Política de privacidad
Última actualización: 23 de abril de 2026
1. Responsable del tratamiento
El responsable del tratamiento de datos personales es el operador de DayProof, persona física residente en Chipre (UE). La infraestructura de alojamiento está ubicada en Hetzner Online GmbH, Alemania (UE).
Contacto para protección de datos: privacy@dayproof.app.
Contacto para protección de datos: privacy@dayproof.app.
2. Bases jurídicas del tratamiento
Los datos personales se tratan conforme a las siguientes bases jurídicas del RGPD:
- Ejecución del contrato (art. 6.1.b): datos de cuenta, viajes, billetes y documentos, necesarios para la prestación del servicio.
- Consentimiento (art. 6.1.a): procesamiento de documentos mediante inteligencia artificial (Google Gemini, Groq) y acceso a Google Drive.
- Interés legítimo (art. 6.1.f): cookies de sesión, registros de seguridad y analítica mínima interna.
3. Categorías de datos personales
Datos de cuenta: correo electrónico, nombre, URL de avatar, idioma preferido.
Documentos de identidad (cifrados): número de pasaporte, DNI o NIE, NIF o CIF.
Datos de contacto (cifrados): teléfono y dirección.
Perfil fiscal: fecha de nacimiento, nacionalidad, país de residencia fiscal, país de origen, país del pasaporte y umbrales de días.
Datos de viaje: fechas, aeropuertos, países, números de vuelo y aerolíneas.
Documentos subidos: tarjetas de embarque, confirmaciones de vuelo y facturas (PDF, JPEG, PNG).
Datos de procesamiento IA: datos extraídos automáticamente (JSONB) y nombres de pasajeros visibles en los documentos.
Tokens OAuth (cifrados): tokens de acceso y actualización de Google Drive.
Datos técnicos: dirección IP, agente de usuario, registros de solicitudes.
Analítica interna: vistas de página y eventos de usuario.
Documentos de identidad (cifrados): número de pasaporte, DNI o NIE, NIF o CIF.
Datos de contacto (cifrados): teléfono y dirección.
Perfil fiscal: fecha de nacimiento, nacionalidad, país de residencia fiscal, país de origen, país del pasaporte y umbrales de días.
Datos de viaje: fechas, aeropuertos, países, números de vuelo y aerolíneas.
Documentos subidos: tarjetas de embarque, confirmaciones de vuelo y facturas (PDF, JPEG, PNG).
Datos de procesamiento IA: datos extraídos automáticamente (JSONB) y nombres de pasajeros visibles en los documentos.
Tokens OAuth (cifrados): tokens de acceso y actualización de Google Drive.
Datos técnicos: dirección IP, agente de usuario, registros de solicitudes.
Analítica interna: vistas de página y eventos de usuario.
4. Encargados y subencargados del tratamiento
| Encargado | Finalidad | Datos compartidos | Ubicación |
|---|---|---|---|
| Google Gemini AI | OCR y extracción de datos de vuelo | Imágenes y PDF de documentos, nombres de pasajeros | EE. UU. |
| Groq AI | OCR y extracción de datos de vuelo | Texto OCR de documentos, nombres de pasajeros | EE. UU. |
| Resend | Correo electrónico transaccional | Dirección de correo y contenido del email | EE. UU. |
| Google (OAuth y Drive) | Autenticación y sincronización de archivos | Correo, nombre y metadatos de archivos | EE. UU. |
| Hetzner Online GmbH | Alojamiento de infraestructura | Todos los datos del usuario | Alemania (UE) |
5. Transferencias internacionales de datos
Algunos encargados del tratamiento se encuentran en Estados Unidos. Las transferencias se amparan en las Cláusulas Contractuales Tipo de la Comisión Europea y, cuando procede, en el Marco de Privacidad de Datos UE-EE. UU.
6. Periodos de retención
| Categoría | Periodo |
|---|---|
| Cuenta de usuario | Hasta solicitud de eliminación |
| Viajes y billetes | Hasta solicitud de eliminación |
| Documentos subidos | Hasta solicitud de eliminación |
| Tokens de Google Drive | Hasta desconexión o eliminación |
| Sesiones | 30 días de inactividad |
| Vistas de página | 90 días |
| Eventos de usuario | 180 días |
| Registros de solicitudes | 30 días |
| Registros de consultas lentas | 14 días |
7. Derechos del usuario
Conforme al RGPD, el usuario tiene derecho a:
- Acceso (art. 15): obtener una copia de sus datos personales.
- Rectificación (art. 16): corregir datos inexactos.
- Supresión (art. 17): solicitar la eliminación de sus datos.
- Portabilidad (art. 20): descargar sus datos en formato estructurado (JSON).
- Limitación (art. 18): restringir el tratamiento en determinadas circunstancias.
- Oposición (art. 21): oponerse al tratamiento basado en interés legítimo.
- Retirada del consentimiento: puede retirarse en cualquier momento sin afectar a la licitud del tratamiento previo.
8. Decisiones automatizadas
DayProof utiliza procesamiento automatizado (inteligencia artificial y OCR) para extraer datos de vuelo de los documentos. Este procesamiento no produce efectos jurídicos sobre el usuario ni le afecta de forma significativa. El usuario puede revisar y corregir todos los datos extraídos.
Las alertas fiscales mostradas en el panel de control son indicadores informativos basados en umbrales generales y no constituyen decisiones automatizadas con efectos legales en el sentido del artículo 22 del RGPD.
Las alertas fiscales mostradas en el panel de control son indicadores informativos basados en umbrales generales y no constituyen decisiones automatizadas con efectos legales en el sentido del artículo 22 del RGPD.
9. Cookies
Para información detallada sobre el uso de cookies, consulte la Política de cookies.
10. Notificación de violaciones de seguridad
En caso de violación de seguridad que afecte a los datos personales, DayProof notificará a los usuarios afectados y a la autoridad de control competente en un plazo de 72 horas, conforme al artículo 33 del RGPD.
11. Autoridad de control
La autoridad de control competente es la Oficina del Comisionado para la Protección de Datos Personales de Chipre. Los usuarios de otros Estados miembros de la UE pueden dirigirse también a la autoridad de protección de datos de su país.
12. Contacto
Para cualquier consulta sobre protección de datos: privacy@dayproof.app.