Política de Privacidad

Documento
PRIV-2026.1
Fecha de entrada en vigor
[Pendiente publicación]
Cobertura
RGPD, UK GDPR, CCPA, LGPD
Responsable del tratamiento
SOMA9 Holdings, LLC

1. Introducción

SOMA9 Holdings, LLC (SOMA9, nosotros, nuestro) opera servicios de infraestructura gestionada. La presente Política de Privacidad describe los datos personales que recogemos, cómo los utilizamos, con quién los compartimos y los derechos que las personas tienen sobre sus datos.

Esta Política es de aplicación a:

  • Visitantes de los sitios web de SOMA9, incluidos soma9.cloud, panel.soma9.cloud, docs.soma9.cloud y api.soma9.cloud
  • Clientes y sus usuarios autorizados de los servicios de SOMA9
  • Personas que se ponen en contacto directamente con SOMA9
  • Destinatarios de comunicaciones comerciales de SOMA9 que hayan otorgado su consentimiento

SOMA9 se compromete a tratar los datos personales conforme al Reglamento General de Protección de Datos de la Unión Europea (RGPD), al UK GDPR, a la California Consumer Privacy Act (CCPA) modificada por la California Privacy Rights Act (CPRA), a la Lei Geral de Proteção de Dados de Brasil (LGPD) y a las demás normativas de privacidad aplicables.

2. Definiciones

  • Datos personales: toda información sobre una persona física identificada o identificable.
  • Tratamiento: cualquier operación realizada sobre datos personales, incluida la recogida, almacenamiento, consulta, transmisión, modificación y supresión.
  • Responsable del tratamiento: la entidad que determina los fines y los medios del tratamiento de datos personales.
  • Encargado del tratamiento: la entidad que trata datos personales por cuenta del responsable.
  • Interesado: la persona física a la que se refieren los datos personales.
  • Cliente: entidad o persona registrada en los servicios de SOMA9.
  • Usuario final: persona cuyos datos son tratados a través del uso que el Cliente hace de los servicios de SOMA9.

3. Roles de responsable y encargado del tratamiento

SOMA9 desempeña roles distintos en función de los datos personales y del contexto:

3.1 SOMA9 como responsable

SOMA9 actúa como responsable de los datos personales que recoge directamente para operar su negocio, entre otros:

  • Datos de registro de cuenta de Clientes y usuarios autorizados
  • Datos de facturación y pago
  • Datos de comunicaciones cuando una persona contacta con SOMA9
  • Datos de marketing de quienes han consentido recibir comunicaciones
  • Métricas analíticas de uso de los sitios web de SOMA9 y del portal del cliente

3.2 SOMA9 como encargado

SOMA9 actúa como encargado del tratamiento respecto a los datos personales que el Cliente transmite, almacena o trata mediante los servicios de SOMA9 como parte de la actividad del propio Cliente, entre otros:

  • Datos personales que el Cliente carga en sus entornos de hosting
  • Contenido de correo transmitido a través de los servicios de mensajería de SOMA9
  • Contenido de bases de datos almacenado en las cuentas de hosting del Cliente
  • Ficheros de los entornos de almacenamiento del Cliente

En las actividades en las que SOMA9 actúa como encargado, el Cliente es el responsable del tratamiento y asume la legitimidad del mismo, la entrega de avisos de privacidad a sus usuarios finales y la respuesta a las solicitudes de los interesados. Los términos que rigen esta relación se establecen en el Acuerdo de Tratamiento de Datos de SOMA9, disponible en soma9.cloud/legal/dpa.

4. Categorías de datos personales

4.1 Datos identificativos y de contacto

  • Nombre, razón social, dirección postal
  • Direcciones de correo electrónico y números de teléfono
  • Números de identificación oficial (cuando se requieren para facturación o KYC)
  • Factores de autenticación: contraseñas (almacenadas como hashes criptográficos), tokens API, huellas de claves SSH, semillas de doble factor

4.2 Datos económicos

  • Direcciones de facturación
  • Números de identificación fiscal (CIF/NIF, VAT, EIN o equivalentes)
  • Identificadores de medio de pago (últimos cuatro dígitos de la tarjeta a través del procesador de pagos; SOMA9 no almacena el número completo)
  • Histórico de facturas y transacciones

