Política de Privacidad

1. Responsable del tratamiento

El servicio SINPLEITOS es operado actualmente por una persona física (en fase previa a una eventual constitución de sociedad). Para cualquier cuestión relativa a esta Política o al ejercicio de derechos, puedes escribir a: privacidad@sinpleitos.es.

El Responsable del tratamiento es D. Jose Luis Ortiz León (NIF 40965878A).

La información corporativa adicional (en su caso) se publicará en el Aviso Legal.

Esta Política debe leerse junto con el Aviso Legal, los Términos y Condiciones y la Política de Cookies. La Política de Seguridad tiene carácter descriptivo del perímetro técnico y organizativo públicamente comunicado; si surgiera una cuestión sobre finalidades, bases jurídicas, destinatarios o ejercicio de derechos en materia de datos personales, prevalecerá esta Política de Privacidad.

Como capa explicativa y complementaria, SINPLEITOS publica también la página /como-tratamos-tus-datos. Esa página no sustituye ni modifica esta Política; su finalidad es ordenar de forma más práctica la información sobre categorías de datos, origen, finalidades, conservación y categorías de destinatarios.

2. Datos personales que tratamos

Dependiendo de tu uso del servicio, podemos tratar las siguientes categorías de datos:

• Datos identificativos y de perfil: nombre y apellidos, identificadores de cuenta.
• Datos de contacto: correo electrónico y teléfono.
• Datos de verificación de identidad: DNI/NIE/pasaporte, fecha de nacimiento y documentación acreditativa (por ejemplo, imágenes/archivos del documento).
• Datos de dirección: dirección postal (incluyendo, en su caso, código postal y país).
• Información financiera relacionada con reclamaciones: por ejemplo, datos bancarios (IBAN) y otra información necesaria para tramitar o preparar la reclamación.
• Documentación legal del caso: contratos, comunicaciones, justificantes, evidencias y cualquier otra documentación que decidas aportar y que resulte estrictamente necesaria para la gestión de tu reclamación.
• Datos operativos específicos del expediente: información adicional estrictamente necesaria para la funcionalidad o servicio publicado que utilices.
• Datos asociados a tickets, incidencias de seguridad y reportes de vulnerabilidad: categoría de la solicitud, asunto, adjuntos o evidencias mínimas remitidas y metadatos técnicos estrictamente necesarios para gestionar la comunicación, analizar el hallazgo y preservar la trazabilidad de la actuación.
• Datos técnicos y de uso: dirección IP, identificadores de sesión, registros de actividad y seguridad, y datos del dispositivo/navegador (por ejemplo, agente de usuario), necesarios para el funcionamiento, la seguridad y la detección de abusos.
• Evidencias de cumplimiento y trazabilidad: registros versionados de aceptación de documentos legales, consentimientos o revocaciones de cookies, marcas temporales, hashes técnicos de IP/usuario-agente cuando proceda, y eventos de auditoría necesarios para acreditar cumplimiento, seguridad y defendibilidad del servicio.
• Metadatos de documentos: nombre de archivo, tipo, fechas de subida/descarga, huellas o hashes de integridad, y trazas de acceso.
• Valoraciones de experiencia y feedback contextual: respuestas voluntarias a prompts de calidad o experiencia, junto con señales mínimas del estado del servicio o del expediente en el momento de la respuesta (por ejemplo, etapa del journey, si existía espera relevante o si faltaba documentación), sin incorporar por defecto el contenido libre del chat ni los valores introducidos en formularios.

En el contexto de una reclamación, el contenido de la documentación aportada podría incluir categorías especiales de datos (por ejemplo, datos de salud u otros datos especialmente sensibles). El Responsable aplicará criterios de minimización solicitando únicamente la documentación estrictamente necesaria para cada reclamación. En particular, los documentos y la información solicitados o tratados se limitarán, según el caso, a (i) verificación de identidad, (ii) evaluación de viabilidad jurídica, y (iii) defensa o tramitación de reclamaciones. Por ello, te pedimos que evites incluir datos no pertinentes. Cuando sea imprescindible tratar categorías especiales de datos personales, dicho tratamiento se realizará únicamente cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones legales, conforme al artículo 9.2.f del RGPD.

