Política de privacidad

Última actualización: 2026-03-31

1. Introducción

Bienvenido a CFM - CONTROL FLEET MOTOS("CFM", "nosotros", "nos" o "nuestro"). Estamos comprometidos con la protección de la privacidad y los datos personales de nuestros usuarios, clientes y visitantes del sitio web. Esta Política de Privacidad explica cómo recopilamos, utilizamos, almacenamos, compartimos y protegemos sus datos personales cuando utiliza nuestra plataforma de gestión de flotas y servicios relacionados.

CFM proporciona una plataforma de software como servicio (SaaS) basada en la nube, diseñada para empresas de alquiler de motocicletas. Nuestra plataforma permite a los operadores de flotas gestionar su inventario de motocicletas, contratos de alquiler, programas de mantenimiento, registros financieros y relaciones con los clientes.

Esta Política de Privacidad se aplica a todos los datos personales tratados a través de nuestra plataforma en https://fleetmoto.com, incluidos los datos recopilados a través de nuestra aplicación web y cualquier servicio asociado. Al acceder o utilizar nuestra plataforma, usted reconoce que ha leído y comprendido esta Política de Privacidad.

Si tiene alguna pregunta sobre cómo tratamos sus datos personales, por favor contáctenos utilizando los datos proporcionados en la Sección 15 de esta política.

2. Responsable del Tratamiento

El responsable del tratamiento de sus datos personales es:

Denominación social	Jerry Strait
Número de Identificación Fiscal (NIF)	327380136
Domicilio social	Avenida Do Brasil 127, 2735-674 Agualva-Cacém, Portugal
Correo electrónico	contact@fleetmoto.com
Teléfono	+351 939 048 392
Delegado de Protección de Datos (DPD)	dpo@fleetmoto.com

Como responsable del tratamiento, determinamos los fines y medios del tratamiento de datos personales de conformidad con la legislación aplicable en materia de protección de datos. Somos responsables de garantizar que todas las actividades de tratamiento cumplan con el Reglamento General de Protección de Datos (RGPD) y la legislación portuguesa de protección de datos.

Para cualquier solicitud, pregunta o inquietud relativa al tratamiento de sus datos personales, por favor contacte a nuestro Delegado de Protección de Datos en dpo@fleetmoto.com.

3. Marco Legal

Nuestras actividades de tratamiento de datos se rigen por los siguientes instrumentos legales:

Reglamento (UE) 2016/679 — Reglamento General de Protección de Datos (RGPD): El reglamento principal de la Unión Europea sobre protección de datos y privacidad, directamente aplicable en todos los Estados miembros de la UE, incluido Portugal. Establece los derechos de los interesados y las obligaciones de los responsables y encargados del tratamiento.
Lei n.º 58/2019, de 8 de agosto — Ley Portuguesa de Protección de Datos: La ley nacional que asegura la ejecución del RGPD en el ordenamiento jurídico portugués. Especifica las derogaciones nacionales, la competencia de la autoridad de control y disposiciones específicas relativas al tratamiento de datos en el contexto portugués.
Lei n.º 59/2019, de 8 de agosto — Ley Portuguesa sobre Privacidad Electrónica: Transpone la Directiva 2002/58/CE (Directiva de Privacidad Electrónica) al derecho portugués, regulando el tratamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas, incluyendo normas sobre cookies, marketing directo y datos de tráfico.
Comissão Nacional de Proteção de Dados (CNPD): La autoridad de control nacional portuguesa para la protección de datos, establecida en virtud del RGPD y la legislación portuguesa. La CNPD supervisa y hace cumplir la legislación de protección de datos en Portugal.

Revisamos regularmente nuestras prácticas de tratamiento de datos para asegurar el cumplimiento continuo con estos marcos legales y cualquier enmienda posterior u orientación emitida por la CNPD, el Comité Europeo de Protección de Datos (CEPD) o los tribunales pertinentes.

