Política de Privacidad

PlugIA

Última actualización: [dd/mm/aaaa] · Titular: Jonathan Ivrea (persona física; PlugIA SL en constitución) · Contacto de privacidad: jonathan@plugia.es

Índice

1. Identificación del responsable · 2. Objeto y ámbito · 3. Principios del tratamiento · 4. Qué datos personales tratamos · 5. Datos que NO tratamos: arquitectura local · 6. Datos de servicios de Google y Microsoft · 7. Finalidades y bases legales · 8. Uso de inteligencia artificial y decisiones automatizadas · 9. Conservación de los datos · 10. Destinatarios y encargados del tratamiento · 11. Transferencias internacionales · 12. Derechos del interesado · 13. Cómo ejercer sus derechos · 14. Medidas de seguridad · 15. Menores de edad · 16. Cookies y tecnologías similares · 17. Modificaciones de esta Política · 18. Contacto · 19. A.1. Aplicabilidad y aceptación · 20. A.2. Objeto, duración, naturaleza y finalidad · 21. A.3. Obligaciones de PlugIA como encargado · 22. A.4. Obligaciones del Cliente como responsable · 23. A.5. Subencargados autorizados · 24. A.6. Auditoría · 25. A.7. Ley aplicable

1. Identificación del responsable

El responsable del tratamiento de los datos personales recogidos a través de plugia.es y del Servicio PlugIA es:

• Responsable: Jonathan Ivrea

• NIF/DNI: [a completar]

• Domicilio: C. Valle del Roncal, 28692 Villanueva de la Cañada, Madrid, España

• Correo electrónico: jonathan@plugia.es

• Teléfono: +34 689 438 578

PlugIA SL se encuentra en proceso de constitución. Una vez inscrita en el Registro Mercantil, esta política será actualizada para reflejar la titularidad de la sociedad.

2. Objeto y ámbito

Esta Política explica cómo PlugIA recoge, utiliza, comparte y protege los datos personales de:

• Visitantes del sitio web plugia.es.

• Personas que rellenan formularios de contacto o reserva de demo.

• Clientes que descargan e instalan la aplicación PlugIA.

• Usuarios administradores y usuarios adicionales dados de alta en planes multiusuario.

Esta Política es complementaria a los Términos y Condiciones de Uso (/terminos-de-uso) y a la Política de Cookies.

3. Principios del tratamiento

Aplicamos los principios del artículo 5 del RGPD: licitud y transparencia, limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación, e integridad y confidencialidad.

4. Qué datos personales tratamos

4.1. Datos del formulario web (reserva de demo y contacto)

• Nombre y apellidos

• Correo electrónico profesional

• Empresa

• Teléfono

• Mensaje libre (opcional)

4.2. Datos de cuenta (usuario administrador)

• Nombre y apellidos

• Correo electrónico profesional

• Contraseña cifrada (nunca en texto plano)

• Nombre de la empresa

• CIF/NIF de la empresa

• Dirección de facturación

• Teléfono

4.3. Datos de usuarios adicionales en planes multiusuario

• Nombre y apellidos

• Correo electrónico profesional

4.4. Datos de facturación

Los datos de tarjeta (número, caducidad, CVC) no son almacenados por PlugIA. Son procesados directamente por Stripe. PlugIA únicamente conserva los identificadores tokenizados necesarios para gestionar los cobros y los datos fiscales necesarios para la facturación.

4.5. Datos operativos y técnicos mínimos

• Identificadores de cuenta y de licencia

• Registros de conexión de la aplicación al servidor de licencias

• Contador de ejecuciones consumidas (número, no contenido)

• Estado técnico de la cuenta (activa, suspendida, cancelada)

5. Datos que NO tratamos: arquitectura local

Diferencial de PlugIA: a diferencia de otras plataformas SaaS de IA que suben todos los contenidos del cliente a la nube, PlugIA está diseñado para que los contenidos permanezcan en el entorno local del Cliente.

Los siguientes contenidos no se almacenan en los servidores de PlugIA:

• Correos electrónicos y sus adjuntos

• Documentos, facturas, contratos, presupuestos y albaranes

• Hojas de cálculo y bases de datos del Cliente

• Registros de ejecución detallados de los agentes

• Cualquier contenido de las herramientas conectadas por el Cliente

Si el Cliente desinstala la aplicación de su ordenador, todos los contenidos procesados por los agentes desaparecen con ella.

