Contextual Docs Contextual Docs
Legal · RGPD / LOPDGDD

Política de privacidad

Cómo Contextual Studio trata tus datos personales y los documentos que subes a Contextual Docs. Cumplimiento del RGPD y de la LOPDGDD, datos alojados en la Unión Europea.

Última actualización: 14 de junio de 2026 En vigor desde: 1 de junio de 2026 Idioma original: español (es-ES)

01 Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

Razón social
Contextual Studio, S.L.U. (sociedad unipersonal; en adelante, «Contextual Studio»)
NIF
B27559384
Domicilio
Calle Playa de Benidorm 6, 28290 Las Rozas de Madrid, España
Correo de contacto
info@contextualstudio.com

Esta política aplica al sitio web contextualdocs.com, a la aplicación app.contextualdocs.com y a las APIs y servicios asociados (en conjunto, el «Servicio»).

02 Qué datos tratamos

Tratamos las categorías de datos que se describen a continuación. No recopilamos categorías especiales (datos sensibles) salvo que tú decidas incluirlos voluntariamente en los documentos que subes para procesar.

CategoríaDatosOrigen
CuentaNombre, correo electrónico, contraseña cifrada (hash), idioma, zona horaria.Facilitados por ti al registrarte.
Organización y equipo (planes con colaboración)Nombre del espacio de trabajo, miembros invitados, roles y permisos. Solo se generan en planes que incluyen colaboración entre miembros.Facilitados por ti o por el administrador del espacio.
FacturaciónRazón social, NIF/VAT, dirección fiscal, identificadores de pago. Los datos de tarjeta los procesa directamente nuestra pasarela de pagos; nosotros no los almacenamos.Facilitados por ti al contratar un plan.
Contenido (documentos)Archivos PDF, imágenes, hojas de cálculo y cualquier otro documento que subas, junto con los datos extraídos, esquemas, anotaciones y exportaciones generadas a partir de ellos.Subidos por ti o por integraciones autorizadas (Google Drive, OneDrive, Dropbox, correo entrante).
Metadatos de usoIdentificadores de ejecución, timestamps, modelos de IA invocados, número de páginas, tokens consumidos, costes calculados, trazas de pasos del workflow.Generados automáticamente por el Servicio.
Datos técnicosDirección IP (anonimizada en analítica), tipo de navegador, sistema operativo, identificadores de sesión, registros de seguridad y auditoría.Recogidos automáticamente al usar el Servicio.
ComunicacionesMensajes que nos envías por correo, formularios de contacto o chat de soporte.Facilitados por ti.

03 Finalidades y bases jurídicas

Tratamos tus datos para las siguientes finalidades, cada una con su correspondiente base jurídica conforme al artículo 6 del RGPD:

FinalidadBase jurídica
Crear y gestionar tu cuenta y, en planes con colaboración, tu espacio de trabajo y los miembros invitados.Ejecución del contrato (art. 6.1.b RGPD).
Procesar los documentos que subes (OCR, extracción y clasificación con IA, embeddings vectoriales, exportaciones).Ejecución del contrato (art. 6.1.b RGPD).
Facturar, cobrar y cumplir obligaciones contables y fiscales.Cumplimiento de obligación legal (art. 6.1.c RGPD).
Atender consultas, peticiones de soporte y reclamaciones.Ejecución del contrato e interés legítimo (art. 6.1.b y f RGPD).
Velar por la seguridad del Servicio: prevención de fraude, detección de abusos, registros de auditoría.Interés legítimo (art. 6.1.f RGPD).
Mejorar el Servicio mediante analítica web agregada y métricas de uso.Interés legítimo, con derecho de oposición (art. 6.1.f RGPD).
Enviar comunicaciones comerciales sobre nuestros propios servicios.Consentimiento o interés legítimo en clientes activos (art. 6.1.a / 6.1.f RGPD y art. 21.2 LSSI-CE).
Cumplir requerimientos de autoridades, juzgados y tribunales.Cumplimiento de obligación legal (art. 6.1.c RGPD).

04 Tus documentos y los modelos de IA

Esta sección es la más importante de esta política. La explicamos con la mayor claridad posible:

Qué hacemos con tus documentos

Cuando subes un archivo al Servicio, lo procesamos para extraer y clasificar su contenido. El flujo es:

  1. Subida cifrada al almacenamiento de objetos en Madrid, España.
  2. Procesamiento del documento para extraer y clasificar su contenido mediante modelos de IA. Las llamadas se enrutan al proveedor de IA disponible en cada momento, siempre dentro de la Unión Europea.
  3. Generación de índices que permiten la búsqueda semántica posterior sobre el contenido.
  4. Persistencia de los resultados, trazas de ejecución y metadatos en base de datos en Madrid, España.
  5. Exportación firmada al formato y destino que indiques.

