Información legal
Política de Privacidad
Última actualización: [FECHA DE PUBLICACIÓN]
La presente Política de Privacidad regula el tratamiento de los datos personales de los usuarios y clientes de Outsider.ai y de su producto Reviú, de conformidad con el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
1Responsable del tratamiento
En cumplimiento del deber de información (arts. 13 y 14 RGPD), se identifica al responsable del tratamiento:
- Titular / Responsable: Outsider.ai (en adelante, «Outsider.ai»).
- NIF / CIF: [NIF/CIF]
- Domicilio social: [DIRECCIÓN COMPLETA]
- Datos registrales: [Registro Mercantil de …, Tomo …, Folio …, Hoja …]
- Correo electrónico de contacto: [email protected]
- Asuntos de privacidad: [email protected] [confirmar buzón]
- Delegado de Protección de Datos (DPD), en su caso: [[email protected] / no designado]
- Sitios web: ai-outsider.com y app.ai-outsider.com
Reviú es un producto de Outsider.ai orientado a la inteligencia de reseñas para grupos de restauración.
2Doble rol: responsable y encargado del tratamiento
En función del tipo de dato, Outsider.ai puede actuar con dos roles distintos:
- Como responsable del tratamiento: respecto de los datos de las cuentas de usuario, datos de navegación, facturación, soporte y comunicaciones comerciales propias.
- Como encargado del tratamiento (art. 28 RGPD): respecto de los datos personales contenidos en las reseñas y en los datos de los negocios que el Cliente trata a través de Reviú —incluidos, en su caso, datos de autores de reseñas o de empleados mencionados—. En este supuesto, el Cliente es el responsable y Outsider.ai trata los datos por su cuenta y siguiendo sus instrucciones, rigiendo el correspondiente Acuerdo de Encargo de Tratamiento (DPA).
3Categorías de datos tratados
- Datos identificativos y de contacto: nombre, apellidos, correo electrónico, teléfono, cargo, empresa.
- Datos de cuenta y credenciales: usuario y contraseña (almacenada cifrada/«hasheada»), identificadores de sesión.
- Datos de facturación y pago: datos fiscales y de la suscripción. Los datos de la tarjeta se tratan directamente por la pasarela de pago MONEI; Outsider.ai no almacena el número completo de tarjeta.
- Datos de los negocios/locales del Cliente: denominación, dirección, ubicación e identificadores de los perfiles en plataformas de reseñas.
- Datos procedentes de plataformas de reseñas (Google Business Profile, TripAdvisor y otras), extraídos mediante el proveedor SerpAPI a partir de los negocios que el Cliente selecciona: contenido y valoración de las reseñas, nombre o alias público del autor y fecha. Estos contenidos pueden incluir datos personales de terceros (p. ej. autores de reseñas o empleados mencionados).
- Datos de uso, técnicos y de navegación: dirección IP, registros de actividad (logs), tipo de dispositivo y navegador, e información asociada a cookies y tecnologías similares.
Outsider.ai no trata de forma deliberada categorías especiales de datos (art. 9 RGPD). El Cliente se compromete a no introducir datos sensibles ni datos de terceros sin base jurídica que lo legitime.
4Finalidades y bases jurídicas
Tratamos los datos para las siguientes finalidades, amparadas en las bases de legitimación del artículo 6 RGPD:
| Finalidad | Base jurídica (art. 6 RGPD) |
|---|---|
| Prestar, mantener y gestionar el servicio Reviú y la cuenta de usuario. | Ejecución de un contrato (6.1.b). |
| Analizar reseñas mediante IA (sentimiento, tópicos, menú, staff) y generar borradores de respuesta, por cuenta del Cliente. | Ejecución del contrato (6.1.b); tratamiento por encargo (art. 28). |
| Gestionar pagos, suscripciones, facturación y contabilidad. | Ejecución del contrato (6.1.b) y obligación legal (6.1.c). |
| Atender solicitudes, consultas y soporte técnico. | Ejecución del contrato / interés legítimo (6.1.f). |
| Garantizar la seguridad de la plataforma y prevenir fraude o abusos. | Interés legítimo (6.1.f). |
| Enviar comunicaciones comerciales sobre productos y servicios propios. | Interés legítimo en clientes (6.1.f, art. 21.2 LSSI) o consentimiento (6.1.a), con derecho de oposición. |
| Cumplir obligaciones legales (fiscales, mercantiles, requerimientos de autoridades). | Obligación legal (6.1.c). |
5Extracción de reseñas, inteligencia artificial y decisiones automatizadas
Para prestar el servicio, y por cuenta e instrucción del Cliente, Reviú: (i) extrae las reseñas de los negocios indicados por el Cliente desde plataformas públicas mediante el proveedor de extracción de datos SerpAPI; y (ii) las analiza y procesa mediante modelos de lenguaje (LLM) para clasificar sentimiento, tópicos, menú y operativa, y para generar borradores de respuesta.