4. Datos Recopilados

Recopilamos y tratamos las siguientes categorías de datos personales, que varían según su rol y uso de nuestra plataforma:

4.1. Datos de Cuenta e Identidad

Nombre completo
Dirección de correo electrónico
Contraseña (almacenada de forma segura; nunca almacenamos contraseñas en texto plano)
Imagen de perfil (si se proporciona voluntariamente)
Rol de usuario y permisos dentro de la plataforma
Marcas temporales de creación de cuenta y último inicio de sesión
Identificador de cuenta de Google e información de perfil (si inicia sesión a través de Google OAuth)

4.2. Datos de Organización

Nombre de la organización, identificador y logotipo
Detalles de membresía de la organización y roles de usuario
Registros de invitaciones (correo electrónico del invitado, rol, estado, fecha de expiración)

4.3. Datos de Flota y Negocio

Datos de la flota de motocicletas: marca, modelo, año, matrícula, número de bastidor (VIN), color, kilometraje, estado, datos de adquisición (fecha, precio, origen), información de seguro y documentación asociada
Registros de alquiler: contratos de alquiler, fechas de inicio/fin, precios, estado de pago, asignaciones de clientes y términos contractuales
Datos de arrendatarios (clientes): nombre, correo electrónico, número de teléfono, datos del documento de identificación, información del permiso de conducir, dirección e historial de alquileres
Registros de mantenimiento: tipo de servicio, fecha, coste, kilometraje en el momento del servicio, información del proveedor y documentación asociada
Datos financieros: asientos contables, importes de transacciones, categorías de pago, registros de ingresos y gastos, y documentación fiscal

4.4. Datos Técnicos y de Uso

Dirección IP
Tipo y versión del navegador
Sistema operativo
Tipo de dispositivo y resolución de pantalla
Páginas visitadas y funciones utilizadas dentro de la plataforma
Fecha y hora de acceso
URL de referencia
Tokens de sesión y datos de autenticación

4.5. Datos de Comunicación

Correos electrónicos enviados a través de la plataforma (por ejemplo, correos de invitación, notificaciones)
Solicitudes de soporte y correspondencia

4.6. Datos de Pago

Selección del plan de suscripción y ciclo de facturación (mensual/anual)
Identificadores de transacciones de pago y referencias de facturas
Dirección de facturación (si se proporciona)
Nota: Los datos de la tarjeta de pago (número de tarjeta, CVV, fecha de vencimiento) son procesados exclusivamente por Stripe, Inc. y nunca se almacenan en nuestros servidores. Solo recibimos y almacenamos datos de confirmación de transacciones, estado de la suscripción e identificadores de cliente de Stripe.

4.7. Datos de Verificación de Seguridad

Tokens de desafío de Cloudflare Turnstile y resultados de verificación
Características de la huella digital del navegador utilizadas para la detección de bots
Nota: Estos datos son procesados por Cloudflare, Inc. con el único propósito de distinguir a los usuarios legítimos de los bots automatizados. Los tokens de desafío son efímeros y no se almacenan a largo plazo.

No recopilamos categorías especiales de datos personales (como origen racial o étnico, opiniones políticas, creencias religiosas, datos de salud o datos biométricos) a menos que sea estrictamente necesario y con su consentimiento explícito.

5. Finalidad y Base Legal

Tratamos sus datos personales para las siguientes finalidades, cada una respaldada por una base legal conforme al Artículo 6(1) del RGPD:

Finalidad	Base Legal (Art. 6(1) RGPD)
Proporcionar y mantener la plataforma CFM, incluyendo la creación de cuentas de usuario, autenticación y gestión de sesiones	(b) Ejecución de un contrato — El tratamiento es necesario para la ejecución del contrato de servicio entre usted y CFM
Procesar pagos de suscripción, emitir facturas y gestionar la facturación a través de nuestro procesador de pagos (Stripe)	(b) Ejecución de un contrato — Necesario para cobrar el pago del servicio suscrito y cumplir con las obligaciones de facturación
Gestionar su organización, incluyendo invitaciones de equipo, roles de membresía y permisos de acceso	(b) Ejecución de un contrato — Necesario para prestar el servicio SaaS según lo acordado
Tratar datos de gestión de flota, incluyendo inventario de motocicletas, contratos de alquiler, programas de mantenimiento y registros financieros	(b) Ejecución de un contrato — Funcionalidad principal del servicio al que se ha suscrito
Enviar correos electrónicos transaccionales como invitaciones de cuenta, restablecimiento de contraseña y notificaciones del sistema	(b) Ejecución de un contrato — Comunicaciones necesarias para la prestación del servicio
Mantener registros financieros y fiscales según lo exigido por la legislación portuguesa y de la UE	(c) Obligación legal — Cumplimiento de la normativa fiscal y contable portuguesa (Código do IRC, Código do IVA y legislación conexa que exige la conservación de documentación financiera)
Garantizar la seguridad de la plataforma, prevenir fraudes e investigar accesos no autorizados o usos indebidos	(f) Interés legítimo — Nuestro interés legítimo en proteger la plataforma, nuestros usuarios y sus datos frente a amenazas de seguridad
Generar análisis de uso agregados y métricas de rendimiento para mejorar la plataforma	(f) Interés legítimo — Nuestro interés legítimo en comprender el uso de la plataforma para mejorar la calidad y fiabilidad del servicio
Responder a consultas de soporte y proporcionar asistencia al cliente	(b) Ejecución de un contrato y (f) Interés legítimo — Necesario para cumplir nuestras obligaciones de servicio y nuestro interés en mantener la satisfacción del cliente
Cumplir con obligaciones legales, órdenes judiciales o solicitudes legítimas de autoridades públicas	(c) Obligación legal — Tratamiento requerido para cumplir con la legislación aplicable

Cuando nos basamos en el interés legítimo como base legal, hemos realizado una prueba de ponderación para asegurar que nuestros intereses no prevalezcan sobre sus derechos y libertades fundamentales. Usted tiene derecho a oponerse al tratamiento basado en el interés legítimo en cualquier momento (véase la Sección 7).

No utilizamos sus datos personales para la toma de decisiones automatizada ni la elaboración de perfiles que produzcan efectos jurídicos sobre usted o le afecten significativamente de manera similar.

6. Plazos de Conservación

Conservamos sus datos personales únicamente durante el tiempo necesario para cumplir los fines para los que fueron recopilados, o según lo exigido por la legislación aplicable. Los plazos de conservación específicos son los siguientes:

Categoría de Datos	Plazo de Conservación	Justificación
Datos de cuenta e identidad	Duración de la cuenta activa + 30 días tras la solicitud de eliminación	Necesario para la prestación del servicio y período de gracia para recuperación de cuenta
Datos de organización y membresía	Duración de la suscripción activa de la organización + 90 días	Necesario para la prestación del servicio y período de exportación de datos
Registros financieros y fiscales (asientos contables, facturas, transacciones)	10 años desde el final del ejercicio fiscal al que se refieren	Exigido por la legislación fiscal portuguesa (Código do IRC, Art. 123.º; Código do IVA, Art. 52.º) y obligaciones comerciales generales (Código Comercial, Art. 40.º)
Contratos de alquiler	10 años desde el final de la relación contractual	Plazo de prescripción civil portugués para reclamaciones contractuales (Código Civil, Art. 309.º) y requisitos de documentación fiscal
Datos personales de arrendatarios (clientes)	Duración de la relación comercial + 10 años para registros financieros asociados	Obligaciones legales relacionadas con la documentación fiscal y la responsabilidad contractual
Datos de la flota de motocicletas	Duración de la propiedad/gestión + 10 años para registros financieros asociados	Necesario para la prestación del servicio y el cumplimiento financiero/fiscal
Registros de mantenimiento	Duración de la gestión del vehículo + 5 años	Necesario para reclamaciones de garantía, responsabilidad e historial de gestión de la flota
Registros del servidor y datos técnicos (direcciones IP, registros de acceso)	6 meses	Necesario para la supervisión de seguridad, investigación de incidentes y prevención de fraudes
Datos de sesión y autenticación	Duración de la sesión activa + 30 días	Necesario para fines de seguridad y autenticación
Correspondencia de soporte	3 años desde la resolución	Necesario para la calidad del servicio y resolución de disputas
Datos de pago y suscripción (registros de Stripe)	Duración de la suscripción + 10 años para registros financieros	Requisitos de la legislación fiscal portuguesa (igual que los registros financieros)

