Política de Privacidad

Proveedor operativo/encargado: ciertos servicios técnicos y administrativos vinculados a estructuras (LLC/FIP) pueden ser prestados por DEVIL CLUB LLC.

• Datos de navegación ("Información del dispositivo"): dirección IP, zona horaria, identificadores de cookies, tipo/versión de navegador, páginas visitadas, referencias (referrers) y acciones básicas de interacción. Se usan con fines estadísticos agregados y para seguridad del Sitio Web. Técnicamente, los identificadores de cookies son pseudónimos (no anónimos en sentido estricto del RGPD), por lo que su tratamiento para analítica requiere consentimiento previo del usuario.
• Datos que nos proporcionas voluntariamente: nombre, apellidos, email, teléfono, datos de facturación y, en su caso, dirección postal, cuando completas formularios, te suscribes a comunicaciones o contratas servicios.
• Datos financieros y bancarios (clientes Plan Manager): para clientes que contratan el ecosistema Manager, y previa autorización expresa en el Operating Agreement, accedemos de forma exclusivamente de lectura a datos de cuentas bancarias conectadas voluntariamente (Mercury Bank, Wise u otras entidades designadas por el cliente). Estos datos incluyen: movimientos y saldos de cuenta, importes, fechas, descripciones de contrapartes y categorías de transacciones. El acceso se realiza mediante APIs seguras y los datos se almacenan cifrados con AES-256. En ningún caso se utilizan para iniciar pagos, transferencias u operaciones activas.
• Datos derivados generados por sistemas automatizados (Plan Manager): a partir de los datos financieros y operativos del cliente, nuestros sistemas generan análisis, puntuaciones de salud de la entidad, proyecciones y recomendaciones operativas mediante herramientas de inteligencia artificial. Estos datos derivados son internos, se asocian a la entidad del cliente y se usan exclusivamente para prestar los servicios contratados.
• Huellas digitales de documentos firmados: los documentos procesados a través del sistema de firma criptográfica generan un hash SHA-256 que se ancla a una autoridad de sellado de tiempo RFC 3161 y a la red Bitcoin vía OpenTimestamps. El hash en sí no contiene datos personales identificables, pero el proceso implica la transmisión de datos a dichos servicios externos.

• Operar y asegurar el Sitio Web (bases: interés legítimo / ejecución de medidas precontractuales).
• Atender consultas y comunicaciones (bases: ejecución de medidas precontractuales / interés legítimo).
• Gestión administrativa de servicios contratados (base: ejecución de contrato).
• Analítica básica y métricas agregadas mediante identificadores pseudónimos gestionados por proveedores externos (base: consentimiento del usuario prestado desde el banner de cookies, revocable en cualquier momento).
• Prestación del servicio de bookkeeping y monitorización financiera (Plan Manager): acceso y procesamiento de datos bancarios del cliente para categorización de transacciones, generación de informes y preparación de declaraciones fiscales (base: ejecución del contrato y consentimiento explícito otorgado en el Operating Agreement).
• Análisis automatizado e inteligencia de la entidad (Plan Manager): procesamiento de datos financieros y operativos mediante sistemas de inteligencia artificial para generar análisis de salud de la entidad, recomendaciones y reportes proactivos. Estos outputs son informativos y no constituyen decisiones automatizadas con efectos jurídicos (base: ejecución del contrato / interés legítimo en la mejora del servicio).
• Comunicaciones informativas si te suscribes (base: consentimiento; podrás darte de baja en cualquier momento).

Conservamos los datos el tiempo estrictamente necesario para cada finalidad y para cumplir obligaciones legales. Los plazos concretos son:

• Reservas y bookings: dos plazos aplicados por el procedimiento gdpr_retention_sweep (ejecución manual y bajo demanda por el equipo de DEVIL CLUB LLC, sin periodicidad automática programada en producción en el momento de publicación de esta Política): (a) reservas borradas a petición del interesado o por el administrador (soft-delete) — los identificadores directos (nombre, email, teléfono, notas) se purgan 30 días después de la baja; durante esos 30 días se conservan email y nombre como ventana de auditoría para atender consultas posteriores. (b) reservas confirmadas, completadas, canceladas o no-show que no han sido borradas explícitamente — los identificadores directos se purgan 1 año después de la fecha de finalización del evento (campo event_end). En ambos casos se conservan metadatos no identificativos (id, fechas del evento, servicio, estado) para contabilidad y planificación de capacidad.
• Clientes activos y datos contractuales: mientras exista relación contractual y durante 6 años adicionales tras el cierre, según los plazos de prescripción mercantil aplicables.
• Logs de acceso y autenticación: 12 meses desde su generación, tras los cuales se eliminan o agregan de forma irreversible.
• Datos financieros y bancarios: durante la vigencia del servicio contratado y, posteriormente, el tiempo necesario para cumplir obligaciones fiscales y legales (generalmente 5-7 años según normativa aplicable). El acceso read-only a APIs bancarias se desactiva en el momento en que el cliente revoca la autorización o finaliza el contrato.
• Datos derivados de IA (análisis y reportes): durante la vigencia del servicio. Los informes generados quedan disponibles al cliente a través de su panel durante la relación contractual.
• Huellas de documentos firmados con OpenTimestamps: conservación permanente por su naturaleza criptográfica. Una vez sellado, el hash queda anclado en la red Bitcoin y resulta técnicamente imposible borrarlo del anclaje. Al cierre de la relación con el cliente, eliminamos las copias locales en nuestros sistemas, pero el hash anclado permanece como prueba temporal independiente (no contiene datos personales, solo un resumen criptográfico).
• Datos de analítica: conservados por el proveedor según su configuración (ver sección de proveedores) y agregados internamente tras ese periodo.

Compartimos datos con los siguientes encargados del tratamiento (art. 28 RGPD). Todos ellos tratan los datos por cuenta de DEVIL CLUB LLC, bajo contrato y con medidas de seguridad apropiadas:

• Infraestructura y alojamiento: servidor principal y bases de datos en VPS dedicado ubicado en Estados Unidos (región US-East). Cifrado en reposo (AES-256) y en tránsito (TLS 1.2+).
• Cloudflare (CDN + Web Analytics): red de distribución de contenido y métricas de performance sin cookies. Datos tratados: métricas de navegación anónimas (páginas visitadas, país agregado, métricas de rendimiento). Infraestructura: red global con edge nodes en la UE para usuarios en la UE. Base: interés legítimo (seguridad y disponibilidad del Sitio Web).
• OpenRouter (intermediario de IA): enrutamos los mensajes del asistente Lucy a OpenRouter, que los remite al modelo anthropic/claude-sonnet de Anthropic. Sanitización defensiva: antes de transmitir a OpenRouter, nuestro backend aplica regex de sustitución automática para patrones PII comunes (emails → [EMAIL], EINs → [EIN], ITINs/SSN → [TAX_ID], tarjetas → [CARD]). Esta sanitización no es exhaustiva — nombres propios, direcciones completas, documentos pegados o datos financieros en prosa pueden no detectarse. Recomendamos igualmente no incluir datos sensibles en el chat; para consultas que requieran compartir información privada, usa el canal directo con [email protected]. Infraestructura: Estados Unidos. Base: ejecución del contrato e interés legítimo en la prestación del servicio de IA.
• Anthropic (proveedor del modelo de IA): proveedor del modelo Claude Sonnet que ejecuta los análisis de Lucy. Se accede a Anthropic exclusivamente a través de OpenRouter (no existe integración directa). Infraestructura: Estados Unidos. Adherido al EU-US Data Privacy Framework.
• Groq (inferencia IA para resúmenes y narrativas): generación de resúmenes de booking (booking/summarize), narrativas fiscales de dossiers y resúmenes de insights generados por Lucy. Datos tratados: nombre del cliente y transcripción de la reunión (para resúmenes de booking), así como resúmenes de entidades, transacciones y narrativas fiscales. Infraestructura: Estados Unidos. Base: ejecución del contrato e interés legítimo en resúmenes automatizados.
• Google Calendar: gestión de citas con el cliente (bookings y reuniones programadas). Datos tratados: email, nombre y fecha/hora de la reserva. Infraestructura: Google Cloud (UE/EE. UU.). Google está adherido al EU-US Data Privacy Framework.
• Google Drive: almacenamiento off-site exclusivamente de copias de seguridad de la base de datos (dumps PostgreSQL generados por pg_dump en formato custom comprimido). Los documentos del cliente (PDFs firmados, contratos, entregables) NO se almacenan en Google Drive: residen en el sistema de ficheros local del VPS (ver "Infraestructura y alojamiento"). Los dumps se depositan en una carpeta privada ("DevilClub DB Backups") accesible únicamente mediante una cuenta de servicio autenticada con OAuth. La protección en reposo se apoya en el cifrado a nivel de disco que Google aplica por defecto a todo contenido en Drive y en los controles de acceso de la cuenta de servicio; no aplicamos una capa adicional de cifrado a nivel de fichero sobre el dump. Datos tratados: copias de seguridad de la base de datos (que pueden contener datos personales de clientes en forma cifrada/comprimida). Infraestructura: centros de datos de Google; no forzamos una región específica, por lo que el almacenamiento queda sujeto a la política de ubicación por defecto de Google. Adherido al EU-US Data Privacy Framework.
• Telegram (canales privados de operaciones): canales privados del equipo Devil Club para alertas operativas y para el paso de revisión humana ("human-in-the-loop") previo al envío de ciertos entregables al cliente. Los mensajes pueden incluir referencias a eventos del cliente (nueva reserva, solicitud RGPD recibida, incidencias) y, en el flujo de revisión, documentos PDF generados automáticamente —en particular borradores de declaraciones fiscales y resúmenes anuales de la LLC— que el administrador aprueba antes de que se remitan al cliente o a la autoridad fiscal. Estos canales son privados y están restringidos al personal autorizado de DEVIL CLUB LLC; nunca se envían contraseñas, credenciales bancarias ni documentos a canales públicos. Base: interés legítimo (operativa, control de calidad y compliance) y ejecución del contrato.
• Corporate Tools (Registered Agent): renovación del agente registrado de cada LLC ante el estado de New Mexico y otros. Datos tratados: razón social de la LLC, EIN y dirección registral. Infraestructura: Estados Unidos. Base: ejecución del contrato y obligación legal del cliente (mantener RA activo).
• Soporte y comunicación: herramientas de correo transaccional y mensajería directa con el equipo Devil Club para seguimiento operativo.
• APIs bancarias (Plan Manager): Mercury Bank y Wise, como fuentes de datos bajo autorización del cliente. DEVIL CLUB LLC accede a sus APIs únicamente con las credenciales de lectura autorizadas por el cliente. Estas plataformas tienen sus propias políticas de privacidad.
• Soporte y comunicación: herramientas de ticketing y correo transaccional (envío de notificaciones y documentos al cliente desde [email protected]).
• Autoridad de sellado de tiempo RFC 3161: recibe el hash SHA-256 de documentos firmados para emitir el sello de tiempo criptográfico. No recibe el contenido del documento ni datos personales.
• Red Bitcoin / OpenTimestamps: ancla el hash de documentos firmados al blockchain de Bitcoin para verificación permanente. No transmite datos personales.

