---
title: Política de Privacidad — Perizial (RGPD + LOPDGDD)
description: Política de Privacidad de Perizial conforme al RGPD (UE 2016/679), LOPDGDD 3/2018 y normativa española. Incluye base jurídica de cada tratamiento, decisiones automatizadas (art. 22), 14 subprocesadores verificados, transferencias internacionales con SCCs y TIA, plazos de conservación reales por tabla, derechos del interesado y seguridad técnica.
url: https://perizial.com/privacidad
last_updated: 2026-05-25
version: 3.0
---

# Política de Privacidad

Aplicable a la plataforma SaaS `perizial.com` y a la extensión de Chrome "Perizial — Captura de Encargos Periciales". Conforme al RGPD (UE 2016/679), LOPDGDD 3/2018, Reglamento (UE) 910/2014 (eIDAS), Reglamento (UE) 2022/2065 (DSA), Google API Services User Data Policy (Limited Use), Microsoft Graph Terms, WhatsApp Business Solution Terms y Chrome Web Store Developer Program Policies.

## 1. Responsable del tratamiento

- **Razón social:** Cyber Vault, S.L. (PerizIAl / Perizial).
- **CIF:** B27592377.
- **Domicilio:** Conde Pallarés 3, Bajo Derecha, 27001 Lugo, España.
- **Registro Mercantil:** Inscrita en el Registro Mercantil de Lugo.
- **Email RGPD/privacidad:** privacidad@perizial.com.
- **Email general:** contacto@perizial.com.
- **Email seguridad:** security@perizial.com.
- **Delegado de Protección de Datos (DPO):** No designado. La actividad actual no entra en los supuestos obligatorios del art. 37 RGPD ni del art. 34 LOPDGDD. Consultas RGPD a privacidad@perizial.com.

## 2. Definiciones clave (art. 4 RGPD)

Datos personales, tratamiento, responsable, encargado, subprocesador, interesado, categorías especiales (arts. 9 y 10 RGPD), decisiones automatizadas (art. 22 RGPD).

## 3. Roles: Responsable vs Encargado

- **PerizIAl Responsable** respecto a los datos del **Usuario profesional** (perito titular, empleados, colaboradores): identificación, autenticación, facturación, telemetría, soporte. Base: art. 6.1.b (contrato) y 6.1.c (obligaciones legales).
- **PerizIAl Encargado** respecto a los datos personales de **terceros** que el Usuario introduzca (asegurados, peritados, intervinientes, terceros perjudicados, contactos de evidencias forenses). El Usuario es Responsable y debe garantizar la licitud. DPA detallado en el Anexo I de los Términos.
- **Visitantes anónimos** del Sitio: PerizIAl Responsable; datos mínimos del formulario de contacto y logs técnicos.

## 4. Datos personales que tratamos

### 4.1 Del Usuario profesional
Identificativos (nombre, apellidos, email profesional, fotografía/avatar, firma manuscrita digitalizada, logotipo); contacto profesional (teléfono, domicilio); fiscales (NIF/NIE emisor, IBAN); autenticación (contraseña bcrypt cost 12 nunca en claro, Google OAuth scopes `openid email profile`, tokens de sesión firmados); logs (IP, timestamp, ubicación por IP a nivel ciudad/provincia, navegador, acciones críticas en `audit_logs` con retención 12 meses); comerciales (plan, ciclo, créditos IA, almacenamiento, facturas Stripe — sin almacenar PAN); tokens OAuth de terceros (Gmail, Outlook, WhatsApp) cifrados AES-256-GCM con clave derivada por scrypt; suscripción VAPID push.

### 4.2 Del peritado, asegurado o tercero (datos del Usuario como Responsable)
Identificación (nombre, NIF/NIE, fecha nacimiento); contacto (teléfono, email, domicilio, referencia catastral); datos del siniestro/procedimiento (número siniestro, póliza, aseguradora, descripción daños, fotos, vídeos, audios, peritajes anteriores, atestados, autos judiciales, contra-periciales); económicos (importes asegurados, valoraciones, indemnizaciones, IBAN en recobros); geolocalización exacta (lat/lng, EXIF GPS); procedimientos judiciales y penales — art. 10 RGPD (módulo forense); datos masivos de dispositivos del peritado mediante Cellebrite con autorización judicial (contactos, SMS, llamadas, ubicaciones GPS).

