Política de Privacidad

Última actualización: 29 de abril de 2026

Versión: 1.0

0. Resumen ejecutivo (TL;DR)

Aspecto	Detalle
Quién recoge tus datos	Xavier Julià Giménez (NIF 77114546P), titular de RespondeYA
Qué recogemos	Datos de contacto, datos de facturación, conversaciones del chat
Para qué	Prestar el servicio, facturar, atención al cliente, mejora del producto
Base legal	Ejecución contractual + interés legítimo + consentimiento
Cuánto tiempo	Mientras eres cliente + plazos legales (5-10 años fiscales)
Con quién compartimos	Stripe, OpenAI, Supabase, Resend (sub-encargados)
Tus derechos	Acceso, rectificación, supresión, portabilidad, oposición, limitación
Cómo ejercerlos	Email a privacidad@respondeya.es

Este resumen NO sustituye al texto completo. Léelo para conocer todos los detalles.

1. Responsable del tratamiento

Identidad: Xavier Julià Giménez
NIF: 77114546P
Régimen: Trabajador autónomo (persona física)
Dirección postal: C. Sant Tomàs, 10, 08730 Santa Margarida i els Monjos, Barcelona, España
Email: privacidad@respondeya.es
Email general: hola@respondeya.es
Teléfono: +34 686 37 36 15
Delegado de Protección de Datos (DPD): No designado (no obligatorio según art. 37 RGPD)

2. ¿Qué datos personales tratamos?

2.1 Datos del Cliente (empresa o profesional que contrata RespondeYA)

Categoría	Datos concretos	Origen
Identificativos	Nombre, apellidos, NIF/CIF, razón social	Formulario contratación
Contacto	Email, teléfono, dirección postal	Formulario contratación
Facturación	Razón social, NIF, dirección fiscal	Formulario contratación
Pago	Últimos 4 dígitos tarjeta, marca de la tarjeta	Stripe (NO almacenamos PAN completo)
Cuenta	Email de portal, contraseñas hasheadas, tokens de sesión	Registro
Uso	Logs de acceso, IP, navegador, fechas de actividad	Generados automáticamente
Conversaciones internas	Comunicaciones con soporte	Email/chat soporte

2.2 Datos de los visitantes del sitio web del Cliente (usuarios finales que chatean con el agente)

⚠️ Importante: cuando un cliente integra nuestro widget en su web, los visitantes que chatean con el agente generan datos personales. En este caso, el Cliente actúa como Responsable y RespondeYA actúa como Encargado del Tratamiento (Art. 28 RGPD). El acuerdo de encargo está formalizado en el documento DPA disponible en este sitio.

Datos tratados de los visitantes finales:

Categoría	Datos concretos
Conversación	Mensajes intercambiados con el agente, idioma, sesión
Identificación opcional	Nombre, email, teléfono que el visitante pueda compartir voluntariamente
Técnicos	IP del visitante, fingerprint del navegador, fecha/hora
Captura de leads	Si el visitante deja datos de contacto al agente, se almacenan como lead

El Cliente debe informar a sus visitantes del tratamiento mediante su propia política de privacidad y banner de cookies. RespondeYA proporciona herramientas, pero la responsabilidad informativa frente al visitante es del Cliente.

2.3 Datos de navegación general en respondeya.es

Categoría	Datos concretos
Técnicos	IP, navegador, sistema operativo, idioma
Navegación	Páginas visitadas, tiempo en página, fuente de tráfico
Cookies	Ver Política de Cookies separada

3. Finalidades del tratamiento

3.1 Para el Cliente

Prestación del servicio contratado (gestionar tu cuenta, configurar tu agente, soporte técnico)
Facturación y cobros (Stripe, contabilidad, fiscalidad)
Comunicaciones operativas (emails de servicio, notificaciones de estado, magic links)
Atención al cliente (responder consultas, resolver incidencias)
Mejora del producto (análisis agregado y anónimo de uso)
Cumplimiento de obligaciones legales (fiscalidad, prevención fraude)
Marketing directo (solo con tu consentimiento, ofertas relacionadas con el servicio)

3.2 Para los visitantes del sitio del Cliente

Procesar la conversación (enviar tu mensaje al modelo IA, devolverte respuesta)
Capturar leads (si voluntariamente facilitas datos de contacto)
Mejorar el agente del Cliente (el Cliente puede revisar conversaciones para entrenar mejor su agente)
Seguridad y prevención de abusos (rate limiting, detección de spam)

⚠️ NO entrenamos modelos de IA con tus conversaciones. OpenAI, nuestro proveedor de modelos, tampoco lo hace en su API empresarial (según su política).

