Política de Privacidad
AXIOMA LEGALTECH, S.L.
1. Responsable del tratamiento
AXIOMA LEGALTECH, S.L.
- Correo electrónico general: [email protected]
- Correo electrónico para protección de datos: [email protected]
- Canal para reportes de seguridad: [email protected]
Axioma LegalTech, S.L. (en adelante, "Axioma") es responsable del tratamiento de los datos personales proporcionados a través de la plataforma Axioma Draft, en los términos que se detallan a continuación.
2. Tu rol como usuario del servicio
La presente Política regula el tratamiento de datos personales en el que Axioma actúa como Responsable del tratamiento. Esto incluye principalmente los datos que facilitas para la contratación y prestación del servicio: email, datos de pago, dirección IP, datos de facturación.
Distinción importante. Cuando utilizas Axioma Draft para generar escritos jurídicos que contienen datos personales de terceros (por ejemplo, clientes de tu despacho, contrapartes procesales, o cualquier otro interesado), tú actúas como Responsable del tratamiento respecto a esos datos, y Axioma actúa como Encargado del tratamiento en tu nombre.
Las condiciones de ese encargo de tratamiento están reguladas en el Addendum de Protección de Datos, cuya aceptación se integra en los Términos y Condiciones del servicio.
3. Datos que tratamos
Axioma Draft trata las siguientes categorías de datos personales, según el contexto de uso del servicio:
- Datos del procedimiento judicial introducidos por el usuario durante la sesión de chat (nombres de partes, datos del contrato, importes, datos procesales). Estos datos se tratan bajo la figura del encargo de tratamiento referida en la cláusula 2.
- Datos agregados derivados del procedimiento (campos estructurados y categorizados extraídos selectivamente del case model, sin identificadores personales), generados para fines analíticos y estadísticos conforme a la cláusula 6.
- Datos de pago gestionados íntegramente por Stripe. Axioma no almacena datos de tarjeta bancaria en ningún momento.
- Dirección IP almacenada como hash criptográfico irreversible, exclusivamente con fines de prevención de fraude y seguridad.
- Email de recuperación (opcional): facilitado voluntariamente por el usuario para poder recuperar el acceso a un escrito adquirido. Se almacena como hash criptográfico irreversible.
- Email de contacto para soporte (opcional): facilitado voluntariamente mediante el botón de "Reportar error" cuando el usuario desea recibir respuesta a una incidencia.
- Datos de facturación (nombre o razón social, NIF/CIF y domicilio fiscal): únicamente cuando el usuario solicita la emisión de factura ordinaria.
4. Finalidad y base legal del tratamiento
El tratamiento de tus datos se realiza con las siguientes finalidades y bases jurídicas:
| Finalidad | Base legal (RGPD) |
|---|---|
| Generación del escrito jurídico solicitado | Art. 6.1.b — ejecución de contrato |
| Emisión de factura a solicitud del usuario | Art. 6.1.c — obligación legal (art. 164 LIVA y Reglamento de facturación) |
| Conservación de documentación contable y fiscal | Art. 6.1.c — obligación legal (art. 30 Código de Comercio; art. 66 LGT) |
| Prevención de fraude y seguridad (hash de IP) | Art. 6.1.f — interés legítimo |
| Atención y resolución de incidencias reportadas | Art. 6.1.b — ejecución de contrato (si se reporta desde un servicio activo); Art. 6.1.a — consentimiento (si se facilita email voluntariamente) |
| Estadísticas agregadas, estudios e informes sectoriales, mejora operativa del servicio y conjuntos de evaluación | Considerando 26 RGPD — los datos estructuralmente agregados y carentes de identificadores no constituyen datos personales. En ningún caso se utilizan para entrenar modelos de IA. |
| Notificación obligatoria de brechas de seguridad | Art. 34 RGPD — obligación legal |
Carácter de la facilitación de datos. La facilitación de los datos necesarios para la generación del escrito y para el procesamiento del pago es imprescindible para la ejecución del servicio. Sin ellos no es posible prestar la funcionalidad contratada. La facilitación del email de recuperación, del email para soporte y de los datos de facturación completos es opcional y voluntaria.
