Saltar al contenido principal

Política de Privacidad

Última actualización: 24 de febrero de 2026

1. Introducción

Veluvanto s.r.o. ("nosotros", "nos" o "nuestro") se compromete a proteger su privacidad. Esta Política de Privacidad explica cómo recopilamos, utilizamos, divulgamos y protegemos sus datos personales cuando utiliza los servicios de Veluvanto, de acuerdo con el Reglamento General de Protección de Datos (GDPR, Reglamento (UE) 2016/679) y la Ley Checa n.º 110/2019 Rec. sobre el Tratamiento de Datos Personales.

2. Responsable del tratamiento

El responsable del tratamiento de sus datos personales es:

Veluvanto s.r.o.
Domicilio social: Korunní 2569/108, Vinohrady, 101 00 Praha 10
IČO: 249 15 122
Correo electrónico: privacy@veluvanto.com

Delegado de Protección de Datos (DPO): Hemos determinado que el nombramiento de un Delegado de Protección de Datos no es obligatorio según el Artículo 37 del GDPR, dada la naturaleza y escala de nuestras actividades de tratamiento (no tratamos categorías especiales de datos a gran escala, no somos una autoridad pública y no realizamos una monitorización sistemática a gran escala). Para todos los asuntos de privacidad, contáctenos en privacy@veluvanto.com.

3. Datos personales que recopilamos

Recopilamos las siguientes categorías de datos personales:

3.1 Datos de la cuenta

  • Dirección de correo electrónico, nombre y foto de perfil (de su cuenta de Google cuando inicia sesión a través de Google OAuth o de su cuenta de Microsoft cuando inicia sesión a través de Microsoft OAuth)
  • Configuración y preferencias de la cuenta

3.2 Datos de los documentos

  • Archivos que sube al servicio (documentos, facturas, contratos, etc.)
  • Metadatos extraídos de los documentos (fechas, entidades, importes, etiquetas)
  • Resúmenes, traducciones y categorizaciones de sus documentos generados por AI

3.3 Datos de uso

  • Funciones utilizadas, acciones realizadas e interacciones con el servicio
  • Créditos de AI consumidos y estado de la suscripción

3.4 Datos técnicos

  • Dirección IP, tipo y versión del navegador, tipo de dispositivo y sistema operativo
  • Identificadores de sesión y registros de acceso
  • Marcas de tiempo de las acciones para fines de seguridad y auditoría

3.5 Datos de pago

  • Dirección de facturación y registros de transacciones (los datos de la tarjeta de pago son procesados directamente por Paddle.com Market Limited, nuestro vendedor oficial, y no son almacenados por nosotros)

Obligación de proporcionar datos (Art. 13(2)(e) del GDPR): Proporcionar su dirección de correo electrónico y los datos de su cuenta es un requisito contractual; sin ellos, no puede crear una cuenta ni utilizar el servicio. Proporcionar datos de pago es necesario para acceder a los planes de pago. Proporcionar el contenido de los documentos es voluntario; usted elige qué subir. No tiene la obligación legal de proporcionar nada de lo anterior, pero si no proporciona los datos requeridos, no podremos prestarle el servicio.

4. Bases legales para el tratamiento

Tratamos sus datos personales sobre las siguientes bases legales según el Artículo 6 del GDPR:

Finalidad Base legal Artículo del GDPR
Prestación y operación del servicio Ejecución de un contrato Art. 6(1)(b)
Autenticación de usuario (Google OAuth) Ejecución de un contrato Art. 6(1)(b)
Autenticación de usuario (Microsoft OAuth) Ejecución de un contrato Art. 6(1)(b)
Procesamiento de pagos y facturación Ejecución de un contrato Art. 6(1)(b)
Envío de comunicaciones relacionadas con el servicio Ejecución de un contrato Art. 6(1)(b)
Seguridad, prevención de fraude, registro de accesos Intereses legítimos Art. 6(1)(f)
Mejora del servicio y analítica Intereses legítimos Art. 6(1)(f)
Obligaciones legales (registros fiscales, etc.) Obligación legal Art. 6(1)(c)
Comunicaciones de marketing (si opta por ellas) Consentimiento Art. 6(1)(a)

5. Procesamiento de tus documentos mediante IA

Sus documentos se procesan utilizando tecnología de AI para proporcionar funciones que incluyen la categorización automática, búsqueda de texto completo, extracción de metadatos, resúmenes, traducción y el asistente de chat de AI.

Sus documentos nunca se utilizan para entrenar modelos de AI. El tratamiento por AI se realiza únicamente para prestarle el servicio. Nuestro proveedor de AI (Google LLC a través de Vertex AI) actúa como nuestro encargado del tratamiento bajo un Anexo de Procesamiento de Datos de Google Cloud y tiene prohibido contractualmente utilizar sus datos para entrenar o mejorar sus modelos de AI.