3. Origen de los datos

• Datos facilitados directamente por ti al registrarte, completar tu perfil, aportar documentación y comunicarte a través del servicio.
• Datos generados por tu uso del servicio (por ejemplo, registros de seguridad, auditoría de accesos, eventos de actividad y metadatos técnicos).
• Datos generados cuando aceptas o reaceptas documentos legales activos y cuando configuras, otorgas o revocas tu consentimiento sobre cookies no necesarias a través del panel de preferencias.
• Datos obtenidos de fuentes externas cuando solicitas funcionalidades concretas, como verificaciones operativas o enriquecimientos técnicos asociados a un flujo publicado (véase apartado de proveedores).

4. Finalidades del tratamiento y base jurídica

Tratamos datos personales con las siguientes finalidades y bases jurídicas (artículos 6 y 9 del RGPD, cuando aplique). Cada finalidad del tratamiento se vincula a su base jurídica correspondiente conforme al artículo 6 del RGPD. Como parte del principio de responsabilidad proactiva, el Responsable mantiene un registro interno de actividades de tratamiento conforme al artículo 30 del RGPD. Los datos personales se tratarán únicamente para las finalidades descritas en esta Política y no serán utilizados para finalidades incompatibles.

• Gestión de la cuenta y acceso a la plataforma: creación de usuario, inicio de sesión, mantenimiento de sesión y configuración de seguridad.
  Base jurídica: ejecución del contrato o aplicación de medidas precontractuales. Como usuario, debes mantener la confidencialidad de tus credenciales de acceso y notificarnos sin demora si detectas un uso no autorizado o accesos sospechosos.
• Verificación de identidad y prevención del fraude: validar identidad cuando sea necesario para la tramitación del expediente, para evitar suplantaciones, accesos indebidos y usos abusivos.
  Base jurídica: cumplimiento de obligaciones legales cuando resulten aplicables y, en su caso, interés legítimo en garantizar la seguridad del servicio y prevenir el fraude. A estos efectos, pueden aplicarse medidas técnicas y organizativas para detectar y mitigar, entre otras, la suplantación de identidad, el uso abusivo del servicio y los accesos irregulares.
• Gestión de expedientes y prestación del servicio: creación, tramitación y seguimiento de reclamaciones extrajudiciales, incluyendo la gestión documental y comunicaciones dentro de la plataforma.
  Base jurídica: ejecución del contrato.
• Comunicación contigo: atención de solicitudes y soporte relacionado con tu cuenta, expediente, incidencias de seguridad, reportes de vulnerabilidad o notificaciones formales remitidas por los canales habilitados.
  Base jurídica: ejecución del contrato y/o interés legítimo en atender consultas.
• Feedback contextual y mejora del servicio: solicitar y analizar, de forma proporcionada, valoraciones voluntarias sobre onboarding, claridad del expediente, tiempos de espera o experiencia general de uso para detectar fricciones y mejorar el producto.
  Base jurídica: interés legítimo en mejorar la calidad, claridad y usabilidad del servicio, con participación voluntaria y posibilidad de oposición cuando corresponda. Este tratamiento no incorpora por defecto el texto libre del chat ni los valores introducidos en los campos de formularios.
• Cumplimiento de obligaciones legales: atención de requerimientos de autoridades, obligaciones fiscales/contables o de otra naturaleza que resulten aplicables.
  Base jurídica: cumplimiento de obligaciones legales. Los datos solo se facilitarán a autoridades u organismos competentes cuando exista una obligación legal o un requerimiento válido y exigible.
• Gestión de aceptaciones legales y evidencias de consentimiento: registrar de forma versionada la aceptación de términos, privacidad y cookies como documentos jurídicos, así como las decisiones de consentimiento o revocación sobre cookies no necesarias cuando corresponda, con fines de cumplimiento, trazabilidad y prueba.
  Base jurídica: cumplimiento de obligaciones legales, interés legítimo en acreditar el cumplimiento normativo y, cuando proceda, consentimiento respecto de tecnologías no necesarias activadas en navegador.
• Seguridad, auditoría y detección de abusos: registro de eventos de seguridad, auditoría de accesos a información sensible, limitación de tasas de uso (rate limiting) y medidas anti-bot.
  Base jurídica: interés legítimo en proteger la plataforma, a los usuarios y la información tratada. Estos registros técnicos, logs y auditorías pueden conservarse durante el tiempo necesario para garantizar la seguridad del sistema, detectar accesos indebidos, prevenir el fraude e investigar incidentes. Su conservación se realiza de forma proporcional y durante un plazo razonable y limitado, atendiendo a la naturaleza del riesgo y a las obligaciones aplicables, y se utilizarán exclusivamente con fines de seguridad.
• Mejora del servicio y análisis técnico: diagnóstico de errores, rendimiento, estabilidad y uso general del sitio. Esto incluye, cuando la persona usuaria lo consiente en el navegador, analítica funcional de producto sobre navegación, embudos de formularios y uso del portal cliente mediante eventos técnicos como visualización de pasos, validaciones, completitud del flujo o envío de mensajes, sin incorporar el contenido libre de los mensajes, los documentos ni los valores introducidos en los campos.
  Base jurídica: interés legítimo en mantener la estabilidad y seguridad del servicio para monitorización puramente técnica en servidor y, cuando corresponda por normativa aplicable, el consentimiento para tecnologías no estrictamente necesarias activadas en el navegador (por ejemplo, analítica de producto y medición de navegación).
• Defensa jurídica y gestión de reclamaciones: ejercer o defender reclamaciones, atender incidencias, gestionar reclamaciones o requerimientos dirigidos contra SINPLEITOS, o conservar evidencias necesarias para responder de forma fundada.
  Base jurídica: interés legítimo y/o cumplimiento de obligaciones legales.

