Skip to main content
Maat Impact
HomeAbout
BlogResourcesContact
Request demoLogin

    Maat Impact

    Corporate volunteering and CSR software. Manage social impact programs, measure SDG results and generate automatic ESG reports.

    Company

    • About Us
    • Services
    • Pricing
    • Contact
    • Blog

    Resources

    • Downloadable Resources
    • Blog Articles
    • Service Guides

    Legal

    • Terms and Conditions
    • Privacy Policy
    • Cookie Policy
    • Legal Notice
    • Accessibility
    • Subprocessors
    • Trust Center

    Contact Us

    • Valencia, Spain
    • +34 649 92 30 77
    • equipo.maat@maatimpact.com

    Mobile App

    Take your social impact wherever you go with our mobile app.

    Get it on
    Google Play
    Coming Soon
    App Store

    Subscribe to our newsletter

    Get updates on social impact, CSR and sustainability straight to your inbox.

    © 2026 Maat Impact. All rights reserved.

    Follow Us

    Legal document in Spanish only

    This legal document is available in Spanish only by legal requirement. MAAT IMPACT INNOVATION SLL is a Spanish company and its legal terms are governed by current Spanish law (LSSI-CE, GDPR, LOPDGDD). Please refer to the Spanish version, which is the only legally binding text.

    Back to home

    Política de Privacidad

    MAAT IMPACT INNOVATION SLL
    Versión 2.0 | Última actualización: 26 de febrero de 2026

    En MAAT IMPACT INNOVATION SLL valoramos la privacidad de nuestros usuarios y nos comprometemos a proteger sus datos personales conforme a la normativa vigente, incluido el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

    1. Responsable del tratamiento

    • Denominación social: MAAT IMPACT INNOVATION SLL
    • CIF: B21880182
    • Registro Mercantil: Madrid (2 actos BORME publicados)
    • Domicilio social: Calle Camino de Perales 48, portal B, 6.º A, 28041 Madrid, España
    • Teléfono: +34-649-92-30-77
    • Email: legal@maatimpact.com
    • Sitio web: https://maatimpact.com

    En adelante, "Maat Impact", "nosotros", "nuestro/a" o "la Plataforma".

    2. Delegado de Protección de Datos (DPO)

    Puede contactar con nuestro Delegado de Protección de Datos (DPO) para cualquier consulta relacionada con el tratamiento de sus datos personales:

    • DPO: dpo@maatimpact.com
    • Legal: legal@maatimpact.com

    3. ¿Qué datos personales recopilamos?

    Modelo de datos personalizables por empresa (Art. 5.1.c y Art. 25.2 RGPD)

    Cada empresa cliente configura de forma independiente qué datos personales solicita a sus empleados. La plataforma requiere únicamente nombre y email (3 campos obligatorios). Campos adicionales como DNI/NIE, teléfono, fecha de nacimiento, género o certificados de antecedentes son activables individualmente por cada organización según sus necesidades. Todos los campos activados se cifran automáticamente con AES-256-GCM.

    3.1. Datos de registro de usuario

    Campos obligatorios (todas las empresas):

    • Nombre y apellidos (cifrados con AES-256-GCM)
    • Correo electrónico (cifrado con AES-256-GCM, hash SHA-256 para búsqueda)

    Campos activables por empresa:

    • DNI/NIE (cifrado AES-256-GCM, hash SHA-256)
    • Teléfono (cifrado AES-256-GCM, hash SHA-256)
    • Fecha de nacimiento (cifrada AES-256-GCM)
    • Género
    • Certificados de antecedentes penales y delitos sexuales (URLs firmadas temporales en Firebase Storage)
    • Emails OAuth vinculados: Google, Microsoft (cifrados AES-256-GCM)
    • Secreto TOTP para autenticación multifactor (cifrado AES-256-GCM)

    3.2. Datos de contacto (formularios web)

    • Nombre completo
    • Correo electrónico
    • Teléfono (opcional)
    • Nombre de la empresa (opcional)
    • Asunto de la consulta
    • Mensaje/comentarios

    3.3. Datos de actividad en la plataforma

    • Participación en iniciativas de voluntariado
    • Asistencia a sesiones (timestamps, códigos QR)
    • Respuestas a encuestas
    • Mensajes de chat
    • Descargas de recursos
    • Puntos de gamificación y logros

    3.4. Datos de navegación (cookies)

    • Microsoft Clarity: Session recordings, heatmaps, IP (anonimizada)
    • Información del dispositivo (navegador, OS, resolución)
    • Páginas visitadas y tiempo en sitio

    Para más información, consulte nuestra Política de Cookies.

