POLÍTICA DE PRIVACIDAD

Responsable del tratamiento. Alba Tech Lab, S.L. (en adelante "Alba Tech"), con CIF B19855253 y domicilio en Calle Limonero 22, 28020 Madrid. Inscrita en el Registro Mercantil de Madrid, Hoja M-827429. Correo para ejercer derechos de protección de datos: privacy@joinaurora.io . Correo de contacto general: hola@joinaurora.io .

Delegado de Protección de Datos. No existe obligación de designar Delegado de Protección de Datos conforme al artículo 37 del Reglamento General de Protección de Datos. Para cualquier asunto relacionado con privacidad puedes escribir a privacy@joinaurora.io .

Alcance de esta política. Este documento describe los tratamientos que realiza Alba Tech en dos contextos diferenciados: (i) el sitio web público www.joinaurora.io, donde tratamos datos de visitantes, suscriptores de la newsletter y solicitantes de acceso a la beta; y (ii) la aplicación Aurora, accesible en app.joinaurora.io (la plataforma SaaS de business-ops con IA), donde tratamos datos de los usuarios de la cuenta y, en condición de encargado del tratamiento, los datos que cada cliente sube a su organización.

Lista de espera de la beta. Cuando rellenas el formulario de solicitud de acceso recogemos tu nombre, email, empresa, tamaño de equipo y, si lo aportas voluntariamente, una descripción de tu reto operativo principal. Finalidad: gestionar tu solicitud de acceso a la beta y comunicarnos contigo en relación con ella. Base legal: tu consentimiento (artículo 6.1.a RGPD) y la ejecución de medidas precontractuales a petición tuya (artículo 6.1.b RGPD). Conservación: 24 meses desde el último contacto, salvo que antes solicites la supresión o que la relación con Alba Tech se prolongue como cliente.

Newsletter Aurora Weekly. Cuando te suscribes recogemos tu email. Finalidad: enviarte la newsletter semanal con contenidos sobre Aurora. Base legal: tu consentimiento (artículo 6.1.a RGPD), confirmado mediante doble opt-in. Conservación: hasta que solicites la baja desde el enlace que incluye cada email, o escribiendo a privacy@joinaurora.io .

Consultas por email. Cuando nos escribes a hola@joinaurora.io o privacy@joinaurora.io tratamos los datos que incluyas en el mensaje para responderte. Base legal: tu consentimiento al iniciar la comunicación e interés legítimo en atender al usuario. Conservación: durante el tiempo necesario para resolver la consulta y los plazos legales aplicables.

Medición de uso de la web. Recogemos métricas agregadas y anónimas de cómo se usa el sitio mediante Vercel Web Analytics y Vercel Speed Insights (ambos prestados por nuestro proveedor de hosting). Estas herramientas no instalan cookies ni utilizan localStorage para identificar al visitante. Para contar visitantes únicos por día, Vercel genera un hash a partir de la IP y el user-agent con una sal que rota cada 24 horas; el hash no se almacena en tu navegador y deja de correlacionarse al día siguiente. Datos tratados: páginas visitadas, referente, país, dispositivo, métricas Web Vitals (LCP, INP, CLS) y la huella efímera descrita. Finalidad: estadística agregada para mejorar la web. Base legal: interés legítimo (artículo 6.1.f RGPD) en medir y mejorar nuestro propio sitio sin construir perfiles de los visitantes, tras ponderación que considera mínimo el impacto sobre los usuarios al no emplear cookies, identificadores persistentes ni rastreo entre sitios.

Protección frente a abusos en los formularios. Los formularios están protegidos por Vercel BotID, que analiza señales del navegador para detectar bots automatizados. Base legal: interés legítimo (artículo 6.1.f RGPD) en proteger el servicio frente al abuso automatizado, tras ponderación que considera mínimo el impacto sobre los usuarios humanos.

Alba Tech actúa como responsable del tratamiento respecto de los datos necesarios para abrir, mantener y facturar tu cuenta de usuario en la aplicación Aurora.

Cuenta y autenticación. Tratamos email, hash de contraseña, tokens de sesión y metadatos de inicio de sesión (proveedor de autenticación, fecha y dispositivo). La autenticación admite email y contraseña, enlace mágico y OAuth con Google. Finalidad: dar de alta tu cuenta, identificarte y mantener tu sesión activa de forma segura. Base legal: ejecución del contrato de servicio (artículo 6.1.b RGPD).

Organización y miembros. Para cada organización que crees registramos su nombre comercial, NIF/CIF, país, rol de cada miembro e invitaciones pendientes. Finalidad: aislar tu información del resto de clientes y gestionar los permisos del equipo. Base legal: ejecución del contrato.

Telemetría de uso del asistente. Registramos eventos por sesión, tokens consumidos, coste, modelo utilizado, identificador de organización, identificador de usuario y correlación de cada llamada. Finalidad: facturación interna del consumo de IA, prevención de abuso y mejora del producto. Base legal: ejecución del contrato (artículo 6.1.b RGPD) y obligación legal de facturación (artículo 6.1.c RGPD).