Sobre el uso de documentos de identidad: la plataforma permite aportar documentación de identidad para reforzar la seguridad del proceso, prevenir el fraude y, cuando resulte necesario, acreditar la identidad del usuario en el marco de la tramitación del expediente. Se aplican medidas específicas de seguridad, control de acceso y auditoría sobre estos documentos.

5. Encargados del tratamiento, proveedores y otros destinatarios necesarios

Para prestar el servicio utilizamos proveedores que, en función de la funcionalidad utilizada, de la configuración efectiva del entorno y del tipo de dato necesario para cada operación, pueden tratar datos personales por cuenta del Responsable, bajo instrucciones y con medidas contractuales adecuadas:

• Supabase: autenticación, base de datos y almacenamiento de archivos (incluyendo documentos del expediente y documentación de identidad), así como funcionalidades asociadas.
• Sentry: monitorización de errores y rendimiento. En el navegador, solo se activa cuando aceptas la categoría “Analíticas”. En servidor y edge puede tratar datos técnicos saneados y minimizados para seguridad, estabilidad y diagnóstico, con el envío por defecto de PII desactivado.
• PostHog: analítica de producto y medición de uso del sitio y de los formularios (por ejemplo, eventos de navegación, inicio de formulario, pasos vistos o completados, errores de validación y finalización), condicionada en el navegador al consentimiento para la categoría “Analíticas”. En este contexto tratamos principalmente identificadores técnicos, ruta de entrada, tipo de dispositivo, claves de sesión efímeras y metadatos funcionales del flujo. No enviamos a esta herramienta el texto libre de mensajes de chat ni los valores aportados en los campos de formularios.
• Vercel Analytics: medición agregada de uso y rendimiento del sitio, activada en el navegador únicamente cuando aceptas la categoría “Analíticas”.
• Google Maps / Google Places: cuando solicitas expresamente cargar el mapa de oficina, tu navegador puede interactuar con servicios de Google. El mapa de oficina no se carga automáticamente; queda bloqueado hasta que lo solicitas de forma expresa.
• Resend: envío de correos electrónicos operativos y transaccionales del servicio (por ejemplo, alertas internas de seguridad, confirmaciones y respuestas del canal de contacto). No se utiliza para comunicaciones comerciales automatizadas.
• Vercel: alojamiento de la plataforma y prestación de servicios técnicos asociados (incluyendo, en su caso, funciones programadas). El alojamiento puede implicar el tratamiento de datos técnicos estrictamente necesarios para servir contenido y para medidas de seguridad.
• Un webhook (URL) configurado y controlado por el Responsable para recibir alertas operativas de seguridad, cuando se habilite dicha funcionalidad.

