1. Identificación del Responsable del Tratamiento
- Relevante.IA SL
- [Pendiente de constitución]
- Barcelona, España
- Email: contacto@relevanteia.com
- Web: https://relevanteia.com
- Pendiente de designación. Hasta su designación, las comunicaciones pueden dirigirse a contacto@relevanteia.com.
2. Objeto y Ámbito de Aplicación
La presente Política de Privacidad describe cómo Relevante.IA SL (en adelante, "Relevante.IA", "nosotros" o "la Plataforma") recoge, utiliza, almacena y protege los datos personales de los usuarios que acceden y utilizan nuestra plataforma de AI Readiness y Search Relevance Optimization (SRO), accesible en relevanteia.com, app.relevanteia.com y sus subdominios, así como a través de widgets integrables en sitios web de terceros (en adelante, el "Widget de Auditoría Gratuita").
Esta política es aplicable a todos los usuarios, tanto registrados como no registrados (usuarios del Widget de Auditoría Gratuita), en cualquier país desde el que accedan al servicio.
Marco normativo aplicable:
- Reglamento General de Protección de Datos (UE) 2016/679 (RGPD).
- Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) — España.
- Nueva Ley Federal de Protección de Datos (nFADP / nDSG) — Suiza, en vigor desde el 1 de septiembre de 2023.
- Loi Informatique et Libertés y normativa CNIL — Francia.
- Bundesdatenschutzgesetz (BDSG) — Alemania y Austria.
Al registrarte o utilizar cualquiera de nuestros servicios, aceptas el tratamiento de tus datos conforme a esta política y a la normativa vigente aplicable en tu jurisdicción.
3. Datos Personales que Recopilamos
3.1 Datos proporcionados directamente por el usuario registrado
- Datos de registro: nombre, dirección de correo electrónico, contraseña cifrada, idioma preferido (español/inglés/francés/alemán).
- Datos del negocio: nombre comercial, URL del sitio web, sector/nicho (entre 12 categorías), localización geográfica.
- Datos de facturación: procesados directamente por Stripe, Inc. Relevante.IA no almacena datos completos de tarjetas de crédito ni datos bancarios.
- Comunicaciones: mensajes enviados a través de formularios de contacto o soporte. Historial de chat con el asistente IA integrado: mensajes enviados al chatbot de la Plataforma para consultas sobre análisis del negocio.
- Credenciales de integración: contraseñas de aplicación de WordPress y tokens OAuth de Google Search Console, almacenados con cifrado AES-256-GCM.
3.2 Datos proporcionados por usuarios no registrados (Widget de Auditoría Gratuita)
- URL del sitio web a analizar.
- Dirección IP (para control de uso: máximo 1 auditoría por IP al día).
- Datos técnicos del navegador (User-Agent, resolución).
Base legal: Consentimiento expreso del usuario al enviar la URL para análisis (art. 6.1.a RGPD).
3.3 Datos recopilados automáticamente
- Datos técnicos: dirección IP, tipo de navegador, sistema operativo, páginas visitadas, fecha y hora de acceso.
- Datos de uso: interacciones con la plataforma, módulos utilizados, frecuencia de uso, preferencias de configuración.
- Cookies y tecnologías similares: ver la Política de Cookies.
3.4 Datos obtenidos de fuentes externas
Para la prestación del servicio de análisis SRO, recopilamos y procesamos información pública relacionada con el negocio del usuario:
- Contenido público del sitio web del usuario (hasta 50 páginas mediante scraping automatizado).
- Menciones públicas de la marca en internet y redes sociales.
- Presencia en directorios públicos (incluido Google Business Profile).
- Backlinks, perfiles sociales públicos y enlaces sameAs.
- Datos de Knowledge Graph públicos (Google Knowledge Graph, Wikidata).
- Resultados de visibilidad en motores de IA (ChatGPT, Gemini, Perplexity).
- Métricas de Core Web Vitals (vía Google PageSpeed Insights API).
- Datos de Google Search Console (solo si el usuario conecta voluntariamente su cuenta vía OAuth).
