Legal
RGPD y Protección
de Datos.
Última actualización: abril de 2026 · Cómo Modi cumple con el RGPD y la LOPDGDD y cómo te ayuda a cumplirlos tú también. Modi está diseñado desde el principio con privacidad por diseño (art. 25 RGPD): el programa de escritorio almacena todos los datos de investigación localmente en tu equipo. Nunca salen de tu control.
CONTENIDO
- Marco normativo aplicable
- Roles: responsable vs encargado
- Bases legales para detectives privados
- Cómo Modi cumple el RGPD
- Tus obligaciones como detective
- Gestión de incidentes de seguridad
- Transferencias internacionales
- Contacto DPD
1. Marco normativo aplicable
La actividad del detective privado en España está regulada por un marco legal complejo que combina normativa de protección de datos y normativa de seguridad privada:
- Reglamento (UE) 2016/679 (RGPD): normativa europea de protección de datos, de aplicación directa en España.
- Ley Orgánica 3/2018 (LOPDGDD): ley española que adapta y complementa el RGPD.
- Ley 5/2014 de Seguridad Privada: regula la actividad de los detectives privados, incluyendo el libro de registro y la documentación de investigaciones.
- Real Decreto 2364/1994 (Reglamento de Seguridad Privada): desarrollo reglamentario de la actividad.
Importante: La Ley 5/2014 habilita a los detectives privados a tratar datos personales en el ejercicio de sus funciones investigadoras, incluyendo datos de terceros sin su consentimiento, siempre que exista un encargo legítimo y se respeten los principios del RGPD.
2. Roles: responsable del tratamiento vs encargado
El detective privado como responsable
En el uso del programa de escritorio de Modi, el detective privado es el responsable del tratamiento de todos los datos personales que introduce en el sistema: datos de clientes, datos de investigados, evidencias, informes, etc. Esto significa que es el detective quien decide los fines y medios del tratamiento.
Modi como proveedor de herramienta (no encargado)
Modi proporciona el programa de escritorio, pero dado que los datos se almacenan exclusivamente de forma local en el equipo del detective, Modi no tiene acceso a esos datos y no actúa como encargado del tratamiento en el sentido del art. 28 RGPD. Modi es simplemente el fabricante del software.
Modi como responsable del portal web
Para los datos del portal web (nombre, email, licencia), Modi sí actúa como responsable del tratamiento, según se detalla en la Política de Privacidad.
3. Bases legales para el tratamiento de datos en investigaciones
Como detective privado, debes identificar y documentar la base legal para cada tratamiento de datos que realices. Las más habituales en la práctica investigadora son:
- Ejecución de contrato (art. 6.1.b RGPD): los datos del cliente que te contrata (nombre, NIF, contacto, objeto del encargo) se tratan para ejecutar el contrato de investigación.
- Interés legítimo (art. 6.1.f RGPD): el tratamiento de datos del investigado se puede amparar en el interés legítimo del cliente, siempre que dicho interés sea lícito, necesario y no quede anulado por los derechos del investigado. Es la base legal más usada en infidelidad, seguimiento patrimonial y localización de personas.
- Obligación legal (art. 6.1.c RGPD): el libro de registro oficial es una obligación establecida por la Ley 5/2014. Su mantenimiento se ampara en esta base legal.
- Datos especialmente protegidos (art. 9 RGPD): si tratas datos sobre salud, vida sexual, origen racial o creencias religiosas, necesitas una base legal reforzada. Consulta con un especialista en protección de datos antes de tratar esta categoría de datos.
4. Cómo Modi cumple el RGPD
- Privacidad por diseño: Modi implementa el principio del art. 25 RGPD almacenando todos los datos de investigación de forma local y cifrada, minimizando la superficie de exposición.
- Minimización de datos: Modi solo solicita los datos estrictamente necesarios para cada función.
- Cifrado en reposo: todos los datos almacenados están cifrados con AES-256. Sin tu clave de acceso, los datos no son legibles.
- Cadena de custodia como garantía de integridad: el sistema de hash SHA-256 cumple el principio de integridad y confidencialidad del art. 5.1.f RGPD.
- Log de actividad auditable: permite demostrar trazabilidad y responsabilidad proactiva (accountability, art. 5.2 RGPD).
- Sin transmisión de datos de investigación: el programa nunca transmite datos de casos, clientes ni investigados a Modi ni a ningún tercero.
- Libro de registro como herramienta de cumplimiento: documenta automáticamente la apertura y cierre de cada expediente.
5. Tus obligaciones como detective privado y responsable del tratamiento
Modi te proporciona las herramientas técnicas, pero la responsabilidad del cumplimiento normativo recae sobre ti. Asegúrate de:
- Registrar actividades de tratamiento (art. 30 RGPD): mantener un registro de todas las categorías de tratamientos que realizas.
- Informar a tus clientes (art. 13 RGPD): facilitar información sobre el tratamiento de sus datos antes o en el momento de recogerlos.
- Aplicar el principio de limitación de la conservación: no guardar datos más tiempo del necesario.
- Evaluar impacto (EIPD) si realizas vigilancia sistemática, tratamiento a gran escala o uso de tecnologías de localización o biometría.
- Garantizar la seguridad de tu equipo: contraseña robusta, cifrado de disco y sistema operativo actualizado.
- Gestionar solicitudes de derechos: evaluar si la normativa de seguridad privada prevalece sobre los derechos del investigado (en muchos casos, sí).
6. Gestión de incidentes de seguridad
Si sufres un incidente de seguridad (pérdida del equipo, acceso no autorizado, ransomware) que afecte a datos personales de clientes o investigados:
- Debes notificar a la AEPD en el plazo de 72 horas si el incidente entraña riesgo para los derechos y libertades de las personas (art. 33 RGPD).
- Si el riesgo es alto, también debes notificar a los afectados (art. 34 RGPD).
- El cifrado AES-256 de Modi reduce significativamente el riesgo en caso de pérdida o robo del equipo.
- Notifica incidentes a Modi que afecten al portal web a soporte@modi.es.
7. Transferencias internacionales
Los datos del portal web se almacenan en Supabase en servidores ubicados en la Unión Europea (Irlanda, AWS eu-west-1), por lo que no se realizan transferencias internacionales de datos en el sentido del Capítulo V del RGPD.
Los pagos son procesados por Stripe, Inc. (EE.UU.), que opera bajo las garantías del Data Privacy Framework UE-EE.UU. y cláusulas contractuales tipo. Consulta la política de transferencias de Stripe en stripe.com/es/privacy.
El programa de escritorio no realiza ninguna transferencia de datos de investigación.
8. Contacto
Para cualquier consulta sobre protección de datos, escríbenos a soporte@modi.es.
Para reclamaciones ante la autoridad de control española: Agencia Española de Protección de Datos (AEPD) · www.aepd.es · C/ Jorge Juan, 6, 28001 Madrid.