Política de Privacidad
Tratamiento de datos personales conforme al RGPD y la LOPDGDD. Derechos del interesado y procedimiento de ejercicio.
Resumen ejecutivo
- Doble rol: Responsable de datos de cuenta + Encargado de datos del cliente
- 3 categorías de datos: cuenta, uso del producto, datos del cliente
- Bases legales art. 6: consentimiento, contrato, interés legítimo, obligación legal
- No tomamos decisiones automatizadas con efectos jurídicos (approval queue obligatoria)
- No entrenamos modelos con tus datos · proveedores LLM con opt-out activado
- Derechos RGPD arts. 15-22 ejercitables en privacidad@aiginer.com
Esta Política de Privacidad describe cómo AIGiner S.L. (en adelante, "AIGiner", "nosotros") trata los datos personales en relación con el sitio web shara.aiginer.com y el servicio SHARA, en cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Aviso de constitución: AIGiner S.L. es una sociedad cuya inscripción registral está pendiente. Los datos registrales (CIF, tomo, folio) se actualizarán antes de la entrada en disponibilidad general (GA) del producto. Las obligaciones de protección de datos se aplican desde ya con plena efectividad bajo la persona física promotora hasta la inscripción.
1. Doble rol: Responsable y Encargado
En SHARA actuamos en dos roles diferenciados respecto del RGPD, separados con precisión técnica y contractual:
- Responsable del tratamiento respecto de los datos de cuenta del cliente y los datos generados por el uso del propio servicio (logs operativos, métricas STU, facturación, soporte). Esto se rige por la presente Política.
- Encargado del tratamiento (art. 28 RGPD) respecto de los datos personales que nuestros clientes (Responsables) alojan en SHARA y que tratamos por cuenta suya cuando los agentes IA ejecutan sus tareas. Estas actuaciones se rigen por el Acuerdo de Encargado de Tratamiento (DPA) (/dpa) que el Cliente acepta al contratar el servicio.
- En esta política nos centramos en el rol de Responsable. Los datos que tratamos como Encargado se rigen por el DPA y están sujetos a las instrucciones documentadas del Cliente.
2. Responsable del tratamiento
- Responsable: AIGiner S.L.
- Domicilio: Gran Via de Carles III, 98, 08028 Barcelona, España
- Email general: soporte@aiginer.com
- Privacidad: privacidad@aiginer.com
- Delegado de Protección de Datos (DPO): dpo@aiginer.com
3. Glosario rápido
- Responsable del tratamiento: Quien decide el "para qué" y el "cómo" del tratamiento. SHARA es Responsable de los datos de cuenta y operativos.
- Encargado del tratamiento: Quien trata datos por cuenta de un Responsable. SHARA es Encargado de los datos del cliente que procesa cuando los agentes ejecutan tareas.
- Subencargado: Tercero al que el Encargado delega parte del tratamiento (proveedores LLM bajo NDA, Supabase, Stripe...). Listado en /sub-encargados.
- Datos del cliente: Información que el Cliente conecta o sube a SHARA (correos, contactos CRM, facturas, documentos RRHH, etc.). El Cliente es Responsable y SHARA Encargado.
- STU: "SHARA Token Units": unidad interna de medida del consumo de cómputo de modelos.
- agent_run: Cada ejecución individual de un agente: queda registrada con run-id, agente, modelo alias, prompt-hash, tokens y latencia.
- IDENTITY.md: Fichero de contexto por agente que aprende preferencias del Cliente. Se actualiza con PATCH (nunca REPLACE) y queda en audit_logs.
- Approval queue: Cola de acciones críticas (envío de email externo, pagos, decisiones RRHH) que requieren aprobación humana antes de ejecutarse.