Cuando expire el plazo de conservación, los datos personales serán eliminados de forma segura o anonimizados. Los datos anonimizados, que ya no pueden vincularse a una persona identificable, pueden conservarse indefinidamente con fines estadísticos y analíticos.

Si solicita la eliminación de su cuenta, eliminaremos o anonimizaremos sus datos personales en un plazo de 30 días, excepto los datos que estemos legalmente obligados a conservar (como los registros financieros y fiscales) según lo indicado anteriormente.

7. Derechos del Interesado

En virtud del RGPD (Artículos 15 a 22) y la legislación portuguesa de protección de datos, usted tiene los siguientes derechos respecto a sus datos personales:

Derecho de acceso (Art. 15 RGPD): Tiene derecho a obtener confirmación sobre si tratamos sus datos personales y, en caso afirmativo, acceder a dichos datos junto con información sobre las finalidades del tratamiento, las categorías de datos afectados, los destinatarios, los plazos de conservación y la fuente de los datos.
Derecho de rectificación (Art. 16 RGPD): Tiene derecho a solicitar la corrección de datos personales inexactos y a que se completen los datos incompletos.
Derecho de supresión ("Derecho al olvido") (Art. 17 RGPD): Tiene derecho a solicitar la supresión de sus datos personales cuando: los datos ya no sean necesarios para su finalidad original; retire su consentimiento (cuando el consentimiento fuera la base legal); se oponga al tratamiento y no existan motivos legítimos imperiosos; los datos hayan sido tratados ilícitamente; o la supresión sea necesaria para cumplir una obligación legal. Este derecho está sujeto a excepciones, incluida nuestra obligación legal de conservar registros financieros y fiscales.
Derecho a la limitación del tratamiento (Art. 18 RGPD): Puede solicitar que limitemos el tratamiento de sus datos en determinadas circunstancias, como cuando impugne la exactitud de los datos, cuando el tratamiento sea ilícito pero usted se oponga a la supresión, cuando ya no necesitemos los datos pero usted los requiera para reclamaciones legales, o cuando se haya opuesto al tratamiento pendiente de verificación.
Derecho a la portabilidad de los datos (Art. 20 RGPD): Tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitir dichos datos a otro responsable del tratamiento sin impedimentos, cuando el tratamiento se base en el consentimiento o el contrato y se efectúe por medios automatizados.
Derecho de oposición (Art. 21 RGPD): Tiene derecho a oponerse al tratamiento de sus datos personales basado en el interés legítimo (Art. 6(1)(f) RGPD). Al recibir su oposición, cesaremos el tratamiento a menos que podamos demostrar motivos legítimos imperiosos que prevalezcan sobre sus intereses, derechos y libertades, o que el tratamiento sea necesario para el establecimiento, ejercicio o defensa de reclamaciones legales.
Derecho a no ser objeto de decisiones automatizadas (Art. 22 RGPD): Tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre usted o le afecte significativamente de manera similar. CFM no realiza actualmente este tipo de toma de decisiones automatizada.
Derecho a retirar el consentimiento: Cuando tratemos sus datos en base a su consentimiento, tiene derecho a retirar dicho consentimiento en cualquier momento. La retirada del consentimiento no afecta a la licitud del tratamiento realizado antes de la retirada.

