1. Alcance y a quién aplica
Esta política regula el tratamiento de datos personales realizado por
Lando Firm S.L. (en adelante «el responsable») sobre las personas
que se registran en la waitlist alojada en https://waitlist.somoszorro.com,
durante toda su participación en la waitlist y hasta el momento en que
sus datos pasen al tratamiento de la aplicación Zorro (que tendrá su propia política de
privacidad publicada al lanzamiento).
Esta política se complementa con las Términos de la waitlist (mecánica, premios, fiscalidad, cancelación) y la Política de cookies. En caso de contradicción entre los tres documentos, prevalece la presente política en lo que respecta al tratamiento de datos personales.
2. Responsable del tratamiento
- Identidad
- Lando Firm S.L. · NIF B27531664 · Calle Humanitarias 19, 1A · 28025 Madrid (España) · Inscrita en el Registro Mercantil de Madrid, Hoja M-878099 · Web corporativa: landofirm.com.
- Contacto
- hola@somoszorro.com esta dirección canaliza todas las consultas, incluidas las relativas a protección de datos y al ejercicio de los derechos del interesado.
3. Bases legales y finalidades
El responsable trata tus datos para varias finalidades, cada una con su base legal independiente:
En las finalidades amparadas en interés legítimo (art. 6.1.f RGPD), el responsable ha realizado una ponderación previa entre el interés perseguido (proteger la integridad de la waitlist y prestar correctamente el servicio solicitado) y los derechos del interesado, concluyendo que el tratamiento es necesario, razonablemente esperable y de bajo impacto, dado que se aplica el principio de minimización y se utilizan exclusivamente datos pseudonimizados (hashes). Puedes solicitar el resumen de este análisis escribiendo a hola@somoszorro.com.
| Finalidad | Base legal |
|---|---|
| Alta en la waitlist, asignación de posición y gestión de la mecánica de recompensas. | Ejecución de los términos de la waitlist (art. 6.1.b RGPD) + consentimiento expreso al marcar la casilla obligatoria (art. 6.1.a RGPD). |
| Envío de los emails operativos imprescindibles para gestionar tu participación: verificación OTP, email de bienvenida con posición y código, recordatorio de inscripción ya existente, aviso cuando un amigo usa tu código, notificaciones de cambios en bases o política, notificaciones de cambios de fechas del calendario, instrucciones de activación del Premium, confirmaciones de ejercicio de derechos RGPD y avisos de incidencia o seguridad. Detalle completo en la cláusula 5. | Interés legítimo del participante en recibir información imprescindible sobre el servicio que ha solicitado (art. 6.1.f RGPD). |
| Envío de comunicaciones comerciales sobre el lanzamiento y novedades del producto. | Consentimiento expreso al marcar la casilla opcional (art. 6.1.a RGPD y art. 21 LSSI). |
| Verificación anti-fraude, bloqueo automático de bots y prevención de abusos de la mecánica de la waitlist. | Interés legítimo del responsable en proteger la integridad de la waitlist y de la plataforma (art. 6.1.f RGPD). |
| Vinculación posterior con tu cuenta en la aplicación Zorro mediante el email registrado, para activar el periodo Premium gratuito. | Ejecución de los términos de la waitlist (art. 6.1.b RGPD). |
| Generación de métricas internas agregadas y anónimas (volumen de altas, conversión). | Interés legítimo en auditoría operativa (art. 6.1.f RGPD), sin identificadores persistentes en el navegador. |
| Cumplimiento de obligaciones legales (fiscalidad de premios, requerimientos de autoridades). | Obligación legal (art. 6.1.c RGPD). |
4. Qué datos tratamos
Aplicamos el principio de minimización de datos: solo recopilamos lo funcionalmente necesario.
- Email: almacenado cifrado con AES-256-GCM en reposo. Para deduplicación y búsqueda usamos un hash HMAC-SHA256 con pepper, nunca el email en claro como índice.
- Dominio del email: extraído del email para limitar abusos por dominio (rate limit por dominio y bloqueo de proveedores de email desechable).
- Código de invitación: 8 caracteres alfanuméricos generados al verificar el email.