No todos los destinatarios del tratamiento actúan como encargados. Cuando la prestación del servicio lo exija, determinados datos del expediente, de la identidad o de la comunicación podrán comunicarse a la entidad reclamada u otros terceros directamente vinculados a la reclamación extrajudicial, exclusivamente en la medida necesaria para presentar, sostener, documentar o verificar la reclamación, gestionar requerimientos o acreditar actuaciones realizadas.

No vendemos tus datos personales ni los cedemos a terceros para sus fines propios. Seleccionamos a los proveedores aplicando criterios de seguridad y cumplimiento y pueden ser evaluados periódicamente. No todos los proveedores intervienen en todas las operaciones o expedientes, sino únicamente cuando la funcionalidad concreta lo requiere. Las comunicaciones necesarias para la gestión del propio asunto no equivalen a una venta de datos ni a una cesión para fines comerciales ajenos al servicio. Los datos personales tratados a través de la plataforma no se utilizarán para fines de marketing o comunicaciones comerciales sin tu consentimiento previo cuando dicho consentimiento sea legalmente exigible. El servicio está orientado exclusivamente a la prestación del servicio jurídico y a la gestión de expedientes. Asimismo, los datos personales tratados a través de la plataforma no se utilizan para el entrenamiento de sistemas de inteligencia artificial generalistas ni para la elaboración de perfiles comerciales.

6. Transferencias internacionales de datos

Algunos de los proveedores indicados pueden implicar tratamiento fuera del Espacio Económico Europeo o acceso remoto desde terceros países cuando la funcionalidad concreta o la configuración efectiva del servicio así lo requieran. En esos casos, el Responsable aplicará los mecanismos legalmente previstos por el RGPD para garantizar un nivel de protección equivalente, como las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea u otros mecanismos válidos, sin perjuicio de la evaluación interna periódica de la necesidad, proporcionalidad y configuración efectiva del proveedor.

En particular, los servicios de analítica y monitorización utilizados por la Plataforma (como PostHog, Sentry o Vercel Analytics, cuando aplique) pueden implicar tratamiento internacional de datos técnicos. Su activación en el navegador queda sujeta al consentimiento cuando no sean estrictamente necesarios. La telemetría del lado servidor, cuando exista, se rige por su propia base jurídica y no depende, por sí misma, del banner de cookies del navegador.

7. Plazos de conservación

Conservaremos tus datos personales durante el tiempo necesario para las finalidades descritas y, en particular:

• Cuenta, autenticación y perfil: mientras mantengas la relación contractual y/o tu cuenta esté activa. Tras el cierre, podremos bloquear, sustituir o anonimizar datos de perfil cuando proceda, manteniendo únicamente lo necesario para integridad del servicio, obligaciones legales o defensa frente a reclamaciones.
• Identidad, verificación y datos bancarios: durante el tiempo estrictamente necesario para verificar identidad, prevenir fraude, tramitar el expediente o defender reclamaciones. Cuando la operativa y el estado del expediente lo permitan, estos datos podrán borrarse o anonimizarse de forma específica.
• Expedientes, chat, documentación aportada y evidencias probatorias: mientras sea necesario para la prestación del servicio, la integridad del expediente, el cumplimiento de obligaciones legales y la formulación, el ejercicio o la defensa de reclamaciones.
• Aceptaciones legales versionadas, consentimientos o revocaciones de cookies, eventos de seguridad y otras evidencias técnicas: mientras resulte necesario para acreditar cumplimiento, investigar incidentes, atender requerimientos o defender el servicio frente a reclamaciones.
• Tickets, soporte, incidencias de seguridad y reportes de vulnerabilidad: mientras el caso de soporte o reporte esté activo y durante el tiempo posterior necesario para cierre, seguimiento, seguridad, coordinación del hallazgo o defensa. Los tokens efímeros de subida y descarga asociados a tickets caducan o se invalidan y no se conservan como evidencia duradera.
• Feedback contextual y mejora de experiencia: durante el tiempo necesario para analizar la incidencia o fricción reportada, mejorar el servicio y, cuando proceda, anonimizar o desacoplar la señal individual manteniendo únicamente aprendizaje agregado o evidencia mínima de cumplimiento.
• Analítica y artefactos locales del navegador: según tu consentimiento, la estricta necesidad técnica, la configuración efectiva del proveedor y las reglas de sesión, TTL o borrado del propio navegador para `sessionStorage`, `localStorage` o `IndexedDB`. Cuando revocas el consentimiento analítico, SINPLEITOS limpia su propio estado local de medición de sesión y bloquea nuevas capturas no esenciales en navegador, sin perjuicio de la retención que ya pueda haberse aplicado en sistemas del proveedor antes de la revocación.

Cuando proceda, los datos podrán quedar bloqueados (reservados) a disposición de autoridades competentes durante los plazos legales, y solo serán tratados para atender responsabilidades derivadas. Asimismo, determinados datos y evidencias podrán conservarse incluso tras el cierre de tu cuenta cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, o cuando existan obligaciones legales que lo requieran.

Cuando el ejercicio de derechos o la operativa del servicio lo permitan, ciertos datos de perfil podrán anonimizarse, sustituirse o bloquearse sin destruir la integridad del expediente. En cambio, los expedientes, las aceptaciones legales versionadas, los consentimientos de cookies, los eventos de seguridad y otras evidencias técnicas podrán mantenerse cuando sea necesario para cumplimiento, trazabilidad, integridad del sistema o defensa jurídica.

8. Medidas de seguridad

Aplicamos medidas técnicas y organizativas apropiadas para proteger los datos personales frente a acceso no autorizado, pérdida, alteración o divulgación indebida. Entre otras, y sin entrar en detalles que comprometan la seguridad: revisamos periódicamente los riesgos de seguridad y privacidad asociados al tratamiento. Cuando procede conforme al RGPD, el Responsable puede realizar evaluaciones de impacto sobre la protección de datos antes de implantar tratamientos que puedan implicar riesgos elevados para los derechos y libertades de los usuarios, como parte de la mejora continua del sistema de seguridad y privacidad. Aunque aplicamos medidas avanzadas, ningún sistema puede garantizar una seguridad absoluta. Asimismo, podemos operar con entornos técnicos diferenciados para producción, pruebas y desarrollo, aplicando controles adecuados al nivel de riesgo.

• Cifrado y medidas de protección en tránsito y, cuando procede, en reposo.
• Control de acceso basado en roles (por ejemplo, cliente, gestor, soporte y administrador) y restricciones de acceso a expedientes. El acceso interno se concede únicamente al personal autorizado que lo necesite para prestar el servicio y está sujeto a deber de confidencialidad.
• Auditoría de accesos y eventos de seguridad para trazabilidad (especialmente en accesos a documentos sensibles), así como controles de integridad documental para ayudar a prevenir alteraciones y reforzar la trazabilidad del expediente.
• Almacenamiento seguro de documentación aportada por los usuarios mediante repositorios privados y accesos controlados.
• Descarga y acceso a documentación sensible mediante verificación previa en servidor, controles de autorización, registros de auditoría y políticas de no-cache reforzadas cuando la naturaleza del documento lo requiere.
• Medidas de prevención de fraude y abuso (por ejemplo, limitación de intentos, detección de patrones anómalos y monitorización operativa).

