CopilotoExtranjería ES
Volver
Privacidad

Política de privacidad

Tratamos datos personales sensibles —pasaporte, NIE, antecedentes, situación migratoria—. Por eso explicamos qué hacemos con ellos con el detalle que un despacho serio esperaría de su proveedor.

Última actualización: 9 de mayo de 2026

1. Responsable del tratamiento

  • Identidad: Aram Zakzuk [POR COMPLETAR: razón social si SL]
  • NIF / CIF: [POR COMPLETAR]
  • Dirección: [POR COMPLETAR — Madrid, España]
  • Contacto datos personales: aram@copilotoextranjeria.es
  • Delegado de Protección de Datos (DPO): no se ha designado por no concurrir las circunstancias del art. 37 RGPD ni del art. 34 LOPDGDD. Cualquier consulta relativa a protección de datos puede dirigirse al correo anterior.

2. Roles RGPD: dos relaciones distintas

Copiloto Extranjería actúa con dos roles distintos según de qué datos hablemos:

  • Responsable del tratamiento respecto de los datos de los profesionales que contratan el Servicio (despachos, abogados, gestores): datos de registro, facturación, soporte, marketing.
  • Encargado del tratamiento respecto de los datos del cliente final del despacho (la persona extranjera) que el despacho introduce en el Servicio para gestionar su expediente. En este caso el despacho cliente es el responsable del tratamiento y Copiloto Extranjería actúa siguiendo sus instrucciones, conforme al artículo 28 RGPD. Existe un Acuerdo de Encargo de Tratamiento (DPA) a disposición de cada despacho cliente.

3. Finalidades y base legal del tratamiento

  • Prestación del Servicio —gestión de expedientes, generación de escritos jurídicos, monitor de cita previa, portal cliente—. Base legal: ejecución de un contrato del que el interesado es parte (art. 6.1.b RGPD).
  • Facturación y obligaciones contables. Base legal: cumplimiento de una obligación legal (art. 6.1.c RGPD).
  • Comunicaciones transaccionales y de soporte (cambios en el Servicio, incidentes, respuestas a consultas). Base legal: ejecución del contrato.
  • Comunicaciones comerciales sobre novedades del producto a despachos clientes y prospects que hayan dado consentimiento u ostenten una relación comercial previa. Base legal: consentimiento (art. 6.1.a) o interés legítimo (art. 6.1.f), con derecho de oposición en cualquier momento.
  • Mejora del Servicio y prevención del fraude: analítica agregada y registros técnicos. Base legal: interés legítimo (art. 6.1.f). No se utilizan datos identificativos del cliente final del despacho para entrenar modelos.

4. Categorías de datos tratados

Datos del despacho cliente (responsable: Copiloto)

  • Identificativos: nombre, apellidos, email profesional, teléfono.
  • Datos de facturación: razón social, CIF, dirección fiscal.
  • Datos de uso del Servicio: registros de acceso, identificadores de sesión, dirección IP.

Datos del cliente final (responsable: el despacho; Copiloto actúa como encargado)

  • Identificativos: nombre, apellidos, fecha de nacimiento, nacionalidad.
  • Documento identificativo: NIE, pasaporte, número de expediente.
  • Datos de contacto: dirección, email, teléfono.
  • Datos socioeconómicos relevantes para el trámite: situación laboral, ingresos, vivienda, antecedentes penales.
  • Documentación adjunta al expediente: certificados, contratos, sentencias, resoluciones administrativas.

Categorías especiales (art. 9 RGPD)

Determinados expedientes pueden contener datos especialmente protegidos: origen racial o étnico, creencias religiosas, salud o datos relativos a condenas penales y antecedentes (art. 10 RGPD). Estos datos se tratan únicamente cuando son necesarios para el trámite, bajo las garantías reforzadas del art. 9 RGPD, y siempre por instrucción del despacho responsable.

5. Plazos de conservación

  • Datos del despacho cliente: mientras dure la relación contractual y, posteriormente, durante los plazos legales aplicables (6 años contables, 4 años fiscales).
  • Datos del cliente final: mientras el despacho responsable mantenga la cuenta activa y conserve el expediente. El despacho puede solicitar la eliminación o portabilidad en cualquier momento desde el panel.
  • Tokens de portal cliente: caducan a 90 días por defecto. Pueden revocarse por el despacho.
  • Registros técnicos (logs): 90 días en caliente, 12 meses en frío para cumplimiento normativo y detección de incidentes.
  • Cuenta inactiva: tras 12 meses sin acceso, se notifica al titular y se procede a la supresión o anonimización de los datos en los siguientes 30 días, salvo obligación legal de conservación.

