Política de Privacidad
Última actualización: 7 de junio de 2026
En VAUCAI 2025, S.L.U. (en adelante, «Vaucai») consideramos la protección de los datos personales un pilar esencial de nuestro servicio. Esta Política de Privacidad informa, con claridad y transparencia, sobre cómo tratamos los datos personales de quienes utilizan nuestro sitio web vaucai.com y los servicios ofrecidos a través del mismo, conforme al Reglamento (UE) 2016/679, General de Protección de Datos (en adelante, «RGPD»), a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, «LOPDGDD»), y al Reglamento (UE) 2024/1689 sobre inteligencia artificial (en adelante, «Reglamento de IA»).
1. Responsable del tratamiento
Identidad: VAUCAI 2025, S.L.U.
NIF: B-24846222
Domicilio: Calle Juan de Mata Carriazo, 4, 41018 Sevilla, España
Datos registrales: Inscrita en el Registro Mercantil de Sevilla, hoja SE-151921, inscripción 1ª (IRUS 1000462130552).
Correo electrónico: administracion@vaucai.com
2. Delegado de Protección de Datos
Vaucai ha valorado, conforme al artículo 37 del RGPD, la necesidad de designar un Delegado de Protección de Datos y, atendiendo al volumen actual de tratamiento, la naturaleza de los datos procesados y la dimensión de la organización, no se encuentra obligada a su nombramiento. No obstante, Vaucai ha designado un punto único de contacto en materia de protección de datos al que el interesado puede dirigir cualquier consulta o ejercicio de derechos: administracion@vaucai.com.
Vaucai revisará periódicamente esta valoración y procederá al nombramiento de un Delegado de Protección de Datos en el momento en que las circunstancias del tratamiento así lo exijan.
3. Cómo se presta el servicio: información esencial sobre Telegram
El servicio de Vaucai se presta exclusivamente a través de la plataforma de mensajería Telegram, mediante el bot oficial @vaucaibot. Para utilizar el servicio, el Usuario debe disponer de una cuenta propia de Telegram e iniciar una conversación con dicho bot.
En consecuencia, los mensajes y archivos que el Usuario envía al asistente, así como las respuestas generadas por este, transitan necesariamente por la infraestructura de Telegram FZ-LLC, prestador del servicio de mensajería con sede en Emiratos Árabes Unidos. El uso de Telegram se rige por los términos y la política de privacidad propios de dicho prestador, que el Usuario acepta directamente con Telegram al disponer de cuenta en su plataforma. Vaucai no controla la infraestructura de Telegram ni puede garantizar el nivel de protección que dicho prestador aplica a las comunicaciones que circulan por sus sistemas con anterioridad a su recepción por Vaucai.
Una vez que los mensajes son recibidos por la infraestructura de Vaucai a través de la API oficial de Telegram, su tratamiento se rige por la presente Política de Privacidad.
El uso del servicio implica el consentimiento expreso del Usuario para que sus comunicaciones transiten por la infraestructura de Telegram, conforme a lo previsto en el artículo 49.1.a) del RGPD para transferencias internacionales de datos.
Riesgos posibles asociados a la transferencia a Emiratos Árabes Unidos (recital 111 RGPD). El Usuario debe ser consciente, antes de prestar el consentimiento, de los siguientes hechos: (i) Emiratos Árabes Unidos no dispone de Decisión de adecuación de la Comisión Europea conforme al artículo 45 del RGPD; (ii) Emiratos Árabes Unidos no ha ratificado el Convenio 108+ del Consejo de Europa; (iii) el marco legal local (en particular, el Federal Decree-Law nº 45/2021 sobre la protección de datos personales y el Federal Decree-Law nº 5/2012 sobre delitos informáticos) confiere a las autoridades públicas determinadas competencias de acceso a comunicaciones que no son directamente comparables al régimen del RGPD; (iv) Telegram opera con cifrado en tránsito y políticas propias de retención de mensajes según sus condiciones públicas, pero la relación contractual Vaucai–Telegram no incluye Cláusulas Contractuales Tipo (la API pública de bots de Telegram está disponible para cualquier desarrollador y no admite firma bilateral de SCC). El Usuario que no desee asumir estos riesgos debe abstenerse de utilizar el Servicio, ya que Telegram es el único canal de prestación.
4. Datos que tratamos
Dependiendo de la interacción del Usuario con el servicio, Vaucai trata las siguientes categorías de datos personales:
- Datos identificativos de Telegram: identificador único de usuario de Telegram, nombre y apellido o alias declarado en la cuenta de Telegram, nombre de usuario (@username) si lo hubiere, idioma configurado.
- Datos de cuenta y suscripción: correo electrónico, datos necesarios para la facturación y el cobro de la suscripción.
- Datos de pago: procesados directamente por Stripe Payments Europe, Ltd. en sus propios sistemas, sin que Vaucai almacene datos bancarios ni de tarjeta.
- Contenido de las conversaciones: mensajes, archivos, imágenes, audios y cualquier otro contenido que el Usuario remita al asistente, así como las respuestas generadas por este.
- Memoria persistente del asistente: información que el asistente almacena para personalizar futuras interacciones (preferencias, hechos relevantes sobre el Usuario, configuración del asistente), así como un perfil inferido de uso interno (rasgos de trato, estado de ánimo agregado y temas abiertos) elaborado a partir de las conversaciones y descrito en la cláusula 7. El Usuario puede consultar y borrar esta memoria en cualquier momento.
- Datos técnicos: dirección IP de origen de las peticiones, marcas temporales, identificadores de sesión, registros (logs) de uso del servicio.
- Datos derivados de integraciones opcionales: cuando el Usuario decide conectar servicios externos de terceros (Gmail, Google Calendar, Microsoft Outlook y demás servicios de Microsoft 365, Notion y otros que se incorporen progresivamente), Vaucai trata los datos necesarios para prestar la integración solicitada, exclusivamente bajo el consentimiento expreso, granular y revocable del Usuario.
