Información que recibimos y por qué la necesitamos

Trabajamos con distintos tipos de información según el momento en que interactúas con nosotros. La recogida ocurre en tres momentos principales: cuando te registras, cuando solicitas asesoramiento personalizado, y cuando realizas operaciones financieras a través de nuestra plataforma.

Categorías de información y su origen

La información llega a nosotros por tres vías distintas. Primero, tú nos la proporcionas directamente cuando rellenas formularios o solicitas servicios. Segundo, la generamos internamente cuando prestas atención a contenidos educativos o realizas simulaciones financieras. Y tercero —aunque menos frecuente—, podemos recibirla de entidades colaboradoras cuando inicias procesos de portabilidad bancaria o cuando verificamos tu identidad con bases de datos oficiales.

Base jurídica para cada tratamiento

Cada uso tiene un fundamento legal específico. Procesamos tus datos de identificación porque existe una obligación legal derivada de la Ley 10/2010 de prevención del blanqueo de capitales. Cuando ejecutamos tus órdenes de inversión o transferencias, lo hacemos porque resulta necesario para cumplir el contrato que firmaste con nosotros. El análisis de tu perfil inversor responde a otra exigencia legal: el Real Decreto 217/2008 sobre servicios de inversión.

Hay situaciones donde operamos bajo tu consentimiento explícito. Si te suscribes a nuestro boletín mensual con análisis de mercados o si activas alertas personalizadas de oportunidades, estás autorizando ese tratamiento específico. Puedes retirarlo cuando quieras sin que afecte a los servicios principales.

Y existe un último fundamento: nuestro interés legítimo en prevenir fraudes y garantizar la seguridad de la plataforma. Aquí analizamos patrones de comportamiento anómalos que podrían indicar accesos no autorizados, pero siempre valoramos que ese interés no prevalezca sobre tus derechos fundamentales.

Cómo trabajamos internamente con tu información

Una vez que recibimos tus datos, entran en diferentes circuitos operativos según su naturaleza. No toda la información está disponible para todo el personal. Aplicamos segregación estricta basada en roles laborales.

Acceso interno segmentado

• El equipo de atención al cliente visualiza tu nombre, contacto e historial de consultas, pero no accede a tu IBAN completo ni a tus movimientos financieros detallados.
• Los analistas financieros que preparan recomendaciones personalizadas trabajan con tu perfil de riesgo y capacidad inversora, pero en formato pseudonimizado vinculado a un código interno.
• El departamento de cumplimiento normativo sí tiene acceso completo a tu ficha, pero solo cuando investigan alertas concretas o preparan informes regulatorios obligatorios.
• Los técnicos de sistemas manejan datos de conexión y rendimiento, pero no ven información financiera personal salvo en procesos de resolución de incidencias graves con supervisión del responsable de seguridad.

Utilizamos sistemas automatizados para determinadas operaciones. Por ejemplo, cuando solicitas una simulación de rentabilidad para un producto específico, un algoritmo calcula proyecciones basadas en tu perfil sin intervención humana. O cuando realizas una transferencia, nuestro sistema verifica automáticamente que cumples los límites establecidos en tu contrato antes de ejecutarla.

Pero hay decisiones importantes que nunca dejamos en manos de la automatización pura. Si nuestro sistema detecta una operación potencialmente sospechosa por su cuantía o destino inusual, te contactaremos directamente antes de bloquearla. No aplicamos rechazos automáticos sin posibilidad de revisión humana en asuntos que puedan afectar significativamente tu acceso a los servicios.

Retención temporal y eliminación

La información no permanece indefinidamente. Cada categoría tiene un ciclo de vida diferente vinculado a necesidades operativas o exigencias legales. Tu historial de transacciones financieras lo conservamos durante diez años desde que cierras tu cuenta, porque la Agencia Tributaria puede requerirlo en ese periodo según el artículo 70 de la Ley General Tributaria.

Las conversaciones con nuestro equipo de atención se mantienen durante tres años tras la resolución del caso. Pasado ese tiempo, se eliminan automáticamente salvo que formen parte de una reclamación formal en curso. Los registros técnicos de acceso se conservan dos años por razones de seguridad informática, y después se borran irreversiblemente.