- Hash HMAC-SHA256 de la IP: la IP nunca se almacena en claro. El hash se usa para detectar multi-cuenta y rate-limit anti-bot.
- Hash del user-agent: igual tratamiento que la IP.
- Código de país (ISO 3166-1 alfa-2): deducido por geolocalización aproximada de IP. No tratamos coordenadas, ciudad concreta ni dirección.
- Fingerprint estable del dispositivo: SHA-256 de user-agent + zona horaria + plataforma + dimensiones de pantalla, usado solo para detectar fraude.
- Marcas de consentimiento: registro de qué casillas marcaste, con qué versión de bases y en qué fecha.
- Eventos de interacción con la waitlist: alta, verificación, reenvíos de código, login posterior en
/me, referidos válidos y revocados.
No recogemos: nombre real, edad, género, orientación sexual, ubicación precisa, datos de salud, fotos, contactos, ni ninguna información sensible. La aplicación Zorro tendrá su propia política cuando se lance, y solicitará por separado los datos que necesite para su funcionamiento.
4.1. Origen de los datos y carácter obligatorio
Todos los datos los facilitas tú directamente al cumplimentar el formulario de alta o al interactuar con la web (sesión, cambio de idioma, click en enlaces de tu email). No obtenemos información de terceros ni la complementamos con bases de datos externas.
Facilitar el email es requisito imprescindible para participar en la waitlist: sin email no podemos asignarte una posición ni enviarte el código de verificación, por lo que no facilitarlo impide el alta. La marca de consentimiento «quiero recibir novedades de Zorro por email» es opcional y no condiciona ni la participación ni los premios. El resto de los datos enumerados arriba (hashes de IP, user-agent, fingerprint, código de país) se generan automáticamente a partir de tu visita y son técnicamente inseparables del servicio.
5. Comunicaciones por email
El responsable enviará al email registrado dos tipos de comunicaciones, claramente separadas:
5.1. Emails operativos (no requieren consentimiento adicional)
- Código de verificación (OTP): enviado al alta y al pulsar «reenviar código» para confirmar la titularidad del email.
- Email de bienvenida: tras verificar. Comunica tu posición, tu tramo, los meses de Premium asignados y tu código de invitación. Es el único registro de estos datos: conviene conservarlo.
- Recordatorio de inscripción ya existente: si tu email ya estaba en la lista y vuelves al formulario de alta, te recordamos por correo tu posición y código (la web responde siempre lo mismo, sin revelar el estado del email).
- Aviso cuando un amigo usa tu código: cada vez que alguien se registra con tu código y verifica su email te informamos del progreso (días sumados, contador de amigos verificados). Por privacidad nunca revelamos la identidad del amigo.
- Cambios en bases o política: notificamos modificaciones sustanciales en estos términos o en esta política de privacidad.
- Cambios en el calendario: si la fecha de cierre de la waitlist, el inicio o fin de la beta abierta o la fecha de activación de la recompensa se desplazan por las causas previstas en los términos (incidencias técnicas, retrasos en revisiones de tienda de apps, fuerza mayor, decisiones operativas razonables).
- Instrucciones de activación de la recompensa: cómo crear cuenta en la aplicación Zorro con el mismo email para que el Premium gratuito se active.
- Recordatorio pre-lanzamiento y avisos de fecha de fin de la beta.
- Confirmación de baja, supresión o exportación cuando ejerces tus derechos.
- Avisos de incidencia o seguridad: si detectamos un fallo o incidente que pueda afectar a tu participación o a tus datos.
Estos emails son imprescindibles para que el servicio funcione. Solo dejamos de enviarlos cuando ejerces el derecho de supresión, lo que implica la pérdida de tu posición y de cualquier premio asociado.
5.2. Comunicaciones comerciales (opcionales, opt-in)
Si has marcado la casilla «Quiero recibir novedades de Zorro por email», podemos enviarte anuncios de funcionalidades, eventos del lanzamiento y contenido editorial relacionado. Aceptar las comunicaciones comerciales no es requisito para participar en la waitlist: si no marcas la casilla seguirás recibiendo todos los emails operativos y conservarás íntegros tu posición y tus premios. Puedes revocar el consentimiento en cualquier momento desde el enlace «darse de baja» que aparece al pie de cada email comercial, sin que ello afecte a las comunicaciones operativas.