6. Datos de servicios de Google y Microsoft

PlugIA se integra con servicios de Google (Gmail, Google Drive, Google Sheets) y Microsoft (Outlook, OneDrive, SharePoint, Microsoft Teams) mediante conectores basados en las API oficiales de cada proveedor. Cuando el Cliente conecta una de estas cuentas, PlugIA solicita únicamente los permisos (scopes) estrictamente necesarios para la funcionalidad contratada.

6.1. Permisos solicitados (scopes)

Los permisos concretos que PlugIA solicita a cada servicio de Google y Microsoft son los siguientes:

• Google Gmail: [Andrés confirma scopes exactos, ej. gmail.readonly, gmail.modify]

• Google Drive: [scopes]

• Google Sheets: [scopes]

• Microsoft Outlook / Graph Mail: [scopes]

• Microsoft OneDrive / SharePoint: [scopes]

• Microsoft Teams: [scopes]

6.2. Uso limitado de los datos

El uso que PlugIA hace de los datos de Google y Microsoft se rige por el principio de uso limitado, en cumplimiento de la Google API Services User Data Policy y de las Microsoft APIs Terms of Use. En concreto:

• PlugIA solo utiliza estos datos para prestar al Cliente las funcionalidades contratadas: clasificar correos, extraer datos de documentos, generar respuestas, archivar y organizar información.

• PlugIA no vende los datos obtenidos de Google o Microsoft.

• PlugIA no utiliza estos datos para publicidad, ni propia ni de terceros.

• PlugIA no permite a operadores humanos leer los datos de Google o Microsoft, salvo (a) autorización expresa del Cliente para resolver una incidencia de soporte, (b) requerimiento legal, o (c) para asegurar el correcto funcionamiento del servicio y la seguridad del sistema.

• PlugIA no utiliza estos datos para entrenar modelos de inteligencia artificial, propios ni de terceros.

6.3. Procesamiento local del correo electrónico

El procesamiento del correo electrónico procedente de Gmail y Outlook (clasificación, filtrado, priorización) se realiza mediante reglas ejecutadas localmente en el ordenador del Cliente. Los contenidos de los correos electrónicos —asunto, cuerpo del mensaje, remitente, destinatario y metadatos— no se envían a servidores externos en ningún momento, ni a PlugIA ni a terceros.

6.4. Uso limitado de inteligencia artificial en documentos adjuntos

Cuando un proceso configurado por el Cliente requiere la clasificación automática de documentos adjuntos (por ejemplo, para identificar facturas, órdenes de compra o tickets de gasto), el sistema envía únicamente la primera página del documento adjunto a Anthropic PBC (Estados Unidos) para su clasificación por modelos de inteligencia artificial.

Este envío es transitorio y no persiste en la infraestructura de PlugIA. El resto del contenido del documento, así como el resto del correo electrónico asociado, no se envía en ningún caso a Anthropic ni a ningún otro proveedor externo.

Este envío se realiza al amparo de las cláusulas contractuales tipo aprobadas por la Comisión Europea. Anthropic, según su política pública, no utiliza los datos recibidos vía API para entrenar sus modelos y aplica una política de retención limitada.

6.5. Revocación del acceso

El Cliente puede revocar el acceso de PlugIA a su cuenta de Google en cualquier momento desde Permisos de la cuenta de Google (https://myaccount.google.com/permissions), y a su cuenta de Microsoft desde Aplicaciones y servicios de Microsoft (https://myaccount.microsoft.com/consent).

7. Finalidades y bases legales

Finalidad: Gestionar la solicitud de demo y responder al contacto · Base legal (art. 6 RGPD): Ejecución de medidas precontractuales (art. 6.1.b) · Datos utilizados: Datos del formulario

Finalidad: Prestar el Servicio contratado · Base legal (art. 6 RGPD): Ejecución del contrato (art. 6.1.b) · Datos utilizados: Datos de cuenta, usuarios adicionales, técnicos, conexiones autorizadas

Finalidad: Facturación y obligaciones contables y fiscales · Base legal (art. 6 RGPD): Obligación legal (art. 6.1.c) · Datos utilizados: Datos fiscales e historial de facturación

Finalidad: Prevención del fraude y seguridad · Base legal (art. 6 RGPD): Interés legítimo (art. 6.1.f) / Obligación legal (art. 6.1.c) · Datos utilizados: Datos técnicos de acceso y uso

Finalidad: Comunicaciones sobre actualizaciones del producto · Base legal (art. 6 RGPD): Consentimiento (art. 6.1.a) / Interés legítimo para clientes existentes (art. 6.1.f) · Datos utilizados: Correo electrónico

8. Uso de inteligencia artificial y decisiones automatizadas

El Servicio utiliza modelos de inteligencia artificial de Anthropic PBC (Claude API) para tareas de clasificación, extracción de datos, generación de textos y análisis.