Tus documentos NO se usan para entrenar modelos

Tus documentos no se utilizan para entrenar modelos, en ningún caso y sin opción de activarlo. Tenemos contratos firmados con cada proveedor de IA que prohíben expresamente este uso (modo «zero data retention» o equivalente cuando el proveedor lo ofrece).

Algunas APIs de IA conservan los datos durante un período corto (típicamente entre 0 y 30 días) con el único fin de detectar abuso de la plataforma. Pasado ese plazo se eliminan. Puedes solicitar el detalle por proveedor escribiendo a info@contextualstudio.com.

Quién puede ver tus documentos

  • Tú y, en planes que incluyan colaboración, los miembros de tu espacio de trabajo a los que hayas dado acceso según los permisos que configures.
  • Los sistemas automatizados de procesamiento descritos arriba.
  • Personal de Contextual Studio únicamente cuando tú lo solicites para soporte y solo durante el tiempo necesario, siempre con registro de auditoría.
  • Autoridades competentes ante un requerimiento legal válido y motivado, en cuyo caso te lo notificaremos cuando la ley lo permita.

El detalle técnico del aislamiento de la inferencia, el cifrado y los controles de acceso está disponible en el Centro de Seguridad.

Acuerdo de Encargo de Tratamiento (DPA): cuando subes documentos con datos personales de terceros, actúas como Responsable del Tratamiento y Contextual Studio como Encargado, conforme al art. 28 RGPD. Consulta el DPA completo publicado en este sitio. Si necesitas el DPA en documento separado y firmable bilateralmente, escríbenos a info@contextualstudio.com.

05 Integraciones y datos de APIs de terceros

Si conectas una integración de almacenamiento (Google Drive, Hojas de cálculo de Google, Microsoft OneDrive/SharePoint o Dropbox), el Servicio accede a tu cuenta de ese proveedor mediante OAuth 2.0, solicitando los permisos mínimos imprescindibles y siempre bajo tu autorización expresa. Puedes revocar el acceso en cualquier momento desde la aplicación o desde la configuración de seguridad del propio proveedor.

Qué permisos pedimos a cada proveedor y para qué

ProveedorPermiso (scope) solicitadoPara qué lo usamos
Google Drive drive.file Guardar en tu Drive los documentos ya procesados, en la carpeta que indiques. Este permiso es de acceso por archivo: solo da acceso a los archivos que la aplicación crea o que tú seleccionas explícitamente, nunca al resto de tu Drive.
Hojas de cálculo de Google drive.file + spreadsheets Volcar los datos extraídos a la hoja de cálculo que selecciones: leemos su fila de cabecera y columnas clave para evitar duplicados y escribimos las filas con los resultados.
Microsoft OneDrive / SharePoint Files.ReadWrite + offline_access Guardar los documentos procesados en la ubicación que indiques de tu OneDrive.
Dropbox account_info.read + files.metadata.read + files.content.write Identificar la cuenta conectada, localizar la carpeta de destino que elijas y guardar ahí los documentos procesados. No accedemos al contenido de tus archivos de Dropbox.

En Google Drive y Dropbox el acceso es acotado: solo alcanzamos los archivos que la aplicación crea y las carpetas que tú eliges como destino, y nunca leemos el resto de tu almacenamiento. En Microsoft OneDrive/SharePoint, el permiso estándar de Microsoft (Files.ReadWrite) es por diseño más amplio —permite lectura y escritura sobre tus archivos—, pero lo empleamos exclusivamente para guardar los documentos procesados en la ubicación que tú indiques.

Cuando importas documentos desde Dropbox para procesarlos, no usamos los permisos OAuth anteriores, sino el selector oficial de Dropbox (Dropbox Chooser): es una ventana alojada por el propio Dropbox en la que tú eliges, archivo a archivo, qué documentos entregar al Servicio. Solo recibimos los archivos que seleccionas en ese momento, mediante un enlace de descarga temporal que Dropbox genera bajo tu consentimiento puntual; no obtenemos acceso permanente al resto de tu Dropbox.

