Política de privacidad
Información sobre el tratamiento de sus datos personales en el servicio Avantwerk Legal AI. Obligación de información conforme a los arts. 13 y 14 del Reglamento (UE) 2016/679 (RGPD) y a los arts. 11 y 12 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. ¿Quién es el responsable del tratamiento?
El responsable del tratamiento de los datos personales vinculados al servicio Avantwerk Legal AI es:
Bennovate spółka z ograniczoną odpowiedzialnością (sociedad de responsabilidad limitada de derecho polaco)
ul. Christiana Andersena 25, 94-118 Łódź, Polonia
KRS: 0000597272 · NIP: 7272799328 · REGON: 363700466
Inscrita en el Registro Mercantil del Tribunal de Distrito de Łódź-Śródmieście, XX División Comercial del Registro Nacional de Tribunales (KRS)
Opera en el mercado español bajo la denominación comercial Avantwerk Legal AI a través del sitio abogado.avantwerk.es.
Correo electrónico de contacto general: legal@avantwerk.com
(en adelante, el «Responsable»)
2. Delegado de Protección de Datos (DPD)
El Responsable ha designado un Delegado de Protección de Datos, al que puede dirigirse para cualquier cuestión relativa al tratamiento de sus datos personales o al ejercicio de sus derechos:
Correo electrónico: dpo@avantwerk.com
El contacto con el DPD no es un requisito previo para ejercer sus derechos. Las solicitudes de ejercicio de derechos pueden dirigirse directamente al procedimiento descrito en el apartado 11.
3. ¿A quién se aplica esta política?
La presente política de privacidad, facilitada en cumplimiento del art. 13 RGPD (información recabada directamente del interesado) y del art. 14 RGPD (información cuando los datos no se obtienen directamente del interesado), se aplica a los datos personales de:
- Contactos del despacho — personas físicas que registran una cuenta de prueba, contratan el servicio o figuran como contactos de facturación o técnicos del despacho suscriptor;
- Letrados y abogados usuarios — personas físicas del despacho suscriptor que utilizan el servicio en virtud de una licencia de puesto;
- Personas interesadas — personas físicas que se dirigen a nosotros a través del sitio web, correo electrónico o teléfono con consultas sobre el servicio; y
- Destinatarios de comunicaciones comerciales — personas físicas que reciben de nosotros comunicaciones sobre el servicio.
Lo que esta política no abarca. El tratamiento de los datos de clientes del despacho y del contenido de los expedientes que realice el despacho suscriptor en el ejercicio de su actividad jurídica es responsabilidad exclusiva de dicho despacho como responsable del tratamiento. El contenido de los expedientes permanece en el dispositivo y el almacenamiento local del despacho (arquitectura local-first). El Responsable no es ni responsable ni encargado del tratamiento del contenido de los expedientes ni de los datos de los clientes finales del despacho suscriptor.
4. ¿Qué datos personales tratamos?
Tratamos únicamente los datos personales necesarios para prestar el servicio y cumplir nuestras obligaciones legales y contractuales. No tratamos el contenido de los expedientes (véase apartado 10).
| Categoría | Ejemplos | Fuente |
|---|---|---|
| Identidad de la cuenta | Nombre y apellidos, título profesional, número de colegiado, nombre del despacho | Facilitados por usted en el alta |
| Datos de contacto | Correo electrónico profesional, teléfono, dirección postal | Facilitados por usted en el alta o en correspondencia |
| Datos de facturación | Nombre del contacto de facturación, dirección de facturación, registros de confirmación de pago (los datos de la tarjeta son tratados por nuestro procesador de pagos) | Facilitados en la suscripción |
| Datos de uso del servicio | Marcas de tiempo de inicio de sesión, interacciones con funcionalidades, eventos del registro de auditoría | Generados automáticamente |
| Datos técnicos | Dirección IP, navegador, dispositivo, sistema operativo | Generados automáticamente |
| Comunicaciones | Correos electrónicos, tickets de soporte, correspondencia | Facilitados por usted |
| Preferencias de comunicación | Estado de consentimiento u oposición a comunicaciones comerciales | Facilitados por usted |
No tratamos categorías especiales de datos (art. 9 RGPD) en el marco del servicio, salvo que usted los divulgue voluntariamente en un mensaje de soporte, en cuyo caso los tratamos únicamente en la medida necesaria para atender su consulta.
5. ¿Con qué finalidad y en qué base jurídica tratamos sus datos?
5.1 Ejecución de un contrato — art. 6.1.b RGPD
Tratamos los datos de identidad de la cuenta, los datos de contacto, los datos de facturación y los datos de uso del servicio para: (a) dar de alta y gestionar su cuenta; (b) facilitar el acceso al servicio en virtud de la suscripción; (c) emitir facturas y cobrar el precio; (d) prestar soporte al cliente.