### 4.3 De intervinientes judiciales
Nombre, profesión (juez, fiscal, letrado, procurador, perito contrario), contacto profesional, vinculación procesal.

### 4.4 De visitantes del Sitio
Formulario de contacto (nombre, email, mensaje) y logs técnicos de seguridad.

## 5. Finalidades y bases jurídicas

| Finalidad | Base jurídica RGPD |
|---|---|
| Registro y autenticación | Art. 6.1.b — contrato |
| Prestación SaaS (expedientes, ingesta IA, dictámenes) | Art. 6.1.b + art. 28 (encargo de datos de terceros) |
| Procesamiento con IA generativa | Art. 6.1.b. Decisiones NO únicamente automatizadas (sec. 7) |
| Comunicaciones operativas (email, push, WhatsApp al peritado) | Art. 6.1.b |
| Facturación y cobro | Art. 6.1.b + 6.1.c (fiscales y mercantiles) |
| Seguridad de la Plataforma | Art. 6.1.f — interés legítimo |
| Atención al usuario y soporte | Art. 6.1.b + 6.1.f |
| Cumplimiento de obligaciones legales | Art. 6.1.c |
| Mejora estadística agregada y anónima | Art. 6.1.f sobre datos anonimizados |
| Programa partners/afiliados | Art. 6.1.a — consentimiento expreso |
| Comunicaciones comerciales propias (no aplicables actualmente) | Si en el futuro se implementan: art. 6.1.a o art. 21.2 LSSI-CE con opt-out |

## 6. Inteligencia Artificial Generativa

- **Proveedor y modelo:** Google Cloud EMEA Limited, Vertex AI **Gemini 2.5 Flash**, en `europe-southwest1` (Madrid). Service Account específica de PerizIAl bajo DPA Google Cloud.
- **Residencia del dato:** procesamiento íntegramente en infraestructura UE.
- **No reentrenamiento** con datos del Cliente (DPA Google Cloud).
- **Política zero-retention de adjuntos de ingesta:** PDFs y emails entrantes no se persisten tras extracción; sweeper automático borra huérfanos >5 min.
- **PII Shield:** anonimización previa (tokens reversibles) de IPv4/IPv6, email, DNI, NIE, IBAN, teléfono español, tarjeta de crédito con separadores, MAC. Respuesta desanonimizada antes del validador estructural. Binarios PDF/imagen se envían sin tokenizar (imposibilidad técnica).
- **Validador anti-alucinación** en módulo forense pre-firma: detecta IPs, hashes (MD5/SHA-1/SHA-256), IMEIs, CVEs sin respaldo documental y reformula como indicio.
- **Cuota IA:** 20 llamadas/hora/usuario, backoff exponencial.

## 7. Decisiones automatizadas (Art. 22 RGPD)

PerizIAl **NO** toma decisiones con efecto jurídico vinculante o que afecten significativamente al interesado basadas únicamente en tratamiento automatizado. Toda decisión vinculante (firma del dictamen, importe IRD, presentación en juzgado) requiere acto humano del perito.

Automatismos asistenciales (no constituyen art. 22 porque generan estados internos sin efecto jurídico, son revisables/reversibles por el humano y no determinan la conclusión final):

- Clasificación automática de emails como "encargo" si confianza ≥ 0,7 → estado *borrador*.
- Asignación heurística de expediente por especialidad/carga/distancia → revisable por admin.
- Borradores de informe, dictamen, contra-pericial, batería de ratificación → editados y firmados por el perito.
- Envío automático de WhatsApp al peritado con cita → el peritado puede cancelar/reagendar mediante smart link.

Para revisión humana de un automatismo concreto: privacidad@perizial.com.

## 8. Categorías especiales (Art. 9 y 10 RGPD)

- **Infracciones y procedimientos penales (art. 10):** módulo forense-judicial trata números de autos, juzgado, fase, partes, tipo de delito. Base: prestación de servicio profesional pericial al Usuario que actúa bajo designación o mandato judicial (art. 27 LOPDGDD).
- **Biométricos (art. 9.1):** firma manuscrita del perito (consentimiento art. 9.2.a). Imágenes con rostros tratadas por el perito como Responsable (art. 9.2.f interés público en actuación pericial).
- **Salud (art. 9.1):** en peritajes que lo requieran (lesiones tráfico, daños personales). PerizIAl no fuerza ni almacena PHI estructurada. Especialidad psicológica retirada del catálogo para reducir exposición a PHI.
- **Geolocalización exacta:** GPS de citas y EXIF de fotos. Base contractual para cadena de custodia y reparto.
- **NO se tratan:** datos genéticos, opiniones políticas, religión, vida sexual u orientación sexual.

