Política de Privacidad

Última actualización: 31 de marzo de 2026

1. Responsable del tratamiento

Para cualquier consulta sobre privacidad o el ejercicio de sus derechos, puede contactar en la dirección indicada.

2. Datos personales que recopilamos

Recopilamos los siguientes datos para prestar el servicio:

  • Datos de registro: nombre y dirección de correo electrónico (autenticación mediante Supabase Auth)
  • Documentos y archivos: documentos PDF, Excel, Word, imágenes y otros formatos que subes a tu base de conocimiento
  • Contenido de conversaciones: mensajes enviados por los usuarios finales al asistente a través del widget web, WhatsApp o email
  • Datos de facturación: gestionados íntegramente por Stripe; no almacenamos datos de tarjeta ni información bancaria
  • Número de teléfono WhatsApp: de los usuarios finales que interactúan con el asistente vía WhatsApp Business
  • Direcciones de correo entrante: en la funcionalidad de ingesta de email, se procesa el remitente y el contenido del mensaje
  • Datos de uso: métricas de rendimiento y logs técnicos para la estabilidad del servicio (sin identificación individual)

3. Tratamiento mediante inteligencia artificial

Comercia AI es un sistema de recuperación aumentada por generación (RAG). El tratamiento de datos mediante IA se produce de la siguiente manera:

  • Ingestión de documentos: los documentos que subes son fragmentados (chunking) y convertidos en vectores numéricos (embeddings) mediante modelos de lenguaje. Estos embeddings se almacenan en nuestra base de datos vectorial (PostgreSQL + pgvector) para permitir la búsqueda semántica.
  • Procesamiento de consultas: cuando un usuario final envía una pregunta al asistente, la consulta se convierte en un embedding para recuperar los fragmentos de documentos más relevantes y construir una respuesta.
  • Generación de respuestas: los fragmentos recuperados y la consulta del usuario se envían a un proveedor de LLM externo (Google Gemini / OpenRouter) para generar la respuesta. El proveedor recibe únicamente el contexto necesario para responder; no almacena datos de forma persistente ni los usa para entrenar sus modelos.
  • Historial de conversaciones: las conversaciones se almacenan en nuestra base de datos para que el cliente pueda revisarlas en el panel de control. Se retienen mientras la cuenta esté activa.
  • Aprendizaje automático: las preguntas sin respuesta pueden generar sugerencias de contenido que el cliente puede aprobar o rechazar. No se produce reentrenamiento de modelos con los datos de los clientes.
Sin decisiones automatizadas con efectos jurídicos: el sistema no toma decisiones automatizadas que produzcan efectos jurídicos o que afecten significativamente a las personas en el sentido del Art. 22 RGPD.

4. Finalidad del tratamiento

Los datos se tratan exclusivamente para:

  • Prestar el servicio de asistente conversacional inteligente
  • Gestionar tu cuenta, suscripción y facturación
  • Procesar los documentos de la base de conocimiento y generar embeddings para la búsqueda semántica
  • Registrar y mostrar el historial de conversaciones en el panel
  • Enviar notificaciones operativas del servicio (transaccional)
  • Cumplir obligaciones legales y fiscales

No utilizamos los datos para elaborar perfiles comerciales ni para enviar comunicaciones de marketing sin consentimiento explícito.

5. Base jurídica del tratamiento

  • Ejecución del contrato (Art. 6.1.b RGPD): tratamiento necesario para prestar el servicio contratado (documentos, conversaciones, embeddings, facturación)
  • Interés legítimo (Art. 6.1.f RGPD): seguridad, prevención de fraude y mejora técnica del servicio mediante datos anonimizados
  • Obligación legal (Art. 6.1.c RGPD): conservación de datos fiscales y contables conforme a la legislación española
  • Consentimiento (Art. 6.1.a RGPD): para comunicaciones de marketing opcionales, si las hubiera en el futuro

6. Plazo de conservación

  • Cuenta y datos de servicio: durante la vigencia de la cuenta. Al cancelar, todos los datos se eliminan de forma permanente en un plazo máximo de 30 días.
  • Documentos e embeddings: eliminados automáticamente cuando el cliente los borra o al cancelar la cuenta.
  • Datos de facturación y contratos: conservados 5 años conforme a la legislación fiscal y mercantil española.
  • Logs técnicos: máximo 90 días con fines de diagnóstico.

