Política de Privacidad

MAAT IMPACT INNOVATION SLL
Versión 2.0 | Última actualización: 26 de febrero de 2026

En MAAT IMPACT INNOVATION SLL valoramos la privacidad de nuestros usuarios y nos comprometemos a proteger sus datos personales conforme a la normativa vigente, incluido el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

1. Responsable del tratamiento

Denominación social: MAAT IMPACT INNOVATION SLL
CIF: B21880182
Registro Mercantil: Madrid (2 actos BORME publicados)
Domicilio social: Edificio Lanzadera, Valencia, España
Teléfono: +34-649-92-30-77
Email: legal@maatimpact.com
Sitio web: https://maatimpact.com

En adelante, "Maat Impact", "nosotros", "nuestro/a" o "la Plataforma".

2. Delegado de Protección de Datos (DPO)

Puede contactar con nuestro Delegado de Protección de Datos (DPO) para cualquier consulta relacionada con el tratamiento de sus datos personales:

DPO: dpo@maatimpact.com
Legal: legal@maatimpact.com

3. ¿Qué datos personales recopilamos?

Modelo de datos personalizables por empresa (Art. 5.1.c y Art. 25.2 RGPD)

Cada empresa cliente configura de forma independiente qué datos personales solicita a sus empleados. La plataforma requiere únicamente nombre y email (3 campos obligatorios). Campos adicionales como DNI/NIE, teléfono, fecha de nacimiento, género o certificados de antecedentes son activables individualmente por cada organización según sus necesidades. Todos los campos activados se cifran automáticamente con AES-256-GCM.

3.1. Datos de registro de usuario

Campos obligatorios (todas las empresas):

Nombre y apellidos (cifrados con AES-256-GCM)
Correo electrónico (cifrado con AES-256-GCM, hash SHA-256 para búsqueda)

Campos activables por empresa:

DNI/NIE (cifrado AES-256-GCM, hash SHA-256)
Teléfono (cifrado AES-256-GCM, hash SHA-256)
Fecha de nacimiento (cifrada AES-256-GCM)
Género
Certificados de antecedentes penales y delitos sexuales (URLs firmadas temporales en Firebase Storage)
Emails OAuth vinculados: Google, Microsoft (cifrados AES-256-GCM)
Secreto TOTP para autenticación multifactor (cifrado AES-256-GCM)

3.2. Datos de contacto (formularios web)

Nombre completo
Correo electrónico
Teléfono (opcional)
Nombre de la empresa (opcional)
Asunto de la consulta
Mensaje/comentarios

3.3. Datos de actividad en la plataforma

Participación en iniciativas de voluntariado
Asistencia a sesiones (timestamps, códigos QR)
Respuestas a encuestas
Mensajes de chat
Descargas de recursos
Puntos de gamificación y logros

3.4. Datos de navegación (cookies)

Microsoft Clarity: Session recordings, heatmaps, IP (anonimizada)
Información del dispositivo (navegador, OS, resolución)
Páginas visitadas y tiempo en sitio

Para más información, consulte nuestra Política de Cookies.

3.5. Categorías especiales de datos (Art. 9 RGPD)

Antecedentes penales: Certificados para voluntariado con menores (Art. 10 RGPD)

4. Finalidad y base jurídica del tratamiento

Finalidad	Base Legal
Gestión de cuenta de usuario	Ejecución del contrato (Art. 6.1.b RGPD)
Responder a formularios de contacto	Consentimiento (Art. 6.1.a RGPD)
Envío de newsletter y comunicaciones	Consentimiento (Art. 6.1.a RGPD)
Analítica web (Microsoft Clarity)	Consentimiento (Art. 6.1.a RGPD)
Facturación empresas B2B	Obligación legal fiscal (Art. 6.1.c RGPD)

5. ¿Durante cuánto tiempo conservamos sus datos?

Usuarios activos: Mientras la cuenta esté activa
Tras solicitud de eliminación: 30 días de gracia (cancelable por el usuario) + anonimización automática mediante proceso de 12 pasos
Intentos de login: 90 días (eliminación automática)
Historial de contraseñas: 2 años (eliminación automática)
Logs de sincronización HRIS: 90 días (eliminación automática)
Logs de auditoría: 5 años (anonimización automática)
Registros de consentimiento: Indefinido (Art. 7.1 RGPD - no se eliminan)
Cloud Logging: 90 días (retención automática GCP)
URLs firmadas (Storage): 15 minutos a 7 días según tipo (expiración automática)
Facturas B2B: Mínimo 4 años (obligación legal fiscal)

6. ¿Con quién compartimos sus datos?

