Política de privacidad
Última actualización: marzo de 2026
Normativa aplicable: Reglamento (UE) 2016/679 (RGPD) · Ley Orgánica 3/2018 (LOPDGDD) · Ley 34/2002 (LSSI-CE)
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos en heredia.life es heredIA ([RAZÓN SOCIAL S.L.], pendiente de constitución), con domicilio en [DOMICILIO], correo electrónico de contacto para asuntos de privacidad: hola@heredia.life.
2. Categorías de personas cuyos datos tratamos
heredIA trata datos de distintas categorías de personas, con finalidades y bases jurídicas diferentes:
A) El titular de la cuenta
Es el usuario que se registra y crea una cuenta en heredIA. Es la persona cuyos datos tratamos de forma primaria y con quien existe la relación contractual.
B) El Guardián
Es la persona de confianza designada por el titular para coordinar el acceso al legado cuando el protocolo se activa. El Guardián no crea una cuenta en heredIA; sus datos (nombre, email, teléfono) son proporcionados por el titular. Conforme al artículo 14 del RGPD, el Guardián es informado de este tratamiento mediante email automático en el momento de su designación.
C) Los Destinatarios
Son las personas para quienes el titular prepara contenido específico (cartas, instrucciones, acceso al inventario). Sus datos (nombre, email) son proporcionados por el titular. Son informados conforme al artículo 14 del RGPD cuando el protocolo se activa y reciben el contenido que el titular les ha preparado.
D) Los Portadores de la Caja Fuerte (plan + Caja Fuerte)
Son las dos personas designadas por el titular para custodiar cada una un fragmento de la llave criptográfica de la Caja Fuerte Digital (sistema Shamir's Secret Sharing). Sus datos (nombre, email, teléfono, palabras de acceso) son proporcionados por el titular. Conforme al artículo 14 del RGPD, son informados mediante email automático en el momento de su designación.
E) Personas fallecidas
En el módulo de heredIA Herencia y en el proceso de activación del protocolo, se tratan datos relativos a la persona fallecida, incluido el certificado de defunción. Los datos de personas fallecidas no están sujetos al RGPD (artículo 1.2), aunque heredIA los trata con las mismas garantías de seguridad aplicadas al resto de datos. El certificado de defunción, en cuanto puede contener datos de salud o causa de muerte, puede constituir dato de categoría especial bajo el artículo 9 del RGPD respecto de la persona fallecida; su tratamiento se fundamenta en el interés legítimo de gestionar el protocolo de herencia y se limita al mínimo necesario.
3. Datos que tratamos y finalidades
| Categoría de dato | Finalidad | Base jurídica |
|---|---|---|
| Email y contraseña del titular | Crear y gestionar la cuenta de acceso | Ejecución del contrato (art. 6.1.b RGPD) |
| Nombre del titular | Personalizar la experiencia del usuario | Ejecución del contrato |
| Datos patrimoniales introducidos (activos, deudas, instrucciones) | Prestación del servicio de organización del legado | Ejecución del contrato |
| Datos de Guardianes (nombre, email, teléfono) | Designación, notificación y coordinación del protocolo | Interés legítimo del titular (art. 6.1.f) + art. 14 RGPD para el Guardián |
| Datos de Destinatarios (nombre, email) | Entrega de cartas e instrucciones al activarse el protocolo | Interés legítimo del titular + art. 14 RGPD para el Destinatario |
| Datos de Portadores de la Caja Fuerte (nombre, email, teléfono, palabras de acceso) | Custodia del fragmento de llave criptográfica y reenvío al activarse el protocolo | Ejecución del contrato con el titular + art. 14 RGPD para el Portador |
| Solicitud de acceso del Guardián | Verificar la identidad del Guardián y conceder acceso según protocolo configurado por el titular | Ejecución del contrato + consentimiento del Guardián al solicitar acceso |
| Datos de pago (referencia de transacción Stripe — no datos de tarjeta) | Gestión de cobros y facturación | Ejecución del contrato + obligación legal fiscal |
| Archivos de Memoria Viva (fotos, audios, vídeos, documentos) | Almacenamiento del legado personal del titular | Ejecución del contrato |
| Datos de uso de la aplicación (logs, sesiones) | Seguridad, prevención de fraude y mejora del servicio | Interés legítimo (art. 6.1.f RGPD) |
4. Cifrado y lo que heredIA puede y no puede ver
heredIA aplica un modelo de seguridad por capas:
- —Datos no cifrados de forma opaca: nombre de activos, instrucciones generales no marcadas como privadas, cartas cuyo contenido cifrado almacenamos para su entrega posterior. heredIA puede técnicamente acceder a estos datos, aunque no lo hace con fines comerciales ni los comparte.