Conservación: Duración de la suscripción más 6 años (art. 1964 CC en relación con los plazos de prescripción de acciones personales; obligaciones contables y fiscales según la normativa española y polaca aplicable).
5.2 Cumplimiento de una obligación legal — art. 6.1.c RGPD
Tratamos los datos de facturación, los registros de transacciones y determinados registros de seguridad para cumplir: (a) las obligaciones contables y fiscales aplicables (normativa española y polaca); (b) las obligaciones derivadas de la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo.
Conservación: Registros contables y fiscales — 6 años a partir del cierre del ejercicio al que correspondan. Registros de seguridad — 90 días de forma ordinaria; más tiempo si están relacionados con un incidente confirmado.
5.3 Interés legítimo — art. 6.1.f RGPD
Tratamos los datos técnicos (direcciones IP, información del navegador) y los datos de uso del servicio sobre la base de nuestros intereses legítimos: (a) mantener la seguridad, integridad y disponibilidad del servicio; (b) detectar y prevenir fraudes y accesos no autorizados; (c) mejorar el servicio mediante análisis de uso agregado y anonimizado. Hemos llevado a cabo la ponderación de intereses exigida por el art. 6.1.f RGPD.
Conservación: Datos técnicos — 90 días, salvo que se conserven más tiempo por investigación activa de seguridad.
5.4 Consentimiento — art. 6.1.a RGPD
Cuando usted haya prestado su consentimiento, tratamos: (a) su dirección de correo electrónico para el envío de comunicaciones comerciales (con respeto del régimen de la LSSI-CE para comunicaciones electrónicas comerciales); (b) cualquier dato personal adicional que facilite voluntariamente en encuestas o formularios de opinión.
El consentimiento puede retirarse en cualquier momento mediante el enlace de baja o escribiendo a dpo@avantwerk.com, sin que ello afecte a la licitud del tratamiento anterior.
Conservación de los registros de consentimiento: 3 años desde el consentimiento o su retirada.
6. Cookies y tecnologías de rastreo
Nuestro uso de cookies y tecnologías similares se rige por el art. 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE) y por el art. 6.1 RGPD. Los detalles completos figuran en nuestra Política de cookies. Las cookies estrictamente necesarias no requieren consentimiento. El resto requiere consentimiento previo, libre, específico e informado.
7. ¿Quién tiene acceso a sus datos?
Solo compartimos datos personales cuando es necesario y sobre una base jurídica adecuada. Las transferencias a terceros están sujetas a contratos de encargo del tratamiento conforme al art. 28 RGPD.
| Destinatario | Función | País | Mecanismo de transferencia |
|---|---|---|---|
| Hetzner Online GmbH | Alojamiento VPS (aplicación web) | Alemania (UE/EEE) | Dentro del EEE — no es transferencia internacional (art. 44 ss. RGPD no aplicable) |
| Nuestro proveedor de CRM | Gestión de la relación con el cliente | EE. UU. | Cláusulas contractuales tipo (CCT) de la Comisión Europea (Decisión 2021/914/UE) |
| Nuestro procesador de pagos | Cobro de suscripciones | EE. UU. | Cláusulas contractuales tipo (CCT) |
| Nuestro proveedor de correo electrónico transaccional | Notificaciones de cuenta y facturas | EE. UU. | Cláusulas contractuales tipo (CCT) |
| Plataforma de firma electrónica (autoalojada) | Hojas de encargo y contratos de encargo en el alta | Alemania (nuestro VPS) | No es transferencia a tercero |
| Prezes UODO | Autoridad de control principal (Polonia) | Polonia (UE) | No aplica (tratamiento interno en UE) |
| AEPD | Autoridad de control para interesados en España (ventanilla — art. 56 RGPD) | España (UE) | No aplica |
Asimismo, podemos revelar datos personales a: tribunales, organismos reguladores y fuerzas y cuerpos de seguridad cuando así lo exija la ley; y a asesores jurídicos sujetos a deberes de confidencialidad.
Nota sobre el proveedor de IA. El Responsable no recibe, transmite ni trata el contenido de los expedientes del despacho. Cuando el despacho activa la funcionalidad de clave propia (BYOK) y envía extractos del expediente a su proveedor de IA elegido, ese tratamiento tiene lugar en el marco de la relación directa del despacho con dicho proveedor. El proveedor de IA es encargado del tratamiento del propio despacho — no subencargado de Bennovate. Véase el Anexo IA-BYOK al final de esta política.
