Política de Privacidad
Última actualización: 25 de marzo de 2026 · Versión 2026-03-25-v1
1. Responsable del tratamiento
El responsable del tratamiento de sus datos personales es Filgueira Sanchez (titular del enkeltpersonforetak noruego Magrathea ved Filgueira Sanchez), nº de organización 937 509 332, Hegnunvegen 63, 3804 Bø i Telemark, Noruega. Como empresario individual noruego (enkeltpersonforetak), el responsable del tratamiento es la persona física que opera la empresa. Apantula es un nombre de producto proporcionado por esta empresa. En esta política, «nosotros» y «Apantula» se refieren a la empresa identificada anteriormente. Contacto: [email protected].
2. Delegado de Protección de Datos
No hemos designado un Delegado de Protección de Datos (DPO). El alcance y la naturaleza de nuestro tratamiento no cumplen los criterios para la designación obligatoria conforme al artículo 37 del RGPD, y la Ley Noruega de Protección de Datos no impone requisitos adicionales para nuestra empresa. Las consultas sobre privacidad pueden enviarse directamente a [email protected] y serán respondidas por el titular de la empresa.
3. Datos personales que tratamos
Tratamos las siguientes categorías de datos personales sobre usted como usuario: información de cuenta (nombre, correo electrónico, idioma preferido, datos de autenticación de Supabase); datos de propiedades que suba o registre (direcciones, documentos, fotos, registros financieros, historial de mantenimiento, hechos y eventos sobre la propiedad); conversaciones de chat con IA dentro del servicio; información de pago (procesada por Stripe — solo recibimos confirmaciones y datos de recibo, no detalles completos de tarjeta); datos técnicos (dirección IP, información del navegador, tokens de sesión, registros de seguridad). No tratamos categorías especiales de datos según el artículo 9 del RGPD. Proporcionar todos los datos es voluntario, pero sin los datos de cuenta y propiedad no podemos prestar el servicio.
4. Números de identificación personal noruegos (fødselsnummer)
No recopilamos activamente números de identidad noruegos (fødselsnummer o D-nummer) y nunca los usamos para identificar usuarios — identificamos a los usuarios únicamente mediante correo electrónico y datos de autenticación. Los documentos que sube (escrituras, papeles hipotecarios, pólizas de seguros, tasaciones) pueden contener fødselsnummer como parte del contenido del documento. Tales números se almacenan únicamente como parte del documento original, no se indexan por separado para búsqueda, y no se usan para ningún otro propósito que el de preservar el documento en su forma original. Esto cumple con la sección 12 de la Personopplysningsloven, que requiere una necesidad objetiva de identificación inequívoca — necesidad que no tenemos para prestar Apantula. Si desea eliminar un fødselsnummer de un documento que ya ha subido, puede editar o eliminar el documento desde la interfaz, o contactarnos para obtener ayuda.
5. Datos personales sobre terceros
Los documentos que sube a menudo contienen datos personales sobre otras personas además de usted mismo — por ejemplo, miembros de la familia en escrituras, inquilinos en contratos de arrendamiento, copropietarios, contratistas en facturas, agentes inmobiliarios en contratos de compraventa, o vecinos en correspondencia. Al subir tales documentos, confirma que tiene una base legítima para compartir esa información con nosotros para su tratamiento. Tratamos los datos de terceros únicamente para prestarle el servicio Apantula, y no los revendemos ni reutilizamos. Los terceros cuyos datos personales aparezcan en sus documentos subidos pueden contactarnos en [email protected] para ejercer sus derechos según el RGPD (acceso, rectificación, supresión). Trabajaremos con usted como nuestro cliente para resolver dichas solicitudes en cumplimiento con los artículos 14, 15 y 17 del RGPD.
