Política de privacidad
Actualizado el 8 de julio de 2026
Somos una capa de integración sobre Google Vertex AI Search. La búsqueda, la generación de respuestas y la indexación se ejecutan en la infraestructura de Google Cloud. Esta política describe qué datos se tratan, quién es responsable de qué y cómo se gestionan los derechos de los interesados.
Roles: quién es responsable y quién es encargado
El propietario del sitio que incrusta el widget es el responsable del tratamiento de los datos de sus visitantes y de su contenido. Nosotros actuamos como encargado por cuenta del propietario, y Google Cloud es subencargado (tratamiento dentro de Vertex AI / Gemini). Respecto de la cuenta propia del propietario (email, pagos), somos el responsable del tratamiento.
También tratamos, en una medida limitada, el texto de las consultas de los visitantes para nuestros propios fines — métricas de calidad y protección frente a abusos; en esa parte concreta actuamos como responsable independiente. La base jurídica es nuestro interés legítimo (Art. 6(1)(f) GDPR) en mantener el servicio operativo, seguro y preciso; realizamos una evaluación de intereses legítimos (LIA), y este interés no prevalece sobre los derechos de los interesados.
Los pagos los gestiona Paddle como Merchant of Record: respecto de la transacción de pago, Paddle actúa como comerciante registrado y responsable independiente de los datos de pago, no como subencargado nuestro.
Qué datos se tratan
- Contenido del sitio — las páginas públicas del propietario se indexan para poder fundamentar las respuestas en ellas.
- Consultas de los visitantes — el texto de la pregunta se envía a Google Vertex/Gemini para generar una respuesta.
- Datos técnicos del visitante — la dirección IP se trata de forma transitoria en memoria para la protección frente a abusos y la limitación de tasa, y no se almacena en registros ni en una base de datos (principio de minimización de datos).
- Métricas de uso — recuentos de consultas y calidad de las respuestas (sin más contenido del necesario).
- Cuenta del propietario — email y datos de facturación (los pagos los gestiona Paddle como Merchant of Record; no almacenamos datos de tarjetas).
Nuestro sitio público puede utilizar cookies de analítica — estas solo se establecen con su consentimiento; consulte la Política de cookies para más detalles.
Datos de menores. El servicio es un producto B2B y no está dirigido a niños menores de 16 años.
Dónde y cómo se tratan los datos
La generación de respuestas y la indexación se ejecutan en la región de Google Cloud seleccionada, bajo los términos empresariales de Google; para los clientes de la UE se selecciona por defecto una región de la UE. Conforme a dichos términos, Google no utiliza los datos enviados a Vertex AI ni a la API de Gemini para entrenar sus modelos. Nosotros tampoco usamos su contenido ni sus consultas para entrenar ningún modelo.
El operador del servicio está establecido en Israel. Las transferencias de datos personales desde la UE a Israel se basan en la decisión de adecuación de la Comisión Europea para Israel; las transferencias a los servicios de Google se rigen por el Cloud Data Processing Addendum de Google y, cuando sea necesario, por las Standard Contractual Clauses (SCC) y/o el EU-US Data Privacy Framework.
Transparencia de la IA. Las respuestas las produce la inteligencia artificial a partir del contenido indexado; la interfaz del widget indica que responde la IA, y las respuestas llevan enlaces a sus fuentes.
Subencargados
- Google Cloud — Vertex AI Search (Discovery Engine) y Gemini — indexación, búsqueda y generación de respuestas; el tratamiento se rige por el Cloud Data Processing Addendum de Google. Para los datos de clientes de la UE se usa por defecto una región de la UE.
- Google Cloud Storage — almacenamiento intermedio del texto extraído para su importación al índice (en la misma región).
Paddle procesa las suscripciones y los pagos como Merchant of Record y, en ese rol, actúa como responsable independiente y no como subencargado.
Una lista actualizada de subencargados está disponible previa solicitud. Damos aviso previo de los cambios previstos en nuestros subencargados y ofrecemos la posibilidad de oponerse.
Conservación
Periodos de conservación:
- Direcciones IP de los visitantes — no se almacenan: se tratan solo de forma transitoria en memoria para la protección frente a abusos y se descartan inmediatamente tras gestionar la solicitud.
- Texto de las consultas de los visitantes — 90 días, tras los cuales se anonimiza o elimina; las métricas agregadas sin datos personales pueden conservarse más tiempo.
- Artefactos de indexación en el almacenamiento intermedio — se eliminan de forma programada, normalmente en un plazo de 7 días.
- Índice del sitio — mientras el proyecto esté activo; al cerrar un proyecto, el índice y los recursos relacionados se eliminan.
- Datos de la cuenta del propietario — mientras la cuenta esté activa; tras su cierre se eliminan, sujeto a los periodos de conservación obligatorios (por ejemplo, contables y fiscales).
Derechos de los interesados (GDPR / CCPA / PPL de Israel)
Los interesados pueden solicitar el acceso a sus datos, su rectificación, supresión o la limitación del tratamiento, y oponerse al tratamiento; conforme a la CCPA — conocer las categorías de datos, solicitar la supresión y excluirse de una «venta» (no vendemos datos). Dado que el operador está establecido en Israel, también se aplica la Protection of Privacy Law (PPL) en su versión modificada por la Amendment 13: derechos de acceso y rectificación, requisitos de transparencia y notificación de incidentes de seguridad graves al regulador.
Cómo presentar una solicitud (DSAR). Las solicitudes sobre los datos de los visitantes se dirigen al propietario del sitio como responsable del tratamiento — nosotros, como encargado, le asistimos (localización y eliminación de datos, limpieza de registros, eliminación del proyecto). Las solicitudes sobre los datos de la cuenta del propietario deben enviarse a nosotros a través del formulario de contacto o al contacto de privacidad (véase la sección «Contacto»). Respondemos dentro de los plazos establecidos por la ley aplicable (bajo el GDPR, por lo general en el plazo de un mes).
No podemos eludir contractualmente las obligaciones imperativas del GDPR/CCPA/PPL — la responsabilidad se reparte por ley.
Seguridad
Los datos se transmiten por TLS; el acceso de las cuentas de servicio sigue el principio de mínimo privilegio. Las consultas se depuran y se someten a límites de tasa antes de llamar a cualquier servicio de pago (protección frente a inyección y denial-of-wallet). Los proyectos están aislados: cada uno se ejecuta contra su propio índice. Para detectar bots y abusos utilizamos Google reCAPTCHA Enterprise, que procesa las señales de interacción del visitante conforme a las condiciones de privacidad de Google.
En caso de un incidente de seguridad grave que afecte a datos personales, notificamos a la autoridad competente (en Israel, la Privacy Protection Authority, PPA) y, cuando lo exija la ley, a las personas afectadas y al propietario del sitio, dentro de los plazos aplicables.
Contacto
Operador del servicio (responsable del tratamiento): [Operator name], osek n.º [osek no.] — un empresario individual (osek) establecido en Israel. Dirección: [address].
Contacto de privacidad: [privacy@DOMAIN] o a través del formulario de contacto. Envíe las solicitudes de los interesados sobre la cuenta del propietario a este contacto; para los datos de los visitantes, contacte con el propietario del sitio como responsable del tratamiento (véase «Derechos de los interesados»).
Los datos entre corchetes se completarán antes del lanzamiento comercial.