Versión 2.1 - Julio 2026
Esta Política de Privacidad describe cómo Orixium trata los datos personales facilitados por sus usuarios a través del servicio Strategy Lab (registro y autenticación, creación y validación de estrategias de trading mediante backtesting, bots de simulación en cuenta de papel, copiloto de inteligencia artificial, facturación y soporte), conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Orixium es una herramienta de software puro para crear y validar estrategias algorítmicas: no ejecuta órdenes reales sobre el capital del usuario, no emite señales de trading en tiempo real, no gestiona fondos de terceros y no conecta cuentas de exchange o broker en nombre del usuario. El apartado 3.1 describe, de forma separada y honesta, una capacidad operativa restringida al operador de la plataforma que sí implica conexión a cuentas reales.
Responsable: Dídac Odena Andújar, persona física, en su condición de fundador del proyecto Orixium durante la fase pre-lanzamiento, pendiente de constitución societaria. País de residencia: España. Correo electrónico de contacto: [email protected]. Todas las comunicaciones relacionadas con el tratamiento de datos personales, incluido el ejercicio de los derechos reconocidos por el RGPD, deben dirigirse a la dirección de correo electrónico indicada.
El tratamiento realizado durante la fase pre-revenue no activa ninguno de los supuestos obligatorios de designación de DPO previstos en el Artículo 37.1 del RGPD (autoridad pública, observación sistemática a gran escala, o tratamiento a gran escala de categorías especiales). En consecuencia, no existe un DPO formalmente designado en este momento. El responsable indicado en el apartado 1 actúa como punto de contacto único para cualquier cuestión relativa a la protección de datos, disponible también en [email protected]. Si la actividad futura de Orixium activara los supuestos del Artículo 37.1, se designará un DPO y esta Política se actualizará con sus datos de contacto; el compromiso público es nombrar DPO independiente antes de alcanzar 250 usuarios activos o la apertura de beta pública.
Se tratan los datos estrictamente necesarios para prestar el servicio Strategy Lab:
| Dato | Obligatorio | Finalidad |
|---|---|---|
| Dirección de correo electrónico y contraseña (hash) | Sí | Identificación de la cuenta de usuario y autenticación en el servicio. La contraseña se almacena únicamente como hash irreversible; nunca en texto plano. |
| Identidad federada (Google o GitHub, si el usuario elige registro social) | No | Autenticación alternativa mediante proveedor OAuth elegido por el usuario, sin necesidad de contraseña propia. |
| Segundo factor de autenticación (2FA/TOTP) | No | Seguridad reforzada de la cuenta, activable voluntariamente por el usuario. |
| País de residencia | No | Segmentación geográfica para adaptar la comunicación y la disponibilidad regulatoria del servicio (MVP limitado a la UE; LATAM y otras regiones fuera de alcance). |
| Contenido del Taller: estrategias creadas, configuración de backtests, resultados y veredictos de validación | Sí (funcionalidad principal) | Prestación del servicio de creación y validación de estrategias mediante backtesting sobre datos históricos. Los resultados son siempre hipotéticos y simulados. |
| Historial de conversación con el copiloto de IA (Orixia) | No | Asistencia conversacional para construir y entender estrategias. La IA trabaja en abstracto sobre la lógica de la estrategia: no perfila al usuario, no recomienda activos concretos ni personaliza según su situación financiera (ver apartado 4). |
| Cuentas de simulación (paper trading) y actividad de bots de simulación | No | Funcionalidad de simulación sobre balance virtual, sin conexión a ningún exchange o broker real ni movimiento de capital real. |
| Suscripción de notificaciones push del navegador (endpoint, claves de cifrado p256dh/auth, user-agent) | No | Envío de notificaciones push del navegador (alertas del sistema), activable voluntariamente por el usuario. El endpoint lo asigna el propio navegador y es opaco (no identifica al usuario por sí mismo). |
| Datos de facturación (identificador de cliente y de factura en el proveedor de pagos, importes, periodo) | Sí (plan de pago) | Gestión de la suscripción y cumplimiento de obligaciones contables y fiscales. Orixium no almacena datos de tarjeta; los gestiona directamente el proveedor de pagos (apartado 6). |
| Dirección IP y metadatos técnicos (dispositivo, navegador) | Automático | Prevención de abuso, protección anti-bot (Cloudflare Turnstile), seguridad de la sesión y diagnóstico de errores técnicos. |