4. Base legal

Tratamiento	Base legal RGPD
Prestación del servicio al Cliente	Art. 6.1.b — Ejecución contractual
Facturación	Art. 6.1.b — Ejecución + Art. 6.1.c — Obligación legal (fiscal)
Comunicaciones operativas	Art. 6.1.b — Ejecución contractual
Marketing al Cliente actual	Art. 6.1.f — Interés legítimo (productos similares, derecho de oposición)
Marketing a leads	Art. 6.1.a — Consentimiento expreso
Conversaciones del visitante	Art. 6.1.f — Interés legítimo del Cliente / lo establecido en el DPA
Cookies analíticas	Art. 6.1.a — Consentimiento (banner)
Logs de seguridad	Art. 6.1.f — Interés legítimo (proteger el servicio)

5. Plazos de conservación

Categoría	Plazo
Datos de cliente activo	Mientras dure la relación contractual
Datos tras baja del cliente	5 años (responsabilidad civil) o 10 años (obligaciones contables)
Conversaciones del agente	Mientras el cliente sea cliente (con derecho a exportación al darse de baja)
Logs técnicos	12 meses
Datos de facturación	6 años (Art. 30 Código de Comercio) o 4-10 años (legislación fiscal)
Cookies	Según se indique en la Política de Cookies
Marketing (consentimiento)	Hasta retirada del consentimiento
Datos para defensa de reclamaciones	Plazos de prescripción de las acciones legales

Tras los plazos indicados, los datos se eliminan o anonimizan irreversiblemente.

6. Destinatarios y transferencias internacionales

6.1 Subencargados del tratamiento

Compartimos datos con los siguientes proveedores estrictamente para prestar el servicio. Todos ellos están vinculados por contratos de tratamiento de datos:

Proveedor	Finalidad	Localización	Mecanismo legal
Stripe Payments Europe Ltd.	Procesamiento de pagos	Irlanda (UE) + EEUU	Cláusulas contractuales tipo (CCT) UE
OpenAI Ireland Ltd.	Modelo de IA generativa	Irlanda (UE) + EEUU	CCT UE + DPA de OpenAI
Supabase Inc.	Base de datos	EEUU (servidores en UE — eu-west-1)	CCT UE + DPA
Resend	Envío de emails	EEUU	CCT UE
Render Inc.	Hosting backend	EEUU (servidores en Frankfurt, Alemania)	CCT UE
Vercel Inc.	Hosting frontend (panel.respondeya.es)	EEUU + CDN global	CCT UE
Cloudflare Inc.	CDN y protección DDoS	EEUU + UE	CCT UE
Make.com (Celonis)	Automatizaciones internas	República Checa (UE)	DPA UE
Base44	Apps internas administrativas	EEUU	CCT UE
Nominalia (Dada SpA)	Email empresarial y DNS	Italia (UE)	DPA UE

6.2 Transferencias internacionales fuera de la UE

Algunas transferencias se realizan a EEUU. Las garantías son:

Cláusulas Contractuales Tipo aprobadas por la Comisión Europea
Data Privacy Framework EU-US (cuando aplique al proveedor)
DPAs específicos firmados con cada subencargado
Medidas técnicas suplementarias: cifrado en tránsito (TLS 1.2+) y en reposo (AES-256)

Puedes solicitar copia de las CCT contactando con privacidad@respondeya.es.

6.3 Comunicaciones a autoridades

Solo cuando sea exigido por mandato judicial o requerimiento legal de autoridades competentes (AEAT, AEPD, Cuerpos y Fuerzas de Seguridad).

6.4 No vendemos datos

No vendemos, alquilamos ni cedemos tus datos personales a terceros con fines comerciales.

