Documento explicativo para detallar cómo las operaciones de Atogu se alinean con los requisitos del Reglamento (UE) 2016/679 (GDPR por sus siglas en Inglés).

Declaración de Cumplimiento RGPD de Atogu

Finalidad y alcance

El presente documento tiene por objeto apoyar los procesos de due diligence de proveedores, explicando cómo las operaciones de Atogu se alinean con los requisitos del Reglamento (UE) 2016/679 (“RGPD”).

El documento se centra en:

(i) los productos de datos descritos en la documentación de Atogu (módulos Mercantil, Empleo, Digitalización y Financiación); y

(ii) el tratamiento de datos personales asociado al acceso y uso de la plataforma por parte de los usuarios cliente.

Atogu es operado por Datary Analytics, S.L., con domicilio en Madrid, España.

Correo de contacto en materia de cumplimiento: f.diazlaclaustra@datary.io

Ámbito de los datos y aplicabilidad del RGPD

Orientación principal hacia personas jurídicas.

La actividad principal de Atogu consiste en la recopilación, tratamiento y estructuración de datos sobre empresas.

De conformidad con el Considerando 14 del RGPD, la normativa se aplica exclusivamente a personas físicas y no regula los datos relativos a personas jurídicas (incluyendo denominación social, forma jurídica o datos de contacto corporativos).

Asimismo, la Agencia Española de Protección de Datos (AEPD) confirma que el RGPD no resulta de aplicación a datos de personas jurídicas.

En consecuencia, una parte sustancial del dataset de Atogu —incluyendo NIF/CIF, denominación social, forma jurídica, domicilio social o clasificación empresarial— queda fuera del ámbito material del RGPD, en la medida en que no se refiera a personas físicas identificadas o identificables.

Casos límite y tratamiento de datos mixtos

El RGPD resulta de aplicación cuando la información se refiere a una persona física identificada o identificable.

Autónomos

Atogu distingue entre identificadores fiscales de personas jurídicas y de personas físicas, utilizando estructuras de datos y validaciones que permiten excluir sistemáticamente la mayoría de registros correspondientes a autónomos.

Datos de contacto profesionales

El único dato de contacto provisto en la base de datos para cada empresa es el aportado por la empresa expresamente en su página web o redes sociales, para tal efecto; y solo en el caso en que éste exista y voluntariamente se de.

Atogu no construye ni enriquece perfiles personales a partir de dichos datos, limitándose a su tratamiento en el contexto de la identificación y contacto de la persona jurídica.

En algunos casos, pueden tratarse datos de contacto corporativos que identifiquen indirectamente a una persona física.

En este contexto, y conforme a la LOPDGDD española, el tratamiento de datos profesionales puede basarse en el interés legítimo (art. 6.1.f RGPD), siempre que:

(i) se limite al ámbito profesional, y

(ii) tenga como finalidad mantener relaciones con la persona jurídica.

Datos en ofertas de empleo

Las ofertas de empleo, como comunicaciones públicas de empresas, pueden incluir ocasionalmente datos personales (por ejemplo, contacto de un recruiter).

En tales supuestos, dichos datos se tratan como datos personales conforme al RGPD.

Origen de los datos y base jurídica

Fuentes de datos

Los datos de Atogu proceden de:

registros públicos (Registro Mercantil, Agencia Tributaria),
fuentes abiertas,
publicaciones empresariales (ofertas de empleo, páginas web),
información pública sobre financiación.

Base jurídica

Cuando existe tratamiento de datos personales, la base jurídica principal es el interés legítimo (art. 6.1.f RGPD), sujeto a evaluación de ponderación (Legitimate Interest Assessment).

Transparencia

Cuando los datos no se obtienen directamente del interesado, Atogu cumple con las obligaciones de información del artículo 14 RGPD mediante su Política de Privacidad pública.

Rol de Atogu

Responsable del tratamiento (Controller)

Atogu no trata datos personales por cuenta de sus clientes en el marco de sus productos estándar, sino que proporciona datasets propios definidos bajo sus propios fines y medios. Atogu actúa como responsable del tratamiento respecto a sus datasets, al determinar los fines y medios del tratamiento.

Los clientes actúan como responsables independientes respecto al uso posterior de los datos.

Encargado del tratamiento (Processor)

En supuestos específicos donde Atogu procese datos personales por cuenta del cliente bajo sus instrucciones, se formalizarán contratos conforme al artículo 28 RGPD.

Medidas técnicas y organizativas

De conformidad con el artículo 32 RGPD, Atogu implementa medidas adecuadas al riesgo, incluyendo:

autenticación multifactor (2FA),
control de accesos basado en mínimos privilegios,
cifrado en tránsito (TLS 1.2+) y en reposo (AES-256),
gestión de vulnerabilidades y revisión de código,
auditorías de seguridad y tests de penetración,
infraestructura en proveedores certificados (ISO 27001, SOC 2, etc.),
almacenamiento principal de datos en la Unión Europea.

Estas medidas garantizan los principios de integridad, confidencialidad y responsabilidad (art. 5 RGPD).

Adicionalmente, Atogu mantiene políticas internas y documentación que evidencian el cumplimiento del principio de responsabilidad proactiva (art. 5.2 RGPD).

Reglamento General de Protección de Datos (RGPD)

Declaración de Cumplimiento RGPD de Atogu

Finalidad y alcance

Ámbito de los datos y aplicabilidad del RGPD

Orientación principal hacia personas jurídicas.

Casos límite y tratamiento de datos mixtos

Origen de los datos y base jurídica

Fuentes de datos

Base jurídica

Transparencia

Rol de Atogu

Responsable del tratamiento (Controller)

Encargado del tratamiento (Processor)

Medidas técnicas y organizativas

Minimización, derechos y conservación

Minimización

Derechos

Conservación

Transferencias internacionales

Conclusión