Esta Política describe cómo Ploma recopila, utiliza y protege tus datos personales conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y demás normativa aplicable.
1. Responsable del tratamiento
- Titular: Daniel Martí Llull
- NIF: 41606679R
- Domicilio: Calle Doctor Fleming 2, Planta 1, Puerta C, 07750 Es Mercadal (Islas Baleares), España
- Contacto en materia de privacidad: contacto@ploma.es
Dada la naturaleza y el volumen del tratamiento, no se ha designado Delegado de Protección de Datos. Para cualquier cuestión relativa a tus datos puedes dirigirte a la dirección de contacto indicada.
2. Datos que tratamos
Tratamos las siguientes categorías de datos:
- Datos de cuenta: email, nombre (opcional), contraseña cifrada e identificador interno.
- Datos de proyecto: información que tú introduces en el wizard (uso del edificio, geometría, emplazamiento, materiales, etc.). Pueden incluir referencias a direcciones postales y a referencias catastrales. No introduzcas datos personales de terceros (clientes, propietarios) que no sean estrictamente necesarios para la memoria.
- Datos de pago: gestionados por Stripe. Ploma no almacena datos de tarjeta; solo guardamos un identificador opaco de cliente de Stripe y el historial de eventos de pago.
- Datos de uso: registros técnicos (logs), turnos de chat, consumo de tokens, identificadores de sesión, dirección IP en el momento de la solicitud, navegador y sistema operativo.
3. Finalidades y base jurídica
| Finalidad | Base jurídica |
|---|---|
| Prestación del Servicio (gestión de cuenta, generación de memorias, consultor) | Ejecución del contrato (art. 6.1.b RGPD) |
| Cobro y facturación | Ejecución del contrato y obligación legal (art. 6.1.b y c) |
| Seguridad, prevención de fraude y abuso | Interés legítimo (art. 6.1.f) |
| Mejora del modelo y conjunto de datos de entrenamiento | Consentimiento expreso del usuario (art. 6.1.a) |
| Comunicaciones de servicio (avisos importantes) | Ejecución del contrato |
| Comunicaciones comerciales propias sobre productos similares | Consentimiento o interés legítimo respecto de clientes existentes (art. 21 LSSI) |
4. Plazos de conservación
- Datos de cuenta y de proyecto: mientras la cuenta esté activa.
- Datos contables y fiscales: durante los plazos legales de conservación (con carácter general, 6 años desde la operación).
- Logs técnicos: hasta 12 meses desde su generación, salvo necesidad de conservación adicional por motivos de seguridad o requerimiento legal.
- Datos incluidos en el conjunto de entrenamiento: solo si has prestado consentimiento expreso, y previa disociación o anonimización cuando sea posible.
Transcurridos los plazos, los datos se suprimen o se anonimizan de forma irreversible.
5. Destinatarios y encargados de tratamiento
Para la prestación del Servicio compartimos datos con los siguientes proveedores, que actúan como encargados de tratamiento bajo contrato conforme al art. 28 RGPD:
- Supabase, Inc. (EE. UU., con infraestructura de base de datos en la UE) — almacenamiento de la base de datos y autenticación.
- Vercel, Inc. (EE. UU.) — alojamiento de la aplicación web.
- Stripe Payments Europe, Ltd. (Irlanda, UE) — procesador de pagos.
- Amazon Web Services EMEA SARL (UE) — infraestructura de cómputo desde la que se invocan los modelos de lenguaje (Amazon Bedrock), con procesamiento en regiones de la Unión Europea cuando está disponible.
- Anthropic PBC (EE. UU.) — proveedor de los modelos de lenguaje que generan las memorias y responden en el consultor. Los datos enviados a través de la API empresarial no se utilizan para entrenar sus modelos.
- OpenAI, L.L.C. (EE. UU.) — generación de embeddings vectoriales del corpus normativo y de las consultas. Los datos enviados a través de la API no se utilizan para entrenar sus modelos.
- Cohere Inc. (Canadá) — reordenación (reranking) de los resultados de búsqueda normativa en función de la consulta del usuario. Los datos enviados a través de la API no se utilizan para entrenar sus modelos.
- Resend (Plus Five Five, Inc.) (EE. UU.) — envío de correos transaccionales y de los mensajes del formulario de contacto.
Para las transferencias internacionales fuera del Espacio Económico Europeo, aplicamos las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea como mecanismo de garantía adecuado.
6. Tus derechos
Como interesado, puedes ejercer los siguientes derechos:
- Acceso a tus datos personales.
- Rectificación de datos inexactos.
- Supresión (derecho al olvido).
- Limitación del tratamiento.
- Portabilidad.
- Oposición al tratamiento basado en interés legítimo.
- Retirada del consentimiento en cualquier momento, sin efectos retroactivos.
- Reclamación ante la Agencia Española de Protección de Datos (aepd.es) si consideras que el tratamiento no se ajusta a la normativa.
Para ejercer estos derechos, escribe a contacto@ploma.esidentificándote y especificando el derecho que deseas ejercer. Responderemos en el plazo máximo de un mes.
7. Decisiones automatizadas e inteligencia artificial
El Servicio utiliza modelos de lenguaje para generar borradores de memoria y responder consultas. Estas salidas son borradores asistidos y orientaciones de apoyo, no decisiones automatizadas con efectos jurídicos o significativos en el sentido del art. 22 RGPD: la responsabilidad técnica del proyecto corresponde al técnico colegiado, que revisa, valida y firma cada documento aplicando su propio criterio. El usuario debe verificar siempre las salidas contra las fuentes normativas oficiales antes de utilizarlas.
8. Cookies
El Servicio utiliza únicamente cookies estrictamente necesarias para su funcionamiento (sesión de usuario y proceso de compra), que están exentas del deber de consentimiento previo. No se utilizan cookies de analítica ni de publicidad sin tu consentimiento. Si en el futuro se incorporan, se actualizará esta Política y se habilitará un mecanismo de configuración.
9. Seguridad
Aplicamos medidas técnicas y organizativas razonables para proteger los datos (cifrado en tránsito, control de acceso por usuario, aislamiento por filas en la base de datos). Ningún sistema es completamente infalible; en caso de una violación de seguridad que afecte a tus datos, actuaremos conforme a las obligaciones de notificación previstas en el RGPD.
10. Modificaciones
Esta Política puede actualizarse para reflejar cambios en la normativa o en el Servicio. Te notificaremos los cambios sustanciales con una antelación razonable. La versión vigente es siempre la publicada en esta página.
11. Contacto
Para cualquier consulta sobre privacidad: contacto@ploma.es.