Inicio

Política de privacidad

Última actualización: 2026-05-09

La presente Política de Privacidad explica de forma transparente cómo Convalida (en adelante, "Convalida", "el Responsable" o "nosotros") recopila, utiliza, comparte y protege los datos personales de las personas que utilizan el sitio web convalida.mykolavoronin.com, la aplicación web asociada y la extensión de navegador "Convalida Helper" (conjuntamente, el "Servicio"), conforme al Reglamento (UE) 2016/679 de Protección de Datos (RGPD), a la Ley Orgánica 3/2018 (LOPDGDD) y a la Ley 34/2002 (LSSI-CE).

1. Responsable del tratamiento

  • Identidad: Convalida (proyecto operado por Mykola Voronin).
  • Sitio web: convalida.mykolavoronin.com
  • Correo de contacto y privacidad: convalida@mykolavoronin.com
  • Delegado de Protección de Datos (DPO): no obligatorio. Para asuntos de privacidad, utiliza la dirección anterior.

2. Datos personales que tratamos

Tratamos las siguientes categorías de datos, recogidos directamente del Usuario o generados por su interacción con el Servicio:

  • Datos de cuenta y autenticación: dirección de correo electrónico, contraseña cifrada (mediante hash), nombre opcional, identificador de proveedor externo (Google OAuth), idioma preferido, zona horaria, fecha de alta y último acceso.
  • Perfil y preferencias: tono de comunicación, urgencia declarada, resumen generado por IA sobre tu caso, recuerdos durables ("memorias") que decidas guardar.
  • Datos del caso de homologación: país y nivel del título, profesión, campo de estudio, comunidad autónoma, fechas objetivo, situación de ciudadanía UE, experiencia laboral, estado de apostilla, traducción, presupuesto y disponibilidad de documentos.
  • Documentos cargados: archivos PDF, imágenes y otros documentos que decidas subir al gestor documental, almacenados en Lovable Cloud (Supabase Storage) con control de acceso por usuario.
  • Conversaciones con el asistente: mensajes que envías y respuestas generadas por la IA, asociados a tu cuenta para mantener el historial.
  • Datos de pago (si aplica): los pagos se procesan a través de proveedores externos (Stripe). No almacenamos datos de tarjeta. Conservamos el identificador de cliente y de suscripción, importes y fechas a efectos contables y fiscales.
  • Datos técnicos y de uso: dirección IP, agente de usuario, idioma del navegador, identificadores de sesión, registros de seguridad, métricas agregadas de uso (páginas vistas, tiempos, errores).
  • Cookies y almacenamiento local: ver la Política de Cookies.
  • Comunicaciones contigo: mensajes que nos envías por correo o formularios de soporte.

Categorías especiales. El Servicio no requiere ni solicita específicamente datos sensibles (salud, ideología, religión, orientación sexual, origen étnico). Te pedimos no incluirlos en mensajes ni en documentos a menos que sean estrictamente necesarios para tu caso (p. ej. acreditación de discapacidad para exenciones de tasas). Si los incluyes, aplicaremos las garantías reforzadas del art. 9 RGPD.

Menores. El Servicio no está dirigido a menores de 14 años. No recopilamos conscientemente sus datos. Si detectamos un alta de un menor, eliminaremos la cuenta.