5. Plazos de conservación
Aplicamos estrictamente el principio de minimización y los siguientes plazos de retención:
| Tipo de dato | Retención |
|---|---|
| Escrito generado (DOCX en almacenamiento) | 24 horas, borrado automático por política de ciclo de vida |
| Datos del caso (case model de sesión conversacional) | 24 horas desde el cierre de la sesión, purga automática |
| Datos agregados (campos estructurados sin identificadores) | Indefinido (fuera del ámbito del RGPD conforme al Considerando 26) |
| Hash irreversible de IP | 90 días |
| Hash de email de recuperación (si se facilita) | Durante el periodo de retención del escrito asociado (máximo 24 horas) |
| Email de contacto para soporte (si se facilita) | Hasta resolución de la incidencia, máximo 6 meses |
| Datos de facturación (NIF/CIF, nombre fiscal, dirección fiscal) | 6 años desde el cierre del ejercicio fiscal (art. 30 Código de Comercio) |
| Facturas emitidas y documentación contable | 6 años (art. 30 Código de Comercio) |
| Logs técnicos sin contenido personal | 90 días |
Transcurridos los plazos indicados, los datos son eliminados de forma automática mediante procesos programados, con la excepción de los conservados por obligación legal.
6. Datos agregados y base de datos analítica
Para la mejora del servicio y la elaboración de análisis sectoriales, Axioma mantiene un sistema analítico independiente (BigQuery) al que se emiten, de forma concurrente al tratamiento operacional, exclusivamente datos estructurados que por su naturaleza no permiten identificar al interesado. El case model como tal nunca llega al sistema analítico: la separación entre datos personales operacionales y datos agregados analíticos se realiza por diseño técnico en el momento mismo de generación.
Extracción selectiva estructurada. Esta separación se realiza por diseño técnico: únicamente se emiten campos categorizados y discretos al sistema analítico, como por ejemplo:
- Tipo de producto o clase de procedimiento (expresados como enumeraciones cerradas).
- Tramos de cuantía, en lugar de importes exactos.
- Provincia o comunidad autónoma, nunca direcciones concretas.
- Año o mes, nunca fechas exactas.
- Motivos genéricos alegados (también como enumeraciones).
- Métricas operativas del sistema (duración de sesión, número de iteraciones).
Datos excluidos del sistema analítico. Los datos identificativos nunca llegan al sistema analítico. En particular, no se transfieren nombres, apellidos, documentos (DNI, NIE, CIF), direcciones postales, números de cuenta bancaria, importes exactos, fechas exactas ni textos narrativos libres.
Control adicional mediante DLP. Como medida complementaria de defensa en profundidad, los datos almacenados son escaneados mediante Data Loss Prevention API de Google Cloud, que detecta y neutraliza cualquier presencia residual inadvertida de información sensible.
Por carecer estructuralmente de elementos identificativos, estos datos no constituyen datos personales a los efectos del Considerando 26 del RGPD y quedan fuera del ámbito de aplicación del Reglamento y de la presente Política.
Finalidades admitidas sobre los datos agregados:
- Análisis estadístico agregado de uso del servicio.
- Detección de patrones de error y mejora operativa.
- Evaluación de calidad de los outputs del servicio.
- Elaboración de estudios agregados, informes sectoriales y productos de inteligencia de negocio basados exclusivamente en datos agregados.
- Investigación interna y colaboración académica, siempre sobre datos agregados que no permitan reidentificación.
Exclusión expresa. En ningún caso los datos, ni siquiera en su versión agregada, se utilizan para el entrenamiento, afinamiento o mejora de modelos de inteligencia artificial propios. Cualquier modificación futura de esta exclusión se comunicaría previamente con aviso y se reflejaría en una nueva versión de esta Política.
Titularidad del conjunto agregado. El conjunto de datos agregados derivado del servicio constituye una base de datos cuya titularidad corresponde a Axioma LegalTech, S.L., en su calidad de fabricante conforme al artículo 133 del texto refundido de la Ley de Propiedad Intelectual.
7. Destinatarios de los datos
Los datos se comunican exclusivamente a los siguientes encargados del tratamiento o subencargados, en la medida estrictamente necesaria para la prestación del servicio:
- Stripe Payments Europe Ltd. (Irlanda): procesamiento de pagos. Certificada PCI DSS.
- Google Cloud EMEA Limited (Irlanda): infraestructura de alojamiento (Cloud Run, Cloud SQL, Cloud Storage) y procesamiento por modelos de lenguaje (Vertex AI). Centros de datos en regiones europe-west1 (Bélgica) y europe-southwest1 (Madrid). Certificada ISO/IEC 27001 y SOC 2.
- Resend, Inc.: envío de correos transaccionales (recuperación de acceso, soporte).
- Cloudflare, Inc.: alojamiento de la landing estática, red de distribución de contenidos y protección perimetral.
No vendemos, cedemos ni compartimos datos personales con terceros para fines publicitarios, comerciales o de marketing. Los subencargados enumerados únicamente tratan los datos siguiendo nuestras instrucciones documentadas y conforme a los contratos de encargo firmados al efecto.
