Política de Privacidad

2. Datos personales que tratamos

Reglapp recoge y trata las siguientes categorías de datos personales del Usuario:

2.1 Datos de registro y cuenta

• Dirección de correo electrónico
• Contraseña (almacenada en formato cifrado mediante hash)
• Idioma preferido y configuración de la cuenta
• Fecha de creación de la cuenta y registros de acceso

2.2 Datos de perfil ("Acerca de mí")

• Nombre y apellidos
• Fecha de nacimiento
• Nacionalidad
• Domicilio en España y país de origen
• Número de teléfono
• Datos del pasaporte (número, fecha de emisión y caducidad, autoridad emisora)
• Lugar de trabajo y profesión
• Estado civil
• Nombres de los progenitores

2.3 Documentación cargada en el área "Mis Datos"

Documentación necesaria para la prestación de los servicios profesionales contratados, que puede incluir, según el caso: pasaporte del país de origen, documentos acreditativos de residencia en los últimos 5 años, certificado de antecedentes penales, justificantes de empadronamiento, contrato laboral u oferta de empleo, certificados de nacimiento de hijos y sus pasaportes, certificados de matrimonio, declaraciones tributarias, y cualquier otro documento solicitado por el profesional asignado para el cumplimiento del encargo.

2.4 Datos de la sesión con el asistente de IA

• Contenido de los mensajes intercambiados con el AI-chat
• Metadatos de la sesión (fecha, hora, identificador de sesión)
• Resultados de la evaluación informativa generada por el AI

2.5 Datos de facturación y pago

• Razón social o nombre completo, NIF/NIE, dirección fiscal
• Servicios contratados, importes, IVA, fecha de la operación
• Identificadores de transacción del proveedor de pago (los datos completos de la tarjeta no son almacenados por Reglapp; los procesa el proveedor de pago certificado PCI-DSS)

2.6 Datos del expediente del cliente

• Notas, comunicaciones y observaciones generadas por el profesional asignado
• Documentos producidos durante la prestación del servicio
• Estado del expediente y comunicaciones con organismos públicos

2.7 Datos técnicos y de uso

• Dirección IP, tipo de dispositivo, navegador, sistema operativo
• Páginas visitadas, tiempo de permanencia, interacciones con la plataforma
• Identificadores de cookies según las preferencias del Usuario
• Logs técnicos para seguridad y depuración

2.8 Datos de menores

Cuando el servicio contratado implica la regularización familiar u otros trámites relativos a hijos menores de edad del Usuario, Reglapp puede tratar datos de tales menores (certificado de nacimiento, pasaporte, datos identificativos). Estos datos son tratados bajo la responsabilidad parental del Usuario, quien declara estar legitimado para aportarlos en interés del menor. La plataforma Reglapp no está dirigida a menores y no recoge datos de menores con fines distintos al servicio profesional contratado por su progenitor o representante legal.

3. Categorías especiales de datos (Art. 9 RGPD) y datos relativos a infracciones penales (Art. 10 RGPD / Art. 10 LOPDGDD)

Determinados datos tratados por Reglapp pueden requerir un régimen reforzado de protección:

3.1 Estatus migratorio

La situación migratoria del Usuario en España (incluida la condición de irregularidad administrativa) puede ser tratada como categoría especial de datos en interpretación del artículo 9 RGPD. La base jurídica del tratamiento es el consentimiento explícito del interesado conforme al artículo 9.2.a RGPD, recabado de forma separada y específica en el momento del registro.

3.2 Antecedentes penales

El certificado de antecedentes penales requerido para determinados procedimientos de extranjería constituye dato relativo a infracciones penales. Su tratamiento se ampara, conforme al artículo 10 LOPDGDD, en la prestación del servicio profesional por gestor administrativo o abogado colegiado, en cumplimiento de los procedimientos administrativos en los que el certificado es requerido por la normativa aplicable, y con el consentimiento explícito del Usuario.

El Usuario puede oponerse al tratamiento de estas categorías de datos en cualquier momento, con la consecuencia de que Reglapp y el profesional asignado no podrán continuar la prestación del servicio que requiera dichos datos.