3. Finalidades y bases jurídicas

FinalidadBase jurídica (RGPD)
Crear y gestionar tu cuenta y autenticarte.Ejecución del contrato (art. 6.1.b).
Prestar las funcionalidades del Servicio (wizard, hoja de ruta, calendario, asistente, gestor documental).Ejecución del contrato (art. 6.1.b).
Generar respuestas personalizadas mediante modelos de IA de terceros.Ejecución del contrato (art. 6.1.b).
Gestionar pagos, suscripciones y facturación.Ejecución del contrato y obligaciones legales (art. 6.1.b y 6.1.c).
Cumplir obligaciones legales y fiscales.Obligación legal (art. 6.1.c).
Atender consultas, soporte y reclamaciones.Ejecución del contrato e interés legítimo (art. 6.1.b y 6.1.f).
Garantizar la seguridad, prevenir fraude y abusos, y mantener registros.Interés legítimo (art. 6.1.f).
Mejorar el Servicio mediante métricas agregadas y anonimizadas.Interés legítimo (art. 6.1.f).
Enviarte comunicaciones comerciales sobre el Servicio o productos similares.Consentimiento (art. 6.1.a) o interés legítimo si ya eres cliente (art. 21 LSSI-CE).
Notificaciones de Telegram (si vinculas tu cuenta).Consentimiento (art. 6.1.a).

No realizamos decisiones automatizadas con efectos jurídicos significativos. La IA actúa como asistente informativo; no toma decisiones por ti.

4. Plazos de conservación

  • Datos de cuenta y caso: mientras la cuenta esté activa. Tras la supresión, los datos se eliminan en un plazo máximo de 30 días, salvo obligación legal de conservación.
  • Documentos cargados: hasta que tú los elimines o suprimas la cuenta.
  • Datos de facturación: 6 años (Código de Comercio) y plazos fiscales aplicables.
  • Logs técnicos y de seguridad: 12 meses como máximo.
  • Conversaciones con el asistente: mientras la cuenta esté activa o hasta que las elimines.
  • Comunicaciones comerciales: hasta que retires el consentimiento.

Vencidos los plazos, los datos se eliminan o anonimizan irreversiblemente.

5. Encargados del tratamiento y destinatarios

Compartimos datos exclusivamente con los siguientes proveedores que actúan como encargados del tratamiento bajo contrato conforme al art. 28 RGPD:

  • Lovable Cloud / Supabase (alojamiento, base de datos, autenticación, almacenamiento de archivos, edge functions). Datos alojados principalmente en la UE.
  • Cloudflare, Inc. (CDN, mitigación DDoS, ejecución de SSR en Workers).
  • Lovable AI Gateway que enruta peticiones a:
    • Google LLC / Google Ireland Ltd. (modelos Gemini).
    • OpenAI, L.L.C. / OpenAI Ireland Ltd. (modelos GPT).
  • Stripe Payments Europe Ltd. (procesamiento de pagos).
  • Telegram Messenger Inc. (notificaciones, solo si activas la integración).
  • Proveedor de correo electrónico transaccional (envío de verificaciones, recuperación de contraseña, alertas).

Los proveedores de IA no utilizan tus datos para entrenar sus modelos cuando son consumidos a través del Lovable AI Gateway en el plan utilizado por Convalida; aplican retención típica de 30 días por seguridad y abuso.

No vendemos ni cedemos tus datos a terceros con fines publicitarios. También podemos comunicar datos a autoridades cuando exista obligación legal.

6. Transferencias internacionales

Algunos de nuestros encargados están establecidos fuera del Espacio Económico Europeo (especialmente EE. UU.). Estas transferencias se amparan en:

  • Decisión de adecuación de la Comisión Europea cuando aplique (p. ej. EU-U.S. Data Privacy Framework).
  • Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914).
  • Medidas técnicas y organizativas adicionales: cifrado en tránsito y en reposo, minimización de datos y controles de acceso estrictos.

7. Tus derechos

De conformidad con el RGPD, puedes ejercer en cualquier momento los derechos de:

  • Acceso: obtener confirmación y copia de los datos que tratamos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión ("derecho al olvido"): solicitar la eliminación de tus datos.
  • Limitación: restringir el tratamiento en determinados supuestos.
  • Oposición: oponerte a tratamientos basados en interés legítimo.
  • Portabilidad: recibir tus datos en formato estructurado y transferirlos a otro responsable.
  • Retirar el consentimiento en cualquier momento, sin efecto retroactivo.
  • No ser objeto de decisiones automatizadas con efectos jurídicos.

