Política de privacidad
Última actualización: 12 de mayo de 2026
1. Responsable del tratamiento
El responsable del tratamiento de datos personales es el operador de DayProof, persona física residente en Chipre (UE). La infraestructura de alojamiento está ubicada en Hetzner Online GmbH, Alemania (UE).
Contacto para protección de datos: [email protected].
Contacto para protección de datos: [email protected].
2. Bases jurídicas del tratamiento
Los datos personales se tratan conforme a las siguientes bases jurídicas del RGPD:
- Ejecución del contrato (art. 6.1.b): datos de cuenta, viajes, billetes y documentos, necesarios para la prestación del servicio.
- Consentimiento (art. 6.1.a): procesamiento de documentos mediante inteligencia artificial (Google Gemini, Groq).
- Interés legítimo (art. 6.1.f): cookies de sesión, registros de seguridad y analítica mínima interna.
3. Categorías de datos personales
Datos de cuenta: correo electrónico, nombre, URL de avatar, idioma preferido.
Documentos de identidad (cifrados): número de pasaporte, DNI o NIE, NIF o CIF.
Datos de contacto (cifrados): teléfono y dirección.
Perfil fiscal: fecha de nacimiento, nacionalidad, país de residencia fiscal, país de origen, país del pasaporte y umbrales de días.
Datos de viaje: fechas, aeropuertos, países, números de vuelo y aerolíneas.
Documentos subidos: tarjetas de embarque, confirmaciones de vuelo y facturas (PDF, JPEG, PNG).
Datos de procesamiento IA: datos extraídos automáticamente (JSONB) y nombres de pasajeros visibles en los documentos.
Datos técnicos: dirección IP, agente de usuario, registros de solicitudes.
Analítica interna: vistas de página y eventos de usuario.
Documentos de identidad (cifrados): número de pasaporte, DNI o NIE, NIF o CIF.
Datos de contacto (cifrados): teléfono y dirección.
Perfil fiscal: fecha de nacimiento, nacionalidad, país de residencia fiscal, país de origen, país del pasaporte y umbrales de días.
Datos de viaje: fechas, aeropuertos, países, números de vuelo y aerolíneas.
Documentos subidos: tarjetas de embarque, confirmaciones de vuelo y facturas (PDF, JPEG, PNG).
Datos de procesamiento IA: datos extraídos automáticamente (JSONB) y nombres de pasajeros visibles en los documentos.
Datos técnicos: dirección IP, agente de usuario, registros de solicitudes.
Analítica interna: vistas de página y eventos de usuario.
4. Encargados y subencargados del tratamiento
| Encargado | Finalidad | Datos compartidos | Ubicación |
|---|---|---|---|
| Google Gemini AI | OCR y extracción de datos de vuelo | Imágenes y PDF de documentos, nombres de pasajeros | EE. UU. |
| Groq AI | OCR y extracción de datos de vuelo | Texto OCR de documentos, nombres de pasajeros | EE. UU. |
| Resend | Correo electrónico transaccional | Dirección de correo y contenido del email | EE. UU. |
| Google OAuth | Autenticación | Correo y nombre | EE. UU. |
| Hetzner Online GmbH | Alojamiento de infraestructura | Todos los datos del usuario | Alemania (UE) |
5. Transferencias internacionales de datos
Algunos encargados del tratamiento se encuentran en Estados Unidos. Las transferencias se amparan en las Cláusulas Contractuales Tipo de la Comisión Europea y, cuando procede, en el Marco de Privacidad de Datos UE-EE. UU.
6. Periodos de retención
| Categoría | Periodo |
|---|---|
| Cuenta de usuario | Hasta solicitud de eliminación |
| Viajes y billetes | Hasta solicitud de eliminación |
| Documentos subidos | Hasta solicitud de eliminación |
| Sesiones | 30 días de inactividad |
| Vistas de página | 90 días |
| Eventos de usuario | 180 días |
| Registros de solicitudes | 30 días |
| Registros de consultas lentas | 14 días |
7. Derechos del usuario
Conforme al RGPD, el usuario tiene derecho a:
- Acceso (art. 15): obtener una copia de sus datos personales.
- Rectificación (art. 16): corregir datos inexactos.
- Supresión (art. 17): solicitar la eliminación de sus datos.
- Portabilidad (art. 20): descargar sus datos en formato estructurado (JSON).
- Limitación (art. 18): restringir el tratamiento en determinadas circunstancias.
- Oposición (art. 21): oponerse al tratamiento basado en interés legítimo.
- Retirada del consentimiento: puede retirarse en cualquier momento sin afectar a la licitud del tratamiento previo.
8. Decisiones automatizadas
DayProof utiliza procesamiento automatizado (inteligencia artificial y OCR) para extraer datos de vuelo de los documentos. Este procesamiento no produce efectos jurídicos sobre el usuario ni le afecta de forma significativa. El usuario puede revisar y corregir todos los datos extraídos.
Las alertas fiscales mostradas en el panel de control son indicadores informativos basados en umbrales generales y no constituyen decisiones automatizadas con efectos legales en el sentido del artículo 22 del RGPD.
Las alertas fiscales mostradas en el panel de control son indicadores informativos basados en umbrales generales y no constituyen decisiones automatizadas con efectos legales en el sentido del artículo 22 del RGPD.
9. Cookies
Para información detallada sobre el uso de cookies, consulte la Política de cookies.
10. Notificación de violaciones de seguridad
En caso de violación de seguridad que afecte a los datos personales, DayProof notificará a los usuarios afectados y a la autoridad de control competente en un plazo de 72 horas, conforme al artículo 33 del RGPD.
11. Autoridad de control
La autoridad de control competente es la Oficina del Comisionado para la Protección de Datos Personales de Chipre. Los usuarios de otros Estados miembros de la UE pueden dirigirse también a la autoridad de protección de datos de su país.
12. Contacto
Para cualquier consulta sobre protección de datos: [email protected].
13. Datos de usuario de Google
DayProof utiliza Google OAuth 2.0 exclusivamente para permitir el inicio de sesión con una cuenta de Google.
Permisos solicitados:
Datos obtenidos de Google:
Almacenamiento: El correo electrónico, el nombre y la URL del avatar se almacenan en nuestra base de datos PostgreSQL alojada en Hetzner Online GmbH, Alemania (UE). Las credenciales OAuth se almacenan cifradas mediante Active Record Encryption y no son accesibles en texto plano en reposo.
Compartición: Los datos de usuario de Google no se comparten con ningún tercero con fines comerciales, publicitarios ni de marketing. No se venden ni se ceden a ninguna parte.
Retención: Se conservan durante la vigencia de la cuenta. Tras la eliminación de la cuenta, todos los datos de usuario de Google asociados se borran permanente e irreversiblemente en un plazo de 14 días.
Revocar el acceso: El usuario puede revocar el acceso de DayProof a su cuenta de Google en cualquier momento en myaccount.google.com/permissions. Revocar el acceso impedirá futuros inicios de sesión con Google, pero no eliminará la cuenta de DayProof ni sus datos.
Cumplimiento de uso limitado: El uso y la transferencia de información recibida de las API de Google por parte de DayProof se ajustan a la Política de datos de usuario de los Servicios de API de Google, incluidos los requisitos de uso limitado.
Permisos solicitados:
openid, email, profile — solo lectura. Datos obtenidos de Google:
- Dirección de correo electrónico — utilizada como identificador único de cuenta y para comunicaciones del servicio (alertas fiscales, informes, notificaciones de cuenta).
- Nombre para mostrar — mostrado en la interfaz de la aplicación para personalización.
- URL de foto de perfil — mostrada como avatar en la interfaz.
Almacenamiento: El correo electrónico, el nombre y la URL del avatar se almacenan en nuestra base de datos PostgreSQL alojada en Hetzner Online GmbH, Alemania (UE). Las credenciales OAuth se almacenan cifradas mediante Active Record Encryption y no son accesibles en texto plano en reposo.
Compartición: Los datos de usuario de Google no se comparten con ningún tercero con fines comerciales, publicitarios ni de marketing. No se venden ni se ceden a ninguna parte.
Retención: Se conservan durante la vigencia de la cuenta. Tras la eliminación de la cuenta, todos los datos de usuario de Google asociados se borran permanente e irreversiblemente en un plazo de 14 días.
Revocar el acceso: El usuario puede revocar el acceso de DayProof a su cuenta de Google en cualquier momento en myaccount.google.com/permissions. Revocar el acceso impedirá futuros inicios de sesión con Google, pero no eliminará la cuenta de DayProof ni sus datos.
Cumplimiento de uso limitado: El uso y la transferencia de información recibida de las API de Google por parte de DayProof se ajustan a la Política de datos de usuario de los Servicios de API de Google, incluidos los requisitos de uso limitado.