Si cierras tu cuenta voluntariamente, conservaremos únicamente la información que nos obliga la ley —básicamente, documentación fiscal y registros de transacciones— y eliminaremos todo lo demás en un plazo máximo de 90 días. Recibirás confirmación por escrito cuando completemos el proceso.

Cuándo compartimos información con terceros

selaravena no vende ni alquila tu información personal a nadie. Pero operamos en un sector altamente regulado donde determinados datos deben moverse hacia entidades externas por razones funcionales o legales.

Proveedores de servicios esenciales

Trabajamos con empresas especializadas que nos ayudan a operar la plataforma. Un proveedor tecnológico gestiona nuestros servidores y sistemas de seguridad, otro procesa las transferencias bancarias como entidad de pago autorizada, y una firma externa realiza las verificaciones de identidad cotejando tu documentación con bases de datos oficiales.

Estas entidades actúan como encargadas del tratamiento bajo contrato. No pueden usar tu información para fines propios ni compartirla con otros. Hemos auditado sus medidas de seguridad antes de contratarlas y revisamos su cumplimiento anualmente. Si alguna sufriera una brecha de seguridad que afectara a tus datos, tienen obligación de notificárnoslo en menos de 24 horas.

Autoridades y organismos reguladores

La Comisión Nacional del Mercado de Valores puede requerir información sobre operaciones específicas en el marco de investigaciones de supervisión. El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales nos exige reportar operaciones que superen umbrales establecidos o que presenten indicadores de riesgo según su normativa.

La Agencia Tributaria recibe automáticamente un informe anual con tus rendimientos de capital mobiliario para precumplimentar tu declaración de la renta. Y si un juzgado nos remite una orden judicial solicitando información en el marco de un proceso legal, debemos atenderla dentro del plazo que establezcan.

En estos casos no necesitamos tu consentimiento previo porque prevalece la obligación legal, pero te informaremos siempre que la normativa nos permita hacerlo sin obstaculizar la investigación.

Transferencias internacionales

Nuestros servidores principales están ubicados en España y todos los proveedores críticos operan dentro del Espacio Económico Europeo. Sin embargo, utilizamos una herramienta de análisis de riesgo crediticio desarrollada por una empresa suiza. Suiza cuenta con una decisión de adecuación de la Comisión Europea que garantiza un nivel de protección equivalente al nuestro, así que esa transferencia está permitida sin salvaguardas adicionales.

No realizamos transferencias hacia países sin garantías adecuadas. Si en el futuro necesitáramos hacerlo, implementaríamos cláusulas contractuales tipo aprobadas por la UE y te informaríamos expresamente antes de proceder.

Protección técnica y organizativa

Implementamos múltiples capas de seguridad para defender tu información contra accesos no autorizados, pérdidas accidentales o manipulaciones maliciosas. Pero ningún sistema es inexpugnable, así que también preparamos protocolos de respuesta para situaciones de crisis.

Medidas técnicas implementadas

• Cifrado TLS 1.3 para todas las comunicaciones entre tu navegador y nuestros servidores, impidiendo interceptaciones en tránsito.
• Cifrado AES-256 para información financiera sensible almacenada en bases de datos, con claves de cifrado rotadas trimestralmente.
• Autenticación de dos factores obligatoria para operaciones que superen 3.000 euros o para acceso desde dispositivos no reconocidos.
• Sistemas de detección de intrusiones que monitorizan patrones de ataque conocidos y comportamientos anómalos 24/7.
• Copias de seguridad diarias encriptadas y almacenadas en ubicación geográfica separada, con pruebas de recuperación mensuales.
• Segmentación de red interna que aísla los sistemas que manejan datos financieros de otros menos críticos.

Procedimientos organizativos

Todo el personal firma acuerdos de confidencialidad antes de incorporarse y recibe formación específica en protección de datos durante su primer mes. Realizamos auditorías internas trimestrales de accesos para detectar patrones irregulares, y una firma externa independiente revisa nuestra infraestructura de seguridad anualmente.

Tenemos un protocolo de respuesta ante brechas que establece pasos concretos: identificación y contención en las primeras cuatro horas, evaluación del impacto en 24 horas, notificación a la Agencia Española de Protección de Datos en 72 horas si procede, y comunicación individual a afectados si existe riesgo alto para sus derechos.

