Documento legal

Política de Privacidad

RobinH — Asistente Fiscal con Inteligencia Artificial. Cómo tratamos y protegemos sus datos personales, conforme al RGPD y la LOPDGDD.

Versión 2.1 Última actualización 6 de julio de 2026 Responsable: TQ UPO TECHNOLOGY SL
De conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), le informamos de cómo TQ UPO TECHNOLOGY SL trata sus datos personales al utilizar RobinH. Esta Política debe leerse junto con los Términos y Condiciones y la Política de Cookies.

01Información del responsable del tratamiento

Identidad
TQ UPO TECHNOLOGY SL
Forma jurídica
Sociedad Limitada
NIF/CIF
B56598873
Domicilio
Calle Campoamor 18, 2C, 28004 Madrid, España
Correo
soporte@upotechnology.es

En adelante, «el Responsable», «nosotros» o «nuestro».

02Ámbito de aplicación

Esta Política de Privacidad es aplicable al tratamiento de datos personales realizado a través de robinh.ai (aplicación principal) y upo.robinh.ai (sitio informativo). Debe leerse conjuntamente con los Términos y Condiciones del Servicio y la Política de Cookies. Para la web corporativa upotechnology.es, consulte su Aviso Legal y Política de Privacidad específicos.

03Finalidades, bases jurídicas y plazos de conservación

3.1. Gestión de cuentas de usuario

Datos tratados

Nombre de usuario, correo electrónico, contraseña (almacenada mediante algoritmos de hash seguros, nunca en texto plano) y datos de perfil de Google si utiliza inicio de sesión social (nombre, email, foto).

Finalidad

Crear y gestionar su cuenta, permitir el acceso al Servicio, la autenticación y la verificación de su identidad.

Base jurídica

Art. 6.1.b) RGPD: ejecución de un contrato en el que el interesado es parte.

Plazo de conservación

Mientras su cuenta permanezca activa. Tras la baja, se mantienen bloqueados 6 meses adicionales para la atención de responsabilidades, salvo obligación legal de conservación (datos de facturación).

3.2. Gestión de cuentas inactivas

Se considera inactiva la cuenta sin actividad durante 3 años consecutivos. A los 2 años y 9 meses le avisaremos por correo; si no hay actividad en los 3 meses siguientes, procederemos al borrado (excepto datos de facturación). Puede reactivarla accediendo al servicio durante el periodo de aviso. Base: interés legítimo.

3.3. Prestación del servicio de consultas tributarias

Datos tratados

Texto de sus consultas, documentos adjuntos que decida subir (PDF, Word/DOCX e imágenes), respuestas generadas, historial de conversaciones y fragmentos de documentos jurídicos públicos relacionados.

Finalidad

Proporcionar respuestas personalizadas mediante un sistema de IA que consulta nuestra base de datos jurídica y genera respuestas contextualizadas.

Base jurídica

Art. 6.1.b) RGPD: ejecución del contrato de prestación de servicios.

Plazo de conservación

Mientras su cuenta esté activa; tras la baja, 6 meses adicionales para reclamaciones, tras lo cual se eliminan.

3.4. Categorías especiales de datos (datos sensibles)

Algunas consultas tributarias pueden contener, de forma voluntaria, categorías especiales de datos (art. 9 RGPD): datos de salud (deducciones médicas, discapacidad), afiliación sindical (cuotas deducibles), creencias religiosas (asignación tributaria) u otros. Base: art. 9.2.a) RGPD — consentimiento explícito, que se obtiene durante la creación de su cuenta.

⚠ Advertencia importante

Le recomendamos encarecidamente que no incluya datos personales innecesarios en sus consultas. Procure formular sus preguntas de la manera más genérica posible, evitando información sensible que no sea estrictamente necesaria. Puede revocar su consentimiento en cualquier momento en soporte@upotechnology.es.

3.5. Uso de inteligencia artificial — transparencia

Nuestro servicio utiliza sistemas de IA basados en modelos de lenguaje (Art. 13 y 52 del AI Act). Sus preguntas se procesan mediante búsqueda semántica que localiza fragmentos relevantes en nuestra base de datos jurídica (de acceso público); esos fragmentos, junto con su pregunta, se envían a los modelos de nuestros proveedores, que generan una respuesta contextualizada.

