Политика конфиденциальностиPolítica de Privacidad

2. Категории обрабатываемых данных

Reglapp собирает и обрабатывает следующие категории персональных данных:

2.1 Регистрационные данные и данные аккаунта

• Адрес электронной почты
• Пароль (хранится в виде криптографического хэша)
• Предпочитаемый язык и настройки аккаунта
• Дата создания аккаунта и логи входов

2.2 Данные профиля («Обо мне»)

• Имя и фамилия
• Дата рождения
• Гражданство
• Адрес в Испании и в стране происхождения
• Номер телефона
• Данные паспорта (номер, даты выдачи и истечения, выдавший орган)
• Место работы и профессия
• Семейное положение
• Имена родителей

2.3 Документация, загруженная в раздел «My Data»

Документация, необходимая для оказания заказанных профессиональных услуг, которая может включать, в зависимости от случая: паспорт страны происхождения, документы, подтверждающие проживание за последние 5 лет, справку о несудимости, документы о регистрации по месту жительства (empadronamiento), трудовой договор или job offer, свидетельства о рождении детей и их паспорта, свидетельства о браке, налоговые декларации и любые иные документы, запрошенные назначенным специалистом для исполнения поручения.

2.4 Данные сессии с AI-ассистентом

• Содержимое сообщений, отправленных через AI-чат
• Метаданные сессии (дата, время, идентификатор сессии)
• Результаты информационной оценки, сгенерированной AI

2.5 Платёжные данные и данные для выставления счетов

• Юридическое или полное имя, NIF/NIE, фискальный адрес
• Заказанные услуги, суммы, IVA, дата операции
• Идентификаторы транзакций платёжного процессора (полные реквизиты карты не хранятся в Reglapp; они обрабатываются сертифицированным по PCI-DSS платёжным провайдером)

2.6 Данные досье клиента

• Заметки, коммуникация и наблюдения, генерируемые назначенным специалистом
• Документы, подготовленные в ходе оказания услуги
• Статус дела и коммуникация с государственными органами

2.7 Технические данные и данные использования

• IP-адрес, тип устройства, браузер, операционная система
• Посещаемые страницы, время взаимодействия с платформой
• Идентификаторы cookies в зависимости от настроек Пользователя
• Технические логи для безопасности и отладки

2.8 Данные несовершеннолетних

Когда заказанная услуга связана с регуляризацией семьи или иными процедурами, касающимися несовершеннолетних детей Пользователя, Reglapp может обрабатывать данные таких несовершеннолетних (свидетельство о рождении, паспорт, идентификационные данные). Такие данные обрабатываются под родительской ответственностью Пользователя, который заявляет, что вправе предоставлять их в интересах ребёнка. Платформа Reglapp не предназначена для несовершеннолетних и не собирает данные несовершеннолетних в целях, отличных от профессиональной услуги, заказанной их родителем или законным представителем.

3. Особые категории данных (ст. 9 GDPR) и данные о судимости (ст. 10 GDPR / ст. 10 LOPDGDD)

Определённые данные, обрабатываемые Reglapp, могут требовать усиленного режима защиты:

3.1 Иммиграционный статус

Иммиграционный статус Пользователя в Испании (включая статус административной нерегулярности) может рассматриваться как особая категория данных по толкованию ст. 9 GDPR. Правовым основанием обработки является явное согласие субъекта данных в соответствии со ст. 9.2.a GDPR, получаемое отдельно и специально в момент регистрации.

3.2 Справка о несудимости

Справка о несудимости, требуемая для определённых процедур по делам об иностранцах, представляет собой данные о судимости. Её обработка основывается, в соответствии со ст. 10 LOPDGDD, на оказании профессиональной услуги лицензированным gestor administrativo или адвокатом, во исполнение административных процедур, в которых данный документ требуется применимым законодательством, и с явного согласия Пользователя.

Пользователь может в любой момент возразить против обработки этих категорий данных; следствием будет невозможность для Reglapp и назначенного специалиста продолжать оказание услуги, требующей таких данных.

