de uso de la API, como fecha y hora de acceso, IP, endpoint utilizado, errores y eventos de seguridad.

No solicitamos categorías especiales de datos personales.

3. Finalidades del tratamiento

Tratamos los datos personales para las siguientes finalidades:

  • gestionar el registro de usuarios,
  • crear y administrar cuentas de acceso,
  • generar, entregar, rotar, revocar y gestionar API keys,
  • prestar el servicio de acceso a la API,
  • mantener la seguridad del servicio, prevenir abusos, fraudes o accesos no autorizados,
  • atender solicitudes, incidencias y consultas de los usuarios,
  • cumplir las obligaciones legales que resulten aplicables.

Cuando el usuario lo consienta expresamente, podremos enviar comunicaciones informativas sobre novedades del servicio. Este consentimiento es libre, específico y revocable en cualquier momento.

No utilizaremos los datos para finalidades incompatibles con las anteriores.

4. Base jurídica del tratamiento

La base jurídica para el tratamiento de los datos es:

  • la ejecución de la relación precontractual o contractual al solicitar el usuario el acceso a la API y usar el servicio;
  • el interés legítimo del responsable en garantizar la seguridad, integridad y correcto funcionamiento de la plataforma, prevenir abusos y responder ante incidentes;
  • el consentimiento del usuario para el envío de comunicaciones informativas, cuando lo haya prestado;
  • el cumplimiento de obligaciones legales, cuando resulte aplicable.

5. Conservación de los datos

Los datos personales se conservarán durante el tiempo necesario para:

  • mantener activa la cuenta del usuario y prestarle el servicio;
  • gestionar incidencias, seguridad y posibles responsabilidades derivadas del uso de la API;
  • cumplir obligaciones legales.

Con carácter general:

  • los datos de la cuenta se conservarán mientras la cuenta permanezca activa y, después, durante el plazo necesario para atender posibles responsabilidades legales;
  • los registros técnicos y de seguridad se conservarán durante un máximo de 12 meses;
  • los correos o comunicaciones de soporte se conservarán mientras sean necesarios para gestionar la consulta o incidencia y, posteriormente, durante el plazo necesario para atender posibles responsabilidades.

Cuando los datos ya no sean necesarios, serán suprimidos o anonimizados de forma segura.

6. Destinatarios y encargados del tratamiento

No se cederán datos personales a terceros salvo obligación legal o cuando sea necesario para la prestación del servicio.

Podrán tener acceso a los datos los siguientes proveedores, que actúan como encargados del tratamiento con las garantías contractuales adecuadas:

  • IONOS Cloud S.L.U. — alojamiento e infraestructura. Datos en el Espacio Económico Europeo. DPA conforme al Art. 28 RGPD y Art. 33 LOPDGDD.
  • Resend — correo electrónico transaccional. Datos procesados en Irlanda (UE). DPA vigente desde el momento del registro.
  • Cloudflare, Inc. — gestión de DNS y proxy de tráfico. Cloudflare puede procesar datos técnicos (dirección IP, cabeceras HTTP) como parte de la resolución DNS y la entrega del tráfico. DPA suscrito conforme al Art. 28 RGPD. Cloudflare está certificado bajo el EU-US Data Privacy Framework y el EU Cloud Code of Conduct (ISO/IEC 27701:2019).

7. Transferencias internacionales

Cloudflare, Inc. es una empresa estadounidense que puede transferir datos técnicos (dirección IP, cabeceras HTTP) fuera del Espacio Económico Europeo. Estas transferencias están amparadas por el EU-US Data Privacy Framework, en el que Cloudflare se encuentra certificado, y por el DPA suscrito con el responsable.

El resto de proveedores procesan los datos dentro del Espacio Económico Europeo.

Si en el futuro fuera necesario utilizar proveedores adicionales situados fuera del EEE, dichas transferencias se efectuarán con las garantías adecuadas conforme a la normativa aplicable.

8. Derechos de las personas usuarias

La persona usuaria puede ejercer, cuando proceda, los siguientes derechos:

  • acceso — consultar qué datos personales tratamos (disponible en el panel de cuenta mediante la opción “Exportar mis datos”),
  • rectificación,
  • supresión — eliminar la cuenta y los datos asociados (disponible en el panel de cuenta mediante la opción “Eliminar cuenta”),
  • oposición,
  • limitación del tratamiento,
  • portabilidad — obtener una copia de los datos en formato estructurado (disponible en el panel de cuenta mediante la opción “Exportar mis datos”).

Para ejercer cualquiera de estos derechos puede enviar una solicitud a: gdpr@spainelectoralproject.com indicando el derecho que desea ejercer y acreditando su identidad cuando sea necesario.

Asimismo, si considera que el tratamiento no se ajusta a la normativa, puede presentar una reclamación ante la Agencia Española de Protección de Datos.

9. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger los datos personales frente a pérdida, acceso no autorizado, alteración o divulgación indebida. Entre ellas:

  • las API keys se almacenan como hash criptográfico (SHA-256), nunca en texto claro,
  • las contraseñas de administración se almacenan con PBKDF2-HMAC-SHA256 (600.000 iteraciones),
  • se aplica limitación de tasa (rate limiting) en los endpoints de registro,
  • se implementan cabeceras de seguridad HTTP,
  • las comunicaciones se realizan a través de HTTPS.

No obstante, ningún sistema es completamente invulnerable, por lo que no puede garantizarse una seguridad absoluta.

10. Menores de edad

El servicio no está dirigido a menores de edad. Si detectamos que se han recogido datos de un menor sin legitimación suficiente, procederemos a su supresión.

11. Cambios en esta política

Podremos actualizar esta Política de privacidad para adaptarla a cambios normativos, técnicos o del servicio. En caso de cambios relevantes, se informará por medios razonables a las personas usuarias.