8. Transferencias internacionales de datos
Cuando transferimos datos personales fuera del Espacio Económico Europeo, lo hacemos bajo uno de los mecanismos reconocidos en el Capítulo V RGPD:
- Dentro del EEE — el alojamiento en Alemania (Hetzner) no constituye transferencia internacional;
- Cláusulas contractuales tipo (CCT) — aprobadas por Decisión de la Comisión Europea 2021/914/UE (módulos correspondientes), utilizadas para las transferencias a prestadores de servicios en EE. UU.;
- Evaluación de impacto de la transferencia (TIA) — realizada de conformidad con las directrices del CEPD para garantizar que las CCT ofrecen protección efectiva en el país de destino.
Aviso Cloud Act. Para los prestadores de servicios en la nube establecidos en EE. UU., el Responsable ha evaluado el riesgo derivado de la Ley CLOUD estadounidense. El alojamiento principal del servicio (datos de cuenta) está en la UE (Hetzner, Alemania). El contenido de los expedientes nunca llega a los servidores del Responsable y, por tanto, no está expuesto a dicho riesgo. Los encargados en EE. UU. (CRM, correo electrónico transaccional) no tienen acceso al contenido de los expedientes.
9. Plazos de conservación — tabla resumen
| Categoría | Plazo de conservación | Base jurídica |
|---|---|---|
| Datos de cuenta y contractuales | Duración de la suscripción + 6 años | Art. 1964 CC; art. 6.1.b y c RGPD |
| Registros de facturación y contables | 6 años desde el cierre del ejercicio correspondiente | Obligaciones fiscales y mercantiles; art. 6.1.c RGPD |
| Registros de seguridad (ordinarios) | 90 días | Interés legítimo; art. 6.1.f RGPD |
| Registros de seguridad (incidentes) | Hasta el cierre del incidente + período de prescripción | Interés legítimo; art. 6.1.f RGPD |
| Registros de consentimiento | 3 años desde el consentimiento o su retirada | Responsabilidad proactiva; art. 5.2 RGPD |
| Datos de prueba (no convertida) | 30 días desde el vencimiento de la prueba | Art. 6.1.b RGPD |
10. Arquitectura local-first — lo que no conservamos
El servicio está diseñado para que el contenido de los expedientes (archivos del cliente, documentos privilegiados, correspondencia, escritos procesales y cualquier otro producto del trabajo jurídico) permanezca en el dispositivo y el almacenamiento del despacho. El contenido de los expedientes no transita por los servidores de Bennovate. Por tanto:
- el Responsable no es ni responsable ni encargado del tratamiento del contenido de los expedientes;
- el contrato de encargo del tratamiento no abarca el contenido de los expedientes porque el Responsable nunca lo tiene en su poder;
- el despacho suscriptor conserva como responsable del tratamiento los datos personales que pudiera contener el expediente, sujeto a sus propias obligaciones profesionales y en materia de protección de datos; y
- la pérdida o el acceso no autorizado al contenido de los expedientes queda fuera de la responsabilidad del Responsable en materia de protección de datos — el despacho es responsable de la seguridad en su propio dispositivo y almacenamiento.
Esta es una medida estructural de privacidad desde el diseño en cumplimiento del art. 25 RGPD.
11. Sus derechos como interesado
En virtud del Capítulo III RGPD y de la LOPDGDD, usted tiene los siguientes derechos:
| Derecho | Base normativa | En qué consiste |
|---|---|---|
| Acceso | Art. 15 RGPD | Solicitar una copia de sus datos personales. Respuesta en el plazo de un mes. |
| Rectificación | Art. 16 RGPD | Corregir datos personales inexactos. |
| Supresión («derecho al olvido») | Art. 17 RGPD | Suprimir sus datos cuando no exista base jurídica para su tratamiento continuado (sujeto a los plazos de conservación legales). |
| Limitación del tratamiento | Art. 18 RGPD | Limitar el tratamiento en determinadas circunstancias. |
| Portabilidad | Art. 20 RGPD | Recibir sus datos en un formato estructurado, de uso común y lectura mecánica. |
| Oposición | Art. 21 RGPD | Oponerse al tratamiento basado en el interés legítimo. |
| Decisiones automatizadas | Art. 22 RGPD | No utilizamos toma de decisiones exclusivamente automatizada con efectos jurídicos. Los resultados de IA requieren siempre revisión humana (abogado en el bucle). |
| Retirada del consentimiento | Art. 7.3 RGPD | Retirar el consentimiento en cualquier momento; no afecta a la licitud del tratamiento anterior. |
Cómo ejercer sus derechos: Dirija una solicitud escrita a dpo@avantwerk.com. Responderemos en el plazo de un mes calendario (prorrogable por dos meses más en casos complejos, con notificación previa). Podemos necesitar verificar su identidad. La primera solicitud en un período de 12 meses es gratuita.
12. Reclamación ante la autoridad de control
Si considera que hemos tratado sus datos personales de forma contraria a la normativa, tiene derecho a presentar una reclamación ante la autoridad de control competente.