- Ficha de datos personales (cuando el Usuario los provea voluntariamente): identificadores administrativos (DNI/NIE/pasaporte), fecha de nacimiento, dirección, datos fiscales (CIF), datos bancarios (IBAN) y tarjetas de fidelización que el Usuario decida declarar para que el asistente los recuerde y los emplee al autocompletar formularios o en operaciones asistidas. Son datos personales, no secretos: se almacenan en claro y el asistente los conoce, de modo que puede recitárselos al propio Usuario cuando éste se los pide. Base legal: consentimiento del interesado (art. 6.1.a RGPD), prestado al declarar cada campo. El Usuario puede suprimir cada campo en cualquier momento pidiéndoselo al asistente o mediante la baja de cuenta. Las credenciales verdaderamente secretas —contraseñas y claves— reciben un trato distinto: se cifran y nunca se transmiten al modelo de inteligencia artificial (véase el apartado siguiente, Vault de contraseñas).
- Vault de contraseñas (cuando el Usuario lo utilice): contraseñas y credenciales de acceso a servicios de terceros que el Usuario decida guardar para su custodia. Se almacenan cifradas mediante una clave maestra (KEK) gestionada de forma independiente y mantenida fuera de las copias de seguridad ordinarias. Base legal: consentimiento explícito del interesado (art. 6.1.a RGPD), prestado al guardar cada credencial. El valor en claro de una contraseña no se transmite en ningún caso al modelo de inteligencia artificial; su revelación al Usuario, cuando éste la solicita, se realiza fuera de banda y con autoborrado del mensaje. El Usuario puede eliminar cada credencial o la totalidad del vault en cualquier momento.
- Datos de salud (cuando el Usuario los provea voluntariamente): medicación y pautas de administración que el Usuario decida registrar para recibir recordatorios. Constituyen una categoría especial de datos en el sentido del artículo 9 del RGPD. Base legal: consentimiento explícito del interesado (art. 9.2.a RGPD), prestado de forma específica al registrar el dato. Vaucai no diagnostica, no prescribe ni emite recomendaciones médicas: se limita a custodiar y recordar el dato facilitado por el propio Usuario. Estos datos se eliminan de forma inmediata cuando el Usuario borra la medicación correspondiente o se da de baja.
- Datos de terceros aportados por el Usuario: al guardar contactos, cumpleaños, clientes u otra información referida a personas distintas de sí mismo, el Usuario facilita datos de terceros. El Usuario es responsable de disponer de una base legítima para aportarlos y de haber informado a dichas personas cuando resulte exigible; Vaucai trata esos datos por cuenta del Usuario y exclusivamente para prestar las funcionalidades solicitadas.
- Conexiones avanzadas que el Usuario activa: el Usuario puede conectar a su asistente servidores externos compatibles con el protocolo MCP (Model Context Protocol), conectar la API REST de un servicio de terceros (Holded, Factorial u otro, mediante su descripción OpenAPI y sus credenciales) y generar claves de API para que aplicaciones propias se comuniquen con su asistente. Cuando conecta un servidor MCP o una API REST, Vaucai transmite a ese servicio de terceros —elegido y controlado por el Usuario— los datos del mensaje necesarios para ejecutar la operación solicitada, con las credenciales cifradas y las peticiones limitadas al dominio del servicio; cuando genera una clave de API, la aplicación externa que el Usuario autorice recibe las respuestas que su asistente produce (acceso de solo lectura, sin capacidad de ejecutar acciones en su nombre). Ambas funciones se activan de forma expresa y revocable; el servicio de terceros conectado queda bajo la elección y responsabilidad del Usuario. Base legal: consentimiento del interesado (art. 6.1.a RGPD), prestado al activar cada conexión.
- Datos de analítica web sin cookies (cookieless): cuando el Usuario navega por vaucai.com, Vaucai genera un identificador efímero diario aplicando una función hash SHA-256 a la combinación de (sal_secreta_rotada_diariamente + fecha_UTC + dirección_IP + cadena_de_agente_de_usuario). Este identificador no es estable a lo largo del tiempo (cambia cada día al rotarse la sal), no permite reidentificar al visitante individual, y se utiliza únicamente para cómputos agregados (visitas diarias, fuentes de tráfico, páginas más vistas). La IP y el agente de usuario en bruto no se conservan. Retención del registro agregado: 90 días, transcurridos los cuales se eliminan automáticamente. Detalles en la Política de Cookies, cláusula 3.2.
5. Finalidades del tratamiento
Vaucai trata los datos personales del Usuario para las siguientes finalidades:
- Permitir el alta, autenticación y mantenimiento de la cuenta del Usuario.
- Prestar el servicio contratado: configuración del asistente personalizado, procesamiento de las conversaciones, generación de respuestas y mantenimiento de la memoria persistente.
- Ejecutar las integraciones con servicios de terceros que el Usuario haya autorizado expresamente.
- Gestionar el cobro de las suscripciones y emitir la facturación correspondiente.
- Comunicar al Usuario incidencias técnicas, cambios sustanciales del servicio, avisos de seguridad y actualizaciones de los presentes textos legales.
- Atender consultas, solicitudes, reclamaciones y ejercicio de derechos.
- Cumplir las obligaciones legales aplicables (fiscales, contables, mercantiles, de prevención del fraude).
- Prevenir usos abusivos, fraudulentos o contrarios a los Términos del servicio, y proteger la seguridad técnica de la plataforma.
- Enviar comunicaciones comerciales sobre servicios propios análogos a los contratados, conforme al artículo 21.2 de la LSSI-CE, salvo oposición expresa del Usuario.
- Mejorar el servicio mediante análisis estadísticos basados en datos agregados y, siempre que sea posible, anonimizados.
6. Base legal del tratamiento
Las bases jurídicas que legitiman cada tratamiento son:
- Ejecución del contrato (art. 6.1.b RGPD): prestación del servicio, gestión de la cuenta, cobro de suscripciones y comunicaciones operativas asociadas al servicio contratado.
- Cumplimiento de obligaciones legales (art. 6.1.c RGPD): conservación de información fiscal, contable y mercantil, así como atención de requerimientos de autoridades competentes.
- Consentimiento expreso (art. 6.1.a RGPD): uso del bot @vaucaibot a través de la infraestructura de Telegram con tránsito de datos a Emiratos Árabes Unidos (art. 49.1.a RGPD); conexión con servicios externos opcionales (Gmail, Google Calendar, Microsoft Outlook y demás servicios de Microsoft 365, Notion y otras integraciones); envío de comunicaciones comerciales no derivadas de relación contractual previa; y uso de cookies no esenciales en el sitio web vaucai.com.
