Privacy Policy

Effective: 2026-05-09 · Version 1.0 · Last review: 2026-05-09

1. Who is the controller

Juan Diaz LLC, a Delaware (USA) Limited Liability Company, is the data controller for personal data processed via diazatlas.com and the Diaz Editor desktop application.

Postal address: see /imprint (Delaware, USA)
Email: juan@diazatlas.com
EU representative under GDPR art. 27: appointment in progress (May 2026)

2. What we process and why

Data	Purpose	Lawful basis (GDPR art. 6)	Retention
Email, name, country	Issue + email license key, support	art. 6(1)(b) contract	License lifetime + 7 yr (tax)
Stripe customer ID, payment metadata	Process purchase, refund, fraud-prevention	art. 6(1)(b) contract + (c) legal obligation (tax)	10 yr (Dutch tax law)
License key + usage timestamps	License validation handshake (IP + key only)	art. 6(1)(b) contract	License lifetime
Affiliate referral cookie (90 days)	Track partner-attributed sales	art. 6(1)(a) consent (cookie banner)	90 days
Anonymous analytics (Vercel)	Site improvement	art. 6(1)(a) consent (opt-in EU/UK/CA)	30 days
Server access logs	Security, abuse-prevention	art. 6(1)(f) legitimate interest	30 days

3. Who we share data with (sub-processors)

Stripe Payments Europe Ltd. (Ireland) — payments. DPA. EU + DPF.
Supabase Inc. (USA, EU host: Paris/eu-west-3) — database + edge functions. DPA. SCCs.
Resend.com (USA, EU region: Frankfurt) — transactional email delivery. DPA. SCCs.
Vercel Inc. (USA) — site hosting + CDN. DPA. SCCs.

No data is sold or shared for advertising. No third-party advertising trackers are loaded.

4. International transfers (GDPR art. 44–49)

The controller is a US entity. Personal data may be processed in the USA. Transfers rely on EU Commission Standard Contractual Clauses (Decision 2021/914) with each US sub-processor. Stripe additionally relies on the EU–US Data Privacy Framework. You may request a copy of the transfer mechanism documentation.

5. Your rights (GDPR art. 12–22, UK GDPR, CCPA/CPRA)

Access — request a copy of your data
Rectification — correct inaccurate data
Erasure ("right to be forgotten") — we delete in Stripe (where law allows), Supabase, Resend
Restriction — limit our processing
Portability — receive a machine-readable export
Object — to processing based on legitimate interest
Withdraw consent — at any time, without affecting prior lawful processing
California (CCPA/CPRA) — Right to know, delete, correct, opt-out of sale/sharing (we do not sell), and limit use of sensitive PI. Use the "Do Not Sell or Share" link in the page footer.
Complaint — lodge a complaint with your supervisory authority (NL: AP; ES: AEPD; UK: ICO; or your local DPA)

To exercise any right: email juan@diazatlas.com with subject line "Privacy request". Response within 30 days (GDPR art. 12(3)) or 45 days (CCPA).

6. Cookies & tracking

Strictly-necessary cookies are always on (session, language preference, consent storage). Anonymous analytics (Vercel Web Analytics + Speed Insights) is opt-in for visitors in the EU, UK, and Canada (default deny) and opt-out elsewhere. Manage via the "Privacy settings" link in the page footer. No advertising trackers, no third-party profiling.

7. Security

HTTPS enforced (HSTS preload). License keys are HMAC-signed. Database access is role-restricted (Supabase RLS). Secrets are vaulted (Supabase Vault + GitHub Secrets). Breach notification within 72 h (GDPR art. 33) to the lead supervisory authority and affected users where high risk (art. 34).

8. Children

Not directed at children under 16. We do not knowingly process data of minors.

9. Changes to this notice

We update this policy when processing changes. Material changes are emailed to active license-holders. Version history available on request.