La autoridad de control principal del Responsable, por estar este establecido en Polonia (art. 56 RGPD), es:
Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Varsovia, Polonia
https://uodo.gov.pl
Sin perjuicio de lo anterior, los interesados que residan habitualmente en España pueden también presentar su reclamación ante la Agencia Española de Protección de Datos (AEPD), que actuará como ventanilla única conforme al art. 56 RGPD y al art. 37 LOPDGDD:
Agencia Española de Protección de Datos
C/ Jorge Juan, 6, 28001 Madrid
www.aepd.es · Sede electrónica: sedeagpd.gob.es
Antes de presentar cualquier reclamación, le animamos a que se ponga en contacto con nosotros en dpo@avantwerk.com, para intentar resolver la cuestión de forma directa.
13. Seguridad
Aplicamos medidas técnicas y organizativas adecuadas para proteger los datos personales de conformidad con el art. 32 RGPD:
- Cifrado TLS 1.2/1.3 en tránsito; HSTS preloading;
- Cifrado en reposo de las claves BYOK en IndexedDB del navegador;
- Controles de acceso en el servidor y registro de auditoría sobre los datos de cuenta;
- Protección contra fuerza bruta (fail2ban);
- Auditoría periódica de dependencias y análisis de vulnerabilidades.
14. Modificaciones de esta política
Podemos actualizar esta política de privacidad en cualquier momento. Los cambios materiales se notificarán a los usuarios registrados por correo electrónico con al menos 30 días de antelación a su entrada en vigor.
Anexo IA-BYOK — Arquitectura de clave propia
A.1 El modelo BYOK
Avantwerk Legal AI está construido sobre una arquitectura de «clave propia» (BYOK, del inglés Bring Your Own Key). Cuando el despacho activa el análisis asistido por IA, aporta su propia clave de API a un proveedor de IA de su elección. Esa clave se cifra en el navegador del despacho y nunca se transmite ni se almacena en los servidores de Bennovate. El consumo de tokens bajo la clave del despacho se factura directamente al despacho por su proveedor de IA elegido, con arreglo al contrato propio del despacho con dicho proveedor; Bennovate no interviene en esa facturación ni aplica ningún recargo.
A.2 ¿Quién trata el contenido del expediente cuando se activa la IA?
Cuando el despacho envía extractos del expediente a su proveedor de IA elegido:
- el despacho actúa como responsable del tratamiento de los datos personales contenidos en el envío;
- el proveedor de IA actúa como encargado del tratamiento del propio despacho, bajo el contrato propio del despacho con ese proveedor;
- Bennovate no es responsable ni encargado de ese envío — nunca lo recibimos;
- las obligaciones del despacho en virtud del RGPD respecto de ese tratamiento son de su exclusiva responsabilidad.
A.3 Pasarela de egreso
El servicio incorpora una pasarela técnica de egreso que anonimiza el contenido antes de que abandone el navegador del despacho. La completitud de esa anonimización depende del contenido del expediente. El despacho no debe basarse en la pasarela de egreso como sustituto de su propio criterio profesional.
A.4 Lista de comprobación del despacho antes de activar BYOK
Antes de activar la funcionalidad BYOK, el despacho deberá: (a) revisar las condiciones de tratamiento de datos del proveedor de IA elegido; (b) asegurarse de que existe un contrato de encargo del tratamiento por escrito con dicho proveedor (art. 28 RGPD); (c) valorar si el uso requiere una evaluación de impacto relativa a la protección de datos (EIPD) conforme al art. 35 RGPD; (d) considerar si la utilización requiere el consentimiento o la información de los clientes en cumplimiento de las obligaciones deontológicas del despacho (en particular, del deber de secreto profesional ex art. 542.3 LOPJ y art. 21 del Estatuto General de la Abogacía Española, RD 135/2021); y (e) evaluar las implicaciones de las posibles transferencias internacionales, incluida la exposición a legislación extranjera de acceso gubernamental a datos (Cloud Act).
A.5 El proveedor de IA no es subencargado de Bennovate
Dado que el contenido de los expedientes nunca transita por la infraestructura de Bennovate, el proveedor de IA del despacho no figura en el registro de subencargados de Bennovate. Esa relación es del despacho con su propio proveedor.
A.6 Resultados de IA y el modelo del abogado en el bucle
Todos los resultados generados por IA en el servicio son borradores que requieren revisión por el abogado o abogada colegiado/a antes de ser utilizados. El despacho no debe tratar ningún resultado generado por IA como análisis jurídico definitivo. Conforme a las recomendaciones del Consejo General de la Abogacía Española (CGAE) en materia de inteligencia artificial (Libro Blanco de la IA en la Abogacía, enero 2026), el papel decisorio corresponde en todo momento al profesional humano cualificado.