Proveedores de IA utilizados

ProveedorUbicaciónFunción
Anthropic, PBCEstados UnidosModelos de IA y/o búsqueda para la prestación del Servicio (generación de respuestas y funciones asociadas)
OpenAI, Inc.Estados UnidosModelos de IA y/o búsqueda para la prestación del Servicio (generación de respuestas y funciones asociadas)
Google LLCEE. UU. / UEModelos de IA y/o búsqueda para la prestación del Servicio (generación de respuestas y funciones asociadas)
Perplexity AI, Inc.Estados UnidosModelos de IA y/o búsqueda para la prestación del Servicio (generación de respuestas y funciones asociadas)

Qué datos se envían a los proveedores de IA

Se comunican el texto de sus consultas, los fragmentos de documentos jurídicos públicos relacionados y metadatos técnicos (identificador de sesión, idioma).

No utilizamos sus datos de cuenta (nombre de usuario y correo de registro) como identificadores ante los proveedores de IA. No obstante, si usted completa su «Perfil fiscal» o incluye datos identificativos en sus consultas o documentos (por ejemplo, nombre fiscal, NIF, correo o datos de su representante), esos datos —que usted aporta voluntariamente— se procesan por los proveedores de IA en la medida necesaria para generar la respuesta o el documento. Incluya únicamente los datos estrictamente necesarios (ver 3.4).

Uso de los datos por los proveedores

  • Anthropic no utiliza los datos enviados a través de su API comercial para entrenar sus modelos, conforme a sus condiciones comerciales, y aplica plazos de retención limitados con fines de seguridad.
  • OpenAI no utiliza los datos de su API de pago para entrenar sus modelos; retiene logs 30 días con fines de seguridad y prevención de abusos.
  • Google Gemini no utiliza los datos de la API para entrenar modelos, conforme a sus términos empresariales.
  • Perplexity trata los datos conforme a su política de privacidad y términos de servicio.

Las respuestas son generadas de forma automatizada y pueden contener errores o «alucinaciones»; no constituyen asesoramiento legal ni tienen valor vinculante.

3.6. Mejora del sistema y control de calidad

Datos tratados

Consultas realizadas, respuestas generadas y valoraciones de calidad (cuando usted las proporciona voluntariamente mediante los botones de feedback).

Finalidad y base jurídica

Analizar la calidad de las respuestas y mejorar el servicio. Art. 6.1.f) RGPD: interés legítimo. Solo se revisan manualmente las consultas con valoración negativa; los datos se tratan de forma agregada y, cuando es posible, pseudonimizada; no se usan para marketing ni perfilado comercial. Puede oponerse en cualquier momento.

Plazo de conservación

Consultas con valoración negativa revisadas: 12 meses máximo. Datos anonimizados para estadística: indefinido.

3.7. Gestión de facturación y pagos

Datos tratados

  • Nombre y apellidos / razón social, NIF/CIF y dirección fiscal (solo si solicita factura).
  • Correo electrónico; importe, fecha y concepto de las transacciones; historial de suscripciones.
  • Saldo de créditos de uso y registro de recargas (importe, fecha y tipo de recarga).
  • Referencias técnicas de pago de Stripe (identificadores de cliente y de método de pago), cuando activa la recarga automática.

Finalidad

Emisión de facturas (bajo solicitud), gestión contable y de obligaciones fiscales, gestión de suscripciones y renovaciones, gestión del saldo de créditos de uso, recargas y recarga automática (Plan de Pago por Uso y uso adicional de los planes de pago), y gestión de reclamaciones de pagos.

Base jurídica

Art. 6.1.c) RGPD (obligaciones legales: Ley 58/2003 General Tributaria art. 29; Ley 37/1992 del IVA; Código de Comercio) y art. 6.1.b) RGPD (ejecución del contrato).

