Política de privacidad
Fecha de entrada en vigor: 4 de mayo de 2026
Esta Política de privacidad explica cómo recogemos, utilizamos, compartimos y protegemos los datos personales cuando usted utiliza el servicio Lokuta. Tratamos sus datos de forma lícita, leal y transparente, conforme al Reglamento (UE) 2016/679, General de Protección de Datos («RGPD»), y a la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»).
1. Responsable del tratamiento
El responsable del tratamiento es Aleix Morte Sánchez, profesional autónomo con domicilio profesional en Pj. Xaloc, 24, 1-1, 08840 Viladecans (Barcelona, España) y NIF 47948269P. Para cualquier cuestión relacionada con la privacidad o para ejercer sus derechos, puede escribirnos a hello@lokuta.app. No hemos designado Delegado de Protección de Datos por no ser exigible conforme al artículo 37 del RGPD.
2. Datos personales que tratamos
Tratamos las siguientes categorías de datos personales:
- Datos de cuenta e identificación. Nombre, dirección de correo electrónico, imagen de perfil (cuando inicia sesión a través de Google), idioma preferido y rol que ostenta en su Workspace.
- Datos de autenticación. Tokens de sesión emitidos por Auth.js, tokens OAuth de Google y HubSpot (cuando conecta esas cuentas) y tokens de verificación utilizados para el inicio de sesión por enlace mágico.
- Datos de Workspace y pertenencia. Nombre de la organización que crea, invitaciones que envía y la relación de pertenencia entre usuarios y Workspaces.
- Contenidos del Cliente. Audio captado a través del micrófono del dispositivo (que tratamos de forma transitoria — véase la conservación más abajo), las transcripciones, los resúmenes, las acciones y las notas generadas por el Servicio, y los datos intercambiados con HubSpot mediante la integración.
- Datos de facturación. Identificador de cliente en Stripe, estado de la suscripción, plan, periodicidad, metadatos de factura y país y NIF/identificación fiscal que facilite a efectos de facturación. No almacenamos los datos de su tarjeta — los gestiona directamente Stripe.
- Datos de uso y técnicos. Recuentos de uso y cuotas, registros (incluida dirección IP, agente de usuario y marcas de tiempo), informes de error y datos analíticos agregados sobre el rendimiento de las páginas.
- Comunicaciones. El contenido de los correos o mensajes que nos envíe, incluidas las solicitudes de soporte.
No recogemos de manera intencional datos pertenecientes a categorías especiales (artículo 9 RGPD — salud, opiniones políticas, etc.). El Servicio está diseñado para que únicamente se grabe su propia voz y sus propias notas; no debe utilizarlo para grabar a terceras personas sin cumplir el apartado 5 de nuestras Condiciones de uso.
3. Para qué usamos sus datos y bases jurídicas
Tratamos los datos personales con las siguientes finalidades y bases jurídicas:
| Finalidad | Base jurídica (art. 6 RGPD) |
|---|---|
| Crear y gestionar su cuenta, su Workspace y sus pertenencias; prestar las funcionalidades de captura, transcripción, resumen y sincronización con HubSpot. | Ejecución del contrato que celebra con nosotros (art. 6.1.b). |
| Enviar correos transaccionales y operativos (enlaces de inicio de sesión, invitaciones, avisos de facturación, alertas de seguridad). | Ejecución del contrato (art. 6.1.b). |
| Tramitar los pagos, emitir facturas y conservar registros contables. | Ejecución del contrato y cumplimiento de obligaciones legales (art. 6.1.b y c) — la normativa española mercantil y tributaria exige conservar los registros hasta 6 años. |
| Análisis agregado y anónimo del uso del Servicio, prevención del fraude, depuración y seguridad. | Interés legítimo en operar, asegurar y mejorar el Servicio (art. 6.1.f). Puede oponerse en cualquier momento. |
| Enviar comunicaciones poco frecuentes sobre el producto o invitarle a participar en investigaciones de usuario. | Interés legítimo en mantenerle informado sobre un servicio que utiliza activamente (art. 6.1.f). Puede oponerse en cualquier momento. |
| Cumplir obligaciones legales y atender requerimientos legítimos de autoridades competentes. | Cumplimiento de una obligación legal (art. 6.1.c). |
No realizamos decisiones automatizadas con efectos jurídicos o significativos sobre usted en los términos del artículo 22 RGPD. Las Funcionalidades de IA generan transcripciones y resúmenes propuestos que usted revisa antes de cualquier acción; el control sigue en sus manos.