5.3. Frecuencia y proveedor
Las comunicaciones comerciales no superan una al mes, salvo eventos puntuales (cierre de waitlist, lanzamiento). El envío técnico se realiza desde infraestructura propia sobre proveedores SMTP transaccionales con sede en la UE. Ningún email contiene píxeles de tracking ni mecanismos de seguimiento de aperturas.
6. Cookies y tecnologías similares
El sitio usa exclusivamente cookies estrictamente necesarias (sesión, idioma), exentas del deber de consentimiento previo. Como medida adicional anti-abuso aplicamos rate-limit por IP y heurísticas anti-bot del lado del servidor, y está previsto activar Cloudflare Turnstile (un mecanismo de verificación sin cookies de seguimiento, exento de consentimiento por su finalidad estrictamente de seguridad) cuando completemos su despliegue. Lamentamos cualquier fricción que estas medidas puedan generar a usuarios legítimos: la seguridad de la waitlist y la integridad de la mecánica de premios son nuestra prioridad y nos las tomamos muy en serio. No usamos cookies ni scripts de seguimiento de terceros en esta web. Para medición publicitaria ofrecemos una casilla opcional y desmarcada por defecto en el formulario de alta: si el usuario la marca expresamente, enviamos a Meta (Facebook/Instagram) el hash SHA-256 de su correo junto con IP y user-agent, desde nuestro servidor, para que pueda atribuir la conversión a su campaña. No compartimos el correo en claro ni colocamos cookies de Meta en el navegador del usuario — esta forma de medición es server-side y más privada que el píxel tradicional con cookies. Esta transferencia no se realiza nunca sin consentimiento explícito y se puede revocar en cualquier momento escribiendo a hola@somoszorro.com o ejerciendo el derecho de supresión. El detalle completo está publicado en la Política de cookies.
7. Plazo de conservación
- Datos del registro de waitlist: hasta 2 años después del alta o hasta que ejerzas el derecho de supresión, lo que ocurra primero.
- Hashes de IP, user-agent y eventos de auditoría anti-fraude: pueden conservarse hasta 12 meses adicionales sobre datos pseudonimizados, para defensa frente a reclamaciones por bloqueos automáticos.
- Tras la activación del Premium en la aplicación Zorro, los datos pasan al tratamiento de la app, que tendrá su propio plazo declarado en su política.
- Datos requeridos por obligación legal (fiscalidad, requerimientos administrativos): el plazo legal exigido en cada caso.
8. Destinatarios y transferencias internacionales
No vendemos tus datos a terceros. No los cedemos salvo obligación legal. Encargados del tratamiento implicados:
- Hetzner Online GmbH (Alemania, UE) VPS donde corre la infraestructura de la waitlist. Al estar dentro del Espacio Económico Europeo no constituye transferencia internacional.
- Backblaze, Inc. (Estados Unidos) exclusivamente para copias de seguridad cifradas en cliente (la clave queda en posesión exclusiva del responsable). Tratamiento amparado por el marco EU-US Data Privacy Framework y por garantías contractuales adicionales.
- Cloudflare, Inc. (Estados Unidos) CDN, WAF y, cuando se active, servicio anti-bot Turnstile. Recibe la señal técnica de verificación; no recibe el email del participante. La transferencia internacional está amparada por el marco EU-US Data Privacy Framework y, con carácter complementario, por las cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea.
- Cloudflare puntos de presencia en Reino Unido el tráfico puede enrutarse a través de centros de datos del proveedor en Reino Unido por motivos de proximidad y resiliencia. Esto no constituye una transferencia internacional sujeta a garantías adicionales: el Reino Unido cuenta con una decisión de adecuación de la Comisión Europea de 28 de junio de 2021 que reconoce un nivel equivalente de protección al del RGPD.
- Proveedor SMTP transaccional con sede en la UE para el envío de emails. Al estar dentro del Espacio Económico Europeo no constituye transferencia internacional.
