Política de Privacidad
Última actualización: 7 de marzo de 2026
1. Responsable del tratamiento
- Razón social: Onionly, S.L.U.
- NIF: B66686908
- Domicilio social: Carrer de les Tres Creus, 2, 08030 Barcelona
- Correo electrónico: legal@onionly.com
- Datos registrales: Inscrita en el Registro Mercantil de Barcelona, Tomo 45152, Folio 100, Hoja B47850
2. Datos personales que recopilamos
En función de la interacción del Usuario con la Plataforma, podemos recopilar las siguientes categorías de datos personales:
2.1. Datos de registro y cuenta
- Nombre y apellidos
- Dirección de correo electrónico
- Contraseña (almacenada de forma cifrada)
- Fotografía de perfil (cuando se autentica con Google o Microsoft)
- Cargo o posición profesional
- Teléfono de contacto
- País y comunidad autónoma
- Nombre de la empresa y sector de actividad
- Sitio web de la empresa
- Idioma preferido
2.2. Datos de autenticación con terceros
Cuando el Usuario se registra o inicia sesión mediante Google o Microsoft, recibimos los datos básicos de perfil autorizados por el Usuario (nombre, correo electrónico, fotografía). Asimismo, cuando el Usuario conecta una cuenta de correo para el envío de emails, almacenamos de forma cifrada los tokens de acceso OAuth necesarios para operar en su nombre.
2.3. Datos de contactos y organizaciones (proporcionados por el Usuario)
El Usuario introduce en la Plataforma datos de sus contactos comerciales y organizaciones, tales como:
- Nombre, apellidos y cargo de los contactos
- Direcciones de correo electrónico
- Nombre de la organización
- Sitio web de la organización
Estos datos son responsabilidad del Usuario, que actúa como Responsable del Tratamiento respecto a los datos de sus contactos. Onionly, S.L.U. actúa como Encargado del Tratamiento conforme al artículo 28 del RGPD.
2.4. Datos obtenidos del análisis de sitios web
La Plataforma analiza de forma automatizada sitios web públicos de las organizaciones introducidas por el Usuario, extrayendo información comercial pública (servicios ofrecidos, sector de actividad, información de contacto publicada, etc.) con el fin de personalizar las comunicaciones comerciales.
2.5. Datos de uso y técnicos
- Dirección IP
- Tipo de navegador y dispositivo (User-Agent)
- Datos de sesión (hora de inicio, duración)
- Métricas de uso de correos electrónicos (aperturas, clics, respuestas, rebotes)
- Registros de actividad en la Plataforma
2.6. Datos de facturación
Los datos de pago (tarjeta de crédito, datos bancarios) son gestionados directamente por nuestro procesador de pagos Paddle, que actúa como Merchant of Record. Onionly, S.L.U. no almacena datos de tarjeta de crédito ni datos bancarios del Usuario.
2.7. Datos de atribución
Parámetros de origen de tráfico (utm_source, utm_medium, utm_campaign) con fines de análisis de adquisición.
3. Finalidades del tratamiento
Los datos personales se tratan con las siguientes finalidades:
| Finalidad | Base legal |
|---|---|
| Gestión del registro y la cuenta del Usuario | Ejecución del contrato (art. 6.1.b RGPD) |
| Prestación del servicio contratado (análisis web, generación de correos, envío, seguimiento) | Ejecución del contrato (art. 6.1.b RGPD) |
| Verificación de direcciones de correo electrónico de los contactos del Usuario | Ejecución del contrato (art. 6.1.b RGPD) |
| Gestión de pagos y facturación | Ejecución del contrato (art. 6.1.b RGPD) |
| Comunicaciones de servicio (notificaciones técnicas, cambios en el servicio) | Ejecución del contrato (art. 6.1.b RGPD) |
| Mejora y desarrollo de la Plataforma | Interés legítimo (art. 6.1.f RGPD) |
| Cumplimiento de obligaciones legales y fiscales | Obligación legal (art. 6.1.c RGPD) |
| Análisis de atribución y rendimiento de campañas de adquisición | Interés legítimo (art. 6.1.f RGPD) |
4. Uso de inteligencia artificial
La Plataforma utiliza modelos de inteligencia artificial de terceros para:
- Analizar la información extraída de sitios web públicos y generar contexto comercial.
