Saltar al contenido
Diagnóstico con IA

Política de Privacidad

Última actualización: 13 de mayo de 2026 · versión 2.0

1. Responsable del tratamiento

En cumplimiento del Art. 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD), te informamos de que el responsable del tratamiento de tus datos personales es:

Denominación social: TUALOTEU EFFATA NEOSAPIENS, SL
Nombre comercial: Genai Sapiens Consulting (GSC)
NIF: B24938672
Domicilio social: Carrer del Pare Palau 5, Ent. 3, 43001 Tarragona (España)
Email de contacto y DPO: hola@genaisapiens.com
Web: www.genaisapiens.com

En adelante, "Responsable", "GSC" o "nosotros". El representante legal y Delegado de Protección de Datos (DPO) de facto es D. Higini Eduard Moré Domingo, administrador único. Al no superar los umbrales que exigen la designación formal de un DPO conforme al Art. 37 RGPD (no somos autoridad pública, no efectuamos observación sistemática a gran escala, no tratamos datos sensibles Art. 9/10 a gran escala), el punto de contacto para ejercicio de derechos es el email arriba indicado.

2. Datos que tratamos, finalidades y bases jurídicas

Tratamos únicamente los datos que nos proporcionas voluntariamente o que se generan al usar nuestros servicios. A continuación detallamos cada tratamiento con su base jurídica específica conforme al Art. 6 RGPD:

2.1 Formulario de contacto

Datos: nombre, email corporativo, empresa, mensaje libre.
Finalidad: atender tu consulta y, si procede, iniciar una relación comercial.
Base jurídica: consentimiento del interesado (Art. 6.1.a RGPD) expresado al enviar el formulario. Puedes retirar el consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento anterior a la retirada (Art. 7.3 RGPD).

2.2 Reserva de assessment / diagnóstico estratégico

Datos: nombre, email, teléfono, empresa, sector, slot de agenda seleccionado.
Finalidad: gestionar la reserva, enviarte confirmación y recordatorio, y preparar la sesión de diagnóstico.
Base jurídica: ejecución de medidas precontractuales a petición del interesado (Art. 6.1.b RGPD). El dato de teléfono es opcional; si no lo facilitas, la reserva se confirma únicamente por email.

2.3 Asistente conversacional con IA

Datos: contenido de la conversación (texto libre que introduces), email opcional para recibir el resumen de la sesión, metadatos técnicos de sesión (ID anónimo de sesión, timestamp, país de acceso derivado de IP — la IP completa no se almacena).
Finalidad: proporcionar respuestas automatizadas mediante modelos de lenguaje de gran escala (LLM), enviar el recap de la conversación si lo solicitas.
Base jurídica: consentimiento (Art. 6.1.a RGPD) prestado al iniciar la conversación mediante aceptación de condiciones en el widget del asistente. Para el tratamiento de datos de uso del servicio con fines de mejora: interés legítimo (Art. 6.1.f RGPD), garantizando que no prevalece sobre tus intereses o derechos fundamentales.
Transparencia IA (EU AI Act Art. 50): el asistente de genaisapiens.com/asistente es un sistema de inteligencia artificial conversacional. Cada sesión se inicia con la indicación "Estás chateando con un asistente de IA de GSC". No pretende ni puede hacerse pasar por una persona física. Conforme al Art. 50.1 del Reglamento (UE) 2024/1689 (EU AI Act), te informamos expresamente de esta circunstancia antes de cada interacción.

Perfilado y decisiones automatizadas: el asistente puede adaptar sus respuestas al contexto de la conversación (personalización conversacional), pero no toma decisiones que produzcan efectos jurídicos ni te afecten significativamente de forma automatizada (Art. 22.1 RGPD). No realizamos perfilado con fines de evaluación de solvencia, laboral, sanitario ni similar.

2.4 Newsletter y comunicaciones comerciales

Datos: email, nombre, preferencias temáticas expresadas.
Finalidad: enviarte contenido sobre IA aplicada a negocios, casos de uso, novedades del sector y ofertas de servicios GSC.
Base jurídica: consentimiento explícito (Art. 6.1.a RGPD + Art. 21 LSSI-CE para comunicaciones electrónicas comerciales). Puedes darte de baja en cualquier email recibido o escribiendo a hola@genaisapiens.com.