4. Цели обработки и правовые основания

В следующей таблице кратко изложены цели обработки, обрабатываемые данные и соответствующее правовое основание по ст. 6 GDPR:

• Создание и ведение аккаунта пользователя: §2.1 — Исполнение договора (ст. 6.1.b)
• Оказание заказанной профессиональной услуги (иммиграция, налоги, gestoría): §2.2, §2.3, §2.6 — Исполнение договора (ст. 6.1.b)
• Обработка особых категорий и данных о судимости: §3.1, §3.2 — Явное согласие (ст. 9.2.a) и/или ст. 10 LOPDGDD
• Сессии с AI-чатом: §2.4 — Исполнение договора (ст. 6.1.b) + законный интерес в улучшении продукта (ст. 6.1.f)
• Выставление счетов и налоговые обязательства: §2.5 — Соблюдение юридического обязательства (ст. 6.1.c — Código de Comercio ст. 30, Ley General Tributaria)
• Коммуникация с государственными органами в рамках услуги: §2.2, §2.3, §2.6 — Соблюдение юридического обязательства (ст. 6.1.c)
• Техническая безопасность и предотвращение мошенничества: §2.7 — Законный интерес (ст. 6.1.f)
• Коммерческие сообщения о собственных продуктах существующим клиентам: §2.1, §2.5 — Законный интерес (ст. 6.1.f) — ст. 21.2 LSSI-CE
• Персонализированный маркетинг и передача коммерческим партнёрам: §2.1, §2.7 — Явное и отдельное согласие (ст. 6.1.a)
• Cookies и аналогичные технологии: §2.7 — Согласие (ст. 22.2 LSSI-CE)

5. Сроки хранения

Reglapp хранит персональные данные строго в течение времени, необходимого для целей обработки, в соответствии со следующими сроками:

• Данные аккаунта: в течение срока активности аккаунта + 1 год после закрытия, если иной более длительный срок хранения не предусмотрен законом.
• Досье клиента и профессиональная документация: 5 лет с момента окончания услуги — в соответствии со сроками профессиональной гражданской ответственности, применимыми к gestores administrativos и адвокатам, и общим сроком исковой давности по личным искам (ст. 1964 ГК Испании).
• Платёжные данные и счета-фактуры: 6 лет в соответствии со ст. 30 Código de Comercio; дополнительно 4 года для целей налоговой давности (Ley General Tributaria, ст. 66).
• Содержимое сессий AI-чата: 30 дней после окончания сессии, если Пользователь явно не запросит более длительное хранение или если содержимое не интегрировано в его профессиональное досье.
• Маркетинговые согласия: в течение срока действия согласия + 3 года после отзыва для доказательной базы.
• Технические логи и данные безопасности: 90 дней.
• Данные несовершеннолетних: те же сроки, что применимы к досье родителя — владельца аккаунта; удаление по запросу родителя или по достижении ребёнком совершеннолетия (с предварительным уведомлением).

По истечении сроков хранения данные безопасно удаляются или анонимизируются.

6. Получатели и категории получателей

Персональные данные Пользователя могут передаваться следующим категориям получателей:

6.1 Лицензированные специалисты (Обработчики данных)

Независимые лицензированные gestores administrativos, адвокаты и иные лицензированные специалисты, привлекаемые через платформу для оказания профессиональных услуг. Они действуют в качестве Обработчиков данных по Соглашению об обработке данных (DPA), заключённому в соответствии со ст. 28 GDPR. Они получают пакет данных досье, необходимый для оказания услуги.

6.2 Поставщики технической инфраструктуры

• Хостинг и инфраструктура: Hetzner Online GmbH (Германия) — размещение данных и серверов в дата-центрах ЕС.

6.3 Поставщики искусственного интеллекта

• OpenAI, L.L.C.: (США) — обработка сообщений AI-чата языковыми моделями. Данные, отправляемые через API, не используются OpenAI для обучения моделей в соответствии с действующей политикой OpenAI для API-сервисов.
• Google LLC: (США) — обработка сообщений AI-чата моделями Gemini.

6.4 Платёжный провайдер

• Stripe Payments Europe, Limited: (Ирландия) — обработка платежей за заказанные услуги. Полные реквизиты карт обрабатываются непосредственно Stripe (PCI-DSS Level 1).

6.5 Аналитика и реклама

• PostHog Inc.: (с инстансом, настроенным в ЕС) — продуктовая аналитика и поведение использования.
• Meta Platforms Ireland Limited: (Meta Pixel) — атрибуция рекламы, только при согласии Пользователя через cookie-баннер.
• TikTok Technology Limited: (TikTok Pixel) — атрибуция рекламы, только при согласии.
• Google Ireland Limited: (Google Ads) — атрибуция рекламы, только при согласии.

