¿Su producto está cubierto por CBAM?Verificar gratis
CarbonSmart

POLÍTICA DE PRIVACIDAD

Última actualización: 17 de abril de 2026 Fecha de entrada en vigor: 17 de abril de 2026 La presente Política de Privacidad ("Política") ha sido elaborada por CarbonSmart Teknoloji ve Danışmanlık A.Ş. ("CarbonSmart", "Sociedad", "nosotros") con el fin de explicar los fines, las bases jurídicas y la forma en que se tratan los datos personales obtenidos en relación con el sitio web de marketing carbonsmart.io y los servicios de software de contabilidad de carbono y gestión de la sostenibilidad ofrecidos a través de app.carbonsmart.io ("Plataforma" o "Servicio"); los terceros a los que se transfieren dichos datos; y los derechos de los interesados y la forma de ejercerlos. La Política se ha redactado de conformidad con la legislación aplicable, incluida la Ley n.º 6698 de Protección de Datos Personales ("KVKK"), el Comunicado sobre los Procedimientos y Principios a Seguir en el Cumplimiento de la Obligación de Información y el Reglamento sobre la Supresión, Destrucción o Anonimización de los Datos Personales; y, respecto a los interesados residentes en la Unión Europea, de conformidad con el Reglamento (UE) 2016/679 ("RGPD"); y, respecto a los interesados residentes en el Reino Unido, de conformidad con el UK GDPR. 1. IDENTIDAD DEL RESPONSABLE DEL TRATAMIENTO 1.1. La persona jurídica que actúa como responsable del tratamiento en virtud de la KVKK se indica a continuación: Denominación social: CarbonSmart Teknoloji ve Danışmanlık A.Ş. Sede: Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906, Türkiye Oficina de Estambul: A+Live Plaza, Barbaros Mahallesi, Begonya Sokak No:7, Ataşehir/İstanbul 34746, Türkiye Oficina de Londres: 2 Eastbourne Terrace, London W2 6LG, United Kingdom Correo electrónico de contacto: info@carbonsmart.io Dirección web: https://carbonsmart.io 1.2. En la medida exigida para los interesados residentes en la Unión Europea, se ha designado un representante en la UE en virtud del art. 27 del RGPD, cuyos datos de contacto pueden solicitarse en info@carbonsmart.io. 2. DEFINICIONES 2.1. A los efectos de la presente Política: (a) Datos personales: Toda información relativa a una persona física identificada o identificable, (b) Categorías especiales de datos personales: Los datos enumerados en el art. 6 de la KVKK, (c) Tratamiento: Operaciones tales como la recogida, registro, almacenamiento, conservación, modificación, reorganización, divulgación, transferencia, recepción, puesta a disposición, clasificación o impedimento del uso de datos personales, por medios total o parcialmente automatizados, o por medios no automatizados siempre que formen parte de un fichero, (d) Interesado: La persona física cuyos datos personales son objeto de tratamiento, (e) Cliente: La persona jurídica o empresa comercial (persona jurídica o física) que ha celebrado un contrato de suscripción por escrito o por medios electrónicos con CarbonSmart, (f) Usuario Final: La persona física que utiliza la Plataforma en nombre o por cuenta del Cliente, (g) Datos de la Plataforma: Cualesquiera datos comerciales cargados en la Plataforma por el Cliente o el Usuario Final, tendrán los significados anteriormente expuestos. 3. CATEGORÍAS DE DATOS PERSONALES TRATADOS 3.1. Dada la naturaleza del Servicio que presta, CarbonSmart trata las siguientes categorías de datos personales: 3.1.1. Datos identificativos: Nombre, apellidos, cargo, firma (incluida la firma electrónica). 3.1.2. Datos de contacto: Dirección de correo electrónico corporativa, número de teléfono, dirección profesional, dirección de correo electrónico registrado (KEP). 3.1.3. Datos de operaciones del Cliente: Información de suscripción, información de facturación y pago (no se conserva el número completo de la tarjeta, aunque sí la información de referencia enmascarada conservada por el proveedor de servicios de pago), historial de pedidos, registros contractuales. 