Procesamiento de datos
Esta página describe qué datos personales procesa ConsentForge cuando opera en su nombre.
Datos recopilados de los visitantes de su sitio web
Cuando un visitante interactúa con el banner de ConsentForge, se recopilan los siguientes datos:
| Dato | Cómo se almacena | Retención |
|---|---|---|
| Opciones de consentimiento (aceptar/rechazar por categoría) | Con hash, en el recibo de consentimiento | 7 años |
| Marca de tiempo de la decisión | UTC, en el recibo de consentimiento | 7 años |
| Dirección IP | Solo hash SHA-256 — la IP sin procesar nunca se almacena | 7 años |
| Agente de usuario | Solo hash SHA-256 — el UA sin procesar nunca se almacena | 7 años |
| Versión de la política en el momento de la decisión | En el recibo de consentimiento | 7 años |
| Versión del banner en el momento de la decisión | En el recibo de consentimiento | 7 años |
No se almacena ningún PII sin procesar. Las direcciones IP y los agentes de usuario se procesan con hash unidireccional antes del almacenamiento.
Base legal para la propia recopilación de datos de ConsentForge
ConsentForge procesa datos de visitantes bajo intereses legítimos (Art. 6(1)(f) RGPD): registrar las decisiones de consentimiento es necesario para permitirle demostrar el cumplimiento. Este procesamiento es inherente al servicio.
Ubicación de los datos
Toda la infraestructura de ConsentForge está alojada en la Unión Europea (Fráncfort, Alemania). Los datos no salen de la UE.
Acuerdo de procesamiento de datos
ConsentForge actúa como procesador de datos según el Art. 28 del RGPD. Usted (el propietario del sitio web) es el responsable del tratamiento.
Un DPA prefirmado está disponible en Panel → Cuenta → Legal → Acuerdo de procesamiento de datos.
Retención de recibos de consentimiento
Los recibos de consentimiento se conservan durante 7 años para cumplir con las obligaciones de auditoría del RGPD. Puede exportar recibos en cualquier momento a través de:
- Panel → Evidencia → Exportar
- API:
GET /api/v1/receipts
Derecho de supresión (Art. 17 RGPD)
Dado que los recibos de consentimiento se almacenan solo como identificadores con hash (sin PII sin procesar), no es posible identificar ni eliminar registros pertenecientes a una persona específica — el hash es irreversible. Este diseño es intencional y reduce sus obligaciones de eliminación del RGPD para los registros de consentimiento.
Notificación de violación de datos
En caso de una violación de datos que afecte a los datos de su tenant, ConsentForge le notificará dentro de las 72 horas de conformidad con el Art. 33 del RGPD. La notificación se enviará a la dirección de correo electrónico principal de su cuenta.