Política de Privacidad y Protección de Datos
Versión 2.0 · Última actualización: Mayo 2026
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través de la plataforma Embiral (en adelante, "el Servicio") es la entidad titular indicada en el aviso legal. Para cualquier cuestión relacionada con esta Política o con tus derechos, puedes escribirnos a privacidad@embiral.com. Si en el futuro Embiral designara un delegado de protección de datos (DPD/DPO), su nombre y datos de contacto serán publicados en esta misma página.
2. Categorías de datos que tratamos
- Datos de cuenta: nombre, dirección de correo electrónico, contraseña en formato cifrado (hash bcrypt) y, si inicias sesión con Google o Microsoft, identificadores OAuth y avatar público proporcionado por dichos proveedores.
- Datos de uso: registros de actividad (login, sincronización, consultas, creación de chatbots, generación de informes), dirección IP de origen, tipo de navegador y sistema operativo, marca temporal de cada evento, y eventos de auditoría de la cuenta y el workspace.
- Contenido del Usuario: documentos, metadatos y conversaciones que el Usuario suba o sincronice para gestionarlos con el Servicio. Estos contenidos solo se tratan para prestar el Servicio (indexado, vectorización, búsqueda, generación de respuestas e informes) y nunca se utilizan para entrenar modelos de IA propios o de terceros.
- Credenciales de proveedores externos: tokens de OAuth y credenciales de servicios de almacenamiento conectados, almacenados cifrados en reposo (AES-256-GCM) y utilizados exclusivamente para acceder a los recursos del Usuario en dichos proveedores.
- Datos de facturación: en planes de pago, datos identificativos y fiscales necesarios para emitir facturas y cumplir obligaciones contables y tributarias.
- Aceptaciones legales: versión y marca temporal de la aceptación de los Términos y de esta Política, conforme exige el principio de responsabilidad proactiva del Reglamento (UE) 2016/679 (RGPD).
3. Finalidades y bases jurídicas
- Prestación del Servicio (creación y gestión de la cuenta, sincronización con almacenamientos, indexado, búsqueda, chatbots, informes): ejecución del contrato (art. 6.1.b RGPD).
- Comunicaciones operativas (verificación de email, recuperación de contraseña, avisos de seguridad, cambios sustanciales en estos textos legales): ejecución del contrato y cumplimiento de obligaciones legales (art. 6.1.b y 6.1.c RGPD).
- Seguridad y prevención del fraude (auditoría, detección de abusos, rate limiting, cifrado de credenciales): interés legítimode Embiral en proteger el Servicio y a sus usuarios (art. 6.1.f RGPD).
- Cumplimiento de obligaciones legales (contables, fiscales, requerimientos de autoridades competentes): obligación legal(art. 6.1.c RGPD).
- Mejora del Servicio mediante métricas agregadas y anónimas(analítica de visitas y rendimiento): interés legítimo, sin que la analítica permita identificar a personas individuales.
- Comunicaciones comerciales no operativas (cuando se ofrezcan): requerirán consentimiento previo y expreso, revocable en cualquier momento mediante el enlace incluido en cada comunicación.
4. Plazos de conservación
- Datos de cuenta y Contenido del Usuario: mientras la cuenta esté activa. Tras la baja, los datos se eliminan o anonimizan en un plazo máximo de treinta (30) días, salvo lo indicado en los siguientes puntos.
- Registros de auditoría: hasta veinticuatro (24) meses desde el evento, por motivos de seguridad y resolución de incidencias.
- Datos contables y fiscales: durante los plazos legales aplicables (en general, hasta seis (6) años conforme al Código de Comercio español).
- Aceptaciones legales (Términos y Política): durante toda la vigencia de la relación contractual y hasta cuatro (4) años más, para acreditar el cumplimiento.
5. Encargados del tratamiento y subencargados
Para prestar el Servicio, Embiral se apoya en proveedores tecnológicos que actúan como encargados del tratamiento conforme al artículo 28 RGPD, sujetos a un contrato de encargo del tratamiento o a las cláusulas estándar publicadas por dichos proveedores. Los actuales son, sin perjuicio de su actualización razonable:
- Vercel Inc. (alojamiento y CDN, EE. UU./UE).
- Neon Inc. (base de datos PostgreSQL gestionada).
- Resend, Inc. (envío de correos transaccionales).
- OpenAI, L.L.C. (modelos de lenguaje, cuando el Usuario los utiliza en su workspace; OpenAI declara no usar las entradas de su API para entrenar sus modelos).
- Proveedores de almacenamiento conectados por el Usuario(Google LLC, Microsoft Corporation, Dropbox, Amazon Web Services, Microsoft Azure, Google Cloud), en los que reside el Contenido del Usuario y a los que Embiral solo accede mediante las credenciales que el propio Usuario haya autorizado.