4. Con quién compartimos los datos — encargados de tratamiento
Nos apoyamos en un número reducido de proveedores cuidadosamente seleccionados («encargados») que tratan datos personales por nuestra cuenta al amparo de un contrato escrito conforme al artículo 28 RGPD. A la fecha de la presente política, son los siguientes:
| Proveedor | Finalidad | Ubicación del tratamiento |
|---|---|---|
| Vercel Inc. | Alojamiento de la aplicación, distribución en el edge y analítica web. | Estados Unidos (con regiones edge en la UE). |
| Proveedor de base de datos | Base de datos PostgreSQL para datos de aplicación. | Unión Europea. |
| OpenAI | Transcripción de voz a texto, resumen y estructuración de notas mediante modelos de lenguaje. | Estados Unidos. |
| HubSpot, Inc. | Intercambio de datos del CRM, únicamente cuando conecta HubSpot a un Workspace. | Estados Unidos / Unión Europea (según la región de su cuenta de HubSpot). |
| Stripe Payments Europe Ltd. | Procesamiento de pagos, gestión de suscripciones, facturación. | Irlanda y Estados Unidos. |
| Resend | Envío de correos transaccionales (enlaces de inicio de sesión, invitaciones, recibos). | Estados Unidos. |
| Google LLC | Inicio de sesión OAuth (solo si elige usarlo). | Estados Unidos. |
También podremos comunicar datos personales (i) a asesores profesionales (abogados, asesores fiscales) sujetos a deber de confidencialidad, (ii) a una entidad sucesora en el contexto de una operación societaria y (iii) cuando la ley lo exija o sea necesario para defender nuestros derechos.
5. Transferencias internacionales
Algunos de nuestros encargados están ubicados en Estados Unidos. Cuando los datos personales se transfieren fuera del Espacio Económico Europeo, lo hacemos amparándonos en garantías adecuadas conforme al capítulo V del RGPD — habitualmente las Cláusulas Contractuales Tipo de la Comisión Europea y, cuando proceda, el Marco de Privacidad de Datos UE-EE. UU. Puede solicitar copia de las garantías aplicables escribiendo a hello@lokuta.app.
6. Plazos de conservación
- Audio captado por el micrófono. Se transmite para su transcripción y se descarta inmediatamente después de generarse la transcripción. No persistimos audio en bruto.
- Transcripciones, resúmenes y notas. Se conservan mientras su Workspace esté activo, hasta que las elimine, o hasta 90 días después del cierre del Workspace.
- Datos de cuenta, Workspace y pertenencia. Se conservan mientras la cuenta esté activa y hasta 30 días tras su eliminación para permitir su recuperación, tras lo cual se suprimen o anonimizan.
- Tokens de autenticación. Los tokens de sesión son válidos hasta 30 días; los tokens de actualización OAuth se conservan mientras la integración con el tercero permanezca conectada.
- Registros de facturación y fiscales. Se conservan durante 6 años desde el final del ejercicio fiscal correspondiente, conforme a la normativa mercantil y tributaria española (art. 30 del Código de Comercio; art. 66 de la Ley General Tributaria).
- Registros de servidor. Hasta 12 meses, tras los cuales se suprimen o anonimizan.
- Copias de seguridad cifradas. Hasta 30 días en rotación.
7. Cookies y tecnologías similares
Utilizamos únicamente las cookies y tecnologías similares estrictamente necesarias para el funcionamiento del Servicio. En concreto:
- Cookies estrictamente necesarias para la autenticación (cookies de sesión y CSRF de Auth.js) y para recordar su preferencia de idioma. Estas cookies no requieren consentimiento conforme al artículo 22.2 de la LSSI-CE.