6. Finalidades y base legal
Tratamos sus datos personales para las siguientes finalidades, con la base legal correspondiente según el artículo 6 del RGPD: prestación del servicio Apantula incluido el análisis con IA de documentos y la función de chat (necesidad contractual, art. 6(1)(b)); procesamiento de pagos y entrega de créditos (necesidad contractual, art. 6(1)(b)); envío de notificaciones del servicio y correos relacionados con la cuenta (necesidad contractual, art. 6(1)(b)); marketing por correo electrónico cuando ha consentido (consentimiento, art. 6(1)(a) — puede retirarlo en cualquier momento); prevención del fraude y seguridad (interés legítimo, art. 6(1)(f)); conservación de documentos contables y facturas (obligación legal según la sección 13 de la Bokføringsloven, art. 6(1)(c)). Las evaluaciones de interés legítimo están disponibles a petición.
7. Tratamiento automatizado e inteligencia artificial
Apantula utiliza inteligencia artificial (IA) para analizar sus documentos y responder preguntas sobre sus propiedades. Los documentos y mensajes de chat son procesados por Anthropic (Claude) para análisis de texto en la región global de Anthropic con Zero Data Retention activado, y por nuestro proveedor seleccionado de embeddings vectoriales para búsqueda semántica. Nunca usamos sus datos para entrenar modelos de IA, y nuestros encargados del tratamiento están contractualmente obligados a hacer lo mismo. Los resultados de la IA son solo informativos y no constituyen asesoramiento profesional jurídico, financiero, de seguros o técnico — siempre debe verificar la información importante de forma independiente antes de tomar decisiones basadas en respuestas de IA. De conformidad con el artículo 50 del Reglamento UE 2024/1689 (Ley de IA de la UE), se le informa claramente que está interactuando con un sistema de IA cuando utiliza las funciones de chat y análisis de documentos. No tomamos decisiones automatizadas que produzcan efectos jurídicos o significativamente similares sobre usted en el sentido del artículo 22 del RGPD — todas las decisiones sobre su propiedad, finanzas y uso del servicio quedan enteramente en sus manos.
8. Destinatarios y encargados del tratamiento
Compartimos datos personales con los siguientes encargados del tratamiento, cada uno bajo un Acuerdo de Tratamiento de Datos (DPA) conforme al artículo 28 del RGPD: Anthropic Ireland, Limited (análisis de texto con IA, región global, Zero Data Retention activado); Supabase Inc. (base de datos, autenticación y almacenamiento de archivos, alojado en la región de Suecia); Stripe Payments Europe Ltd. (procesamiento de pagos, entidad jurídica irlandesa); Brevo SAS (correo transaccional, entidad jurídica francesa). Nunca vendemos ni alquilamos sus datos personales a terceros con fines de marketing. Una lista actualizada de todos los encargados del tratamiento está disponible a petición.
9. Transferencias internacionales de datos
Sus datos personales se tratan principalmente dentro del Espacio Económico Europeo (EEE). Cuando los datos se transfieren a encargados estadounidenses (típicamente la infraestructura subyacente de Anthropic), nos basamos en el Marco de Privacidad de Datos UE-EE.UU. (adoptado el 10 de julio de 2023 por la Comisión Europea) y/o las Cláusulas Contractuales Tipo de la UE de 2021 (Decisión 2021/914) como base legal para la transferencia. Hemos realizado una Evaluación de Impacto de Transferencia (TIA) para nuestros proveedores estadounidenses, basada en la decisión de adecuación y la Orden Ejecutiva 14086 de EE.UU. La documentación está disponible a petición.
10. Periodos de conservación
Conservamos los datos personales solo durante el tiempo necesario para las finalidades indicadas: los datos de cuenta activa se conservan mientras la cuenta esté activa, más 30 días después de la eliminación; los documentos de propiedad se conservan mientras la cuenta esté activa, más 6 meses después de la eliminación para permitirle exportarlos; el historial de chat se conserva durante 2 años o hasta la eliminación de la cuenta; los embeddings vectoriales se eliminan al mismo tiempo que el documento fuente; las facturas, recibos y registros contables se conservan durante 5 años después de su emisión, conforme a la sección 13 de la Bokføringsloven. Después de la eliminación de la cuenta, se aplica un periodo de gracia de 30 días para la recuperación; posteriormente, todos los datos personales se eliminan permanentemente de nuestros sistemas y de los de nuestros encargados (con excepción de los documentos contables que la ley nos exige conservar).