3.1.4. Datos financieros: IBAN, dirección de facturación, número de identificación fiscal/oficina tributaria, historial de pagos. 3.1.5. Datos de actividad del usuario: Creación de cuenta, registros de inicio/cierre de sesión, dirección IP, identificadores de sesión, tipo de navegador, información del dispositivo, sistema operativo, analítica de uso, rastros de clics y navegación dentro de los módulos, registros de llamadas a la API. 3.1.6. Datos de marketing y promoción: Estado de suscripción al boletín, registros de aperturas/clics de correos electrónicos, contenido del formulario de solicitud de demostración, información de inscripción a eventos. 3.1.7. Datos de cookies: Datos obtenidos a través de cookies estrictamente necesarias, funcionales, analíticas y de marketing. Para más detalles, consulte la Política de Cookies. 3.1.8. Datos de soporte y comunicación: Contenido de los tickets de soporte, registros de chat en vivo, grabaciones de videollamadas (únicamente con la notificación previa y el consentimiento de las partes). 3.1.9. Datos legales y de cumplimiento: Contratos, documentos de representantes autorizados, solicitudes KVKK, expedientes de procedimientos legales. 3.1.10. Datos de terceros cargados en la Plataforma por el Cliente: Datos personales de representantes de proveedores, empleados u otros terceros cargados en la Plataforma por el Cliente en relación con los módulos de contabilidad de carbono, reporte CBAM, cálculos PCF/LCA/EPD, reporte de sostenibilidad TSRS/CSRD/GRI y huella hídrica ("Datos Personales de la Plataforma"). Respecto a dichos datos, CarbonSmart actúa como encargado del tratamiento en el sentido del art. 3 de la KVKK y como encargado en el sentido del art. 28 del RGPD, y se aplica un Acuerdo de Tratamiento de Datos (DPA) independiente. 3.2. CarbonSmart se compromete a no tratar categorías especiales de datos personales salvo que sean necesarias para el funcionamiento de la Plataforma. Si el Cliente carga categorías especiales de datos personales en la Plataforma, la responsabilidad del tratamiento recae sobre el Cliente, según lo establecido en las Condiciones de Servicio. 4. MÉTODOS DE RECOGIDA DE DATOS PERSONALES 4.1. Los datos personales se recopilan (a) directamente del interesado a través de las interfaces de la Plataforma, los formularios web, las interacciones con el navegador móvil/de escritorio, el correo electrónico y los canales de soporte; (b) a través de los representantes autorizados por el Cliente; (c) mediante integraciones de API y conexiones SSO; (d) a través de contratos, formularios y documentos firmados físicamente; (e) en el marco de eventos, ferias, reuniones de demostración y conversaciones comerciales B2B; (f) automáticamente a través de cookies, píxeles y tecnologías similares; y (g) mediante solicitudes o notificaciones de las autoridades públicas u otros organismos competentes en el marco de las obligaciones legales. 5. FINES DEL TRATAMIENTO DE DATOS PERSONALES 5.1. Los datos personales se tratan de conformidad con el art. 4 de la KVKK, de manera lícita y leal, para fines determinados, explícitos y legítimos, de forma vinculada, limitada y proporcionada a los fines para los que se traten, y únicamente durante el período previsto en la legislación correspondiente. Los principales fines del tratamiento son: 5.1.1. Formalización y ejecución del contrato de suscripción, creación de cuentas y gestión de cuentas. 5.1.2. Prestación, desarrollo y mejora de los productos y módulos de la Plataforma (CCFP, CBAM, PCF, LCA & EPD, TSRS/CSRD/GRI, Huella Hídrica). 5.1.3. Realización de procesos de facturación, cobro, contabilidad y finanzas. 5.1.4. Prestación de servicios de atención al cliente y gestión de solicitudes y reclamaciones. 5.1.5. Realización de procesos de seguridad de la información y ciberseguridad; detección y prevención de accesos no autorizados. 5.1.6. Gestión de los procesos de continuidad de negocio y copias de seguridad. 5.1.7. Cumplimiento de las obligaciones legales (incluido el cumplimiento fiscal, los libros mercantiles, la KVKK, las TSRS y la normativa de reporte). 