POLÍTICA DE PRIVACIDAD
Última actualización: 09/04/2026
1. Responsable del tratamiento
| Dato | Valor |
|---|---|
| Responsable | INNOLANDIA SL |
| NIF/CIF | B54985999 |
| Domicilio | Avda. Costablanca, 132, Entresuelo C – 03540 Alicante |
| hola@innolandia.es | |
| Teléfono | 630493339 |
| Delegado de Protección de Datos (DPD) | "No se ha designado DPD al no cumplirse los supuestos del Art. 37 RGPD. Para consultas de protección de datos: hola@innolandia.es" |
2. Qué datos personales recogemos
2.1 Datos proporcionados directamente por el usuario
| Dato | Momento de recogida | Obligatorio |
|---|---|---|
| Nombre completo | Registro en la Plataforma | Sí |
| Dirección de correo electrónico | Invitación + registro | Sí |
| Contraseña | Registro | Sí (almacenada como hash irreversible) |
| Avatar / foto de perfil | Edición de perfil | No |
2.2 Datos generados por el uso de la Plataforma
| Dato | Descripción | Finalidad |
|---|---|---|
| Mensajes de chat | Texto que el usuario escribe a los asistentes de IA | Prestación del servicio (generar respuestas) |
| Archivos adjuntos | Imágenes y documentos subidos al chat | Procesamiento por el asistente de IA |
| Historial de conversaciones | Registro de las conversaciones del usuario | Permitir retomar conversaciones anteriores |
| Memoria automática | Hechos extraídos automáticamente de las conversaciones (si la función está activada) | Personalizar las respuestas del asistente |
| Documentos de base de conocimiento | Documentos subidos por el usuario para que el asistente los use como referencia | Mejorar la relevancia de las respuestas |
| Etiquetas y carpetas | Metadatos organizativos creados por el usuario | Organización personal del historial |
| Plantillas de prompts | Prompts guardados por el usuario | Reutilización de prompts frecuentes |
| Datos de uso | Fecha y hora de acceso, funcionalidades utilizadas, asistentes consultados | Métricas internas y mejora del servicio |
| Dirección IP | Acceso a la Plataforma | Seguridad y prevención de fraude |
2.3 Datos que NO recogemos
- No recogemos datos especialmente protegidos (Art. 9 RGPD): origen étnico, opiniones políticas, convicciones religiosas, datos genéticos, datos biométricos, datos relativos a la salud, vida sexual u orientación sexual.
- No recogemos datos de menores de 16 años. La Plataforma está destinada a profesionales mayores de edad.
3. Finalidades del tratamiento y bases jurídicas
| Finalidad | Datos utilizados | Base jurídica (Art. 6 RGPD) | Conservación |
|---|---|---|---|
| Prestación del servicio — Permitir el acceso y uso de la Plataforma, incluyendo chat con asistentes, historial, y funcionalidades asociadas | Todos los datos de las secciones 2.1 y 2.2 | Ejecución del contrato (Art. 6.1.b) — El tratamiento es necesario para prestar el servicio contratado | Mientras dure la relación contractual + periodo legal de conservación |
| Gestión de la cuenta — Registro, autenticación, recuperación de contraseña | Nombre, email, contraseña (hash) | Ejecución del contrato (Art. 6.1.b) | Mientras la cuenta esté activa |
| Procesamiento por IA — Los mensajes y archivos del usuario se envían a OpenAI para generar respuestas | Mensajes, archivos adjuntos, hechos de memoria, documentos de base de conocimiento | Ejecución del contrato (Art. 6.1.b) — Necesario para prestar la funcionalidad core del servicio | OpenAI retiene hasta 30 días para abuse monitoring. Eliminable por el usuario. |
| Mejora del servicio — Análisis de uso agregado, métricas de funcionalidades, rendimiento | Datos de uso anonimizados y agregados | Interés legítimo (Art. 6.1.f) — Mejorar el servicio sin afectar a la privacidad individual | Datos agregados conservados indefinidamente |
| Seguridad — Prevención de accesos no autorizados, detección de actividad anómala | Dirección IP, logs de acceso | Interés legítimo (Art. 6.1.f) — Seguridad de la Plataforma y de los datos de los usuarios | 12 meses |
| Comunicaciones del servicio — Notificaciones sobre actualizaciones, cambios en los términos, incidencias de seguridad | Ejecución del contrato (Art. 6.1.b) | Mientras dure la relación contractual |
4. Destinatarios de los datos
4.1 Encargados del tratamiento (subprocesadores)
Los datos personales del usuario pueden ser comunicados a los siguientes proveedores, que actúan como Encargados del Tratamiento bajo contrato conforme al Art. 28 RGPD:
| Proveedor | Función | Ubicación datos | Garantías |
|---|---|---|---|