8. Transferencias internacionales de datos
El procesamiento principal de los datos se realiza en centros de datos situados dentro del Espacio Económico Europeo. No obstante, las entidades matrices de algunos subencargados (Google LLC, Stripe Inc., Resend Inc. y Cloudflare Inc.) están domiciliadas en Estados Unidos y pueden acceder puntualmente a los datos con fines de soporte técnico, mantenimiento o administración global de la infraestructura.
Para amparar legalmente dichas transferencias, Axioma se basa en las siguientes garantías, en orden de aplicación preferente:
- Decisión de adecuación: EU-US Data Privacy Framework (Decisión de la Comisión Europea de 10 de julio de 2023) respecto a las entidades estadounidenses adheridas al marco.
- Cláusulas Contractuales Tipo aprobadas por la Decisión de la Comisión Europea 2021/914, como garantía supletoria.
- Medidas técnicas suplementarias (cifrado en tránsito y en reposo, minimización del dato accesible al subencargado extranjero y protocolos de notificación) conforme a la doctrina del TJUE en el asunto Schrems II.
Puedes solicitar una copia de las garantías aplicables a cada transferencia escribiendo a [email protected].
9. Procesamiento automatizado e inteligencia artificial
Axioma Draft utiliza modelos de lenguaje de gran escala (LLM) para la generación automatizada del borrador del escrito jurídico. Dicho procesamiento se realiza sobre la información facilitada por el usuario y sobre un corpus jurisprudencial propio.
No existe decisión automatizada con efectos jurídicos. El output de la herramienta constituye un borrador sujeto a revisión, adaptación y firma por el profesional usuario, quien asume la plena responsabilidad profesional sobre el escrito finalmente presentado. En consecuencia, el tratamiento no constituye una decisión automatizada con efectos jurídicos o significativos sobre el interesado en el sentido del artículo 22 del RGPD, al requerir siempre intervención humana sustantiva (revisión y firma por el profesional) antes de cualquier uso del output.
Sin perjuicio de lo anterior, si consideras que el tratamiento automatizado te afecta, tienes derecho a contactarnos en [email protected] para plantear cualquier consulta o queja.
10. Derechos del interesado
Como titular de los datos personales tratados, puedes ejercer los siguientes derechos reconocidos en el RGPD:
- Derecho de acceso (art. 15): conocer qué datos tratamos y obtener una copia.
- Derecho de rectificación (art. 16): corregir datos inexactos o incompletos.
- Derecho de supresión (art. 17, "derecho al olvido"): solicitar la eliminación de tus datos cuando ya no sean necesarios o concurra otra causa.
- Derecho a la limitación del tratamiento (art. 18).
- Derecho a la portabilidad (art. 20): recibir tus datos en formato estructurado de uso común y lectura mecánica.
- Derecho de oposición (art. 21): oponerte al tratamiento basado en interés legítimo.
- Derecho a no ser objeto de decisiones automatizadas (art. 22): conforme a lo indicado en la cláusula 9, el servicio no produce decisiones automatizadas con efectos jurídicos o significativos, al requerir siempre intervención profesional.
¿Cómo ejercerlos? Escribe a [email protected] indicando claramente el derecho que deseas ejercer y los datos a los que se refiere tu solicitud.
Identificación del solicitante. Para garantizar la identidad de quien ejerce los derechos y evitar solicitudes fraudulentas, podremos requerir información adicional razonable que permita verificar tu identidad antes de atender la solicitud. En caso de no resultar posible verificarla de forma razonable, podremos declinar la solicitud conforme al artículo 12.6 del RGPD.
Plazo de respuesta. Las solicitudes se responderán en el plazo máximo de un (1) mes desde su recepción. Dicho plazo podrá prorrogarse por otros dos (2) meses adicionales en casos de especial complejidad o elevado número de solicitudes, lo cual se notificará al interesado dentro del primer mes.
Limitación en contexto de uso anónimo. Para usuarios que utilizan el servicio de forma anónima y no facilitan dato identificable alguno, la minimización aplicada impide la identificación retroactiva del interesado por parte de Axioma. Esta limitación constituye precisamente la garantía de privacidad ofrecida por el sistema. Conforme al artículo 11.2 del RGPD, en tales casos el responsable no está obligado a mantener o tratar información adicional con el único fin de cumplir con los derechos del interesado. Lo anterior no afecta a los datos conservados por obligación legal (facturación), respecto de los cuales sí podrás ejercer tus derechos acreditando tu identidad.
