Esta Política de Privacidad regula el tratamiento de datos personales realizado a través de AI Comply, accesible en https://ai-comply-xi.vercel.app, conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).
1. Responsable del tratamiento
- Titular: Carlos Peña García (en adelante, «el Responsable»).
- NIF: 36917323T
- Domicilio: C/ Onze de Setembre, 17. 08880 Cubelles, Barcelona, España.
- Denominación comercial: CPG Estudio IA.
- Servicio: AI Comply
- Email de contacto: hola@cpgestudioia.tech
- Delegado de Protección de Datos (DPO): No designado, al no resultar exigible conforme al Art. 37 RGPD para la actividad y el volumen de tratamiento realizado.
2. Finalidades, base jurídica y plazo de conservación
Los datos personales recabados se tratan exclusivamente para las finalidades indicadas a continuación:
| Finalidad | Base jurídica (Art. 6 RGPD) | Plazo |
|---|---|---|
| Registro de usuario y prestación del servicio (alta de cuenta, onboarding, inventario, generación de PDF, descarga de documentación) | Ejecución de contrato (Art. 6.1.b) | Hasta que el usuario solicite el borrado (Zona de Peligro en /dashboard/ajustes) o automáticamente tras 12 meses de inactividad con aviso previo por email. |
| Procesamiento de pagos y emisión de facturas (Stripe, Esencial, Profesional, Avanzado) | Ejecución de contrato (Art. 6.1.b) y obligación legal contable (Art. 6.1.c) | 6 años por obligaciones contables (Código de Comercio Art. 30). |
| Envío de emails transaccionales (confirmación de compra, aviso de renovación 14 días antes del vencimiento, aviso de inactividad 14 días antes del borrado) | Ejecución de contrato (Art. 6.1.b) | Mientras la cuenta esté activa. |
| Conservación del email como lead comercial (para contactarte si tu caso requiere consultoría especializada) | Consentimiento expreso prestado en /empezar (checkbox RGPD) (Art. 6.1.a) | Hasta que el usuario solicite el borrado total mediante la Zona de Peligro o por escrito a hola@cpgestudioia.tech (Art. 17 RGPD). |
| Análisis interno de uso de la plataforma (orgs activas, sistemas inventariados, plantillas más usadas) para mejorar el servicio | Interés legítimo (Art. 6.1.f). Datos pseudonimizados sin identificación individual. | Mientras la cuenta esté activa. |
| Cumplimiento de obligaciones legales (fiscales, contables, RGPD, requerimientos de autoridades) | Obligación legal (Art. 6.1.c) | Plazos legales aplicables a cada obligación. |
No se tratan categorías especiales de datos (Art. 9 RGPD) ni datos relativos a condenas o infracciones penales (Art. 10 RGPD).
No se realizan decisiones individuales automatizadas con efectos jurídicos sobre los usuarios (Art. 22 RGPD). Las clasificaciones de riesgo de los sistemas IA inventariados son orientativas, sirven para activar plantillas del PDF, y el usuario las puede revisar y modificar en cualquier momento.
3. Datos que se recaban
- Registro y filiación (Cuenta normal): email, contraseña hasheada, razón social, NIF/CIF, dirección fiscal, código postal, localidad, provincia, nombre completo del responsable interno.
- Modo invitado: email y consentimiento comercial. La filiación fiscal es opcional; si la aportas, la conservamos en tu cuenta para que puedas editarla o completarla más adelante, hasta que solicites su borrado.
- Inventario de sistemas IA: nombre de la herramienta, proveedor, categoría, tipo de IA, departamento usuario, nombre y email del responsable interno designado (datos personales de empleados del cliente).
- Datos de pago: procesados por Stripe Payments Europe Ltd. AI Comply no almacena datos de tarjeta. Solo se conservan el identificador interno de la transacción y la factura.
- Datos técnicos: dirección IP (registrada como evidencia de consentimiento RGPD), tipo de navegador, sistema operativo, logs de acceso. Conservados en logs de seguridad de Supabase y Vercel.
4. Destinatarios y encargados del tratamiento
Para prestar el servicio, el Responsable contrata a los siguientes proveedores que actúan como encargados del tratamiento conforme al Art. 28 RGPD:
| Proveedor | Finalidad | Ubicación servidores |
|---|---|---|
| Supabase Inc. (PostgreSQL + Auth + Storage) | Almacenamiento de cuentas, organizaciones, inventario IA, plantillas generadas. Cifrado AES-256 en reposo, TLS 1.3 en tránsito. | Frankfurt, Alemania (UE Central 1) |
| Vercel Inc. | Hosting de la plataforma, ejecución de serverless functions, CDN. | EE.UU. (DPF certificado) con réplicas en UE |
| Stripe Payments Europe Ltd. | Procesamiento de pagos. PCI DSS Service Provider Level 1. | Irlanda (UE) |
| Resend Inc. | Envío de emails transaccionales (confirmación de compra, renovación, inactividad). | EE.UU. (DPF certificado) |
| Anthropic PBC | Modelos de IA generativa para asistir desarrollo y redactar plantillas. Sin envío de datos personales identificables del cliente. | EE.UU. (DPF certificado) |
Estos proveedores tratan datos exclusivamente por cuenta del Responsable y bajo contrato de encargo (Art. 28.3 RGPD) con garantías de confidencialidad y seguridad.
No se ceden datos personales a terceros no incluidos en la tabla anterior, salvo obligación legal o requerimiento de autoridad competente.