Riesgos que persisten

A pesar de todo lo anterior, quedan riesgos residuales que debes conocer. Si alguien obtiene acceso físico a tu dispositivo desbloqueado, podría operar en tu nombre. Si utilizas redes wifi públicas sin VPN, existe posibilidad teórica de interceptación aunque usemos cifrado. Y si caes en un ataque de phishing sofisticado y facilitas tus credenciales a un sitio falso, no podremos evitar el acceso fraudulento hasta que detectemos el comportamiento anómalo.

Tu colaboración en mantener contraseñas robustas, no compartirlas, y verificar siempre que estás en selaravena.com auténtico resulta fundamental para cerrar esos huecos de seguridad.

Derechos que puedes ejercer

La normativa europea te otorga control sobre tu información personal mediante una serie de derechos que podemos resumir así: saber qué tenemos, corregir errores, borrar lo innecesario, limitar usos concretos, moverte a otro proveedor, y oponerte a determinados tratamientos.

Acceso y rectificación

Puedes solicitar una copia completa de toda la información que conservamos sobre ti. Te la entregaremos en formato estructurado (habitualmente PDF o CSV) en un plazo máximo de 30 días desde tu solicitud. Incluirá qué datos tenemos, de dónde los obtuvimos, para qué los usamos, con quién los compartimos y cuánto tiempo los conservaremos.

Si detectas que algún dato es inexacto —por ejemplo, una dirección antigua o un número de teléfono erróneo— tienes derecho a que lo corrijamos inmediatamente. Puedes hacerlo tú mismo desde tu panel de usuario para información básica, o contactando con nuestro equipo si afecta a datos más sensibles que requieren verificación adicional.

Supresión y limitación

Puedes solicitar que borremos tu información en varias circunstancias: cuando ya no la necesitemos para la finalidad que motivó su recogida, cuando retires un consentimiento previo sin que exista otra base legal, o cuando consideres que el tratamiento es ilegítimo. Evaluaremos cada solicitud individualmente porque existen excepciones legales que nos obligan a conservar ciertos datos aunque tú prefieras eliminarlos.

La limitación del tratamiento funciona diferente. No borramos la información, pero la "congelamos" temporalmente mientras verificamos alguna circunstancia. Por ejemplo, si impugnas la exactitud de un dato, limitaremos su uso hasta que podamos comprobar si tienes razón. Durante ese periodo, la información permanece almacenada pero no la empleamos para ninguna operación salvo que tú consiientas expresamente.

Portabilidad y oposición

Para la información que nos proporcionaste directamente y que tratamos mediante contrato o consentimiento, puedes solicitarla en formato portable. Te la entregaremos en JSON estructurado o CSV según prefieras, y si es técnicamente posible y lo solicitas expresamente, la enviaremos directamente a otro prestador de servicios financieros que elijas.

El derecho de oposición opera de manera diferente según el caso. Si tratamos datos para fines de marketing directo basados en interés legítimo, puedes oponerte incondicionalmente y cesaremos de inmediato. Si la oposición afecta a tratamientos necesarios para cumplir el contrato, tendremos que evaluar si podemos seguir prestándote el servicio sin esos datos.

Cómo ejercer estos derechos

Todas las solicitudes relacionadas con tus derechos deben dirigirse mediante formulario seguro disponible en tu área privada dentro de selaravena.com, o enviando un mensaje a través del contacto oficial que aparece al final de esta política. Necesitaremos verificar tu identidad antes de proceder, habitualmente mediante copia de tu DNI/NIE o confirmación por SMS al número registrado.

Responderemos en un plazo máximo de 30 días naturales, aunque podemos ampliarlo otros 60 si la solicitud resulta especialmente compleja o si recibimos múltiples peticiones simultáneas. En ese caso te avisaremos dentro del primer mes explicando el motivo de la ampliación.

Si no quedas satisfecho con nuestra respuesta, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es). Tienes ese derecho aunque nosotros hayamos atendido tu solicitud, porque es una autoridad de control independiente que supervisa nuestro cumplimiento normativo.