Política de Privacidad

Última actualización: 18/02/2026

En cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), el Reglamento (UE) 2022/868 de Gobernanza de Datos (DGA) y el Reglamento (UE) 2023/2854 (Data Act), GrayHats S.L.U., a través de su marca comercial Dataspace, informa a los usuarios del sitio web www.Dataspace.es (en adelante, «el Sitio Web») y a los participantes del espacio de datos Dataspace.es sobre su política de protección de datos personales.

La presente Política de Privacidad constituye la información adicional conforme al artículo 11 de la LOPDGDD, complementando la información básica facilitada en el Aviso Legal.

1. Responsable del tratamiento

El responsable del tratamiento es GrayHats S.L.U. (Dataspace), con NIF B14967541 y domicilio social en Avenida Gran Capitán 46, oficina 1-1, Córdoba, España. El teléfono de contacto es +34 957 858 977 y el correo electrónico general es info@Dataspace.es. GrayHats S.L.U. figura inscrita en el Registro Mercantil de Córdoba, tomo 2.334, folio 161, hoja CO-33178, inscripción 1ª. El Delegado de Protección de Datos (DPO) es José Carlos Almansa Moreno, accesible en la dirección de correo dpo@grayhats.com.

GrayHats S.L.U. actúa como intermediario de datos neutro conforme al Capítulo III del Reglamento (UE) 2022/868 (DGA), operando la plataforma de intermediación de datos Dataspace.es.

2. Categorías de datos tratados

En función del tipo de relación con Dataspace, se podrán tratar las siguientes categorías de datos personales:

  • Datos identificativos: nombre, apellidos, NIF/CIF, razón social, cargo.
  • Datos de contacto: correo electrónico, teléfono, dirección postal.
  • Datos profesionales: empresa, sector de actividad, rol en el espacio de datos (Proveedor de Datos, Consumidor de Datos, App Provider, etc.).
  • Datos de navegación: dirección IP, tipo de navegador, sistema operativo, páginas visitadas, cookies (conforme a la Política de Cookies).
  • Datos de la plataforma de intermediación: registros de transacciones en el Clearing House, metadatos de datasets publicados, credenciales verificables, logs de acceso y uso de conectores.
  • Datos económicos: datos de facturación, cuando aplique, para la gestión de contraprestaciones del espacio de datos.

3. Finalidades del tratamiento y base jurídica

Las finalidades del tratamiento de datos personales y sus correspondientes bases jurídicas conforme al artículo 6.1 del RGPD son las siguientes.

La gestión de la plataforma de intermediación de datos tiene como base jurídica la ejecución contractual (art. 6.1.b RGPD) y comprende la gestión de la participación en el espacio de datos Dataspace.es conforme al Acuerdo Marco de Participación. El registro y verificación de participantes se basa igualmente en la ejecución contractual (art. 6.1.b RGPD) e incluye el alta, la verificación de identidad (eIDAS) y la gestión de credenciales de los participantes. La trazabilidad de transacciones se fundamenta en una obligación legal (art. 6.1.c RGPD) junto con la ejecución contractual (art. 6.1.b RGPD), abarcando el registro de transacciones en el Clearing House conforme al DGA y al Data Sharing Agreement (DSA).

La atención a consultas y solicitudes se realiza sobre la base del consentimiento (art. 6.1.a RGPD) y de la ejecución contractual (art. 6.1.b RGPD), con la finalidad de responder a formularios de contacto y solicitudes de información. El envío de comunicaciones informativas se apoya en el consentimiento explícito (art. 6.1.a RGPD) para el envío de newsletters, novedades del espacio de datos o comunicaciones de servicio, pudiendo el usuario retirar su consentimiento en cualquier momento. El cumplimiento de obligaciones legales se basa en el artículo 6.1.c del RGPD y comprende el cumplimiento del RGPD, LOPDGDD, DGA, Data Act y normativa fiscal y mercantil.