11. Medidas de seguridad
Protegemos sus datos personales con medidas técnicas y organizativas conforme al artículo 32 del RGPD, incluyendo: cifrado en tránsito (TLS 1.2 o superior); cifrado en reposo para los documentos almacenados; control de acceso basado en roles siguiendo el principio de mínimo privilegio; hashing seguro de contraseñas; actualizaciones de seguridad regulares de los componentes de la plataforma; registros de auditoría para operaciones sensibles; alojamiento en la región UE. A pesar de estas medidas, ningún sistema es completamente seguro; le recomendamos usar una contraseña fuerte y única para su cuenta.
12. Sus derechos
Conforme al RGPD, tiene derecho a: acceder a sus datos personales (art. 15); rectificar datos inexactos o incompletos (art. 16); suprimir sus datos personales (art. 17 — función disponible en la configuración de su perfil); restringir el tratamiento (art. 18); portabilidad de datos en formato estructurado y legible por máquina (art. 20 — función de exportación disponible en la configuración de su perfil); oponerse al tratamiento basado en interés legítimo (art. 21); y retirar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento realizado antes de la retirada. Para ejercer estos derechos, contáctenos en [email protected]. Responderemos en un plazo de un mes desde la recepción de su solicitud.
13. Cookies y almacenamiento local
Apantula no utiliza actualmente cookies HTTP. Todos los datos locales se almacenan en localStorage y sessionStorage del navegador, que se consideran «tecnologías similares» según la sección 2-7b de la Ekomloven. Todo el almacenamiento que usamos es esencial para el funcionamiento del servicio — no usamos tecnologías de análisis, marketing o seguimiento de terceros. La tabla siguiente enumera todas las entradas de almacenamiento que establecemos. Las entradas de almacenamiento esenciales no requieren consentimiento conforme a la sección 2-7b párrafo segundo de la Ekomloven. Si en el futuro introducimos tecnologías no esenciales (por ejemplo, análisis de uso anónimos), solicitaremos su consentimiento previo a través del banner de consentimiento ya presente en la aplicación, y actualizaremos esta política en consecuencia. Hasta entonces, no se requiere ninguna acción por su parte.
| Nombre | Almacenamiento | Finalidad | Duración | Categoría |
|---|---|---|---|---|
| refresh_token | localStorage | Le mantiene conectado entre sesiones mediante un token de actualización | Hasta que cierre sesión o se revoque el token | Esencial |
| cookie-consent | localStorage | Almacena su elección de consentimiento para almacenamiento no esencial | Hasta que el almacenamiento se borre manualmente | Esencial |
| apantula_locale | cookie | Almacena tu idioma seleccionado para que la aplicación se muestre en el idioma correcto en futuras visitas | Un año desde la última actualización | Esencial |
14. Brechas de datos y notificación
En caso de una brecha de datos personales que probablemente entrañe un alto riesgo para sus derechos y libertades, le notificaremos sin demora indebida conforme al artículo 34 del RGPD, normalmente por correo electrónico. Todas las brechas que cumplan los criterios se comunican a Datatilsynet (la Autoridad Noruega de Protección de Datos) en un plazo de 72 horas desde que tengamos conocimiento de la brecha, conforme al artículo 33 del RGPD. Mantenemos un registro interno de incidentes que cubre todos los eventos, incluidos los que no desencadenan una obligación de notificación.
15. Cambios en esta política
Podemos actualizar esta Política de Privacidad de vez en cuando. Le notificaremos los cambios materiales por correo electrónico o mediante una notificación en la aplicación. La política actualizada entra en vigor desde la fecha indicada en la parte superior de esta página. El historial de versiones a continuación muestra los cambios a lo largo del tiempo:
Historial de versiones
- 2026-03-25-v1 (25 de marzo de 2026): Primera versión publicada.
16. Contacto y reclamaciones
Para preguntas sobre privacidad, ejercer sus derechos, o reportar una brecha de datos, contáctenos en [email protected]. Responderemos en un plazo de un mes. También tiene derecho a presentar una reclamación ante Datatilsynet (la Autoridad Noruega de Protección de Datos) en datatilsynet.no o por teléfono al +47 22 39 69 00.