- Datos de Bing Webmaster Tools (solo si el usuario conecta su cuenta mediante API key).
- Datos de Shopify (solo si el usuario conecta su tienda mediante OAuth, pendiente de disponibilidad).
Esta información se obtiene de fuentes públicamente accesibles (o con autorización expresa del usuario en el caso de Search Console) y se procesa exclusivamente para prestar el servicio contratado.
4. Finalidades y Base Legal del Tratamiento
| Finalidad | Base Legal (Art. 6 RGPD) |
|---|---|
| Gestión del registro y cuenta de usuario | Ejecución del contrato (art. 6.1.b) |
| Prestación de servicios SRO (M1, M2, M3, Plan de Acción) | Ejecución del contrato (art. 6.1.b) |
| Análisis del sitio web y presencia digital del negocio | Ejecución del contrato (art. 6.1.b) |
| Generación de informes, puntuaciones y recomendaciones automatizadas | Ejecución del contrato (art. 6.1.b) |
| Auditoría gratuita vía Widget (usuarios no registrados) | Consentimiento (art. 6.1.a) |
| Integración con WordPress (lectura/escritura de páginas) | Ejecución del contrato (art. 6.1.b) |
| Integración con Google Search Console / Bing Webmaster Tools | Consentimiento (art. 6.1.a) |
| Procesamiento de pagos y facturación | Ejecución del contrato (art. 6.1.b) y obligación legal (art. 6.1.c) |
| Envío de notificaciones del servicio (alertas SRO, plan completado) | Ejecución del contrato (art. 6.1.b) |
| Comunicaciones comerciales y newsletters | Consentimiento expreso (art. 6.1.a) |
| Mejora y desarrollo de la plataforma | Interés legítimo (art. 6.1.f) |
| Prevención del fraude y seguridad | Interés legítimo (art. 6.1.f) |
| Cumplimiento de obligaciones legales y fiscales | Obligación legal (art. 6.1.c) |
5. Uso de Inteligencia Artificial y Proveedores de IA
Nuestra plataforma utiliza servicios de inteligencia artificial de terceros para realizar análisis, generar contenido, evaluar visibilidad y proporcionar recomendaciones.
5.1 Proveedores de IA utilizados
| Proveedor | Finalidad | Ubicación | Salvaguarda |
|---|---|---|---|
| DeepSeek (深度求索) | Motor principal de análisis SRO: scoring, generación de acciones, clasificación, contenido, recomendaciones | China (República Popular) | CCT + TIA |
| Anthropic (Claude) | Motor secundario/fallback de análisis SRO. Consolidación de contexto M3. | EE.UU. | CCT (DPF) |
| OpenAI | Generación de embeddings para búsqueda semántica (RAG). Ejecución de consultas de visibilidad M3. | EE.UU. | CCT (DPF) |
| Perplexity AI | Contexto de negocio (M1), ejecución de consultas de visibilidad M3, validación de acciones externas | EE.UU. | CCT |
| Google (Gemini API) | Ejecución de consultas de visibilidad M3 | EE.UU./UE | CCT (DPF) |
CCT = Cláusulas Contractuales Tipo aprobadas por la Comisión Europea. DPF = Participante en el EU-US Data Privacy Framework. TIA = Transfer Impact Assessment (Evaluación de Impacto de Transferencia).
5.2 Nota especial sobre DeepSeek (transferencia a China)
DeepSeek es una empresa con sede en Hangzhou, China. La República Popular China no cuenta con una decisión de adecuación de la Comisión Europea. Para esta transferencia, además de las Cláusulas Contractuales Tipo, hemos realizado una Evaluación de Impacto de Transferencia (TIA) conforme a las recomendaciones del EDPB (European Data Protection Board) que analiza la legislación china de acceso a datos por autoridades públicas y las medidas técnicas y organizativas complementarias implementadas.
Medidas técnicas complementarias:
- Los datos enviados a DeepSeek se limitan a contenido público del sitio web del usuario y nombre del negocio. No se envían datos personales del usuario final (email, contraseña, datos de pago).