- Consentimiento explícito para categorías especiales (art. 9.2.a RGPD): tratamiento de los datos de salud (medicación y pautas de administración) que el Usuario decida registrar voluntariamente para recibir recordatorios. Este consentimiento es independiente del consentimiento general y se presta de forma específica al registrar el dato; su retirada conlleva el cese del tratamiento y la eliminación del dato correspondiente.
- Interés legítimo (art. 6.1.f RGPD): prevención del fraude y los usos abusivos, garantía de la seguridad técnica del servicio y mejora del mismo mediante análisis estadísticos agregados, previa ponderación con los derechos y libertades del Usuario.
El Usuario podrá retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo a su retirada. La retirada del consentimiento al uso de Telegram supondrá, dada la naturaleza del servicio, la imposibilidad de continuar prestando el mismo.
7. Tratamiento mediante inteligencia artificial: información específica
Conforme al artículo 13.2.f del RGPD y al artículo 50 del Reglamento de IA, se informa expresamente al Usuario de lo siguiente:
Naturaleza automatizada del servicio. El asistente de Vaucai genera todas sus respuestas mediante sistemas de inteligencia artificial generativa basados en grandes modelos de lenguaje (en particular, los modelos Claude proporcionados por Anthropic PBC). El Usuario interactúa, por tanto, con un sistema automatizado y no con una persona física.
Lógica del tratamiento. El asistente procesa el contenido de los mensajes del Usuario y, en su caso, la memoria persistente asociada a su cuenta, para generar respuestas contextualmente relevantes. La generación de respuestas tiene naturaleza probabilística y no determinista; respuestas idénticas no están garantizadas para entradas idénticas.
Perfil inferido para personalización. Más allá de los datos que el Usuario declara de forma explícita, el asistente elabora automáticamente, a partir del contenido de las conversaciones, un perfil interno inferido del Usuario: rasgos y preferencias de trato, un estado de ánimo agregado a lo largo del tiempo y los temas o asuntos que el Usuario tiene abiertos. Su única finalidad es personalizar las respuestas y dar continuidad a la relación; es de uso interno, no se comunica a terceros y no fundamenta decisiones automatizadas con efectos jurídicos o significativos en el sentido del artículo 22 del RGPD. El Usuario puede acceder a esta información —se incluye en la exportación de datos del artículo 20— y solicitar su supresión, total o parcial, en cualquier momento.
Datos enviados al proveedor del modelo. Para generar cada respuesta, Vaucai transmite a Anthropic PBC el contenido necesario de la conversación. Conforme a los términos comerciales suscritos con Anthropic, dicho contenido se utiliza exclusivamente para generar la respuesta solicitada y no se emplea para entrenar, reentrenar ni mejorar los modelos de Anthropic.
Otros modelos de inteligencia artificial utilizados. Asimismo, Vaucai utiliza modelos de OpenAI, L.L.C. para: (i) la generación de representaciones vectoriales (embeddings) que sustentan la memoria semántica del asistente; (ii) la transcripción de mensajes de audio mediante el modelo Whisper; (iii) la generación de imágenes solicitadas por el Usuario (modelo gpt-image-2); y (iv) determinadas tareas conversacionales y de clasificación (familia de modelos GPT-4.1) cuando el sistema de enrutamiento interno determina que la consulta no requiere un modelo de mayor capacidad. Conforme a los términos contratados con OpenAI a través de su API empresarial, dichos datos no se emplean para entrenar ni mejorar los modelos del proveedor.
Generación de vídeo. Cuando el Usuario solicita la creación de un vídeo, Vaucai utiliza el proveedor fal.ai (Features & Labels, Inc.), que sirve el modelo de generación de vídeo Google Veo 3.1 Fast. A dicho proveedor se transmite la descripción textual de lo que se desea generar y, cuando el Usuario pide animar una imagen, la propia imagen aportada. Si esa imagen contiene a una persona, el asistente solicita previamente al Usuario la confirmación de que cuenta con la autorización necesaria para tratar su imagen. El vídeo resultante se descarga y se almacena en la infraestructura de Vaucai (Hetzner, Alemania, UE). Estos datos no se emplean para entrenar los modelos del proveedor.
Contenido sintético generado por IA (art. 50 del Reglamento de IA). Las imágenes y los vídeos que el asistente crea a petición del Usuario son contenido generado artificialmente. Cuando dicho contenido sea fotorrealista, recree hechos, lugares o personas reales, o pueda inducir a confusión sobre su autenticidad, el asistente lo indica de forma contextual en el momento de la entrega. El contenido claramente artístico, ilustrativo o abstracto no lleva indicación por resultar evidente su naturaleza. Vaucai no genera contenido que vulnere derechos de terceros y rechaza las solicitudes manifiestamente ilícitas.
Vaucai no entrena modelos propios con los datos personales, mensajes, archivos ni memoria de los Usuarios. Tampoco cede dichos datos a terceros para el entrenamiento de sus modelos.
Decisiones automatizadas con efectos jurídicos significativos. El servicio de Vaucai no adopta decisiones individuales automatizadas, en el sentido del artículo 22 del RGPD, que produzcan efectos jurídicos en el Usuario o le afecten significativamente de modo similar. Las respuestas del asistente tienen carácter informativo y de apoyo, y la decisión final sobre cualquier acción derivada de las mismas corresponde siempre al Usuario.
Limitaciones inherentes. El Usuario reconoce que las respuestas generadas pueden contener inexactitudes, omisiones o resultados imprevistos. Vaucai recomienda verificar la información obtenida antes de adoptar decisiones basadas en ella, especialmente en contextos sensibles (jurídicos, médicos, financieros o de seguridad).
8. Datos de servicios conectados (Google Workspace y Microsoft 365) y compromiso de uso limitado
Cuando el Usuario conecta voluntariamente sus servicios de Google Workspace (Gmail y Google Calendar) al asistente Vaucai, son de aplicación, además de las cláusulas generales de esta Política de Privacidad, las garantías específicas previstas por la Política de Datos de Usuario de los Servicios API de Google, incluidos sus requisitos de Uso Limitado (Limited Use). Las cláusulas 8.5 a 8.8 extienden el mismo compromiso de uso limitado a los datos de Microsoft 365 (Outlook y Microsoft Calendar) cuando el Usuario conecta esa cuenta.
