Preámbulo

El presente documento constituye la Política de Privacidad y Tratamiento de Datos Personales de ABSIA LEGALTECH S.L. (en adelante, "el Responsable"). A través de esta política, el Responsable manifiesta su firme compromiso con la protección de los datos personales de sus usuarios e interesados (en adelante, "el Interesado" o "los Interesados"), en estricto cumplimiento del marco normativo europeo y nacional, principalmente el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos o "RGPD"), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD"). El propósito de esta política es proporcionar información transparente, inteligible y de fácil acceso sobre qué datos personales se recogen, cómo se tratan, con qué finalidades, durante cuánto tiempo se conservan y con quién se comparten, garantizando en todo momento el control del Interesado sobre su propia información. Este documento establece el marco de gobernanza de datos aplicable a todas las operaciones de tratamiento llevadas a cabo en el contexto de los servicios de comercio electrónico ofrecidos a través de nuestro bot de Inteligencia Artificial.

Artículo 1. Identificación del responsable del tratamiento y ámbito de aplicación

1.1. Identidad del responsable

En cumplimiento del deber de información establecido en el artículo 13 del RGPD, se informa de que la entidad responsable del tratamiento de sus datos personales es:

• Denominación Social: ABSIA LEGALTECH S.L.
• NIF/CIF: B75405050
• Domicilio Social: C/Serrano 110. Planta 1ª
• Correo electrónico de contacto: info@absialegaltech.com

La provisión de esta información completa y verificable es un requisito legal indispensable y un pilar fundamental para establecer una relación de confianza con el usuario, tal y como promueven las guías de buenas prácticas para el comercio electrónico.

1.2. Datos de contacto del delegado de protección de datos (DPO)

• Correo Electrónico del DPO: info@absialegaltech.com
• La figura del DPO representa un elemento central en la estructura de gobernanza de datos de la organización, actuando como garante del cumplimiento normativo y como punto de contacto principal para los interesados y las autoridades de control.

1.3. Ámbito de Aplicación

La presente Política de Privacidad es de aplicación a la totalidad de los datos de carácter personal recabados y tratados por el responsable a través de su bot de comercio electrónico basado en Inteligencia Artificial, así como a través de cualesquiera otros formularios, páginas web, aplicaciones móviles o canales digitales asociados que recojan datos personales de los Interesados en el marco de la prestación de nuestros servicios.

Artículo 2. Principios Fundamentales del Tratamiento de Datos Personales

Todo tratamiento de datos personales realizado por el responsable se rige por los principios consagrados en el artículo 5 del RGPD, los cuales se materializan en el diseño y operación de nuestros sistemas:

• Licitud, lealtad y transparencia: Los datos personales son tratados de manera lícita, sobre la base de una legitimación válida, y de forma leal y transparente. Esta política es el principal instrumento para cumplir con el deber de transparencia, informando al Interesado de forma clara y completa sobre el tratamiento de su información.
• Limitación de la finalidad: Los datos se recogen con fines determinados, explícitos y legítimos, que se corresponden principalmente con la gestión de la relación contractual derivada de la compra de productos o servicios. En ningún caso serán tratados ulteriormente de manera incompatible con dichos fines. Por ejemplo, los datos recabados para procesar un pedido no se utilizarán para fines de marketing sin haber obtenido un consentimiento específico e independiente para ello.
• Minimización de datos: El responsable se compromete a que los datos personales solicitados a través del bot de IA sean adecuados, pertinentes y estrictamente limitados a lo necesario para cumplir con las finalidades para las que son tratados. El diseño del sistema busca activamente reducir la recogida de datos al mínimo indispensable para la ejecución de la transacción.
• Exactitud: Se adoptarán medidas razonables para asegurar que los datos personales sean exactos y, si fuera necesario, actualizados. Se facilitarán canales para que el Interesado pueda rectificar en cualquier momento la información que resulte inexacta, como una dirección de envío incorrecta.
• Limitación del plazo de conservación: Los datos se conservarán de forma que permitan la identificación de los Interesados únicamente durante el tiempo estrictamente necesario para los fines del tratamiento, sin perjuicio de los plazos legales de conservación que sean de obligado cumplimiento, los cuales se detallan en el Artículo 8 de esta política.
• Integridad y confidencialidad: Se aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado que proteja los datos contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, incluyendo el uso de cifrado y controles de acceso rigurosos.
• Responsabilidad proactiva (Accountability): Este principio, piedra angular del RGPD, obliga al responsable no solo a cumplir con la normativa, sino a ser capaz de demostrar dicho cumplimiento. Para ello, mantenemos un registro de actividades de tratamiento, realizamos análisis de riesgos y hemos implementado las políticas y procedimientos internos necesarios para garantizar y evidenciar una gestión de datos conforme a la ley.