Para ejercerlos, escribe a convalida@mykolavoronin.com indicando el derecho que ejerces y adjuntando copia de un documento que acredite tu identidad. Responderemos en el plazo máximo de un mes.

Si consideras que hemos infringido la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es), sin perjuicio de cualquier otra vía administrativa o judicial.

8. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:

  • Cifrado en tránsito (TLS 1.2+) y en reposo en bases de datos y almacenamiento.
  • Hashing de contraseñas con algoritmos modernos (bcrypt/scrypt) gestionados por Supabase Auth.
  • Control de acceso por usuario mediante Row Level Security (RLS) a nivel de base de datos.
  • Roles separados en una tabla dedicada para evitar escaladas de privilegios.
  • Verificación de firmas en webhooks y endpoints públicos.
  • Registros de seguridad, monitorización y copias de seguridad periódicas.
  • Principio de mínimo privilegio para empleados y proveedores.

En caso de brecha de seguridad que afecte a derechos y libertades, notificaremos a la AEPD en un plazo de 72 horas y, cuando sea exigible, también a los usuarios afectados.

9. Inteligencia Artificial

El Servicio utiliza modelos generativos de terceros para producir orientación personalizada. Para ello transmitimos los datos del caso estrictamente necesarios y los mensajes que envías al asistente. Estos datos no se utilizan para entrenar los modelos de los proveedores. Las salidas de la IA son orientativas, pueden contener errores y no constituyen asesoramiento legal (ver Términos y Condiciones).

10. Extensión de Chrome "Convalida Helper"

La extensión es una herramienta opcional que se ejecuta localmente en tu navegador para ayudarte a comprender y rellenar formularios en sedes electrónicas españolas. Tratamos los siguientes datos:

  • Capturas de pantalla bajo demanda: cuando pulsas "Explicar" o "Auditar", la extensión captura la pestaña activa y la envía cifrada a nuestro backend para que el modelo de IA genere la explicación. La imagen se procesa en memoria y no se almacena de forma persistente.
  • Texto del formulario visible: etiquetas y campos detectados en la página activa, enviados junto con la captura para mejorar la respuesta.
  • Almacenamiento local del navegador (chrome.storage.local): preferencias de la extensión, idioma y vínculo con tu caso de Convalida. Permanece en tu dispositivo.
  • Token de sesión: si vinculas la extensión a tu cuenta, se guarda un token para sincronizar tu caso. Puedes desvincular en cualquier momento desde el panel.

No recopilamos: historial de navegación, contraseñas, datos de formularios sin tu acción explícita, ni información de páginas fuera de la lista de sedes oficiales declaradas en el manifiesto. No vendemos ni compartimos los datos de la extensión con terceros distintos de los proveedores de IA estrictamente necesarios (OpenAI, Google) para generar la respuesta solicitada.

Cumplimos la Limited Use Policy de Chrome Web Store: los datos obtenidos mediante la extensión se usan exclusivamente para prestar la funcionalidad solicitada y no para publicidad, perfilado ni venta a terceros.

11. Integración con Telegram

Si vinculas tu cuenta con el bot @convalida_bot, almacenamos tu identificador de chat de Telegram para poder enviarte recordatorios y respuestas. Puedes desvincular la cuenta en cualquier momento desde tu panel o enviando /stop al bot. Telegram tratará tus datos según su propia política de privacidad.

12. Cambios en esta política

Podremos actualizar esta política para reflejar cambios legales, técnicos o del Servicio. Notificaremos los cambios sustanciales por correo o mediante un aviso destacado en la aplicación con antelación razonable. La fecha de "Última actualización" indicada arriba refleja la versión vigente.

13. Contacto

Para cualquier consulta sobre esta política o sobre el tratamiento de tus datos, puedes escribirnos a convalida@mykolavoronin.com.