Datos bancarios y de tarjeta

Los datos de pago (número de tarjeta, caducidad, CVV) no se almacenan en nuestros sistemas: los gestiona íntegramente nuestra pasarela de pagos Stripe, que actúa como encargado del tratamiento y cumple PCI-DSS. Stripe custodia y procesa su tarjeta; en nuestros sistemas conservamos únicamente referencias técnicas (identificadores de cliente y de método de pago de Stripe) que permiten procesar las renovaciones y, si usted la activa, la recarga automática de saldo, sin acceso a los datos completos de su tarjeta.

Plazo de conservación

Los datos de facturación se conservan 6 años desde la emisión de la factura (art. 29 de la Ley General Tributaria y normativa fiscal aplicable).

3.8. Comunicaciones relacionadas con el servicio

Tratamos su correo electrónico para enviarle comunicaciones esenciales: confirmación de registro y verificación, restablecimiento de contraseña, avisos de seguridad, notificaciones sobre pagos y suscripciones, avisos de cuenta inactiva, cambios sustanciales en los documentos legales, y respuestas a sus consultas. Base: art. 6.1.b) RGPD y art. 21.1 de la LSSI. Actualmente no enviamos comunicaciones comerciales ni newsletters; si en el futuro lo hiciéramos, le solicitaríamos su consentimiento expreso previo.

3.9. Analítica web y mejora de la experiencia

Tratamos su dirección IP (anonimizada cuando es posible), datos de navegación, información del dispositivo y geolocalización aproximada (país/región) para analizar el uso del sitio, detectar problemas técnicos y elaborar estadísticas agregadas. Base: interés legítimo; para cookies de analítica no esenciales, consentimiento (gestionado por el banner de cookies). Herramientas: Google Tag Manager y Google Analytics (si está configurado a través de GTM). Consulte la Política de Cookies para más detalle.

04Destinatarios de los datos

4.1. Encargados del tratamiento

Los siguientes proveedores tratan datos personales por cuenta nuestra, bajo nuestras instrucciones y contratos de encargo:

Proveedores de inteligencia artificial

ProveedorUbicaciónServiciosDatos comunicados
Anthropic, PBCEE. UU.Modelos de IA y/o búsqueda para la prestación del ServicioTexto de consultas, documentos adjuntos, fragmentos jurídicos
OpenAI, Inc.EE. UU.Modelos de IA y/o búsqueda para la prestación del ServicioTexto de consultas, fragmentos jurídicos
Google LLCEE. UU. / UEModelos de IA y/o búsqueda para la prestación del ServicioTexto de consultas, documentos
Perplexity AI, Inc.EE. UU.Modelos de IA y/o búsqueda para la prestación del ServicioTexto de consultas

Proveedores de infraestructura y servicios

ProveedorUbicaciónServiciosDatos comunicados
LeasewebUE (Países Bajos)Hosting de los servidores del Servicio (aplicación web, backend y bases de datos)Todos los datos almacenados y procesados en el servidor
Stripe, Inc.EE. UU.Procesamiento de pagosEmail, datos de transacción, referencias de tarjeta
Google LLCEE. UU.Google Tag Manager, AnalyticsDatos de navegación, IP (anonimizada)

Herramientas en nuestra propia infraestructura

Sobre nuestra propia infraestructura (sin transferencia a terceros externos) operan herramientas de gestión que dan soporte a las siguientes funciones:

  • Gestión de suscripciones y membresías.
  • Seguridad del sitio web.
  • Copias de seguridad (en el propio servidor).
  • Inicio de sesión con Google.
  • Gestión del consentimiento de cookies.
  • Integración del sitio web con el asistente y ejecución de la aplicación.

4.2. Otros destinatarios

Sus datos podrán comunicarse a autoridades públicas cuando exista obligación legal (requerimientos judiciales, inspecciones de la AEAT) y a Fuerzas y Cuerpos de Seguridad en caso de indicios de actividad delictiva. No vendemos, alquilamos ni cedemos sus datos personales a terceros con fines comerciales.