4.3 Datos técnicos

  • Direcciones IP, cadenas user-agent, cabeceras referrer
  • Identificadores de dispositivo y huellas de navegador (cuando se utilizan con fines de seguridad)
  • Geolocalización derivada de la dirección IP
  • Identificadores de sesión y tokens de autenticación

4.4 Datos de uso del servicio

  • Logs de acceso al servicio (marca temporal, IP de origen, acción, código de estado)
  • Métricas de consumo de recursos
  • Cambios de configuración
  • Logs de llamadas API
  • Histórico de tickets de soporte

4.5 Datos de comunicaciones

  • Contenido de los correos enviados a support@soma9.cloud, sales@soma9.cloud y otras direcciones de SOMA9
  • Registros de llamadas o videoconferencias (con consentimiento)
  • Mensajes a través del portal del cliente

5. Fuentes de los datos

SOMA9 obtiene datos personales de las siguientes fuentes:

  • Directamente del interesado: formularios de registro, comunicaciones de soporte, formularios de suscripción a marketing
  • De forma automática mediante el uso del servicio: logs de servidor y aplicación, analítica
  • Del Cliente: datos personales que el Cliente carga en su entorno de hosting (cuando SOMA9 actúa como encargado)
  • De terceros: procesadores de pago que confirman transacciones, servicios de prevención del fraude, proveedores de verificación KYC
  • De fuentes públicas: registros WHOIS de dominios, registros mercantiles públicos para verificación empresarial

6. Finalidades y bases jurídicas

6.1 Prestación del servicio

Finalidad: operación de los servicios de SOMA9 para el Cliente.
Categorías utilizadas: identificativos, técnicos, uso del servicio, económicos.
Base jurídica (art. 6 RGPD): ejecución de contrato con el Cliente (art. 6.1.b).

6.2 Facturación e impuestos

Finalidad: emisión de facturas, procesamiento de pagos, cumplimiento fiscal.
Base jurídica: ejecución de contrato (art. 6.1.b) y obligación legal (art. 6.1.c).

6.3 Seguridad y prevención del fraude

Finalidad: detectar y prevenir accesos no autorizados, abusos y fraude contra SOMA9 y sus clientes.
Categorías utilizadas: identificativos, técnicos, uso del servicio.
Base jurídica: interés legítimo (art. 6.1.f) — proteger la infraestructura de SOMA9 y a sus demás clientes.

6.4 Inteligencia de amenazas e investigación de seguridad

Finalidad: identificar y analizar actividad maliciosa que afecte a la infraestructura de SOMA9, incluida la publicación de indicadores técnicos anonimizados conforme a la Política de Divulgación de Vulnerabilidades.
Base jurídica: interés legítimo (art. 6.1.f) — compartición de información en interés público en materia de ciberseguridad.

6.5 Comunicaciones

Finalidad: responder consultas, prestar soporte y enviar notificaciones del servicio.
Base jurídica: ejecución de contrato (art. 6.1.b) e interés legítimo (art. 6.1.f).

6.6 Marketing

Finalidad: envío de actualizaciones de producto, boletines y contenido promocional a destinatarios que han consentido recibirlo.
Base jurídica: consentimiento (art. 6.1.a). Los destinatarios pueden retirar su consentimiento en cualquier momento mediante el mecanismo de baja incluido en cada comunicación comercial.

Finalidad: cumplir obligaciones legales, incluida la respuesta a resoluciones judiciales, requerimientos administrativos y de autoridades fiscales.
Base jurídica: obligación legal (art. 6.1.c).

7. Comunicación y cesión de datos

SOMA9 no vende datos personales. SOMA9 únicamente comunica datos personales en los términos descritos a continuación.

7.1 A subencargados del tratamiento

SOMA9 contrata subencargados para realizar funciones específicas del servicio. Los subencargados están vinculados por términos de protección de datos equivalentes a los de esta Política. La lista vigente de subencargados figura en la sección 8.

7.2 A asesores profesionales

SOMA9 puede comunicar datos personales a abogados, auditores, contables y asesores similares sujetos a obligaciones de confidencialidad.

7.3 En respuesta a procesos legales

SOMA9 puede comunicar datos personales en respuesta a citaciones, resoluciones judiciales, requerimientos administrativos u otros procesos legales. En la medida que la legislación aplicable lo permita, SOMA9 notificará a la persona afectada antes de la comunicación.