Artículo 3. Legitimación para el tratamiento de datos (Bases Jurídicas)

El tratamiento de los datos personales de los Interesados se fundamenta en las bases de licitud establecidas en el artículo 6 del RGPD. Dependiendo de la finalidad específica, el tratamiento se amparará en una de las siguientes bases jurídicas:

3.1. Ejecución de una Relación Contractual (Art. 6.1.b RGPD)

La base jurídica principal para el tratamiento de datos es la necesidad de ejecutar el contrato de compraventa de bienes o prestación de servicios suscrito por el interesado. Esta base legitima todas las operaciones de tratamiento que son indispensables para gestionar la relación comercial, lo que incluye: la recogida de datos del pedido a través del bot, el procesamiento de la información de pago, la gestión del envío y la entrega del producto, así como la atención de consultas o incidencias postventa directamente relacionadas con el pedido.

3.2. Consentimiento explícito del interesado (Art. 6.1.a RGPD)

Para todas aquellas finalidades que no sean estrictamente necesarias para la ejecución del contrato, el tratamiento de datos se basará en el consentimiento libre, específico, informado e inequívoco del Interesado. Este consentimiento se recabará mediante un acto afirmativo claro. Ejemplos de tratamientos basados en el consentimiento incluyen:

• La suscripción a boletines informativos o comunicaciones comerciales.
• El almacenamiento de datos de pago para futuras compras (tokenización), con el fin de agilizar el proceso de checkout.
• La instalación de cookies no esenciales (analíticas, publicitarias, etc.), conforme se detalla en el Artículo 10.

El Interesado tendrá derecho a retirar su consentimiento en cualquier momento, de forma sencilla y gratuita, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

3.3. Cumplimiento de una obligación legal (Art. 6.1.c RGPD)

Una parte fundamental del tratamiento de datos se realiza para dar cumplimiento a diversas obligaciones legales a las que el responsable está sujeto. Esta base jurídica es especialmente relevante y justifica la conservación de ciertos datos más allá de la finalización de la transacción. Entre estas obligaciones se incluyen, principalmente, las de naturaleza fiscal, contable y mercantil, como la emisión de facturas y la conservación de la documentación soporte durante los plazos legalmente establecidos por la normativa tributaria y el Código de Comercio. La existencia de esta base legal prevalece sobre el derecho de supresión en lo que respecta a dichos datos, tal y como se explica en el Artículo 7.

Artículo 4. Comunicaciones de datos a terceros y encargados del tratamiento

4.1. Encargados del tratamiento

Un Encargado del Tratamiento es una persona física o jurídica que trata datos personales por cuenta y bajo las instrucciones del responsable. El responsable selecciona únicamente a encargados que ofrecen garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD.

4.2. Pasarela de pago (Banco Santander / Redsys)

Para la correcta ejecución del contrato, es imprescindible comunicar los datos necesarios para el procesamiento del pago a la entidad proveedora de la pasarela de pagos, que en este caso es Banco Santander, S.A. y/o sus proveedores tecnológicos asociados como Getnet Europe, Entidad de Pago S.L.U. o Redsys. Estas entidades actuarán como Encargados del Tratamiento. La relación con dichos proveedores está regulada por un contrato de encargo de tratamiento conforme al artículo 28 del RGPD. Este contrato vinculante establece que el encargado únicamente tratará los datos siguiendo las instrucciones documentadas del Responsable, implementará medidas de seguridad de alto nivel (como el cumplimiento del estándar PCI DSS) y garantizará la confidencialidad de la información.

4.3. Otros destinatarios

Además de la pasarela de pago, sus datos podrán ser comunicados a otras categorías de destinatarios cuando sea estrictamente necesario para cumplir con las finalidades descritas:

• Empresas de logística y transporte: Para la gestión del envío y la entrega de los productos adquiridos. La base de legitimación es la ejecución del contrato.
• Asesorías fiscales y contables: Para el cumplimiento de las obligaciones legales en materia tributaria y contable. La base de legitimación es el cumplimiento de una obligación legal.
• Proveedores de servicios tecnológicos: Tales como servicios de alojamiento web (hosting), computación en la nube o mantenimiento informático, que actúan como Encargados del Tratamiento y cuya relación está igualmente regulada por el correspondiente contrato de encargo.