- Minimización: los prompts se construyen con el mínimo de información necesaria para el análisis.
- Los resultados generados se almacenan exclusivamente en nuestra infraestructura europea (Supabase EU).
- El usuario puede solicitar en cualquier momento que sus análisis se procesen exclusivamente con proveedores con sede en EE.UU./UE (Anthropic/Claude) escribiendo a contacto@relevanteia.com.
5.3 Garantías generales
- Los datos enviados a proveedores de IA se limitan a lo estrictamente necesario para el servicio (principio de minimización).
- Todos los proveedores operan bajo acuerdos de procesamiento de datos conformes al RGPD (DPA firmados).
- No se utilizan tus datos para entrenar modelos de IA de terceros. Todos los proveedores están configurados con opt-out de entrenamiento cuando sus términos lo permiten.
- Los resultados generados se almacenan en nuestra infraestructura bajo tu control.
- Puedes solicitar información detallada sobre la TIA de DeepSeek escribiendo a contacto@relevanteia.com.
6. Destinatarios y Transferencias Internacionales
6.1 Tabla completa de destinatarios
A continuación se listan todos los terceros que pueden acceder a datos personales o datos del negocio del usuario en el marco de la prestación del servicio:
| Destinatario | Finalidad | Ubicación | Salvaguarda |
|---|---|---|---|
| Supabase Inc. | Base de datos, autenticación, almacenamiento de archivos | UE/EE.UU. | CCT (DPF) |
| Vercel Inc. | Alojamiento de la aplicación web frontend | UE/EE.UU. | CCT (DPF) |
| Railway Inc. | Alojamiento del backend y cola de trabajos (Redis/BullMQ) | EE.UU. | CCT |
| Stripe Inc. | Procesamiento de pagos y suscripciones | EE.UU. | CCT (DPF) |
| DeepSeek (深度求索) | Motor principal de IA para análisis SRO | China | CCT + TIA |
| Anthropic PBC | Motor secundario de IA (fallback) | EE.UU. | CCT (DPF) |
| OpenAI Inc. | Embeddings semánticos y medición de visibilidad M3 | EE.UU. | CCT (DPF) |
| Perplexity AI Inc. | Contexto de negocio y medición de visibilidad M3 | EE.UU. | CCT |
| Google LLC | Gemini API, Knowledge Graph API, Places API, PageSpeed API, Search Console API, OAuth | EE.UU./UE | CCT (DPF) |
| Firecrawl | Extracción de contenido web (scraping) | EE.UU. | CCT |
| SerpAPI | Análisis de resultados de búsqueda, menciones y directorios | EE.UU. | CCT |
| Resend | Envío de correos electrónicos transaccionales | EE.UU. | CCT |
6.2 Transferencias internacionales
La mayoría de nuestros proveedores están ubicados en Estados Unidos. Para estas transferencias, nos basamos en las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando el proveedor participa en el EU-US Data Privacy Framework (DPF), en la decisión de adecuación de la Comisión Europea de 10 de julio de 2023.
Para la transferencia a China (DeepSeek), aplicamos CCT junto con una Evaluación de Impacto de Transferencia (TIA) y medidas técnicas complementarias detalladas en la Sección 5.2.
Para usuarios en Suiza: las transferencias se realizan conforme a la nFADP y las Cláusulas Contractuales Tipo reconocidas por el FDPIC (Comisionado Federal de Protección de Datos e Información).
No vendemos, alquilamos ni compartimos tus datos personales con terceros para fines de marketing sin tu consentimiento expreso.
