Versión 1.0 - Abril 2026
Esta Politica de Privacidad describe como Orixium trata los datos personales facilitados por sus usuarios a traves del servicio operativo (registro, autenticacion, conexion de cuentas de exchange o broker, ejecucion de ordenes condicionales pre-aprobadas, facturacion y soporte), conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Organica 3/2018 de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD).
Responsable: Didac Odena Andujar, persona fisica, en su condicion de fundador del proyecto Orixium durante la fase pre-lanzamiento, pendiente de constitucion societaria. Pais de residencia: Espana. Correo electronico de contacto: [email protected]. Todas las comunicaciones relacionadas con el tratamiento de datos personales, incluido el ejercicio de los derechos reconocidos por el RGPD, deben dirigirse a la direccion de correo electronico indicada.
El tratamiento realizado durante la fase pre-revenue no activa ninguno de los supuestos obligatorios de designacion de DPO previstos en el Articulo 37.1 del RGPD (autoridad publica, observacion sistematica a gran escala, o tratamiento a gran escala de categorias especiales). En consecuencia, no existe un DPO formalmente designado en este momento. El responsable indicado en el apartado 1 actua como punto de contacto unico para cualquier cuestion relativa a la proteccion de datos, disponible tambien en [email protected]. Si la actividad futura de Orixium activara los supuestos del Articulo 37.1, se designara un DPO y esta Politica se actualizara con sus datos de contacto; el compromiso publico es nombrar DPO independiente antes de alcanzar 250 usuarios activos o la apertura de beta publica.
Se tratan los datos estrictamente necesarios para la prestacion del servicio (registro, autenticacion, conexion de cuentas de exchange o broker mediante claves API, ejecucion de ordenes condicionales pre-aprobadas, facturacion y soporte):
| Dato | Obligatorio | Finalidad |
|---|---|---|
| Direccion de correo electronico | Si | Identificacion de la cuenta de usuario, autenticacion en el servicio y comunicaciones transaccionales (verificacion, recuperacion de acceso, avisos operativos). |
| Pais de residencia | No | Segmentacion geografica para adaptar la comunicacion y la disponibilidad regulatoria del servicio (MVP limitado a la UE; LATAM y otras regiones fuera de alcance). |
| Nivel de experiencia en inversion y area de interes | No | Segmentacion para adaptar el contenido y tono de las comunicaciones y, en su caso, para el test de idoneidad MiFID II. |
| Claves API del exchange/broker | Si (servicio operativo) | Ejecucion de ordenes en nombre del usuario. Cifradas en reposo, sin permisos de retirada, custodiadas por el usuario. |
| Registros de actividad (trades, senales aprobadas, logs de auditoria) | Automatico | Trazabilidad regulatoria (MiCA, MiFID II), prevencion de abuso y resolucion de disputas. |
| Direccion IP y metadatos tecnicos | Automatico | Prevencion de abuso, proteccion anti-bot (Cloudflare Turnstile) y cumplimiento de obligaciones legales. |
| Estado de confirmacion de consentimiento y marcas de tiempo | Automatico | Trazabilidad del consentimiento y registro de eventos de aceptacion conforme al Art. 7 RGPD. |
No se recaban categorias especiales de datos personales (Articulo 9 RGPD) ni datos de menores. El servicio esta dirigido exclusivamente a personas mayores de 18 anos.
Los datos facilitados se tratan exclusivamente para: (i) gestion de la cuenta de usuario y de sus preferencias; (ii) prestacion del servicio de ejecucion de ordenes condicionales, incluyendo el envio de ordenes al exchange o broker elegido por el usuario segun los parametros pre-aprobados; (iii) comunicaciones transaccionales y de seguridad (verificacion de correo, cambios de contrasena, avisos de operativa y expiracion de pre-aprobaciones); (iv) prevencion de abuso, proteccion anti-bot y seguridad del sistema; (v) cumplimiento de obligaciones legales (retencion de trazas de consentimiento, registros de auditoria de operaciones pre-aprobadas y registros contables segun MiCA, MiFID II y Codigo de Comercio); y (vi) comunicaciones de marketing unicamente cuando exista consentimiento explicito y separado del usuario, retirable en cualquier momento sin que ello afecte al resto del servicio. Los datos no se utilizan para marketing de terceros ni se ceden a ellos con finalidades publicitarias. Las decisiones automatizadas del sistema (clasificacion del comportamiento de activos, suspension o cancelacion de pre-aprobaciones ante anomalias de mercado) evaluan activos y condiciones de mercado, no al usuario como persona; el usuario conserva derecho a revision humana de cualquier decision automatizada que le afecte significativamente conforme al Articulo 22 RGPD, solicitandola a [email protected].
Consentimiento del interesado (Art. 6.1.a RGPD) como base juridica para la lista de espera, comunicaciones de marketing y cookies no estrictamente necesarias. Ejecucion de un contrato (Art. 6.1.b RGPD) para la prestacion del servicio operativo de ejecucion de ordenes condicionales. Interes legitimo del responsable (Art. 6.1.f RGPD) para la prevencion de abuso, proteccion anti-bot y seguridad de la plataforma, habiendose realizado la ponderacion correspondiente y considerandose que este tratamiento minimo no prevalece sobre los derechos y libertades del interesado. Cumplimiento de obligacion legal (Art. 6.1.c RGPD) en la conservacion de registros operativos, trazas de consentimiento y registros de auditoria durante los plazos exigidos por la normativa aplicable (5 anos MiCA, 6 anos Codigo de Comercio).