Uso limitado de los datos (Limited Use)

El uso y la transferencia por parte de Contextual Docs de la información recibida de las APIs de Google se ajustan a la Google API Services User Data Policy, incluidos sus requisitos de Uso Limitado (Limited Use).

En concreto, los datos a los que accedemos a través de las APIs de Google, Microsoft y Dropbox:

  • Se usan únicamente para prestarte y mejorar las funciones del Servicio que tú has solicitado (guardar y, en el caso de Hojas de cálculo, volcar los datos procesados).
  • No se utilizan para entrenar ni mejorar modelos de inteligencia artificial generalizados, ni propios ni de terceros.
  • No se usan con fines publicitarios ni de elaboración de perfiles comerciales.
  • No se venden ni se transfieren a terceros, salvo lo estrictamente necesario para prestar el Servicio, cumplir una obligación legal o en el marco de una operación societaria, siempre con las garantías de esta política.
  • Solo son accesibles por personas cuando tú lo autorizas expresamente para soporte, cuando lo exige la ley, o de forma agregada y anonimizada conforme a las políticas del proveedor.

El acceso a los datos obtenidos de las APIs de Google Workspace se limita a lo estrictamente necesario para las funciones descritas y nunca se emplea para desarrollar, mejorar o entrenar modelos de IA generalizados.

06 Encargados y proveedores (subprocesadores)

Para prestar el Servicio recurrimos a un número reducido de encargados de tratamiento, todos contratados conforme al artículo 28 del RGPD. Las categorías son:

CategoríaFinalidadUbicación
Infraestructura cloudAlojamiento, almacenamiento de objetos, colas y red de entrega.Madrid, España.
Base de datosMetadatos, esquemas, resultados de extracción y trazas de ejecución.Madrid, España.
AutenticaciónGestión de identidad y emisión de tokens de sesión.Unión Europea.
Modelos de IAProcesamiento del contenido del documento para extraer y clasificar datos.Unión Europea, bajo «zero data retention» o equivalente.
Pasarela de pagoProcesamiento de pagos con tarjeta y facturación, gestionado por Polar Software Inc. como Merchant of Record.Unión Europea (datos del Servicio); Estados Unidos (entidad legal), bajo Cláusulas Contractuales Tipo.
Correo transaccionalEnvío de notificaciones por correo (alta, recuperación de contraseña, alertas) y recepción de adjuntos cuando uses la integración por correo, gestionado por Twilio Inc. (SendGrid).Estados Unidos, bajo Cláusulas Contractuales Tipo y EU-U.S. Data Privacy Framework.
Analítica del sitio web y de la appMétricas agregadas de uso del sitio de marketing y de la aplicación: Google Analytics 4 en ambos y Microsoft Clarity solo en el sitio web. No aplica al contenido del Servicio.Ver Política de Cookies.

El listado nominal y actualizado de subencargados, con razón social y país, está publicado de forma permanente. Te avisaremos por correo o desde la aplicación con al menos 30 días de antelación cuando incorporemos un nuevo subencargado relevante para el tratamiento de tus documentos, para que puedas oponerte si así lo decides.

07 Transferencias internacionales

Tu contenido (documentos, resultados de extracción, metadatos) no sale del Espacio Económico Europeo. Tanto el almacenamiento como el procesamiento de IA se realizan en infraestructura situada en la Unión Europea, principalmente en Madrid, España.

Existen, sin embargo, tres transferencias acotadas a Estados Unidos que no afectan al contenido del Servicio y que se realizan al amparo de las garantías legales correspondientes:

  • Pasarela de pago (Polar): los datos necesarios para procesar el pago de tu suscripción son tratados por Polar Software Inc., entidad estadounidense que actúa como «Merchant of Record». Los datos del Servicio de Polar se almacenan en la Unión Europea (Irlanda y Suecia); la entidad legal se sitúa en Estados Unidos, bajo Cláusulas Contractuales Tipo. Polar puede a su vez utilizar subprocesadores propios (como Stripe Connect para la infraestructura de pago) bajo su propia política de privacidad.
  • Correo transaccional (Twilio SendGrid): Twilio Inc. trata datos en Estados Unidos para enviar las notificaciones del Servicio y, si activas la integración por correo, recibir los adjuntos que se procesan. Cobertura: Cláusulas Contractuales Tipo y EU-U.S. Data Privacy Framework.
  • Analítica del sitio web y de la app (contextualdocs.com y app.contextualdocs.com): Google Analytics 4 —y, solo en el sitio web, Microsoft Clarity— pueden tratar datos agregados en EEUU. Solo se activan si has aceptado la analítica en el banner, y el consentimiento es compartido entre el sitio y la app. Detalle en la Política de Cookies.