6.6 Коммерческие партнёры (маркетинг)

При наличии явного и отдельного согласия Пользователя, Reglapp может передавать определённые данные (контактные данные, профиль использования) выбранным коммерческим партнёрам для направления персонализированных предложений в сферах: дополнительные иммиграционные услуги, налоговое и финансовое консультирование, банковские и страховые продукты, услуги релокации, телекоммуникации, жильё и смежные услуги. Категории партнёров и состав передаваемых данных описаны в разделе 11.

6.7 Государственные органы

Hacienda, Seguridad Social, Extranjería и иные компетентные органы, когда этого требует профессиональная услуга и в соответствии с согласием Пользователя или соблюдением юридического обязательства.

6.8 Собственные консультанты и поставщики услуг Reglapp

Юридические, налоговые и бухгалтерские консультанты Reglapp для внутреннего управления компанией, связанные обязательством конфиденциальности.

7. Международная передача данных

В результате использования провайдеров, указанных в разделе 6, часть обработки может включать международную передачу за пределы Европейской экономической зоны, в частности в Соединённые Штаты:

• OpenAI L.L.C.: (США)
• Google LLC: (США)
• Meta Platforms, Inc.: (США) — только при согласии Пользователя
• TikTok / ByteDance: (США / Ирландия) — только при согласии Пользователя
• Google Ads / Google LLC: (США) — только при согласии Пользователя
• Stripe, Inc.: (США, материнская компания Stripe Payments Europe Limited) — для технической обработки платежей

Международные передачи осуществляются на основании:

• а): Стандартных договорных условий (SCC), утверждённых Европейской комиссией Решением (ЕС) 2021/914, заключённых с каждым провайдером; и/или
• б): Рамочного соглашения о защите данных ЕС—США (EU-U.S. Data Privacy Framework, Решение об адекватности от 10 июля 2023), если провайдер сертифицирован в этом рамочном соглашении.

Пользователь может запросить копию применимых гарантий, написав на privacy@reglapp.com.

Рекомендация Пользователю: поскольку диалоги с AI-чатом могут обрабатываться в США, Пользователю рекомендуется не передавать через чат избыточные конфиденциальные персональные данные. По чувствительным вопросам рекомендуется обращаться непосредственно к специалисту, назначенному на ваше досье, через защищённую среду платформы.

8. Автоматизированное принятие решений и искусственный интеллект

Reglapp использует ИИ-ассистента (AI-чат) для предоставления Пользователю предварительной информации о его ситуации и о возможных применимых административных процедурах.

• AI-чат носит исключительно информационный характер. Его ответы могут содержать неточности и не являются юридической, налоговой или профессиональной консультацией.
• Reglapp не принимает решений, порождающих юридические или сходные значимые последствия, исключительно на основании автоматизированной обработки (ст. 22 GDPR). Все обязывающие профессиональные решения проверяются и принимаются человеком — лицензированным специалистом.
• В соответствии со ст. 50 Регламента (ЕС) 2024/1689 об искусственном интеллекте (AI Act), Пользователь явно информируется о том, что взаимодействует с ИИ-системой.

9. Права Пользователя

Согласно GDPR и LOPDGDD, Пользователь обладает следующими правами:

• Доступ (ст. 15 GDPR): получить подтверждение обработки и копию данных.
• Исправление (ст. 16): исправить неточные данные.
• Удаление / «право на забвение» (ст. 17): запросить удаление, когда данные более не нужны или согласие отозвано.
• Ограничение обработки (ст. 18):
• Переносимость (ст. 20): получить данные в структурированном, общеупотребительном формате.
• Возражение (ст. 21): возразить против обработки на основании законного интереса.
• Не быть объектом автоматизированных решений (ст. 22):
• Отзыв согласия (ст. 7.3): Пользователь может в любой момент отозвать согласие без обратного действия на ранее произведённую обработку.

Как реализовать права: запросом на privacy@reglapp.com с указанием реализуемого права и приложением документа, удостоверяющего личность заявителя. Reglapp ответит в срок до одного месяца с момента получения запроса; в особо сложных случаях срок может быть продлён ещё на два месяца (ст. 12.3 GDPR).