Residencia de datos en la UE para el tratamiento por AI: La inferencia de AI para el análisis de documentos, búsqueda semántica, traducción, resúmenes y chat de AI se realiza a través de Google Cloud Vertex AI, configurado para utilizar regiones de centros de datos de la UE (europe-west). El contenido de los documentos enviado para el tratamiento por AI no sale del Espacio Económico Europeo.

El procesamiento mediante IA constituye un tratamiento automatizado de datos personales. Para los consumidores que utilizan Veluvanto para uso personal de sus documentos, Veluvanto s.r.o. actúa como el responsable del tratamiento de sus documentos. Para los clientes comerciales que suben documentos que contienen datos personales de terceros (por ejemplo, datos de empleados, facturas de clientes), Veluvanto s.r.o. actúa como un encargado del tratamiento en nombre del Responsable. Consulte nuestro Acuerdo de Procesamiento de Datos para obtener detalles sobre los acuerdos de tratamiento B2B.

Para obtener más información sobre nuestros sistemas de AI, consulte nuestro Aviso de Transparencia de AI.

6. Almacenamiento y seguridad de los datos

Nos tomamos muy en serio la seguridad de sus datos:

  • Todos los documentos y datos se almacenan en el almacenamiento de objetos Backblaze B2 en centros de datos de la UE (Ámsterdam, Países Bajos); Backblaze cuenta con la certificación SOC 2 Tipo II
  • Los servidores de aplicaciones se ejecutan en la infraestructura de Hetzner Online GmbH en centros de datos de la UE (Alemania/Finlandia); Hetzner cuenta con la certificación ISO/IEC 27001:2022 (válida 2025–2028)
  • Los datos se cifran en tránsito (TLS 1.2+) y en reposo (AES-256)
  • Implementamos controles de acceso estrictos y registro de auditoría
  • Evaluaciones y actualizaciones de seguridad periódicas
  • El acceso a los datos personales está restringido al personal autorizado que necesite conocerlos

Notificación de brecha de seguridad de datos personales (Art. 33 y 34 del GDPR)

a) Notificación a la autoridad de control (Art. 33 del GDPR)
En caso de una brecha de seguridad de los datos personales, notificaremos a la autoridad de control competente sin dilación indebida y, cuando sea posible, a más tardar 72 horas después de haber tenido conocimiento de ella, a menos que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas físicas.

b) Notificación a los interesados (Art. 34 del GDPR)
Cuando sea probable que una violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, notificaremos a las personas afectadas sin dilación indebida. La notificación se redactará en un lenguaje claro y sencillo y contendrá, al menos, información sobre la naturaleza de la violación, sus posibles consecuencias y las medidas adoptadas o propuestas para mitigar sus efectos. Cuando la notificación individual requiera un esfuerzo desproporcionado, garantizaremos una comunicación igualmente eficaz mediante un anuncio público o una medida similar.

7. Intercambio de datos y subencargados del tratamiento

No vendemos sus datos personales. Solo podemos compartir su información en los siguientes casos:

7.1 Subencargados del tratamiento

Utilizamos los siguientes proveedores de servicios externos que pueden tratar sus datos personales:

  • Google LLC — Proveedor de identidad (inicio de sesión con Google OAuth); las transferencias de datos a los EE. UU. están cubiertas por las Cláusulas Contractuales Tipo (SCC)
  • Microsoft Corporation — Proveedor de identidad (inicio de sesión con Microsoft OAuth); el tratamiento de datos se rige por el Anexo de Protección de Datos de Microsoft
  • Paddle.com Market Limited — Procesamiento de pagos y facturación (Merchant of Record); las transferencias de datos al Reino Unido están cubiertas por la Decisión de Adecuación del Reino Unido
  • Google LLC (Vertex AI) — Inferencia de modelos de IA (modelos Gemini) para el procesamiento de documentos, búsqueda semántica, chat de IA, traducción y resumen; el procesamiento está configurado para permanecer dentro de las regiones de Google Cloud de la UE (europe-west); sujeto al Anexo de Tratamiento de Datos de Google Cloud; los datos de la API no se utilizan para el entrenamiento de modelos por defecto
  • Backblaze, Inc. (B2 Cloud Storage) — Almacenamiento de objetos principal para documentos y copias de seguridad; datos almacenados exclusivamente en la UE (Ámsterdam, Países Bajos); certificado SOC 2 Tipo II; Política de privacidad de Backblaze
  • IDrive, Inc. (e2 Cloud Storage) — Almacenamiento de objetos para recuperación ante desastres de documentos y copias de seguridad; datos almacenados exclusivamente en la UE (Fráncfort, Alemania); certificado SOC 2; sin duración mínima de almacenamiento
  • Hetzner Online GmbH — Infraestructura en la nube y servidores de aplicaciones; datos almacenados exclusivamente en la UE (Alemania/Finlandia); certificado ISO/IEC 27001:2022
  • Cloudflare, Inc. — Red de entrega de contenidos (CDN) y servicios de seguridad (protección DDoS, optimización del rendimiento); procesa metadatos de solicitudes HTTP (dirección IP, user-agent, marcas de tiempo); las transferencias de datos a los EE. UU. están cubiertas por las Cláusulas Contractuales Tipo (SCC)

