Política de Privacidad
DRAFT v1 — pendiente de revisión legal. Última actualización: 2026-05-21.
Esta Política de Privacidad describe cómo ChatMe OÜ (en adelante, "ChatME", "nosotros" o "nuestro") trata los datos personales que nos confías cuando usas nuestra plataforma de chatbots con IA en app.chatme.es o cuando interactúas con un chatbot que un cliente nuestro ha incrustado en su sitio web.
1. Identidad del responsable
| Razón social | ChatMe OÜ |
| Registro mercantil | 17391989 (Estonia) |
| NIF / Reg. | EE102933761 |
| Domicilio | Järvevana tee 9, Tallinn, 11314, Estonia |
| Email para asuntos de privacidad | privacy@chatme.es |
| Autoridad de control | AKI (Andmekaitse Inspektsioon, Estonia) como autoridad principal; AEPD para residentes en España |
2. ¿Eres cliente o eres visitante?
Esta política cubre dos relaciones distintas:
A. Si tienes una cuenta en ChatME (eres "cliente", "propietario" o "owner") ChatMe OÜ es el responsable del tratamiento de tus datos de cuenta (email, nombre, datos de facturación, etc.).
B. Si has chateado con un chatbot creado por un cliente nuestro (eres "visitante") El cliente nuestro es el responsable del tratamiento de tus datos de conversación. ChatME actúa como encargado del tratamiento en su nombre, según las instrucciones documentadas en nuestro Acuerdo de Tratamiento (DPA) con el cliente.
Si has interactuado con un chatbot y quieres ejercer derechos (acceso, supresión, portabilidad), debes contactar primero al cliente cuyo chatbot usaste. Si no recibes respuesta o no sabes quién es, escríbenos a privacy@chatme.es y te ayudaremos a localizarlo.
3. Qué datos tratamos y por qué
3.1 De los clientes (titulares de cuentas en app.chatme.es)
| Dato | Finalidad | Base jurídica (RGPD Art. 6) | Plazo |
|---|---|---|---|
| Identificación, login, comunicaciones transaccionales | Ejecución del contrato | Vida de la cuenta + 30 días | |
| Contraseña (hash) | Autenticación | Ejecución del contrato | Vida de la cuenta + 30 días |
| Nombre completo | Personalización + atención al cliente | Ejecución del contrato | Vida de la cuenta + 30 días |
| Nombre del negocio | Contexto en el panel + emails | Ejecución del contrato | Vida de la cuenta + 30 días |
| Idioma preferido | Personalización del panel | Ejecución del contrato | Vida de la cuenta |
| Plan + estado de suscripción | Facturación + gestión de servicio | Ejecución del contrato | Vida de la cuenta + 30 días |
| Cliente / suscripción de Stripe (ID) | Procesamiento de pagos | Ejecución del contrato | Vida de la cuenta |
| Datos de facturación (dirección, NIF) | Obligación fiscal | Obligación legal | 10 años (legislación fiscal) |
| Dirección IP del navegador (logs de acceso) | Seguridad + prevención de abuso | Interés legítimo | 30 días |
3.2 De los visitantes (usuarios finales del widget)
Los siguientes datos los tratamos en nombre de nuestro cliente (el dueño del chatbot), no como responsables:
| Dato | Finalidad | Plazo (por defecto, configurable por el cliente) |
|---|---|---|
| Mensajes de la conversación | Generar respuestas mediante IA | 90 días |
| Datos del formulario (nombre, email, teléfono, etc.) | Permitir que el cliente te contacte | 365 días |
| ID de sesión (aleatorio) | Continuidad de la conversación | 90 días (junto con la conversación) |
| Tipo de dispositivo, referrer | Analíticas básicas para el cliente | 90 días |
| Clics en enlaces dentro del chat | Métricas de engagement | 180 días |
| Dirección IP (logs de acceso) | Seguridad + prevención de abuso | 30 días |
ChatME nunca usa estos datos para entrenar modelos de IA ni los comparte con terceros más allá de los subencargados listados en la sección 5.