4. Finalidades del tratamiento y bases jurídicas

La siguiente tabla resume las finalidades del tratamiento, los datos implicados y la base jurídica aplicable conforme al artículo 6 RGPD:

• Creación y gestión de la cuenta de usuario: §2.1 — Ejecución del contrato (Art. 6.1.b)
• Prestación del servicio profesional contratado (extranjería, fiscalidad, gestoría): §2.2, §2.3, §2.6 — Ejecución del contrato (Art. 6.1.b)
• Tratamiento de categorías especiales y datos de antecedentes: §3.1, §3.2 — Consentimiento explícito (Art. 9.2.a) y/o Art. 10 LOPDGDD
• Sesiones con AI-chat: §2.4 — Ejecución del contrato (Art. 6.1.b) + interés legítimo en mejora del producto (Art. 6.1.f)
• Facturación y obligaciones fiscales: §2.5 — Cumplimiento de obligación legal (Art. 6.1.c — Código de Comercio Art. 30, Ley General Tributaria)
• Comunicación con autoridades públicas (Hacienda, Seguridad Social, Extranjería) en el marco del servicio: §2.2, §2.3, §2.6 — Cumplimiento de obligación legal aplicable al expediente (Art. 6.1.c)
• Seguridad técnica y prevención de fraude: §2.7 — Interés legítimo (Art. 6.1.f)
• Comunicaciones comerciales sobre productos propios a clientes existentes: §2.1, §2.5 — Interés legítimo (Art. 6.1.f) — Art. 21.2 LSSI-CE
• Marketing personalizado y transferencia a socios comerciales: §2.1, §2.7 — Consentimiento explícito y separado (Art. 6.1.a)
• Cookies y tecnologías similares: §2.7 — Consentimiento (Art. 22.2 LSSI-CE)

5. Plazos de conservación

Reglapp conserva los datos personales durante el tiempo estrictamente necesario para las finalidades del tratamiento, conforme a los siguientes plazos:

• Datos de cuenta: mientras la cuenta esté activa + 1 año desde la baja, salvo obligación legal de conservación más amplia.
• Datos del expediente y documentación profesional: 5 años desde la finalización del servicio, conforme a los plazos de responsabilidad civil profesional aplicables a gestores administrativos y abogados, y al plazo general de prescripción de acciones personales (Art. 1964 Código Civil).
• Datos de facturación: 6 años conforme al artículo 30 del Código de Comercio; 4 años adicionales para fines fiscales conforme a la Ley General Tributaria (Art. 66).
• Contenido de las sesiones con AI-chat: 30 días tras la finalización de la sesión, salvo que el Usuario solicite expresamente una conservación mayor o que el contenido sea integrado en su expediente profesional.
• Consentimientos de marketing: mientras el consentimiento esté vigente + 3 años desde su retirada para fines probatorios.
• Logs técnicos y datos de seguridad: 90 días.
• Datos de menores: mismos plazos aplicables al expediente del progenitor titular de la cuenta; eliminación a solicitud del progenitor o al alcanzar el menor la mayoría de edad (con notificación previa).

Al expirar los plazos, los datos son suprimidos o anonimizados de forma segura.

6. Destinatarios y categorías de destinatarios

Los datos personales del Usuario podrán ser comunicados a las siguientes categorías de destinatarios:

6.1 Profesionales colegiados (Encargados del Tratamiento)

Gestores administrativos, abogados y otros profesionales colegiados independientes contratados a través de la plataforma para la prestación del servicio profesional. Actúan como Encargados del Tratamiento bajo Acuerdo de Tratamiento de Datos (DPA) suscrito conforme al artículo 28 RGPD. Reciben el conjunto de datos del expediente necesario para la prestación del servicio.

6.2 Proveedores de infraestructura técnica

• Hosting e infraestructura: Hetzner Online GmbH (Alemania) — alojamiento de datos y servidores en centros de datos ubicados en la Unión Europea.

6.3 Proveedores de inteligencia artificial

• OpenAI, L.L.C.: (Estados Unidos) — procesamiento de mensajes del AI-chat mediante modelos de lenguaje. Los datos enviados a través de la API no son utilizados por OpenAI para entrenar sus modelos, conforme a la política de OpenAI vigente para servicios API.
• Google LLC: (Estados Unidos) — procesamiento de mensajes del AI-chat mediante modelos Gemini.

6.4 Proveedor de pago

• Stripe Payments Europe, Limited: (Irlanda) — procesamiento de pagos de los servicios contratados. Los datos completos de la tarjeta son tratados directamente por Stripe (PCI-DSS Level 1).

6.5 Analítica y publicidad

• PostHog Inc.: (con instancia configurada en la Unión Europea) — analítica de producto y comportamiento de uso.
• Meta Platforms Ireland Limited: (Meta Pixel) — atribución publicitaria, únicamente con el consentimiento del Usuario mediante el banner de cookies.
• TikTok Technology Limited: (TikTok Pixel) — atribución publicitaria, únicamente con consentimiento.
• Google Ireland Limited: (Google Ads) — atribución publicitaria, únicamente con consentimiento.

