La presente política de privacidad regula el tratamiento de datos personales que se realiza a través de Gridfy.Lex (en adelante, "el Servicio"), accesible desde lex.gridfy.ai. Su finalidad es informar a las personas usuarias sobre los datos personales que se recopilan, las finalidades de su tratamiento, las bases jurídicas, los terceros con los que se comparten y los derechos que asisten a las personas titulares de los datos.
El Servicio cumple con el Reglamento (UE) 2016/679 (RGPD) y con la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
01Responsable del tratamiento
Gridfy.Lex es un producto de Gridfy SL, desarrollado y operado tecnológicamente por Montevive AI. El responsable del tratamiento de los datos personales es:
Gridfy SL
Calle Santa Lucía, 1K · 18194 Churriana de la Vega · Granada (España)
Teléfono: 958 570 360
Email: info@gridfy.ai
Para cualquier cuestión relacionada con la protección de datos personales en el contexto de Gridfy.Lex, puede contactar por correo electrónico a info@gridfy.ai.
02Datos que recopilamos
El Servicio recopila únicamente los datos personales estrictamente necesarios para prestarlo. En función del uso que se haga del Servicio, podemos tratar las siguientes categorías:
2.1. Datos de cuenta y autenticación
- Datos de identidad: nombre y apellidos.
- Datos de contacto: dirección de correo electrónico.
- Credenciales: contraseña en formato hash (no se almacena en texto plano; la gestión de credenciales se realiza a través de Keycloak).
- Rol y permisos: rol asignado dentro del Servicio (
user,admin) y, en su caso, organización a la que pertenece.
2.2. Datos de uso del Servicio
- Consultas: preguntas formuladas al asistente y respuestas generadas, junto con las citas a normativa devueltas.
- Historial de conversaciones: conjunto de interacciones asociadas a la cuenta de usuario.
- Feedback: valoraciones (positivas/negativas) y comentarios opcionales que el usuario asocia a una respuesta.
- Metadatos técnicos: identificador de sesión, identificador de traza (trace_id), modelo de IA empleado, número de tokens, latencia, fecha y hora.
2.3. Datos técnicos y de seguridad
- Dirección IP (utilizada para limitación de tasa por IP y prevención de abuso).
- User-Agent y datos básicos del navegador.
- Tokens JWT de sesión emitidos por Keycloak (almacenados en
localStoragedel navegador). - Logs de acceso y errores generados por el backend y la infraestructura.
2.4. Datos no recopilados
Gridfy.Lex no recopila categorías especiales de datos en el sentido del artículo 9 del RGPD (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos o de salud, vida u orientación sexual). Se recomienda a los usuarios no introducir datos personales sensibles en las consultas formuladas al asistente.
03Origen de los datos
Todos los datos personales tratados son facilitados directamente por la persona usuaria, bien en el momento del registro, bien durante el uso del Servicio (consultas, feedback, configuración de cuenta). No se obtienen datos de fuentes externas ni de terceros.
04Finalidad y base jurídica
Los datos personales se tratan con las siguientes finalidades y bajo las siguientes bases jurídicas previstas en el artículo 6 del RGPD:
| Finalidad | Datos tratados | Base jurídica |
|---|---|---|
| Creación y gestión de la cuenta de usuario | Identidad, contacto, credenciales | Ejecución de un contrato (art. 6.1.b RGPD) |
| Prestación del servicio: respuesta a consultas y entrega de citas legales | Consultas, historial, datos técnicos | Ejecución de un contrato (art. 6.1.b RGPD) |
| Mejora del servicio mediante análisis agregado de feedback | Feedback, metadatos técnicos | Interés legítimo (art. 6.1.f RGPD) |
| Seguridad, prevención de abuso y limitación de tasa | IP, user-agent, logs | Interés legítimo (art. 6.1.f RGPD) |
| Cumplimiento de obligaciones legales (fiscales, contables) | Datos de facturación cuando aplique | Obligación legal (art. 6.1.c RGPD) |
| Comunicaciones comerciales sobre el Servicio | Identidad, contacto | Consentimiento expreso (art. 6.1.a RGPD) |
El consentimiento, cuando sea la base jurídica aplicable, podrá retirarse en cualquier momento sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
05Plazos de conservación
- Datos de cuenta: mientras la cuenta de usuario permanezca activa. Una vez solicitada la baja, se eliminarán salvo obligación legal de conservarlos.
- Historial de consultas y respuestas: mientras la cuenta esté activa, salvo solicitud de borrado anticipado por parte de la persona usuaria.
- Feedback: indefinidamente en formato disociado o anonimizado para fines de mejora del Servicio.
- Logs técnicos y de seguridad: hasta 90 días desde su generación.
- Trazas de observabilidad (Langfuse): hasta 12 meses desde su generación, salvo que la persona usuaria solicite su eliminación.