8.1. Cláusula de Uso Limitado (Limited Use)
El uso por parte de Vaucai de la información recibida desde las APIs de Google Workspace se ajustará a la Política de Datos de Usuario de los Servicios API de Google, incluidos los requisitos de uso limitado. En particular, Vaucai declara expresamente que:
- Los datos de Gmail y Google Calendar a los que el Usuario ha autorizado acceso se utilizan únicamente para proveer o mejorar las funcionalidades visibles para el Usuario dentro del asistente Vaucai (lectura, gestión y envío de correo, gestión del calendario, briefings de reuniones, recordatorios y automatizaciones que el propio Usuario configure).
- Vaucai no transfiere dichos datos a terceros, salvo (i) cuando sea necesario para proveer o mejorar dichas funcionalidades visibles para el Usuario, (ii) por consentimiento explícito y específico del Usuario, o (iii) por imperativo legal o judicial.
- Vaucai no utiliza los datos de Google Workspace para servir, dirigir, segmentar o adaptar publicidad, propia ni de terceros.
- Los datos de Google Workspace no son leídos por personas físicas, salvo (i) consentimiento explícito y específico del Usuario para casos concretos, (ii) cuando sea estrictamente necesario para prestar soporte a una incidencia notificada por el Usuario, (iii) por motivos de seguridad (investigación de abusos, vulnerabilidades o ataques), o (iv) por obligación legal.
8.2. Permisos (scopes) solicitados a Google y finalidad de uso
Vaucai solicita al Usuario, mediante el flujo OAuth oficial de Google y bajo consentimiento expreso, granular y revocable, los siguientes permisos:
| Permiso (scope) | Finalidad de uso |
|---|---|
openid · userinfo.email · userinfo.profile |
Identificar la cuenta de Google que el Usuario ha conectado y mostrarle en el chat la dirección de correo asociada, de modo que sepa con qué cuenta opera el asistente. |
https://www.googleapis.com/auth/gmail.modify |
Leer los correos del Usuario, así como archivar, etiquetar, marcar como leído o no leído, mover a la papelera y crear borradores, en cada caso a petición conversacional explícita del Usuario en el chat. |
https://www.googleapis.com/auth/gmail.send |
Enviar correos electrónicos en nombre del Usuario cuando éste lo solicite expresamente. |
https://www.googleapis.com/auth/calendar.events |
Consultar, crear, modificar y eliminar eventos del calendario del Usuario, así como avisarle de próximos eventos y preparar briefings antes de las reuniones. |
Vaucai aplica el principio de mínimo privilegio: solicita exclusivamente los permisos necesarios para las funcionalidades activas en el producto, evitando deliberadamente permisos más amplios. En particular, Vaucai no solicita acceso a Google Drive, Google Contacts, Google Tasks, Google Docs, Google Sheets ni Google Slides. El Usuario puede revocar en cualquier momento estos permisos, ya sea desde su panel de cuenta de Google o solicitando la baja de la integración a través del propio bot.
8.3. No utilización de datos de Google Workspace para entrenamiento de IA
Conforme a los requisitos de la Política de Uso Limitado de Google y a las propias garantías técnicas y contractuales de Vaucai:
- Los datos personales obtenidos a través de las APIs de Google Workspace (Gmail, Google Calendar) no se utilizan para desarrollar, mejorar ni entrenar modelos de inteligencia artificial generalistas, ni propios de Vaucai ni de terceros.
- Cuando estos datos son procesados por modelos de lenguaje (Claude, de Anthropic PBC; familia GPT-4.1 y modelos auxiliares de OpenAI L.L.C.) para generar la respuesta del asistente al Usuario, dicho procesamiento se realiza exclusivamente en tiempo real para atender la solicitud del Usuario. Conforme a los términos comerciales suscritos: (i) la API estándar de Anthropic no utiliza los inputs del Cliente para entrenar modelos (default contractual público; la retención por defecto de 30 días que Anthropic mantiene para detección de abuso no es ZDR y no permite usos de entrenamiento); (ii) la API empresarial de OpenAI aplica por defecto opt-out de entrenamiento sobre los inputs del cliente.
- Vaucai no utiliza los datos de Google Workspace para construir perfiles de marketing, segmentación publicitaria, análisis de comportamiento ajeno al servicio, ni ningún otro tratamiento ajeno a las funcionalidades visibles para el Usuario.
8.4. Conservación, eliminación y revocación de los datos de Google Workspace
Vaucai únicamente conserva los datos de Google Workspace estrictamente necesarios para prestar las funcionalidades activas del asistente (por ejemplo, identificadores de mensaje y de evento, metadatos mínimos de hilos de seguimiento, identificadores de cuenta y tokens cifrados de refresco). Estos datos:
- Se almacenan cifrados en reposo y en tránsito, en la infraestructura de Vaucai dentro de la Unión Europea.
- Se eliminan inmediatamente (sin ventana de gracia de 30 días) cuando el Usuario revoca el consentimiento OAuth desde su cuenta de Google, desconecta la integración desde el propio bot, o solicita la baja de la cuenta. La eliminación se ejecuta mediante borrado en cascada de claves foráneas en Postgres (cascade FK), salvo obligación legal de conservación específica.
- Cuando el Usuario solicita la eliminación de su cuenta, Vaucai revoca automáticamente los tokens OAuth concedidos por Google ANTES de borrar los datos locales. La revocación se ejecuta llamando al endpoint oficial de Google
https://oauth2.googleapis.com/revokepor cada cuenta de Google conectada del Usuario, de modo que Google invalida la concesión OAuth en su propio lado además del borrado en Vaucai. Adicionalmente, el Usuario puede revocar el acceso en cualquier momento desde su panel de cuenta de Google. - Pueden eliminarse de forma directa por el propio Usuario pidiéndoselo al asistente en el bot (por ejemplo, «quiero borrar mi cuenta»), lo que ejecuta secuencialmente: (1) cierre limpio de los watch channels de Gmail Pub/Sub, (2) revocación OAuth en Google, (3) cancelación inmediata de la suscripción en Stripe (cesa cualquier cobro futuro), (4) borrado en cascada de tokens, mensajes, embeddings y demás datos personales en Postgres, y (5) limpieza de claves Redis asociadas al Usuario.
