Política de Privacidad

Última actualización: 20 Abril 2026 | Versión: 3.0

Resumen Ejecutivo

Smart Light nunca vende tus datos. Solo recopilamos la información mínima necesaria para comparar tarifas y, si lo decides, gestionar tu cambio de comercializadora. Eres el dueño de tus datos: puedes acceder, rectificar o eliminarlos en cualquier momento.

1. Responsable del Tratamiento

Identidad: Smart Light Energy S.L. (en proceso de constitución)
Domicilio: Paseo de la Castellana, Madrid, España
Email: [email protected]

2. ¿Qué datos recopilamos?

Datos proporcionados por ti:

  • Factura de luz: Archivo PDF temporal (se elimina en 7 días).
  • Email: Solo si te registras para recibir alertas o guardas tu perfil.
  • Nombre: Opcional, para dirigirnos a ti.

Datos extraídos automáticamente:

  • CUPS (Código Universal de Punto de Suministro).
  • Consumo anual (kWh).
  • Potencia contratada (kW).
  • Peaje de acceso (tipo de tarifa).
  • Comercializadora actual.

Datos técnicos (Cookies):

  • Páginas visitadas.
  • Tiempo de sesión.
  • Tipo de navegador y dispositivo.
  • Ubicación aproximada (ciudad, no GPS).

3. ¿Para qué usamos tus datos?

Comparador de tarifas

Procesamos tu factura para calcular tu precio anual con todas las tarifas del mercado, ordenarlas por ahorro y mostrarte las mejores opciones.
Base jurídica: Interés legítimo (prestación del servicio solicitado).

Alertas automáticas (Opcional)

Si te suscribes, comparamos semanalmente las nuevas tarifas y te avisamos si encontramos una opción mejor que te ahorre más de 100€/año.
Base jurídica: Consentimiento explícito.

Análisis y mejora

Analizamos estadísticas de uso anónimas para mejorar la web y detectar errores.
Base jurídica: Consentimiento (Cookies analíticas).

4. ¿Con quién compartimos tus datos?

Contratación directa: Cuando decides contratar una tarifa a través de Smart Light, recopilamos tus datos personales (DNI, IBAN, dirección) dentro de nuestra plataforma. Estos datos se comparten exclusivamente con la comercializadora que elijas para tramitar el contrato de suministro. Actuamos como intermediarios (mandatarios) en tu nombre, pero el contrato final es entre tú y la comercializadora seleccionada.

Terceros que procesan datos por nosotros (Encargados del Tratamiento):

  • Supabase: Base de datos y autenticación (Alojado en UE - Frankfurt).
  • Cloudflare: Hosting y seguridad (Alojado en UE).
  • Brevo (Sendinblue): Envío de emails transaccionales (Alojado en Francia - UE).
  • Plausible Analytics: Analítica web respetuosa con privacidad (Alojado en UE).

Comercializadoras (con tu consentimiento explícito):

  • Solo cuando completas el proceso de contratación en nuestra plataforma.
  • Datos compartidos: nombre, DNI, CUPS, dirección, IBAN, potencia contratada.
  • Finalidad: tramitar el alta o cambio de suministro eléctrico.
  • Base legal: ejecución del contrato (art. 6.1.b RGPD) y tu consentimiento explícito.

NO compartimos tus datos con:

  • ❌ Otras comercializadoras que no hayas seleccionado.
  • ❌ Agencias de publicidad ni redes de anuncios.
  • ❌ Brokers de datos ni vendedores de leads.
  • ❌ Partners comerciales sin tu autorización específica.

5. ¿Cuánto tiempo guardamos tus datos?

  • Factura PDF: 7 días (borrado automático de seguridad).
  • Datos de comparación (sin cuenta): 7 días.
  • Cuenta de usuario: Hasta que solicites la baja.
  • Datos de contratación (DNI, IBAN, dirección): 5 años (obligación fiscal y legal) tras completar el trámite.
  • IBAN tras contratación exitosa: Eliminación inmediata tras confirmar el alta con la comercializadora.
  • Logs de errores: 90 días.

Datos Bancarios (IBAN)

Tu IBAN solo se utiliza para domiciliar los recibos de la comercializadora seleccionada. Solo se almacena durante el proceso de contratación (máximo 30 días) y se elimina automáticamente tras confirmar el alta. No almacenamos datos bancarios de forma permanente.

6. Tus derechos (RGPD)

Puedes ejercer tus derechos gratuitamente escribiendo a [email protected]:

  • Acceso: Consultar qué datos tenemos sobre ti.
  • Rectificación: Corregir datos incorrectos o desactualizados.
  • Supresión: Borrar tu cuenta y todos tus datos ("Derecho al olvido").
  • Portabilidad: Descargar tus datos en formato JSON/CSV.
  • Oposición: Dejar de recibir comunicaciones o alertas.
  • Limitación: Pausar el tratamiento de tus datos temporalmente.

Responderemos a tu solicitud en un plazo máximo de 30 días naturales.

7. Seguridad y Ciberseguridad (NIS2)

En cumplimiento de la Directiva NIS2 (UE) 2022/2555 y su transposición al ordenamiento español (Real Decreto-ley 7/2024 y normativa de desarrollo), implementamos medidas técnicas y organizativas avanzadas para garantizar la seguridad de nuestras redes y sistemas de información:

  • Cifrado HTTPS (TLS 1.3) en todo el sitio y comunicaciones.
  • Autenticación segura vía Supabase con JWT y MFA opcional.
  • Row Level Security (RLS) en base de datos PostgreSQL para aislamiento de datos.
  • Hash de contraseñas con bcrypt (nosotros nunca vemos tus contraseñas).
  • Copias de seguridad automáticas diarias cifradas en redundancia geográfica (UE).
  • Monitorización de seguridad 24/7 mediante Cloudflare y sistemas de detección de intrusiones.
  • Gestión de vulnerabilidades: Auditorías periódicas y parches de seguridad automatizados.
  • Formación del equipo: Personal formado en ciberseguridad y prevención de phishing.

Responsable de seguridad (CISO): designado internamente. Autoridad de supervisión NIS2: INCIBE (incibe.es) / CCN-CERT para sector público.

8. Canal Ético y Whistleblowing

En cumplimiento de la Directiva (UE) 2019/1937 (Whistleblowing) y la Ley 2/2023 de 20 de febrero, hemos habilitado un canal confidencial para la comunicación de conductas irregulares que puedan afectar a Smart Light o a terceros:

  • Ámbito: Incumplimientos normativos, fraude, acoso, corrupción, vulneraciones RGPD/NIS2.
  • Confidencialidad: Las comunicaciones pueden ser anónimas o identificadas, siempre confidenciales.
  • Protección: Garantizamos la no-retaliación contra quienes reporten de buena fe.
  • Plazo de respuesta: 3 meses máximo (7 días para acuse de recibo).

Contacto canal ético: [email protected] (buzón independiente y auditado externamente).

9. Cookies

Consulta nuestra Política de Cookies para más detalle.

  • Esenciales: Necesarias para que la web funcione (login, sesión). No requieren consentimiento.
  • Analíticas: Usamos Plausible para estadísticas anónimas. Requieren tu consentimiento.

10. Cambios en esta Política

Notificaremos cambios significativos por email a los usuarios registrados y actualizaremos la fecha de "Última actualización" al inicio de este documento.

11. Contacto

Para cualquier duda sobre privacidad: [email protected]
Autoridad de control: Agencia Española de Protección de Datos (AEPD).