4. Almacenamiento en el navegador (cookies y similares)
Cuando interactúas con un chatbot, almacenamos en el sessionStorage de tu navegador (no son cookies, no se envían al servidor):
cbp_session_<id>— un identificador aleatorio para mantener la conversación vivacbp_history_<id>— el historial de la conversación en curso (se borra al cerrar la pestaña)cbp_csat_<id>— bandera para evitar pedirte valoración dos veces
No usamos cookies de seguimiento, analítica ni publicidad. No compartimos información con redes sociales, Google Analytics, ni similares.
5. Quién más procesa tus datos (subencargados)
Lista completa actualizada en: /legal/subprocessors.
Resumen:
- Supabase (Irlanda, UE) — base de datos, autenticación
- Anthropic (EE.UU., SCCs) — inferencia del modelo IA
- OpenAI (EE.UU., SCCs) — embeddings para búsqueda en base de conocimiento
- Resend (EE.UU., SCCs) — entrega de emails
- Stripe (Irlanda, UE) — facturación y suscripciones
- Vercel (UE para ejecución, EE.UU. para logs, SCCs) — hosting
Todas las transferencias fuera del EEE se rigen por Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea.
6. Tus derechos
Tienes derecho a:
- Acceder a tus datos (Art. 15)
- Rectificar datos inexactos (Art. 16)
- Suprimir ("derecho al olvido") tus datos (Art. 17)
- Limitar el tratamiento (Art. 18)
- Portabilidad: recibir tus datos en formato estructurado (Art. 20)
- Oponerte al tratamiento basado en interés legítimo (Art. 21)
- No ser objeto de decisiones automatizadas con efectos jurídicos (Art. 22) — actualmente ChatME no toma decisiones automatizadas con efectos jurídicos sobre ti
Cómo ejercerlos:
- Si eres cliente: la mayoría desde tu panel en app.chatme.es → Privacidad y datos. Para supresión completa, escribe a privacy@chatme.es.
- Si eres visitante: contacta primero al cliente cuyo chatbot usaste. Si no responde en 30 días o no puedes localizarlo, escríbenos a privacy@chatme.es y te ayudaremos.
- Plazo de respuesta: 1 mes desde la recepción, prorrogable a 3 meses en casos complejos.
Tienes derecho a presentar una reclamación ante la autoridad de control (AKI en Estonia, AEPD en España) si consideras que el tratamiento vulnera el RGPD.
7. Seguridad
- Cifrado TLS 1.2+ en tránsito; AES-256 en reposo en Supabase.
- Aislamiento por usuario mediante Row-Level Security (RLS) a nivel de base de datos.
- Sin acceso humano por defecto a contenido de conversaciones por parte del equipo de ChatME (acceso solo para resolución de incidentes, registrado).
- Procedimiento documentado de respuesta a incidentes con notificación a autoridades en menos de 72 horas (Art. 33).
8. Toma de decisiones automatizada y perfilado
ChatME usa modelos de IA para generar respuestas en el chat. Estas respuestas no constituyen "decisiones automatizadas con efectos jurídicos o significativos" según el RGPD Art. 22 — son conversaciones informativas. El cliente del chatbot puede usar los datos del formulario para tomar sus propias decisiones (atender una reserva, contestar una consulta), bajo su propia responsabilidad.
Conforme al Reglamento de IA de la UE (Reglamento (UE) 2024/1689), te informamos siempre de que estás hablando con un sistema de IA: en el widget aparece un distintivo "IA" junto al nombre del chatbot.
9. Cambios a esta política
Publicamos cambios en esta misma URL. Si los cambios son materiales (afectan a tus derechos o introducen nuevos subencargados con acceso a tus datos), te avisamos:
- Si eres cliente: por email a la dirección de tu cuenta, con al menos 30 días de antelación.
- Si eres visitante: el cliente cuyo chatbot uses recibirá el aviso y es responsable de propagártelo según su propia política.
10. Contacto
Para cualquier asunto relacionado con esta política o el tratamiento de datos:
ChatMe OÜ · Järvevana tee 9, Tallinn, 11314, Estonia