Política de privacidad
Última actualización: 29 de abril de 2026
1. Responsable del tratamiento
Quien aparece identificado más abajo (en adelante, “el Responsable”) es el responsable del tratamiento de los datos personales recogidos a través de esta plataforma, conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
Centinela AI
Pendiente de configuración pública: defina en el despliegue las variables NEXT_PUBLIC_COMPANY_LEGAL_NAME, NEXT_PUBLIC_COMPANY_NIF y NEXT_PUBLIC_COMPANY_ADDRESS (véase .env.example) para cumplir la identificación del titular en web.
Correo electrónico: info@centinela-ai.es
2. Datos que recogemos
Este documento describe cómo Centinela AI recoge, utiliza y protege los datos personales de sus usuarios, conforme al RGPD y la LOPDGDD. Podemos tratar las siguientes categorías de datos: datos de registro (nombre, correo electrónico y contraseña cifrada con bcrypt), datos de uso (consultas realizadas, modelos utilizados, documentos subidos y metadatos de sesión), datos de pago (procesados íntegramente por Stripe; no almacenamos datos de tarjeta), datos técnicos (dirección IP para seguridad y limitación de peticiones, user agent y cookies técnicas) e información agregada de navegación (páginas visitadas, dispositivo, país aproximado) a través de Google Analytics 4, con anonimización de IP activada.
3. Finalidad del tratamiento
Utilizamos tus datos para prestar el servicio de asistencia en ciberseguridad, gestionar tu cuenta de usuario y suscripciones, mejorar la plataforma y analizar su uso de forma agregada (analítica web), así como para cumplir con nuestras obligaciones legales.
4. Base jurídica
La base jurídica principal para el tratamiento es la ejecución del contrato (art. 6.1.b RGPD) para la prestación del servicio. Cuando tratamos datos con fines de analítica no esencial o enviamos comunicaciones comerciales, lo hacemos sobre la base de tu consentimiento (art. 6.1.a RGPD). También podemos apoyarnos en el interés legítimo (art. 6.1.f RGPD) para garantizar la seguridad de la plataforma y obtener métricas agregadas minimizadas, así como en la obligación legal (art. 6.1.c RGPD) para cumplir con requisitos fiscales y regulatorios.
5. Conservación de datos
Conservamos las conversaciones según el plan contratado (48 horas en el plan gratuito y mayor retención en los planes de pago; puedes consultar los límites concretos en la página de planes). Los documentos subidos se mantienen hasta que el usuario los elimine o cancele su cuenta. Los datos de cuenta se conservarán mientras se mantenga la relación contractual y durante los plazos legales de prescripción aplicables.
6. Destinatarios y encargados del tratamiento
Solo comunicamos datos personales cuando resulta necesario para las finalidades indicadas. A continuación figuran los principales encargados del tratamiento y la naturaleza habitual de su intervención. La ubicación del tratamiento y las transferencias son orientativas en esta página; el detalle del encargo (art. 28 RGPD), la lista vigente de subencargados y las garantías aplicables se formalizan contractualmente (p. ej. acuerdo de tratamiento empresarial, DPA) o se proporcionan, en forma resumida, previa solicitud para diligencias de contratación.
| Prestador / servicio | Función típica | Sedes / tratamiento habitual | Garantías (resumen) |
|---|---|---|---|
| Vercel Inc. | Alojamiento y ejecución de la aplicación (edge/serverless). | UE y/o otros (según proyecto) | Contrato de encargado y medidas del proveedor (CCT u otros mecanismos conforme al RGPD donde proceda). |
| Neon, Supabase, Upstash | Base de datos, almacenamiento de objetos, cachés y vectores/RAG ( configuración habitual en regiones cercanas al responsable — p. ej. UE). | Según región elegida al contratar estos servicios | Encargo; medidas locales del proveedor. |
| Stripe | Pasarela de pago y facturación; no tratamos número de tarjeta integral en nuestros servidores. | UE / EEE y terceros países (según zona de cuenta) | CCT y documentación Stripe; donde aplique otros mecanismos válidos según RGPD cap. V. |
| Google Ireland Ltd. / LLC (OAuth, opcional GA4) | Inicio de sesión con Google donde esté habilitado; analítica agregada (GA4) con IP anonimizada si está activada. | UE / EEE / EE.UU. (según producto) | Condiciones propias Google; SCC u otros donde proceda. |
| OpenAI / Anthropic (y en su caso Groq u otros proveedores de LLM o aceleradores) | Inferencia de modelo y respuestas; el contenido que envías puede transitar cifrado hacia estos servicios cuando se invoca la IA ( véase página de transparencia IA). | Terceros países habitualmente (incluido EE.UU.), según ruta técnica | CCT y medidas complementarias cuando corresponden; información adicional disponible tras login o mediante DPA solicitado por escrito al Responsable. |
| Tavily (u otro proveedor equivalente si se configurara) | Búsqueda web en tiempo real si el usuario activa esa función, limitada a consultas que definas en la aplicación. | Según proveedor configurado (puede implicar terceros países) | Encargo o figura similar; garantías RGPD cuando proceda. |
| Sentry (si está configurado) | Registrar errores técnicos y diagnóstico. | UE / EEE / EE.UU. según región cuenta | Sus DPA públicos del proveedor. |
Uso para entrenamiento de modelos. No empleamos los datos de tus conversaciones ni los documentos subidos para mejorar los modelos de fondo de proveedores de IA de forma habitual. Cualquier eventual uso con fines estadísticos o mejora del propio Centinela (no de modelos externos) se describirá con claridad cuando proceda por ley. Para contratación profesional se facilita DPA con encargados y transferencias conforme a RGPD arts. 28 y siguientes actualizados a la fecha de firma.
Transferencias fuera del Espacio Económico Europeo
Alguno de estos encargados puede tratar datos en terceros países donde el nivel de protección no equivale por ley al de la UE. En esos casos adoptamos garantías conforme al capítulo V del RGPD (p. ej. decisiones de adecuación de la Comisión, cláusulas contractuales tipo y medidas complementarias donde la jurisprudencia o la práctica de las autoridades supervisoras lo exijan). Puedes solicitar un resumen razonable de las garantías mediante el mismo correo indicado más arriba.
7. Derechos del interesado
Puedes ejercer tus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición enviando un correo a info@centinela-ai.es. Asimismo, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos en www.aepd.es.
8. Seguridad
Aplicamos medidas de seguridad técnicas y organizativas, incluyendo cifrado en reposo (AES-256-GCM), cifrado en tránsito mediante HTTPS/TLS, mecanismos de protección de acceso como rate limiting y validación de entradas, política de seguridad de contenidos (CSP) y almacenamiento de contraseñas hasheadas con bcrypt (factor 12).
9. Modificaciones
Nos reservamos el derecho a modificar esta política. Cualquier cambio será notificado por email o mediante aviso en la plataforma.