Email transaccional. Enviamos correos relacionados con tu cuenta (invitaciones al equipo, recuperación de acceso, avisos de seguridad). Finalidad: prestar el servicio. Base legal: ejecución del contrato.

Respecto de los datos que tu organización sube a Aurora para operar su negocio (contactos, empleados, nóminas, facturas, tesorería, conexiones bancarias, integraciones, conversaciones con el asistente, etc.) Alba Tech actúa como encargado del tratamiento. El responsable es tu organización (el cliente). Las finalidades, bases jurídicas y plazos de conservación de esos datos los determina el cliente y se regulan en el Contrato de Encargo del Tratamiento (DPA) , que se firma como parte de la relación contractual y que puedes descargar directamente desde esa página.

Categorías de datos del cliente que tratamos por su cuenta. CRM (contactos, datos de contacto, NIF/CIF, IBAN, mandato SEPA); recursos humanos (datos identificativos y laborales de empleados); nóminas (importes brutos, retenciones, cotizaciones); facturación y documentos OCR; tesorería y movimientos bancarios; conexiones de Open Banking; integraciones con sistemas del cliente (Holded, Google Workspace, Notion, otros); contenido de chats y ejecuciones del asistente de IA; libro contable y auditoría.

No tratamos categorías especiales de datos del artículo 9 RGPD (salud, religión, orientación sexual, etc.) de forma intencionada. Los datos de nómina y los documentos de identidad (DNI/NIE) tienen consideración de datos sensibles bajo la LOPDGDD y la normativa laboral española y se tratan con las medidas reforzadas descritas en la sección de seguridad.

Cada mensaje que envías al asistente recorre los pasos descritos arriba. El análisis previo de Lakera Guard busca intentos de inyección de prompts y tiene como base legal el interés legítimo en la seguridad del servicio (artículo 6.1.f RGPD). El enrutamiento primario se hace a través de Vercel AI Gateway; si éste no está disponible, el sistema recurre a OpenRouter como alternativo.

Lo que NO hacemos con tus mensajes:

• — No entrenamos modelos generales con los datos que envías.
• — Los proveedores de IA tampoco lo hacen: operan en modalidad "zero data retention" cuando el proveedor lo ofrece, y nuestros contratos lo prohíben en todo caso.
• — No construimos perfiles publicitarios con tus conversaciones.
• — No compartimos los chats con redes sociales ni con terceros más allá de los subencargados enumerados en la sección E.
• — No usamos tus conversaciones para mejorar productos distintos al que tu organización ha contratado.

Proveedores de IA y su política de retención:

• — Anthropic (Claude). Zero data retention en el plan API. Los datos enviados por la interfaz de programación no se utilizan para entrenar modelos.
• — OpenAI (GPT). Plan API empresarial: no se entrena con tus datos por defecto. Logs de seguridad retenidos por un periodo limitado.
• — Google (Gemini). API empresarial. Sin entrenamiento ni perfiles publicitarios construidos con datos de cliente.
• — Lakera Guard. Solo análisis transaccional de cada mensaje, sin retención persistente del contenido.

El asistente puede proponer acciones sobre los datos del cliente (crear una factura, registrar un movimiento, etc.), pero ninguna escritura se ejecuta sin una confirmación explícita del usuario. Por tanto, el asistente no toma decisiones automatizadas con efectos jurídicos en el sentido del artículo 22 RGPD.

Para prestar los servicios compartimos los datos estrictamente necesarios con proveedores que actúan como encargados o subencargados del tratamiento bajo contratos conformes al artículo 28 RGPD. La relación completa, agrupada por categoría (infraestructura, inteligencia artificial, email, marketing, DNS e integraciones que el cliente activa) se publica en la página de subencargados , que mantenemos actualizada.

En esa página puedes consultar, para cada subencargado, su función concreta, los datos que recibe, dónde opera y la garantía RGPD aplicable (EU-US Data Privacy Framework, cláusulas contractuales tipo o decisión de adecuación). También está disponible el feed RSS para recibir avisos automáticos cuando añadamos, sustituyamos o retiremos un proveedor.

Algunos de los encargados y subencargados anteriores tratan datos fuera del Espacio Económico Europeo, principalmente en Estados Unidos. Estas transferencias se realizan al amparo del EU-US Data Privacy Framework para los proveedores certificados, y en su defecto, de las cláusulas contractuales tipo aprobadas por la Comisión Europea, complementadas con medidas adicionales cuando resultan necesarias. Lakera AG opera desde Suiza, país con decisión de adecuación de la Comisión Europea. La residencia del sandbox de ejecución del asistente está fijada a regiones de la Unión Europea (Fráncfort, París, Estocolmo).

Datos del sitio web público: según los plazos indicados en la sección A.

Datos de cuenta de usuario: mientras la cuenta esté activa. Si la cuenta se suprime, eliminamos los datos personales en un plazo razonable salvo obligación legal de conservarlos.

