Esta política describe cómo se tratan los datos personales (i) de los visitantes y usuarios de la web krudia.com, (ii) de los clientes de Krudia (comercios y profesionales) y sus personas de contacto, y (iii) de los clientes finales de dichos comercios cuyos mensajes procesa el asistente, conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).
Responsable del tratamiento
- Identidad: Adrián Cánovas Mora, empresario individual (autónomo)
- NIF: 23297968A
- País: España
- Marca: Krudia · https://krudia.com
- Contacto: hola@krudia.com
Importante — doble rol: respecto de los datos de la web y de los clientes de Krudia, Adrián Cánovas Mora actúa como responsable del tratamiento. Respecto de los datos personales de los clientes finales de los comercios (mensajes y datos de contacto procesados por el asistente), Krudia actúa como encargado del tratamiento por cuenta del comercio, que es el responsable; ese tratamiento se rige por el contrato de encargo de tratamiento (art. 28 RGPD) suscrito con cada comercio. Los clientes finales deben dirigirse en primer término al comercio con el que se comunican.
Datos que se tratan
| Colectivo | Datos |
|---|---|
| Visitantes de la web | Datos de navegación técnicos (IP, logs, dispositivo); datos facilitados en formularios de contacto o demo (nombre, email, teléfono, empresa, mensaje). |
| Clientes (comercios) y sus contactos | Identificativos y de contacto, NIF, datos de facturación y pago (gestionados por Stripe; Krudia no almacena números de tarjeta completos), credenciales de acceso, base de conocimiento del negocio, datos de uso del servicio. |
| Clientes finales de los comercios (como encargado) | Identificadores de la cuenta de mensajería (número de teléfono / usuario de Instagram, nombre de perfil), contenido de los mensajes y metadatos de la conversación. |
No se solicitan categorías especiales de datos (art. 9 RGPD). Si un cliente final las incluye espontáneamente en un mensaje, se tratan únicamente como parte de la conversación, por cuenta del comercio responsable.
Finalidades y bases jurídicas
| Finalidad | Base jurídica (art. 6.1 RGPD) |
|---|---|
| Atender consultas y solicitudes de demo desde la web | b) medidas precontractuales / a) consentimiento |
| Prestar el servicio contratado, alta, onboarding, soporte y panel | b) ejecución del contrato |
| Facturación, cobro y obligaciones fiscales y contables | c) obligación legal |
| Procesar y responder mensajes de clientes finales mediante el asistente IA | Tratamiento como encargado por cuenta del comercio (art. 28 RGPD); la base jurídica la determina el comercio responsable |
| Seguridad de la plataforma, prevención de fraude y abuso | f) interés legítimo |
| Comunicaciones comerciales a clientes sobre servicios propios similares | f) interés legítimo / art. 21.2 LSSI, con posibilidad de oposición en cada envío |
| Mejora del servicio con datos agregados/anonimizados | f) interés legítimo |
Los datos de clientes finales no se utilizan para entrenar modelos de IA ni se autoriza a los proveedores a hacerlo, conforme a las condiciones comerciales de la API de Anthropic.
Destinatarios y encargados (proveedores)
Krudia se apoya en los siguientes proveedores, que actúan como encargados o subencargados, o como responsables independientes según el caso:
| Proveedor | Función | Ubicación / transferencias |
|---|---|---|
| Anthropic (API de Claude) | Generación de respuestas del asistente | EE. UU. — Cláusulas Contractuales Tipo (SCC) y/o EU-US Data Privacy Framework cuando aplique |
| Meta Platforms (WhatsApp Business Platform / Instagram) | Plataforma de mensajería | EE. UU./Irlanda — SCC y/o EU-US Data Privacy Framework cuando aplique |
| Twilio | Pasarela de mensajería (cuando se utilice) | EE. UU. — SCC y/o EU-US Data Privacy Framework cuando aplique |
| Stripe | Procesamiento de pagos | EE. UU./Irlanda — SCC y/o EU-US Data Privacy Framework cuando aplique |
| Vercel | Alojamiento de la plataforma | EE. UU., con opciones de región UE — SCC y/o EU-US Data Privacy Framework cuando aplique |
| Proveedor de base de datos | Almacenamiento de datos del servicio | Región UE cuando resulte de aplicación |
Cuando se producen transferencias internacionales fuera del EEE, se realizan con garantías adecuadas del Capítulo V del RGPD: decisión de adecuación (EU-US Data Privacy Framework, para entidades certificadas) o Cláusulas Contractuales Tipo de la Comisión Europea, con medidas suplementarias cuando proceda. Puede solicitarse más información o copia de las garantías en hola@krudia.com.
Además, los datos podrán comunicarse a administraciones públicas, jueces y tribunales cuando exista obligación legal, y a asesores profesionales (fiscal, legal) bajo confidencialidad.
Plazos de conservación
- Formularios web / leads: mientras se atiende la solicitud y, como máximo, 1 año desde el último contacto, salvo que se convierta en cliente.
- Datos de clientes y del contrato: durante la vigencia del contrato y, después, bloqueados durante los plazos de prescripción legales (con carácter general, hasta 6 años por obligaciones mercantiles/contables — art. 30 Código de Comercio — y 4 años a efectos fiscales).
- Conversaciones y datos de clientes finales (como encargado): durante la vigencia del contrato con el comercio y conforme a sus instrucciones; a la terminación, se suprimen o devuelven según el contrato de encargo (por defecto, supresión en un plazo máximo de 30 días, salvo obligación legal de conservación).
- Logs de seguridad: plazo limitado y proporcionado (orientativamente, hasta 12 meses).
Derechos de las personas interesadas
Cualquier persona puede ejercer los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, así como retirar el consentimiento prestado en cualquier momento y oponerse a recibir comunicaciones comerciales.
Cómo ejercerlos: enviando un correo a hola@krudia.com, indicando el derecho que se ejerce y aportando información suficiente para acreditar la identidad. Se responderá en el plazo máximo de un mes (prorrogable conforme al art. 12.3 RGPD).
Clientes finales de los comercios: dado que Krudia actúa como encargado, las solicitudes recibidas de clientes finales se trasladarán al comercio responsable, sin perjuicio de la asistencia que Krudia le preste. Se recomienda dirigir la solicitud directamente al comercio.
Reclamación ante la autoridad de control: si considera que el tratamiento no se ajusta a la normativa, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) — C/ Jorge Juan 6, 28001 Madrid · https://www.aepd.es — sin perjuicio de cualquier otro recurso.
Seguridad
Se aplican medidas técnicas y organizativas apropiadas al riesgo (art. 32 RGPD): cifrado en tránsito (TLS) y en reposo cuando el proveedor lo soporta, control de accesos basado en necesidad, autenticación reforzada en sistemas críticos, registro de actividad, copias de seguridad, minimización de datos y selección de proveedores con garantías adecuadas. El detalle aplicable a los comercios figura en el anexo de seguridad del contrato de encargo de tratamiento.
La web krudia.com utiliza únicamente cookies técnicas necesarias para su funcionamiento. Si en el futuro se instalan cookies analíticas o de terceros, se publicará una política de cookies específica y un gestor de consentimiento conforme al art. 22.2 LSSI.
Cambios en esta política
Esta política puede actualizarse para reflejar cambios normativos o del servicio. La versión vigente estará siempre publicada en krudia.com, con indicación de la fecha de última actualización. Los cambios sustanciales se comunicarán a los clientes.