| Huella de alta de la cuenta: dirección IP de registro, dominio del correo electrónico, fecha de alta y si el alta se realizó mediante invitación | Automático | Prevención de fraude y abuso multicuenta: detección de cuentas múltiples o automatizadas que eluden los límites de uso del copiloto de IA. Accesible únicamente para administradores con el permiso específico habilitado, no para el resto del equipo ni para otros usuarios. La dirección IP de registro se suprime a los 90 días (apartado 7); el resto de esta huella se conserva mientras la cuenta exista (derechos: apartado 8). |
| Registros de auditoría de la cuenta (inicios de sesión, cambios de seguridad, eventos de consentimiento) | Automático | Trazabilidad de seguridad, prevención de abuso y cumplimiento de obligaciones legales de conservación. |
No se recaban categorías especiales de datos personales (Artículo 9 RGPD) ni datos de menores. El servicio está dirigido exclusivamente a personas mayores de 18 años. Orixium no recoge ni utiliza objetivos de inversión, patrimonio o tolerancia al riesgo del usuario para personalizar estrategias, ni presenta el resultado de ninguna herramienta como una recomendación adecuada para el usuario concreto: el veredicto de un backtest es idéntico para cualquier usuario que aplique los mismos parámetros sobre el mismo activo.
El sistema conserva, a nivel de infraestructura, la capacidad técnica de conectar una cuenta real de un exchange o broker mediante claves API cifradas y de operar un bot en modo real sobre esa cuenta. Esta capacidad NO forma parte del producto Strategy Lab ofrecido a los usuarios: hoy, la interfaz que permite conectar una cuenta real está restringida al operador de la plataforma (el responsable identificado en el apartado 1) a nivel de interfaz de usuario, quien la utiliza exclusivamente sobre capital propio, bajo autenticación reforzada. Esta restricción está aplicada tanto en la interfaz como en el servidor: la API rechaza la conexión y gestión de cuentas reales para cualquier usuario distinto del operador. Si el operador de la plataforma conecta una cuenta real en su condición de usuario del propio sistema, los datos tratados son: claves API del exchange o broker (cifradas en reposo con AES-256-GCM, sin permisos de retirada), y los registros de las órdenes resultantes. Esta sección se mantiene por transparencia y exactitud técnica, no porque el servicio ofrecido a los usuarios incluya ejecución real.
Los datos facilitados se tratan exclusivamente para: (i) gestión de la cuenta de usuario, autenticación y preferencias; (ii) prestación del servicio de creación y validación de estrategias de trading mediante backtesting sobre datos históricos, incluyendo el copiloto de inteligencia artificial que ayuda a construir y entender estrategias en abstracto, sin recomendar activos concretos ni personalizar según la situación del usuario (líneas rojas del canon legal del producto); (iii) funcionalidad de simulación (paper trading) sobre balance virtual, sin ejecución real; (iv) envío de notificaciones push del navegador cuando el usuario las activa voluntariamente; (v) comunicaciones transaccionales y de seguridad (verificación de correo, cambios de contraseña, avisos de la cuenta); (vi) prevención de abuso, protección anti-bot y seguridad del sistema; (vii) gestión de la suscripción y facturación; (viii) cumplimiento de obligaciones legales (registros de auditoría y contables); y (ix) comunicaciones de marketing únicamente cuando exista consentimiento explícito y separado del usuario, retirable en cualquier momento sin que ello afecte al resto del servicio. Los datos no se utilizan para marketing de terceros ni se ceden a ellos con finalidades publicitarias.
Ejecución de un contrato (Art. 6.1.b RGPD) para la prestación del servicio Strategy Lab: cuenta de usuario, creación y validación de estrategias, copiloto de IA, funcionalidad de simulación y facturación. Consentimiento del interesado (Art. 6.1.a RGPD) para comunicaciones de marketing, notificaciones push del navegador y cookies no estrictamente necesarias (analítica). Interés legítimo del responsable (Art. 6.1.f RGPD) para la prevención de abuso, protección anti-bot y seguridad de la plataforma —incluida la detección de cuentas múltiples o automatizadas que eluden los límites de uso del copiloto de IA mediante la huella de alta descrita en el apartado 3—, habiéndose realizado la ponderación correspondiente y considerándose que este tratamiento mínimo no prevalece sobre los derechos y libertades del interesado. Cumplimiento de obligación legal (Art. 6.1.c RGPD) en la conservación de registros de facturación y trazas de consentimiento durante los plazos exigidos por la normativa aplicable.