7. Conservación de los Datos
| Categoría de datos | Plazo de conservación |
|---|---|
| Datos de cuenta y perfil | Mientras la cuenta esté activa + 5 años tras la baja |
| Datos de análisis SRO y reportes (M1, M2, M3) | Mientras la cuenta esté activa + 1 año tras la baja |
| Contenido scrapeado del sitio web (scraped_content) | Mientras la cuenta esté activa. Eliminado en un máximo de 30 días tras la baja. |
| Datos de facturación | 6 años (obligación legal tributaria, art. 29 Código de Comercio) |
| Logs de acceso y seguridad | 12 meses |
| Comunicaciones de soporte | 3 años desde la última interacción |
| Health snapshots (monitorización semanal) | Mientras la cuenta esté activa + 6 meses tras la baja |
| Auditorías gratuitas (Widget) | 90 días desde su generación |
| Credenciales de integración (WordPress, GSC, Bing) | Eliminadas inmediatamente tras la desconexión de la integración |
| Historial de versiones WordPress (wp_page_snapshots) | Mientras la integración WordPress esté activa + 30 días tras desconexión |
Transcurridos los plazos indicados, los datos serán suprimidos o anonimizados de forma irreversible.
8. Derechos del Interesado
Conforme al RGPD (y a la nFADP para usuarios en Suiza), puedes ejercer los siguientes derechos:
| Derecho | Descripción |
|---|---|
| Acceso (art. 15 RGPD) | Obtener confirmación de si tratamos tus datos y acceder a una copia de los mismos |
| Rectificación (art. 16 RGPD) | Corregir datos inexactos o completar datos incompletos |
| Supresión (art. 17 RGPD) | Solicitar la eliminación de tus datos (derecho al olvido) |
| Limitación (art. 18 RGPD) | Solicitar la restricción del tratamiento en ciertos supuestos |
| Portabilidad (art. 20 RGPD) | Recibir tus datos en formato estructurado (JSON) y transmitirlos a otro responsable |
| Oposición (art. 21 RGPD) | Oponerte al tratamiento basado en interés legítimo |
| Decisiones automatizadas (art. 22 RGPD) | Solicitar intervención humana en análisis automatizados |
| Retirar consentimiento | Retirar el consentimiento otorgado en cualquier momento, sin efecto retroactivo |
8.1 Cómo ejercer tus derechos
Envía tu solicitud a contacto@relevanteia.com indicando: tu nombre completo, dirección de correo electrónico asociada a la cuenta, el derecho que deseas ejercer, y copia de documento identificativo (DNI/NIE/Pasaporte u otro documento oficial). Responderemos en un plazo máximo de 30 días (ampliable a 60 días en casos complejos, previa notificación).
8.2 Autoridades de protección de datos
Si consideras que el tratamiento de tus datos vulnera la normativa aplicable, puedes presentar una reclamación ante:
- España: Agencia Española de Protección de Datos (AEPD) — www.aepd.es
- Francia: Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr
- Alemania: Bundesbeauftragter für den Datenschutz (BfDI) — www.bfdi.bund.de, o la autoridad del Land correspondiente
- Austria: Datenschutzbehörde (DSB) — www.dsb.gv.at
- Suiza: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB/FDPIC) — www.edoeb.admin.ch
9. Decisiones Automatizadas y Perfilado
Nuestra plataforma genera análisis, puntuaciones, rankings, alertas y recomendaciones de forma automatizada mediante inteligencia artificial. En particular:
- Puntuación SRO combinada (M1 × 0.4 + M2 × 0.6) que evalúa la preparación semántica de tu sitio web.
- Rankings de visibilidad en IA (porcentaje de aparición en ChatGPT, Gemini, Perplexity).
- Detección automática de patrones (caída de visibilidad, degradación técnica, envejecimiento de contenido, inconsistencia de entidades) tras acumular 3 o más snapshots semanales.
- Plan de acción automatizado con clasificación por fase y estimación de impacto.
- Validación SRO automática del contenido generado.
Naturaleza de las decisiones:
Estas puntuaciones y recomendaciones son orientativas y tienen como único fin asistir al usuario en la mejora de su presencia digital. No producen efectos jurídicos vinculantes sobre el usuario. La decisión final sobre si implementar cualquier recomendación corresponde siempre al usuario.
