V
Verify by Arpazz

Política de Privacidad

RGPD y LOPDGDD — Información sobre el tratamiento de datos personales
Última actualización: 9 de mayo de 2026

1. Identificación del responsable

En cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa al Usuario de los siguientes datos:

Arpazz no tiene actualmente designado Delegado de Protección de Datos (DPO), al no concurrir los supuestos del artículo 37 RGPD. Para cualquier cuestión relativa a privacidad, el Usuario puede dirigirse al correo electrónico indicado.

2. Doble rol de Arpazz en el tratamiento de datos

Arpazz actúa en dos posiciones jurídicas diferenciadas según la naturaleza de los datos tratados:

Como Responsable del Tratamiento: respecto de los datos personales de las empresas clientes (datos de contacto, facturación, autenticación y soporte) y de los visitantes del sitio web.

Como Encargado del Tratamiento: respecto de los datos personales que las empresas clientes (gestorías, despachos, agencias inmobiliarias, consultorías) introducen en el Servicio Verify sobre sus propios clientes finales. En este caso, el Responsable es la empresa cliente, y Arpazz trata dichos datos por encargo y siguiendo sus instrucciones, conforme al Contrato de Encargo de Tratamiento (DPA) firmado entre las partes en virtud del artículo 28 RGPD.

La presente Política de Privacidad regula principalmente los tratamientos en los que Arpazz actúa como Responsable. Para los tratamientos en los que actúa como Encargado, se aplica adicionalmente lo dispuesto en el correspondiente DPA.

3. Categorías de datos personales tratados

Arpazz trata las siguientes categorías de datos en su condición de Responsable:

Arpazz NO trata categorías especiales de datos (datos relativos a salud, religión, ideología, afiliación sindical, vida u orientación sexual, datos genéticos o biométricos para identificación, datos penales) en su condición de Responsable.

4. Finalidades y bases legales del tratamiento

Arpazz trata los datos personales con las siguientes finalidades y bases legales:

5. Procedencia de los datos

Los datos personales tratados por Arpazz proceden:

6. Plazos de conservación

Categoría de datosPlazo de conservaciónBase legal
Perfiles de usuarioMientras exista la cuentaConsentimiento + ejecución contractual
Datos de empresas y trabajadoresMientras exista la cuentaEjecución contractual
Datos de Clientes Finales (vínculos)Mientras la empresa los conserveEncargo del Responsable
Mensajes y archivos adjuntos730 días (2 años)Ejecución contractual
Conversaciones de IA365 días (1 año)Ejecución contractual
Historias efímeras2 días (purga automática)Ejecución contractual
Facturas1.825 días (5 años)Obligación legal fiscal
Audit events / logs90 días (purga automática)Interés legítimo (seguridad)
Códigos OTPEliminación inmediata al expirarEjecución contractual
Tokens de notificación push90 días tras última conexiónConsentimiento
Registros de consentimientosIndefinido (inmutable)Obligación legal RGPD art. 7.1
Firmas electrónicas7 años desde la firmaObligaciones contractuales y eIDAS

Una vez transcurridos los plazos indicados, los datos serán eliminados de forma definitiva o anonimizados de manera irreversible, salvo obligación legal de conservación adicional.

7. Destinatarios y subprocesadores

ProveedorServicioUbicaciónGarantías
Supabase, Inc.Backend (PostgreSQL, Auth, Edge Functions, Storage, Realtime)Irlanda (UE)Sin transferencia fuera de UE
Stripe Payments Europe, Ltd.Pagos y suscripcionesUE / EE.UU.CCT + Data Privacy Framework
Resend, Inc.Emails transaccionalesEE.UU.CCT
Anthropic, PBCIA (Claude) para Verify AIEE.UU.CCT
Google Ireland Ltd.Firebase Cloud Messaging (push)UE / EE.UU.CCT + Data Privacy Framework
Microsoft CorporationOffice Online (visualización DOCX/PPT)GlobalCCT + Data Privacy Framework

Arpazz no realiza venta ni cesión de datos personales a terceros con finalidades comerciales.

8. Transferencias internacionales de datos

Algunos de los subprocesadores indicados pueden tratar datos personales fuera del Espacio Económico Europeo. En todos los casos, Arpazz ha verificado la existencia de garantías adecuadas conforme al Capítulo V del RGPD:

El Usuario puede solicitar copia de las garantías aplicables a través de hola@arpazz.com.

9. Medidas de seguridad

Arpazz aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD. En particular:

10. Decisiones automatizadas e Inteligencia Artificial

Verify integra un asistente de IA basado en Claude de Anthropic como complemento opcional. El asistente NO toma decisiones automatizadas con efectos jurídicos o significativos sobre el Usuario en el sentido del artículo 22 RGPD.

Conforme a las condiciones de la API de Anthropic, los datos transmitidos no se utilizan para entrenamiento de modelos. Las respuestas generadas por la IA pueden contener errores y deben verificarse.

11. Derechos del Usuario

El Usuario puede ejercer los siguientes derechos:

Para ejercer estos derechos, contacta a hola@arpazz.com indicando «Privacidad» en el asunto.

12. Comunicaciones comerciales

Arpazz podrá remitir comunicaciones comerciales relativas a productos o servicios propios similares al contratado. El Usuario podrá oponerse en cualquier momento mediante el enlace de baja incluido en cada comunicación.

13. Menores de edad

El Servicio Verify está dirigido exclusivamente a personas mayores de 18 años. Arpazz no recoge intencionadamente datos de menores.

14. Modificaciones

Arpazz podrá modificar esta Política cuando resulte necesario. Las modificaciones sustanciales serán comunicadas con antelación razonable. La fecha de la última actualización figura al inicio del documento.

15. Contacto

Para cualquier consulta: hola@arpazz.com.

Autoridad de control: Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6 — 28001 Madrid, www.aepd.es.