El cumplimiento por parte de Vaucai de los requisitos descritos en esta cláusula es susceptible de evaluación periódica por terceros independientes (assessors aprobados por Google) en el marco del programa Cloud Application Security Assessment (CASA), conforme a los plazos y condiciones establecidos por Google para las aplicaciones que utilizan permisos restringidos de Google Workspace.
8.5. Datos de Microsoft 365 (Outlook y Microsoft Calendar) y compromiso de uso limitado
Cuando el Usuario conecta voluntariamente su cuenta de Microsoft 365 (correo de Outlook y calendario de Microsoft) al asistente Vaucai mediante el flujo OAuth oficial de Microsoft, el tratamiento de los datos obtenidos a través de la API de Microsoft Graph se rige por las cláusulas generales de esta Política de Privacidad y por los compromisos específicos de uso limitado que se describen a continuación, en paridad con los aplicados a los datos de Google Workspace. En particular, Vaucai declara expresamente que:
- Los datos de Outlook y del calendario de Microsoft a los que el Usuario ha autorizado acceso se utilizan únicamente para proveer o mejorar las funcionalidades visibles para el Usuario dentro del asistente Vaucai (lectura, gestión y envío de correo, gestión del calendario, briefings de reuniones, recordatorios y automatizaciones que el propio Usuario configure).
- Vaucai no transfiere dichos datos a terceros, salvo (i) cuando sea necesario para proveer o mejorar dichas funcionalidades visibles para el Usuario, (ii) por consentimiento explícito y específico del Usuario, o (iii) por imperativo legal o judicial.
- Vaucai no utiliza los datos de Microsoft 365 para servir, dirigir, segmentar o adaptar publicidad, propia ni de terceros.
- Los datos de Microsoft 365 no son leídos por personas físicas, salvo (i) consentimiento explícito y específico del Usuario para casos concretos, (ii) cuando sea estrictamente necesario para prestar soporte a una incidencia notificada por el Usuario, (iii) por motivos de seguridad (investigación de abusos, vulnerabilidades o ataques), o (iv) por obligación legal.
8.6. Permisos (scopes) solicitados a Microsoft y finalidad de uso
Vaucai solicita al Usuario, mediante el flujo OAuth oficial de Microsoft y bajo consentimiento expreso, granular y revocable, los siguientes permisos delegados de Microsoft Graph. Los permisos de identidad se solicitan siempre; el resto, únicamente cuando el Usuario activa la funcionalidad correspondiente:
| Permiso (scope) | Finalidad de uso |
|---|---|
openid · email · profile · User.Read · offline_access |
Identificar la cuenta de Microsoft que el Usuario ha conectado, mostrarle en el chat la dirección asociada y mantener la sesión activa mediante el token de refresco, de modo que sepa con qué cuenta opera el asistente. |
Mail.ReadWrite · Mail.Send |
Leer los correos del Usuario, así como archivar, mover, marcar y crear borradores, y enviar correos en su nombre, en cada caso a petición conversacional explícita del Usuario en el chat. |
Calendars.ReadWrite |
Consultar, crear, modificar y eliminar eventos del calendario del Usuario, avisarle de próximos eventos y preparar briefings antes de las reuniones. |
Contacts.ReadWrite · Tasks.ReadWrite |
Consultar y gestionar los contactos y las tareas del Usuario cuando éste pide al asistente acciones que los impliquen (buscar un contacto, crear una tarea o recordatorio). Solo se solicitan si el Usuario activa estas funcionalidades. |
Vaucai aplica el principio de mínimo privilegio: solicita exclusivamente los permisos necesarios para las funcionalidades que el Usuario activa, evitando deliberadamente permisos más amplios. El Usuario puede revocar en cualquier momento estos permisos, ya sea desde el panel de aplicaciones y servicios de su cuenta de Microsoft o solicitando la baja de la integración a través del propio bot.
8.7. No utilización de datos de Microsoft 365 para entrenamiento de IA
En paridad con el tratamiento de los datos de Google Workspace:
- Los datos personales obtenidos a través de Microsoft Graph (Outlook, calendario de Microsoft) no se utilizan para desarrollar, mejorar ni entrenar modelos de inteligencia artificial generalistas, ni propios de Vaucai ni de terceros.
- Cuando estos datos son procesados por modelos de lenguaje (Claude, de Anthropic PBC; familia GPT-4.1 y modelos auxiliares de OpenAI L.L.C.) para generar la respuesta del asistente al Usuario, dicho procesamiento se realiza exclusivamente en tiempo real para atender la solicitud del Usuario, bajo los mismos términos comerciales descritos en la cláusula 8.3 (la API estándar de Anthropic no utiliza los inputs del Cliente para entrenar modelos; la API empresarial de OpenAI aplica por defecto opt-out de entrenamiento).
- Vaucai no utiliza los datos de Microsoft 365 para construir perfiles de marketing, segmentación publicitaria, análisis de comportamiento ajeno al servicio, ni ningún otro tratamiento ajeno a las funcionalidades visibles para el Usuario.
8.8. Conservación, eliminación y revocación de los datos de Microsoft 365
Vaucai únicamente conserva los datos de Microsoft 365 estrictamente necesarios para prestar las funcionalidades activas del asistente (por ejemplo, identificadores de mensaje y de evento, metadatos mínimos de hilos de seguimiento, identificadores de cuenta y tokens cifrados de refresco). Estos datos:
- Se almacenan cifrados en reposo y en tránsito, en la infraestructura de Vaucai dentro de la Unión Europea.
- Se eliminan inmediatamente (sin ventana de gracia de 30 días) cuando el Usuario desconecta la integración desde el propio bot o solicita la baja de la cuenta, mediante borrado en cascada de claves foráneas en Postgres (cascade FK), salvo obligación legal de conservación específica.
- El Usuario puede revocar el acceso en cualquier momento desde el panel de aplicaciones y servicios de su cuenta de Microsoft, además de la desconexión desde el bot.