- —Datos cifrados en el dispositivo del usuario (zero-knowledge): los activos marcados como privados y el contenido de la Caja Fuerte Digital se cifran en el dispositivo del usuario con AES-256-GCM antes de transmitirse a los servidores de heredIA. heredIA almacena el texto cifrado pero no tiene la clave y no puede leer su contenido bajo ninguna circunstancia.
- —Palabras de acceso de los Portadores: se almacenan cifradas en el servidor con una clave de cifrado propia de heredIA (VAULT_SERVER_KEY). heredIA puede técnicamente recuperarlas para reenviarlas a los Portadores cuando el protocolo se activa — ese es precisamente su propósito.
- —Datos en tránsito: todos los datos se transmiten mediante TLS 1.2 o superior. Los datos en reposo se almacenan con AES-256.
5. Tratamiento de datos por la IA generativa
heredIA integra modelos de inteligencia artificial de Anthropic (Claude) para el asistente de organización de patrimonio, instrucciones, cartas y Tramitación de herencias.
Los mensajes que el usuario envía al asistente de IA son transmitidos a los servidores de Anthropic para generar las respuestas. Este tratamiento se realiza bajo las siguientes garantías:
- —Anthropic actúa como encargado del tratamiento de heredIA conforme al artículo 28 del RGPD, vinculado por las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea para transferencias a países terceros.
- —Anthropic se compromete contractualmente a no usar los datos de heredIA para entrenar sus modelos.
- —El usuario debe evitar introducir en el asistente datos altamente sensibles (contraseñas, números de cuentas bancarias completos, etc.) que no sean necesarios para la consulta.
Las respuestas del asistente de IA son orientativas. No constituyen asesoramiento profesional. Verifique siempre la información relevante con un especialista.
6. Transferencias internacionales
| Proveedor | País | Datos transferidos | Garantías |
|---|---|---|---|
| Supabase (base de datos) | Irlanda, UE | Todos los datos de usuario | RGPD compliant — territorio UE |
| Stripe (pagos) | Irlanda, UE | Referencia de transacción, email del comprador | RGPD compliant — territorio UE |
| Anthropic (IA) | EE.UU. | Mensajes del asistente de IA | Cláusulas Contractuales Tipo (SCC) — art. 46 RGPD |
| Resend (emails transaccionales) | EE.UU. | Email del destinatario, contenido del email | Cláusulas Contractuales Tipo (SCC) — art. 46 RGPD |
| Vercel (infraestructura web) | EE.UU. / UE | Datos de navegación y solicitudes HTTP | Cláusulas Contractuales Tipo (SCC) — art. 46 RGPD |
En ningún caso se transfieren datos a países sin nivel adecuado de protección sin las garantías exigidas por el artículo 46 del RGPD.