- Meta Platforms Ireland Ltd. (Irlanda, UE — con transferencias internas a EEUU). Únicamente si el usuario marca el consentimiento publicitario opcional en el formulario de alta, se envía a Meta vía Conversions API server-side el hash SHA-256 del email, la IP y el user-agent, para medir la atribución de campañas en Instagram/Facebook. No se comparte el email en claro ni se colocan cookies de Meta en el navegador del usuario. La base legal es el consentimiento explícito (Art. 9.2.a RGPD). La transferencia a EEUU dentro de Meta está amparada por el marco EU-US Data Privacy Framework y por cláusulas contractuales tipo. Sin consentimiento no hay envío. Cualquier persona puede revocar el consentimiento en cualquier momento escribiendo a hola@somoszorro.com o ejerciendo el derecho de supresión.
9. Tus derechos y cómo ejercerlos
Como interesado tienes los siguientes derechos sobre tus datos personales:
- Acceso: saber qué datos tratamos sobre ti.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión («derecho al olvido»): borrado completo de tus datos.
- Portabilidad: recibir tus datos en formato JSON estructurado, legible por máquina.
- Oposición: oponerte al tratamiento basado en interés legítimo.
- Limitación: limitar el tratamiento mientras se resuelve una objeción.
- Revocar el consentimiento para comunicaciones comerciales en cualquier momento, sin efectos retroactivos.
- Reclamación ante la AEPD: si crees que el responsable no atiende tu derecho.
Cómo ejercerlos:
- Desde tu página personal
/me: botones «cerrar sesión», «exportar datos» y «borrar mis datos» (los dos últimos accesibles desde el enlace incluido en tu email de bienvenida). - Por email a hola@somoszorro.com, indicando el email registrado y la operación solicitada. El responsable puede solicitar verificación adicional si hay dudas razonables sobre la identidad del solicitante.
Plazo de respuesta: 1 mes desde la recepción, ampliable en 2 meses adicionales si la solicitud es compleja, con notificación previa al interesado.
10. Medidas de seguridad
Nos tomamos la seguridad muy en serio y estamos comprometidos con proteger tus datos y la integridad de la waitlist. Aplicamos las siguientes medidas técnicas y organizativas proporcionadas al riesgo (art. 32 RGPD):
- Cifrado en tránsito (HTTPS / TLS 1.3) en todas las páginas y endpoints.
- Cifrado en reposo del email (AES-256-GCM) con clave gestionada por el responsable.
- Hashes con HMAC-SHA256 + pepper para IPs, user-agents y email canonicalizado, de forma que no son reversibles.
- Aislamiento del servicio waitlist: base de datos dedicada, sin acoplamiento con la aplicación Zorro.
- Backups cifrados con clave en posesión exclusiva del responsable.
- Bloqueo automático de IPs y user-agents asociados a actividad fraudulenta (ver sección 11).
- Acceso administrativo restringido por magic-link de un solo uso, sin contraseñas reusables.
10.1. Notificación de brechas de seguridad
En caso de violación de la seguridad de los datos personales que entrañe un riesgo para los derechos y libertades de los interesados, el responsable lo notificará a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde que tenga constancia (art. 33 RGPD) y, cuando el riesgo sea alto, comunicará la brecha también a los interesados afectados sin dilación indebida a través del email registrado (art. 34 RGPD), incluyendo la naturaleza de la brecha, las posibles consecuencias y las medidas adoptadas para mitigarla.
10.2. Evaluación de impacto
Se ha valorado la necesidad de realizar una Evaluación de Impacto sobre la Protección de Datos conforme al art. 35 RGPD y al listado publicado por la AEPD. Dada la limitada categoría de datos tratados (sin datos especiales del art. 9 RGPD ni datos de menores), la escala acotada de la waitlist y las medidas de pseudonimización aplicadas, no se ha considerado obligatoria. No obstante, los controles descritos en la sección 11 se han documentado internamente para asegurar la proporcionalidad del tratamiento.
11. Decisiones automatizadas y revisión humana (art. 22 RGPD)
La seguridad de los participantes y la integridad de la mecánica de la waitlist son nuestra prioridad absoluta. Por eso aplicamos controles automatizados que pueden, en determinadas circunstancias, denegar un alta, bloquear un envío de verificación o invalidar un código de invitación sin intervención humana previa. Queremos ser transparentes sobre cómo funcionan, qué consecuencias tienen y cómo puedes pedir una revisión humana si crees que has resultado afectado de forma injusta.