05Transferencias internacionales de datos

Algunos encargados están fuera del Espacio Económico Europeo (EEE). En esos casos aplicamos las garantías del Capítulo V del RGPD:

5.1. Transferencias a Estados Unidos

ProveedorGarantías aplicadas
Anthropic, PBCCláusulas Contractuales Tipo (CCT) de la Comisión Europea + Data Processing Addendum (DPA)
OpenAI, Inc.Cláusulas Contractuales Tipo (CCT) + Data Processing Addendum (DPA)
Google LLCEU-U.S. Data Privacy Framework + CCT + Cloud Data Processing Addendum
Perplexity AI, Inc.Cláusulas Contractuales Tipo (CCT) + Data Processing Agreement
Stripe, Inc.EU-U.S. Data Privacy Framework + CCT + Cumplimiento PCI-DSS

5.2. Transferencias dentro del EEE

Leaseweb (Países Bajos, UE) aloja los servidores del Servicio; no requiere garantías adicionales. Todos los servidores y bases de datos del Servicio se encuentran en el EEE; las únicas transferencias fuera de la UE son las indicadas a los proveedores de IA y a Stripe.

5.3. Sus derechos respecto a transferencias

Puede obtener una copia de las Cláusulas Contractuales Tipo aplicadas y solicitar información sobre las garantías de cada transferencia en soporte@upotechnology.es.

06Plazos de conservación

Categoría de datosPlazoBase legal
Datos de cuenta de usuarioCuenta activa + 6 meses tras la bajaEjecución del contrato + responsabilidades
Consultas y respuestasCuenta activa + 6 meses tras la bajaEjecución del contrato + responsabilidades
Documentos adjuntosCuenta activa + 6 meses tras la bajaEjecución del contrato
Valoraciones de calidad12 meses desde la valoraciónInterés legítimo
Datos de facturación6 años desde la emisiónObligación legal (LGT)
Cuentas inactivas3 años sin actividad + 3 meses de avisoInterés legítimo
Logs de seguridad/accesos12 mesesInterés legítimo / Seguridad
Datos de analítica webSegún herramientas (14-26 meses)Consentimiento / Interés legítimo
Consentimientos otorgadosDuración del tratamiento + 6 años (prueba)Obligación legal

Transcurridos estos plazos, los datos se eliminan o anonimizan de forma irreversible, salvo obligación legal de conservación adicional.

07Derechos de los usuarios

Como interesado, le asisten los siguientes derechos sobre sus datos personales:

  • Acceso (art. 15): saber qué datos tratamos, con qué fines, a quién los comunicamos y durante cuánto tiempo; y obtener una copia.
  • Rectificación (art. 16): corregir datos inexactos o incompletos (algunos los puede modificar desde su panel).
  • Supresión — «derecho al olvido» (art. 17): eliminar sus datos cuando ya no sean necesarios, retire el consentimiento o se oponga sin motivos prevalentes. Excepciones: datos de facturación (6 años) y datos necesarios para reclamaciones.
  • Oposición (art. 21): oponerse al tratamiento basado en interés legítimo (mejora del sistema, analítica).
  • Limitación (art. 18): suspender el tratamiento en los supuestos previstos.
  • Portabilidad (art. 20): recibir sus datos en formato estructurado (JSON, CSV) o que los transmitamos a otro responsable cuando sea técnicamente posible.
  • No ser objeto de decisiones automatizadas (art. 22): nuestro sistema genera respuestas mediante IA, pero no toma decisiones automatizadas con efectos jurídicos o significativos; usted conserva siempre la libertad de decidir cómo actuar.
  • Retirar el consentimiento otorgado para datos sensibles o cookies no esenciales, sin efecto retroactivo sobre el tratamiento previo.

7.2. Cómo ejercer sus derechos

Escriba a soporte@upotechnology.es indicando su nombre, el correo asociado a su cuenta, el derecho que desea ejercer y copia de su documento identificativo. Responderemos en el plazo de 1 mes (prorrogable 2 meses en solicitudes complejas). El ejercicio es gratuito, salvo solicitudes manifiestamente infundadas o excesivas.

7.3. Reclamación ante la autoridad de control

Si considera que el tratamiento vulnera la normativa, puede reclamar ante la Agencia Española de Protección de Datos (AEPD) — C/ Jorge Juan, 6, 28001 Madrid · aepd.es · sedeagpd.gob.es. Le recomendamos contactar antes con nosotros para intentar resolverlo.

