Documento legal
Política de Privacidad
RobinH — Asistente Fiscal con Inteligencia Artificial. Cómo tratamos y protegemos sus datos personales, conforme al RGPD y la LOPDGDD.
01Información del responsable del tratamiento
- Identidad
- TQ UPO TECHNOLOGY SL
- Forma jurídica
- Sociedad Limitada
- NIF/CIF
- B56598873
- Domicilio
- Calle Campoamor 18, 2C, 28004 Madrid, España
- Correo
- soporte@upotechnology.es
En adelante, «el Responsable», «nosotros» o «nuestro».
02Ámbito de aplicación
Esta Política de Privacidad es aplicable al tratamiento de datos personales realizado a través de robinh.ai (aplicación principal) y upo.robinh.ai (sitio informativo). Debe leerse conjuntamente con los Términos y Condiciones del Servicio y la Política de Cookies. Para la web corporativa upotechnology.es, consulte su Aviso Legal y Política de Privacidad específicos.
03Finalidades, bases jurídicas y plazos de conservación
3.1. Gestión de cuentas de usuario
Datos tratados
Nombre de usuario, correo electrónico, contraseña (almacenada mediante algoritmos de hash seguros, nunca en texto plano) y datos de perfil de Google si utiliza inicio de sesión social (nombre, email, foto).
Finalidad
Crear y gestionar su cuenta, permitir el acceso al Servicio, la autenticación y la verificación de su identidad.
Base jurídica
Art. 6.1.b) RGPD: ejecución de un contrato en el que el interesado es parte.
Plazo de conservación
Mientras su cuenta permanezca activa. Tras la baja, se mantienen bloqueados 6 meses adicionales para la atención de responsabilidades, salvo obligación legal de conservación (datos de facturación).
3.2. Gestión de cuentas inactivas
Se considera inactiva la cuenta sin actividad durante 3 años consecutivos. A los 2 años y 9 meses le avisaremos por correo; si no hay actividad en los 3 meses siguientes, procederemos al borrado (excepto datos de facturación). Puede reactivarla accediendo al servicio durante el periodo de aviso. Base: interés legítimo.
3.3. Prestación del servicio de consultas tributarias
Datos tratados
Texto de sus consultas, documentos adjuntos que decida subir (PDF, Word/DOCX e imágenes), respuestas generadas, historial de conversaciones y fragmentos de documentos jurídicos públicos relacionados.
Finalidad
Proporcionar respuestas personalizadas mediante un sistema de IA que consulta nuestra base de datos jurídica y genera respuestas contextualizadas.
Base jurídica
Art. 6.1.b) RGPD: ejecución del contrato de prestación de servicios.
Plazo de conservación
Mientras su cuenta esté activa; tras la baja, 6 meses adicionales para reclamaciones, tras lo cual se eliminan.
3.4. Categorías especiales de datos (datos sensibles)
Algunas consultas tributarias pueden contener, de forma voluntaria, categorías especiales de datos (art. 9 RGPD): datos de salud (deducciones médicas, discapacidad), afiliación sindical (cuotas deducibles), creencias religiosas (asignación tributaria) u otros. Base: art. 9.2.a) RGPD — consentimiento explícito, que se obtiene durante la creación de su cuenta.
⚠ Advertencia importante
Le recomendamos encarecidamente que no incluya datos personales innecesarios en sus consultas. Procure formular sus preguntas de la manera más genérica posible, evitando información sensible que no sea estrictamente necesaria. Puede revocar su consentimiento en cualquier momento en soporte@upotechnology.es.
3.5. Uso de inteligencia artificial — transparencia
Nuestro servicio utiliza sistemas de IA basados en modelos de lenguaje (Art. 13 y 52 del AI Act). Sus preguntas se procesan mediante búsqueda semántica que localiza fragmentos relevantes en nuestra base de datos jurídica (de acceso público); esos fragmentos, junto con su pregunta, se envían a los modelos de nuestros proveedores, que generan una respuesta contextualizada.