Sus datos personales pueden ser comunicados a los siguientes encargados del tratamiento:

Proveedor	Servicio	Ubicación
Google Cloud Platform	Cloud Run, Cloud SQL, Cloud Logging	UE (europe-west1, Bélgica)
Firebase (Google)	Autenticación (Auth), almacenamiento de archivos (Storage)	USA/UE
Microsoft	Clarity (analítica con consentimiento), OAuth	USA
Redis (Google Cloud Memorystore)	Caché y gestión de sesiones (con TLS)	UE (europe-west1)

Certificaciones de sub-encargados: Google Cloud Platform: ISO 27001, SOC 2, ENS Alto. Firebase: ISO 27001, SOC 2. Microsoft: ISO 27001, SOC 1/2.

Garantía adicional: Incluso si un sub-encargado accediera a la base de datos, los campos PII están cifrados con AES-256-GCM con claves que solo Maat Impact posee en Secret Manager.

Nota importante: Nunca vendemos ni alquilamos sus datos personales a terceros.

7. Transferencias internacionales de datos

Algunos de nuestros proveedores están ubicados en Estados Unidos. Las transferencias se realizan bajo las siguientes garantías:

Data Privacy Framework (DPF): Google y Microsoft están certificados bajo el marco UE-EEUU (Decisión CE 10/07/2023)
Cláusulas Contractuales Tipo (SCCs): Complementarias conforme a la Decisión 2021/914
Datos core en la UE: La base de datos principal se procesa en la región europe-west1 (Bélgica, UE)
Cifrado adicional: Los campos PII están cifrados con AES-256-GCM con claves exclusivas de Maat Impact en Secret Manager, proporcionando protección adicional independientemente de la ubicación del sub-encargado

8. Medidas de seguridad

Implementamos medidas técnicas y organizativas para proteger sus datos personales:

Cifrado en reposo (AES-256-GCM): 57+ campos PII cifrados en ~25 entidades con IV aleatorio por operación. Claves gestionadas en Google Secret Manager
Cifrado en tránsito (TLS 1.2+): HTTPS obligatorio en todas las conexiones (HTTP, WebSocket, Redis, Cloud SQL)
Hashing SHA-256: 23 campos hash para búsqueda indexada sin descifrado, con salt criptográfico en Secret Manager
Autenticación multifactor (MFA): TOTP disponible para todos los usuarios. Códigos de respaldo como hashes bcrypt (one-way)
Control de acceso (RBAC): 6 niveles jerárquicos con ~185 DTOs de validación field-level. Verificación de propiedad de entidad en cada petición
Protección contra ataques: OWASP Top 10 completo (10/10), 20+ rate limiters multicapa, protección CSRF con double-submit y rotación, reCAPTCHA v3
Sesiones seguras: JWT en cookies httpOnly con SameSite. Expiración configurable. Blacklisting de tokens
Auditoría: Audit trail con 46 tipos de acciones, integridad HMAC-SHA256, PII sanitizada en logs
Pipeline CI/CD seguro: 19 quality gates de seguridad (Gitleaks, Semgrep SAST, SonarQube, Trivy, ZAP DAST, Nuclei, npm audit, Checkov, SBOM CycloneDX)
Detección de brechas: breachDetectionService en tiempo real (4 patrones: fuerza bruta, credential stuffing, exportación masiva, escalada de privilegios)
Cabeceras de seguridad: Helmet con 12 cabeceras, CSP con nonces, HSTS, CORS restrictivo

9. Derechos del usuario

Conforme al RGPD, usted tiene derecho a:

Acceso (Art. 15): Conocer qué datos personales tenemos sobre usted
Rectificación (Art. 16): Corregir datos inexactos o incompletos
Supresión (Art. 17): Solicitar la eliminación de sus datos ("derecho al olvido") mediante anonimización de 12 pasos con 30 días de gracia cancelable
Limitación (Art. 18): Restringir el tratamiento de sus datos
Portabilidad (Art. 20): Recibir sus datos en formato JSON interoperable legible por máquina (Art. 20.1 RGPD)
Oposición (Art. 21): Oponerse al tratamiento basado en interés legítimo
Retirar consentimiento (Art. 7.3): Revocar consentimientos otorgados (ej. cookies, marketing)

¿Cómo ejercer sus derechos?