7. Periodos de conservación
| Tipo de dato | Periodo de conservación |
|---|---|
| Datos de cuenta (email, nombre) | Mientras la cuenta esté activa + 30 días tras eliminación |
| Datos del inventario patrimonial | Mientras la cuenta esté activa + 30 días |
| Cartas e instrucciones | Mientras la cuenta esté activa + 30 días |
| Archivos de Memoria Viva | Mientras la cuenta esté activa + 30 días |
| Datos de Guardianes y Destinatarios | Mientras el titular mantenga la cuenta + 30 días tras eliminación |
| Datos de Portadores de la Caja Fuerte | Mientras la Caja Fuerte esté activa + 30 días |
| Certificados de defunción | 90 días desde la resolución del caso (aprobación o rechazo del protocolo) |
| Datos de pago (referencia de transacción) | 5 años por obligación legal fiscal (art. 30 Código de Comercio) |
| Registros de actividad (logs de seguridad) | 12 meses |
| Emails de contacto y soporte | 2 años desde la última comunicación |
8. Derechos del titular de la cuenta
El usuario tiene los siguientes derechos sobre sus datos personales:
- —Acceso: conocer qué datos tratamos sobre usted.
- —Rectificación: corregir datos inexactos o incompletos.
- —Supresión: solicitar la eliminación de sus datos cuando ya no sean necesarios o retire su consentimiento.
- —Portabilidad: recibir sus datos en formato estructurado y de uso común.
- —Oposición: oponerse al tratamiento basado en interés legítimo.
- —Limitación: solicitar que limitemos el tratamiento en determinadas circunstancias.
Para ejercer cualquiera de estos derechos, escríbanos a hola@heredia.life con el asunto "Ejercicio de derechos RGPD" e indique el derecho que desea ejercer. Responderemos en el plazo máximo de 30 días.
También puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si considera que el tratamiento de sus datos vulnera el RGPD.
9. Derechos de Guardianes, Destinatarios y Portadores (artículo 14 RGPD)
El artículo 14 del RGPD establece el derecho a la información cuando los datos personales no han sido recabados directamente del interesado. heredIA aplica este artículo de la siguiente forma:
- —El Guardián recibe un email automático en el momento de su designación que le informa de que el titular de la cuenta le ha designado como Guardián, de los datos que heredIA trata sobre él, de la finalidad de ese tratamiento y de sus derechos.
- —Los Portadores de la Caja Fuerte reciben un email automático en el momento de su designación que les informa de su rol, de los datos tratados y de sus derechos.
- —Los Destinatarios son informados de forma análoga cuando el protocolo se activa y reciben el contenido que el titular les ha preparado.
El Guardián, los Portadores o cualquier Destinatario pueden ejercer sus derechos RGPD (incluyendo la supresión de sus datos de nuestros sistemas) escribiendo a hola@heredia.life.
Nota: si un Portador solicita la eliminación de sus datos antes de que el protocolo se active, el titular será notificado de que su Caja Fuerte quedará sin ese Portador, lo que puede afectar a la capacidad de abrir la Caja Fuerte.
10. Seguridad
heredIA implementa las medidas técnicas y organizativas exigidas por el artículo 32 del RGPD para garantizar un nivel de seguridad adecuado al riesgo:
- —Cifrado en tránsito: TLS 1.2 o superior en todas las comunicaciones.
- —Cifrado en reposo: AES-256 para todos los datos almacenados.
- —Cifrado zero-knowledge en el dispositivo del usuario para contenidos marcados como privados y la Caja Fuerte.
- —Autenticación segura mediante Supabase Auth.
- —Servidores ubicados en la Unión Europea (Supabase Irlanda, Vercel Frankfurt).
- —Control de acceso por roles: cada usuario solo puede acceder a sus propios datos.
- —Copias de seguridad periódicas con retención configurada.
En caso de brecha de seguridad que afecte a sus derechos y libertades, heredIA lo notificará a la AEPD en el plazo de 72 horas y a los afectados cuando el riesgo sea elevado, conforme al artículo 33 del RGPD.
11. Cookies
heredIA utiliza exclusivamente cookies técnicas y esenciales para el funcionamiento del servicio. No utilizamos cookies de publicidad ni de seguimiento de terceros. Puede consultar los detalles en nuestra Política de cookies.
12. Cambios en esta política
heredIA puede modificar esta política de privacidad para adaptarla a cambios legislativos o del servicio. Las modificaciones sustanciales serán comunicadas por email a los usuarios con al menos 15 días de antelación. La versión vigente siempre estará disponible en esta página con la fecha de última actualización.