Reclamación ante la autoridad de control. Si consideras que tus derechos no han sido debidamente atendidos, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Web: www.aepd.es
- Dirección: C/ Jorge Juan, 6, 28001 Madrid
- Teléfono: 901 100 099 / 912 663 517
11. Cookies y tecnologías de seguimiento
11.1. Cookies técnicas y analítica anónima
Las únicas tecnologías utilizadas durante la sesión de uso del servicio son las estrictamente necesarias para el funcionamiento técnico del mismo (por ejemplo, almacenamiento de sesión para conservar el estado del chat y del escrito generado durante la sesión activa). Dichas tecnologías están exentas del requisito de consentimiento conforme al artículo 22.2 de la Ley 34/2002 (LSSI) y al criterio de la Agencia Española de Protección de Datos.
La medición de uso del sitio web se realiza con Umami Analytics, una herramienta que no utiliza cookies ni recopila datos personales identificables del visitante, también exenta del requisito de consentimiento conforme al artículo 22.2 LSSI.
11.2. Cookies de analítica con consentimiento
Adicionalmente, el sitio integra Google Analytics 4 (GA4) con la finalidad de medir el rendimiento de campañas publicitarias en Google Ads y atribuir conversiones. GA4 emplea cookies de Google (_ga, _ga_*) y transmite datos a Google LLC (Estados Unidos).
Estas cookies no se activan por defecto. El sitio implementa Consent Mode v2 con estado inicial denegado: hasta que el visitante pulsa "Aceptar" en el banner de cookies, no se almacena ninguna cookie de GA4 ni se envía información identificable a Google. Si el visitante pulsa "Rechazar" o cierra la ventana, el estado de denegación persiste durante la sesión y GA4 únicamente recibe señales agregadas sin cookies.
| Propósito | Cookies / datos | Base legal | Retención |
|---|---|---|---|
| Funcionamiento técnico de la sesión | Almacenamiento de sesión, cookie de sesión propia | Art. 22.2 LSSI (excepción técnica) | Sesión activa |
| Analítica agregada (cookieless) | Umami Analytics, sin cookies ni identificadores | Art. 22.2 LSSI (excepción analítica anónima) | N/A |
| Atribución de conversiones de Google Ads y analítica de comportamiento | Google Analytics 4 (_ga, _ga_*) | Art. 6.1.a RGPD — consentimiento expreso vía banner | 14 meses (configuración GA4) |
11.3. Transferencia internacional de datos (GA4)
Al aceptar GA4, sus datos pueden ser transferidos y tratados por Google LLC en Estados Unidos. Google se acoge al marco EU-U.S. Data Privacy Framework y, subsidiariamente, a Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, lo que ofrece garantías adecuadas conforme al Capítulo V del RGPD.
11.4. Retirada del consentimiento
Puede retirar su consentimiento en cualquier momento pulsando "Gestionar cookies" en el pie de página de cualquier sección de esta web. Esto reabre el banner y le permite cambiar su decisión sin necesidad de borrar cookies manualmente. Alternativamente, puede instalar el complemento de inhabilitación de GA4 facilitado por Google: tools.google.com/dlpage/gaoptout.
12. Menores de edad
El servicio Axioma Draft está dirigido exclusivamente a profesionales del derecho mayores de edad y a usuarios adultos capaces de contratar. Axioma no dirige sus servicios a menores de catorce (14) años ni recaba conscientemente datos personales de los mismos.
Si se detectara el tratamiento inadvertido de datos de menores de catorce años sin el consentimiento del titular de la patria potestad o tutela, se procederá a su supresión inmediata tras la verificación correspondiente.
13. Medidas de seguridad
Axioma aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo cifrado en tránsito y en reposo, control de accesos mediante autenticación fuerte, logs de auditoría sin contenido personal, purga automática de datos, y revisión periódica de dependencias y configuraciones.
Para información detallada sobre nuestras medidas técnicas y organizativas, canal de reporte responsable de vulnerabilidades y política de comunicación de incidentes, consulta nuestra página de Seguridad y Transparencia.
14. Actualizaciones de esta Política
Esta Política de Privacidad puede ser actualizada para reflejar cambios en el tratamiento de datos, modificaciones normativas o mejoras operativas. Las modificaciones sustanciales se comunicarán mediante aviso visible en el sitio web con al menos quince (15) días de antelación a su entrada en vigor, salvo que la normativa aplicable exija un plazo diferente.
Se mantiene archivo de versiones anteriores, disponible a simple solicitud en [email protected].
15. Legislación aplicable
La presente Política de Privacidad se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y cualquier otra normativa española o de la Unión Europea aplicable en materia de protección de datos.
Versiones anteriores disponibles a solicitud en [email protected]