7.2 Requisitos legales

Podemos divulgar sus datos si así lo exige la ley, una orden judicial o una autoridad gubernamental, o cuando creamos que la divulgación es necesaria para proteger nuestros derechos o la seguridad de otros.

7.3 Transferencias de negocio

En caso de fusión, adquisición o venta de activos, sus datos personales pueden ser transferidos. Le notificaremos antes de que sus datos personales sean transferidos y pasen a estar sujetos a una política de privacidad diferente.

8. Transferencias internacionales de datos

Almacenamos y tratamos sus datos principalmente dentro de la Unión Europea. La siguiente tabla describe la residencia de los datos para cada subencargado:

  • Backblaze, Inc. (B2 Cloud Storage — almacenamiento principal): Todos los documentos, datos de usuario y copias de seguridad se almacenan en Backblaze B2 en la UE (Ámsterdam, Países Bajos). Sin transferencia internacional.
  • IDrive, Inc. (e2 Cloud Storage — almacenamiento de recuperación ante desastres): Las copias de seguridad de los documentos y datos se almacenan en IDrive e2 en la UE (Fráncfort, Alemania). IDrive, Inc. es una empresa estadounidense; las transferencias de datos están cubiertas por las Cláusulas Contractuales Tipo (SCC).
  • Hetzner Online GmbH (infraestructura): Los servidores de aplicaciones y la infraestructura de computación se alojan exclusivamente en Alemania/Finlandia. Sin transferencia internacional.
  • Google LLC (Vertex AI — procesamiento de IA): El contenido de los documentos se procesa a través de Google Cloud Vertex AI configurado en regiones de la UE (europe-west). No se producen transferencias fuera del EEE para la inferencia de IA.
  • Google LLC (autenticación OAuth): Su correo electrónico y perfil de Google se comparten con Google durante el inicio de sesión. La transferencia a los EE. UU. está cubierta por las Cláusulas Contractuales Tipo (SCC, Decisión de Ejecución (UE) 2021/914 de la Comisión).
  • Paddle.com Market Limited (pagos): La dirección de facturación y los datos de la transacción se comparten con Paddle para el procesamiento de pagos. La transferencia al Reino Unido está cubierta por la Decisión de Adecuación del Reino Unido.
  • Cloudflare, Inc. (CDN / seguridad): Los metadatos de las solicitudes HTTP (dirección IP, user-agent, marcas de tiempo) son procesados por Cloudflare. La transferencia a los EE. UU. está cubierta por las SCC.

Puede solicitar una copia de las salvaguardias de transferencia pertinentes poniéndose en contacto con nosotros en privacy@veluvanto.com.

9. Sus derechos bajo el RGPD

Bajo el RGPD (Capítulo III), usted tiene los siguientes derechos:

  • Derecho de acceso (Art. 15): Solicitar una copia de sus datos personales que conservamos
  • Derecho de rectificación (Art. 16): Solicitar la corrección de datos inexactos o incompletos
  • Derecho de supresión / Derecho al olvido (Art. 17): Solicitar la eliminación de sus datos
  • Derecho a la portabilidad de los datos (Art. 20): Recibir sus datos en un formato estructurado, de uso común y lectura mecánica (archivo JSON o ZIP que contenga sus documentos y metadatos). Contáctenos para solicitar una exportación.
  • Derecho de oposición al tratamiento por interés legítimo (Art. 21(1)): Oponerse al tratamiento basado en nuestros intereses legítimos (p. ej., seguridad, analítica). Cesaremos el tratamiento a menos que demostremos motivos legítimos imperiosos.
  • Derecho de oposición a la mercadotecnia directa (Art. 21(2)): Usted tiene un derecho absoluto a oponerse al tratamiento de sus datos personales con fines de mercadotecnia directa en cualquier momento, sin excepciones. Nos detendremos inmediatamente tras su oposición.
  • Derecho a la limitación del tratamiento (Art. 18): Solicitar la limitación del tratamiento en determinadas circunstancias
  • Derecho a retirar el consentimiento (Art. 7(3)): Retirar el consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo
  • Derecho a no ser objeto de decisiones individuales automatizadas (Art. 22): Véase la Sección 10 a continuación

Para ejercer cualquiera de estos derechos, contáctenos en privacy@veluvanto.com. Responderemos en el plazo de 1 mes. Es posible que necesitemos verificar su identidad antes de atender su solicitud.