La seguridad del Sitio Web y de la plataforma se sustenta en el interés legítimo (art. 6.1.f RGPD), orientado a la prevención del fraude, la detección de incidentes de seguridad y la protección frente a ataques informáticos, con el interés legítimo de garantizar la seguridad e integridad de los sistemas y datos. La gestión de incidentes y notificación de brechas se fundamenta en la obligación legal (art. 6.1.c RGPD), incluyendo la notificación a la AEPD y a los afectados conforme a los artículos 33 y 34 del RGPD y al artículo 11.3 del DGA. La gestión económica y facturación se apoya en la ejecución contractual (art. 6.1.b RGPD) y en la obligación legal (art. 6.1.c RGPD), cubriendo la facturación de servicios del espacio de datos en condiciones FRAND conforme al Data Act.

4. Conservación de los datos

Los datos personales se conservarán durante el tiempo estrictamente necesario para cumplir la finalidad para la que fueron recabados. Una vez cumplida la finalidad, los datos se bloquearán conforme al artículo 32 de la LOPDGDD durante los plazos legales aplicables y se suprimirán cuando prescriban las posibles responsabilidades derivadas del tratamiento.

Plazos orientativos de conservación:

Los datos vinculados a la relación contractual con los participantes del espacio se conservarán durante la duración del contrato más 5 años, conforme al artículo 1964.2 del Código Civil sobre prescripción de acciones personales. Las obligaciones fiscales y contables implican un plazo de conservación de 4 años desde la última declaración, conforme a los artículos 66 a 70 de la Ley General Tributaria. Los registros de transacciones del Clearing House se conservarán durante la duración de la participación más 5 años, de acuerdo con el DGA y las obligaciones contractuales. Los datos de navegación asociados a cookies analíticas se conservarán un máximo de 24 meses, siguiendo las directrices de la AEPD sobre cookies. Las comunicaciones comerciales se conservarán hasta la retirada del consentimiento, conforme al artículo 7.3 del RGPD. Los datos relativos a la atención de consultas se conservarán durante 1 año desde la resolución, en base al interés legítimo. La información relativa a la gestión de incidentes de seguridad se conservará durante 5 años, conforme al artículo 1964.2 del Código Civil.

5. Destinatarios de los datos

Los datos personales podrán ser comunicados a los siguientes destinatarios o categorías de destinatarios:

  • Participantes del espacio de datos Dataspace.es: En el marco de las transacciones de datos, los datos identificativos y de contacto del participante podrán ser accesibles para otros participantes conforme al Acuerdo Marco de Participación y al DSA correspondiente.
  • Encargados del tratamiento: Proveedores de servicios tecnológicos que tratan datos por cuenta de GrayHats S.L.U. (alojamiento web, servicios cloud, conectores IDS/EDC/FIWARE, servicios de clearing house). Todos ellos operan bajo contratos de encargado del tratamiento conforme al art. 28 del RGPD.
  • Administraciones públicas y autoridades competentes: Cuando exista obligación legal (AEPD, Agencia Tributaria, autoridad competente DGA, Juzgados y Tribunales).
  • Autoridades de certificación y confianza: Proveedores de identidad (IdP/TS) conforme a eIDAS para la emisión y verificación de credenciales.

No se realizan cesiones de datos a terceros para fines comerciales propios de dichos terceros.

6. Transferencias internacionales de datos

Los datos personales se tratan principalmente en servidores ubicados en el Espacio Económico Europeo (EEE).

En el marco de la operativa del espacio de datos Dataspace.es, los datos podrán ser transferidos a participantes ubicados en otros Estados miembros de la UE/EEE, amparados por el principio de libre circulación de datos dentro de la Unión.

En caso de que sea necesario realizar transferencias de datos a países fuera del EEE, se aplicarán las garantías previstas en el Capítulo V del RGPD (arts. 44-49):

  • Decisión de adecuación de la Comisión Europea (art. 45 RGPD).
  • Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (art. 46.2.c RGPD).
  • Normas corporativas vinculantes (art. 47 RGPD), cuando apliquen.

El usuario puede solicitar información detallada sobre las garantías aplicables a las transferencias internacionales contactando al DPO en dpo@grayhats.com.