Cómo Ejercer sus Derechos

Para ejercer cualquiera de estos derechos, por favor contacte a nuestro Delegado de Protección de Datos en dpo@fleetmoto.com o escríbanos a Avenida Do Brasil 127, 2735-674 Agualva-Cacém, Portugal. Responderemos a su solicitud en el plazo de un (1) mes desde su recepción. Este plazo podrá prorrogarse dos (2) meses más cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes. Le informaremos de cualquier prórroga dentro del mes siguiente a la recepción de la solicitud.

Podremos solicitar una prueba de identidad antes de procesar su solicitud para garantizar la seguridad de sus datos personales. No cobraremos ninguna tasa por el ejercicio de sus derechos, salvo que las solicitudes sean manifiestamente infundadas o excesivas, en cuyo caso podremos cobrar una tasa razonable o negarnos a actuar sobre la solicitud.

Si considera que no hemos atendido adecuadamente su solicitud, tiene derecho a presentar una reclamación ante la autoridad de control portuguesa (CNPD) — véase la Sección 15.

8. Seguridad de los Datos

Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales contra el acceso, la alteración, la divulgación o la destrucción no autorizados, de conformidad con el Artículo 32 del RGPD. Estas medidas incluyen, entre otras:

8.1. Medidas Técnicas

Cifrado en tránsito: Todos los datos transmitidos entre su navegador y nuestros servidores están cifrados mediante TLS/HTTPS.
Cifrado en reposo: El almacenamiento de la base de datos está cifrado en reposo por nuestros socios de infraestructura.
Seguridad de contraseñas: Las contraseñas de los usuarios se cifran mediante algoritmos criptográficos estándar de la industria y nunca se almacenan en texto plano.
Gestión de sesiones: Tokens de sesión seguros con políticas de expiración apropiadas.
Aislamiento de datos: Separación estricta de datos organizacionales, asegurando que cada organización solo pueda acceder a sus propios datos.
Validación de entradas: Todas las entradas de usuario se validan y sanean mediante validación basada en esquemas para prevenir ataques de inyección.
Control de acceso basado en roles: Sistema de permisos granular que asegura que los usuarios solo puedan acceder a los datos y funciones autorizados para su rol.

8.2. Medidas Organizativas

El acceso a los datos personales está restringido al personal autorizado que lo necesita para desempeñar sus funciones.
Se realizan evaluaciones de seguridad y revisiones de código periódicas.
Existen procedimientos de respuesta a incidentes para la gestión de violaciones de datos (véase la Sección 12).
Los encargados del tratamiento terceros son evaluados y están vinculados por acuerdos de tratamiento de datos (véase la Sección 9).
Se mantienen copias de seguridad periódicas con controles de acceso y cifrado apropiados.

Aunque tomamos medidas exhaustivas para proteger sus datos, ningún método de transmisión por Internet o almacenamiento electrónico es 100% seguro. Evaluamos y mejoramos continuamente nuestras prácticas de seguridad para mantener el más alto nivel de protección.

9. Encargados del Tratamiento

Contratamos a los siguientes encargados del tratamiento de datos de terceros para proporcionar y respaldar nuestra plataforma. Cada encargado está vinculado por un Acuerdo de Tratamiento de Datos (ATD) de conformidad con el Artículo 28 del RGPD, y hemos verificado que implementan medidas técnicas y organizativas apropiadas para proteger los datos personales.