Los datos se comunican a los siguientes encargados del tratamiento, que actúan por cuenta del responsable conforme al Artículo 28 del RGPD, bajo contrato de encargo y con las garantías exigidas por la normativa de protección de datos:
| Encargado | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Cloudflare, Inc. | Alojamiento del sitio y del servicio (Cloudflare Pages), CDN, protección anti-bot (Turnstile) y seguridad. | EE. UU. (con presencia en la UE). | Cláusulas Contractuales Tipo de la Comisión Europea (SCC) y certificación en el EU-US Data Privacy Framework. |
| Resend (Resend, Inc.) | Envío de correos transaccionales (verificación, avisos de seguridad, facturación) y, previo consentimiento, comunicaciones de marketing. | Estados Unidos. | Cláusulas Contractuales Tipo de la Comisión Europea (SCC). Verificación final del acuerdo de encargo de tratamiento (DPA) pendiente antes del lanzamiento comercial. |
| PostHog, Inc. | Analítica de producto. Medición de uso agregado del servicio (páginas visitadas, acciones en el producto, retención, funnel de conversión). Solo activo con consentimiento previo opt-in del usuario. | Estados Unidos (instancia alojada en la Unión Europea — AWS Frankfurt, Alemania). | Datos alojados en infraestructura UE (EEE). Sin transferencia internacional. DPA disponible en https://posthog.com/dpa |
| Anthropic PBC | Proveedor del modelo de inteligencia artificial (Claude) que procesa el texto de las estrategias y los mensajes del copiloto para generar la lógica de la estrategia y las respuestas conversacionales. El sistema filtra y rechaza, antes de enviarlos al modelo, los mensajes que combinan datos financieros del usuario (patrimonio, perfil de riesgo) con una petición de recomendación personalizada; el usuario no debe introducir información financiera personal en el chat. | Estados Unidos. | Cláusulas Contractuales Tipo de la Comisión Europea (SCC). Anthropic no utiliza el contenido enviado vía API para entrenar sus modelos, conforme a su política comercial de API vigente a la fecha de esta versión. |
| Stripe (proveedor de pagos) | Procesamiento de pagos y gestión de la suscripción. Stripe recibe y custodia los datos de la tarjeta; Orixium únicamente recibe identificadores de cliente/factura e importes. | Unión Europea / Estados Unidos, según la entidad Stripe aplicable. | Cláusulas Contractuales Tipo de la Comisión Europea (SCC) y certificaciones de seguridad de pagos (PCI DSS) propias de Stripe. |
| Sentry (Functional Software, Inc.) | Detección y diagnóstico de errores técnicos del servicio. Los datos de sesión (contraseñas, tokens, claves API) se excluyen automáticamente antes del envío. | Unión Europea (región de ingesta alemana, verificada técnicamente en el código del servicio). | Alojamiento en infraestructura UE. Sin transferencia internacional cuando la región EU está activa (verificación automática en producción). |
| Servicio push del navegador del usuario (Firebase Cloud Messaging para Chrome/Edge, Mozilla Autopush para Firefox, u otro relay propio del navegador) | Entrega de notificaciones push al navegador del usuario. El propio navegador elige el relay; Orixium solo envía el payload cifrado al endpoint que el navegador le proporciona. | Según el navegador y proveedor del usuario (habitualmente Estados Unidos). | Payload cifrado extremo a extremo (protocolo Web Push estándar); Orixium no puede leer el contenido en tránsito por el relay. |
| Exchange o broker (únicamente en la capacidad operativa del apartado 3.1) | Ejecución de órdenes en una cuenta real, exclusivamente cuando el operador de la plataforma conecta su propia cuenta mediante claves API. No aplica al uso del producto Strategy Lab por los usuarios. | Según el proveedor conectado por el operador. | Orixium no custodia fondos; solo transmite órdenes con las claves API proporcionadas. |
No se ceden datos a ningún otro tercero salvo obligación legal. No se realizan transferencias internacionales adicionales a las indicadas.
