Política de Privacidad

Última actualización: junio 2026 · Versión 1.2

1. Responsable del Tratamiento

Nombre: Juan María Perals Salvatella

NIF: 47787659F

Domicilio profesional: Passeig de Gràcia, 12, 1r, 08007 Barcelona

Email de contacto: info@persalone.com

Actividad: Plataforma SaaS de compliance continuo (PersalOne Business)

2. Datos tratados y finalidades

Clientes corporativos (B2B)

  • Email corporativo, nombre y empresa → acceso a la plataforma y comunicación
  • Datos de facturación → gestión de pagos (Stripe)
  • Evidencias subidas → prestación del servicio de compliance
  • Firma electrónica DPA → obligación legal Art.28 RGPD
  • Logs de actividad → seguridad y auditoría (retención 90 días)

Asistente conversacional (LAIA)

Las conversaciones con el asistente LAIA se procesan mediante un proveedor de modelos de lenguaje de gran tamaño. Este procesamiento puede implicar una transferencia internacional fuera de la Unión Europea; en tal caso se aplican Cláusulas Contractuales Tipo (CCT) conforme al Art. 46.2.c RGPD como garantía adecuada. Recomendamos no introducir datos personales o confidenciales innecesarios en el chat.

Análisis de seguridad con modelos propios

El análisis de URLs, mensajes y riesgo se realiza con modelos de inteligencia artificial propios ejecutados en infraestructura ubicada en la Unión Europea. La inferencia se registra mediante un hash sin datos personales (ml_inference_log). No se almacenan datos personales asociados a estas verificaciones.

Monitorización de brechas (breach monitoring)

La verificación de contraseñas se realiza mediante k-anonymity: nunca se transmite la contraseña completa. El control de exposición por dominio almacena únicamente el dominio consultado y el resultado, sin credenciales en claro.

3. Bases jurídicas

TratamientoBase legal
Prestación del servicioEjecución del contrato (Art. 6.1.b)
Facturación y pagosEjecución del contrato + Obligación legal
Firma DPAObligación legal (Art. 28 RGPD)
Logs de seguridadInterés legítimo (Art. 6.1.f)
Comunicaciones comerciales a leadsInterés legítimo B2B (Art. 6.1.f)
Asistente LAIAEjecución del contrato + CCT transferencia internacional

4. Subencargados del tratamiento

PersalOne Business trabaja con un conjunto reducido de proveedores tecnológicos de referencia, todos con sede legal en la Unión Europea o con garantías equivalentes bajo el RGPD (incluidas Cláusulas Contractuales Tipo conforme al Art. 46.2.c cuando aplica).

La lista completa y actualizada de subencargados, junto con sus categorías de tratamiento y ubicación, está publicada en nuestro Trust Center: business.persalone.com/trust.

Cualquier alta o sustitución de subencargado se notifica al Cliente con al menos 30 días de antelación, conforme al Art. 28.2 del RGPD, permitiendo objeción motivada por escrito a info@persalone.com.

5. Retención de datos

Los datos se conservan el tiempo necesario para la finalidad para la que fueron recogidos:

  • Datos de clientes: duración del contrato + 5 años
  • Facturación: 10 años (obligación fiscal)
  • Firma DPA: 6 años (obligación legal)
  • Logs de seguridad: 90 días
  • Leads no convertidos: 24 meses

6. Derechos ARCO+

Puedes ejercer tus derechos de acceso, rectificación, supresión, portabilidad, limitación y oposición enviando un email a info@persalone.com con copia de tu documento de identidad.

Para solicitar la baja de una lista de leads: formulario de baja.

Tienes derecho a presentar reclamación ante la AEPD (www.aepd.es) si consideras que tus derechos han sido vulnerados.

7. Residencia de datos y transferencias internacionales

La base de datos de la plataforma está alojada en la Unión Europea (región de Irlanda, eu-west-1).

La inferencia de los modelos de inteligencia artificial propios se ejecuta en infraestructura ubicada en la Unión Europea.

Las transferencias internacionales habituales fuera de la Unión Europea se limitan a tres tratamientos: (i) el asistente conversacional LAIA, mediante un proveedor de modelos de lenguaje; (ii) el envío de correo electrónico transaccional a través de Resend, Inc. (EE.UU.); y (iii) la comprobación pública de seguridad de dominios mediante Mozilla HTTP Observatory, a la que únicamente se envía el nombre del dominio a analizar. Las transferencias (i) y (ii) están cubiertas por Cláusulas Contractuales Tipo (Art. 46.2.c RGPD). El resto de tratamientos de seguridad e inteligencia de amenazas se mantiene dentro de la Unión Europea.

Documento revisado por: PersalOne Legal · Próxima revisión programada: mayo 2027