7. Derechos de los interesados

De conformidad con los artículos 15 a 22 del RGPD y los artículos 12 a 18 de la LOPDGDD, el usuario tiene derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y a no ser objeto de decisiones automatizadas, incluida la elaboración de perfiles.

El derecho de acceso permite obtener confirmación de si se tratan o no datos personales del interesado y, en tal caso, acceder a dichos datos, con base en el artículo 15 del RGPD y el artículo 13 de la LOPDGDD. El derecho de rectificación faculta para solicitar la corrección de datos inexactos o incompletos, conforme al artículo 16 del RGPD y al artículo 14 de la LOPDGDD. El derecho de supresión o «derecho al olvido» permite solicitar la eliminación de los datos cuando ya no sean necesarios para las finalidades para las que fueron recogidos, según el artículo 17 del RGPD y el artículo 15 de la LOPDGDD.

El derecho a la limitación del tratamiento permite solicitar la suspensión del tratamiento de los datos en determinados supuestos, conforme al artículo 18 del RGPD y al artículo 16 de la LOPDGDD. El derecho a la portabilidad posibilita recibir los datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable, según el artículo 20 del RGPD y el artículo 17 de la LOPDGDD. El derecho de oposición permite oponerse al tratamiento de los datos, incluido el perfilado, conforme al artículo 21 del RGPD y al artículo 18 de la LOPDGDD. El derecho a no ser objeto de decisiones automatizadas garantiza no ser sometido a decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o le afecten significativamente de modo similar, conforme al artículo 22 del RGPD.

¿Cómo ejercer sus derechos?

  • Canal preferente: Dirija su solicitud al Delegado de Protección de Datos: José Carlos Almansa Moreno - dpo@grayhats.com.
  • Canal alternativo: Correo postal a Avenida Gran Capitán 46, oficina 1-1, Córdoba, España, a la atención del DPO.
  • Identificación: Deberá acompañar la solicitud con copia de su DNI, pasaporte u otro documento identificativo válido.
  • Gratuidad: El ejercicio de estos derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas conforme al art. 12.5 del RGPD.
  • Plazo de respuesta: Se atenderá su solicitud en el plazo máximo de un mes desde su recepción, prorrogable a dos meses adicionales en función de la complejidad y el número de solicitudes, conforme al art. 12.3 del RGPD.

Derecho a retirar el consentimiento

Cuando el tratamiento se base en el consentimiento del interesado (art. 6.1.a RGPD), este puede retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada (art. 7.3 RGPD).

Derecho a reclamar ante la autoridad de control

Si considera que el tratamiento de sus datos personales vulnera la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):

Le recomendamos que, con carácter previo, se dirija al DPO de GrayHats S.L.U. para intentar resolver su consulta o reclamación.

8. Obligatoriedad de facilitar los datos

La comunicación de datos personales para el registro como participante del espacio de datos es un requisito contractual necesario para formalizar el Acuerdo Marco de Participación y los correspondientes Data Sharing Agreements (DSA). La negativa a facilitar los datos obligatorios impedirá la participación en el espacio de datos.

Para los formularios de contacto del Sitio Web, los datos marcados como obligatorios son necesarios para poder atender la consulta. La no facilitación de dichos datos imposibilitará la atención de la solicitud.

9. Decisiones automatizadas y elaboración de perfiles

Dataspace no realiza decisiones basadas únicamente en el tratamiento automatizado de datos personales que produzcan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar, conforme al artículo 22 del RGPD.

En caso de que en el futuro se implementasen sistemas de decisión automatizada o de elaboración de perfiles, se informará previamente al interesado y se garantizarán los derechos establecidos en el art. 22 del RGPD, incluido el derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión.

Los participantes del espacio de datos que actúen como App/Service Providers (AP) y apliquen sistemas de inteligencia artificial o tratamientos automatizados sobre los datos del espacio deberán cumplir el Reglamento (UE) 2024/1689 (AI Act) y las prohibiciones establecidas en el DSA (cláusula 5.3 del DSA Template).