Acceso del personal autorizado del Responsable. El personal autorizado de administración de la plataforma puede acceder al contenido de las cuentas de los clientes (datos de la organización, inventario de sistemas de IA, documentos generados y registro de compras) con la finalidad de prestar soporte, dar mantenimiento, resolver incidencias y verificar el correcto funcionamiento del servicio. Con esa misma finalidad, puede iniciar sesión en una cuenta en nombre del cliente (función «entrar como»). Estos accesos se realizan bajo deber de confidencialidad, se limitan a lo estrictamente necesario y quedan registrados. La base jurídica es la ejecución del contrato (Art. 6.1.b RGPD) y el interés legítimo en la seguridad y el buen funcionamiento del servicio (Art. 6.1.f RGPD).
5. Transferencias internacionales
Algunos de los proveedores anteriores (Vercel, Resend, Anthropic) están establecidos en Estados Unidos. Estas transferencias se realizan al amparo del EU-US Data Privacy Framework (DPF), marco de adecuación reconocido por la Decisión de Ejecución (UE) 2023/1795 de la Comisión Europea de 10 de julio de 2023, que ofrece nivel de protección equivalente al RGPD.
El núcleo de la base de datos (cuentas, organizaciones, inventario, plantillas) reside en Supabase Frankfurt (UE Central 1), sin transferencia fuera del EEE.
Si el DPF dejase de estar vigente, el Responsable adoptaría las garantías adicionales del Art. 46 RGPD (Cláusulas Contractuales Tipo).
6. Decisiones automatizadas e inteligencia artificial
El Responsable no toma decisiones individuales automatizadas con efectos jurídicos sobre los usuarios (Art. 22 RGPD).
Partes de AI Comply usan inteligencia artificial generativa (Claude de Anthropic): asistente «Ayúdame a recordar» del inventario, redacción de algunas plantillas legales del PDF, generación de código de la propia plataforma. Esta declaración da cumplimiento al Art. 50 del Reglamento (UE) 2024/1689 (AI Act). Toda salida que llega al cliente es revisada por un humano (Carlos Peña, CPG Estudio IA) antes de su publicación.
7. Derechos del interesado
Como titular de los datos puedes ejercer en cualquier momento los siguientes derechos:
- Acceso (Art. 15 RGPD).
- Rectificación (Art. 16): puedes modificar tus datos fiscales desde /dashboard/ajustes.
- Supresión u olvido (Art. 17): puedes borrar tu cuenta y todos los datos desde la Zona de Peligro de /dashboard/ajustes con un solo clic. El borrado es inmediato y cascadea a inventario, plantillas y facturas no obligadas por la ley contable.
- Limitación del tratamiento (Art. 18).
- Portabilidad (Art. 20): puedes exportar tu inventario en Excel desde /dashboard/informes en cualquier momento.
- Oposición (Art. 21): puedes oponerte al tratamiento basado en interés legítimo.
- Retirada del consentimiento (Art. 7.3): en cualquier momento, sin efecto retroactivo.
Para ejercer cualquiera de estos derechos basta con enviar un correo a hola@cpgestudioia.tech indicando el derecho que quieres ejercer. La respuesta se proporcionará en un plazo máximo de un mes (Art. 12.3 RGPD), prorrogable a dos meses por complejidad.
Si consideras que el tratamiento de tus datos vulnera la normativa vigente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
8. Modelo de retención de datos
AI Comply aplica tres mecanismos de borrado coherentes con el Art. 17 RGPD:
- Borrado bajo demanda: el usuario lo activa desde la Zona de Peligro de /dashboard/ajustes. Borrado total inmediato.
- Borrado por inactividad: si la cuenta permanece 12 meses sin actividad, te avisamos por email 14 días antes y, salvo reactivación, borramos la organización (principio de minimización, Art. 5.1.e RGPD). El email se conserva como lead comercial solo si consentiste en /empezar.
- Inactividad 12 meses: tras 12 meses sin actividad, enviamos email aviso. Si no hay reactivación en 14 días, la organización se borra. El email se conserva como lead comercial si el usuario consintió.
El borrado total (incluyendo auth.user y email) solo se produce mediante la Zona de Peligro o por solicitud expresa Art. 17 RGPD.
9. Edad mínima
El servicio está dirigido a personas mayores de 14 años actuando en nombre de empresas o como autónomos, conforme al Art. 7 LOPDGDD. El Responsable no recaba intencionadamente datos de menores de esa edad.
10. Medidas de seguridad
El Responsable ha adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad, confidencialidad e integridad de los datos personales tratados (Art. 32 RGPD):
- Cifrado AES-256 en reposo (Supabase).
- TLS 1.3 en todas las conexiones.
- Hashing de contraseñas con bcrypt cost 10.
- Aislamiento entre clientes mediante Row-Level Security multi-tenant (29 policies impuestas por la base de datos, no por código de aplicación).
- Pagos vía Stripe (PCI DSS Service Provider Level 1) — el Responsable no tiene acceso a datos de tarjeta.
- Logs de auditoría de accesos y operaciones administrativas.
- Copias de seguridad diarias gestionadas por Supabase.
11. Cambios en esta política
Esta Política de Privacidad puede ser modificada para adaptarse a cambios normativos o en los servicios prestados. La versión vigente es la publicada en el servicio, identificada por la fecha de última actualización al inicio del documento. Los cambios sustanciales se comunicarán por email a los usuarios activos antes de su entrada en vigor.
Para más información, consulta también el Aviso Legal, la Política de Cookies y las Condiciones de Contratación.