- Pueden eliminarse de forma directa por el propio Usuario pidiéndoselo al asistente en el bot (por ejemplo, «quiero borrar mi cuenta»), lo que ejecuta el borrado en cascada de tokens, mensajes, embeddings y demás datos personales en Postgres, junto con la cancelación de la suscripción en Stripe y la limpieza de claves Redis asociadas al Usuario.
9. Plazos de conservación
| Categoría de datos | Plazo |
|---|---|
| Datos de cuenta y servicio | Durante la vigencia de la relación contractual y, tras su finalización, durante el plazo de prescripción de las acciones legales (con carácter general, 5 años conforme al artículo 1964 del Código Civil) |
| Conversaciones y memoria del asistente | Durante la vigencia de la cuenta. Eliminación inmediata e irreversible al darse de baja (cascade FK Postgres). Sin período de gracia |
| Ficha de datos personales (DNI/NIE/IBAN y campos asimilables) | Durante la vigencia de la cuenta o hasta que el Usuario elimine el campo concreto. Eliminación inmediata al darse de baja |
| Vault de contraseñas | Durante la vigencia de la cuenta o hasta que el Usuario elimine la credencial concreta. Eliminación inmediata al darse de baja |
| Datos de salud (medicación y pautas de administración) | Durante la vigencia de la cuenta o hasta que el Usuario elimine la medicación concreta o retire el consentimiento. Eliminación inmediata al darse de baja |
| Datos de facturación | 6 años (art. 30 del Código de Comercio y normativa fiscal aplicable) |
| Datos de comunicaciones comerciales | Hasta la revocación del consentimiento o la oposición del Usuario |
| Datos técnicos (logs ordinarios) | 90 días desde su generación |
| Datos técnicos críticos (excepciones del asistente, timeouts, eventos de presupuesto excedido) | 12 meses, para auditoría de incidentes y análisis post-mortem |
Analítica web cookieless (web_events) |
90 días desde la generación del registro agregado |
| Identificador antifraude de la prueba gratuita (huella técnica irreversible del teléfono; no se almacena el número) | 24 meses desde el último uso. Es un seudónimo irreversible que por sí solo no permite reidentificar a la persona. Se conserva, con esa única finalidad de prevención del abuso de la prueba gratuita, aunque el Usuario se dé de baja |
10. Destinatarios y encargados del tratamiento
Para la prestación del servicio, Vaucai comunica datos personales a los siguientes proveedores tecnológicos, que actúan como encargados del tratamiento conforme al artículo 28 del RGPD. Vaucai mantiene o suscribirá con cada uno de ellos los correspondientes acuerdos de encargo del tratamiento:
| Proveedor | Finalidad | Ubicación | Garantía aplicable |
|---|---|---|---|
| Hetzner Online GmbH | Alojamiento de la infraestructura de Vaucai (servidor, base de datos Postgres y caché) | Alemania / Finlandia (UE) | No aplicable: tratamiento dentro del EEE |
| Cloudflare, Inc. | DNS autorizado únicamente (nameservers moura.ns.cloudflare.com y lilyana.ns.cloudflare.com). NO actúa como proxy HTTP del tráfico; el A record de vaucai.com resuelve directamente a la infraestructura de Vaucai en Hetzner (UE). Cloudflare no procesa el contenido HTTP de los Usuarios |
Estados Unidos / global | Cláusulas Contractuales Tipo y certificación EU–US Data Privacy Framework. Alcance limitado a queries DNS |
| Anthropic PBC | Procesamiento mediante modelos de lenguaje (Claude Sonnet/Opus/Haiku) para la generación de respuestas del asistente. La API estándar de Anthropic no utiliza los inputs del Cliente para entrenar modelos (default contractual). Retención por defecto de Anthropic: 30 días para detección de abuso (no es Zero Data Retention) | Estados Unidos | Cláusulas Contractuales Tipo (Decisión UE 2021/914). Anthropic no está actualmente certificado bajo el EU–US Data Privacy Framework |
| OpenAI, L.L.C. | Generación de embeddings para la memoria semántica, transcripción de audio (Whisper), generación de imágenes (gpt-image-2) y procesamiento conversacional/clasificación selectivo (familia GPT-4.1) | Estados Unidos | Cláusulas Contractuales Tipo y adhesión declarada al EU–US Data Privacy Framework |
| PostHog Inc. | Analítica de producto del sitio web (páginas vistas, recorridos y embudos de conversión) para medir el uso y mejorar la web. Solo con el consentimiento del Usuario a la categoría «Analíticas»; sin consentimiento, no se carga. Vaucai utiliza la región europea de PostHog | Unión Europea (Fráncfort, Alemania); proveedor con sede en EE.UU. | Datos almacenados en la UE (PostHog Cloud EU). Cláusulas Contractuales Tipo (Decisión UE 2021/914) para cualquier acceso eventual desde fuera del EEE |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos | Irlanda (UE) | No aplicable: tratamiento dentro del EEE |
| Telegram FZ-LLC | Infraestructura de mensajería del bot @vaucaibot | Emiratos Árabes Unidos | Consentimiento expreso del Usuario informado de los riesgos (art. 49.1.a RGPD + recital 111). Ver detalle en cláusula 3 |
| Google LLC / Google Ireland Ltd. | Integraciones opcionales con Gmail y Google Calendar (solo previa autorización del Usuario). Sometido a la cláusula 8 (Limited Use) | UE / Estados Unidos | Cláusulas Contractuales Tipo y certificación EU–US Data Privacy Framework |
| Microsoft Corporation / Microsoft Ireland Operations Ltd. | Integraciones opcionales con Outlook, calendario, contactos y tareas (solo previa autorización del Usuario). Los datos accedidos vía Microsoft Graph se utilizan únicamente para proveer las funcionalidades solicitadas por el Usuario; no se utilizan para entrenamiento de modelos de IA ni se transfieren a terceros distintos de los listados en esta tabla | UE / Estados Unidos | Cláusulas Contractuales Tipo y certificación EU–US Data Privacy Framework |
| Notion Labs, Inc. | Integración opcional con espacios de trabajo de Notion (solo previa autorización del Usuario). Los datos accedidos vía Notion API se utilizan únicamente para proveer las funcionalidades solicitadas por el Usuario sobre el workspace conectado; no se utilizan para entrenamiento de modelos de IA ni se transfieren a terceros distintos de los listados en esta tabla | Estados Unidos | Cláusulas Contractuales Tipo (Decisión UE 2021/914) |