5.1.8. Comunicaciones corporativas, actividades de marketing y promoción; el envío de mensajes electrónicos comerciales está sujeto al consentimiento expreso obtenido en virtud de la Ley n.º 6563 de Comercio Electrónico. 5.1.9. Análisis de la experiencia del usuario y del rendimiento de la Plataforma y desarrollo de la hoja de ruta del producto (priorizando datos agregados/anonimizados). 5.1.10. Gestión de litigios; tramitación de procedimientos judiciales, ejecutivos y de solicitudes oficiales. 5.1.11. Auditoría interna, gestión de riesgos, cumplimiento normativo y actividades del sistema de gestión de seguridad de la información (con el objetivo de la ISO 27001). 6. BASES JURÍDICAS DEL TRATAMIENTO 6.1. Los datos personales se tratan sobre las siguientes bases jurídicas, de conformidad con los arts. 5 y 6 de la KVKK y los arts. 6 y 9 del RGPD: 6.1.1. Necesario para el tratamiento de los datos personales de las partes, siempre que esté directamente relacionado con la formalización o ejecución de un contrato (art. 5/2-c de la KVKK; art. 6/1-b del RGPD). 6.1.2. Necesario para que el responsable del tratamiento cumpla con sus obligaciones legales (art. 5/2-ç de la KVKK; art. 6/1-c del RGPD). 6.1.3. Necesario para la formulación, el ejercicio o la defensa de un derecho (art. 5/2-e de la KVKK; art. 6/1-f del RGPD, interés legítimo). 6.1.4. Necesario para los intereses legítimos del responsable del tratamiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado (art. 5/2-f de la KVKK; art. 6/1-f del RGPD), por ejemplo, seguridad, prevención del fraude y mejora de la calidad del servicio. 6.1.5. Previsión expresa por ley (art. 5/2-a de la KVKK). 6.1.6. Cuando las bases jurídicas anteriores no resulten aplicables, el consentimiento expreso del interesado (art. 5/1 y art. 6/2 de la KVKK; art. 6/1-a del RGPD). 6.2. En los tratamientos basados en el consentimiento expreso, el interesado tiene derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afecta a la licitud del tratamiento llevado a cabo con anterioridad a dicha retirada. 7. TRANSFERENCIAS DE DATOS PERSONALES 7.1. Transferencias nacionales. Los datos personales podrán transferirse, en el marco del art. 8 de la KVKK, a despachos de abogados, asesorías financieras y firmas de auditoría independiente con las que se contraten servicios; a proveedores de software de alojamiento, ciberseguridad, atención al cliente y CRM; a proveedores de servicios de pago y bancos; y a autoridades públicas habilitadas legalmente (por ejemplo, el Ministerio de Hacienda y Finanzas, el Instituto de Seguridad Social, la Administración Tributaria, la Autoridad de Protección de Datos Personales, las autoridades judiciales). 7.2. Transferencias internacionales. CarbonSmart utiliza Amazon Web Services (AWS, regiones de Frankfurt e Irlanda) y, cuando sea necesario, Google Cloud Platform para la infraestructura de alojamiento; Google Workspace y proveedores como SendGrid/Mailgun para la infraestructura de correo electrónico y comunicación; el servicio respetuoso con la privacidad Plausible Analytics (con sede en la UE) para la analítica de producto; Sentry para la supervisión de errores; Intercom/HubSpot para la atención al cliente; HubSpot para la automatización de marketing; y la etiqueta LinkedIn Insight Tag para el marketing B2B. Asimismo, podrán realizarse transferencias operativas intragrupo con la oficina de Londres (Reino Unido). Las transferencias internacionales se realizan en el marco del art. 9 de la KVKK y del reglamento de 2024 conexo, utilizando el método más apropiado de los siguientes: (a) Transferencia a destinatarios ubicados en países declarados por la Autoridad como proveedores de un nivel adecuado de protección, (b) Transferencia basada en cláusulas contractuales tipo con notificación a la Autoridad, (c) Normas corporativas vinculantes, o (d) Consentimiento expreso en casos excepcionales. Para las transferencias de datos UE/Reino Unido, se aplican el art. 44 y siguientes del RGPD y las Cláusulas Contractuales Tipo de la Comisión Europea (2021/914). 