Política de Privacidad

CODECONTRACT SL

Pérez Galdós Kalea 22, 48010 Bilbao, Vizcaya, España

Email del Delegado de Protección de Datos (DPO): dpo@codecontract.io

Datos de cuenta: nombre, email, contraseña hasheada (argon2id), idioma preferido.

Datos de organización: nombre empresa, sector, país, logo, branding.

Datos de uso: logs de acceso, IP, user-agent, geolocalización aproximada (para detección de anomalías), eventos de auditoría.

Contenido del cliente: documentos, contactos, mensajes, datos extraídos por IA. Estos datos pertenecen al cliente y los tratamos como Encargado del Tratamiento (ver DPA).

Cookies y rastreadores: ver Política de Cookies.

• Prestación del servicio — base jurídica: ejecución del contrato (art. 6.1.b RGPD).
• Facturación y obligaciones fiscales — base jurídica: obligación legal (art. 6.1.c).
• Seguridad y prevención de fraude — base jurídica: interés legítimo (art. 6.1.f).
• Marketing y newsletters — base jurídica: consentimiento explícito, revocable en cualquier momento.
• Mejora del producto — datos agregados y anonimizados.

Compartimos datos únicamente con sub-encargados necesarios para la prestación del servicio. Lista actualizada en /subprocessors.

Sub-encargados principales: Vercel (hosting EU), Neon (DB EU/Frankfurt), Anthropic (IA, EU AI Pact firmado), Resend (email), Twilio (SMS/voz), Meta (WhatsApp Business).

Ninguna transferencia fuera del Espacio Económico Europeo se realiza sin garantías adecuadas (Cláusulas Contractuales Tipo, Decisiones de Adecuación).

• Datos de cuenta: durante la vigencia + 6 años (obligaciones fiscales).
• Contenido del cliente: política configurable por el cliente; mínimo 5 años para documentos firmados (eIDAS).
• Logs de auditoría: 1 año desde su creación, prorrogables si se ha ejercido un derecho.
• Cookies: ver Política de Cookies.

Conforme al RGPD tienes derecho a:

• Acceso — saber qué datos tenemos.
• Rectificación — corregir datos inexactos.
• Supresión — eliminar tus datos ("derecho al olvido").
• Portabilidad — recibir tus datos en formato estructurado y reusable.
• Oposición al tratamiento basado en interés legítimo.
• Limitación del tratamiento.
• Retirar el consentimiento sin que afecte la licitud del tratamiento previo.
• Reclamar ante la AEPD (aepd.es) o tu autoridad de control nacional.

Para ejercerlos, escribe a dpo@codecontract.io o desde /settings/danger (export y supresión automatizadas).

Aplicamos las medidas técnicas y organizativas del artículo 32 RGPD: cifrado AES-256 at rest, TLS 1.3 in transit, multi-tenancy con aislamiento por org, 2FA disponible (TOTP + WebAuthn), audit log inmutable, backups diarios cifrados con retención 30 días.

Documentos completos en nuestro Centro de Confianza: DPIA, DPA, plan de respuesta a incidentes.

Usamos modelos IA (Anthropic Claude) para extraer datos de documentos y sugerir acciones a Marta. La IA NO toma decisiones legales o económicas vinculantes; el usuario siempre revisa y confirma.

NO entrenamos modelos IA con tu Contenido. Anthropic actúa como sub-encargado con prompt-caching limitado a 5 minutos sin almacenamiento prolongado.

El servicio NO está dirigido a menores de 18 años. Si detectamos una cuenta de un menor sin consentimiento parental, será suspendida y los datos eliminados.

Esta política puede actualizarse. Cambios sustanciales se comunican por email con 30 días de antelación. La última fecha de actualización aparece arriba.

DPO: dpo@codecontract.io

Privacy team: privacy@codecontract.io