8.1. Compromisos de PlugIA

• PlugIA no utiliza los datos del Cliente para entrenar ni sus modelos ni los de terceros.

• Anthropic, según su política pública, no utiliza los datos de la API para entrenar sus modelos.

• Los resultados generados por los modelos de IA son probabilísticos y pueden contener errores.

8.2. Revisión humana en decisiones sensibles

Los resultados generados por la IA en funcionalidades con impacto sobre terceros (cobros, presupuestos, respuestas a clientes) se presentan al Cliente como propuestas para aprobación humana. No se ejecutan acciones sensibles sin intervención humana previa.

8.3. Ausencia de decisiones automatizadas con efectos jurídicos

PlugIA no toma decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos sobre las personas (art. 22 RGPD).

9. Conservación de los datos

Tipo de dato: Datos del formulario sin conversión · Plazo de conservación: Máximo 12 meses desde el último contacto

Tipo de dato: Datos de cuenta activa · Plazo de conservación: Durante la vigencia de la suscripción

Tipo de dato: Datos tras cancelación · Plazo de conservación: 30 días de gracia; después, borrado o anonimización

Tipo de dato: Datos fiscales y de facturación · Plazo de conservación: Hasta 6 años (obligación legal)

Tipo de dato: Logs técnicos en servidores de PlugIA · Plazo de conservación: [sugerencia: 12 meses]

Tipo de dato: Contenidos procesados por los agentes · Plazo de conservación: Bajo control del Cliente; se eliminan al desinstalar la aplicación

10. Destinatarios y encargados del tratamiento

Proveedor: Anthropic PBC · Finalidad: Procesamiento por modelos de IA (Claude API) · Ubicación: Estados Unidos

Proveedor: Stripe Payments Europe, Ltd. · Finalidad: Procesamiento de pagos · Ubicación: Irlanda (UE) / Estados Unidos

Proveedor: Wix.com Ltd. · Finalidad: Alojamiento del sitio web plugia.es · Ubicación: Israel / Estados Unidos

Proveedor: Railway Corp. · Finalidad: Infraestructura de backend · Ubicación: [Andrés confirma región]

Proveedor: Google LLC / Google Ireland Ltd. · Finalidad: Acceso vía OAuth cuando el Cliente conecta Gmail, Drive o Sheets · Ubicación: Irlanda (UE) / Estados Unidos

Proveedor: Microsoft Corp. / Microsoft Ireland · Finalidad: Acceso vía OAuth cuando el Cliente conecta Outlook, OneDrive, SharePoint o Teams · Ubicación: Irlanda (UE) / Estados Unidos

Proveedor: Namecheap, Inc. · Finalidad: Registro del dominio plugia.es · Ubicación: Estados Unidos

11. Transferencias internacionales

Las transferencias a proveedores fuera del Espacio Económico Europeo se realizan bajo las garantías del Capítulo V del RGPD:

• Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

• Data Privacy Framework (DPF) UE–EE. UU. cuando el proveedor esté adherido.

• Medidas técnicas complementarias como cifrado en tránsito y en reposo.

12. Derechos del interesado

Cualquier interesado tiene derecho a: acceso, rectificación, supresión (derecho al olvido), oposición, limitación del tratamiento, portabilidad, retirada del consentimiento y no ser objeto de decisiones automatizadas con efectos jurídicos.

13. Cómo ejercer sus derechos

Escribir a jonathan@plugia.es o al domicilio postal indicado en la sección 1, aportando:

• Nombre y apellidos

• Copia de un documento identificativo

• Derecho que desea ejercer y descripción

Responderemos en un plazo máximo de un mes, ampliable dos meses en casos complejos.

Si considera que su solicitud no ha sido atendida, puede reclamar ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es (https://www.aepd.es).

14. Medidas de seguridad

Aplicamos medidas técnicas y organizativas adecuadas:

• Cifrado de comunicaciones mediante HTTPS/TLS.