Los datos se comunican a los siguientes encargados del tratamiento, que actuan por cuenta del responsable conforme al Articulo 28 del RGPD, bajo contrato de encargo y con las garantias exigidas por la normativa de proteccion de datos:
| Encargado | Finalidad | Ubicacion | Garantias |
|---|---|---|---|
| Cloudflare, Inc. | Alojamiento del sitio (Cloudflare Pages), CDN, proteccion anti-bot (Turnstile), enrutamiento de correo entrante (Email Routing) y seguridad. | EE. UU. (con presencia en la UE). | Clausulas Contractuales Tipo de la Comision Europea (SCC) y certificacion en el EU-US Data Privacy Framework. |
| Sendinblue SAS (Brevo) | Envio de correos transaccionales y, previo consentimiento, comunicaciones de marketing. Almacenamiento de la lista de contactos. | Union Europea (Francia). | Tratamiento dentro del Espacio Economico Europeo. No se requiere transferencia internacional. |
| Exchange/broker del usuario | Ejecucion de ordenes condicionales en la cuenta del usuario mediante claves API proporcionadas por el propio usuario. | Segun proveedor elegido por el usuario. | El usuario actua como contraparte del exchange/broker; Orixium solo transmite ordenes sin custodiar fondos. |
No se ceden datos a ningun otro tercero salvo obligacion legal. No se realizan transferencias internacionales adicionales a las indicadas.
Cuenta de usuario y preferencias: se conservan mientras la cuenta este activa; tras solicitud de baja (Settings > Datos > Borrar cuenta) se aplica un periodo de gracia de 30 dias durante el cual el usuario puede cancelar la baja, y tras ese plazo los identificadores personales se eliminan o pseudonymizan. Claves API de exchange o broker: cifradas en reposo (AES-256), se borran criptograficamente al desconectar la cuenta o al finalizar el periodo de gracia. Registros operativos (trades ejecutados, senales pre-aprobadas, facturas): 5 anos para cumplimiento del Articulo 67 del Reglamento MiCA y 6 anos para cumplimiento del Articulo 30 del Codigo de Comercio y de la normativa tributaria; tras esos plazos se pseudonymizan manteniendo los campos financieros y de auditoria. Trazas de consentimiento (ConsentEvent): 5 anos conforme al principio de responsabilidad del Articulo 7 RGPD y en paralelo a MiCA. Logs de seguridad (intentos de login, proteccion anti-bot de Cloudflare Turnstile): entre 30 y 90 dias segun el tipo, por los encargados del tratamiento. Tokens de verificacion de email, reset de contrasena y OTP de 2FA: hard delete al expirar o consumir. Prueba de consentimiento: en caso de reclamacion o requerimiento legal, se podran conservar las trazas minimas de consentimiento durante el plazo de prescripcion aplicable.
Conforme a los Articulos 15 a 22 del RGPD y a la LOPDGDD, todo interesado puede ejercer los siguientes derechos: acceso a sus datos personales, rectificacion de datos inexactos, supresion (derecho al olvido), limitacion del tratamiento, portabilidad de los datos facilitados, oposicion al tratamiento basado en interes legitimo, retirada del consentimiento en cualquier momento y sin efectos retroactivos, y derecho a no ser objeto de decisiones automatizadas con efectos juridicos sin revision humana. Para ejercer cualquiera de estos derechos, basta con enviar un correo a [email protected] indicando el derecho que se desea ejercer; se respondera en el plazo maximo de un mes (Art. 12.3 RGPD), prorrogable dos meses adicionales en caso de solicitudes complejas, previa comunicacion al interesado. Si considera que el tratamiento de sus datos no se ajusta a la normativa, tiene derecho a presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD), www.aepd.es, C/ Jorge Juan, 6, 28001 Madrid, o ante la autoridad de proteccion de datos de su Estado miembro de residencia.
El responsable aplica medidas tecnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (Art. 32 RGPD), incluyendo: cifrado en transito mediante TLS 1.3 para todas las comunicaciones con el sitio web y el servicio; cifrado en reposo de las claves API y de las credenciales sensibles en la base de datos; almacenamiento de la lista de contactos en un encargado del tratamiento con certificaciones de seguridad de la informacion (Brevo); proteccion anti-bot con Cloudflare Turnstile y control de abuso por IP; minimizacion de datos, solicitandose unicamente los estrictamente necesarios; autenticacion multifactor disponible para cuentas de usuario; y acceso restringido al responsable y encargados bajo principio de minimo privilegio.
Esta Politica puede actualizarse para reflejar cambios en los encargados del tratamiento, en la base juridica, en los plazos de conservacion o en la situacion del responsable (por ejemplo, tras la constitucion de una persona juridica). Los cambios materiales se notificaran a los interesados con consentimiento activo mediante correo electronico antes de que entren en vigor. La fecha de efecto al inicio del documento refleja siempre la version vigente.