Proveedores de IA utilizados
| Proveedor | Ubicación | Función |
|---|---|---|
| Anthropic, PBC | Estados Unidos | Modelos de IA y/o búsqueda para la prestación del Servicio (generación de respuestas y funciones asociadas) |
| OpenAI, Inc. | Estados Unidos | Modelos de IA y/o búsqueda para la prestación del Servicio (generación de respuestas y funciones asociadas) |
| Google LLC | EE. UU. / UE | Modelos de IA y/o búsqueda para la prestación del Servicio (generación de respuestas y funciones asociadas) |
| Perplexity AI, Inc. | Estados Unidos | Modelos de IA y/o búsqueda para la prestación del Servicio (generación de respuestas y funciones asociadas) |
Qué datos se envían a los proveedores de IA
Se comunican el texto de sus consultas, los fragmentos de documentos jurídicos públicos relacionados y metadatos técnicos (identificador de sesión, idioma).
No utilizamos sus datos de cuenta (nombre de usuario y correo de registro) como identificadores ante los proveedores de IA. No obstante, si usted completa su «Perfil fiscal» o incluye datos identificativos en sus consultas o documentos (por ejemplo, nombre fiscal, NIF, correo o datos de su representante), esos datos —que usted aporta voluntariamente— se procesan por los proveedores de IA en la medida necesaria para generar la respuesta o el documento. Incluya únicamente los datos estrictamente necesarios (ver 3.4).
Uso de los datos por los proveedores
- Anthropic no utiliza los datos enviados a través de su API comercial para entrenar sus modelos, conforme a sus condiciones comerciales, y aplica plazos de retención limitados con fines de seguridad.
- OpenAI no utiliza los datos de su API de pago para entrenar sus modelos; retiene logs 30 días con fines de seguridad y prevención de abusos.
- Google Gemini no utiliza los datos de la API para entrenar modelos, conforme a sus términos empresariales.
- Perplexity trata los datos conforme a su política de privacidad y términos de servicio.
Las respuestas son generadas de forma automatizada y pueden contener errores o «alucinaciones»; no constituyen asesoramiento legal ni tienen valor vinculante.
3.6. Mejora del sistema y control de calidad
Datos tratados
Consultas realizadas, respuestas generadas y valoraciones de calidad (cuando usted las proporciona voluntariamente mediante los botones de feedback).
Finalidad y base jurídica
Analizar la calidad de las respuestas y mejorar el servicio. Art. 6.1.f) RGPD: interés legítimo. Solo se revisan manualmente las consultas con valoración negativa; los datos se tratan de forma agregada y, cuando es posible, pseudonimizada; no se usan para marketing ni perfilado comercial. Puede oponerse en cualquier momento.
Plazo de conservación
Consultas con valoración negativa revisadas: 12 meses máximo. Datos anonimizados para estadística: indefinido.
3.7. Gestión de facturación y pagos
Datos tratados
- Nombre y apellidos / razón social, NIF/CIF y dirección fiscal (solo si solicita factura).
- Correo electrónico; importe, fecha y concepto de las transacciones; historial de suscripciones.
- Saldo de créditos de uso y registro de recargas (importe, fecha y tipo de recarga).
- Referencias técnicas de pago de Stripe (identificadores de cliente y de método de pago), cuando activa la recarga automática.
Finalidad
Emisión de facturas (bajo solicitud), gestión contable y de obligaciones fiscales, gestión de suscripciones y renovaciones, gestión del saldo de créditos de uso, recargas y recarga automática (Plan de Pago por Uso y uso adicional de los planes de pago), y gestión de reclamaciones de pagos.
Base jurídica
Art. 6.1.c) RGPD (obligaciones legales: Ley 58/2003 General Tributaria art. 29; Ley 37/1992 del IVA; Código de Comercio) y art. 6.1.b) RGPD (ejecución del contrato).
Datos bancarios y de tarjeta
Los datos de pago (número de tarjeta, caducidad, CVV) no se almacenan en nuestros sistemas: los gestiona íntegramente nuestra pasarela de pagos Stripe, que actúa como encargado del tratamiento y cumple PCI-DSS. Stripe custodia y procesa su tarjeta; en nuestros sistemas conservamos únicamente referencias técnicas (identificadores de cliente y de método de pago de Stripe) que permiten procesar las renovaciones y, si usted la activa, la recarga automática de saldo, sin acceso a los datos completos de su tarjeta.