Encargado	Finalidad	Datos Tratados	Ubicación
Supabase, Inc.	Alojamiento de base de datos y almacenamiento de archivos	Todos los datos de la plataforma almacenados en la base de datos (cuentas de usuario, datos de organización, registros de flota, contratos de alquiler, datos financieros) y documentos/imágenes cargados	Región UE (Fráncfort, Alemania) — los datos permanecen dentro del Espacio Económico Europeo
Vercel, Inc.	Alojamiento de aplicaciones, computación en el borde y entrega de contenido	Datos técnicos (direcciones IP, registros de acceso) y contenido de la página	Red global Edge — computación principal en regiones de la UE; el contenido puede almacenarse en caché en ubicaciones edge en todo el mundo; Vercel cumple con el RGPD mediante Cláusulas Contractuales Tipo (CCT)
Resend, Inc.	Envío de correo electrónico transaccional	Direcciones de correo electrónico de los destinatarios, asuntos de los correos y contenido del cuerpo del correo (correos de invitación, correos de restablecimiento de contraseña, notificaciones del sistema)	Estados Unidos — Resend trata los datos bajo Cláusulas Contractuales Tipo (CCT) y cumple con los requisitos del RGPD
Stripe, Inc.	Procesamiento de pagos, gestión de suscripciones y facturación	Datos de contacto de facturación (nombre, correo electrónico), datos del plan de suscripción, registros de transacciones de pago, ID de cliente de Stripe. Los datos de la tarjeta son procesados directamente por Stripe y nunca pasan por nuestros servidores.	Estados Unidos y Unión Europea — Stripe procesa los datos de titulares de tarjetas de la UE dentro de la UE siempre que sea posible; certificado bajo el Marco de Privacidad de Datos UE-EE. UU. y utiliza CCT para otras transferencias
Cloudflare, Inc.	Detección de bots y verificación de seguridad (Turnstile)	Dirección IP, características del navegador, patrones de interacción, tokens de desafío	Red global Edge — Cloudflare está certificado bajo el Marco de Privacidad de Datos UE-EE. UU. y utiliza CCT
Google LLC	Autenticación social (inicio de sesión OAuth 2.0)	Identificador de cuenta de Google, nombre, dirección de correo electrónico, foto de perfil (según lo autorizado por la configuración de la cuenta de Google del usuario)	Estados Unidos — Google está certificado bajo el Marco de Privacidad de Datos UE-EE. UU. y utiliza CCT

No vendemos, alquilamos ni compartimos sus datos personales con terceros para sus propios fines de marketing o comerciales. Los datos solo se comparten con los encargados enumerados anteriormente, y únicamente en la medida necesaria para prestar nuestros servicios.

Revisamos periódicamente nuestros acuerdos con los encargados y podemos actualizar esta lista a medida que evolucione nuestra infraestructura de servicio. Cualquier cambio material en nuestros subencargados se reflejará en esta Política de Privacidad.

10. Transferencias Internacionales de Datos

CFM es una empresa portuguesa y nuestro almacenamiento principal de datos se encuentra dentro del Espacio Económico Europeo (EEE). Sin embargo, algunos de nuestros encargados del tratamiento de terceros pueden tratar datos personales fuera del EEE, particularmente en los Estados Unidos.

Cuando los datos personales se transfieren fuera del EEE, nos aseguramos de que existan las salvaguardas adecuadas, de conformidad con el Capítulo V del RGPD (Artículos 44–49):

Decisiones de adecuación de la UE (Art. 45 RGPD): Cuando la Comisión Europea ha determinado que un tercer país garantiza un nivel adecuado de protección de datos, las transferencias se realizan sobre la base de dicha decisión de adecuación. El Marco de Privacidad de Datos UE-EE.UU. se aplica a las organizaciones estadounidenses certificadas.
Cláusulas Contractuales Tipo (CCT) (Art. 46(2)(c) RGPD): Cuando no existe una decisión de adecuación, nos basamos en las Cláusulas Contractuales Tipo de la Comisión Europea, aprobadas mediante la Decisión de Ejecución (UE) 2021/914, que obligan contractualmente al importador de datos a proteger los datos personales según los estándares del EEE.
Medidas complementarias: Cuando sea necesario, sobre la base de una Evaluación de Impacto de la Transferencia, se implementan medidas técnicas adicionales (como el cifrado en tránsito y en reposo) o medidas organizativas para garantizar un nivel de protección esencialmente equivalente.