1. Wie is de verwerkingsverantwoordelijke

Juan Diaz LLC, een Limited Liability Company gevestigd in Delaware (VS), is verwerkingsverantwoordelijke voor persoonsgegevens verwerkt via diazatlas.com en de Diaz Editor desktop-applicatie.

Postadres: zie /imprint (Delaware, VS)
Email: juan@diazatlas.com
EU-vertegenwoordiger (AVG art. 27): aanstelling in voorbereiding (mei 2026)

2. Welke gegevens en waarom

Gegeven	Doel	Grondslag (AVG art. 6)	Bewaartermijn
Email, naam, land	License-key uitgeven + ondersteunen	art. 6(1)(b) overeenkomst	License-duur + 7 jr (fiscaal)
Stripe klant-ID, betaal-metadata	Aankoop, restitutie, fraude-preventie	art. 6(1)(b) overeenkomst + (c) wettelijke plicht	10 jr (NL fiscaal)
License-key + gebruiksdatums	Validatie-handshake (IP + key)	art. 6(1)(b) overeenkomst	License-duur
Affiliate-cookie (90 dagen)	Partner-attributie verkopen	art. 6(1)(a) toestemming	90 dagen
Anonieme analytics (Vercel)	Site verbeteren	art. 6(1)(a) toestemming (opt-in EU/UK/CA)	30 dagen
Server-logs	Beveiliging, misbruik-preventie	art. 6(1)(f) gerechtvaardigd belang	30 dagen

3. Met wie delen wij gegevens (sub-verwerkers)

Stripe Payments Europe Ltd. (Ierland) — betalingen. DPA. EU + DPF.
Supabase Inc. (VS, EU-host: Parijs/eu-west-3) — database + edge functions. DPA. SCCs.
Resend.com (VS, EU-regio: Frankfurt) — transactionele email. DPA. SCCs.
Vercel Inc. (VS) — hosting + CDN. DPA. SCCs.

Geen verkoop van gegevens. Geen advertentie-trackers van derden.

4. Doorgifte buiten EU (AVG art. 44–49)

De verantwoordelijke is een US-entiteit. Persoonsgegevens kunnen in de VS verwerkt worden. Doorgifte op basis van EU Standaardcontractbepalingen (Besluit 2021/914) met elke US-subverwerker. Stripe rekent ook op het EU–US Data Privacy Framework. Documentatie op verzoek beschikbaar.

5. Jouw rechten (AVG art. 12–22)

Inzage — kopie van jouw gegevens opvragen
Rectificatie — onjuiste gegevens corrigeren
Vergetelheid — wij verwijderen in Stripe (waar toegestaan), Supabase, Resend
Beperking — verwerking beperken
Overdraagbaarheid — machine-leesbare export ontvangen
Bezwaar — tegen verwerking op basis van gerechtvaardigd belang
Toestemming intrekken — op elk moment, zonder gevolgen voor eerder rechtmatige verwerking
Klacht — bij Autoriteit Persoonsgegevens

Verzoek indienen: mail juan@diazatlas.com met onderwerp "Privacy-verzoek". Reactie binnen 30 dagen (AVG art. 12(3)).

6. Cookies & tracking

Strikt-noodzakelijke cookies altijd aan (sessie, taal, consent-opslag). Anonieme analytics (Vercel Web Analytics + Speed Insights) is opt-in voor bezoekers in EU/UK/CA (default uit). Beheer via de "Privacy-instellingen"-link in de footer. Geen advertentie-trackers.

7. Beveiliging

HTTPS afgedwongen (HSTS preload). License-keys HMAC-getekend. Database-toegang rol-beperkt (Supabase RLS). Secrets in vault. Inbreukmelding binnen 72 u (AVG art. 33) aan de bevoegde toezichthouder; aan betrokkenen bij hoog risico (art. 34).

8. Kinderen

Niet gericht op kinderen onder 16. Wij verwerken bewust geen gegevens van minderjarigen.

9. Wijzigingen

Wijzigingen worden bij actieve license-houders per email gemeld. Versiegeschiedenis op verzoek.

