Política de privacidad
Última actualización: 3 de mayo de 2026.
1. Responsable del tratamiento
- Profesional autónomo: Anthony Álvarez Felipe (nombre comercial Vexakon).
- NIF: 49678461W.
- Domicilio: c/ Colom 31, izq. 3, 46713 Bellreguard (Valencia), España.
- Contacto privacidad / RGPD: legal@vexakon.com.
- Contacto general: anthonyalvarez@vexakon.com.
Vexakon no está obligado a designar Delegado de Protección de Datos (DPO) conforme al art. 37 RGPD por volumen actual; no obstante, las comunicaciones RGPD se canalizan por la dirección legal@vexakon.com con plazo máximo de respuesta de 1 mes (art. 12.3 RGPD).
2. Categorías de datos y finalidades
| Canal | Datos | Finalidad | Base jurídica | Plazo |
|---|---|---|---|---|
| Formulario de contacto | Nombre, email, empresa (opcional), mensaje | Atender consulta y proponer servicios | Consentimiento (6.1.a) o ejecución pre-contractual (6.1.b) | 3 años desde último contacto |
| Newsletter / waitlist | Email, fuente alta, fecha | Envío comunicaciones comerciales | Consentimiento expreso doble opt-in (6.1.a) | Hasta baja del usuario |
| Asistente IA web (chatbot) | Texto de la consulta (sin identificación nominal en servidor) | Resolver duda con la documentación pública | Interés legítimo del usuario (6.1.f) + base contractual del proveedor LLM | sessionStorage del navegador, descartado al cambiar de día. Vexakon no almacena. |
| Cliente B2B (servicios contratados) | Datos de facturación, persona contacto, configuración técnica | Prestación del servicio, facturación, soporte | Ejecución del contrato (6.1.b) | 6 años (Código de Comercio art. 30) tras finalización |
| Cookies / analítica | Métricas de navegación agregadas sin identificadores | Mejorar funcionalidad y rendimiento | Consentimiento (LSSI art. 22.2 + RGPD 6.1.a) | 13 meses (ver política de cookies) |
3. Decisiones automatizadas y EU AI Act
Vexakon utiliza sistemas de IA (chatbot, agentes de voz) para atender consultas y prestar servicios contratados por nuestros clientes. En la web de Vexakon:
- El asistente conversacional no toma decisiones que produzcan efectos jurídicos o afecten significativamente al interesado (art. 22.1 RGPD). Su función es informativa sobre Vexakon; cualquier contratación o decisión vinculante se canaliza por humano.
- Cuando un cliente B2B despliega un agente IA Vexakon hacia sus usuarios finales (paciente, consumidor), Vexakon actúa como encargado del tratamiento (art. 28 RGPD) bajo el DPA firmado con el cliente. La determinación de si el sistema toma decisiones automatizadas con efectos jurídicos corresponde al responsable del tratamiento (cliente).
- Cumplimos el art. 50 del Reglamento UE 2024/1689 (EU AI Act) sobre transparencia: ver /legal/transparencia-ia.
4. Subprocesadores y transferencias internacionales
Para prestar el servicio empleamos proveedores ubicados dentro y fuera del EEE. La lista actualizada se publica en /legal/subprocesadores con indicación de país, función y base legal. Las transferencias a países sin decisión de adecuación (principalmente EE. UU.) se amparan en:
- Cláusulas Contractuales Tipo (SCC) UE 2021/914 firmadas con cada subprocesador estadounidense.
- EU-US Data Privacy Framework (DPF) cuando el subprocesador esté certificado.
- Decisión de adecuación para Canadá (Cohere) y EEE/UE (Hetzner, Stripe Ireland, Meta Ireland).
5. Plazos de conservación
Los plazos específicos figuran en la tabla del apartado 2. Tras su vencimiento o, en su caso, ejercicio del derecho de supresión, los datos se eliminan o se bloquean conforme al art. 32 LOPDGDD.
6. Derechos del interesado
Acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones automatizadas. Para ejercitarlos:
- Email: legal@vexakon.com (asunto: Derecho ARCO/RGPD).
- Plazo de respuesta: 1 mes (prorrogable a 2 con aviso).
- Reclamación ante la Agencia Española de Protección de Datos: aepd.es.
7. Seguridad
Aplicamos medidas técnicas y organizativas conformes al art. 32 RGPD: cifrado en tránsito (TLS 1.3 + HSTS), cifrado de backups (age), segregación por cliente (DB y tenants separados), control de acceso basado en 2FA, rotación trimestral de credenciales, registro de actividades del tratamiento (RAT) y auditorías periódicas. Para reportar vulnerabilidades: /legal/responsible-disclosure.
8. Procedencia de los datos
Los datos los aporta el propio interesado a través del formulario, del chatbot o de la suscripción a newsletter. Para clientes B2B, los datos proceden de la negociación pre-contractual y del onboarding. No adquirimos bases de datos de terceros para captación.
9. Cambios en esta política
Cualquier modificación material se publica aquí con la fecha actualizada al inicio. Para clientes activos se notifica adicionalmente por email contractual con 30 días de antelación.
Disclaimer · REQUIERE REVISIÓN ABOGADO TECH
Este texto refleja las prácticas actuales de Vexakon y se ha redactado con criterios profesionales, pero NO sustituye una revisión por abogado especialista en RGPD + EU AI Act + transferencias internacionales (Passas contratado 2026-05-01 · entregables ≤2 sem).