- Generar correos electrónicos personalizados basados en dicho contexto.
- Resumir información de organizaciones y contactos.
Los datos enviados a los proveedores de IA incluyen información pública de sitios web, plantillas de correo y datos de contexto comercial. No se envían contraseñas, datos de pago ni credenciales de acceso a los proveedores de IA.
5. Destinatarios y proveedores de servicios
Los datos personales pueden ser comunicados a los siguientes destinatarios:
| Proveedor | Servicio | Ubicación |
|---|---|---|
| Hetzner Online GmbH | Alojamiento de servidores e infraestructura | Alemania (UE) |
| DeepSeek | Modelo de inteligencia artificial para generación de textos y análisis | China |
| Google LLC | Autenticación OAuth y envío de correos vía Gmail API | Estados Unidos |
| Microsoft Corporation | Autenticación OAuth y envío de correos vía Microsoft Graph API | Estados Unidos |
| Paddle.com Market Limited | Procesamiento de pagos y facturación | Reino Unido |
| Reacher (check-if-email-exists) | Verificación de direcciones de correo electrónico | Variable (procesamiento local) |
Los datos no se venderán ni cederán a terceros con fines comerciales ajenos a la prestación del servicio.
6. Transferencias internacionales de datos
Los datos personales pueden ser transferidos fuera del Espacio Económico Europeo (EEE) a los proveedores indicados en el apartado anterior. Dichas transferencias se realizan con las siguientes garantías:
- Estados Unidos (Google, Microsoft): EU-US Data Privacy Framework y/o Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
- China (DeepSeek): Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y evaluación de impacto de la transferencia. Los datos enviados a DeepSeek se limitan a información pública de sitios web y textos comerciales; no se envían datos identificativos directos de los Usuarios de la Plataforma.
- Reino Unido (Paddle): Decisión de adecuación de la Comisión Europea para el Reino Unido.
7. Conservación de los datos
Los datos personales se conservarán durante el tiempo necesario para cumplir con la finalidad para la que fueron recopilados:
- Datos de cuenta: Mientras la cuenta esté activa y durante el plazo legal de conservación aplicable tras su eliminación.
- Datos de contactos y organizaciones: Mientras la cuenta del Usuario esté activa. A la eliminación de la cuenta, se eliminarán en un plazo máximo de 30 días.
- Datos de facturación: Durante los plazos legales exigidos por la normativa fiscal (mínimo 5 años).
- Datos de sesión y uso: Se conservan durante un máximo de 2 horas en sesión activa.
- Tokens OAuth: Mientras la cuenta de envío esté conectada. Se eliminan al desconectar la cuenta.
8. Medidas de seguridad
Onionly, S.L.U. implementa las medidas técnicas y organizativas adecuadas para proteger los datos personales, incluyendo:
- Cifrado de contraseñas mediante bcrypt.
- Cifrado de tokens OAuth y credenciales SMTP.
- Conexiones HTTPS en toda la Plataforma.
- Firewall de aplicación web (WAF) con reglas OWASP.
- Control de acceso basado en autenticación y autorización.
- Copias de seguridad periódicas.
9. Derechos del Usuario
De conformidad con el RGPD, el Usuario tiene derecho a:
- Acceso: Conocer qué datos personales tratamos.
- Rectificación: Solicitar la corrección de datos inexactos o incompletos.
- Supresión: Solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
- Limitación: Solicitar la limitación del tratamiento en determinadas circunstancias.
- Portabilidad: Recibir los datos en un formato estructurado y de uso común.
- Oposición: Oponerse al tratamiento de sus datos en determinadas circunstancias.
Para ejercer estos derechos, el Usuario puede enviar una solicitud a legal@onionly.com, indicando el derecho que desea ejercer y acompañando una copia de su documento de identidad.
Asimismo, el Usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si considera que sus derechos no han sido debidamente atendidos.
10. Modificaciones
Onionly, S.L.U. se reserva el derecho de modificar la presente Política de Privacidad. Cualquier cambio sustancial será comunicado al Usuario por correo electrónico o mediante un aviso visible en la Plataforma.
11. Contacto
Para cualquier consulta relacionada con la presente Política de Privacidad o el tratamiento de datos personales, el Usuario puede contactar con Onionly, S.L.U. a través de legal@onionly.com.