Datos del cliente alojados en la aplicación: durante la vigencia de la suscripción. A la baja del cliente o a petición suya, los suprimimos en el plazo y forma previstos en el DPA, conservando únicamente lo exigido por obligaciones legales (en particular, los datos contables y fiscales durante seis años, conforme a la Ley General Tributaria).

Tokens OAuth de integraciones: hasta que el usuario revoque la conexión desde la propia aplicación.

Conversaciones con el asistente y eventos de sesión: estamos implementando una política de retención configurable. Mientras tanto, los conservamos durante la vigencia de la suscripción y los suprimimos a petición o a la baja del cliente.

Callbacks de Open Banking (Wealth Reader): 90 días, mediante proceso automático.

Logs técnicos: solo se envían a la salida estándar del servicio, sin contener cuerpos de petición en producción.

Aplicamos medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos: cifrado en tránsito (TLS) y en reposo en la base de datos; aislamiento de datos entre organizaciones mediante reglas de seguridad a nivel de fila (Row Level Security) en la base de datos; política de contraseñas con longitud mínima, complejidad y rechazo de contraseñas filtradas; opción de inicio de sesión federado con Google; cifrado adicional AES-256-GCM de los tokens de Open Banking; revocación efectiva de las conexiones OAuth desde la aplicación; registro de auditoría de las sesiones del asistente; lista blanca de salidas de red en el sandbox de ejecución; redacción automática de secretos en los logs; y revisión periódica de las medidas.

Estamos trabajando en extender el cifrado adicional en reposo a los tokens OAuth de Google, Notion y a las claves de API de Holded, que a día de hoy se protegen mediante el aislamiento por organización y los controles de acceso de la base de datos.

Tienes derecho a acceder a tus datos personales, rectificarlos cuando sean inexactos, suprimirlos, oponerte al tratamiento, solicitar la limitación del tratamiento y la portabilidad de los datos en los términos previstos por el RGPD. Puedes retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

Cómo ejercerlos. Muchos derechos puedes ejercerlos directamente desde la aplicación: editar tu perfil y el de tu organización, revocar integraciones, exportar el libro contable. Para el resto —en particular acceso completo, supresión de la cuenta y portabilidad de datos en formato estructurado— escribe a privacy@joinaurora.io identificándote suficientemente. Atendemos cada solicitud en un plazo máximo de un mes, prorrogable en casos especialmente complejos.

Estamos desarrollando funcionalidades de autoservicio adicionales (borrado de cuenta y exportación completa de los datos en un único fichero). Mientras no estén disponibles, ejecutamos esas solicitudes manualmente con la misma garantía de plazo.

Reclamación ante la autoridad de control. Si consideras que tus derechos no han sido atendidos correctamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

Sitio web público (www.joinaurora.io). No instalamos cookies analíticas ni de publicidad. La analítica de uso se realiza sin cookies mediante Vercel Web Analytics y Vercel Speed Insights, según se describe en la sección A. Tampoco utilizamos cookies de redes sociales, retargeting, A/B testing ni grabación de sesiones. Por este motivo no se muestra un banner de consentimiento de cookies: no hay cookies sujetas al artículo 22.2 LSSI que requieran tu permiso.

Aplicación Aurora (app.joinaurora.io). Sólo se utilizan cookies técnicas estrictamente necesarias para mantener la sesión autenticada (gestionadas por Supabase Auth) y proteger los flujos OAuth frente a ataques CSRF. Estas cookies están exentas de consentimiento por ser imprescindibles para prestar el servicio. La aplicación también utiliza localStorage para recordar preferencias de interfaz (tema, borradores del chat, estado del onboarding); no contiene datos personales y permanece únicamente en tu navegador.

Si en el futuro incorporáramos cookies o tecnologías sujetas a consentimiento, actualizaríamos esta política y solicitaríamos tu permiso mediante un mecanismo expreso antes de su instalación.

Comunicación a terceros. No vendemos ni cedemos tus datos a terceros con finalidades publicitarias. Solo los comunicamos a los encargados y subencargados indicados, o cuando exista obligación legal de hacerlo (por ejemplo, requerimiento judicial o administrativo).

Decisiones automatizadas. No se toman decisiones automatizadas con efectos jurídicos ni se realiza elaboración de perfiles. El asistente de IA propone acciones, pero las escrituras sobre los datos del cliente requieren confirmación explícita del usuario.

Menores. Los servicios de Alba Tech están dirigidos a profesionales y no a menores de 14 años. No tratamos a sabiendas datos de menores. Si tienes constancia de que un menor nos ha facilitado datos, contáctanos para suprimirlos.

Actualizaciones. Esta Política puede actualizarse para reflejar cambios legales, técnicos u organizativos. Te recomendamos revisarla periódicamente. La fecha de la última actualización figura al final del documento. Los cambios sustanciales se comunicarán además por los canales habituales (email a los usuarios de la aplicación, aviso en la web).