Nuestra base de datos y almacenamiento principal de archivos (a través de Supabase) están alojados en regiones de la UE (Fráncfort, Alemania), asegurando que la mayor parte de los datos personales permanezcan dentro del EEE. Vercel procesa los datos principalmente en regiones de la UE, pero puede utilizar su red edge global para la entrega de contenido; todo dicho tratamiento está cubierto por CCT. Resend procesa los datos de correo electrónico en los Estados Unidos bajo CCT y el Marco de Privacidad de Datos UE-EE.UU. Stripe procesa los datos de pago de titulares de tarjetas de la UE dentro de la UE siempre que sea posible; para otros datos, Stripe está certificado bajo el Marco de Privacidad de Datos UE-EE.UU. y utiliza CCT. Cloudflare procesa los datos de verificación de seguridad a través de su red edge global bajo el Marco de Privacidad de Datos UE-EE.UU. y CCT. Google procesa los datos de autenticación OAuth en los Estados Unidos bajo el Marco de Privacidad de Datos UE-EE.UU. y CCT.

Puede obtener una copia de las salvaguardas que hemos establecido para las transferencias internacionales contactando a nuestro DPD en dpo@fleetmoto.com.

11. Cookies

Nuestra plataforma utiliza cookies y tecnologías similares para garantizar el correcto funcionamiento del servicio. Actualmente utilizamos únicamente cookies estrictamente necesarias (esenciales), que son imprescindibles para el funcionamiento de la plataforma y no requieren su consentimiento en virtud del RGPD y la Lei n.º 59/2019.

11.1. Cookies Esenciales que Utilizamos

Nombre de la Cookie	Finalidad	Duración
Cookie de sesión	Mantiene su sesión autenticada tras el inicio de sesión; necesaria para el funcionamiento de la plataforma	Duración de la sesión / 30 días
Preferencia de idioma	Almacena su idioma preferido (en, es, pt, pt-BR) para servir el contenido en el idioma correcto	1 año
Token de seguridad	Protege contra ciertos ataques web; necesario para la seguridad de la plataforma	Duración de la sesión
Verificación Turnstile	Cookie de desafío de Cloudflare Turnstile utilizada para verificar la interacción humana durante el inicio de sesión, registro y restablecimiento de contraseña	Duración de la sesión

11.2. Cookies que No Utilizamos

Actualmente no utilizamos:

Cookies de analítica o seguimiento (por ejemplo, Google Analytics)
Cookies de publicidad o retargeting
Cookies de redes sociales de terceros
Ninguna cookie que rastree su actividad de navegación en otros sitios web

Si introducimos cookies no esenciales en el futuro, actualizaremos esta política e implementaremos un mecanismo de consentimiento de cookies de conformidad con el RGPD y la Lei n.º 59/2019, asegurando que pueda otorgar o retirar su consentimiento antes de que se coloquen cookies no esenciales en su dispositivo.

12. Notificación de Violaciones de Seguridad

En caso de una violación de datos personales, cumpliremos con las obligaciones de notificación establecidas en los Artículos 33 y 34 del RGPD.

12.1. Notificación a la Autoridad de Control (Art. 33 RGPD)

Cuando una violación de datos personales pueda suponer un riesgo para los derechos y libertades de las personas físicas, notificaremos a la autoridad de control portuguesa (Comissão Nacional de Proteção de Dados — CNPD) sin dilación indebida y, cuando sea posible, dentro de las 72 horas siguientes al momento en que hayamos tenido conocimiento de la violación. Si la notificación no se realiza dentro de las 72 horas, proporcionaremos las razones del retraso.

La notificación a la CNPD incluirá:

Una descripción de la naturaleza de la violación, incluyendo el número aproximado de interesados y registros afectados
El nombre y los datos de contacto de nuestro Delegado de Protección de Datos
Una descripción de las consecuencias probables de la violación
Una descripción de las medidas adoptadas o propuestas para abordar la violación, incluyendo medidas para mitigar sus posibles efectos adversos

12.2. Comunicación a los Interesados (Art. 34 RGPD)

Cuando una violación de datos personales pueda suponer un alto riesgo para los derechos y libertades de las personas físicas, comunicaremos la violación a los interesados afectados sin dilación indebida, en un lenguaje claro y sencillo. Esta comunicación describirá la naturaleza de la violación y proporcionará recomendaciones para que el interesado mitigue los posibles efectos adversos.

