Politica de Privacidad
Ultima actualizacion: 21 de mayo de 2026 · Version 2026-05-21
La presente Politica de Privacidad describe como exCausis Software S.L. (en adelante, "exCausis", "nosotros" o el "Responsable") recopila, utiliza, almacena y protege los datos personales de los usuarios de la plataforma exCausis, de conformidad con el Reglamento (UE) 2016/679 General de Proteccion de Datos ("RGPD") y la Ley Organica 3/2018 de Proteccion de Datos Personales y garantia de los derechos digitales ("LOPDGDD").
1. Responsable del Tratamiento
| Dato | Detalle |
|---|---|
| Responsable | exCausis Software S.L. |
| Domicilio | Espana |
| Email de contacto | privacidad@excausis.com |
| Delegado de Proteccion de Datos | dpd@excausis.com |
2. Datos que Recopilamos
2.1. Datos de los usuarios del Servicio
Cuando un usuario se registra o utiliza exCausis, recopilamos:
- Datos de identificacion: nombre, apellidos, direccion de correo electronico.
- Datos de autenticacion: credenciales de acceso gestionadas a traves de Firebase Authentication (Google).
- Datos profesionales: rol dentro del despacho (administrador, abogado, auxiliar), permisos asignados.
- Datos de uso: registros de actividad, accesos, y uso de funcionalidades del Servicio.
- Datos del dispositivo: tipo de navegador, sistema operativo, direccion IP, tokens de notificaciones push.
2.2. Datos de terceros introducidos por el usuario
Los usuarios del Servicio (despachos de abogados) introducen datos personales de sus clientes y terceros en el ejercicio de su actividad profesional:
- Datos de clientes del despacho: nombre, apellidos, DNI/NIF, fecha de nacimiento, domicilio, telefono, email, notas.
- Datos de expedientes: datos del procedimiento judicial, contraparte, juzgado, abogados intervinientes.
- Documentacion: archivos subidos al Servicio (escritos, demandas, resoluciones, etc.).
- Datos de facturacion: NIF, razon social, domicilio fiscal del emisor y destinatario.
- Correos electronicos: contenido de emails sincronizados mediante IMAP.
Respecto a estos datos, el despacho de abogados actua como Responsable del Tratamiento y exCausis actua como Encargado del Tratamiento, procesandolos exclusivamente por cuenta y siguiendo las instrucciones del despacho.
3. Finalidades del Tratamiento
| Finalidad | Base Legal | Conservacion |
|---|---|---|
| Prestacion del Servicio contratado | Ejecucion del contrato (art. 6.1.b RGPD) | Vigencia del contrato + 30 dias |
| Gestion de la cuenta de usuario | Ejecucion del contrato (art. 6.1.b RGPD) | Vigencia de la cuenta |
| Facturacion y cobro del Servicio | Obligacion legal (art. 6.1.c RGPD) | 5 anos (legislacion fiscal) |
| Envio de notificaciones del Servicio | Interes legitimo (art. 6.1.f RGPD) | Vigencia de la cuenta |
| Procesamiento IA de documentos | Consentimiento explicito (art. 6.1.a RGPD) | Duracion del procesamiento |
| Cumplimiento normativo VeriFactu | Obligacion legal (art. 6.1.c RGPD) | Plazos legales aplicables |
| Mejora del Servicio y analisis de uso | Interes legitimo (art. 6.1.f RGPD) | Datos anonimizados: indefinido |
4. Comunicacion de Datos a Terceros
exCausis no vende, alquila ni comparte datos personales con terceros para fines comerciales. Los datos pueden ser comunicados a:
4.1. Proveedores de infraestructura (Encargados del Tratamiento)
| Proveedor | Servicio | Ubicacion | Garantias |
|---|---|---|---|
| Google Cloud Platform / Firebase | Alojamiento, base de datos, autenticacion, almacenamiento | UE (europe-west1) | Clausulas contractuales tipo |
| Google Gemini API | Procesamiento IA de documentos (solo cuando el usuario lo solicita) | UE/EE.UU. | DPA de Google Cloud |
4.2. Autoridades publicas
Los datos podran ser comunicados a la Agencia Estatal de Administracion Tributaria (AEAT) en cumplimiento de la normativa VERI*FACTU, y a otras autoridades cuando exista obligacion legal.
5. Transferencias Internacionales
Los datos se almacenan en servidores de Google Cloud Platform ubicados en la Union Europea (region europe-west1, Belgica). En caso de que sea necesaria alguna transferencia fuera del Espacio Economico Europeo (por ejemplo, para el procesamiento IA), se realizara bajo las garantias adecuadas previstas en el RGPD:
- Clausulas contractuales tipo aprobadas por la Comision Europea.
- Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework), cuando sea aplicable.
6. Seguridad de los Datos
exCausis implementa medidas tecnicas y organizativas apropiadas para garantizar la seguridad de los datos personales (RGPD art. 32, LOPDGDD, esquema de medidas alineado con el Esquema Nacional de Seguridad - Categoria Alta para datos de naturaleza juridica):
- Cifrado en transito: todas las comunicaciones HTTPS/TLS 1.2+ con cabeceras HSTS, X-Frame-Options DENY, CSP estricta y Permissions-Policy restrictiva.
- Cifrado en reposo: los datos almacenados en Cloud Firestore, Cloud Storage y Cloud Functions se cifran automaticamente por Google Cloud (AES-256). Los tokens de acceso a buzones de correo (OAuth2 / IMAP) se cifran adicionalmente con Cloud KMS antes de persistirse.