La lista anterior se mantiene actualizada en esta página. Embiral notificará con antelación razonable cualquier alta de un nuevo subencargado relevante, ofreciendo al Usuario la posibilidad de oponerse por motivos legítimos.
6. Transferencias internacionales
Algunos de los proveedores anteriores pueden tratar datos en países fuera del Espacio Económico Europeo. En esos casos, Embiral garantiza un nivel adecuado de protección mediante (i) decisiones de adecuación de la Comisión Europea, (ii) las cláusulas contractuales tipo (CCT) adoptadas por dicha Comisión o (iii) cualquier otro mecanismo válido conforme a los artículos 44 y siguientes del RGPD. El Usuario puede solicitar copia de las salvaguardas aplicadas en privacidad@embiral.com.
7. Decisiones automatizadas e inteligencia artificial
El Servicio utiliza modelos de lenguaje para extraer metadatos, responder en chatbots y redactar informes. Estas funciones son asistencias automatizadas: producen sugerencias o borradores que el Usuario revisa y valida. No se toman, mediante el Servicio, decisiones automatizadas que produzcan efectos jurídicos sobre el Usuario o le afecten significativamente en el sentido del artículo 22 RGPD.
El Usuario puede, en función de su plan, configurar qué proveedor de modelos procesa su contenido (OpenAI, modelos locales vía Ollama u otros proveedores compatibles). El proveedor seleccionado se indica en Configuración → Configuración IA. Las salidas de los modelos pueden ser inexactas; la responsabilidad de revisarlas recae en el Usuario, según se desarrolla en los Términos y Condiciones.
8. Tus derechos
En tu condición de persona interesada, puedes ejercer los siguientes derechos en cualquier momento:
- Acceso a tus datos personales y a información sobre su tratamiento.
- Rectificación de los datos inexactos.
- Supresión de los datos cuando ya no sean necesarios o concurra otra causa legalmente prevista ("derecho al olvido").
- Limitación del tratamiento en los supuestos del artículo 18 RGPD.
- Oposición al tratamiento basado en interés legítimo, salvo motivos imperiosos por nuestra parte.
- Portabilidad de los datos facilitados, en formato estructurado de uso común y lectura mecánica.
- Retirada del consentimiento prestado, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
Para ejercer cualquiera de estos derechos, escríbenos a privacidad@embiral.com indicando el derecho que quieres ejercitar y acompañando, si fuera necesario, documentación que acredite tu identidad. Atenderemos la solicitud en los plazos legales (un mes, prorrogable a dos adicionales en casos complejos). Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).
9. Medidas de seguridad
Embiral aplica medidas técnicas y organizativas razonables y proporcionadas al riesgo, entre las que se incluyen, sin ánimo exhaustivo:
- Cifrado en tránsito (TLS 1.2+) de todas las comunicaciones.
- Cifrado en reposo (AES-256-GCM) de credenciales de proveedores conectados y de tokens sensibles.
- Hash de contraseñas con bcrypt y rotación de tokens tras cambios de credencial.
- Control de acceso basado en roles y permisos a nivel de recurso (RBAC).
- Registros de auditoría inmutables a nivel aplicativo y monitorización de errores.
- Rate limiting en los endpoints sensibles para prevenir abuso de credenciales.
- Revisión periódica de dependencias y aplicación de parches de seguridad.
Pese a estas medidas, ninguna plataforma es absolutamente invulnerable. En caso de detectar una brecha de seguridad que afecte a datos personales, Embiral notificará a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas y, cuando proceda, comunicará el incidente a las personas afectadas, conforme a los artículos 33 y 34 RGPD.
10. Menores
El Servicio no está dirigido a menores de 14 años. Embiral no recoge ni trata, de manera consciente, datos personales de menores de esa edad. Si tuviéramos conocimiento de que se han recogido datos de un menor sin la autorización exigible, los eliminaremos sin demora.
11. Cookies y tecnologías similares
El Servicio utiliza cookies y tecnologías de almacenamiento local estrictamente necesarias para el funcionamiento (sesión, preferencias de tema, persistencia del formulario de conexión durante OAuth) y, en su caso, analíticas agregadas y anónimas (Vercel Analytics) basadas en interés legítimo. No se utilizan cookies publicitarias ni de seguimiento entre sitios.
12. Cambios en esta Política
Embiral puede actualizar esta Política para reflejar cambios legales o mejoras del Servicio. Cualquier modificación sustantiva será notificada por correo electrónico y/o en el propio Servicio con al menos treinta (30) días de antelación, salvo cuando la modificación venga impuesta por una norma de obligado cumplimiento. La versión y la fecha de la última actualización figuran al inicio de este documento.
13. Contacto
Para cualquier cuestión relativa a esta Política, escríbenos a privacidad@embiral.com o utiliza el formulario de contacto disponible en la barra lateral del Servicio.