← Volver

Política de privacidad

Última actualización: 8 de mayo de 2026

En cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), te informamos sobre el tratamiento de tus datos personales cuando utilizas Docfolio.

1. Responsable del tratamiento

  • Responsable: Óscar González Martín (titular del servicio Docfolio)
  • NIF: 47331170E
  • Domicilio: España
  • Contacto: [email protected]
  • Sitio web: docfolio.es

2. Datos que tratamos y finalidades

a) Cuenta de usuario

  • Datos: nombre (opcional), correo electrónico, contraseña cifrada (bcrypt) o, si te identificas con Google, identificador OAuth e imagen de perfil facilitada por Google.
  • Finalidad: creación y gestión de tu cuenta, autenticación, gestión del plan contratado y prestación del Servicio.
  • Base legal: ejecución del contrato (art. 6.1.b RGPD).

b) Contenido subido y procesado

  • Datos: documentos que subes (Markdown, texto, DOCX, PDF), texto que pegas o indicaciones que escribes para que la IA genere contenido. El contenido se envía al subprocesador de IA (OpenAI) para su procesado.
  • Finalidad: procesar el contenido con IA, estructurarlo y publicarlo como colección documental web accesible mediante el enlace que tú generes.
  • Base legal: ejecución del contrato (art. 6.1.b RGPD).
  • Advertencia: no subas a Docfolio datos personales especialmente protegidos (salud, ideología, afiliación política o sindical, etc.) ni datos personales de terceros sobre los que no tengas base legítima de tratamiento. Eres el responsable del contenido que decides procesar mediante el Servicio.

c) Acceso a colecciones públicas (visitantes del enlace)

  • Datos: dirección IP (anonimizada parcialmente), fecha y hora de acceso, navegador y dispositivo aproximado.
  • Finalidad: proteger el Servicio frente a abusos, prevenir scraping masivo y, en su caso, ofrecer al usuario titular estadísticas básicas de visitas (funcionalidad de Fase 2 con consentimiento explícito).
  • Base legal: interés legítimo (art. 6.1.f RGPD) en la seguridad del Servicio. La activación de analíticas detalladas requerirá consentimiento explícito del usuario titular y se publicará un aviso al visitante en consecuencia.

d) Comunicaciones operativas y soporte

  • Datos: correo electrónico, contenido de las consultas que nos envíes.
  • Finalidad: atender tus consultas, enviar comunicaciones esenciales del Servicio (cambios de términos, incidencias de seguridad, recordatorios de facturación).
  • Base legal: ejecución del contrato (art. 6.1.b RGPD) e interés legítimo del responsable (art. 6.1.f RGPD).

e) Facturación (plan Pro)

  • Datos: nombre o razón social, NIF, dirección de facturación, datos de pago gestionados por la pasarela de pago (no se almacenan datos de tarjeta en nuestros sistemas).
  • Finalidad: emisión de facturas y cumplimiento de obligaciones fiscales y contables.
  • Base legal: obligación legal (art. 6.1.c RGPD) — Ley General Tributaria y Código de Comercio.

f) Logs técnicos y seguridad

  • Datos: dirección IP, agente de usuario, eventos de autenticación, errores del sistema.
  • Finalidad: proteger el Servicio frente a accesos no autorizados, depurar errores y cumplir obligaciones de seguridad.
  • Base legal: interés legítimo del responsable (art. 6.1.f RGPD).

3. Subprocesadores (encargados de tratamiento)

Para prestar el Servicio recurrimos a los siguientes proveedores, todos ellos vinculados mediante el correspondiente contrato de tratamiento de datos (DPA):

  • OpenAI (procesado IA del contenido) — Estados Unidos. Configuración de no entrenamiento sobre los datos enviados, conforme a los términos vigentes para uso por API.
  • Cloudflare (CDN, R2 storage para uploads y exports, seguridad WAF) — Estados Unidos / Global. Los buckets R2 están configurados como privados; el acceso a los archivos del usuario se realiza mediante URLs firmadas con caducidad.
  • Hostinger (alojamiento del servidor de la aplicación y la base de datos) — Unión Europea (Lituania).
  • Resend (envío de correos electrónicos transaccionales: alta de cuenta, recuperación, notificaciones del Servicio) — Estados Unidos.
  • Google (autenticación OAuth, solo si decides registrarte mediante Google) — Estados Unidos.

4. Transferencias internacionales

Algunos de los subprocesadores anteriores (OpenAI, Cloudflare, Resend, Google) están establecidos en Estados Unidos. Las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea, con las garantías adicionales que dichos proveedores publican (cifrado en tránsito y en reposo, controles de acceso, evaluaciones de impacto periódicas). Hostinger opera dentro del Espacio Económico Europeo.