Ubicación física de la infraestructura:

• Servidor principal y bases de datos: VPS dedicado en Estados Unidos (región US-East).
• Backups: dumps de base de datos replicados a Google Drive en una carpeta privada accesible únicamente por cuenta de servicio, protegidos por el cifrado en reposo que Google aplica por defecto en Drive. No forzamos una región concreta: la ubicación física de estos backups la determina la política por defecto de Google para la cuenta de servicio.
• Cache y CDN: Cloudflare (red global con edge nodes EU para usuarios en la UE, de forma que el contenido estático se sirve desde infraestructura europea).

Para usuarios de la Unión Europea, cuando sea aplicable el RGPD, empleamos las garantías adecuadas previstas por el Capítulo V del Reglamento: Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea o mecanismos equivalentes.

Adicionalmente, desde julio de 2023, las transferencias a EE. UU. realizadas a través de proveedores certificados al EU-US Data Privacy Framework (DPF) se amparan en ese mecanismo de adecuación, aprobado por decisión de la Comisión Europea. Google, Microsoft, Anthropic y Cloudflare, entre otros de nuestros proveedores, están adheridos al DPF.

Utilizamos cookies técnicas y, en su caso, de terceros para funciones y analítica agregada. Puedes gestionar o desactivar cookies desde tu navegador.

Más detalle en nuestra Política de Cookies.

Para los clientes del Plan Manager, DEVIL CLUB LLC opera sistemas de análisis automatizado asistidos por inteligencia artificial (el "Sistema de Inteligencia") que procesan datos financieros y operativos de la entidad del cliente para generar:

• Evaluaciones de salud financiera y compliance de la entidad.
• Análisis de patrones de transacciones y categorizaciones automáticas.
• Recomendaciones operativas y alertas proactivas.
• Informes mensuales unificados.

El cliente tiene derecho a solicitar información sobre el funcionamiento del Sistema de Inteligencia y a optar por no recibir análisis automatizados, sin que ello afecte a los servicios de compliance, bookkeeping básico o presentación de declaraciones fiscales. Para ejercer este derecho contacta a [email protected].