Plazo de conservación
Los datos de facturación se conservan 6 años desde la emisión de la factura (art. 29 de la Ley General Tributaria y normativa fiscal aplicable).
3.8. Comunicaciones relacionadas con el servicio
Tratamos su correo electrónico para enviarle comunicaciones esenciales: confirmación de registro y verificación, restablecimiento de contraseña, avisos de seguridad, notificaciones sobre pagos y suscripciones, avisos de cuenta inactiva, cambios sustanciales en los documentos legales, y respuestas a sus consultas. Base: art. 6.1.b) RGPD y art. 21.1 de la LSSI. Actualmente no enviamos comunicaciones comerciales ni newsletters; si en el futuro lo hiciéramos, le solicitaríamos su consentimiento expreso previo.
3.9. Analítica web y mejora de la experiencia
Tratamos su dirección IP (anonimizada cuando es posible), datos de navegación, información del dispositivo y geolocalización aproximada (país/región) para analizar el uso del sitio, detectar problemas técnicos y elaborar estadísticas agregadas. Base: interés legítimo; para cookies de analítica no esenciales, consentimiento (gestionado por el banner de cookies). Herramientas: Google Tag Manager y Google Analytics (si está configurado a través de GTM). Consulte la Política de Cookies para más detalle.
04Destinatarios de los datos
4.1. Encargados del tratamiento
Los siguientes proveedores tratan datos personales por cuenta nuestra, bajo nuestras instrucciones y contratos de encargo:
Proveedores de inteligencia artificial
| Proveedor | Ubicación | Servicios | Datos comunicados |
|---|---|---|---|
| Anthropic, PBC | EE. UU. | Modelos de IA y/o búsqueda para la prestación del Servicio | Texto de consultas, documentos adjuntos, fragmentos jurídicos |
| OpenAI, Inc. | EE. UU. | Modelos de IA y/o búsqueda para la prestación del Servicio | Texto de consultas, fragmentos jurídicos |
| Google LLC | EE. UU. / UE | Modelos de IA y/o búsqueda para la prestación del Servicio | Texto de consultas, documentos |
| Perplexity AI, Inc. | EE. UU. | Modelos de IA y/o búsqueda para la prestación del Servicio | Texto de consultas |
Proveedores de infraestructura y servicios
| Proveedor | Ubicación | Servicios | Datos comunicados |
|---|---|---|---|
| Leaseweb | UE (Países Bajos) | Hosting de los servidores del Servicio (aplicación web, backend y bases de datos) | Todos los datos almacenados y procesados en el servidor |
| Stripe, Inc. | EE. UU. | Procesamiento de pagos | Email, datos de transacción, referencias de tarjeta |
| Google LLC | EE. UU. | Google Tag Manager, Analytics | Datos de navegación, IP (anonimizada) |
Herramientas en nuestra propia infraestructura
Sobre nuestra propia infraestructura (sin transferencia a terceros externos) operan herramientas de gestión que dan soporte a las siguientes funciones:
- Gestión de suscripciones y membresías.
- Seguridad del sitio web.
- Copias de seguridad (en el propio servidor).
- Inicio de sesión con Google.
- Gestión del consentimiento de cookies.
- Integración del sitio web con el asistente y ejecución de la aplicación.
4.2. Otros destinatarios
Sus datos podrán comunicarse a autoridades públicas cuando exista obligación legal (requerimientos judiciales, inspecciones de la AEAT) y a Fuerzas y Cuerpos de Seguridad en caso de indicios de actividad delictiva. No vendemos, alquilamos ni cedemos sus datos personales a terceros con fines comerciales.