6.6 Socios comerciales (marketing)

Cuando el Usuario haya prestado su consentimiento explícito y separado, Reglapp podrá comunicar determinados datos (datos de contacto, perfil de uso) a socios comerciales seleccionados para el envío de ofertas personalizadas en los ámbitos de inmigración, fiscalidad, finanzas, seguros, relocación y servicios afines. Las categorías de socios y el detalle de datos comunicados se describen en la sección 11.

6.7 Autoridades públicas

Hacienda, Seguridad Social, Extranjería y otras autoridades competentes, cuando el servicio profesional así lo requiera y conforme al consentimiento del Usuario o al cumplimiento de obligación legal.

6.8 Asesores y prestadores de servicios profesionales propios

Asesores legales, fiscales y contables de Reglapp para la gestión interna de la sociedad, sujetos a deber de confidencialidad.

7. Transferencias internacionales de datos

Como consecuencia del uso de los proveedores indicados en la sección 6, parte del tratamiento de datos personales puede implicar una transferencia internacional fuera del Espacio Económico Europeo, en particular hacia los Estados Unidos:

• OpenAI L.L.C.: (EE.UU.)
• Google LLC: (EE.UU.)
• Meta Platforms, Inc.: (EE.UU.) — únicamente cuando el Usuario consiente
• TikTok / ByteDance: (EE.UU. / Irlanda) — únicamente cuando el Usuario consiente
• Google Ads / Google LLC: (EE.UU.) — únicamente cuando el Usuario consiente
• Stripe, Inc.: (EE.UU., empresa matriz de Stripe Payments Europe Limited) — para el procesamiento técnico de pagos

Las transferencias internacionales se realizan al amparo de:

• a): Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea conforme a la Decisión (UE) 2021/914, suscritas con cada proveedor; y/o
• b): Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework, Decisión de Adecuación de 10 de julio de 2023) cuando el proveedor esté certificado en dicho marco.

El Usuario puede solicitar copia de las garantías aplicables escribiendo a privacy@reglapp.com.

Recomendación al Usuario: dado que las conversaciones con el AI-chat pueden ser procesadas en Estados Unidos, se recomienda al Usuario no compartir en el chat datos personales sensibles innecesarios. Para asuntos delicados, se recomienda contactar directamente con el profesional asignado a su expediente, cuyas comunicaciones se gestionan dentro del entorno seguro de la plataforma.

8. Decisiones automatizadas e inteligencia artificial

Reglapp utiliza un asistente de inteligencia artificial (AI-chat) para proporcionar al Usuario información preliminar sobre su situación e indicar las posibles vías administrativas aplicables.

• El AI-chat tiene carácter exclusivamente informativo. Sus respuestas pueden contener inexactitudes y no constituyen asesoramiento jurídico, fiscal ni profesional.
• Reglapp no adopta decisiones que produzcan efectos jurídicos o significativamente similares basadas únicamente en tratamientos automatizados (Art. 22 RGPD). Toda decisión profesional vinculante es revisada y adoptada por un profesional colegiado humano.
• En cumplimiento del artículo 50 del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (AI Act), el Usuario es informado expresamente de que está interactuando con un sistema de IA.

9. Derechos del Usuario

El Usuario puede ejercer los siguientes derechos reconocidos por el RGPD y la LOPDGDD:

• Acceso (Art. 15 RGPD): obtener confirmación sobre el tratamiento de sus datos y copia de los mismos.
• Rectificación (Art. 16): corregir datos inexactos.
• Supresión / "derecho al olvido" (Art. 17): solicitar la eliminación de los datos cuando ya no sean necesarios o se haya retirado el consentimiento.
• Limitación del tratamiento (Art. 18):
• Portabilidad (Art. 20): recibir los datos en formato estructurado y de uso común.
• Oposición (Art. 21): oponerse a tratamientos basados en interés legítimo.
• No ser objeto de decisiones automatizadas (Art. 22):
• Retirada del consentimiento (Art. 7.3): el Usuario puede retirar en cualquier momento el consentimiento prestado, sin efecto retroactivo sobre los tratamientos anteriores.

Cómo ejercer los derechos: mediante solicitud a privacy@reglapp.com indicando el derecho a ejercer y aportando documento que acredite la identidad del solicitante. Reglapp responderá en el plazo máximo de un mes desde la recepción de la solicitud, prorrogable por dos meses adicionales en casos de especial complejidad (Art. 12.3 RGPD).