4. Datos personales que tratamos
4.1 Datos de cuenta y contacto
| Categoría | Ejemplos |
|---|---|
| Identificación | Nombre, apellidos, cargo, idioma preferido |
| Contacto profesional | Email corporativo, teléfono opcional, nombre de la empresa, sector |
| Facturación | Razón social, CIF/NIF, dirección fiscal, datos bancarios o de tarjeta tokenizados por Stripe (no almacenamos PAN) |
| Autenticación | Credenciales hasheadas con bcrypt + factor MFA TOTP, tokens de sesión, fingerprint del dispositivo |
4.2 Datos de uso del producto
| Categoría | Ejemplos |
|---|---|
| Logs técnicos | Direcciones IP, identificador de petición, user agent, timestamps, códigos HTTP |
| Métricas STU | Consumo de SHARA Token Units por agente, run-id, modelo alias, latencia, modo (normal/low-spending) |
| Trazas de auditoría | Intervenciones de Amadeus, kill-switches activados, aprobaciones humanas en la cola de approval, accesos administrativos |
4.3 Datos del cliente (tratados como Encargado)
Cuando un agente IA de SHARA procesa correos, contactos del CRM, facturas, documentos de RRHH u otros datos que el Cliente conecta al producto, actuamos como Encargado de tratamiento. El Responsable (Cliente) determina el contenido, la finalidad y la duración de ese tratamiento; nosotros lo realizamos siguiendo sus instrucciones documentadas y las obligaciones del DPA (/dpa). Estos datos no se utilizan para fines propios ni para entrenar modelos.
5. Tabla matriz de tratamientos
Este cuadro consolida en una vista las categorías de datos que tratamos como Responsable, las finalidades, las bases legales del art. 6 RGPD, los plazos de conservación y la fuente de los datos.
| Categoría | Finalidad | Base legal (art. 6) | Conservación | Origen |
|---|---|---|---|---|
| Cuenta y contacto | Crear, gestionar y cerrar la cuenta del Cliente | Ejecución de contrato (art. 6.1.b) | Vigencia + 5 años (prescripción mercantil) | Aportados por el Cliente al alta |
| Uso del producto | Prestar el Servicio, soporte técnico y diagnóstico | Ejecución de contrato (art. 6.1.b) | Vigencia + 30 días para devolución | Generados durante el uso |
| Contacto y demos | Atender solicitudes precontractuales y agendar demos | Consentimiento (art. 6.1.a) e interés legítimo precontractual (art. 6.1.f) | 12 meses si no convierte | Formularios web |
| Facturación | Emitir factura y cumplir obligaciones contables y fiscales | Obligación legal (art. 6.1.c) | Mín. 6 años (Código de Comercio, LGT) | Aportados por el Cliente |
| Seguridad y abuso | Prevenir fraude, abuso del Servicio, ataques | Interés legítimo (art. 6.1.f) | Logs operativos: 90 días | Generados por la infraestructura |
| Mejora del producto | Métricas agregadas anonimizadas (rendimiento, errores) | Interés legítimo (art. 6.1.f) | 24 meses anonimizados | Logs internos agregados |
| Comunicaciones comerciales | Información sobre productos similares | Interés legítimo (art. 21 LSSI), derecho de oposición | Hasta oposición / baja | Cuenta del Cliente |
| Newsletter y marketing | Newsletter, eventos, contenido educativo | Consentimiento (art. 6.1.a) | Hasta retirada del consentimiento | Suscripción voluntaria |
| Auditoría legal | Registro de aprobaciones, IDENTITY.md, agent_runs | Obligación legal (art. 6.1.c) e interés legítimo (art. 6.1.f) | 365 días (audit_logs) | Operación del Servicio |
6. Datos especiales y datos de menores
6.1 Datos especiales (art. 9 RGPD)
SHARA no está diseñado para tratar categorías especiales de datos (origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud, vida sexual u orientación sexual). Recomendamos expresamente al Cliente no conectar fuentes que contengan datos especiales sin haber realizado una DPIA y haber pactado por escrito con AIGiner las salvaguardas adicionales (cifrado reforzado, restricción de subprocesadores, compromiso explícito del Cliente de cumplir el art. 9.2). El uso por defecto del Servicio supone la garantía del Cliente de que no aporta este tipo de datos.
