Esta Política de Privacidad describe cómo Serena Labs ("nosotros") recoge, utiliza y comparte información cuando visitas o interactúas con serenalabs.io y nuestra aplicación autenticada en serenalabs.io/app.
Cumplimos con el Reglamento General de Protección de Datos de la UE (RGPD — Reglamento 2016/679) y la Ley Orgánica española 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
1. Responsable del Tratamiento
El responsable es Serena Labs. Dirección: Carrer de Sant Antoni Maria Claret, 167, Horta-Guinardó, 08025 Barcelona, España. Email: hello@serenalabs.io.
2. Datos que Recogemos
Información que proporcionas vía formularios de contacto / newsletter: nombre, email, empresa, cargo, segmento, país, mensaje, preferencia de idioma.
Información que proporcionas al crear una cuenta:
- Acceso con LinkedIn (predeterminado para registro autoservicio): cuando te autenticas con LinkedIn recibimos, vía OpenID Connect, tu correo verificado, nombre, apellido, URL de la foto de perfil e idioma. No accedemos a tus contactos, publicaciones, mensajes ni a ningún otro contenido privado de LinkedIn.
- Acceso por correo (solo por invitación): cuando un admin te invita, recibimos solo la dirección de correo a la que enviamos el código de un solo uso.
- Finalización de perfil: empresa, cargo, segmento del sector, país, idioma, correo profesional opcional (sustituye al correo personal de LinkedIn para nuestro seguimiento), teléfono móvil opcional, y tu aceptación de estos Términos y de esta Política de Privacidad.
Información generada al usar los simuladores (/app/tools): cada escenario que guardas — los inputs que introduces (mix de canal, tasas de conversión, volumen de episodios, ARPU, etc.) y los outputs calculados — se almacena vinculado a tu cuenta en nuestra tabla user_simulations. Estos inputs pueden revelar información comercial sobre tu organización; los tratamos como datos comerciales confidenciales y los protegemos con seguridad a nivel de fila para que solo tú (y los admins de Serena Labs para soporte) podáis leerlos.
Información recogida automáticamente: IP anonimizada, tipo de navegador, SO, URL referente, páginas visitadas, marcas de tiempo. Las cookies se describen en nuestra Política de Cookies.
Datos que no recogemos por este sitio: categorías especiales (datos clínicos de salud, biometría — estos solo pueden procesarse dentro de nuestro producto separado Executive Health Companion bajo su propio aviso de privacidad). Datos de menores de 16.
3. Base Jurídica (RGPD Art. 6)
- Consentimiento: comunicaciones de marketing, cookies analíticas opcionales, suscripción a newsletter, campos opcionales de tu perfil (correo profesional, teléfono, opt-in de marketing).
- Ejecución de contrato: creación y autenticación de cuenta, persistencia de escenarios de simulador y preferencias, respuesta a consultas del formulario de contacto, entrega de contenido al que te suscribes.
- Interés legítimo: seguridad del sitio y de las cuentas, prevención de fraude y abuso, depuración, mejora del servicio.
4. Retención
- Cuenta de usuario, perfil y escenarios guardados: se conservan mientras tu cuenta esté activa. Puedes eliminar tu cuenta en cualquier momento desde
/app/profile(derecho de supresión, RGPD Art. 17); la eliminación cascadea a todo registro relacionado (perfil, escenarios, registro de consentimientos) en segundos. - Registro de consentimientos: entradas append-only de cuándo aceptaste los Términos y esta Política; se retienen por la vida de la cuenta como prueba.
- Consultas del formulario de contacto: 3 años desde la última interacción.
- Newsletter: hasta dar de baja.
- Analítica: anonimizada según política del proveedor.
5. Compartición y Encargados de Tratamiento
No vendemos tus datos ni los compartimos con anunciantes. Usamos los siguientes encargados bajo acuerdos escritos de tratamiento:
- Supabase (hosting PostgreSQL + autenticación, región UE) — cuentas, perfiles, escenarios y registro de consentimientos.
- Vercel (hosting web, región UE) — sirve el sitio y la aplicación.
- Resend (correo transaccional) — envía códigos de acceso y notificaciones operativas.
- PostHog (analítica, instancia UE, solo con consentimiento) — analítica de producto anonimizada.
- Google LLC / Google Ireland Limited (Google Analytics 4, solo con consentimiento) — analítica de sitio anonimizada. Cargamos GA con Consent Mode v2 en "denegado" por defecto; los identificadores solo se establecen tras tu consentimiento. Las transferencias internacionales están cubiertas por el Acuerdo de Tratamiento de Datos estándar de Google y las Cláusulas Contractuales Estándar.
Proveedores de identidad: cuando eliges iniciar sesión con LinkedIn, LinkedIn Ireland Unlimited Company actúa como proveedor independiente de identidad OpenID Connect. LinkedIn te autentica y nos devuelve solo los claims listados en §2. El uso de LinkedIn para iniciar sesión se rige también por la política de privacidad y los términos de LinkedIn — no compartimos con LinkedIn ninguna información sobre cómo usas Serena Labs.
6. Transferencias Internacionales
Los datos se procesan y almacenan en la UE/EEE por defecto. Cuando algún encargado procese datos fuera de la UE/EEE, la transferencia está protegida por Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea.
7. Tus Derechos (RGPD Arts. 15-22)
Tienes derecho a acceder, rectificar, suprimir ("derecho al olvido"), limitar y portar tus datos personales, a oponerte al tratamiento, a no ser objeto de decisiones basadas únicamente en tratamiento automatizado, y a retirar tu consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento anterior.
Para ejercer cualquiera de estos derechos, escribe a hello@serenalabs.io. Respondemos en 30 días. También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD — aepd.es).
También puedes ejercer el derecho de supresión directamente desde /app/profile → "Eliminar mi cuenta".
8. Seguridad
Cifrado en tránsito (TLS 1.2+) y en reposo. Seguridad a nivel de fila en la base de datos en cada lectura y escritura vinculada a tu cuenta. Acceso a service-role restringido a un conjunto reducido de operaciones auditadas. Evaluaciones regulares de dependencias y configuración. Principio de minimización de datos.
9. Cookies
Detalle en nuestra Política de Cookies.
10. Cambios
Podemos actualizar esta Política. Los cambios materiales se publican aquí con la fecha "Última actualización" actualizada y, cuando el cambio afecte a tus derechos, se comunican por correo a las cuentas activas.
11. Contacto
hello@serenalabs.io · Health Hub Barcelona, Carrer de Sant Antoni Maria Claret, 167, Horta-Guinardó, 08025 Barcelona, España.