7.4 Para proteger derechos y seguridad

SOMA9 puede comunicar datos personales cuando sea necesario para proteger los derechos, propiedad o seguridad de SOMA9, sus clientes o terceros, incluida la prevención del fraude o la respuesta a amenazas de seguridad.

7.5 En operaciones corporativas

Si SOMA9 participa en una fusión, adquisición, venta de activos o transacción similar, los datos personales podrán transferirse como parte de la operación. La parte adquirente quedará vinculada por términos no menos protectores que los de esta Política.

7.6 Datos anonimizados

SOMA9 podrá publicar o compartir datos agregados y anonimizados que no puedan vincularse razonablemente a ninguna persona.

8. Subencargados del tratamiento

La lista vigente de subencargados de SOMA9 y sus funciones se publica en soma9.cloud/legal/sub-processors. La lista incluye nombre de la entidad, jurisdicción y categoría del tratamiento realizado. Los Clientes pueden suscribirse a notificaciones de cambios de la lista de subencargados a través del portal del cliente.

Las principales categorías de subencargados incluyen proveedores de infraestructura (alojamiento en la nube, servidores dedicados, red), procesamiento de pagos, plataformas de comunicación (entrega de correo, ticketing de soporte), analítica y gestión de relaciones con clientes.

9. Transferencias internacionales

SOMA9 trata datos personales principalmente en la Unión Europea y los Estados Unidos. Cuando los datos personales se transfieren desde el Espacio Económico Europeo, el Reino Unido o Suiza a un país no declarado adecuado por la Comisión Europea, las transferencias se protegen mediante:

  • Cláusulas Contractuales Tipo de la Comisión Europea (Módulo 2: responsable a encargado; Módulo 3: encargado a encargado)
  • El UK International Data Transfer Addendum cuando proceda
  • Medidas complementarias incluyendo cifrado en tránsito y en reposo, controles de acceso y auditorías de seguridad periódicas

Los Clientes pueden solicitar copia de los documentos de transferencia aplicables escribiendo a privacy@soma9.cloud.

10. Conservación de datos

SOMA9 conserva los datos personales durante los plazos necesarios para cumplir las finalidades para las que fueron recogidos, sujeto a las obligaciones legales de conservación.

10.1 Plazos de conservación

  • Datos de cuenta: durante toda la relación con el Cliente, más siete (7) años por cumplimiento fiscal y contable
  • Registros de facturación: siete (7) años desde la fecha de la transacción
  • Logs de acceso al servicio: habitualmente noventa (90) días, ampliables cuando una investigación de seguridad lo exija
  • Comunicaciones de soporte: tres (3) años desde el cierre del caso de soporte
  • Datos de marketing: hasta la retirada del consentimiento o tres (3) años de inactividad, lo que ocurra primero
  • Copias de seguridad: conservadas según el calendario de retención de copias del servicio subyacente

10.2 Supresión

Al expirar el plazo de conservación aplicable, SOMA9 suprime o anonimiza los datos personales aplicando métodos coherentes con los estándares del sector.

11. Derechos del interesado

Sujeto a las condiciones de la legislación aplicable, las personas tienen los siguientes derechos respecto a sus datos personales:

  • Derecho de acceso: obtener confirmación de si SOMA9 trata los datos del interesado y, en su caso, una copia de dichos datos
  • Derecho de rectificación: corregir datos inexactos y completar datos incompletos
  • Derecho de supresión: solicitar la eliminación de los datos, con las limitaciones aplicables, incluidas obligaciones legales de conservación
  • Derecho de limitación: restringir el tratamiento en circunstancias específicas
  • Derecho a la portabilidad: recibir los datos personales en un formato estructurado y de lectura mecánica
  • Derecho de oposición: oponerse al tratamiento basado en interés legítimo, incluidas finalidades de marketing directo
  • Derecho a retirar el consentimiento: cuando el tratamiento se base en consentimiento, retirarlo en cualquier momento sin afectar a los tratamientos anteriores
  • Derecho a presentar reclamación: ante la autoridad de control competente, en particular la del país de residencia (en España, la Agencia Española de Protección de Datos)