05Transferencias internacionales de datos
Algunos encargados están fuera del Espacio Económico Europeo (EEE). En esos casos aplicamos las garantías del Capítulo V del RGPD:
5.1. Transferencias a Estados Unidos
| Proveedor | Garantías aplicadas |
|---|---|
| Anthropic, PBC | Cláusulas Contractuales Tipo (CCT) de la Comisión Europea + Data Processing Addendum (DPA) |
| OpenAI, Inc. | Cláusulas Contractuales Tipo (CCT) + Data Processing Addendum (DPA) |
| Google LLC | EU-U.S. Data Privacy Framework + CCT + Cloud Data Processing Addendum |
| Perplexity AI, Inc. | Cláusulas Contractuales Tipo (CCT) + Data Processing Agreement |
| Stripe, Inc. | EU-U.S. Data Privacy Framework + CCT + Cumplimiento PCI-DSS |
5.2. Transferencias dentro del EEE
Leaseweb (Países Bajos, UE) aloja los servidores del Servicio; no requiere garantías adicionales. Todos los servidores y bases de datos del Servicio se encuentran en el EEE; las únicas transferencias fuera de la UE son las indicadas a los proveedores de IA y a Stripe.
5.3. Sus derechos respecto a transferencias
Puede obtener una copia de las Cláusulas Contractuales Tipo aplicadas y solicitar información sobre las garantías de cada transferencia en soporte@upotechnology.es.
06Plazos de conservación
| Categoría de datos | Plazo | Base legal |
|---|---|---|
| Datos de cuenta de usuario | Cuenta activa + 6 meses tras la baja | Ejecución del contrato + responsabilidades |
| Consultas y respuestas | Cuenta activa + 6 meses tras la baja | Ejecución del contrato + responsabilidades |
| Documentos adjuntos | Cuenta activa + 6 meses tras la baja | Ejecución del contrato |
| Valoraciones de calidad | 12 meses desde la valoración | Interés legítimo |
| Datos de facturación | 6 años desde la emisión | Obligación legal (LGT) |
| Cuentas inactivas | 3 años sin actividad + 3 meses de aviso | Interés legítimo |
| Logs de seguridad/accesos | 12 meses | Interés legítimo / Seguridad |
| Datos de analítica web | Según herramientas (14-26 meses) | Consentimiento / Interés legítimo |
| Consentimientos otorgados | Duración del tratamiento + 6 años (prueba) | Obligación legal |
Transcurridos estos plazos, los datos se eliminan o anonimizan de forma irreversible, salvo obligación legal de conservación adicional.
07Derechos de los usuarios
Como interesado, le asisten los siguientes derechos sobre sus datos personales:
- Acceso (art. 15): saber qué datos tratamos, con qué fines, a quién los comunicamos y durante cuánto tiempo; y obtener una copia.
- Rectificación (art. 16): corregir datos inexactos o incompletos (algunos los puede modificar desde su panel).
- Supresión — «derecho al olvido» (art. 17): eliminar sus datos cuando ya no sean necesarios, retire el consentimiento o se oponga sin motivos prevalentes. Excepciones: datos de facturación (6 años) y datos necesarios para reclamaciones.
- Oposición (art. 21): oponerse al tratamiento basado en interés legítimo (mejora del sistema, analítica).
- Limitación (art. 18): suspender el tratamiento en los supuestos previstos.
- Portabilidad (art. 20): recibir sus datos en formato estructurado (JSON, CSV) o que los transmitamos a otro responsable cuando sea técnicamente posible.
- No ser objeto de decisiones automatizadas (art. 22): nuestro sistema genera respuestas mediante IA, pero no toma decisiones automatizadas con efectos jurídicos o significativos; usted conserva siempre la libertad de decidir cómo actuar.
- Retirar el consentimiento otorgado para datos sensibles o cookies no esenciales, sin efecto retroactivo sobre el tratamiento previo.
7.2. Cómo ejercer sus derechos
Escriba a soporte@upotechnology.es indicando su nombre, el correo asociado a su cuenta, el derecho que desea ejercer y copia de su documento identificativo. Responderemos en el plazo de 1 mes (prorrogable 2 meses en solicitudes complejas). El ejercicio es gratuito, salvo solicitudes manifiestamente infundadas o excesivas.
7.3. Reclamación ante la autoridad de control
Si considera que el tratamiento vulnera la normativa, puede reclamar ante la Agencia Española de Protección de Datos (AEPD) — C/ Jorge Juan, 6, 28001 Madrid · aepd.es · sedeagpd.gob.es. Le recomendamos contactar antes con nosotros para intentar resolverlo.