Право подать жалобу в надзорный орган: если Пользователь считает, что его права не были должным образом удовлетворены, он может подать жалобу в Испанское агентство по защите данных (AEPD):

• Сайт: https://www.aepd.es
• Электронная приёмная: https://sedeagpd.gob.es
• Почтовый адрес: C/ Jorge Juan, 6, 28001 Madrid

До подачи жалобы в AEPD рекомендуется сначала связаться с privacy@reglapp.com для попытки прямого урегулирования.

10. Отзыв согласия

Если обработка основана на согласии, Пользователь может в любой момент отозвать его без влияния на законность обработки, осуществлённой до отзыва.

Отзыв согласия в отношении данных, существенных для оказания услуги (особые категории, данные о судимости, передача специалистам), может сделать невозможным продолжение заказанной услуги. Reglapp проинформирует Пользователя о последствиях до приведения отзыва в действие и, при необходимости, уведомит назначенного специалиста, который приостановит обработку данных по соответствующему делу.

11. Маркетинг и коммерческие коммуникации

11.1 Сообщения о собственных продуктах существующим клиентам

Reglapp может направлять Пользователю коммерческие сообщения о собственных продуктах и услугах, аналогичных ранее заказанным, на основании законного интереса, признаваемого ст. 21.2 LSSI-CE. Пользователь может в любой момент возразить, перейдя по ссылке отписки в каждом сообщении, или написав на privacy@reglapp.com.

11.2 Персонализированный маркетинг и передача коммерческим партнёрам

При наличии явного и отдельного согласия Пользователя, выраженного через специальный чекбокс, Reglapp может передавать определённые данные (контактные данные, профиль использования платформы, заявленные предпочтения) выбранным категориям коммерческих партнёров для направления персонализированных предложений в следующих сферах: дополнительные иммиграционные услуги, налоговое и финансовое консультирование, банковские и страховые продукты, услуги релокации, телекоммуникации, жильё и смежные услуги.

Reglapp не передаёт таким партнёрам данные профессионального досье, загруженные документы и данные особых категорий.

Пользователь может отозвать данное согласие в любой момент через настройки аккаунта или письмом на privacy@reglapp.com. Отзыв не влияет на возможность продолжать использовать основные услуги Reglapp.

12. Cookies и аналогичные технологии

Сайт использует собственные и сторонние cookies в соответствии со ст. 22.2 LSSI-CE. Строго необходимые cookies устанавливаются автоматически; остальные требуют предварительного согласия Пользователя, выраженного через панель управления cookies, доступную на Сайте.

Подробная информация о cookies (категории, цели, сроки хранения, третьи лица) — в Политике cookies (/cookies).

13. Меры безопасности

Reglapp реализовал технические и организационные меры, соответствующие риску обработки, в соответствии со ст. 32 GDPR, включая:

• Шифрование при передаче (TLS 1.2+) и шифрование at rest для чувствительных данных
• Криптографический хэш для паролей
• Контроль доступа на основе принципа «минимально необходимого знания» (need-to-know)
• Хранение данных в инфраструктуре, расположенной в Европейском союзе (Германия)
• Регулярные backup'ы и процедуры восстановления
• Реестр операций обработки (RAT) и внутренние процедуры реагирования на инциденты
• Регулярное обучение персонала в области защиты данных

В случае нарушения безопасности персональных данных, представляющего высокий риск для прав и свобод Пользователя, Reglapp уведомит AEPD в течение 72 часов (ст. 33 GDPR) и, при необходимости, затронутого Пользователя — без неоправданной задержки (ст. 34 GDPR).

14. Изменения политики

Reglapp может изменять настоящую Политику конфиденциальности для адаптации к новеллам законодательства, судебной практике или изменениям в практиках обработки. О существенных изменениях Reglapp уведомит Пользователя с разумным предварительным уведомлением через email или заметным сообщением на платформе. Дата последнего обновления указана в начале документа.

Если изменение затрагивает обработку, основанную на согласии, Reglapp запросит новое согласие Пользователя.

15. Языки

Настоящая Политика конфиденциальности публикуется на испанском, английском и русском языках. В случае расхождения или противоречия между языковыми версиями приоритет имеет версия на испанском языке.