2.5 Relación contractual con clientes

Datos: datos de la persona de contacto (nombre, cargo, email, teléfono), datos de la empresa (denominación, NIF, domicilio fiscal, datos bancarios para facturación).
Finalidad: prestación del servicio contratado, facturación, cumplimiento de obligaciones fiscales y contables.
Base jurídica: ejecución del contrato (Art. 6.1.b RGPD) y cumplimiento de obligaciones legales (Art. 6.1.c RGPD) — legislación fiscal y contable española.

2.6 Analítica web

Datos: identificadores de navegación anonimizados, páginas visitadas, duración de sesión, tipo de dispositivo, país de acceso (sin IP completa).
Finalidad: comprender cómo se usa el sitio y mejorar la experiencia de usuario. No realizamos atribución individual ni seguimiento cross-site.
Base jurídica: consentimiento (Art. 6.1.a RGPD) prestado en el banner de cookies al aceptar la categoría "Analíticas". Si no aceptas, Google Analytics no se carga.

3. Plazos de conservación

Conservamos tus datos durante el tiempo estrictamente necesario para la finalidad que motivó su recogida (principio de limitación del plazo, Art. 5.1.e RGPD) y, en su caso, durante los plazos legales que nos resulten de aplicación:

  • Consultas de contacto: 1 año desde el último intercambio, salvo que se convierta en relación contractual.
  • Reserva de assessment: 6 meses desde la celebración de la sesión o desde la cancelación de la reserva.
  • Conversaciones del asistente IA: 90 días desde el cierre de la sesión, salvo prórroga expresamente consentida por el usuario. El ID anónimo de sesión puede conservarse en logs técnicos hasta 12 meses con fines de seguridad y auditoría.
  • Newsletter: hasta que solicites la baja. Tras la baja, conservamos registro de la desuscripción (email + timestamp) durante 3 años para acreditar el cumplimiento del Art. 21 LSSI.
  • Datos contractuales (clientes): vigencia del contrato + 4 años conforme al Art. 66 Ley General Tributaria (obligaciones fiscales AEAT) + 6 años conforme al Art. 30 Código de Comercio (obligaciones contables). Para determinadas obligaciones laborales o de Seguridad Social pueden aplicar plazos específicos adicionales.
  • Cookies analíticas: ver Política de Cookies (máx. 2 años Google Analytics).

Transcurridos los plazos anteriores, los datos se eliminan o se anonimizan irreversiblemente.

4. Destinatarios y transferencias internacionales

Como empresa de consultoría IA, nuestra actividad implica el uso de herramientas de terceros que pueden acceder a datos personales en calidad de encargados del tratamiento (Art. 28 RGPD). Tenemos o estamos en proceso de formalizar contrato Art. 28 con cada uno de ellos:

Proveedor Categoría País Garantía transferencia Datos accedidos
Google Ireland Ltd. Email corporativo (Google Workspace) UE (Irlanda) Dentro del EEE — sin restricciones Art. 44 RGPD Email de contacto, datos de comunicación
Google LLC Analítica web (Google Analytics 4) EE.UU. SCCs Decisión 2021/914 + Adequacy Framework EU-EE.UU. (en vigor desde jul. 2023) Datos de navegación anonimizados (solo con consentimiento)
Cloudflare Inc. Hosting (Pages), CDN, seguridad (WAF, Turnstile) EE.UU. SCCs Decisión 2021/914 + medidas técnicas suplementarias post-Schrems II IP de acceso (procesada en tránsito, no almacenada por GSC), cookies técnicas de seguridad
Resend Inc. Email transaccional (confirmaciones, recaps asistente) EE.UU. SCCs Decisión 2021/914 Email destinatario, contenido del email transaccional
Anthropic PBC Modelo de lenguaje (asistente conversacional) EE.UU. SCCs Decisión 2021/914 + Data Processing Agreement Anthropic Contenido de mensajes del asistente (procesado en memoria, no almacenado permanentemente)
Google LLC (Google Cloud / Gemini API) Modelo de lenguaje (funciones IA) EE.UU. SCCs Decisión 2021/914 + Adequacy Framework EU-EE.UU. Prompts del asistente (procesados, no almacenados con fines de entrenamiento sin consentimiento adicional)
HighLevel Inc. (GoHighLevel) CRM, gestión de leads, booking assessments EE.UU. SCCs Decisión 2021/914 Nombre, email, teléfono, empresa, slot reservado

