Documento público
Cumplimiento
Cambia Ya está diseñado para cumplir con RGPD, LSSI-CE y AI Act desde el día uno. Esta página resume públicamente cómo lo hacemos, para que partners, usuarios y auditores puedan verificarlo sin pedirnos una llamada.
RGPD
Reglamento General de Protección de Datos
- Vidika Martech Agency S.L. (NIF B22682660) actúa como Responsable del Tratamiento.
- Anthropic PBC y Hostinger International Ltd actúan como Encargados del Tratamiento, vinculados por un contrato de tratamiento de datos en los términos del artículo 28 del RGPD.
- Procedimiento documentado de notificación de brecha de datos en 72 horas (artículo 33 RGPD) a la AEPD y al usuario afectado.
- Atendemos los derechos ARCO-POL (acceso, rectificación, cancelación, oposición, portabilidad, olvido y limitación) en menos de 30 días desde la solicitud, dirigida a contacto@vidika.es.
- Registro de actividades del tratamiento mantenido conforme al artículo 30 RGPD.
- Aplicamos las medidas técnicas y organizativas del artículo 32 (cifrado en tránsito, control de acceso, registro de eventos, copias de seguridad).
LSSI-CE
Servicios de la Sociedad de la Información
- Banner de cookies de doble capa conforme a la guía de cookies de la AEPD, con la opción de rechazar al mismo nivel visual y de accesibilidad que la de aceptar.
- Persistencia del consentimiento en la tabla
cy_consent_logcon marca temporal, IP truncada, versión del texto legal mostrado y user-agent. - Identificación completa del prestador del servicio (denominación social, NIF, domicilio y email) en la página Privacidad y en el pie de cada página.
AI Act
Reglamento (UE) 2024/1689 de inteligencia artificial
- Donna se identifica como IA al inicio de cada conversación, en cumplimiento del artículo 50 del Reglamento (UE) 2024/1689 (AI Act).
- Las recomendaciones de Donna se basan en catálogos verificables de partners almacenados en cy_offers, no en alucinaciones del modelo. Toda recomendación es trazable a la oferta concreta.
- Inventario IA documentado en libs/claude_api.php con clasificación limited risk: asistente conversacional para comparación comercial sin decisiones autónomas con efectos jurídicos sobre el usuario.
- El usuario puede solicitar revisión humana de cualquier recomendación escribiendo a contacto@vidika.es.
- No utilizamos IA para puntuación social, manipulación subliminal, deepfakes ni clasificación biométrica. Cambia Ya no incurre en ninguno de los usos prohibidos del artículo 5 del AI Act.
Infraestructura europea
Datos alojados y respaldados en la UE
- El hosting principal del comparador está operado por Hostinger en la Unión Europea. Las bases de datos, los logs aplicativos y las copias de seguridad residen en infraestructura europea.
- Cuando es estrictamente necesario utilizar servicios fuera de la UE, como el API de Claude operado por Anthropic en Estados Unidos, lo hacemos amparados en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea mediante la Decisión (UE) 2021/914, complementadas con medidas suplementarias de seguridad.
Subencargados notificados
Para garantizar la transparencia exigida por el artículo 28.2 del RGPD, listamos públicamente los subencargados que intervienen en el tratamiento:
| Proveedor | Finalidad | Ubicación | Garantía |
|---|---|---|---|
| Hostinger International Ltd | Infraestructura de hosting | UE | DPA Art. 28 |
| Anthropic PBC | Claude API (Donna) | EEUU | DPA + SCC |
| Google Ireland Ltd | Captación (Google Ads) | UE | DPA Art. 28 |
| Meta Platforms Ireland Ltd | Captación (Meta Ads + CAPI) | UE | DPA Art. 28 |
Contacto
Para cualquier solicitud relacionada con cumplimiento, derechos de protección de datos o auditoría del stack: contacto@vidika.es.
Si consideras que el tratamiento no se ajusta a la normativa, puedes reclamar ante la AEPD (www.aepd.es).