Email: legal@maatimpact.com
DPO: dpo@maatimpact.com
Correo postal: MAAT IMPACT INNOVATION SLL, Edificio Lanzadera, Valencia, España

Plazo de respuesta: 1 mes desde la recepción de su solicitud (prorrogable 2 meses en casos complejos).

Coste: Gratuito (salvo solicitudes manifiestamente infundadas o excesivas).

Reclamación ante la AEPD

Si considera que sus derechos han sido vulnerados, puede presentar una reclamación ante la Agencia Española de Protección de Datos:

Sede electrónica: https://sedeagpd.gob.es
Dirección: C/ Jorge Juan, 6, 28001 Madrid
Teléfono: 901 100 099 / 912 663 517

10. Cookies y tecnologías similares

Nuestro sitio web utiliza cookies y tecnologías similares. Para información detallada, consulte nuestra Política de Cookies.

Tipos de cookies: Necesarias (sin consentimiento), Analíticas (Microsoft Clarity - requiere consentimiento), Personalización (preferencias del usuario).

11. Menores de edad

Edad mínima: 16 años para el uso general de la plataforma.

18 años requeridos para: Acceso a certificados de antecedentes penales.

Mentees externos menores de 18 años: Para mentees externos menores de 18 años, el flujo de consentimiento requiere autenticación del tutor legal con token de verificación y documento justificativo. Los datos del tutor (nombre, email, teléfono) se cifran con AES-256-GCM.

Los menores de edad deben contar con el consentimiento de sus padres o tutores legales para el uso de la Plataforma.

12. Protección de menores y tolerancia cero contra CSAM

MAAT Impact mantiene tolerancia cero con cualquier forma de explotación y abuso sexual infantil (CSAM - Child Sexual Abuse Material).

Nuestra plataforma está diseñada exclusivamente para conectar empresas con ONGs verificadas en programas de voluntariado corporativo para adultos. No permitimos contenido que explote o ponga en peligro a menores.

Cualquier contenido o conducta que viole esta política será eliminado inmediatamente y reportado a las autoridades competentes, incluyendo las Fuerzas y Cuerpos de Seguridad del Estado y el National Center for Missing & Exploited Children (NCMEC).

Reportar contenido inapropiado

Si detecta cualquier contenido que viole esta política o que pueda poner en peligro a menores, por favor contacte inmediatamente:

Email: equipo.maat@maatimpact.com
Asunto sugerido: "Reporte de contenido - Protección de menores"

13. Modificaciones de esta política

Nos reservamos el derecho de modificar esta Política de Privacidad para adaptarla a cambios normativos o en nuestros servicios. Los cambios se publicarán en esta página con indicación de la fecha de actualización. Le recomendamos revisarla periódicamente.

14. Legislación aplicable y jurisdicción

Esta Política de Privacidad se rige por la legislación española, en particular:

Reglamento (UE) 2016/679 (RGPD)
Ley Orgánica 3/2018 (LOPDGDD)
Ley 34/2002 (LSSI-CE)
Reglamento (UE) 2022/2554 (DORA) — Resiliencia Operativa Digital (aplicable como proveedor TIC de entidades financieras)

Para usuarios consumidores, será competente el Juzgado de su domicilio. Para usuarios empresariales (B2B), los Juzgados y Tribunales de Madrid.

15. Contacto

MAAT IMPACT INNOVATION SLL

CIF: B21880182

Registro Mercantil: Madrid (2 actos BORME publicados)

Dirección: Edificio Lanzadera, Valencia, España

Teléfono: +34-649-92-30-77

Email: legal@maatimpact.com

DPO: dpo@maatimpact.com

Seguridad: seguridad@maatimpact.com

Web: https://maatimpact.com

Última actualización: 26 de febrero de 2026 | Versión 2.0

MAAT IMPACT INNOVATION SLL se compromete a garantizar el pleno ejercicio de sus derechos en materia de protección de datos personales.