12. Ejercicio de los derechos

Para ejercer cualquiera de los derechos descritos en la sección 11, contacta con SOMA9 en:

Contacto de privacidad

Correo: privacy@soma9.cloud
Postal: SOMA9 Holdings, LLC. A/A: Protección de Datos. 1021 E Lincolnway Unit #1657, Cheyenne, WY 82001, Estados Unidos
Plazo de acuse de recibo: 30 días (ampliables a 60 días en solicitudes complejas, previa notificación)

Para tramitar una solicitud, SOMA9 podrá requerir verificación de la identidad del solicitante. Cuando la solicitud se refiera a datos que SOMA9 trata como encargado por cuenta de un Cliente, SOMA9 trasladará la solicitud a dicho Cliente y prestará la asistencia necesaria para su respuesta.

Las solicitudes se atienden gratuitamente. SOMA9 podrá cobrar una tarifa razonable o denegar solicitudes manifiestamente infundadas o excesivas, en particular las repetitivas.

13. Cookies y seguimiento

Los sitios web de SOMA9 utilizan cookies y tecnologías similares con las siguientes finalidades:

  • Estrictamente necesarias: gestión de sesión, tokens de seguridad, balanceo de carga. No pueden desactivarse.
  • Funcionales: recordar idioma, región y preferencias de accesibilidad. Opcionales.
  • Analíticas: medición de patrones de uso para mejorar el servicio. Opcionales; requieren consentimiento en jurisdicciones donde sea exigido.

SOMA9 no utiliza cookies de publicidad cross-site ni de seguimiento de terceros. Cuando el consentimiento es necesario para cookies no esenciales, se muestra un banner en la primera visita.

Los controles del navegador y la señal Do Not Track se respetan cuando es técnicamente factible.

14. Menores

Los servicios de SOMA9 no están dirigidos a menores de dieciséis (16) años. SOMA9 no recopila a sabiendas datos personales de menores de dieciséis años. Si SOMA9 detecta que se han recogido datos personales de un menor de dieciséis años sin consentimiento parental, los suprimirá sin demora.

Para servicios dirigidos a usuarios finales en jurisdicciones con umbrales de edad más estrictos, prevalecerá el umbral más alto.

15. Seguridad y notificación de brechas

15.1 Medidas de seguridad

SOMA9 implementa medidas técnicas y organizativas apropiadas a los riesgos del tratamiento, entre otras:

  • Cifrado de datos personales en tránsito y en reposo
  • Controles de acceso basados en el principio de mínimo privilegio
  • Autenticación incluida la doble factor en accesos administrativos
  • Auditorías de seguridad periódicas y pruebas de penetración
  • Procedimientos de detección y respuesta a incidentes
  • Formación del personal en obligaciones de protección de datos
  • Operaciones continuas de threat-hunting según se describen en la Política de Divulgación de Vulnerabilidades

15.2 Notificación de brechas

En caso de brecha de datos personales que afecte a datos sobre los que SOMA9 actúa como responsable, SOMA9:

  • Notificará a la autoridad de control competente sin dilación indebida y, cuando sea posible, en un plazo de setenta y dos (72) horas desde que tenga conocimiento de la brecha, conforme al art. 33 RGPD o norma equivalente
  • Notificará a los interesados afectados sin dilación indebida cuando sea probable que la brecha entrañe un alto riesgo para sus derechos y libertades, conforme al art. 34 RGPD o norma equivalente
  • Documentará la brecha incluyendo hechos, efectos y medidas correctivas

En las brechas que afecten a datos personales que SOMA9 trata por cuenta de un Cliente, SOMA9 notificará al Cliente sin dilación indebida para que el Cliente pueda cumplir sus propias obligaciones de notificación.

16. Residentes en California (CCPA)

Los residentes en California disponen de derechos adicionales bajo la California Consumer Privacy Act, modificada por la California Privacy Rights Act:

  • Derecho a conocer la información personal que SOMA9 ha recogido, utilizado, comunicado o vendido (o compartido)
  • Derecho a la supresión de la información personal, con las excepciones aplicables
  • Derecho a la corrección de información personal inexacta
  • Derecho a oponerse a la venta o compartición de información personal con fines de publicidad conductual cross-context — SOMA9 no vende ni comparte información personal de este modo
  • Derecho a limitar el uso de información personal sensible
  • Derecho a no ser discriminado por el ejercicio de estos derechos

SOMA9 no ha vendido información personal de residentes en California en los doce (12) meses previos. Para ejercer derechos CCPA, escribir a privacy@soma9.cloud.