4.4. No cesión de datos sin consentimiento

Fuera de los supuestos mencionados y de aquellos casos en que exista una obligación legal de comunicación a autoridades públicas, juzgados o tribunales, el responsable se compromete a no ceder, vender ni alquilar los datos personales de los Interesados a terceros para sus propios fines comerciales o de cualquier otra índole sin haber obtenido previamente su consentimiento explícito.

Artículo 5. Tratamiento automatizado, elaboración de perfiles y decisiones del bot de IA

Dada la naturaleza del servicio, proporcionado a través de un bot de Inteligencia Artificial, el tratamiento de datos es inherentemente automatizado. El responsable ha implementado salvaguardas específicas para proteger los derechos de los Interesados en este contexto, en línea con las directrices de la AEPD sobre IA.

5.1. Naturaleza del tratamiento automatizado

El Interesado interactúa con un sistema automatizado (el bot de IA) que procesa la información proporcionada (datos del pedido, dirección de envío, etc.) para facilitar y gestionar la transacción de compra de manera eficiente.

5.2. Decisiones automatizadas con efectos jurídicos o significativos

El artículo 22 del RGPD establece derechos específicos para los interesados cuando son objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos sobre ellos o les afecten significativamente de modo similar. En este contexto, se informa de que el sistema no toma decisiones basadas única y exclusivamente en el tratamiento automatizado que produzcan efectos jurídicos o que afecten significativamente al Interesado. Todos los procesos críticos, como la validación final de una transacción, cuentan con supervisión o un punto de intervención humana si es necesario.

5.3. Derecho a la intervención humana

En el caso de que se apliquen decisiones automatizadas con efectos jurídicos o significativos, el responsable garantiza de forma explícita el derecho del Interesado, consagrado en el artículo 22 del RGPD, a:

• Obtener intervención humana por parte del responsable.
• Expresar su punto de vista y presentar las alegaciones que considere oportunas.
• Impugnar la decisión adoptada por el sistema automatizado.

Para ejercer este derecho, el Interesado podrá contactar con el responsable a través de los canales indicados en esta política, solicitando una revisión manual de la decisión. Se han establecido procedimientos internos para asegurar que dicha revisión sea llevada a cabo por personal con la competencia, autoridad y formación adecuadas para anular o confirmar la decisión del algoritmo.

Artículo 6. Transferencias internacionales de datos

El responsable del tratamiento se compromete a no transferir datos personales de los Interesados a países situados fuera del Espacio Económico Europeo (EEE) que no ofrezcan un nivel de protección de datos equiparable al del RGPD. Actualmente, todos nuestros proveedores y encargados del tratamiento que tienen acceso a datos personales se encuentran ubicados dentro del EEE, por lo que no se realizan transferencias internacionales de datos. El Interesado puede solicitar más información sobre las garantías adoptadas para las transferencias internacionales contactando con el DPO.

Artículo 7. Derechos de los interesados

El Responsable garantiza el ejercicio de los derechos reconocidos en el RGPD. El Interesado podrá ejercer los siguientes derechos:

• Derecho de acceso (Art. 15 RGPD): Obtener confirmación de si se están tratando sus datos personales y, en tal caso, acceder a los mismos y a información detallada sobre el tratamiento.
• Derecho de rectificación (Art. 16 RGPD): Solicitar la corrección de los datos personales que sean inexactos o que se completen los que sean incompletos.
• Derecho de supresión ("Derecho al Olvido") (Art. 17 RGPD): Solicitar la eliminación de sus datos personales cuando, entre otros motivos, ya no sean necesarios para los fines para los que fueron recogidos. Este derecho no es absoluto; la supresión no procederá cuando el tratamiento sea necesario para el cumplimiento de una obligación legal (como la conservación de facturas) que requiera el tratamiento de datos.
• Derecho a la limitación del tratamiento (Art. 18 RGPD): Solicitar que se restrinja el tratamiento de sus datos en determinadas circunstancias, por ejemplo, mientras se verifica la exactitud de los mismos. Durante la limitación, los datos solo podrán ser objeto de tratamiento, con excepción de su conservación, para la formulación, el ejercicio o la defensa de reclamaciones.
• Derecho a la portabilidad de los datos (Art. 20 RGPD): Recibir los datos personales que haya facilitado, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados.
• Derecho de oposición (Art. 21 RGPD): Oponerse en cualquier momento, por motivos relacionados con su situación particular, a que sus datos personales sean objeto de un tratamiento. El Responsable dejará de tratar los datos, salvo por motivos legítimos imperiosos o para la formulación, el ejercicio o la defensa de reclamaciones. Si el tratamiento tiene como finalidad la mercadotecnia directa, el Interesado tendrá derecho a oponerse en todo momento.