Transfer Impact Assessment (TIA) post-Schrems II: conforme a la sentencia del TJUE C-311/18 (Data Protection Commissioner v. Facebook Ireland, "Schrems II", 16 jul. 2020) y las directrices EDPB 05/2021, hemos evaluado el nivel de protección que ofrecen los ordenamientos jurídicos de EE.UU. para los datos transferidos. Para los proveedores acogidos al EU-U.S. Data Privacy Framework (Google, Cloudflare), existe Decisión de Adecuación de la Comisión Europea (10 jul. 2023). Para los proveedores sin Decisión de Adecuación (Resend, Anthropic, GoHighLevel), las SCCs 2021/914 junto con medidas técnicas contractuales (cifrado en tránsito TLS 1.3, cifrado en reposo, minimización de datos en prompts) constituyen las garantías adecuadas del Art. 46 RGPD.

No realizamos cesiones a terceros con fines comerciales propios sin tu consentimiento explícito (Art. 6.1.a RGPD).

5. Tus derechos

Conforme a los Arts. 15 a 22 RGPD y los Arts. 23 a 36 LOPDGDD, puedes ejercer en cualquier momento los siguientes derechos:

  • Derecho de acceso (Art. 15 RGPD): saber si tratamos datos tuyos, cuáles, con qué finalidad, a quién los comunicamos y por cuánto tiempo.
  • Derecho de rectificación (Art. 16 RGPD): corregir datos inexactos o incompletos.
  • Derecho de supresión / "derecho al olvido" (Art. 17 RGPD): eliminar tus datos cuando, entre otras causas, el tratamiento ya no sea necesario para la finalidad que lo motivó o retires el consentimiento.
  • Derecho de limitación del tratamiento (Art. 18 RGPD): solicitar que bloqueemos temporalmente el uso de tus datos mientras resolvemos una controversia.
  • Derecho de portabilidad (Art. 20 RGPD): recibir tus datos en formato estructurado, de uso común y lectura mecánica (p.ej. JSON o CSV) cuando el tratamiento sea por consentimiento o ejecución de contrato y se realice por medios automatizados.
  • Derecho de oposición (Art. 21 RGPD): oponerte a tratamientos basados en interés legítimo (Art. 6.1.f RGPD), incluyendo perfilado con dicha base.
  • Derecho a no ser objeto de decisiones automatizadas (Art. 22 RGPD): a no ser sometido a decisiones basadas exclusivamente en tratamiento automatizado que produzcan efectos jurídicos o te afecten significativamente. Como se indica en la sección 2.3, nuestro asistente IA no toma decisiones de este tipo.
  • Retirar el consentimiento (Art. 7.3 RGPD): en cualquier momento, sin que ello afecte a la licitud del tratamiento previo a la retirada.

Cómo ejercer tus derechos: envía un email a hola@genaisapiens.com con asunto "RGPD — [derecho que ejerces]" adjuntando copia de tu DNI u otro documento identificativo. Responderemos en el plazo máximo de un mes (Art. 12.3 RGPD), prorrogable hasta dos meses adicionales en casos de complejidad o elevado número de solicitudes, con notificación de la prórroga dentro del primer mes.

Si consideras que el tratamiento de tus datos vulnera el RGPD o la normativa aplicable, tienes derecho a presentar una reclamación ante la autoridad de control competente: Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid.