## 9. Subprocesadores (encargados ulteriores art. 28.2 RGPD)

| # | Proveedor | Servicio | Datos | Ubicación | Régimen |
|---|---|---|---|---|---|
| 1 | Google Cloud EMEA Limited | Vertex AI Gemini 2.5 Flash | Texto emails + OCR + prompts (con PII Shield) | UE — europe-southwest1 (Madrid) | DPA Google Cloud — UE |
| 2 | Amazon Web Services EMEA SARL | S3 (archivos, evidencias) | PDFs forenses, fotos, evidencias, audios | UE — eu-south-2 (España) | DPA AWS — UE |
| 3 | Railway Corp. | Hosting + PostgreSQL | Toda la BD | EE.UU. | DPA Railway + SCCs + EU-U.S. DPF |
| 4 | Stripe Payments Europe Ltd. | Pagos y suscripciones | Email, plan, token método pago (sin PAN) | Irlanda + EE.UU. | DPA Stripe + SCCs + PCI-DSS L1 + EU-U.S. DPF |
| 5 | Google LLC (Gmail API) | Lectura delegada Gmail (opcional) | Cuerpo email + adjuntos | EE.UU. | DPA Google + SCCs + EU-U.S. DPF |
| 6 | Microsoft Ireland (Graph API) | Lectura delegada Outlook (opcional) | Cuerpo email + adjuntos | EE.UU. | DPA Microsoft + SCCs + EU-U.S. DPF |
| 7 | Resend Inc. | Email transaccional | Email destinatario, asunto, cuerpo | UE (Frankfurt) | DPA Resend |
| 8 | Meta Platforms Ireland Ltd. | WhatsApp Cloud API | Teléfono peritado + plantillas + respuestas | EE.UU. | DPA Meta + SCCs + EU-U.S. DPF |
| 9 | Cloudinary Ltd. | CDN imágenes (residual) | JPEG/PNG avatares/logos | EE.UU. | DPA Cloudinary + SCCs |
| 10 | VirusTotal (Google) | Lookup hash SHA-256 (no contenido) | Solo hash | EE.UU. | Servicio público |
| 11 | FreeTSA / FNMT-RCM / ACCV | Sello tiempo RFC 3161 | Solo hash SHA-256 | UE/España (cualificados eIDAS) | N/A — solo hash |
| 12 | Sede Electrónica del Catastro | Consulta referencias catastrales | Referencia catastral | España (admin pública) | N/A |
| 13 | Microsoft Bing IndexNow | Ping SEO | URLs públicas (sin PII) | Global | N/A |
| 14 | Web Push (navegadores) | Notificaciones push | Suscripción VAPID (token, no PII) | Mozilla/Apple/MS/Google según navegador | N/A |

Lista actualizada con preaviso de 30 días naturales por email y aviso destacado para incorporaciones que supongan tratamiento significativo. El Cliente puede oponerse por motivos razonables; si no hay acuerdo, puede resolver sin penalización.

## 10. Transferencias internacionales

Núcleo crítico en UE (Vertex AI Madrid, S3 España, Resend Frankfurt). Subprocesadores con tránsitos a EE.UU.: Stripe, Railway, Google LLC (Gmail), Microsoft Ireland (Graph), Meta Ireland, Cloudinary.

Garantías post-Schrems II:
- **SCCs** Decisión Ejecución 2021/914.
- **EU-U.S. Data Privacy Framework** (Decisión Adecuación 10 julio 2023) para proveedores adheridos.
- **Transfer Impact Assessment (TIA)** cualitativo realizado por PerizIAl. Disponible bajo solicitud justificada.
- **Medidas técnicas suplementarias:** AES-256-GCM en tránsito y reposo, segregación multi-tenant, principio de mínima exposición, política zero-retention en Vertex AI.