Las garantías aplicables son:

  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914).
  • EU-U.S. Data Privacy Framework, en los casos en que el proveedor está adherido.
  • Minimización: en el caso de la analítica, IP anonimizada y agregación de datos antes del envío.

Puedes solicitar copia de las cláusulas firmadas a info@contextualstudio.com.

08 Plazos de conservación

Conservamos tus datos durante los plazos estrictamente necesarios:

  • Datos de cuenta y documentos: durante toda la vigencia de tu suscripción al Servicio. Cuando eliminas tu cuenta, borramos tus documentos y todos los datos asociados de forma inmediata, sin papelera ni opción de recuperación posterior. Antes de eliminar tu cuenta, descarga lo que necesites desde la propia aplicación.
  • Datos de facturación: durante 6 años conforme al artículo 30 del Código de Comercio y la normativa fiscal aplicable. Es la única información que conservamos tras la eliminación de la cuenta — nunca tus documentos.
  • Logs de seguridad y auditoría: durante 12 meses, salvo obligación legal o investigación abierta que exija conservarlos más tiempo.
  • Comunicaciones comerciales: hasta que retires tu consentimiento.

09 Medidas de seguridad

Aplicamos medidas técnicas y organizativas apropiadas a los riesgos del tratamiento, conforme al artículo 32 del RGPD. En concreto:

  • Cifrado AES-256 en reposo y TLS 1.3 en tránsito, gestionado por Microsoft Azure en su región Spain Central.
  • Autenticación obligatoria para acceder al Servicio.
  • Aislamiento de la inferencia: cada documento se procesa en un entorno efímero cuya salida está limitada a los endpoints de IA autorizados.
  • Roles y permisos por espacio de trabajo (en planes con colaboración) y acceso interno bajo principio de mínimo privilegio.
  • Registro de los accesos a documentos y de las ejecuciones de procesamiento.
  • Backups automáticos cifrados de la infraestructura cloud.
  • Apoyo en proveedores certificados ISO 27001 y SOC 2 Type II (Microsoft Azure, MongoDB Atlas, Supabase) cuyos controles de infraestructura heredamos.

Tienes el detalle de nuestro modelo de seguridad y nuestro roadmap público de mejoras (MFA obligatorio, SSO con SAML, pentest anual independiente y certificación ISO 27001) en el Centro de Seguridad.

10 Tus derechos

Como titular de los datos puedes ejercer en cualquier momento los siguientes derechos:

  • Acceso: obtener confirmación de qué datos tratamos sobre ti y una copia de los mismos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión («derecho al olvido»): eliminar tus datos cuando ya no sean necesarios para los fines descritos.
  • Limitación: bloquear el tratamiento en los supuestos previstos por la norma.
  • Portabilidad: recibir tus datos en formato estructurado y de uso común (JSON, CSV) o que los transmitamos a otro responsable.
  • Oposición: oponerte al tratamiento basado en interés legítimo, incluida la elaboración de perfiles.
  • No ser objeto de decisiones automatizadas con efectos jurídicos: el Servicio no toma decisiones automatizadas que afecten a terceros sin tu intervención.
  • Retirada del consentimiento: en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.

Para ejercerlos, escríbenos a info@contextualstudio.com indicando claramente el derecho que ejerces y acompañando, si es necesario, una copia de un documento que acredite tu identidad. Te responderemos en el plazo máximo de un mes.

Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es, C/ Jorge Juan, 6, 28001 Madrid).

11 Menores de edad

El Servicio está dirigido a profesionales y empresas. No está diseñado ni dirigido a menores de 14 años. Si detectamos que hemos recogido datos de un menor de 14 años sin el consentimiento expreso de sus titulares de la patria potestad o tutela, los eliminaremos sin demora.

12 Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios legislativos, mejoras del Servicio o nuevos subencargados. Te notificaremos los cambios sustanciales por correo o desde la aplicación con una antelación razonable. La fecha de la última actualización aparece siempre en la cabecera de este documento.

¿Tienes dudas sobre este documento?

Escríbenos a info@contextualstudio.com y te respondemos en 48 horas hábiles.

Ver Centro de Seguridad Otros documentos legales

Empieza a ahorrar tiempo de papeleo hoy

Sube tu primer documento gratis. Sin tarjeta. Sin instalación.

Plan gratis para siempre Verificación humana incluida Datos en la UE