| OpenAI Ireland Ltd. | Procesamiento de lenguaje natural (API de asistentes IA) | Procesamiento puede incluir servidores fuera del EEE, bajo SCCs | DPA firmado conforme al Art. 28 RGPD. No entrena modelos con datos de la API. Retención: 30 días para abuse monitoring. |
| Supabase Inc. | Base de datos, autenticación, almacenamiento de archivos | EU (Frankfurt, Alemania) | SOC 2 Type 2. Datos almacenados en la región europea. |
| Vercel Inc. | Hosting de la aplicación web | EU (Frankfurt, Alemania) | SOC 2 Type 2. ISO 27001. Despliegue en región EU. |
4.2 Transferencias internacionales
Los datos procesados por OpenAI pueden ser transferidos fuera del Espacio Económico Europeo (EEE). Estas transferencias se realizan bajo las siguientes garantías conforme al Capítulo V del RGPD:
- Standard Contractual Clauses (SCCs) adoptadas por la Comisión Europea el 4 de junio de 2021, incorporadas al DPA firmado con OpenAI Ireland Ltd.
- Decisiones de adecuación de la Comisión Europea, cuando apliquen.
Para clientes en el EEE, OpenAI Ireland Ltd. es la entidad contratante responsable de garantizar que cualquier transferencia fuera del EEE cumple con las obligaciones del RGPD.
4.3 Terceros que NO reciben datos
- No vendemos datos personales a terceros.
- No compartimos datos con fines publicitarios de terceros.
- No utilizamos redes de publicidad programática (Google Ads, Meta Ads, etc.).
- El administrador de la plataforma puede ver datos de gestión (nombre, email, estado de la cuenta, métricas agregadas de uso) pero NO puede acceder al contenido de las conversaciones, la memoria ni los documentos del usuario.
5. Conservación de los datos
| Tipo de dato | Periodo de conservación | Justificación |
|---|---|---|
| Datos de la cuenta (nombre, email) | Mientras la cuenta esté activa + 5 años tras la baja | Obligación legal (Ley General Tributaria, Art. 70) |
| Conversaciones y mensajes | Mientras el usuario no los elimine. Eliminación inmediata a solicitud. | Prestación del servicio |
| Memoria automática (hechos) | Mientras la memoria esté activa. Eliminable en cualquier momento. | Consentimiento del usuario |
| Documentos de base de conocimiento | Mientras el usuario no los elimine. | Prestación del servicio |
| Archivos adjuntos al chat | Mientras la conversación exista. Se eliminan con la conversación. | Prestación del servicio |
| Logs de acceso y seguridad | 12 meses | Interés legítimo (seguridad) |
| Datos de facturación | 5 años desde la última factura | Obligación legal (Art. 30 Código de Comercio, Art. 70 LGT) |
Al eliminar una cuenta, todos los datos del usuario se eliminan de nuestros sistemas (Supabase) y se solicita la eliminación a OpenAI de los Threads, Files y Vector Stores asociados. OpenAI eliminará los datos en un plazo máximo de 30 días conforme a su DPA.
6. Derechos del usuario
De conformidad con el RGPD y la LOPDGDD, el usuario tiene los siguientes derechos sobre sus datos personales:
| Derecho | Descripción | Cómo ejercerlo |
|---|---|---|
| Acceso (Art. 15 RGPD) | Obtener confirmación de si se tratan datos suyos y acceder a ellos | Desde la interfaz de la Plataforma (perfil, historial, memoria, documentos) o por email a hola@innolandia.es |
| Rectificación (Art. 16 RGPD) | Corregir datos inexactos o incompletos | Desde la interfaz (editar perfil, memoria) o por email a hola@innolandia.es |
| Supresión (Art. 17 RGPD) | Solicitar la eliminación de datos cuando ya no sean necesarios o se retire el consentimiento | Desde la interfaz (eliminar conversaciones, memoria, documentos). Eliminación de cuenta completa: por email a hola@innolandia.es |
| Limitación (Art. 18 RGPD) | Solicitar la suspensión del tratamiento en determinados supuestos | Por email a hola@innolandia.es |
| Portabilidad (Art. 20 RGPD) | Recibir los datos en formato estructurado y de uso común (JSON) | Por email a hola@innolandia.es. Los hechos de memoria y conversaciones son exportables. |
| Oposición (Art. 21 RGPD) | Oponerse al tratamiento basado en interés legítimo | Por email a hola@innolandia.es |
| No decisiones automatizadas (Art. 22 RGPD) | No ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos | Las respuestas de los asistentes de IA son orientativas y no producen efectos jurídicos sobre el usuario. El usuario mantiene el control de todas las decisiones. |
6.1 Cómo ejercer los derechos
Para ejercer cualquiera de estos derechos, el usuario puede:
- Desde la Plataforma: muchos derechos se pueden ejercer directamente desde la interfaz (eliminar conversaciones, editar perfil, desactivar memoria, eliminar documentos).