08Política de menores de edad

PlanEdad mínima
Plan Básico (gratuito)14 años
Planes de pago (Pro, Empresa, PPU)18 años

Menores de 14 años: nuestro servicio no está dirigido a ellos y no recopilamos conscientemente sus datos (art. 8 RGPD y art. 7 LOPDGDD); si tenemos conocimiento de un registro, eliminaremos la cuenta y los datos, e informaremos al correo registrado. Usuarios de 14 a 17 años: pueden usar el Plan Básico; se entiende que cuentan con el consentimiento de sus padres o tutores. Padres y tutores son responsables de supervisar el uso de internet de los menores a su cargo. Contacto: soporte@upotechnology.es.

09Medidas de seguridad

Hemos implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD).

9.1. Medidas técnicas

MedidaDescripción
Cifrado de contraseñasLas contraseñas se almacenan mediante algoritmos de hash seguros estándar del sector, nunca en texto plano
Cifrado de comunicacionesToda la comunicación entre su navegador y nuestros servidores se realiza mediante HTTPS con certificado SSL/TLS válido
Protección de las bases de datosLas bases de datos se alojan en servidores de acceso restringido, con las comunicaciones cifradas (TLS/SSL) y el acceso limitado mediante credenciales individuales
FirewallNuestros servidores están protegidos por firewalls configurados
Copias de seguridadRealizamos copias de seguridad periódicas, almacenadas de forma segura en nuestros propios servidores
Autenticación seguraOpción de inicio de sesión mediante Google (OAuth 2.0)

9.2. Medidas organizativas

MedidaDescripción
ConfidencialidadTodo el personal con acceso a datos personales está sujeto a obligaciones de confidencialidad
Mínimo accesoSolo el personal estrictamente necesario tiene acceso a datos personales
Política de seguridadDisponemos de protocolos internos de seguridad de la información
Gestión de incidentesProcedimiento de notificación de brechas conforme al art. 33 RGPD (a la AEPD en un máximo de 72 horas)

9.3. Notificación de vulnerabilidades

Ningún sistema es completamente invulnerable. Si detecta una vulnerabilidad, comuníquenoslo de forma responsable a soporte@upotechnology.es (asunto: «Vulnerabilidad de seguridad»). Nos comprometemos a investigar y corregir cualquier vulnerabilidad verificada.

10Política de cookies

Utilizamos cookies y tecnologías similares para el funcionamiento del sitio, la gestión de sesiones y la mejora de la experiencia. Para el detalle de las cookies, sus finalidades, duración y gestión, consulte nuestra Política de Cookies, documento separado disponible en el sitio web. Al acceder se le mostrará un banner donde podrá aceptar todas las cookies, rechazar las no esenciales o configurar sus preferencias. Las cookies estrictamente necesarias no requieren consentimiento y no pueden desactivarse.

11Modificaciones de la Política de Privacidad

Podemos modificar esta Política para adaptarla a cambios legislativos, nuevas finalidades, cambios en los encargados o mejoras en nuestras prácticas. Cambios menores o formales: se publicarán en esta página con la nueva fecha de actualización. Cambios sustanciales (nuevas finalidades, nuevos encargados, nuevas bases jurídicas o transferencias): se lo notificaremos por correo con al menos 30 días de antelación. El uso continuado tras la notificación implica la aceptación de la nueva política; si no está de acuerdo, puede cancelar su cuenta antes de que entre en vigor.

12Legislación aplicable

Esta Política se rige por la legislación española y europea de protección de datos: Reglamento (UE) 2016/679 (RGPD); Ley Orgánica 3/2018 (LOPDGDD); Ley 34/2002 (LSSI); y Reglamento (UE) 2024/1689 sobre inteligencia artificial (AI Act).

13Contacto

Para cualquier duda o solicitud sobre el tratamiento de sus datos personales, puede contactarnos. Responderemos en un plazo máximo de 1 mes.

Correo
soporte@upotechnology.es
Dirección
TQ UPO TECHNOLOGY SL, Calle Campoamor 18, 2C, 28004 Madrid, España

Su privacidad es importante para nosotros. Tratamos sus datos con transparencia y solo para prestarle el Servicio.