## 11. Plazos de conservación

| Categoría | Plazo | Justificación |
|---|---|---|
| Usuario y expedientes | Mientras cuenta activa | Prestación del servicio |
| Tras baja de suscripción | Bloqueados; borrado físico 72h tras solicitud expresa a privacidad@perizial.com | Facilita reactivación + art. 17 |
| Facturas y registros contables | 6 años | Arts. 30 CCo, 66 y 70 LGT |
| `audit_logs` | 12 meses, borrado automatizado | Investigación incidentes |
| `user_timesheets` | 12 meses, borrado automatizado | Análisis productividad equipo |
| `chatbot_messages` | 24 horas, borrado automatizado | Continuidad conversación |
| `processed_webhook_events` | 48 horas, borrado automatizado | Idempotencia |
| PDFs huérfanos S3 (ingesta IA) | 5 minutos sin procesar → borrado automático | Minimización art. 5.1.c |
| OTP / tokens reset | 15 min / 1 hora; invalidación tras uso | Seguridad |
| Sesiones expiradas | Limpieza diaria 04:00 Madrid | Higiene |
| Evidencias forenses, custodia, sellos TSA | Mientras dure la finalidad pericial declarada por el Usuario | Integridad de la prueba (responsabilidad del Usuario aplicar su política) |
| Formulario público de contacto | 12 meses desde última interacción | Atención al cliente |

## 12. Medidas técnicas y organizativas de seguridad (art. 32 RGPD)

- **Cifrado tránsito:** TLS 1.2+ con HSTS preload (max-age 1 año, includeSubDomains).
- **Cifrado reposo:** AES-256 S3, cifrado disco gestionado en PostgreSQL.
- **Tokens OAuth terceros:** AES-256-GCM con clave derivada por scrypt, nunca en claro.
- **Contraseñas:** bcrypt cost 12 (~250 ms por intento).
- **Acceso:** sesión cookie firmada (httpOnly, sameSite=lax, secure prod, max-age 30 días). CSRF sincronizado por sesión. Reset masivo al cambiar contraseña.
- **Multi-tenant aislado** a nivel SQL mediante función `visible_team_ids()` invocada en middleware de autorización.
- **Headers Helmet:** CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
- **Rate limiting:** auth (7/15min/IP+email), API global (300/15min/IP), ingesta IA (20/hora/user), endpoints públicos críticos.
- **Queries parametrizadas** exclusivas; sin concatenación SQL.
- **HPP** middleware activo.
- **Bloqueo emails desechables**.
- **Auditoría:** `audit_logs` y `registro_auditoria` inmutable por trigger SQL (forense).
- **Backups** automáticos PostgreSQL (retención ≥ 7 días).
- **Mínimo privilegio:** scopes externos limitados (Gmail solo lectura, etc.).
- **Canal de vulnerabilidades:** https://perizial.com/.well-known/security.txt.

## 13. Cadena de custodia forense

Módulo forense-judicial:
- Cada evidencia identificada con hash dual MD5 + SHA-256 calculado en adquisición.
- Cada evento (recepción, traslado, análisis, devolución) en `cadena_custodia` con transacción SERIALIZABLE concatenando hash anterior + campos + SHA-256.
- Función `verificarIntegridadCadena()` recalcula y detecta manipulación.
- Hash global sellado nightly 23:59 Madrid vía RFC 3161 (FreeTSA por defecto, FNMT-RCM/ACCV cualificados configurable).
- Datos personales en evidencias (Cellebrite, logs SIEM, capturas tráfico) conservados en estado original para integridad probatoria; finalidad = actuación pericial encargada por órgano jurisdiccional o cliente.

## 14. Derechos del interesado (arts. 15-22 RGPD)

Acceso, rectificación, supresión, limitación, portabilidad, oposición, no ser objeto de decisión automatizada, revocar consentimiento.

**Ejercicio:** email a privacidad@perizial.com indicando derecho, descripción precisa, copia DNI o equivalente (conservada solo para verificar identidad).

**Plazo:** 1 mes prorrogable 2 meses adicionales (art. 12.3 RGPD).

**Reclamación:** **AEPD** — https://www.aepd.es · C/ Jorge Juan 6, 28001 Madrid.

Cuando los datos sean de un peritado (cliente del Usuario), los interesados deben dirigirse en primer término al Usuario (perito) como Responsable. PerizIAl, como Encargado, ofrecerá asistencia razonable (art. 28.3.e RGPD).

## 15. Notificación de brechas

Brecha con riesgo: AEPD en **72 horas** (art. 33 RGPD). Brecha con alto riesgo: notificación adicional a los interesados sin dilación (art. 34), salvo excepciones del apartado 3.

## 16. Menores

Plataforma destinada a profesionales mayores de 18 años. No se tratan conscientemente datos de menores de 14 años (edad mínima art. 7 LOPDGDD). Detección → suspensión de cuenta y eliminación.