- Por email: enviar solicitud a hola@innolandia.es incluyendo: nombre completo, email de la cuenta, derecho que desea ejercer, y copia de documento de identidad (DNI/NIE/pasaporte).
Plazo de respuesta: 1 mes desde la recepción de la solicitud. En casos complejos, podrá ampliarse 2 meses adicionales, informando al usuario.
6.2 Reclamación ante la autoridad de control
Si el usuario considera que el tratamiento de sus datos no se ajusta a la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Web: https://www.aepd.es
- Dirección: C/ Jorge Juan, 6. 28001 Madrid
- Teléfono: 901 100 099 / 912 663 517
7. Medidas de seguridad
El Responsable del Tratamiento ha implementado las siguientes medidas técnicas y organizativas para proteger los datos personales del usuario:
- Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones (plataforma, APIs, proveedores).
- Cifrado en reposo: AES-256 en base de datos, backups y almacenamiento de archivos.
- Aislamiento de datos: Row Level Security (RLS) a nivel de base de datos PostgreSQL. Cada usuario solo accede a sus propios datos.
- Autenticación segura: JWT tokens con httpOnly cookies. Contraseñas almacenadas como hash bcrypt irreversible.
- Acceso por invitación: no existe registro público. Solo usuarios invitados por el administrador.
- Credenciales de API: almacenadas como variables de entorno en el servidor. Nunca expuestas al navegador del usuario.
- Tokens OAuth de integraciones: cifrados con AES-256 en la base de datos.
- Protección DDoS: Cloudflare (Vercel) + fail2ban (Supabase).
- Validación de inputs: sanitización y validación de todos los datos de entrada para prevenir inyección SQL, XSS y otros ataques.
- Auditoría: logs de acceso y acciones relevantes.
- Backups: copias de seguridad automáticas diarias en la región EU.
8. Uso de inteligencia artificial
8.1 Procesamiento de datos por IA
La Plataforma utiliza modelos de inteligencia artificial proporcionados por OpenAI a través de su API para generar respuestas a los mensajes del usuario. Los datos que se envían a OpenAI para este procesamiento incluyen:
- Los mensajes de texto que el usuario escribe.
- Los archivos que el usuario adjunta a las conversaciones.
- Los hechos de memoria (si la función está activada por el usuario).
- Los documentos de base de conocimiento (si la función está habilitada).
8.2 Garantías de OpenAI
- OpenAI actúa como Encargado del Tratamiento bajo un DPA conforme al Art. 28 RGPD.
- OpenAI no utiliza los datos de la API de negocio para entrenar sus modelos.
- OpenAI retiene los datos enviados a la API durante un máximo de 30 días para monitorización de abuso. Tras este periodo, los datos se eliminan automáticamente.
- Las comunicaciones con OpenAI están cifradas con TLS 1.2+ (en tránsito) y AES-256 (en reposo).
- OpenAI cuenta con certificaciones SOC 2 Type 2, ISO 27001, ISO 27017, ISO 27018 e ISO 27701.
8.3 Decisiones automatizadas
Los asistentes de IA generan respuestas de forma automatizada. Sin embargo, estas respuestas son orientativas y no producen efectos jurídicos ni afectan significativamente al usuario en un sentido similar. El usuario mantiene el control total de las decisiones que toma basándose en las respuestas de los asistentes.
9. Modificaciones de la Política de Privacidad
El Responsable se reserva el derecho a modificar esta Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o de la práctica de la industria. En caso de modificaciones sustanciales, se informará al usuario mediante notificación en la Plataforma y/o por email. El uso continuado de la Plataforma tras la notificación implica la aceptación de las modificaciones.