- Aislamiento multitenant: los datos de cada despacho estan separados por reglas de seguridad de Firestore y Cloud Storage que cruzan el
tenantIddel usuario contra el del recurso en cada lectura y escritura. - Control de acceso por rol: los expedientes y clientes solo son accesibles para los miembros del despacho explicitamente asignados o con rol de administracion (principio de minimo privilegio - "need to know").
- Autenticacion segura: Firebase Authentication con politica de contrasenas reforzada (minimo 12 caracteres y tres clases de caracteres), bloqueo automatico de credenciales expuestas en filtraciones publicas y autenticacion multifactor (TOTP) obligatoria para administradores.
- Proteccion frente a abuso: Firebase App Check (reCAPTCHA Enterprise) bloquea trafico que no proviene de la aplicacion oficial. Cloud Armor / WAF filtra patrones de ataque conocidos.
- Registro de actividad: todas las operaciones sensibles (acceso a expedientes, exportacion de datos, modificacion de configuracion, envio de consentimientos) quedan registradas en un log inmutable con encadenamiento SHA-256, conservado al menos 5 anos.
- Encadenamiento criptografico: las facturas electronicas (VeriFactu) utilizan SHA-256 para garantizar la integridad e inmutabilidad de los registros.
- Acelerador local: el modulo opcional de cache LAN se enlaza a una IP privada del despacho (no expuesta a internet), exige certificado TLS y rechaza tokens de otros despachos.
7. Derechos de los Interesados
De conformidad con el RGPD, usted tiene derecho a:
- Acceso: obtener confirmacion de si se tratan sus datos y acceder a los mismos.
- Rectificacion: solicitar la correccion de datos inexactos o incompletos.
- Supresion: solicitar la eliminacion de sus datos cuando ya no sean necesarios para los fines para los que fueron recogidos.
- Limitacion: solicitar la limitacion del tratamiento en determinadas circunstancias.
- Portabilidad: recibir sus datos en un formato estructurado, de uso comun y lectura mecanica (exportacion ZIP + XML).
- Oposicion: oponerse al tratamiento de sus datos en determinadas circunstancias.
- Revocacion del consentimiento: retirar su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior.
Para ejercer estos derechos, contacte con nosotros en privacidad@excausis.com. Responderemos en un plazo maximo de un mes desde la recepcion de la solicitud.
Asimismo, tiene derecho a presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD) en www.aepd.es.
8. Uso de Cookies y Tecnologias Similares
exCausis utiliza las siguientes tecnologias:
- Cookies de sesion: necesarias para mantener la sesion del usuario autenticado.
- Almacenamiento local (localStorage): para preferencias de la interfaz y datos de configuracion del usuario.
- Firebase App Check: para proteger el Servicio frente a accesos automatizados no autorizados.
No utilizamos cookies de terceros con fines publicitarios o de seguimiento.
9. Procesamiento mediante Inteligencia Artificial
Cuando el usuario solicita el procesamiento de documentos mediante IA:
- Proveedor unico: el unico proveedor habilitado es Google Gemini, cuyo tratamiento de datos esta cubierto por el Data Processing Amendment de Google Cloud y las Standard Contractual Clauses aprobadas por la Comision Europea (RGPD art. 44-46). Cualquier otro proveedor de IA (incluidos modelos chinos) esta tecnicamente bloqueado a nivel de backend.
- Bajo demanda explicita: el procesamiento solo se ejecuta cuando el usuario lo solicita expresamente desde la interfaz (analisis de contrato, generacion de escrito, transcripcion de audio).
- Sin reentrenamiento: Google no utiliza los datos enviados a traves de la Gemini API para entrenar sus modelos (conforme a los terminos de servicio de Google Cloud para clientes empresariales).
- Minimizacion: los resultados del procesamiento (resumenes, nombres sugeridos) se almacenan unicamente en el entorno del despacho del usuario. Los archivos temporales subidos al asistente se eliminan automaticamente.
- Opt-out: el usuario puede optar por no utilizar las funcionalidades de IA sin que ello afecte al resto del Servicio.
10. Conservacion de los Datos
Los datos personales se conservaran durante el tiempo necesario para cumplir con las finalidades descritas en esta Politica:
- Datos de cuenta: mientras la cuenta este activa, mas 30 dias tras la cancelacion para permitir la exportacion.
- Datos fiscales y de facturacion: conforme a los plazos establecidos por la legislacion fiscal espanola (minimo 5 anos).
- Registros VeriFactu: conforme a los plazos de la normativa aplicable.
- Datos de uso anonimizados: pueden conservarse de forma indefinida para fines estadisticos.
Transcurridos los plazos aplicables, los datos seran eliminados de forma segura o anonimizados de forma irreversible.
11. Menores de Edad
El Servicio esta dirigido exclusivamente a profesionales del derecho y no esta destinado a menores de 18 anos. No recopilamos conscientemente datos de menores. Si tiene conocimiento de que un menor ha proporcionado datos personales, contacte con nosotros para proceder a su eliminacion.
12. Modificaciones de la Politica
exCausis se reserva el derecho de modificar la presente Politica de Privacidad. Cualquier cambio sustancial sera notificado a los usuarios a traves del Servicio o por correo electronico con un preaviso razonable. La fecha de ultima actualizacion se indicara en la parte superior del documento.
13. Contacto
Para cualquier cuestion relacionada con la proteccion de datos personales:
- Email de Privacidad: privacidad@excausis.com
- Delegado de Proteccion de Datos: dpd@excausis.com
- Web: www.excausis.com