## 17. Cookies

Régimen en Política de Cookies (https://perizial.com/cookies). PerizIAl usa únicamente cookies técnicas estrictamente necesarias (sesión y CSRF). No se requiere consentimiento previo conforme a art. 22.2 LSSI-CE y Guía AEPD.

## 18. Google API (Limited Use)

Adhesión a Google API Services User Data Policy incluido Limited Use.

**Scopes solicitados:**
- `openid email profile`: SSO Google. Solo autenticación y prellenado de perfil.
- `https://www.googleapis.com/auth/gmail.readonly`: solo si el Usuario activa expresamente la integración de ingesta en Ajustes › Ingesta, pantalla independiente del registro, revocable en cualquier momento desde la cuenta Google o desde PerizIAl. Permiso solo lectura — no se envía, modifica, borra ni mueve correos.

**Tratamiento:** correos pasan por parser unificado Vertex AI Gemini Madrid que extrae campos estructurados. Cuerpo y PDFs procesados efímeramente y descartados (zero-retention). Persiste solo el campo extraído del expediente + ID del mensaje para evitar duplicados.

**Limited Use:** no transferencia a terceros salvo subprocesadores indispensables sec. 9; no uso para publicidad ni venta; humanos no leen datos salvo casos del Limited Use (consentimiento explícito, seguridad/abuso, cumplimiento legal, agregados anonimizados).

## 19. Microsoft Graph (Outlook)

Análogo a Google. Permisos limitados a `Mail.Read` y `offline_access`. Sin acceso a OneDrive, Calendar, Teams ni Contactos. Tokens cifrados AES-256-GCM, revocables.

## 20. Meta WhatsApp Cloud API

Envío de plantillas aprobadas y datos variables del expediente (nombre peritado, fecha cita, smart link) vía Meta Platforms Ireland. WhatsApp Business Solution Terms + GDPR Addendum. Access token cifrado AES-256-GCM. Webhooks entrantes (respuestas, eventos) procesados con la misma seguridad y retención que el expediente.

## 21. Extensión Chrome — Single Purpose

Permite a peritos autenticados capturar, a petición expresa, el contenido (texto o PDF) de un encargo pericial visible en un portal de aseguradora o judicial, y enviarlo a `perizial.com` para crear el expediente. Captura siempre por acción explícita del Usuario (botón o menú contextual).

## 22. Extensión Chrome — permisos

- `activeTab`: solo pestaña activa cuando el Usuario pulsa el botón.
- `scripting`: inyección bajo demanda del content script.
- `contextMenus`: opciones "Enviar … a Perizial".
- `storage`: token de sesión, expiración, perfil básico.
- `host_permissions` limitados a `perizial.com`, `*.perizial.com` y dominio Railway del backend. No se solicita `<all_urls>`.

## 23. Extensión Chrome — datos (7 categorías Chrome Web Store)

- Personal identificable: SÍ (nombre, email, avatar al vincular cuenta).
- Autenticación: SÍ (JWT en `chrome.storage.local`).
- Contenido del sitio web: SÍ — únicamente del portal que el Usuario solicita capturar.
- Actividad del usuario: SÍ — solo evento puntual de ingesta para facturación/auditoría.
- Financiera, sanitaria, comunicaciones personales, ubicación, historial navegación: **NO**.

Contenido capturado puede incluir datos del peritado (nombre, dirección, teléfono, matrícula, póliza, daños) tratados por PerizIAl como Encargado.

**Compromisos Chrome Web Store:** no venta, no transferencia con fines ajenos, no publicidad personalizada, no evaluación de solvencia. **Sin código remoto:** todo JS empaquetado, CSP `script-src 'self'; object-src 'none';`.

## 24. Cambios en esta política

Actualizable por cambios normativos, técnicos u operativos. Cambios sustanciales (subprocesadores nuevos significativos, base jurídica, plazos) notificados por email con preaviso de 30 días naturales y aviso destacado en la Plataforma.

## 25. Contacto y autoridad de control

- Email RGPD: privacidad@perizial.com
- Email general: contacto@perizial.com
- Email seguridad: security@perizial.com
- Dirección postal: Cyber Vault, S.L. — Conde Pallarés 3, Bajo Derecha, 27001 Lugo, España.
- **AEPD:** https://www.aepd.es · C/ Jorge Juan 6, 28001 Madrid.