10. Medidas de seguridad

GrayHats S.L.U. aplica medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo del tratamiento, conforme al artículo 32 del RGPD y alineadas con los marcos de referencia del espacio de datos:

  • Cifrado de datos en tránsito (TLS 1.2+) y en reposo.
  • Control de acceso basado en roles y autenticación mediante credenciales verificables (eIDAS).
  • Trazabilidad completa de las transacciones a través del Clearing House.
  • Gestión de incidentes con notificación en un plazo máximo de 72 horas a la AEPD y sin dilación indebida a los afectados, conforme a los arts. 33-34 del RGPD.
  • Seguridad cloud conforme a las directrices ISO/IEC 27017 e ISO/IEC 27018 para la protección de datos en entornos cloud.
  • Alineamiento con el Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001:2022 y, cuando aplique por la participación de entidades del sector público, con el Esquema Nacional de Seguridad (ENS).
  • Pseudonimización y anonimización de datos personales cuando sea posible, conforme a ISO/IEC 27559.
  • Borrado seguro de datos conforme a ISO/IEC 27555 al finalizar la relación contractual o el período de licencia.

11. Tratamientos específicos del espacio de datos

Como plataforma de intermediación de datos conforme al Reglamento (UE) 2022/868 (DGA), Dataspace realiza tratamientos adicionales derivados de su actividad:

  • Registro de participantes: Alta, verificación de identidad y gestión de roles en el espacio de datos. Base jurídica: ejecución contractual (art. 6.1.b RGPD).
  • Gestión de metadatos: Catalogación de activos de datos conforme a DCAT-AP-ES. Los metadatos pueden incluir datos de contacto del Proveedor de Datos.
  • Políticas de uso (ODRL): Las políticas machine-readable del Anexo II de cada DSA pueden contener condiciones vinculadas a datos del proveedor o consumidor.
  • Clearing House: Registro de todas las transacciones, contratos y eventos del espacio. Los logs pueden contener datos identificativos de los participantes.
  • Notificación al DGA: Los datos del representante legal y del punto de contacto del participante pueden ser comunicados a la autoridad competente conforme al art. 11 del DGA.

En todos estos tratamientos, GrayHats S.L.U. actúa como responsable del tratamiento respecto de los datos necesarios para la operación del espacio. Para los datos que los participantes intercambien entre sí a través del espacio, la responsabilidad del tratamiento se establece conforme a lo previsto en el Acuerdo Marco de Participación, el DSA correspondiente y, en su caso, el DPA (Data Processing Agreement) del Anexo IV del DSA.

12. Menores de edad

Los servicios de Dataspace están dirigidos a profesionales y organizaciones. No se recogen ni tratan conscientemente datos de menores de 14 años. Si se detectase que se han recopilado datos de un menor sin el consentimiento de su padre, madre o tutor legal, se procederá a su eliminación inmediata conforme al artículo 7 de la LOPDGDD.

13. Enlaces a otros textos legales

La presente Política de Privacidad se complementa con los siguientes documentos del Sitio Web:

  • Aviso Legal - Información de primera capa, datos identificativos, condiciones de uso y normativa aplicable.
  • Política de Cookies - Información sobre el uso de cookies, tipología, finalidades y gestión del consentimiento.

14. Cambios en la Política de Privacidad

GrayHats S.L.U. se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o de la práctica del espacio de datos. En caso de cambios sustanciales que afecten al tratamiento de datos personales, se notificará a los usuarios a través del Sitio Web y, cuando sea posible, por correo electrónico.

Se recomienda revisar periódicamente esta Política de Privacidad. La fecha de última actualización se indica al inicio del documento.

Contacto

Para cualquier consulta relacionada con la protección de sus datos personales:

  • Delegado de Protección de Datos: José Carlos Almansa Moreno - dpo@grayhats.com
  • Correo electrónico general: info@Dataspace.es
  • Teléfono: +34 957 858 977
  • Dirección postal: Avenida Gran Capitán 46, oficina 1-1, Córdoba, España
  • Autoridad de control: Agencia Española de Protección de Datos (AEPD) - www.aepd.es