RGPD y LOPDGDD — Información sobre el tratamiento de datos personales
Última actualización: 9 de mayo de 2026
En cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa al Usuario de los siguientes datos:
Arpazz no tiene actualmente designado Delegado de Protección de Datos (DPO), al no concurrir los supuestos del artículo 37 RGPD. Para cualquier cuestión relativa a privacidad, el Usuario puede dirigirse al correo electrónico indicado.
Arpazz actúa en dos posiciones jurídicas diferenciadas según la naturaleza de los datos tratados:
Como Responsable del Tratamiento: respecto de los datos personales de las empresas clientes (datos de contacto, facturación, autenticación y soporte) y de los visitantes del sitio web.
Como Encargado del Tratamiento: respecto de los datos personales que las empresas clientes (gestorías, despachos, agencias inmobiliarias, consultorías) introducen en el Servicio Verify sobre sus propios clientes finales. En este caso, el Responsable es la empresa cliente, y Arpazz trata dichos datos por encargo y siguiendo sus instrucciones, conforme al Contrato de Encargo de Tratamiento (DPA) firmado entre las partes en virtud del artículo 28 RGPD.
La presente Política de Privacidad regula principalmente los tratamientos en los que Arpazz actúa como Responsable. Para los tratamientos en los que actúa como Encargado, se aplica adicionalmente lo dispuesto en el correspondiente DPA.
Arpazz trata las siguientes categorías de datos en su condición de Responsable:
Arpazz NO trata categorías especiales de datos (datos relativos a salud, religión, ideología, afiliación sindical, vida u orientación sexual, datos genéticos o biométricos para identificación, datos penales) en su condición de Responsable.
Arpazz trata los datos personales con las siguientes finalidades y bases legales:
Los datos personales tratados por Arpazz proceden:
| Categoría de datos | Plazo de conservación | Base legal |
|---|---|---|
| Perfiles de usuario | Mientras exista la cuenta | Consentimiento + ejecución contractual |
| Datos de empresas y trabajadores | Mientras exista la cuenta | Ejecución contractual |
| Datos de Clientes Finales (vínculos) | Mientras la empresa los conserve | Encargo del Responsable |
| Mensajes y archivos adjuntos | 730 días (2 años) | Ejecución contractual |
| Conversaciones de IA | 365 días (1 año) | Ejecución contractual |
| Historias efímeras | 2 días (purga automática) | Ejecución contractual |
| Facturas | 1.825 días (5 años) | Obligación legal fiscal |
| Audit events / logs | 90 días (purga automática) | Interés legítimo (seguridad) |
| Códigos OTP | Eliminación inmediata al expirar | Ejecución contractual |
| Tokens de notificación push | 90 días tras última conexión | Consentimiento |
| Registros de consentimientos | Indefinido (inmutable) | Obligación legal RGPD art. 7.1 |
| Firmas electrónicas | 7 años desde la firma | Obligaciones contractuales y eIDAS |
Una vez transcurridos los plazos indicados, los datos serán eliminados de forma definitiva o anonimizados de manera irreversible, salvo obligación legal de conservación adicional.
| Proveedor | Servicio | Ubicación | Garantías |
|---|---|---|---|
| Supabase, Inc. | Backend (PostgreSQL, Auth, Edge Functions, Storage, Realtime) | Irlanda (UE) | Sin transferencia fuera de UE |
| Stripe Payments Europe, Ltd. | Pagos y suscripciones | UE / EE.UU. | CCT + Data Privacy Framework |
| Resend, Inc. | Emails transaccionales | EE.UU. | CCT |
| Anthropic, PBC | IA (Claude) para Verify AI | EE.UU. | CCT |
| Google Ireland Ltd. | Firebase Cloud Messaging (push) | UE / EE.UU. | CCT + Data Privacy Framework |
| Microsoft Corporation | Office Online (visualización DOCX/PPT) | Global | CCT + Data Privacy Framework |
Arpazz no realiza venta ni cesión de datos personales a terceros con finalidades comerciales.
Algunos de los subprocesadores indicados pueden tratar datos personales fuera del Espacio Económico Europeo. En todos los casos, Arpazz ha verificado la existencia de garantías adecuadas conforme al Capítulo V del RGPD:
El Usuario puede solicitar copia de las garantías aplicables a través de hola@arpazz.com.
Arpazz aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD. En particular:
Verify integra un asistente de IA basado en Claude de Anthropic como complemento opcional. El asistente NO toma decisiones automatizadas con efectos jurídicos o significativos sobre el Usuario en el sentido del artículo 22 RGPD.
Conforme a las condiciones de la API de Anthropic, los datos transmitidos no se utilizan para entrenamiento de modelos. Las respuestas generadas por la IA pueden contener errores y deben verificarse.
El Usuario puede ejercer los siguientes derechos:
Para ejercer estos derechos, contacta a hola@arpazz.com indicando «Privacidad» en el asunto.
Arpazz podrá remitir comunicaciones comerciales relativas a productos o servicios propios similares al contratado. El Usuario podrá oponerse en cualquier momento mediante el enlace de baja incluido en cada comunicación.
El Servicio Verify está dirigido exclusivamente a personas mayores de 18 años. Arpazz no recoge intencionadamente datos de menores.
Arpazz podrá modificar esta Política cuando resulte necesario. Las modificaciones sustanciales serán comunicadas con antelación razonable. La fecha de la última actualización figura al inicio del documento.
Para cualquier consulta: hola@arpazz.com.
Autoridad de control: Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6 — 28001 Madrid, www.aepd.es.