Reclamación ante la Autoridad de Control: si el Usuario considera que sus derechos no han sido atendidos correctamente, puede presentar reclamación ante la Agencia Española de Protección de Datos (AEPD):

• Sitio web: https://www.aepd.es
• Sede electrónica: https://sedeagpd.gob.es
• Dirección postal: C/ Jorge Juan, 6, 28001 Madrid

Antes de presentar reclamación ante la AEPD, se recomienda contactar previamente con privacy@reglapp.com para intentar resolver la cuestión de forma directa.

10. Retirada del consentimiento

Cuando el tratamiento se base en el consentimiento, el Usuario puede retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

La retirada del consentimiento sobre datos esenciales para la prestación del servicio (categorías especiales, antecedentes penales, transferencia a profesionales) puede impedir la continuación del servicio contratado. Reglapp informará al Usuario de las consecuencias antes de hacer efectiva la retirada y, en su caso, notificará al profesional asignado, quien suspenderá el tratamiento de los datos relativos al expediente afectado.

11. Marketing y comunicaciones comerciales

11.1 Comunicaciones sobre productos propios a clientes existentes

Reglapp podrá enviar al Usuario comunicaciones comerciales relativas a sus propios productos y servicios similares a los previamente contratados, conforme al interés legítimo reconocido en el artículo 21.2 de la LSSI-CE. El Usuario puede oponerse en cualquier momento mediante el enlace de baja incluido en cada comunicación o escribiendo a privacy@reglapp.com.

11.2 Marketing personalizado y comunicación a socios comerciales

Cuando el Usuario haya prestado consentimiento explícito y separado mediante la casilla específica habilitada al efecto, Reglapp podrá comunicar determinados datos (datos de contacto, perfil de uso de la plataforma, preferencias declaradas) a categorías de socios comerciales seleccionados, para el envío de ofertas personalizadas en los siguientes ámbitos: servicios de inmigración complementarios, asesoría fiscal y financiera, productos bancarios y de seguros, servicios de relocación, telecomunicaciones, vivienda y servicios afines.

Reglapp no comunicará a estos socios datos del expediente profesional, documentación cargada ni datos de categorías especiales.

El Usuario puede retirar este consentimiento en cualquier momento desde la configuración de su cuenta o escribiendo a privacy@reglapp.com. La retirada no afecta a la posibilidad de continuar utilizando los servicios principales de Reglapp.

12. Cookies y tecnologías similares

El Sitio Web utiliza cookies propias y de terceros conforme al artículo 22.2 LSSI-CE. Las cookies estrictamente necesarias se instalan automáticamente; el resto requiere el consentimiento previo del Usuario, expresado mediante el panel de gestión de cookies disponible en el Sitio Web.

Para información detallada sobre cookies (categorías, finalidades, plazos de conservación, terceros) consúltese la Política de Cookies disponible en /cookies.

13. Medidas de seguridad

Reglapp ha implementado medidas técnicas y organizativas adecuadas al riesgo del tratamiento, conforme al artículo 32 RGPD, entre las que se incluyen:

• Cifrado en tránsito (TLS 1.2+) y en reposo de los datos sensibles
• Hash criptográfico de las contraseñas
• Control de accesos basado en el principio de necesidad de conocer (need-to-know)
• Almacenamiento en infraestructura ubicada en la Unión Europea (Alemania)
• Copias de seguridad periódicas y procedimientos de recuperación
• Registro de actividades de tratamiento (RAT) y procedimientos internos de respuesta a incidentes
• Formación periódica del personal en materia de protección de datos

En caso de violación de la seguridad de los datos personales que comporte un alto riesgo para los derechos y libertades del Usuario, Reglapp comunicará la violación a la AEPD en el plazo de 72 horas (Art. 33 RGPD) y, cuando proceda, al Usuario afectado sin dilación indebida (Art. 34 RGPD).

14. Modificaciones de la política

Reglapp puede modificar la presente Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o cambios en sus prácticas de tratamiento. Las modificaciones sustanciales serán notificadas al Usuario con antelación razonable mediante email o aviso destacado en la plataforma. La fecha de la última actualización figura al inicio del documento.

Cuando la modificación afecte a tratamientos basados en consentimiento, Reglapp solicitará un nuevo consentimiento del Usuario.

15. Idiomas

La presente Política de Privacidad se publica en español, inglés y ruso. En caso de discrepancia o conflicto entre las versiones lingüísticas, prevalecerá la versión en español.