| SideGuide Technologies Inc. (Firecrawl) | Extracción y búsqueda de contenido web público bajo demanda del Usuario (lectura de URLs, búsquedas, extracción estructurada). Los datos transferidos son la URL o consulta solicitada y el contenido público devuelto | Estados Unidos | Cláusulas Contractuales Tipo (Decisión UE 2021/914) |
| Gamma Tech, Inc. | Generación de presentaciones, documentos y páginas web bajo demanda explícita del Usuario. Los datos transferidos son el prompt de generación que el Usuario solicite | Estados Unidos | Cláusulas Contractuales Tipo (Decisión UE 2021/914) |
| Functional Software, Inc. (Sentry) | Captura de errores técnicos de la infraestructura para su mantenimiento (stack traces redactados, identificadores de trazabilidad). Ingesta de datos en la región de la UE (Frankfurt, Alemania). Configuración con send_default_pii=False, sin envío por defecto de datos personales identificables |
Estados Unidos (entidad legal) / Alemania (ingesta) | Cláusulas Contractuales Tipo (Decisión UE 2021/914). Ingesta dentro del EEE |
| Features & Labels, Inc. (fal.ai) | Generación de vídeo bajo demanda explícita del Usuario (modelo Google Veo 3.1 Fast). Se transmite la descripción textual solicitada y, cuando el Usuario pide animar una imagen, la propia imagen aportada. No se emplea para entrenar los modelos del proveedor. Detalle en la cláusula 7 | Estados Unidos | Cláusulas Contractuales Tipo (Decisión UE 2021/914) |
| Bilbabit, S.L. (Verifacti) | Registro de facturas conforme al sistema Veri*Factu de la Agencia Tributaria, únicamente cuando el Usuario opta por la facturación verificada. Se transmiten los datos fiscales del emisor (NIF, razón social y domicilio), la identificación del destinatario de la factura (nombre y NIF) y los datos de la propia factura (serie, número, fecha, importe y concepto). No se emplea para entrenar modelos | España (UE) | No aplicable: tratamiento dentro del EEE |
| Google LLC (Cloud Text-to-Speech) | Síntesis de voz de las respuestas del asistente, únicamente cuando el Usuario activa la respuesta hablada. Se transmite el texto de la respuesta que el asistente va a leer. No se emplea para entrenar modelos | UE / Estados Unidos | Cláusulas Contractuales Tipo y certificación EU–US Data Privacy Framework |
| TranscriptAPI (proveedor gestionado) | Búsqueda y obtención de subtítulos de vídeos de YouTube bajo demanda explícita del Usuario (resumen y búsqueda de vídeos). Se transmite únicamente la dirección pública o el identificador del vídeo de YouTube; no se transmiten datos personales del Usuario | Estados Unidos | Cláusulas Contractuales Tipo (Decisión UE 2021/914) |
| Travelpayouts (Aviasales Data API) | Consulta del precio real de vuelos para el Radar de precios bajo petición explícita del Usuario. Se transmiten el origen, el destino y las fechas del viaje (códigos de aeropuerto IATA) y el nombre de ciudad que el Usuario indica para localizar el vuelo. No se transmiten identificadores directos del Usuario ni se emplea para entrenar modelos | Estados Unidos | Cláusulas Contractuales Tipo (Decisión UE 2021/914) |
| Google LLC (reCAPTCHA Enterprise) | Protección antifraude y antibot del formulario de alta en vaucai.com/crear. Se transmiten señales del navegador del visitante (interacción, identificadores técnicos) para obtener una puntuación de riesgo. No se utiliza para personalización publicitaria por parte de Vaucai |
UE / Estados Unidos | Cláusulas Contractuales Tipo y certificación EU–US Data Privacy Framework |
Vaucai podrá incorporar nuevos encargados del tratamiento cuando resulte necesario para la prestación del servicio. La relación actualizada estará disponible en esta Política de Privacidad. Los Usuarios con la condición de profesionales o empresas (clientes B2B) podrán solicitar a través de administracion@vaucai.com información detallada sobre los acuerdos suscritos con los encargados.
10.1. Vaucai como encargado del tratamiento (webs creadas con Vaucai Sites)
Cuando un Usuario crea y publica una web con Vaucai Sites y dicha web recaba datos personales de sus visitantes (por ejemplo, nombre, correo o mensaje a través de un formulario de contacto), el Usuario titular de la web es el responsable del tratamiento de esos datos y Vaucai actúa como encargado del tratamiento por cuenta de aquél, conforme al artículo 28 del RGPD. Vaucai tratará dichos datos únicamente para entregarlos al Usuario titular (por su canal de Telegram) y conservarlos a su disposición, siguiendo sus instrucciones, sin utilizarlos para finalidades propias. Los visitantes que deseen ejercer sus derechos sobre estos datos deberán dirigirse al Usuario titular de la web, en su condición de responsable; Vaucai le prestará la asistencia razonable que precise. Estos datos se conservan mientras la web permanezca activa o hasta que el Usuario titular los suprima, y se eliminan al borrar la web o la cuenta.
11. Transferencias internacionales
Las transferencias de datos personales a destinatarios ubicados fuera del Espacio Económico Europeo se realizan con base en alguna de las siguientes garantías previstas en el Capítulo V del RGPD:
- Decisión de adecuación de la Comisión Europea, cuando exista respecto del país de destino.
- Certificación del destinatario en el marco EU–US Data Privacy Framework, en el caso de proveedores estadounidenses adheridos al mismo.
- Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914).
- Consentimiento expreso del Usuario tras información de los riesgos, en el supuesto específico previsto en la cláusula 3 (uso de Telegram), conforme al artículo 49.1.a del RGPD.
El Usuario podrá solicitar copia o referencia de las garantías aplicadas escribiendo a administracion@vaucai.com.
12. Derechos del interesado
Conforme al RGPD y la LOPDGDD, el Usuario tiene reconocidos los siguientes derechos:
- Acceso: conocer qué datos personales trata Vaucai y obtener una copia.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión («derecho al olvido»): solicitar la eliminación de los datos cuando ya no sean necesarios, se haya retirado el consentimiento o concurra cualquier otro supuesto del artículo 17 del RGPD.