5. Plazos de conservación

  • Datos de cuenta y contenido: mientras la cuenta esté activa. Tras su eliminación, conservación adicional de 3 meses para permitir la recuperación; transcurrido ese plazo, eliminación definitiva (salvo copias de seguridad operativas que se sobrescriben según el ciclo habitual).
  • Datos de facturación: 6 años conforme a la Ley General Tributaria.
  • Logs técnicos y de seguridad: máximo 12 meses.
  • Datos de soporte: mientras dure la consulta y un máximo de 3 años tras la última interacción, salvo que exista una relación contractual vigente.

6. Derechos del interesado

Como titular de los datos, puedes ejercer en cualquier momento los derechos de:

  • Acceso: conocer qué datos personales tuyos tratamos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión: solicitar la eliminación de tus datos (puedes hacerlo directamente desde Ajustes para los datos de tu cuenta).
  • Portabilidad: recibir tus datos y tu contenido en un formato estructurado, de uso común y legible mecánicamente (Markdown).
  • Limitación del tratamiento: solicitar que se restrinja el uso de tus datos en determinadas circunstancias.
  • Oposición: oponerte al tratamiento basado en interés legítimo.
  • Retirar el consentimiento previamente otorgado, sin que ello afecte a la licitud del tratamiento previo a su retirada.

Para ejercer estos derechos, escríbenos a [email protected] indicando tu solicitud y adjuntando una copia de tu DNI o documento equivalente para verificar tu identidad.

Asimismo, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si consideras que no hemos atendido debidamente tus derechos.

7. Decisiones automatizadas e IA

El Servicio utiliza inteligencia artificial para procesar el contenido que le aportas con la finalidad explícitamente solicitada por ti (limpieza, adaptación, generación). No se realizan decisiones automatizadas con efectos jurídicos sobre el usuario (por ejemplo, perfilado para ofrecer servicios financieros, decisiones de contratación o similares).

Eres responsable de revisar el contenido procesado o generado por la IA antes de publicarlo o compartirlo. La IA puede producir resultados inexactos, incompletos o sesgados (ver Términos de uso, sección 6).

8. Cookies

Docfolio utiliza únicamente cookies técnicas estrictamente necesarias para el funcionamiento del Servicio (sesión, CSRF, balanceo de carga). No utilizamos cookies de analítica ni de marketing en el MVP. Puedes consultar el detalle en la Política de Cookies.

9. Menores

El Servicio está dirigido a personas mayores de 14 años. No recogemos conscientemente datos personales de menores de esa edad sin el consentimiento de sus padres o tutores legales. Si crees que un menor nos ha proporcionado datos personales, contáctanos en [email protected] para que podamos eliminarlos.

10. Medidas de seguridad

Aplicamos medidas técnicas y organizativas adecuadas al riesgo del tratamiento, incluyendo: cifrado SSL/TLS en todas las comunicaciones, cifrado en reposo de contraseñas (bcrypt con coste alto), control de acceso por rol, separación de entornos de desarrollo y producción, copias de seguridad periódicas, registro de eventos de seguridad y revisiones de dependencias.

Modelo de seguridad del contenido del usuario. El Servicio se diseñó para publicar y compartir colecciones documentales mediante un enlace público. Por la propia naturaleza de esta finalidad, el contenido de las colecciones no se cifra en reposo: el sistema necesita poder leerlo y servirlo a los visitantes del enlace. La protección del enlace público se basa en un identificador opaco difícil de adivinar; este mecanismo es razonablemente robusto frente a accesos casuales, pero no constituye un cifrado del contenido. Las contraseñas de cuenta y los tokens del flujo de identidad sí están cifrados o protegidos criptográficamente.

Responsabilidad del usuario. En coherencia con lo anterior, recomendamos al usuario no introducir en sus colecciones información especialmente sensible (contraseñas, datos médicos, datos financieros completos, datos personales de terceros sin base legítima, secretos empresariales, etc.). El usuario es responsable del contenido que publica y del control sobre con quién comparte el enlace generado.

11. Modificaciones

Esta política de privacidad puede actualizarse para adaptarse a cambios normativos, en la operativa del Servicio o en los subprocesadores. Las modificaciones se comunicarán al usuario por correo electrónico o mediante aviso en la propia interfaz, con antelación razonable cuando supongan un cambio sustancial. La fecha de última actualización se indica al inicio del documento.