• Cifrado de contraseñas mediante algoritmos estándar.

• Autenticación individual por usuario.

• Control de acceso por roles a los sistemas internos.

• Registros de auditoría de accesos a los datos personales.

• Actualización periódica de sistemas y librerías.

• Suite automática de pruebas de seguridad.

• Minimización de datos: en los servidores solo se almacenan referencias operativas, no los contenidos.

En caso de brecha de seguridad con alto riesgo, notificaremos a la AEPD en un plazo máximo de 72 horas y a los interesados afectados sin dilación indebida, conforme a los artículos 33 y 34 del RGPD.

15. Menores de edad

PlugIA es un servicio B2B dirigido exclusivamente a profesionales, autónomos y empresas. Su uso está reservado a personas mayores de 18 años en representación de una entidad económica. No se recogen conscientemente datos de menores.

16. Cookies y tecnologías similares

El sitio web plugia.es no utiliza cookies de análisis, publicidad ni perfilado. Las únicas cookies presentes son las técnicas necesarias para el funcionamiento del sitio y del proveedor Wix, exentas de consentimiento conforme al artículo 22.2 de la LSSI. Más información en la Política de Cookies (/politica-de-cookies).

17. Modificaciones de esta Política

Podremos actualizar esta Política para reflejar cambios legales, técnicos o de negocio. Los cambios sustanciales serán notificados a los usuarios registrados por correo electrónico con una antelación mínima de 30 días.

18. Contacto

• Correo electrónico: jonathan@plugia.es

• Correo postal: C. Valle del Roncal, 28692 Villanueva de la Cañada, Madrid, España

Anexo — Contrato de Encargado del Tratamiento (DPA) · Artículo 28 del Reglamento (UE) 2016/679 (RGPD)

A.1. Aplicabilidad y aceptación

Este Anexo se aplica cuando el Cliente introduce o conecta al Servicio datos personales de terceros (correos de sus clientes, empleados, proveedores, etc.). En dicho tratamiento:

• El Cliente actúa como Responsable del Tratamiento.

• PlugIA actúa como Encargado del Tratamiento por cuenta del Cliente.

La aceptación de los Términos y Condiciones implica la aceptación de este Anexo, que tiene la consideración de contrato de encargado del tratamiento conforme al artículo 28 del RGPD.

A.2. Objeto, duración, naturaleza y finalidad

• Objeto: tratamiento de datos personales de terceros necesario para prestar el Servicio.

• Duración: mientras el Cliente mantenga activa la suscripción.

• Naturaleza: clasificación, extracción, análisis y generación de textos.

• Tipos de datos: identificativos, de contacto, comerciales, y contenidos de comunicaciones y documentos conectados por el Cliente.

• Interesados: clientes, empleados, proveedores y otros contactos del Cliente.

A.3. Obligaciones de PlugIA como encargado

• Tratar los datos únicamente conforme a las instrucciones del Cliente.

• Garantizar la confidencialidad del personal autorizado.

• Aplicar las medidas de seguridad descritas en la sección 14.

• No recurrir a subencargados sin autorización. Los actuales figuran en la sección 10.

• Asistir al Cliente para atender solicitudes de derechos.

• Notificar brechas de seguridad sin dilación indebida.

• Eliminar o devolver los datos a la finalización del contrato.

A.4. Obligaciones del Cliente como responsable

• Disponer de las bases jurídicas necesarias para tratar los datos.

• Informar adecuadamente a los interesados.

• Utilizar el Servicio conforme a la normativa aplicable.

• Ejercer sus obligaciones frente a interesados y autoridades competentes.

A.5. Subencargados autorizados

El Cliente autoriza a los subencargados indicados en la sección 10. PlugIA impone a estos subencargados obligaciones equivalentes a las asumidas frente al Cliente. En caso de incumplimiento, PlugIA responde conforme al artículo 28.4 del RGPD.

A.6. Auditoría

PlugIA pondrá a disposición del Cliente, previa solicitud razonable y con preaviso mínimo de 30 días, la información necesaria para verificar el cumplimiento de este Anexo, sujeta a confidencialidad.

A.7. Ley aplicable

Este Anexo se rige por la legislación española y el Derecho de la Unión Europea. Los tribunales competentes son los de Madrid.

PlugIA · jonathan@plugia.es · C. Valle del Roncal, 28692 Villanueva de la Cañada, Madrid