Aplicamos medidas técnicas y organizativas razonables para proteger los datos (control de accesos, cifrado en reposo AES-256, cifrado en tránsito TLS, registros de auditoría). Los datos bancarios se almacenan con cifrado de capa adicional y los tokens de acceso a APIs bancarias se gestionan de forma segura. Ningún sistema es 100% invulnerable, pero trabajamos para minimizar riesgos.

Si te encuentras en la UE/EEE, puedes ejercer en cualquier momento los siguientes derechos reconocidos en los artículos 15 a 22 del RGPD:

También tienes derecho a no ser objeto de decisiones automatizadas con efectos jurídicos (art. 22 RGPD) y a presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es) o ante tu autoridad de control nacional.

Cómo ejercer tus derechos

1. 1 Envía un email a [email protected] con asunto RGPD — [derecho que quieres ejercer] (por ejemplo: "RGPD — supresión").
2. 2 Incluye nombre completo, email con el que operas con Devil Club y una descripción breve de tu solicitud. Si lo consideras necesario, adjunta copia de un documento identificativo (DNI/NIE/pasaporte) para acreditar tu identidad.
3. 3 Respondemos en un plazo máximo de 30 días naturales desde la recepción de tu solicitud, ampliable otros 60 días en casos complejos (te avisaríamos antes de vencer el plazo inicial). El ejercicio es gratuito salvo solicitudes manifiestamente infundadas o excesivas.
4. 4 Si no estás conforme con la respuesta, puedes acudir a la AEPD (aepd.es) sin necesidad de reclamación previa.

Solicitud de borrado

Borrado self-service limitado (solo miembros autenticados): existe un endpoint autenticado (POST /api/member/gdpr-erase) que permite a un miembro con sesión iniciada marcar como borradas (soft-delete) todas las reservas asociadas a su dirección de email. El alcance de este endpoint está limitado a las reservas/bookings del usuario; la purga definitiva de los identificadores directos de esas reservas se realiza después con los plazos descritos en la sección IV (ventana de auditoría de 30 días).

Borrado completo (cuenta, contratos, facturación, documentos): el resto del borrado — más allá de las reservas — se procesa de forma manual por el equipo de DEVIL CLUB LLC; no existe un único botón que elimine todos los datos del cliente de forma automática. Desde tu panel en /miembros/ puedes abrir una solicitud: el formulario genera un correo prellenado a [email protected] con tu email de confirmación, y el equipo revisa y ejecuta el borrado manualmente. Si lo prefieres, puedes escribir directamente a esa dirección sin pasar por el panel.

Procesamos la solicitud en un plazo máximo de 30 días naturales conforme al artículo 17 del RGPD, respetando los límites derivados de obligaciones legales de conservación (por ejemplo, obligaciones fiscales y contables, o documentación contractual que debemos preservar mientras la relación con la LLC del cliente siga abierta frente a terceros como el IRS o el estado de registro).

Tratamos datos para:

• (i) Ejecutar contratos o atender solicitudes.
• (ii) Intereses legítimos (operativa, seguridad, mejora del Sitio Web).
• (iii) Tu consentimiento cuando sea necesario (por ejemplo, comunicaciones comerciales no esenciales).

Puedes retirar el consentimiento en cualquier momento sin efecto retroactivo.

El Sitio Web puede enlazar a sitios externos no controlados por nosotros. Te recomendamos revisar sus políticas de privacidad. No somos responsables de sus prácticas.

DEVIL CLUB LLC es una entidad constituida en Estados Unidos (New Mexico) que ofrece servicios a residentes en la Unión Europea. Conforme al artículo 27 del Reglamento (UE) 2016/679 (RGPD), estamos en proceso de designación formal de un representante en la Unión Europea que actuará como punto de contacto para las autoridades de control y los interesados.

Mientras dicha designación se formaliza, todos los derechos RGPD pueden ejercitarse directamente escribiendo a [email protected], con el mismo plazo de respuesta (30 días naturales, ampliables otros 60 en casos complejos) y las mismas garantías descritas en la sección X de esta Política. La ausencia transitoria del representante no limita en modo alguno los derechos del interesado ni la obligación de DEVIL CLUB LLC de atenderlos.

Esta Política se actualizará con los datos de contacto del representante en cuanto se formalice la designación.

Podemos actualizar esta Política para reflejar cambios legales o técnicos. Publicaremos la versión vigente en esta página e indicaremos la fecha de última actualización.

Para cuestiones sobre esta Política o sobre tu información personal: