AI Act Ready Kit · versión 2026-07-11

Política de privacidad y protección de datos

Qué datos personales trata AI Act Ready Kit, para qué, con qué base, durante cuánto tiempo y a qué proveedores pueden llegar.

Documento en modo prelanzamiento. La identidad legal del vendedor o la evidencia contractual inmutable todavía no está completa. El checkout permanece bloqueado y los campos ausentes se muestran expresamente como pendientes; no se han inventado datos identificativos.

1. Responsable y contacto

Titular / razón social
Pendiente de configuración antes del lanzamiento
NIF
Pendiente de configuración antes del lanzamiento
Domicilio
Pendiente de configuración antes del lanzamiento
Contacto
Pendiente de configuración antes del lanzamiento
Registro público, si resulta aplicable
No informado; debe completarse antes del lanzamiento si resulta aplicable

El responsable del tratamiento es Pendiente de configuración antes del lanzamiento. Para ejercer derechos, comunicar una incidencia o consultar sobre privacidad, escribe a Pendiente de configuración antes del lanzamiento. Si en el futuro se designa un delegado de protección de datos, sus datos de contacto se publicarán aquí y se comunicarán a la autoridad cuando corresponda.

El checkout permanece bloqueado mientras la identidad, el contacto y la revisión jurídica exigidos para el lanzamiento no estén configurados. Los textos pendientes no sustituyen esos datos ni deben completarse con información ficticia.

2. Información esencial

FinalidadesPrestar y proteger el sitio; sumar contadores operativos first-party minimizados; medir con GA4 solo tras consentimiento; tramitar compra, factura y acceso; enviar correos transaccionales; atender consultas, derechos e incidencias.
BasesContrato o medidas precontractuales, obligaciones legales, interés legítimo proporcionado en seguridad y operación, y consentimiento para Google Analytics 4.
DestinatariosVercel, Stripe, Resend y, si se acepta la analítica, Google. Google Workspace solo intervendrá si el correo de contacto se opera mediante ese servicio. También autoridades cuando exista obligación legal.
DerechosAcceso, rectificación, supresión, oposición, limitación, portabilidad, retirada del consentimiento y reclamación ante la AEPD, cuando resulten aplicables.

3. Tratamientos, datos y bases jurídicas

Esta política se aplica a visitantes, personas de contacto, compradores profesionales y usuarios autorizados. Los datos proceden directamente de la persona, de su navegador o dispositivo y, tras una compra, de las confirmaciones de Stripe y de los estados técnicos de los proveedores de entrega.

  • Entrega del sitio, seguridad y prevención de abuso. La infraestructura puede procesar dirección IP, fecha y hora, cabeceras, identificadores técnicos y datos de la solicitud para servir la página, limitar ataques y diagnosticar fallos. La base es el interés legítimo en mantener un servicio seguro y, cuando la petición forma parte de una compra o del acceso, la ejecución del contrato.
  • Eventos operativos mínimos. La aplicación registra una lista cerrada de eventos: vista de una categoría de página pública, inicio o finalización del borrador e inicio, redirección o fallo del checkout. No crea una identidad de visitante ni conserva eventos individuales: suma contadores por hora y, cuando corresponde, por plan y por atribución saneada. La atribución solo admite ref y tres campos UTM de formato restringido, con un máximo de canales por hora y agrupación del exceso. El endpoint no admite texto libre, correo, URL, query, fragmento, identificador, agente de usuario ni IP como campos de evento. Esto no impide que la infraestructura trate metadatos de red para entregar y proteger la solicitud. La base propuesta es el interés legítimo en detectar fricción y fallos básicos mediante una medición proporcionada y minimizada; debe quedar validada en el registro de actividades antes del lanzamiento.
  • Google Analytics 4 opcional. Tras aceptar la analítica pueden tratarse identificadores en línea, páginas públicas y eventos permitidos, sesión, fecha y hora, navegador, dispositivo y ubicación aproximada. La URL se envía sin parámetros ni fragmentos, el referente se reduce a origen y ruta, y las landings no españolas, la validación de acceso y la herramienta privada quedan excluidas. La finalidad es medir el recorrido en español y mejorar el producto. La base es el consentimiento, que puede rechazarse o revocarse sin perder funcionalidades. Sin aceptación, la etiqueta no se carga y no se envía información a Google.
  • Compra, facturación y entrega. Stripe recibe nombre o razón social, correo, dirección de facturación, identificación fiscal, datos de pago, plan, importes, estado de la operación y evidencia de las aceptaciones contractuales. AI Act Ready Kit recibe de Stripe el identificador y estado de sesión, plan, fecha, correo disponible y datos necesarios para validar territorio, pago, reembolso o disputa. Las bases son ejecutar el contrato y cumplir obligaciones fiscales, contables, de prevención del fraude y defensa de reclamaciones.
  • Acceso comprado y correo transaccional. El token de acceso incluye plan, identificador de sesión de Stripe y fecha de compra, pero no el correo; su cookie se limita a /herramienta. Resend trata remitente, destinatario, asunto, contenido del mensaje, identificadores de entrega y estados técnicos para enviar el enlace solicitado. La base es ejecutar el contrato y el interés legítimo en acreditar y asegurar la entrega. Para conciliarla, AI Act Ready Kit conserva en Blob privado una referencia derivada mediante hash de la sesión de compra, el identificador técnico de Resend, estados, fechas y hashes de eventos. Ese estado no contiene destinatario, asunto, contenido del mensaje, IP ni texto de rebote.
  • Lista de espera fundadora (opcional). Si la persona se apunta voluntariamente mientras la compra está en prelanzamiento, se conserva en Blob privado su correo, el plan de interés, la fecha de alta y la atribución saneada de la visita. La única finalidad es avisar de la apertura de la compra y de las condiciones fundadoras anunciadas; no se envía otra publicidad. La base es el consentimiento, revocable en cualquier momento desde el propio correo o solicitándolo al contacto del responsable. Las altas están limitadas por hora para prevenir el abuso.
  • Envío del borrador por correo (opcional). El borrador gratuito se calcula y descarga en el navegador sin enviar nada al servidor. Solo si la persona pide recibirlo por correo, el contenido del borrador (que incluye el nombre del uso y sus respuestas declaradas) y la dirección indicada pasan por el servidor y por Resend con la única finalidad de entregarlo. No se almacenan ni el contenido ni la dirección: únicamente se suma un contador agregado de envíos y un límite por hora. La base es el consentimiento expresado con la propia solicitud de envío.
  • Recuperación de acceso (self-service). Si un comprador solicita reenviar su enlace de acceso, el correo indicado se usa para localizar en Stripe una compra activa asociada y, si existe, reenviar un enlace de acceso caducable. La respuesta del formulario es siempre neutra, exista o no la compra, para impedir averiguar si una dirección compró. No se conserva la dirección consultada; solo un contador horario de solicitudes. La base es la ejecución del contrato.
  • Consultas, soporte, derechos e incidencias. Se tratan los datos de contacto, el contenido que la persona decida comunicar y la evidencia necesaria para responder. La base puede ser una medida precontractual, el contrato, una obligación legal o el interés legítimo en atender y acreditar la gestión. Solo se pedirá documentación de identidad adicional si existen dudas razonables.

No se reutilizan estos datos para enviar publicidad automática ni se adoptan decisiones individuales con efectos jurídicos o similares basadas únicamente en un tratamiento automatizado.

Los campos señalados en Stripe son necesarios para identificar al comprador profesional, calcular impuestos, cobrar, facturar y entregar el acceso; sin ellos no puede completarse la compra. Los datos de una consulta son voluntarios, aunque se necesita un canal de respuesta y la información mínima para atenderla. La analítica es siempre opcional.

4. Qué ocurre con los datos del borrador y del expediente

El nombre del uso, las respuestas del borrador y el contenido de los expedientes se calculan y guardan en almacenamiento local del navegador. Los archivos y el ZIP se generan allí. AI Act Ready Kit no los recibe, no los aloja, no puede recuperarlos y no actúa como encargado de ese contenido mientras se mantenga este diseño local.

El producto incluye materiales para trabajar con la IA elegida por el cliente, pero no envía ese contenido automáticamente a ningún modelo. Si el usuario copia un prompt, expediente o documento a una IA, los datos van al proveedor y a la cuenta que el propio usuario haya elegido. Ese uso se rige por su contrato, configuración y política. El cliente debe eliminar datos personales innecesarios, secretos y categorías especiales, y comprobar la base jurídica, conservación, uso para entrenamiento y transferencias de su proveedor antes de hacerlo.

Si en el futuro AI Act Ready Kit ofrece sincronización en la nube, una API de IA o revisión humana del expediente, esa función permanecerá desactivada hasta definir roles, contrato de encargo cuando proceda, seguridad, conservación y una información específica previa.