6.2 Menores (art. 8 RGPD)
SHARA es un servicio dirigido exclusivamente a profesionales y empresas. No tratamos datos de menores de 16 años de manera consciente, ni hacemos targeting publicitario o de cualquier tipo a menores. El Sitio Web y el producto no son accesibles a este colectivo como destinatarios. Si detectamos que un menor ha facilitado datos sin la base legal adecuada (autorización de los titulares de la patria potestad o tutela), los eliminaremos sin demora. Cualquier sospecha puede comunicarse a privacidad@aiginer.com.
7. Destinatarios y subprocesadores
Para prestar el Servicio recurrimos a proveedores terceros que actúan como sub-encargados de tratamiento. La lista actualizada está publicada en /sub-encargados e incluye, entre otros, proveedores de infraestructura (Contabo, Cloudflare), base de datos (Supabase), pagos (Stripe) y proveedores de modelos de lenguaje (terceros bajo licencia, identidad protegida por NDA). Notificamos cualquier nueva incorporación con un preaviso de 30 días para permitir su revisión y, en su caso, oposición motivada del Responsable.
Adicionalmente, podremos comunicar datos cuando exista una obligación legal (autoridades fiscales, judiciales, AEPD) o sea estrictamente necesario para defender derechos en sede judicial.
8. Transferencias internacionales
Algunos sub-encargados (notablemente los proveedores de modelos de lenguaje, terceros bajo licencia con identidad protegida por NDA) están ubicados en Estados Unidos. Estas transferencias se realizan al amparo de:
- Las Cláusulas Contractuales Tipo (SCC) adoptadas por la Comisión Europea (Decisión 2021/914), incluidas en los DPAs firmados con cada proveedor (art. 46.2.c RGPD).
- El marco EU-U.S. Data Privacy Framework (DPF) cuando el proveedor está certificado (art. 45 RGPD).
- Medidas suplementarias técnicas: minimización del payload enviado al modelo, opt-out activado de uso para entrenamiento y trazabilidad por petición.
- La infraestructura principal (base de datos, hosting de aplicación) está ubicada en la Unión Europea (Frankfurt y Alemania), por lo que el dato permanece en territorio UE durante la mayor parte de su ciclo de vida.
9. Decisiones automatizadas y derecho de oposición
SHARA usa modelos de lenguaje grandes (LLM) para asistir al Cliente en la ejecución de tareas administrativas. No tomamos decisiones exclusivamente automatizadas que produzcan efectos jurídicos sobre el interesado (art. 22 RGPD): toda acción crítica (envío de correos externos, ejecución de pagos, contratación o despido, comunicación pública en nombre del Cliente, etc.) se encola en una approval queue que requiere aprobación humana antes de ejecutarse. El Cliente configura qué acciones requieren aprobación según su política interna.
Derecho de oposición (art. 21 RGPD): cuando el tratamiento se basa en interés legítimo (por ejemplo, métricas agregadas anonimizadas para mejora del producto o comunicaciones comerciales sobre productos similares), el interesado tiene derecho a oponerse en cualquier momento por motivos relacionados con su situación particular. Si la oposición es fundada, cesaremos el tratamiento salvo que acreditemos motivos imperiosos legítimos que prevalezcan o sean necesarios para el ejercicio de derechos en procedimientos judiciales. La oposición a comunicaciones comerciales es siempre incondicional y se atiende inmediatamente.
Más detalle sobre nuestra política de IA, mitigación de sesgos y EU AI Act en Política de Uso de IA (/politica-ia).
10. Derechos del interesado
Conforme a los artículos 15 a 22 del RGPD, puedes ejercer en cualquier momento los siguientes derechos:
- Acceso (art. 15) a los datos personales que tratamos sobre ti.
- Rectificación (art. 16) de los datos inexactos o incompletos.
- Supresión (art. 17) ("derecho al olvido") cuando los datos ya no sean necesarios.