- Datos de facturación: durante el plazo legalmente exigido (mínimo 6 años conforme al Código de Comercio).
06Terceros y subencargados
Para prestar el Servicio recurrimos a los siguientes proveedores tecnológicos en calidad de encargados o subencargados del tratamiento. Todos ellos cumplen con el RGPD y han suscrito los acuerdos de tratamiento de datos correspondientes:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Anthropic, PBC | Procesamiento de consultas mediante el modelo de lenguaje Claude | EE. UU. (con cláusulas contractuales tipo) |
| Amazon Web Services (AWS Bedrock) | Hosting alternativo de los modelos Claude (fallback) | UE (eu-west-1, Irlanda) |
| Voyage AI | Generación de embeddings y reranking semántico | EE. UU. (con cláusulas contractuales tipo) |
| Keycloak (auto-hospedado en infraestructura Montevive) | Autenticación y gestión de identidades | UE (Madrid, España) |
| Langfuse (auto-hospedado en infraestructura Montevive) | Observabilidad de las consultas al modelo (trazas, métricas y feedback) | UE (Madrid, España) |
| Weaviate (auto-hospedado en infraestructura Montevive) | Base de datos vectorial con el corpus normativo | UE (Madrid, España) |
| Montevive AI | Operación, mantenimiento y soporte técnico de la plataforma | UE (Madrid, España) |
Adicionalmente, podemos comunicar datos a asesores profesionales (auditores, abogados) y a las autoridades públicas cuando exista una obligación legal de hacerlo. Puede solicitar el listado actualizado de proveedores escribiendo a info@gridfy.ai.
07Transferencias internacionales
Las consultas que se envían a Anthropic y a Voyage AI implican una transferencia de datos a Estados Unidos. Estas transferencias se amparan en las cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914) y, en su caso, en otras garantías adecuadas previstas en el Capítulo V del RGPD.
Las personas usuarias pueden contactar con el responsable para obtener una copia de las garantías adoptadas.
08Ejercicio de derechos
Las personas titulares de los datos personales tienen derecho a:
- Acceder a sus datos personales y obtener una copia.
- Rectificar los datos inexactos o incompletos.
- Suprimir sus datos cuando ya no sean necesarios para los fines para los que se recopilaron (derecho al olvido).
- Limitar el tratamiento en los supuestos legalmente previstos.
- Oponerse al tratamiento por motivos relacionados con su situación particular.
- Portar sus datos a otro responsable en formato estructurado y de uso común.
- Retirar el consentimiento prestado en cualquier momento.
Para ejercer cualquiera de estos derechos puede dirigirse por correo electrónico a info@gridfy.ai o por correo postal a la dirección indicada en el apartado 1, acompañando copia de un documento que acredite su identidad. Las solicitudes serán atendidas en el plazo máximo de un mes.
Si considera que el tratamiento de sus datos personales no se ajusta a la normativa aplicable, puede presentar una reclamación ante la Agencia Española de Protección de Datos a través de su sede electrónica: https://sedeagpd.gob.es/.
09Seguridad de la información
Hemos implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD. Entre ellas:
- Cifrado en tránsito: todo el tráfico de la plataforma viaja sobre TLS 1.2 o superior.
- Cifrado en reposo: los volúmenes de almacenamiento utilizan AES-256.
- Autenticación robusta: el acceso se realiza vía OIDC con Keycloak, con soporte para PKCE y tokens JWT firmados con clave asimétrica.
- Control de acceso por roles en la API del backend.
- Limitación de tasa en endpoints sensibles para prevenir abuso.
- Registro de actividad para auditoría y detección de incidentes.
- Aislamiento de entornos de desarrollo, staging y producción.
En caso de violación de la seguridad de los datos personales que pueda suponer un riesgo para los derechos y libertades de las personas físicas, lo notificaremos a la Autoridad de Control en un plazo máximo de 72 horas conforme al artículo 33 del RGPD y, cuando proceda, lo comunicaremos también a las personas usuarias afectadas conforme al artículo 34.
10Menores de edad
El Servicio está dirigido exclusivamente a personas mayores de edad y a entidades jurídicas. No se autoriza el uso del Servicio a menores de 14 años. Si tenemos conocimiento de que se han recopilado datos personales de un menor sin el consentimiento legalmente válido, procederemos a eliminarlos a la mayor brevedad. Cualquier persona puede comunicar esta circunstancia escribiendo a info@gridfy.ai.
11Cambios en esta política
Esta política puede actualizarse para reflejar cambios en la normativa aplicable, en los proveedores tecnológicos o en las funcionalidades del Servicio. Cuando se produzcan modificaciones sustanciales, se notificará a las personas usuarias por los medios habituales (correo electrónico o aviso en la propia plataforma) con la debida antelación.
La fecha de la última actualización aparece al inicio de este documento.