7. Encargados de tratamiento y transferencias internacionales

Trabajamos con los siguientes proveedores que actúan como encargados de tratamiento:

  • Supabase — autenticación y base de datos relacional (AWS EU-West)
  • Stripe — procesamiento de pagos (UE/EEE; sujeto a cláusulas contractuales tipo para EE.UU.)
  • Cloudflare (R2) — almacenamiento de archivos en producción (sujeto a DPA Cloudflare, servidores en UE disponibles)
  • Google (Gemini API) — generación de respuestas y embeddings; sujeto a Google Cloud DPA con cláusulas contractuales tipo SCCs
  • OpenRouter — enrutamiento a modelos de LLM alternativos cuando se configure; sujeto a su DPA
  • Meta (WhatsApp Business API) — mensajería entrante/saliente; sujeto a las condiciones de Meta Platforms
  • Resend — envío de emails transaccionales; sujeto a su DPA (servidores en UE)

Las transferencias internacionales fuera del EEE se realizan bajo garantías adecuadas conforme al Art. 46 RGPD (cláusulas contractuales tipo, marcos de adecuación). No vendemos ni cedemos datos a terceros para ningún fin.

8. Sus derechos (ARCO y RGPD)

Conforme al RGPD y la LOPDGDD, puede ejercer los siguientes derechos:

  • Acceso (Art. 15 RGPD): solicitar una copia de los datos personales que tratamos sobre usted
  • Rectificación (Art. 16 RGPD): corregir datos inexactos o incompletos
  • Supresión / «derecho al olvido» (Art. 17 RGPD): solicitar la eliminación de sus datos cuando ya no sean necesarios
  • Limitación del tratamiento (Art. 18 RGPD): solicitar que restrinjamos el uso de sus datos en determinadas circunstancias
  • Portabilidad (Art. 20 RGPD): recibir sus datos en formato estructurado y legible por máquina, o solicitar su transmisión a otro responsable
  • Oposición (Art. 21 RGPD): oponerse al tratamiento basado en interés legítimo en cualquier momento
  • No ser objeto de decisiones automatizadas (Art. 22 RGPD): no aplicable en la versión actual del servicio

Para ejercer cualquiera de estos derechos, envíe un correo a [email protected] identificándose y especificando el derecho que desea ejercer. Responderemos en el plazo máximo de un mes (prorrogable hasta tres meses en casos complejos).

Si considera que sus derechos no han sido atendidos correctamente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

9. Política de cookies

Nuestro sitio web y aplicación utilizan únicamente cookies técnicas y funcionales necesarias para el correcto funcionamiento del servicio. No utilizamos cookies de seguimiento, publicidad ni analítica de terceros.

Las cookies que utilizamos son:

  • Cookies de sesión de autenticación: establecidas por Supabase Auth para mantener la sesión del usuario autenticado. Se eliminan al cerrar sesión o al expirar el token.
  • Almacenamiento local de preferencias: almacenan preferencias de idioma y configuración de la interfaz (localStorage, no enviado al servidor).
  • Cookies de seguridad CSRF: tokens de protección contra ataques Cross-Site Request Forgery (solo sesión, se eliminan al cerrar el navegador).
Sin cookies de tracking ni publicidad: al usar exclusivamente cookies técnicas necesarias, no es obligatorio mostrar un banner de consentimiento de cookies conforme a la LSSI-CE y las directrices de la AEPD. Sin embargo, si en el futuro se añaden cookies no esenciales, se implementará el mecanismo de consentimiento adecuado.

10. Medidas de seguridad

Aplicamos medidas técnicas y organizativas adecuadas para proteger sus datos, entre ellas:

  • Cifrado en tránsito (TLS 1.2+) en todas las comunicaciones
  • Cifrado en reposo para bases de datos y almacenamiento de archivos
  • Autenticación multifactor disponible para cuentas de administrador
  • Aislamiento multi-tenant: cada cliente solo accede a sus propios datos mediante Row-Level Security (RLS) en PostgreSQL
  • Control de acceso por roles (RBAC) y API keys con permisos limitados
  • Revisiones de seguridad periódicas del código y dependencias

11. Menores de edad

El servicio está dirigido a empresas y profesionales. No está destinado a menores de 14 años, conforme a la LOPDGDD española. Si detectamos que un menor ha proporcionado datos personales sin autorización, procederemos a su eliminación inmediata.

12. Servicio de la Sociedad de la Información (LSSI-CE)

Conforme a la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), informamos que Comercia AI es un prestador de servicios de la sociedad de la información establecido en España. Los datos de identificación del responsable están indicados en el apartado 1 de esta política.

El servicio puede ser accedido desde cualquier país, estando sujeto a la legislación española y de la Unión Europea en materia de protección de datos.

13. Cambios en esta política

Cualquier cambio relevante en esta política será notificado por correo electrónico con al menos 15 días de antelación. La versión vigente siempre estará disponible en esta página con la fecha de última actualización.

Para consultas adicionales sobre privacidad, contacte con [email protected].

← Volver a Inicio