7.3. CarbonSmart publica la lista actualizada de subencargados a petición de los Clientes y/o en una página de centro de confianza como trust.carbonsmart.io. 8. PERÍODOS DE CONSERVACIÓN 8.1. Los datos personales se conservan durante el período necesario para el fin del tratamiento y por los períodos mínimos previstos en la legislación correspondiente. Los principales períodos de conservación son los siguientes: 8.1.1. Libros y registros mercantiles: 10 años, conforme al art. 82 del Código de Comercio Turco. 8.1.2. Documentos previstos en la Ley de Procedimiento Tributario: 5 años. 8.1.3. Registros de contratos y comunicaciones comerciales: 10 años desde la resolución del contrato (plazo de prescripción del art. 146 del TBK). 8.1.4. Cuentas de suscripción y contenido de la Plataforma: Durante la vigencia de la suscripción, seguidos de la supresión definitiva tras un período de gracia de 90 días desde la resolución (sujeto al derecho del Cliente a la portabilidad de los datos). 8.1.5. Tickets de soporte: 3 años desde la fecha de cierre. 8.1.6. Consentimientos de marketing y registros de consentimientos: 3 años, conforme a la Ley n.º 6563, y registros del IYS. 8.1.7. Registros de logs y de seguridad: Al menos 2 años, conforme a la Ley n.º 5651 y normativa relacionada. 8.1.8. Datos basados en cookies: Los períodos especificados en la Política de Cookies. 8.2. Los datos cuyo período de conservación haya expirado se suprimen, destruyen o anonimizan en ciclos periódicos de eliminación, en el marco de la Política de Conservación y Eliminación de Datos Personales. 9. DERECHOS DEL INTERESADO 9.1. En virtud del art. 11 de la KVKK, el interesado podrá dirigirse a CarbonSmart y ejercer los siguientes derechos respecto a sí mismo: (a) Saber si sus datos personales están siendo tratados. (b) Solicitar información si sus datos personales han sido tratados. (c) Conocer la finalidad del tratamiento de los datos personales y si los datos se utilizan de conformidad con dicha finalidad. (ç) Conocer los terceros, en el país o en el extranjero, a los que se transfieren los datos personales. (d) Solicitar la rectificación de los datos personales si han sido tratados de manera incompleta o incorrecta. (e) Solicitar la supresión o destrucción de los datos personales en las condiciones previstas en el art. 7 de la KVKK. (f) Solicitar que las operaciones realizadas conforme a las letras (d) y (e) sean notificadas a los terceros a los que se hayan transferido los datos personales. (g) Oponerse a que se produzca un resultado en su contra mediante el análisis de los datos tratados exclusivamente por sistemas automatizados. (ğ) Solicitar la indemnización de los daños sufridos como consecuencia del tratamiento ilícito de sus datos personales. 9.2. Los interesados residentes en la UE/Reino Unido tienen, además, los derechos previstos en los arts. 15 a 22 del RGPD, incluidos los derechos a la portabilidad de los datos y a oponerse al tratamiento. 10. MEDIDAS DE SEGURIDAD 10.1. En el marco de su objetivo de cumplir con la norma ISO/IEC 27001 sobre Sistema de Gestión de Seguridad de la Información, CarbonSmart aplica y revisa de forma continua las siguientes medidas administrativas y técnicas: 10.1.1. Controles de acceso, autorización basada en roles y permisos y principio de mínimo privilegio. 10.1.2. Cifrado de los datos en tránsito mediante TLS 1.2/1.3 y de los datos en reposo mediante AES-256. 10.1.3. Autenticación multifactor y opciones de integración con SSO corporativo. 10.1.4. Supervisión de seguridad, soluciones SIEM, pruebas de penetración y análisis de vulnerabilidades. 10.1.5. Seguridad del código, revisión de seguridad dentro del SDLC y análisis de dependencias. 10.1.6. Planes de recuperación ante desastres y de continuidad de negocio, con copias de seguridad periódicas. 10.1.7. Formación periódica para los empleados sobre la KVKK y la seguridad de la información, y compromisos de confidencialidad. 