Derecho a intervención humana:
Conforme al artículo 22 del RGPD, tienes derecho a solicitar intervención humana en cualquier análisis automatizado, expresar tu punto de vista y impugnar el resultado. Para ello, contacta con contacto@relevanteia.com.
10. Medidas de Seguridad
Implementamos las siguientes medidas técnicas y organizativas para proteger tus datos:
- Cifrado de datos en tránsito (HTTPS/TLS) en todas las comunicaciones.
- Cifrado de contraseñas mediante algoritmos seguros (bcrypt vía Supabase Auth).
- Cifrado AES-256-GCM para credenciales de integración sensibles (WordPress, Google Search Console, Bing).
- Autenticación basada en JWT (JSON Web Tokens) con verificación en cada petición.
- Control de acceso basado en roles (usuario/administrador) con Row Level Security (RLS) en base de datos.
- Rate limiting: 100 peticiones/minuto por usuario; 1 auditoría gratuita/IP/día.
- Cabeceras de seguridad HTTP (Helmet): Content-Security-Policy, X-Frame-Options, etc.
- Protección CORS con whitelist de orígenes autorizados.
- Token interno para comunicación segura entre servidor y worker (x-internal-worker-token).
- Monitorización y registro de errores.
- Copias de seguridad periódicas de la base de datos.
- Acceso restringido a datos por parte del personal autorizado (principio de mínimo privilegio).
11. Política de Cookies
Para información detallada sobre el uso de cookies y tecnologías similares, consulta nuestra Política de Cookies en /legal/cookies. En resumen, utilizamos cookies estrictamente necesarias, funcionales, de pago (Stripe) y analíticas (sin Google Analytics ni Facebook Pixel).
12. Menores de Edad
Nuestros servicios están dirigidos exclusivamente a empresas y profesionales mayores de 18 años. No recopilamos intencionadamente datos de menores de edad. Si detectamos que hemos recogido datos de un menor, los eliminaremos de inmediato.
13. Disposiciones Específicas por Jurisdicción
13.1 Suiza
Para usuarios residentes en Suiza, el tratamiento de datos se rige adicionalmente por la nueva Ley Federal de Protección de Datos (nFADP/nDSG) en vigor desde el 1 de septiembre de 2023. En caso de conflicto entre el RGPD y la nFADP, se aplicará la disposición más protectora. El responsable designará un representante en Suiza conforme al artículo 14 de la nFADP cuando sea preceptivo.
13.2 Francia
Para usuarios residentes en Francia, esta política se interpreta conforme a la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modificada. La CNIL es la autoridad competente para reclamaciones. Los documentos contractuales estarán disponibles en francés conforme a la Loi Toubon.
13.3 Alemania y Austria
Para usuarios residentes en Alemania o Austria, esta política se interpreta conforme al BDSG (Bundesdatenschutzgesetz) en lo que complementa al RGPD. Las autoridades de protección de datos competentes son el BfDI (a nivel federal) o la autoridad del Land correspondiente en Alemania, y la DSB (Datenschutzbehörde) en Austria. El Impressum conforme al TMG/DDG está disponible en relevanteia.com/legal/impressum.
14. Modificaciones de esta Política
Nos reservamos el derecho de actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, en los proveedores utilizados o en la normativa aplicable. Las modificaciones sustanciales serán notificadas con al menos 15 días de antelación por correo electrónico a la dirección asociada a tu cuenta y mediante aviso destacado en la plataforma. El uso continuado del servicio tras la entrada en vigor de las modificaciones implica su aceptación.
15. Contacto
Para cualquier consulta relacionada con esta Política de Privacidad o el tratamiento de tus datos personales:
- Email: contacto@relevanteia.com
- Barcelona, España
Este documento ha sido redactado conforme al Reglamento General de Protección de Datos (UE) 2016/679, la Ley Orgánica 3/2018 (LOPDGDD), la nueva Ley Federal de Protección de Datos suiza (nFADP/nDSG), la Loi Informatique et Libertés francesa, y el Bundesdatenschutzgesetz (BDSG) alemán.