6. Destinatarios y subencargados de tratamiento

Para prestar el Servicio recurrimos a proveedores tecnológicos que actúan como subencargados de tratamiento. Todos están vinculados por contratos conformes al art. 28 RGPD:

ProveedorFinalidadUbicación
Vercel Inc.Hosting de la aplicaciónUE (Frankfurt fra1)
Supabase Inc.Base de datos PostgreSQL + storageUE (Irlanda eu-west-1)
Anthropic PBCModelos de IA (Claude) para redacción y extracciónEE.UU. (SCC)
Voyage AIEmbeddings vectoriales para búsqueda RAGEE.UU. (SCC)
Stripe Payments EuropeProcesamiento de pagos y suscripcionesUE (Irlanda) / EE.UU. (SCC)
ResendEnvío de emails transaccionalesEE.UU. (SCC)
SentryTelemetría de errores (con redacción de PII)UE (Frankfurt)
UpstashRate limiting y cachéUE (eu-west-1)
Cloudflare Inc.Protección anti-bot (Turnstile)Global (SCC para tráfico fuera UE)
Google WorkspaceCorreo corporativo del responsableEE.UU. (SCC)

No se ceden datos personales a terceros distintos de los anteriores, salvo obligación legal o requerimiento de autoridad competente.

7. Transferencias internacionales

Algunos subencargados son entidades estadounidenses. En estos casos, la transferencia se realiza con base en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) o, cuando aplique, en la Decisión de adecuación EU-US Data Privacy Framework. No se transfieren al exterior datos identificativos del cliente final con anterioridad a la pseudonimización para los procesos de embeddings y generación.

8. Decisiones automatizadas y elaboración de perfiles

El Servicio utiliza modelos de inteligencia artificial (Claude Sonnet/Haiku, Voyage Embeddings) para:

  • Extracción de datos de documentos cargados por el despacho.
  • Redacción asistida de escritos, recursos y formularios.
  • Búsqueda semántica sobre el corpus legal indexado.

Estas operaciones no constituyen decisiones automatizadas con efectos jurídicos en el sentido del art. 22 RGPD: el output de la IA es siempre revisado y validado por un profesional del despacho antes de su presentación ante la administración o terceros. La responsabilidad final del contenido jurídico corresponde al despacho.

9. Derechos de las personas interesadas

Cualquier persona puede ejercer los siguientes derechos reconocidos por el RGPD y la LOPDGDD:

  • Acceso: conocer qué datos personales tratamos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión («derecho al olvido»): eliminar los datos cuando ya no sean necesarios.
  • Oposición: oponerse al tratamiento por motivos relacionados con la situación particular.
  • Portabilidad: recibir los datos en formato estructurado, de uso común y lectura mecánica.
  • Limitación: solicitar la suspensión del tratamiento.
  • Retirada del consentimiento: cuando el tratamiento se base en él, en cualquier momento.

Para ejercer cualquiera de estos derechos, escriba a aram@copilotoextranjeria.es indicando el derecho que desea ejercer y acompañando copia de un documento identificativo. La respuesta se emitirá en el plazo máximo de un mes (prorrogable a dos en casos complejos).

Cliente final del despacho: si los datos forman parte de un expediente gestionado por un despacho, la solicitud debe dirigirse en primer término al despacho responsable. Copiloto colaborará con el despacho para atender la solicitud en plazo.

10. Reclamaciones ante la autoridad de control

Si considera que sus derechos no han sido debidamente atendidos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6 — 28001 Madrid, o a través de su sede electrónica en www.aepd.es.

11. Seguridad de los datos

Aplicamos medidas técnicas y organizativas conformes al art. 32 RGPD: cifrado en tránsito (TLS 1.3) y en reposo, aislamiento multi-tenant a nivel de base de datos (Row Level Security), control de accesos por roles, registros de auditoría, formación continua y política de respuesta a incidentes. Detalle técnico en /seguridad.

12. Modificaciones de esta política

Esta política puede modificarse para adaptarse a cambios normativos, jurisprudenciales o del Servicio. Las modificaciones surtirán efecto desde su publicación en el Sitio Web. Comunicaremos los cambios sustanciales con antelación razonable a los despachos clientes activos.

Documentos relacionados