1. Quién es el responsable del tratamiento

Juan Diaz LLC, sociedad de responsabilidad limitada (LLC) constituida en Delaware (EE. UU.), es el responsable del tratamiento de los datos personales procesados a través de diazatlas.com y de la aplicación de escritorio Diaz Editor.

Dirección postal: ver /imprint (Delaware, EE. UU.)
Correo: juan@diazatlas.com
Representante UE (RGPD art. 27): designación en curso (mayo 2026)

2. Qué datos tratamos y por qué

Dato	Finalidad	Base jurídica (RGPD art. 6)	Plazo
Correo, nombre, país	Emisión de licencia + soporte	art. 6(1)(b) contrato	Vida de la licencia + 7 años (fiscal)
ID de cliente Stripe, metadatos de pago	Compra, reembolso, prevención de fraude	art. 6(1)(b) contrato + (c) obligación legal	10 años (fiscal NL)
Clave de licencia + marcas de uso	Validación (IP + clave)	art. 6(1)(b) contrato	Vida de la licencia
Cookie de afiliado (90 días)	Atribución de ventas a partners	art. 6(1)(a) consentimiento	90 días
Analítica anónima (Vercel)	Mejora del sitio	art. 6(1)(a) consentimiento (opt-in EU/UK/CA)	30 días
Logs de servidor	Seguridad, prevención de abuso	art. 6(1)(f) interés legítimo	30 días

3. Con quién compartimos datos (subencargados)

Stripe Payments Europe Ltd. (Irlanda) — pagos. DPA. UE + DPF.
Supabase Inc. (EE. UU., host UE: París/eu-west-3) — base de datos + edge functions. DPA. CCEs.
Resend.com (EE. UU., región UE: Frankfurt) — correo transaccional. DPA. CCEs.
Vercel Inc. (EE. UU.) — alojamiento + CDN. DPA. CCEs.

No vendemos ni compartimos datos para publicidad. No cargamos rastreadores publicitarios de terceros.

4. Transferencias internacionales (RGPD art. 44–49)

El responsable es una entidad estadounidense. Los datos pueden tratarse en EE. UU. Las transferencias se basan en las Cláusulas Contractuales Tipo de la UE (Decisión 2021/914) firmadas con cada subencargado en EE. UU. Stripe se acoge además al EU–US Data Privacy Framework. Documentación disponible bajo petición.

5. Tus derechos (RGPD art. 12–22, LOPDGDD)

Acceso — solicitar copia de tus datos
Rectificación — corregir datos inexactos
Supresión ("derecho al olvido") — eliminamos en Stripe (cuando la ley lo permite), Supabase, Resend
Limitación del tratamiento
Portabilidad — exportación legible por máquina
Oposición al tratamiento basado en interés legítimo
Retirar consentimiento — en cualquier momento
Reclamación ante la Agencia Española de Protección de Datos (AEPD)

Para ejercer cualquier derecho: escribe a juan@diazatlas.com con asunto "Solicitud de privacidad". Respuesta en 30 días (RGPD art. 12(3)).

6. Cookies y rastreo

Cookies estrictamente necesarias siempre activas (sesión, idioma, consentimiento). Analítica anónima (Vercel Web Analytics + Speed Insights) es opt-in en UE/RU/CA (denegado por defecto). Gestiona desde "Configuración de privacidad" en el pie de página. Sin rastreadores publicitarios.

7. Seguridad

HTTPS obligatorio (HSTS preload). Claves de licencia firmadas con HMAC. Acceso a base de datos restringido por roles (Supabase RLS). Secretos en vault. Notificación de brechas en 72 h (RGPD art. 33) a la autoridad competente; a los afectados en caso de alto riesgo (art. 34).

8. Menores

No dirigido a menores de 16 años. No tratamos conscientemente datos de menores.

9. Cambios

Cambios materiales se notifican por correo a los titulares de licencia activos. Historial de versiones bajo petición.