7.1. Procedimiento de ejercicio

El Interesado podrá ejercer sus derechos de forma gratuita, dirigiendo una comunicación por escrito a la dirección postal del Responsable o a través de la siguiente dirección de correo electrónico dedicada: despacho@absiaabogados.com, adjuntando una copia de su DNI o documento identificativo equivalente para acreditar su identidad.

7.2. Derecho a reclamar ante la autoridad de control

Si el Interesado considera que el tratamiento de sus datos personales infringe la normativa aplicable o que no se ha satisfecho el ejercicio de sus derechos, podrá presentar una reclamación ante la autoridad de control competente, que en España es la Agencia Española de Protección de Datos (AEPD), a través de su sede electrónica o su dirección postal.

Artículo 8. Plazos de conservación de los datos

Los datos personales se conservarán durante el tiempo estrictamente necesario para cumplir con la finalidad para la que fueron recabados y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Una vez cumplida la finalidad principal, los datos serán conservados, debidamente bloqueados, durante los plazos de prescripción legales que resulten de aplicación. A continuación, se presenta una tabla con los principales plazos de conservación:

Categoría de Datos	Finalidad del Tratamiento	Plazo de Conservación	Base Legal y Justificación
Datos de la Cuenta de Usuario	Gestión de la relación con el cliente y facilitación de futuras compras.	Mientras el usuario mantenga su cuenta activa.	Ejecución de un contrato (Art. 6.1.b RGPD).
Datos de Transacciones y Pedidos	Gestión contractual, envíos, devoluciones y garantías.	Durante la relación contractual y, posteriormente, bloqueados durante 5 años.	Art. 1964 del Código Civil (prescripción de acciones personales).
Facturas y Datos Fiscales Asociados	Cumplimiento de obligaciones contables y fiscales.	6 años a partir del último asiento realizado en los libros contables.	Art. 30 del Código de Comercio. Este plazo prevalece sobre el plazo fiscal de 4 años de la Ley General Tributaria.
Datos para Fines de Marketing (Consentimiento)	Envío de comunicaciones comerciales.	Hasta que el usuario revoque su consentimiento.	Consentimiento del interesado (Art. 6.1.a RGPD).
Consultas a Soporte al Cliente	Atender y gestionar las solicitudes del usuario.	Durante el tiempo necesario para resolver la consulta y, posteriormente, bloqueados por un máximo de 3 años.	Interés legítimo y prescripción de posibles responsabilidades contractuales o extracontractuales.
Datos de Navegación (Cookies)	Véase Artículo 10. Política de Cookies.	Según la tipología y configuración de la cookie (máximo 24 meses).	Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) y Guía de la AEPD.

8.1. Bloqueo de datos

El bloqueo de los datos implica la adopción de medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas. Transcurrido dicho plazo, se procederá a la supresión definitiva de los datos.

Artículo 9. Medidas de seguridad

9.1. Compromiso general

El Responsable, en aplicación del artículo 32 del RGPD, se compromete a implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, protegiendo los datos personales contra la destrucción, pérdida o alteración accidental o ilícita, y la comunicación o acceso no autorizados.

9.2. Seguridad en la transmisión de datos

Toda comunicación de datos entre el dispositivo del Interesado y los servidores del Responsable se realiza a través de canales seguros, utilizando el protocolo HTTPS (Hypertext Transfer Protocol Secure) con cifrado TLS (Transport Layer Security), lo que garantiza que la información transmitida viaje de forma íntegra y confidencial.

9.3. Seguridad en los pagos

La seguridad de los datos de pago es de máxima prioridad. Por ello, el procesamiento de las transacciones se delega en una pasarela de pago que cumple con los más altos estándares de seguridad del sector:

• Conformidad con PCI DSS: La pasarela de pago cuenta con la certificación PCI DSS (Payment Card Industry Data Security Standard), una norma de seguridad obligatoria para todas las organizaciones que almacenan, procesan o transmiten datos de tarjetas de crédito.
• Tokenización: El Responsable no almacena en sus servidores los datos completos de la tarjeta de crédito del Interesado. En su lugar, se utiliza un sistema de tokenización, mediante el cual los datos sensibles son reemplazados por un identificador único y cifrado (token) que no tiene valor fuera del sistema de pago, minimizando drásticamente el riesgo en caso de una brecha de seguridad.
• Autenticación reforzada del cliente (SCA): La pasarela de pago está adaptada a la normativa europea de servicios de pago (PSD2), implementando sistemas de autenticación reforzada como 3D Secure (Verified by Visa, Mastercard SecureCode) para verificar la identidad del titular de la tarjeta y prevenir transacciones fraudulentas.