Su derecho a oponerse al tratamiento por interés legítimo (Art. 21(4) del RGPD): Cuando tratamos sus datos sobre la base de nuestros intereses legítimos (Art. 6(1)(f) del RGPD — incluyendo seguridad, prevención de fraude y analítica del servicio), usted tiene el derecho a oponerse en cualquier momento. Tras la oposición, cesaremos dicho tratamiento a menos que demostremos motivos legítimos imperiosos que prevalezcan sobre sus intereses, derechos y libertades, o que el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones. Para ejercer este derecho, contacte con privacy@veluvanto.com.

Derecho a presentar una reclamación: Tiene derecho a presentar una reclamación ante una autoridad de control. En la República Checa, esta es:

Úřad pro ochranu osobních údajů (ÚOOÚ)
Pplk. Sochora 27, 170 00 Praha 7
Sitio web: www.uoou.cz
Correo electrónico: posta@uoou.cz

10. Tratamiento automatizado y elaboración de perfiles

Veluvanto utiliza el procesamiento automatizado de IA para identificar y extraer metadatos (fechas, entidades, categorías, importes). Este procesamiento automatizado:

  • Se realiza únicamente para proporcionarle el servicio
  • No no efectos jurídicos ni le afecta significativamente de modo similar
  • No no una elaboración de perfiles con fines de marketing o de toma de decisiones

Puede corregir cualquier metadato inexacto generado por la IA en cualquier momento en la vista de detalles del documento. Para obtener más información sobre nuestros sistemas de IA y sus limitaciones, consulte nuestro Aviso de Transparencia de la IA.

11. Conservación de datos

Conservamos sus datos personales mientras su cuenta esté activa o según sea necesario para proporcionar los servicios. Periodos de conservación específicos:

  • Datos de la cuenta y documentos: Se conservan hasta la eliminación de la cuenta. Tras la eliminación de la cuenta, los datos se borran permanentemente en un plazo de 30 días.
  • Registros de facturación: Se conservan durante 10 años según lo exige la ley de contabilidad checa (Ley n.º 563/1991 Coll.).
  • Registros de seguridad y acceso: Se conservan durante 12 meses.
  • Datos de uso (funciones utilizadas, créditos de IA consumidos, interacciones): Se conservan durante 24 meses y luego se agregan o eliminan.
  • Metadatos generados por IA (resúmenes, etiquetas, entidades extraídas): Se conservan durante la vida útil del documento asociado. Se eliminan junto con el documento.
  • Consentimiento de marketing: Hasta que retire el consentimiento.
  • Cuentas canceladas por exceso de almacenamiento: Cuentas canceladas debido a un exceso de almacenamiento prolongado (según se describe en la Sección 19 de los Términos de Servicio): todos los datos personales y documentos se eliminan permanentemente dentro de los 30 días posteriores a la cancelación, de acuerdo con el Artículo 17 del RGPD.

Los documentos movidos a la Papelera se conservan durante 30 días antes de su eliminación permanente.

12. Cookies

Utilizamos cookies y tecnologías similares. Solo utilizamos cookies estrictamente necesarias para el funcionamiento del servicio (gestión de sesiones y autenticación). No utilizamos cookies de seguimiento ni cookies publicitarias de terceros. Para obtener información detallada, consulte nuestra Política de Cookies.

13. Privacidad de los niños

Nuestro servicio no está dirigido a menores de 18 años. No recopilamos conscientemente datos personales de niños. Si cree que hemos recopilado inadvertidamente datos de un niño, contáctenos y los eliminaremos de inmediato.

14. Cambios en esta política

Podemos actualizar esta Política de Privacidad de vez en cuando. Le notificaremos cualquier cambio sustancial por correo electrónico y publicando la nueva política en esta página con una fecha de "Última actualización" actualizada, al menos 30 días antes de que los cambios entren en vigor. Para cambios significativos en la forma en que tratamos sus datos, solicitaremos un nuevo consentimiento cuando sea necesario.

15. Contáctenos

Para cualquier pregunta sobre esta Política de Privacidad, para ejercer sus derechos o para cualquier inquietud sobre la protección de datos:

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
Correo electrónico: privacy@veluvanto.com