- Oposición: oponerse al tratamiento por motivos relacionados con su situación particular, en particular respecto del tratamiento basado en interés legítimo y de las comunicaciones comerciales.
- Limitación del tratamiento: solicitar la suspensión del tratamiento en los supuestos previstos en el artículo 18 del RGPD.
- Portabilidad: recibir los datos en formato estructurado, de uso común y lectura mecánica, o solicitar su transmisión directa a otro responsable, cuando técnicamente sea posible.
- No ser objeto de decisiones automatizadas con efectos significativos (art. 22 RGPD), conforme a lo indicado en la cláusula 7.
- Retirada del consentimiento en cualquier momento, sin efecto retroactivo.
Para ejercer cualquiera de estos derechos, el Usuario puede escribir a administracion@vaucai.com indicando el derecho que desea ejercer y aportando la información necesaria para identificarle. Vaucai únicamente solicitará documentos acreditativos de identidad cuando existan dudas razonables sobre la identidad del solicitante, conforme al artículo 12.6 del RGPD.
Adicionalmente, el Usuario puede ejercer estos derechos de forma directa en el propio bot pidiéndoselo al asistente. El derecho de supresión (por ejemplo, «quiero borrar mi cuenta») elimina la cuenta y los datos asociados —y cancela la suscripción— previa doble confirmación. Para el derecho de acceso y portabilidad, pedir «dame una copia de mis datos» genera y entrega en el propio chat un documento con todos sus datos personales. Si además desea recibir una copia en un formato estructurado de lectura mecánica (por ejemplo, JSON), puede solicitarla escribiendo a administracion@vaucai.com.
Vaucai responderá a las solicitudes en el plazo máximo de un mes desde su recepción, ampliable a dos meses adicionales en supuestos de especial complejidad, previa notificación al Usuario.
Si el Usuario considera que el tratamiento de sus datos personales no se ajusta a la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es, calle Jorge Juan, 6, 28001 Madrid).
13. Medidas de seguridad
Vaucai ha adoptado las medidas técnicas y organizativas apropiadas, conforme al artículo 32 del RGPD, para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otras:
- Cifrado de los datos en tránsito mediante TLS.
- Cifrado en reposo de la información sensible.
- Aislamiento lógico de los datos por cuenta de Usuario.
- Control de accesos basado en roles y principio de mínimo privilegio.
- Autenticación reforzada para el acceso administrativo.
- Copias de seguridad periódicas y versionadas, con restauración probada.
- Monitorización continua de la infraestructura y registro de eventos de seguridad.
- Formación del personal con acceso a datos personales en materia de protección de datos y seguridad.
Vaucai revisa y actualiza periódicamente estas medidas en función de la evolución del estado de la técnica y de los riesgos identificados.
14. Notificación de violaciones de seguridad
En caso de producirse una violación de la seguridad de los datos personales que entrañe un riesgo para los derechos y libertades del Usuario, Vaucai la notificará a la Agencia Española de Protección de Datos sin dilación indebida y, a más tardar, en el plazo de 72 horas desde su conocimiento, conforme al artículo 33 del RGPD. Cuando la violación entrañe un alto riesgo, Vaucai informará igualmente al Usuario afectado, de conformidad con el artículo 34 del RGPD.
15. Cookies y tecnologías similares
El sitio web vaucai.com utiliza cookies y tecnologías similares, cuyo uso se rige por la Política de Cookies, donde se detalla la tipología, finalidad, duración y mecanismo de gestión del consentimiento.
16. Menores de edad y datos de categorías especiales
El servicio de Vaucai está dirigido exclusivamente a personas mayores de 18 años. Vaucai no recaba ni trata conscientemente datos personales de menores de edad. Si Vaucai tuviera conocimiento de que un menor ha facilitado datos a través del servicio, procederá a su eliminación inmediata.
Si el Usuario, padre, madre, tutor o tutora detecta que un menor ha facilitado datos personales sin el consentimiento correspondiente, puede comunicarlo a administracion@vaucai.com para su eliminación.
Advertencia sobre datos de categorías especiales (art. 9 RGPD). Cuando el Usuario autoriza voluntariamente la conexión con servicios externos (en particular, Gmail y Google Calendar, o equivalentes de Microsoft 365), las cuentas conectadas pueden contener datos de categorías especiales en el sentido del artículo 9 del RGPD: datos sobre salud, religión, opiniones políticas, orientación o vida sexual, datos genéticos o biométricos, afiliación sindical, u origen racial o étnico. Vaucai no procesa estos datos como objeto de tratamiento específico ni los analiza con finalidad determinada; pueden aparecer incidentalmente en el contexto operativo del asistente al leer correos o eventos a petición del Usuario. El Usuario debe ser consciente de este tratamiento incidental al autorizar los scopes correspondientes y, si desea evitarlo, puede revocar el acceso en cualquier momento desde el panel de su cuenta del proveedor o desde el comando /cuentas del bot.
Tratamiento deliberado de datos de salud (medicación). Con independencia de lo anterior, el Usuario puede decidir voluntariamente registrar en el asistente su medicación y las pautas de administración con el fin de recibir recordatorios. En tal caso, Vaucai trata datos de salud —categoría especial en el sentido del artículo 9 del RGPD— sobre la base del consentimiento explícito del Usuario (art. 9.2.a RGPD), prestado de forma específica en el momento de registrar el dato. Vaucai se limita a custodiar y recordar la información facilitada por el propio Usuario y no diagnostica, no prescribe ni emite recomendación médica alguna. El Usuario puede retirar este consentimiento y eliminar estos datos en cualquier momento —borrando la medicación o dándose de baja—, lo que conlleva el cese inmediato del tratamiento.
17. Modificaciones
Vaucai podrá modificar esta Política de Privacidad para adaptarla a cambios normativos, jurisprudenciales, técnicos o en la prestación del servicio. Las modificaciones serán comunicadas a los Usuarios registrados mediante mensaje a través del bot @vaucaibot, correo electrónico o aviso destacado en el sitio web, con antelación razonable a su entrada en vigor.
Se recomienda al Usuario revisar periódicamente esta página y atender la fecha de «Última actualización» indicada al inicio.