La comunicación a los interesados puede no ser necesaria cuando: hayamos implementado las protecciones técnicas adecuadas (como el cifrado) que hagan los datos ininteligibles; hayamos adoptado medidas posteriores que aseguren que el alto riesgo ya no es probable que se materialice; o suponga un esfuerzo desproporcionado, en cuyo caso se realizará una comunicación pública o una medida similar.

12.3. Respuesta Interna ante Violaciones

Mantenemos un plan interno de respuesta ante violaciones de datos que incluye procedimientos para identificar, contener, evaluar y documentar todas las violaciones de datos personales, independientemente de si son notificables. Todas las violaciones se registran en un registro interno según lo exigido por el Artículo 33(5) del RGPD.

13. Privacidad de Menores

CFM - CONTROL FLEET MOTOS es una plataforma SaaS de empresa a empresa (B2B) diseñada para negocios de alquiler de motocicletas. Nuestros servicios no están dirigidos a personas menores de 16 años, que es la edad mínima para el consentimiento a los servicios de la sociedad de la información en Portugal según la Lei n.º 58/2019, Art. 16.º (que implementa el Art. 8 del RGPD).

No recopilamos deliberadamente datos personales de menores de 16 años. Si tenemos conocimiento de que hemos recopilado inadvertidamente datos personales de un menor de 16 años sin el consentimiento apropiado de sus padres o tutores, tomaremos las medidas necesarias para eliminar dichos datos a la mayor brevedad posible.

Si usted es padre, madre o tutor y cree que su hijo nos ha proporcionado datos personales, por favor contáctenos en dpo@fleetmoto.com para que podamos tomar las medidas apropiadas.

14. Cambios en esta Política

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas de tratamiento de datos, requisitos legales o nuestros servicios. Cuando realicemos cambios, actualizaremos la "Fecha de Entrada en Vigor" en la parte superior de esta política.

Para cambios materiales que afecten significativamente la forma en que tratamos sus datos personales, proporcionaremos un aviso destacado a través de la plataforma (como un banner o notificación) y, cuando lo exija la ley, solicitaremos su consentimiento antes de continuar tratando sus datos bajo los términos actualizados.

Le animamos a revisar esta Política de Privacidad periódicamente para mantenerse informado sobre cómo protegemos sus datos personales. El uso continuado de la plataforma después de la publicación de los cambios constituye su reconocimiento de la política revisada, excepto cuando se requiera consentimiento.

Las versiones anteriores de esta Política de Privacidad están disponibles previa solicitud contactando a nuestro DPD en dpo@fleetmoto.com.

15. Contacto y Reclamaciones

Si tiene alguna pregunta, inquietud o solicitud en relación con esta Política de Privacidad o nuestras prácticas de tratamiento de datos, por favor contáctenos:

Delegado de Protección de Datos	dpo@fleetmoto.com
Contacto General	contact@fleetmoto.com
Teléfono	+351 939 048 392
Dirección Postal	Jerry Strait Avenida Do Brasil 127 2735-674 Agualva-Cacém, Portugal

Derecho a Presentar una Reclamación

Si considera que nuestro tratamiento de sus datos personales infringe el RGPD o la legislación portuguesa de protección de datos, tiene derecho a presentar una reclamación ante la autoridad de control portuguesa:

Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 - 1.º
1200-651 Lisboa, Portugal
Teléfono: +351 213 928 400
Fax: +351 213 976 832
Correo electrónico: geral@cnpd.pt
Sitio web: www.cnpd.pt

También puede presentar una reclamación ante la autoridad de control del Estado miembro de la UE de su residencia habitual, lugar de trabajo o lugar de la presunta infracción, de conformidad con el Artículo 77 del RGPD.

Le animamos a contactarnos primero para intentar resolver cualquier inquietud antes de presentar una reclamación formal ante una autoridad de control.

Fecha de Entrada en Vigor: 31 de marzo de 2026