- Oposición (art. 21) al tratamiento basado en interés legítimo o marketing.
- Limitación (art. 18) del tratamiento en los supuestos del precepto.
- Portabilidad (art. 20): recibir los datos en formato estructurado, de uso común y lectura mecánica (JSON / CSV).
- Retirada del consentimiento (art. 7.3) en cualquier momento, sin efectos retroactivos.
- No ser objeto de decisiones automatizadas (art. 22) con efectos jurídicos significativos.
11. Procedimiento de ejercicio de derechos
Si los datos los aporta el Cliente como Responsable y el ejercicio se refiere a un interesado del Cliente, redirigiremos la solicitud al Responsable correspondiente y le asistiremos según el DPA en un plazo máximo de 5 días hábiles.
- Envío de la solicitud a privacidad@aiginer.com o al DPO en dpo@aiginer.com, indicando claramente el derecho ejercido.
- Identificación: adjunta documento que permita verificar tu identidad (DNI/NIE redactado parcialmente o equivalente). Si la solicitud llega desde la cuenta verificada del servicio, podemos prescindir del documento.
- Plazo de respuesta: resolveremos en el plazo máximo de un mes desde la recepción (art. 12.3 RGPD).
- Ampliación motivada: en supuestos complejos o de alto volumen podemos ampliar el plazo por dos meses adicionales (60 días extra), notificándote la ampliación en el primer mes con las razones.
- Reclamación ante la AEPD: si no estás conforme con la respuesta, puedes presentar reclamación ante la Agencia Española de Protección de Datos en www.aepd.es. La reclamación es gratuita.
12. Cookies y medidas de seguridad
El uso de cookies en el sitio web informativo se rige por la Política de Cookies (/cookies), donde encontrarás el detalle por cookie (origen, finalidad, duración, tipo). Puedes modificar tus preferencias en cualquier momento desde el Gestor de Cookies. Las cookies estrictamente técnicas no se desactivan porque son necesarias para el funcionamiento del sitio.
Aplicamos las medidas técnicas y organizativas apropiadas exigidas por el art. 32 RGPD para garantizar un nivel de seguridad adecuado al riesgo. Entre otras: cifrado en tránsito (TLS 1.3), cifrado en reposo con AES-256-GCM envelope encryption, aislamiento multi-tenant mediante Row-Level Security (RLS) en Postgres con doble capa tenantContext, autenticación multi-factor (MFA TOTP) obligatoria para administradores, registro de auditoría append-only, suite de red-teaming anti-prompt-injection con cobertura OWASP LLM Top 10 (≥95% neutralizado como gate de release), kill-switches de gasto (5 €/run, 50 €/hora, 400 €/día), revisión de accesos y formación periódica del equipo. Detalle adicional en el Anexo III del DPA (/dpa).
13. Brechas de seguridad
Notificación en plazo art. 33-34 RGPD: En caso de brecha de seguridad que afecte a datos personales aplicamos un protocolo escalado conforme a los arts. 33 y 34 del RGPD.
- Notificación a la AEPD (art. 33): en un plazo máximo de 72 horas desde la detección, salvo que la brecha no entrañe riesgo para los derechos y libertades de los interesados.
- Notificación al interesado (art. 34): sin dilación indebida cuando la brecha entrañe alto riesgo para sus derechos y libertades, con un lenguaje claro y sencillo y la información mínima exigida (naturaleza de la brecha, contacto del DPO, consecuencias probables y medidas adoptadas).
- Asistencia al Responsable Cliente: si la brecha afecta a datos tratados como Encargado, notificaremos al Cliente sin demora indebida y le proporcionaremos toda la información razonablemente disponible para que cumpla con sus obligaciones art. 33-34, conforme al DPA (/dpa).
14. Cambios en esta política
Esta política puede actualizarse para reflejar cambios legales, técnicos u operativos. Los cambios materiales se notificarán por email a la cuenta del Cliente con un preaviso mínimo de 30 días. La fecha de la última revisión y el historial de versiones figuran al pie del documento.