11.1. Lógica subyacente de los controles
El sistema combina señales automatizadas para distinguir altas legítimas de actividad abusiva o automatizada. Sin revelar el detalle exacto (lo que permitiría eludir las protecciones y debilitaría la seguridad de todos los participantes), las señales principales son:
- Rate-limit por IP: número de altas o reenvíos de código por unidad de tiempo desde una misma red.
- Detección de multi-cuenta: correlación entre hashes de IP, user-agent y fingerprint estable del dispositivo (definidos en la sección 4) para detectar el mismo usuario tras varios emails.
- Reputación del dominio del email: bloqueo de proveedores de email desechable o conocidos por uso masivo automatizado.
- Heurísticas anti-bot en la propia página y, cuando esté operativo, verificación con Cloudflare Turnstile.
- Comportamiento incompatible con un humano: tiempos de envío imposibles, secuencias de campos no coherentes o señales de automatización.
Estos controles pueden refinarse en cualquier momento sin necesidad de preaviso siempre que la finalidad anti-fraude se mantenga inalterada. Los cambios que afecten a la finalidad o a las consecuencias para el interesado se comunicarán conforme a la cláusula 13.
11.2. Consecuencias previsibles para el interesado
Si los controles consideran que un alta o un evento es abusivo, el sistema puede:
- Rechazar el alta en la waitlist o el reenvío del código de verificación.
- Invalidar un código de invitación obtenido mediante referidos sospechosos.
- Excluir al participante de la mecánica de premios y, en casos graves, bloquear el email o la red de origen para futuros intentos.
Lamentamos sinceramente cualquier inconveniente que estas medidas puedan causar a un usuario legítimo. Reconocemos que un control automático puede equivocarse y que recibir un bloqueo siendo una persona real es frustrante. Estamos comprometidos a corregir cualquier falso positivo lo antes posible, y por eso ofrecemos siempre el cauce de revisión humana descrito a continuación.
11.3. Derecho a intervención humana, a expresar tu opinión y a impugnar la decisión
Si una decisión automatizada te ha afectado y crees que es injusta, tienes derecho a:
- Solicitar una revisión humana de la decisión por una persona del equipo del responsable.
- Expresar tu punto de vista aportando contexto que el sistema automático no haya podido valorar (por ejemplo, uso compartido de IP en una empresa o evento).
- Impugnar la decisión y obtener una respuesta motivada por escrito.
Para ejercer cualquiera de estos derechos, escribe a hola@somoszorro.com indicando «Revisión de decisión automática» en el asunto y aportando el email con el que intentaste registrarte y, si lo conoces, el código aproximado de error que recibiste. Una persona del equipo revisará el caso, podrá levantar el bloqueo si fue erróneo, y te responderá en un plazo máximo de 1 mes. Esta revisión es siempre gratuita.
Reiteramos: estamos comprometidos con la seguridad de la plataforma, pero también con que ningún usuario legítimo se quede fuera por un error de un control automático. Si te ha pasado, escríbenos y lo solucionamos.
12. Menores de edad
El servicio está dirigido exclusivamente a personas mayores de 18 años. El responsable no recopila intencionadamente datos de menores. Si detectamos una cuenta creada por un menor, se eliminará sin previo aviso. Si eres tutor de un menor y crees que se ha registrado, contacta a hola@somoszorro.com para solicitar la supresión inmediata.
13. Cambios en esta política
Esta política puede modificarse para reflejar cambios legales, técnicos o de producto. Cualquier modificación con impacto sobre las finalidades, las bases legales o los destinatarios del tratamiento se notificará a los participantes por email con al menos 7 días de antelación y se publicará en la misma URL. Las modificaciones cosméticas o de redacción se publican sin notificación.
14. Autoridad de control
Si consideras que el responsable no atiende correctamente tus derechos, puedes presentar reclamación ante la Agencia Española de Protección de Datos · +34 901 100 099 · C/ Jorge Juan, 6 · 28001 Madrid. Esto no impide acciones administrativas o judiciales adicionales.