9.4. Control de acceso y confidencialidad

Se han establecido políticas internas para garantizar que el acceso a los datos personales esté restringido únicamente al personal autorizado que necesite conocer dicha información para el desempeño de sus funciones. Todo el personal con acceso a datos personales está sujeto a estrictas obligaciones de confidencialidad.

Artículo 10. Política de cookies

10.1. Qué son las cookies?

Una cookie es un pequeño fichero de texto que un sitio web almacena en el navegador del usuario. Las cookies facilitan el uso y la navegación por una página web y son esenciales para el funcionamiento de internet, aportando innumerables ventajas en la prestación de servicios interactivos.

10.2. Tipos de cookies utilizadas

Este sitio web utiliza los siguientes tipos de cookies:

• Cookies técnicas (Necesarias): Son aquellas imprescindibles para el correcto funcionamiento del sitio web y la utilización de las diferentes opciones o servicios que en él existan. Permiten, por ejemplo, gestionar el carrito de la compra, controlar el tráfico y la comunicación de datos o utilizar elementos de seguridad durante la navegación. Estas cookies están exentas de la obligación de obtener el consentimiento del usuario.
• Cookies de preferencia o personalización: Permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma o el tipo de navegador.
• Cookies de análisis o medición: Permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida se utiliza en la medición de la actividad del sitio web para introducir mejoras en función del análisis de los datos de uso que hacen los usuarios.
• Cookies de marketing o publicidad comportamental: Almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

10.3. Información sobre cookies de terceros

Además de las cookies propias, gestionadas directamente por el Responsable, este sitio web puede utilizar cookies de terceros (p. ej., Google Analytics, Meta) para las finalidades de análisis y marketing. La política de cookies proporcionará una identificación clara de dichos terceros.

10.4. Consentimiento para el uso de cookies

En cumplimiento de la LSSI-CE y de las últimas directrices de la AEPD , este sitio web utiliza un sistema de gestión de consentimiento en dos capas:

• Primera capa (Banner de Cookies): Al acceder por primera vez al sitio web, se mostrará un banner informativo que contendrá botones claramente visibles y al mismo nivel de prominencia para:
  1. Aceptar todas: Para consentir el uso de todas las cookies.
  2. Rechazar todas: Para denegar el uso de todas las cookies no esenciales.
  3. Configurar: Para acceder a un panel donde el usuario puede otorgar un consentimiento granular. La opción de "seguir navegando" no se considera una forma válida de consentimiento.
• Segunda capa (Panel de configuración y Política de Cookies): A través del botón "Configurar" o de un enlace a la Política de Cookies, el usuario podrá acceder a un panel donde podrá habilitar o deshabilitar las cookies de forma granular, agrupadas al menos por finalidad. Las casillas de selección para cookies no esenciales nunca estarán premarcadas. Ninguna cookie no esencial se instalará en el dispositivo del usuario antes de que este realice una acción afirmativa de aceptación.

10.5. Cómo deshabilitar las Cookies en el navegador

El usuario puede configurar su navegador para que no acepte cookies, para que le avise cada vez que una cookie solicite ser instalada o para borrarlas de su ordenador una vez finalizada la navegación. Se proporcionarán enlaces a las instrucciones de los principales navegadores.

10.6. Duración del consentimiento

El consentimiento otorgado por el usuario para el uso de cookies tendrá una duración máxima de 24 meses. Transcurrido este periodo, se le volverá a solicitar el consentimiento en su próxima visita al sitio web.

Artículo 11. Modificación de la política de privacidad

El Responsable se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a futuras novedades legislativas o jurisprudenciales, así como a prácticas de la industria. En dichos supuestos, el Responsable anunciará en esta página los cambios introducidos con una antelación razonable a su puesta en práctica. Se informará a los usuarios de las modificaciones significativas a través del sitio web o, en su caso, mediante comunicación por correo electrónico. Fecha de última actualización: 14 de octubre de 2025