Volver al inicio

Política de Privacidad

Versión 1.0 · Última actualización: 2026-05-12

Cumpliendo con el Reglamento (UE) 2016/679 (RGPD), la LOPDGDD 3/2018 y la LSSI-CE, a continuación se detalla cómo Civiax trata tus datos personales.

1. Responsable del tratamiento

  • Razón social: [POR COMPLETAR]
  • CIF / NIF: [POR COMPLETAR]
  • Dirección postal: [POR COMPLETAR]
  • Email de contacto: legal@civiax.es
  • Delegado de Protección de Datos (DPO): dpo@civiax.es

2. Datos que tratamos

2.1 De cuenta

  • Email, nombre, contraseña (almacenada hasheada con bcrypt).
  • Organización a la que perteneces y rol dentro de ella.
  • Direcciones IP y user agent (para auditoría de seguridad).

2.2 De contenido (los conectas tú voluntariamente)

  • Documentos subidos manualmente.
  • Contenido sincronizado desde Google Drive, Gmail, Microsoft 365 o Dropbox (tokens OAuth almacenados cifrados con AES-256-GCM).
  • Conversaciones de chat con la IA y feedback explícito (thumbs up/down).
  • Archivos generados (PDF, Excel, etc.) creados por la IA bajo tu petición.

2.3 De uso

  • Logs de actividad (qué páginas visitas, qué endpoints llamas) anonimizados a los 90 días.
  • Métricas de consumo IA (tokens, llamadas, latencias) para facturación y operación.

3. Finalidades y base legal

FinalidadBase legal RGPD
Prestación del Servicio contratadoArt. 6.1.b — Ejecución de contrato
FacturaciónArt. 6.1.b + obligación fiscal
Atención al clienteArt. 6.1.b
Marketing propio (newsletters)Art. 6.1.a — Consentimiento (puedes revocarlo)
Auditoría y seguridadArt. 6.1.f — Interés legítimo
Cumplimiento legalArt. 6.1.c

4. ¿Quién accede a tus datos? — Encargados del tratamiento

Tus datos pueden ser procesados por los siguientes proveedores en calidad de encargados:

  • Vercel Inc. (USA) — Hosting de la aplicación. Cláusulas tipo + DPF.
  • Supabase Inc. (USA) — Base de datos y almacenamiento. Cláusulas tipo.
  • Anthropic PBC (USA) — Modelos LLM (Claude). No reentrena con tus datos. DPA disponible.
  • Google LLC (USA) — Modelos Gemini + OAuth Drive/Gmail. Cláusulas tipo + DPF.
  • OpenAI Inc. (USA) — Transcripción Whisper opcional. No reentrena con datos API.
  • Voyage AI (USA) — Embeddings semánticos.
  • Cohere Inc. (Canadá) — Cross-encoder rerank opcional.
  • Stripe Inc. (USA / Irlanda) — Procesamiento de pagos (cuando aplique).
  • Resend (USA) — Envío de emails transaccionales.
  • Sentry (USA) — Monitorización de errores.

Para los proveedores en Estados Unidos, las transferencias se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (2021/914) y, cuando aplique, el Data Privacy Framework UE-EEUU. El DPA de cada proveedor está disponible bajo petición.

5. Tiempo de conservación

  • Datos de cuenta: mientras tu suscripción esté activa.
  • Contenido (docs, chats): mientras tu cuenta esté activa + 30 días tras la cancelación (periodo de gracia para exportar).
  • Datos de facturación: 6 años (obligación fiscal).
  • Logs de auditoría: 12 meses; las direcciones IP se anonimizan a los 90 días.

6. Tus derechos

Puedes ejercer en cualquier momento los siguientes derechos:

  • Acceso — saber qué datos tenemos sobre ti.
  • Rectificación — corregir datos inexactos.
  • Supresión — borrar tu cuenta y todos tus datos.
  • Portabilidad — exportar tus datos en formato máquina (JSON).
  • Oposición — oponerte a tratamientos basados en interés legítimo.
  • Limitación — restringir el tratamiento mientras se verifica una solicitud.
  • Revocar el consentimiento — sin que afecte a la legalidad previa.

Para ejercer estos derechos puedes:

  • Usar las herramientas autoservicio en /settings/account (exportar / borrar).
  • Enviar un email a privacidad@civiax.es adjuntando copia del DNI/NIE.

Tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos(www.aepd.es) si consideras que tus derechos no se han atendido correctamente.

7. Seguridad técnica

  • Cifrado HTTPS/TLS 1.3 en todas las comunicaciones.
  • Cifrado en reposo (AES-256) en base de datos y almacenamiento.
  • Tokens OAuth de proveedores almacenados con cifrado AES-256-GCM con clave KMS.
  • Aislamiento multi-tenant por Row Level Security (RLS) en Postgres.
  • Auditoría completa de accesos a documentos sensibles.
  • Backups diarios cifrados con retención 30 días.
  • Posibilidad de activar enmascaramiento PII (DNI, IBAN, teléfono) a nivel organización.
  • SSO + SAML disponible en planes Corporate.

8. Menores

El Servicio no está dirigido a menores de 18 años. No recopilamos conscientemente datos de menores. Si detectas que un menor ha creado una cuenta, contacta con nosotros para eliminarla.

9. Cambios en esta política

Los cambios sustanciales se notificarán por email y banner en la aplicación con al menos 15 días de antelación. Las versiones previas se archivan en nuestro registro de tratamientos.

Documento base. Revisión profesional pendiente. Si vendes a clientes empresariales en sectores regulados, recomienda firmar un DPA específico con condiciones detalladas.