10.1.8. Evaluaciones de riesgos de proveedores, acuerdos de tratamiento de datos y procesos de aprobación de subencargados. 10.2. Cuando los Clientes opten por un despliegue VPC u On-Premise, las medidas de seguridad se adaptarán a la arquitectura técnica correspondiente y se proporcionará documentación de seguridad independiente. 11. COOKIES 11.1. CarbonSmart utiliza cookies y tecnologías de seguimiento similares con fines tales como la gestión de sesiones, la seguridad, el recordatorio de las preferencias del usuario, el análisis de las estadísticas de uso y el marketing B2B. La información detallada sobre el tipo, la duración, la finalidad y los proveedores externos de las cookies, así como las instrucciones para gestionarlas, se recogen en la Política de Cookies. 12. DATOS PERSONALES DE MENORES 12.1. El Servicio ofrecido por CarbonSmart es de naturaleza B2B y no está dirigido a personas menores de 18 años. CarbonSmart no recoge a sabiendas datos personales de menores. Los progenitores/tutores que crean que se han transmitido datos personales de un menor a la Plataforma sin su conocimiento o consentimiento podrán dirigirse a info@carbonsmart.io para solicitar la supresión de los datos. 13. INTEGRACIONES CON TERCEROS 13.1. El Cliente podrá integrar la Plataforma con sistemas de terceros (ERP, EBYS, software de contabilidad, plataformas de cadena de suministro, proveedores de inicio de sesión único (SSO), clientes de API). El intercambio de datos producido a través de estas integraciones se realiza por instrucción y bajo la responsabilidad del Cliente. CarbonSmart no podrá ser considerado responsable de las prácticas de privacidad de los proveedores de servicios de terceros. 14. DECISIONES AUTOMATIZADAS Y ELABORACIÓN DE PERFILES 14.1. CarbonSmart utiliza componentes analíticos asistidos por IA en procesos como los cálculos de carbono, la validación de datos y la categorización de emisiones; sin embargo, estos procesos no constituyen decisiones individuales basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos en los interesados o les afecten significativamente de modo similar. Los resultados de la Plataforma son revisados y aprobados por el Cliente. 15. NOTIFICACIÓN DE BRECHAS DE DATOS 15.1. En caso de divulgación, acceso o pérdida no autorizados de datos personales, se notificará a la Autoridad de Protección de Datos Personales en virtud del art. 12/5 de la KVKK a la mayor brevedad posible y, en cualquier caso, en un plazo de 72 horas; los interesados afectados también serán informados en un plazo razonable. Para los interesados de la UE/Reino Unido, se aplican los procesos de notificación previstos en los arts. 33-34 del RGPD. 16. CAMBIOS EN LA POLÍTICA 16.1. CarbonSmart podrá actualizar la presente Política de tiempo en tiempo. La versión vigente se publica en carbonsmart.io/legal-privacy. Los cambios sustanciales se anuncian mediante notificación dentro de la Plataforma y/o por correo electrónico. La continuación del uso de la Plataforma tras un cambio constituirá la aceptación de la Política actualizada. 17. CONTACTO Y SOLICITUDES 17.1. Los interesados podrán utilizar los siguientes canales para ejercer sus derechos en virtud de la KVKK y plantear cualquier consulta o solicitud relativa a la Política: Dirección: CarbonSmart Teknoloji ve Danışmanlık A.Ş., Sanayi Mahallesi, Teknopark Bulvarı, Teknopark İstanbul, Pendik/İstanbul 34906 Correo electrónico: info@carbonsmart.io Web: carbonsmart.io/legal-privacy 17.2. Las solicitudes podrán presentarse por escrito, a través de una dirección KEP, mediante firma electrónica segura, mediante firma móvil o a través de la dirección de correo electrónico que el interesado haya comunicado previamente a CarbonSmart y que esté registrada en nuestro sistema. La conformidad procedimental de la solicitud se evaluará de conformidad con las disposiciones del Comunicado sobre los Procedimientos y Principios para la Solicitud al Responsable del Tratamiento.