08Política de menores de edad
| Plan | Edad mínima |
|---|---|
| Plan Básico (gratuito) | 14 años |
| Planes de pago (Pro, Empresa, PPU) | 18 años |
Menores de 14 años: nuestro servicio no está dirigido a ellos y no recopilamos conscientemente sus datos (art. 8 RGPD y art. 7 LOPDGDD); si tenemos conocimiento de un registro, eliminaremos la cuenta y los datos, e informaremos al correo registrado. Usuarios de 14 a 17 años: pueden usar el Plan Básico; se entiende que cuentan con el consentimiento de sus padres o tutores. Padres y tutores son responsables de supervisar el uso de internet de los menores a su cargo. Contacto: soporte@upotechnology.es.
09Medidas de seguridad
Hemos implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD).
9.1. Medidas técnicas
| Medida | Descripción |
|---|---|
| Cifrado de contraseñas | Las contraseñas se almacenan mediante algoritmos de hash seguros estándar del sector, nunca en texto plano |
| Cifrado de comunicaciones | Toda la comunicación entre su navegador y nuestros servidores se realiza mediante HTTPS con certificado SSL/TLS válido |
| Protección de las bases de datos | Las bases de datos se alojan en servidores de acceso restringido, con las comunicaciones cifradas (TLS/SSL) y el acceso limitado mediante credenciales individuales |
| Firewall | Nuestros servidores están protegidos por firewalls configurados |
| Copias de seguridad | Realizamos copias de seguridad periódicas, almacenadas de forma segura en nuestros propios servidores |
| Autenticación segura | Opción de inicio de sesión mediante Google (OAuth 2.0) |
9.2. Medidas organizativas
| Medida | Descripción |
|---|---|
| Confidencialidad | Todo el personal con acceso a datos personales está sujeto a obligaciones de confidencialidad |
| Mínimo acceso | Solo el personal estrictamente necesario tiene acceso a datos personales |
| Política de seguridad | Disponemos de protocolos internos de seguridad de la información |
| Gestión de incidentes | Procedimiento de notificación de brechas conforme al art. 33 RGPD (a la AEPD en un máximo de 72 horas) |
9.3. Notificación de vulnerabilidades
Ningún sistema es completamente invulnerable. Si detecta una vulnerabilidad, comuníquenoslo de forma responsable a soporte@upotechnology.es (asunto: «Vulnerabilidad de seguridad»). Nos comprometemos a investigar y corregir cualquier vulnerabilidad verificada.
10Política de cookies
Utilizamos cookies y tecnologías similares para el funcionamiento del sitio, la gestión de sesiones y la mejora de la experiencia. Para el detalle de las cookies, sus finalidades, duración y gestión, consulte nuestra Política de Cookies, documento separado disponible en el sitio web. Al acceder se le mostrará un banner donde podrá aceptar todas las cookies, rechazar las no esenciales o configurar sus preferencias. Las cookies estrictamente necesarias no requieren consentimiento y no pueden desactivarse.
11Modificaciones de la Política de Privacidad
Podemos modificar esta Política para adaptarla a cambios legislativos, nuevas finalidades, cambios en los encargados o mejoras en nuestras prácticas. Cambios menores o formales: se publicarán en esta página con la nueva fecha de actualización. Cambios sustanciales (nuevas finalidades, nuevos encargados, nuevas bases jurídicas o transferencias): se lo notificaremos por correo con al menos 30 días de antelación. El uso continuado tras la notificación implica la aceptación de la nueva política; si no está de acuerdo, puede cancelar su cuenta antes de que entre en vigor.
12Legislación aplicable
Esta Política se rige por la legislación española y europea de protección de datos: Reglamento (UE) 2016/679 (RGPD); Ley Orgánica 3/2018 (LOPDGDD); Ley 34/2002 (LSSI); y Reglamento (UE) 2024/1689 sobre inteligencia artificial (AI Act).
13Contacto
Para cualquier duda o solicitud sobre el tratamiento de sus datos personales, puede contactarnos. Responderemos en un plazo máximo de 1 mes.
- Correo
- soporte@upotechnology.es
- Dirección
- TQ UPO TECHNOLOGY SL, Calle Campoamor 18, 2C, 28004 Madrid, España
Su privacidad es importante para nosotros. Tratamos sus datos con transparencia y solo para prestarle el Servicio.