5. Desarrollo con asistencia de IA

El sitio, el producto y parte de sus textos, código, diseño e imágenes se han creado con asistencia de herramientas de inteligencia artificial y se han revisado por personas desde la perspectiva de producto. La validación profesional independiente de los textos legales continúa siendo una condición de lanzamiento mientras así lo indique el aviso de prelanzamiento. Esta asistencia durante el desarrollo no conecta la experiencia pública con una IA ni provoca que los datos de visitantes, compradores o expedientes se remitan automáticamente a un modelo.

La IA no decide quién compra, quién accede, qué precio paga una persona ni qué derechos puede ejercer. Las señales que muestra el borrador se calculan a partir de opciones declaradas, son orientativas y requieren revisión humana.

6. Proveedores, destinatarios y transferencias

  • Vercel: alojamiento, red de entrega, ejecución de la aplicación y Blob privado para el vigilante oficial y los contadores horarios agregados, además del estado técnico minimizado de entrega. Los contadores y la trazabilidad de entrega aplican una ventana ordinaria de 35 días naturales UTC y purga programada.
  • Stripe: checkout, cobro, impuestos, factura, prevención del fraude y estado de la operación.
  • Resend: entrega y trazabilidad técnica del correo transaccional.
  • Google Analytics: medición opcional solo después del consentimiento. La licencia de Google Workspace no incluye ni activa GA4; son servicios distintos.
  • Google Workspace: únicamente si la cuenta empresarial se configura como buzón de contacto o soporte, en cuyo caso puede tratar el contenido y metadatos de esas comunicaciones.

Según el servicio, el tratamiento concreto y sus términos vigentes, cada proveedor puede actuar como encargado de AI Act Ready Kit o como responsable independiente. La entidad contractual exacta, las regiones de alojamiento, los subencargados y el anexo de protección de datos deben verificarse en las cuentas reales antes de producción; no se deducen solo del nombre comercial del proveedor.

Algunos proveedores pueden tratar información fuera del Espacio Económico Europeo. Cuando exista una transferencia internacional, AI Act Ready Kit comprobará y documentará el mecanismo aplicable: decisión de adecuación, Marco de Privacidad de Datos UE-EE. UU. cuando cubra a la entidad y al servicio, cláusulas contractuales tipo con medidas complementarias u otro instrumento válido. Si no puede demostrarse un mecanismo y un nivel de protección adecuado, el tratamiento afectado no se activará. Puede solicitarse información actualizada al correo del responsable.

Las políticas públicas de los proveedores pueden consultarse en Vercel, Stripe, Resend y Google. Estas páginas no sustituyen la revisión del contrato y la configuración reales.

7. Conservación

  • Borradores y expedientes locales: hasta que el usuario los sustituya o borre los datos del producto o del navegador. El control «Eliminar todos mis datos locales» borra el borrador gratuito y los espacios Empresa/Agencia, incluidos nombres heredados de versiones anteriores; no borra la compra, la factura ni la preferencia de cookies. AI Act Ready Kit no puede eliminarlos de forma remota.
  • Preferencia de analítica: 12 meses; después se solicita una nueva elección. La cookie de acceso caduca a los 30 días.
  • GA4: las cookies analíticas se limitan a 12 meses. La conservación de datos de eventos y usuarios en la propiedad debe fijarse en el periodo más corto compatible con la medición y verificarse antes de activarla; si esa configuración y su fecha de borrado no están documentadas, GA4 permanecerá inactivo. Los informes agregados pueden conservarse mientras no permitan individualizar a una persona.
  • Contadores agregados del embudo: el criterio ordinario conserva el día UTC en curso y los 34 días naturales anteriores en Blob privado. Una purga independiente se programa a las 00:05 UTC y el control diario repite el corte antes de consultar Stripe. La plataforma puede retrasar una ejecución; en ese caso o si falla el borrado puede existir una gracia técnica hasta la siguiente ejecución correcta. El fallo queda visible y debe corregirse. No se conserva un historial de eventos individuales.
  • Trazabilidad técnica de entrega: el estado privado minimizado se conserva durante el día UTC en curso y los 34 días naturales anteriores. La purga diaria elimina estados más antiguos. Stripe conserva únicamente el resumen técnico de aceptación por el proveedor; la entrega o incidencia se concilia en el estado privado anterior. Nunca se interpreta la aceptación de la API como prueba de llegada a la bandeja de entrada.
  • Lista de espera fundadora: hasta que se comunique la apertura de la compra y sus condiciones fundadoras o hasta que la persona se dé de baja, y como máximo 12 meses desde el alta; después se elimina. Los contadores horarios de altas, envíos de borrador y recuperaciones de acceso son agregados, no contienen direcciones y siguen la retención de los contadores del embudo.
  • Registros técnicos del alojamiento: durante el plazo breve configurado y necesario para entregar el servicio, detectar fallos, seguridad y abuso. Una copia ligada a una incidencia puede bloquearse hasta cerrarla y atender las responsabilidades aplicables.
  • Compra, factura y contrato: durante la relación y después bloqueados durante los plazos fiscales, contables, antifraude y de prescripción que sean aplicables. La regla concreta y cualquier interrupción del plazo prevalecen sobre una fecha genérica.
  • Correos transaccionales y soporte: durante la entrega y gestión; después, solo la evidencia mínima necesaria para acreditar el servicio, resolver disputas o cumplir una obligación, hasta que prescriban las responsabilidades.
  • Solicitudes de derechos: durante su tramitación y, después, bloqueadas en la medida necesaria para demostrar la respuesta y atender posibles reclamaciones.

Una obligación legal, investigación, reclamación o litigio puede exigir bloquear determinados datos y suspender su borrado ordinario. Una vez termine la causa, se eliminarán o anonimizarán de forma efectiva.

8. Derechos y reclamaciones

Puedes solicitar acceso, rectificación, supresión, oposición, limitación y portabilidad cuando correspondan, retirar el consentimiento y pedir no ser objeto de una decisión únicamente automatizada. El ejercicio es gratuito, salvo solicitudes manifiestamente infundadas o excesivas en los supuestos legales. Indica el derecho y los datos necesarios para localizar el tratamiento; no envíes más documentación de identidad de la necesaria.

Se responderá, con carácter general, en un mes. Ese plazo puede ampliarse otros dos meses por complejidad o número de solicitudes, informando de la ampliación y sus motivos dentro del primer mes. La AEPD explica estos derechos y sus condiciones en «Ejerce tus derechos».

Si consideras que el tratamiento infringe la normativa, puedes reclamar ante la Agencia Española de Protección de Datos, sin perjuicio de otros recursos.

9. Seguridad y brechas de datos personales

Se aplican medidas proporcionales al riesgo: minimización, separación del expediente local, HTTPS en producción, controles de acceso, secretos fuera del cliente, validación de origen y una cookie de acceso HttpOnly firmada. Los datos completos de tarjeta se introducen en Stripe y no pasan por los servidores de AI Act Ready Kit. Ningún sistema puede garantizar riesgo cero.

Toda brecha de datos personales se documentará y evaluará. Cuando sea probable que suponga un riesgo para derechos y libertades, se notificará a la autoridad competente sin dilación indebida y, cuando sea posible, dentro de 72 horas desde que se tenga constancia. Si el riesgo es alto, se informará también a las personas afectadas sin dilación indebida, salvo que concurra una excepción legal. La AEPD mantiene su canal y guía de notificación de brechas.

10. Menores y datos que no deben introducirse

AI Act Ready Kit es un servicio B2B y no se dirige a menores. No se solicita ni se pretende tratar información de menores mediante el producto. Si se detecta que se ha remitido sin base válida, se adoptarán medidas para eliminarla y gestionar el incidente.

No introduzcas en formularios, soporte, expedientes o prompts datos personales innecesarios, categorías especiales, antecedentes penales, documentos de identidad completos, credenciales, secretos, datos biométricos, historiales médicos o información de terceros sin base jurídica. El producto está diseñado para trabajar con información organizativa y ejemplos anonimizados.

11. Cambios y alcance de esta política

Esta política se revisará cuando cambien finalidades, proveedores, flujos, tecnologías o normativa. Los cambios materiales se comunicarán de forma proporcionada y, si requieren consentimiento, no se aplicarán hasta obtenerlo. La versión indicada en la cabecera permite identificar el texto vigente.

Esta política informa sobre los tratamientos propios de AI Act Ready Kit; no es asesoramiento para los tratamientos de IA que realice cada cliente. Antes de habilitar producción deben validarse la identidad, contratos, regiones, retenciones y configuraciones descritas como pendientes.