Solicitudes de interesados: cómo ejercer sus derechos RGPD como usuario de Clozo

Los seis derechos (cada título es el número de artículo del RGPD):

- Art. 15 — Derecho de acceso: confirmar si se procesan sus datos personales y, en caso afirmativo, obtener una copia más información sobre fines, categorías, destinatarios, retención y fuente. - Art. 16 — Derecho de rectificación: corregir datos inexactos sin demora indebida. - Art. 17 — Derecho de supresión («derecho al olvido»): eliminar datos cuando la base legal ya no aplique, sujeto a excepciones (obligación legal, libertad de expresión, interés público). - Art. 18 — Derecho a la limitación del tratamiento: pausar el tratamiento mientras se impugna la exactitud, el tratamiento es ilícito pero el interesado no quiere la supresión, etc. - Art. 20 — Derecho a la portabilidad: recibir datos personales en un formato estructurado, de uso común, legible por máquina y transmitirlos a otro responsable. - Art. 21 — Derecho de oposición: oponerse al tratamiento basado en interés legítimo (Art. 6(1)(f)) o marketing directo.

Plazo de respuesta (Art. 12(3)): un mes desde la recepción. Ampliable dos meses más «cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes» — debe notificar al interesado la prórroga dentro del primer mes con los motivos.

Forma de respuesta (Art. 12(1)): concisa, transparente, inteligible, fácilmente accesible, lenguaje sencillo. Gratuita, salvo que las solicitudes sean «manifiestamente infundadas o excesivas» (Art. 12(5)).

Sombrero 1 — Usted como interesado (Clozo tiene sus datos).

Este es el flujo de autoservicio en el producto. Abra /settings/privacy en Clozo. Los endpoints del lado del usuario (según BACKEND.md §3 autoservicio RGPD) son:

- Exportar sus datos — GET /api/v1/me/export (Art. 15 + 20). Paquete JSON que cubre cuenta, propuestas, clientes, pagos, firmas, auditoría. El enlace de descarga se envía por correo; válido 7 días. - Eliminar su cuenta — POST /api/v1/me/erasure-request → POST /api/v1/me/erasure-confirm (o POST /api/v1/me/erasure-cancel para cancelar dentro de la ventana de gracia) (Art. 17). Flujo de confirmación en dos etapas con 7 días de gracia. Tras la gracia, una tarea diaria de Celery beat apply_pending_erasures se ejecuta a las 02:00 UTC: pseudonimiza los datos personales en la fila User (según [A-023] — retiene vat_number + company_name porque el Art. 226(10) + Art. 244 de la Directiva del IVA de la UE exigen estos datos en las facturas retenidas), desactiva (no elimina) la cuenta de Stripe Connect para que las solicitudes de la AEAT en los años 6–10 puedan responderse mediante stripe_account_id (según [A-022]), y escribe una clave de búsqueda email_hmac para que un antiguo usuario pueda asociarse a su fila años después de la anonimización. Los datos relevantes para impuestos (facturas, recibos, acuerdos firmados) se retienen según el artículo 11.4. - Gestionar el consentimiento — GET /api/v1/me/consent y POST /api/v1/me/consent (Art. 7 + Art. 21). Desactive consent.advertising y consent.marketing en Privacidad. Efecto: los remitentes del servidor de Google Ads + GA4 se bloquean en estos indicadores y dejan de cargar datos. - Limitar el tratamiento (Art. 18) → envíe un correo a privacy@useclozo.com con los detalles. El autoservicio está en el mapa de ruta.

Para la rectificación (Art. 16), edite el campo directamente en /settings/profile o /settings/company. La mayoría de las rectificaciones son cambios de configuración, no solicitudes formales.

Sombrero 2 — Usted como responsable (Clozo procesa los datos de sus clientes en su nombre).

Cuando su cliente le envía a usted una solicitud de interesado (DSR), usted es responsable de atenderla como responsable del tratamiento de sus datos. El papel de Clozo es de encargado del tratamiento según las Cláusulas Contractuales Estándar (Módulo 2: Responsable a Encargado) integradas en los Términos de Clozo — mantenemos los datos siguiendo sus instrucciones, pero la respuesta a una DSR es su obligación como responsable.

Hoy no existe ningún panel «Acciones de privacidad» en /clients/{id}. Las DSR del lado del cliente se gestionan fuera del producto:

1. Reciba el correo electrónico. Registre la fecha, el interesado que solicita y el derecho invocado. Su plazo de respuesta es de un mes desde la recepción (Art. 12(3)). 2. Verifique la identidad. Compare el correo electrónico/detalles de la solicitud con los datos del registro del cliente. No divulgue datos personales a nadie cuya identidad no pueda confirmar razonablemente. 3. Redacte la respuesta usando los datos que Clozo ya le expone. El registro del cliente (/clients/{id}) muestra todo lo que tiene sobre ellos en Clozo — nombre, correo electrónico, país, datos de facturación, las propuestas y facturas vinculadas. Para los Arts. 15 / 20, puede copiar esto en una respuesta por escrito o adjuntar los PDF de factura relevantes. 4. Para las solicitudes de supresión (Art. 17), conserve los datos relevantes para impuestos. Las facturas emitidas y los acuerdos firmados son inmutables según el Art. 244 de la Directiva del IVA de la UE + §147 GoBD AO + equivalentes nacionales. El Art. 17(3)(b) del RGPD permite expresamente la retención por obligación legal. Puede editar los borradores no enviados y eliminar al cliente de nuevos envíos, pero el contenido de la factura (líneas, importes, fechas) permanece. Nota: según la dirección de pseudonimización [A-023], la pseudonimización automática de la fila Client seguirá como parte de la saga de cascada de retención legal post-lanzamiento (secuenciación de 3-PR según [A-021]); hasta entonces, la edición manual de borradores no enviados es el control disponible. 5. Envíe la respuesta por correo al interesado en un plazo de un mes. Confirme lo que hizo, cite el artículo del RGPD y mencione la base legal si rechazó parcialmente (p. ej., retención de datos relevantes para impuestos bajo el Art. 17(3)(b)). 6. ¿Necesita ayuda para extraer registros específicos? Envíe un correo a privacy@useclozo.com con los detalles de la solicitud. Le proporcionaremos la exportación de datos necesaria para cumplir su obligación como responsable. No respondemos directamente a su cliente — usted sigue siendo el responsable.