9. Responsabilidad del usuario sobre la documentación

Eres responsable de que la documentación y la información que aportas sea veraz, pertinente y esté actualizada, así como de que dispongas de base legítima para compartir datos de terceros (por ejemplo, si aportas documentos que incluyan datos de otras personas). En particular, garantizas que dispones de legitimación suficiente para aportar datos personales de terceros y que dicha aportación es necesaria para la gestión del expediente. Los expedientes pueden contener datos de terceros cuando ello sea jurídicamente necesario para la gestión de reclamaciones, tratándose dichos datos conforme a la legitimación legal aplicable. Asimismo, te comprometes a mantener tus datos personales exactos y actualizados para facilitar la correcta gestión de tu cuenta y expediente. Te recomendamos que evites subir información innecesaria.

10. Derechos de las personas usuarias

Puedes ejercer los siguientes derechos en materia de protección de datos:

• Acceso a tus datos personales.
• Rectificación de los datos inexactos o incompletos.
• Supresión, cuando proceda.
• Limitación del tratamiento, en los casos previstos.
• Oposición al tratamiento basado en interés legítimo, en los casos previstos.
• Portabilidad de los datos, cuando proceda.
• Retirada del consentimiento, cuando el tratamiento se base en consentimiento.

Para ejercerlos, envía una solicitud a privacidad@sinpleitos.es. Las solicitudes se atenderán conforme al RGPD en un plazo máximo general de un mes desde su recepción; dicho plazo podrá ampliarse hasta dos meses adicionales cuando la complejidad o el número de solicitudes lo justifique, informándote de la prórroga.

Con carácter general, el ejercicio de derechos es gratuito. No obstante, podremos rechazar la solicitud o exigir un canon razonable cuando resulte manifiestamente infundada o excesiva en los términos permitidos por el RGPD.

Para proteger tu privacidad, podremos solicitar datos estrictamente necesarios y proporcionales para verificar tu identidad en el ejercicio de derechos. La retirada del consentimiento no afectará a la licitud del tratamiento basado en el consentimiento previo a su retirada, ni a los tratamientos necesarios para la ejecución del contrato o el cumplimiento de obligaciones legales.

El ejercicio de determinados derechos podrá verse matizado por la necesidad de preservar la integridad del expediente, cumplir obligaciones legales o conservar evidencias técnicas y documentales necesarias para la formulación, el ejercicio o la defensa de reclamaciones. Cuando proceda, podremos anonimizar o bloquear datos en lugar de eliminarlos íntegramente.

Si consideras que tus derechos no han sido atendidos correctamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de su sede electrónica, en cualquier momento, con independencia de haber ejercido previamente tus derechos ante el Responsable.

Si el canal principal de contacto no estuviera disponible, el Responsable habilitará mecanismos alternativos razonables para garantizar el ejercicio de derechos.

Preferencias de cookies

Puedes configurar o revocar tu consentimiento de cookies no técnicas en cualquier momento:

11. Decisiones automatizadas

No realizamos decisiones automatizadas, incluida la elaboración de perfiles, que produzcan efectos jurídicos para ti o que te afecten significativamente de modo similar. Sin perjuicio de lo anterior, pueden aplicarse medidas automáticas y proporcionales de seguridad (por ejemplo, limitación temporal por exceso de intentos, exigencia de verificación adicional o fricción anti‑abuso) para proteger el servicio. Estas medidas no sustituyen valoraciones humanas cuando resulte necesario y pueden revisarse internamente si el contexto lo justifica.

12. Modificaciones de la Política de Privacidad

Podemos actualizar esta Política de Privacidad cuando sea necesario para reflejar cambios en el servicio, en la normativa o en nuestras prácticas. Publicaremos la versión vigente en esta misma página, indicando la fecha de última actualización.

Cuando la actualización afecte a documentos legales cuya aceptación expresa resulte exigible para seguir utilizando áreas privadas de la Plataforma, podremos requerir una nueva aceptación versionada antes de permitir el acceso continuado.