- Vercel Analytics / Speed Insights para una medición agregada y respetuosa con la privacidad del rendimiento de las páginas y del tráfico. Según su proveedor, esta tecnología no almacena cookies con fines de seguimiento ni identifica individualmente a los visitantes; tratamos los datos agregados resultantes amparándonos en nuestro interés legítimo en mantener un Servicio rápido y fiable.
No utilizamos cookies publicitarias, píxeles de seguimiento ni integraciones con redes sociales. Si en el futuro introdujésemos cookies no esenciales, le solicitaríamos previamente el consentimiento a través de un banner.
8. Sus derechos
Conforme al RGPD y a la LOPDGDD, tiene derecho a:
- acceder a los datos personales que tratamos sobre usted;
- solicitar la rectificación de los datos inexactos o incompletos;
- solicitar la supresión («derecho al olvido»);
- solicitar la limitación del tratamiento u oponerse a determinados tratamientos, en particular los basados en nuestro interés legítimo;
- solicitar la portabilidad de los datos que nos haya facilitado, en un formato estructurado, de uso común y de lectura mecánica;
- retirar cualquier consentimiento que haya prestado, sin que ello afecte a la licitud del tratamiento previo a la retirada; y
- definir directrices para el uso de sus datos tras su fallecimiento, conforme al artículo 96 LOPDGDD.
Puede ejercer estos derechos escribiéndonos a hello@lokuta.app con la información necesaria para identificarle. Le responderemos en el plazo de un mes (prorrogable hasta dos meses adicionales en solicitudes complejas). El ejercicio de estos derechos es gratuito salvo que las solicitudes sean manifiestamente infundadas o excesivas.
Si considera que no hemos tratado sus datos correctamente, puede presentar reclamación ante la Agencia Española de Protección de Datos, C/ Jorge Juan, 6, 28001 Madrid — www.aepd.es. También puede dirigirse a la autoridad de control de su país de residencia.
9. Cómo protegemos los datos
Aplicamos medidas técnicas y organizativas adecuadas a los riesgos del tratamiento, entre ellas:
- cifrado de los datos en tránsito (TLS) y en reposo;
- control de acceso bajo el principio de mínimos privilegios y autenticación reforzada en cuentas administrativas;
- aislamiento de entornos de desarrollo, preproducción y producción;
- registros, monitorización y alertas de anomalías;
- procedimientos de copia de seguridad y recuperación probados, con conservación de copias durante 30 días en rotación;
- selección formal de los encargados del tratamiento, con contrato escrito y revisión de sus medidas de seguridad; y
- obligaciones de confidencialidad para el personal (incluido el propio profesional autónomo) y prácticas de concienciación en seguridad.
En caso de violación de seguridad de los datos personales que pueda comportar un riesgo para los derechos y libertades de las personas físicas, lo notificaremos a la AEPD en un plazo de 72 horas y, cuando proceda, informaremos a los usuarios afectados sin dilación indebida.
10. Uso por menores
El Servicio se destina exclusivamente a un uso profesional y no se dirige a personas menores de 18 años. No recogemos de manera intencional datos personales de menores. Si considera que un menor nos ha facilitado datos personales, póngase en contacto con nosotros para que podamos suprimirlos.
11. Modificaciones de esta política
Podremos actualizar esta Política de privacidad periódicamente. Si una modificación es sustancial, le avisaremos con antelación razonable por correo electrónico o mediante un aviso dentro del Servicio antes de que entre en vigor. La fecha que figura al inicio de la página indica cuándo se publicó la última versión.
12. Contacto
Si tiene preguntas sobre esta Política de privacidad o sobre cómo tratamos los datos personales, póngase en contacto con nosotros en hello@lokuta.app o por correo postal en Aleix Morte Sánchez, Pj. Xaloc, 24, 1-1, 08840 Viladecans (Barcelona, España).