6. Medidas de seguridad

Conforme al Art. 32 RGPD, hemos implementado medidas técnicas y organizativas apropiadas al nivel de riesgo:

  • Cifrado en tránsito: TLS 1.3 con HSTS forzado en todos los dominios. Los emails transaccionales se envían mediante protocolos SMTP seguros con DKIM y SPF.
  • Cifrado en reposo: las bases de datos de gestión de clientes y los datos de leads se almacenan cifrados.
  • Minimización de datos en prompts IA: los prompts enviados a los modelos de lenguaje (Anthropic, Google Gemini) se diseñan para no incluir datos personales de terceros más allá de lo imprescindible para la consulta.
  • Control de acceso: acceso a datos de usuarios restringido por roles (RBAC). Acceso MFA obligatorio para entornos de producción.
  • Protección anti-bot: Cloudflare WAF + Turnstile en formularios para prevenir ataques automatizados y spam.
  • Revisión de proveedores (Art. 28 RGPD): todos los encargados del tratamiento son seleccionados con criterios de garantías suficientes y disponen de DPA o equivalente.
  • Gestión de incidentes: en caso de brecha de seguridad que suponga riesgo para tus derechos y libertades, notificaremos a la AEPD en el plazo de 72 horas (Art. 33 RGPD) y, si el riesgo es elevado, te informaremos directamente (Art. 34 RGPD).
  • Revisiones periódicas: realizamos auditorías internas de seguridad y revisamos las configuraciones de privacidad de nuestras herramientas de forma periódica.

Evaluación de impacto (DPIA): conforme al Art. 35 RGPD, hemos valorado si el uso de sistemas de IA conversacional en nuestros servicios requiere una Evaluación de Impacto relativa a la Protección de Datos. Dado que el asistente no toma decisiones automatizadas con efectos jurídicos, no trata categorías especiales de datos (Art. 9 RGPD) ni realiza seguimiento sistemático a gran escala, concluimos que en la configuración actual no es obligatoria. Esta valoración se revisará ante cambios sustanciales en el tratamiento.

7. Registro de actividades de tratamiento

Conforme al Art. 30 RGPD, TUALOTEU EFFATA NEOSAPIENS, SL mantiene un Registro interno de Actividades de Tratamiento (RAT) en calidad de responsable del tratamiento. Dicho registro es de uso interno y está disponible para la AEPD si fuera requerido. Esta Política de Privacidad constituye la información pública que refleja los tratamientos principales documentados en el RAT.

Como empresa que presta servicios de consultoría e implementación de soluciones IA a terceros, actuamos también en calidad de encargado del tratamiento (Art. 28 RGPD) respecto a los datos personales que nuestros clientes nos confían para ejecutar los servicios contratados. En ese contexto, disponemos de contratos de encargo del tratamiento con cada cliente y actuamos siguiendo exclusivamente sus instrucciones documentadas.

8. Menores de edad

Nuestros servicios están dirigidos exclusivamente a profesionales y empresas. No tratamos conscientemente datos personales de personas menores de 14 años (edad mínima de consentimiento en España conforme al Art. 7 LOPDGDD). Si detectamos que hemos recogido datos de un menor sin consentimiento parental, procederemos a su eliminación inmediata. Los padres o tutores legales pueden contactarnos en hola@genaisapiens.com.

9. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestra actividad, modificaciones legales o la incorporación de nuevos servicios. Te notificaremos los cambios sustanciales mediante banner en el sitio web y, si disponemos de tu email, también por comunicación directa. La versión vigente siempre estará disponible en www.genaisapiens.com/politica-de-privacidad. Versión actual: 13 de mayo de 2026.

10. Contacto

Para cualquier duda, solicitud o ejercicio de derechos en materia de protección de datos:

TUALOTEU EFFATA NEOSAPIENS, SL
Att. Higini Eduard Moré Domingo — Protección de Datos
Carrer del Pare Palau 5, Ent. 3 · 43001 Tarragona
hola@genaisapiens.com
Asunto recomendado: "RGPD — [derecho o consulta]"

Esta Política de Privacidad debe leerse conjuntamente con la Política de Cookies y el Aviso Legal.