17. Residentes en Brasil (LGPD)

Los residentes en Brasil disponen de derechos bajo la Lei Geral de Proteção de Dados (Ley n.º 13.709/2018), entre otros:

  • Confirmación de la existencia del tratamiento
  • Acceso a los datos
  • Corrección de datos incompletos, inexactos o desactualizados
  • Anonimización, bloqueo o eliminación de datos innecesarios o excesivos
  • Portabilidad a otro proveedor de servicios o productos
  • Información sobre las entidades públicas y privadas con las que SOMA9 ha compartido los datos
  • Información sobre la posibilidad de denegar el consentimiento y las consecuencias de la denegación
  • Revocación del consentimiento

Para ejercer derechos LGPD, escribir a privacy@soma9.cloud. Los interesados brasileños también pueden presentar reclamación ante la Autoridade Nacional de Proteção de Dados (ANPD).

18. Revisiones y versionado

Esta Política de Privacidad se mantiene como un documento vivo que evoluciona con los estándares del sector, el panorama de amenazas, las normativas aplicables y las operaciones de SOMA9. SOMA9 se reserva el derecho a modificar, complementar o sustituir esta Política a su discreción, sujeto a los compromisos de notificación expuestos a continuación.

Las modificaciones sustanciales se comunicarán a través de:

  • Correo al contacto técnico registrado del Cliente
  • Aviso en el portal del cliente de SOMA9 en panel.soma9.cloud
  • Entrada en el changelog público en soma9.cloud/legal/changelog

Las modificaciones sustanciales surtirán efecto no antes de treinta (30) días tras la notificación, salvo cuando sea necesario un plazo más breve para responder a una amenaza activa a la integridad de los datos, o cuando la legislación aplicable exija un plazo distinto. Las modificaciones editoriales no sustanciales surten efecto de inmediato.

El uso continuado del servicio tras la fecha de entrada en vigor de una modificación constituye aceptación de la Política modificada. Cuando las modificaciones cambien sustancialmente la base jurídica del tratamiento o el alcance de los datos personales recogidos, SOMA9 solicitará nuevamente el consentimiento cuando la ley lo exija.

La versión canónica vigente de esta Política se publica en soma9.cloud/legal/privacy-policy. El historial completo de versiones está en soma9.cloud/legal/changelog.

19. Contacto y Delegado de Protección de Datos

Para consultas relativas a privacidad o a esta Política:

  • Contacto de privacidad: privacy@soma9.cloud
  • Delegado de Protección de Datos (DPO): dpo@soma9.cloud
  • Representante en la Unión Europea: nombrado cuando lo exija el art. 27 RGPD; los datos están disponibles en soma9.cloud/legal/eu-representative
  • Representante en Reino Unido: nombrado cuando lo exija el art. 27 UK GDPR; los datos están disponibles en soma9.cloud/legal/uk-representative
  • Postal: SOMA9 Holdings, LLC. A/A: Protección de Datos. 1021 E Lincolnway Unit #1657, Cheyenne, WY 82001, Estados Unidos

Toda persona tiene derecho a presentar reclamación ante la autoridad de control de su lugar de residencia. Para residentes en la Unión Europea, las autoridades competentes están listadas en edpb.europa.eu/about-edpb/about-edpb/members (en España, la Agencia Española de Protección de Datos en aepd.es). Para residentes en Reino Unido, la Information Commissioner's Office se encuentra en ico.org.uk.

Pendiente revisión legal

Este borrador se facilita exclusivamente para revisión interna. Antes de su publicación, esta Política debe ser revisada por asesoría jurídica cualificada con experiencia en RGPD, UK GDPR, CCPA/CPRA, LGPD y los flujos de datos efectivos de SOMA9. Prestar atención especial a: la separación responsable/encargado en la sección 3 (debe alinearse con el contrato marco de servicios y el DPA); el mecanismo de divulgación de subencargados en la sección 8; la implementación de SCC en la sección 9; y los compromisos de notificación de brechas en la sección 15.2.