Cuenta de usuario y preferencias: se conservan mientras la cuenta esté activa; tras solicitud de baja (Settings > Datos > Borrar cuenta) se aplica un periodo de gracia de 30 días durante el cual el usuario puede cancelar la baja. Transcurrido ese plazo: los identificadores personales del usuario (correo, contraseña, nombre, país, 2FA) se seudonimizan; sesiones, notificaciones, preferencias, posiciones manuales y solicitudes de revisión humana se eliminan por completo; y las claves API de cualquier cuenta de exchange o broker conectada se anulan de forma criptográfica. Los registros operativos sujetos a obligación legal se purgan de forma automática al cumplirse su plazo: las operaciones (Trade) se eliminan a los 6 años desde su cierre (Código de Comercio) mediante un job de purga programado, y los registros de auditoría a los 5 años (alineado con MiCA). La dirección IP de registro contenida en la huella de alta de la cuenta (apartado 3) se suprime automáticamente a los 90 días desde el alta, con independencia de si la cuenta permanece activa; el resto de esa huella (dominio del correo, fecha y método de alta) se conserva mientras la cuenta exista, por ser necesaria para la finalidad de prevención de abuso descrita en el apartado 3. El contenido propio del usuario se elimina por completo junto con la baja: estrategias y experimentos del Taller, historial de conversación con el copiloto de IA, cuentas de simulación, suscripciones de notificaciones push, identidades de acceso social (OAuth), dispositivos de confianza y mensajes de contacto se borran de forma definitiva en el mismo proceso de purga. Las trazas de consentimiento conservan su evidencia durante 5 años, tras los cuales se eliminan automáticamente la dirección IP y los metadatos del navegador asociados. Tokens de verificación de email, reset de contraseña y OTP de 2FA: eliminación definitiva al expirar o consumirse. Trazas de consentimiento: se conservan durante el plazo de prescripción aplicable en caso de reclamación o requerimiento legal.
Conforme a los Artículos 15 a 22 del RGPD y a la LOPDGDD, todo interesado puede ejercer los siguientes derechos: acceso a sus datos personales, rectificación de datos inexactos, supresión (derecho al olvido), limitación del tratamiento, portabilidad de los datos facilitados, oposición al tratamiento basado en interés legítimo, retirada del consentimiento en cualquier momento y sin efectos retroactivos, y derecho a no ser objeto de decisiones automatizadas con efectos jurídicos sin revisión humana. Para ejercer cualquiera de estos derechos, basta con enviar un correo a [email protected] indicando el derecho que se desea ejercer; se responderá en el plazo máximo de un mes (Art. 12.3 RGPD), prorrogable dos meses adicionales en caso de solicitudes complejas, previa comunicación al interesado. Si considera que el tratamiento de sus datos no se ajusta a la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), www.aepd.es, C/ Jorge Juan, 6, 28001 Madrid, o ante la autoridad de protección de datos de su Estado miembro de residencia.
El responsable aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (Art. 32 RGPD), incluyendo: cifrado en tránsito mediante TLS para todas las comunicaciones con el sitio web y el servicio; cifrado en reposo (AES-256-GCM) de cualquier clave API conectada y de las credenciales sensibles en la base de datos; contraseñas almacenadas exclusivamente como hash irreversible; redacción automática de secretos y credenciales en los registros técnicos del sistema antes de su envío a las herramientas de diagnóstico; protección anti-bot con Cloudflare Turnstile y control de abuso por IP; minimización de datos, solicitándose únicamente los estrictamente necesarios; autenticación multifactor disponible para cuentas de usuario; y acceso restringido al responsable y encargados bajo principio de mínimo privilegio.
Esta Política puede actualizarse para reflejar cambios en los encargados del tratamiento, en la base jurídica, en los plazos de conservación o en la situación del responsable (por ejemplo, tras la constitución de una persona jurídica). Los cambios materiales se notificarán a los interesados con consentimiento activo mediante correo electrónico antes de que entren en vigor. La fecha de efecto al inicio del documento refleja siempre la versión vigente.