7. Tus derechos

Como interesado, tienes derecho a:

Acceso (Art. 15) — saber qué datos tenemos sobre ti
Rectificación (Art. 16) — corregir datos inexactos
Supresión / "derecho al olvido" (Art. 17) — borrar tus datos
Limitación del tratamiento (Art. 18) — congelar el uso de tus datos
Portabilidad (Art. 20) — recibir tus datos en formato estructurado
Oposición (Art. 21) — oponerte a tratamientos basados en interés legítimo
No ser objeto de decisiones automatizadas (Art. 22) — incluyendo perfilado
Retirar consentimiento — en cualquier momento, sin efecto retroactivo

Cómo ejercerlos

Email: privacidad@respondeya.es
Asunto: "Ejercicio de derechos RGPD — [tipo de derecho]"
Datos requeridos: copia de tu DNI/NIE para verificar tu identidad
Plazo de respuesta: 30 días naturales (ampliables a 60 si el caso es complejo, te lo comunicaremos)
Coste: gratuito, salvo solicitudes manifiestamente infundadas o excesivas

Reclamación ante autoridad de control

Si consideras que tus derechos no han sido atendidos correctamente, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD):

Web: https://www.aepd.es
Sede electrónica: https://sedeagpd.gob.es

Si te encuentras en Cataluña, alternativamente puedes acudir a la Autoritat Catalana de Protecció de Dades (APDCAT): https://apdcat.gencat.cat

8. Decisiones automatizadas y elaboración de perfiles

El servicio RespondeYA utiliza inteligencia artificial generativa para producir respuestas a las consultas de los visitantes. Sin embargo:

NO se realiza perfilado de visitantes con efectos jurídicos
NO se toman decisiones automatizadas que produzcan efectos legales o significativos sobre los visitantes
Las respuestas del agente son conversacionales informativas, no decisorias

Si en el futuro implementáramos perfilado o decisiones automatizadas, se informaría expresamente y se solicitaría consentimiento conforme al Art. 22 RGPD.

9. Medidas de seguridad

Aplicamos medidas técnicas y organizativas apropiadas para proteger los datos personales contra:

Pérdida o destrucción accidental
Acceso no autorizado
Alteración o difusión no autorizada
Pérdida de confidencialidad

Algunas medidas concretas:

Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256)
Autenticación con tokens criptográficos (no contraseñas planas)
Magic links de un solo uso
Rate limiting contra ataques automatizados
Auditoría de accesos administrativos
Backups cifrados
Auditoría externa periódica de seguridad

10. Notificación de brechas

En caso de brecha de seguridad que afecte a tus datos personales:

Si hay riesgo para tus derechos: te notificaremos en un plazo razonable
Si hay riesgo alto: te notificaremos sin dilación indebida
En todo caso, notificaremos a la AEPD en 72 horas desde que tengamos conocimiento (Art. 33 RGPD)

11. Menores de edad

El servicio RespondeYA NO está dirigido a menores de 14 años. Si detectamos que hemos recogido datos de menores sin consentimiento parental verificable, los eliminaremos inmediatamente.

Si eres tutor legal y crees que un menor a tu cargo ha proporcionado datos sin tu consentimiento, contacta con privacidad@respondeya.es.

12. Modificaciones

Podemos modificar esta Política. Las modificaciones sustanciales se notificarán por email (a clientes) y mediante aviso visible en respondeya.es (al menos 15 días antes de su entrada en vigor).

La versión vigente y su fecha de actualización aparece al inicio de este documento.

ANEXO 1 — Información específica para visitantes del Cliente (cuando RespondeYA es Encargado)

Cuando interactúas con un widget RespondeYA en la web de uno de nuestros Clientes:

El Responsable del tratamiento es el Cliente (la empresa cuya web visitas)
RespondeYA actúa solo como Encargado siguiendo las instrucciones del Cliente
Las preguntas sobre tus datos debes dirigirlas al Responsable (la empresa cuya web visitas)
Si necesitas contactar con RespondeYA por aspectos técnicos, escribe a privacidad@respondeya.es

Contacto

Email general: hola@respondeya.es
Privacidad: privacidad@respondeya.es
Dirección postal: C. Sant Tomàs, 10, 08730 Santa Margarida i els Monjos, Barcelona

Documento generado el 29 de abril de 2026 — versión 1.0