    3.5. Categorías especiales de datos (Art. 9 RGPD)

    • Antecedentes penales: Certificados para voluntariado con menores (Art. 10 RGPD)

    4. Finalidad y base jurídica del tratamiento

    FinalidadBase Legal
    Gestión de cuenta de usuarioEjecución del contrato (Art. 6.1.b RGPD)
    Responder a formularios de contactoConsentimiento (Art. 6.1.a RGPD)
    Envío de newsletter y comunicacionesConsentimiento (Art. 6.1.a RGPD)
    Analítica web (Microsoft Clarity)Consentimiento (Art. 6.1.a RGPD)
    Facturación empresas B2BObligación legal fiscal (Art. 6.1.c RGPD)

    5. ¿Durante cuánto tiempo conservamos sus datos?

    • Usuarios activos: Mientras la cuenta esté activa
    • Tras solicitud de eliminación: 30 días de gracia (cancelable por el usuario) + anonimización automática mediante proceso de 12 pasos
    • Intentos de login: 90 días (eliminación automática)
    • Historial de contraseñas: 2 años (eliminación automática)
    • Logs de sincronización HRIS: 90 días (eliminación automática)
    • Logs de auditoría: 5 años (anonimización automática)
    • Registros de consentimiento: Indefinido (Art. 7.1 RGPD - no se eliminan)
    • Cloud Logging: 90 días (retención automática GCP)
    • URLs firmadas (Storage): 15 minutos a 7 días según tipo (expiración automática)
    • Facturas B2B: Mínimo 4 años (obligación legal fiscal)

    6. ¿Con quién compartimos sus datos?

    Sus datos personales pueden ser comunicados a los siguientes encargados del tratamiento:

    ProveedorServicioUbicación
    Google Cloud PlatformCloud Run, Cloud SQL, Cloud LoggingUE (europe-west1, Bélgica)
    Firebase (Google)Autenticación (Auth), almacenamiento de archivos (Storage)USA/UE
    MicrosoftClarity (analítica con consentimiento), OAuthUSA
    Redis (Google Cloud Memorystore)Caché y gestión de sesiones (con TLS)UE (europe-west1)

    Certificaciones de sub-encargados: Google Cloud Platform: ISO 27001, SOC 2, ENS Alto. Firebase: ISO 27001, SOC 2. Microsoft: ISO 27001, SOC 1/2.

    Garantía adicional: Incluso si un sub-encargado accediera a la base de datos, los campos PII están cifrados con AES-256-GCM con claves que solo Maat Impact posee en Secret Manager.

    Nota importante: Nunca vendemos ni alquilamos sus datos personales a terceros.

    7. Transferencias internacionales de datos

    Algunos de nuestros proveedores están ubicados en Estados Unidos. Las transferencias se realizan bajo las siguientes garantías:

    • Data Privacy Framework (DPF): Google y Microsoft están certificados bajo el marco UE-EEUU (Decisión CE 10/07/2023)
    • Cláusulas Contractuales Tipo (SCCs): Complementarias conforme a la Decisión 2021/914
    • Datos core en la UE: La base de datos principal se procesa en la región europe-west1 (Bélgica, UE)
    • Cifrado adicional: Los campos PII están cifrados con AES-256-GCM con claves exclusivas de Maat Impact en Secret Manager, proporcionando protección adicional independientemente de la ubicación del sub-encargado

    8. Medidas de seguridad

    Implementamos medidas técnicas y organizativas para proteger sus datos personales:

    • Cifrado en reposo (AES-256-GCM): 57+ campos PII cifrados en ~25 entidades con IV aleatorio por operación. Claves gestionadas en Google Secret Manager
    • Cifrado en tránsito (TLS 1.2+): HTTPS obligatorio en todas las conexiones (HTTP, WebSocket, Redis, Cloud SQL)
    • Hashing SHA-256: 23 campos hash para búsqueda indexada sin descifrado, con salt criptográfico en Secret Manager
    • Autenticación multifactor (MFA): TOTP disponible para todos los usuarios. Códigos de respaldo como hashes bcrypt (one-way)
    • Control de acceso (RBAC): 6 niveles jerárquicos con ~185 DTOs de validación field-level. Verificación de propiedad de entidad en cada petición
    • Protección contra ataques: OWASP Top 10 completo (10/10), 20+ rate limiters multicapa, protección CSRF con double-submit y rotación, reCAPTCHA v3
    • Sesiones seguras: JWT en cookies httpOnly con SameSite. Expiración configurable. Blacklisting de tokens
    • Auditoría: Audit trail con 46 tipos de acciones, integridad HMAC-SHA256, PII sanitizada en logs
    • Pipeline CI/CD seguro: 19 quality gates de seguridad (Gitleaks, Semgrep SAST, SonarQube, Trivy, ZAP DAST, Nuclei, npm audit, Checkov, SBOM CycloneDX)
    • Detección de brechas: breachDetectionService en tiempo real (4 patrones: fuerza bruta, credential stuffing, exportación masiva, escalada de privilegios)
    • Cabeceras de seguridad: Helmet con 12 cabeceras, CSP con nonces, HSTS, CORS restrictivo

    9. Derechos del usuario

    Conforme al RGPD, usted tiene derecho a:

    • Acceso (Art. 15): Conocer qué datos personales tenemos sobre usted
    • Rectificación (Art. 16): Corregir datos inexactos o incompletos
    • Supresión (Art. 17): Solicitar la eliminación de sus datos ("derecho al olvido") mediante anonimización de 12 pasos con 30 días de gracia cancelable
    • Limitación (Art. 18): Restringir el tratamiento de sus datos
    • Portabilidad (Art. 20): Recibir sus datos en formato JSON interoperable legible por máquina (Art. 20.1 RGPD)
    • Oposición (Art. 21): Oponerse al tratamiento basado en interés legítimo
    • Retirar consentimiento (Art. 7.3): Revocar consentimientos otorgados (ej. cookies, marketing)

    ¿Cómo ejercer sus derechos?

    • Email: legal@maatimpact.com
    • DPO: dpo@maatimpact.com
    • Correo postal: MAAT IMPACT INNOVATION SLL, Calle Camino de Perales 48, portal B, 6.º A, 28041 Madrid, España

    Plazo de respuesta: 1 mes desde la recepción de su solicitud (prorrogable 2 meses en casos complejos).

    Coste: Gratuito (salvo solicitudes manifiestamente infundadas o excesivas).

    Reclamación ante la AEPD

    Si considera que sus derechos han sido vulnerados, puede presentar una reclamación ante la Agencia Española de Protección de Datos:

    • Sede electrónica: https://sedeaepd.gob.es
    • Dirección: C/ Jorge Juan, 6, 28001 Madrid
    • Teléfono: 901 100 099 / 912 663 517

    10. Cookies y tecnologías similares

    Nuestro sitio web utiliza cookies y tecnologías similares. Para información detallada, consulte nuestra Política de Cookies.

    Tipos de cookies: Necesarias (sin consentimiento), Analíticas (Microsoft Clarity - requiere consentimiento), Personalización (preferencias del usuario).

    11. Menores de edad

    Edad mínima: 16 años para el uso general de la plataforma.

    18 años requeridos para: Acceso a certificados de antecedentes penales.

    Mentees externos menores de 18 años: Para mentees externos menores de 18 años, el flujo de consentimiento requiere autenticación del tutor legal con token de verificación y documento justificativo. Los datos del tutor (nombre, email, teléfono) se cifran con AES-256-GCM.

    Los menores de edad deben contar con el consentimiento de sus padres o tutores legales para el uso de la Plataforma.

    12. Protección de menores y tolerancia cero contra CSAM

    MAAT Impact mantiene tolerancia cero con cualquier forma de explotación y abuso sexual infantil (CSAM - Child Sexual Abuse Material).

    Nuestra plataforma está diseñada exclusivamente para conectar empresas con ONGs verificadas en programas de voluntariado corporativo para adultos. No permitimos contenido que explote o ponga en peligro a menores.

    Cualquier contenido o conducta que viole esta política será eliminado inmediatamente y reportado a las autoridades competentes, incluyendo las Fuerzas y Cuerpos de Seguridad del Estado y el National Center for Missing & Exploited Children (NCMEC).

    Reportar contenido inapropiado

    Si detecta cualquier contenido que viole esta política o que pueda poner en peligro a menores, por favor contacte inmediatamente:

    • Email: equipo.maat@maatimpact.com
    • Asunto sugerido: "Reporte de contenido - Protección de menores"

    13. Modificaciones de esta política

    Nos reservamos el derecho de modificar esta Política de Privacidad para adaptarla a cambios normativos o en nuestros servicios. Los cambios se publicarán en esta página con indicación de la fecha de actualización. Le recomendamos revisarla periódicamente.

    14. Legislación aplicable y jurisdicción

    Esta Política de Privacidad se rige por la legislación española, en particular:

    • Reglamento (UE) 2016/679 (RGPD)
    • Ley Orgánica 3/2018 (LOPDGDD)
    • Ley 34/2002 (LSSI-CE)
    • Reglamento (UE) 2022/2554 (DORA) — Resiliencia Operativa Digital (aplicable como proveedor TIC de entidades financieras)

    Para usuarios consumidores, será competente el Juzgado de su domicilio. Para usuarios empresariales (B2B), los Juzgados y Tribunales de Madrid.

    15. Contacto

    MAAT IMPACT INNOVATION SLL

    CIF: B21880182

    Registro Mercantil: Madrid (2 actos BORME publicados)

    Dirección: Calle Camino de Perales 48, portal B, 6.º A, 28041 Madrid, España

    Teléfono: +34-649-92-30-77

    Email: legal@maatimpact.com

    DPO: dpo@maatimpact.com

    Seguridad: security@maatimpact.com

    Web: https://maatimpact.com

    Última actualización: 26 de febrero de 2026 | Versión 2.0

    MAAT IMPACT INNOVATION SLL se compromete a garantizar el pleno ejercicio de sus derechos en materia de protección de datos personales.

    Privacy Policy | Maat Impact | Maat Impact