- El análisis y los borradores no producen decisiones con efectos jurídicos o significativos sobre las personas en el sentido del artículo 22 RGPD: son sugerencias que requieren revisión y aprobación humana del Cliente antes de su publicación.
- Estas operaciones se realizan por encargo del Cliente, que es el responsable de los datos tratados, autoriza expresamente la extracción y el procesamiento descritos y garantiza disponer de base jurídica para tratar las reseñas de los negocios seleccionados —propios o de terceros— (véanse las Condiciones de Uso y el DPA).
- Los proveedores de extracción e IA actúan como encargados o subencargados del tratamiento (ver sección 8), bajo las correspondientes garantías contractuales.
Proveedores empleados actualmente: SerpAPI (extracción de reseñas), Groq (LLM principal) y, en su caso, Google Gemini (agente conversacional). Su ubicación puede implicar transferencias internacionales (ver sección 9).
6Origen de los datos
Los datos proceden de: (i) la información facilitada directamente por el usuario o el Cliente al registrarse y usar el servicio; (ii) los datos generados durante el uso de la plataforma; y (iii) los datos obtenidos de las plataformas de reseñas integradas (Google, TripAdvisor, etc.) mediante las autorizaciones, conexiones o API correspondientes, con sujeción a los términos de dichas plataformas.
7Plazos de conservación
- Datos de cuenta: mientras la relación contractual permanezca vigente y, tras su finalización, bloqueados durante los plazos de prescripción de las acciones legales aplicables [indicar plazo, p. ej. hasta 6 años].
- Datos de facturación: durante los plazos exigidos por la normativa fiscal y contable [p. ej. 4–6 años].
- Datos tratados por cuenta del Cliente (reseñas y análisis): mientras dure el contrato; a su término se suprimen o se devuelven conforme al DPA y a las instrucciones del Cliente.
- Datos de navegación y cookies: según los plazos indicados en la Política de Cookies (sección 13).
8Destinatarios y encargados del tratamiento
No se cederán datos a terceros salvo obligación legal. Para prestar el servicio recurrimos a proveedores que tratan datos por nuestra cuenta como encargados del tratamiento, vinculados mediante contrato conforme al art. 28 RGPD:
- Pasarela de pago: MONEI (procesamiento de pagos y suscripciones).
- Extracción de reseñas: SerpAPI (SerpApi, LLC) — obtención de reseñas de las plataformas públicas indicadas por el Cliente.
- Modelos de lenguaje (IA): Groq, Inc. (LLM principal) y, en su caso, Google (Gemini API) para el agente conversacional.
- Mapas y geolocalización: Google Maps Platform (alta y localización de negocios).
- Plataformas de reseñas de origen: Google (Business Profile) y TripAdvisor, como fuentes de datos y/o destinatarios para la publicación de respuestas.
- Infraestructura y alojamiento: [proveedor de hosting/cloud].
- Comunicaciones y correo electrónico: [proveedor de email transaccional/marketing].
Podrá solicitarse el listado actualizado de encargados escribiendo a [email protected].
9Transferencias internacionales de datos
Algunos proveedores —en particular SerpAPI, Groq y Google— están ubicados o tratan datos en EE. UU. u otros países fuera del Espacio Económico Europeo. En tales casos, la transferencia se ampara en las garantías adecuadas del art. 46 RGPD —Cláusulas Contractuales Tipo de la Comisión Europea— o, cuando proceda, en la adhesión del proveedor al EU-U.S. Data Privacy Framework. [Confirmar el mecanismo concreto aplicable a cada proveedor.]
10Derechos de los interesados
Cualquier persona puede ejercer los siguientes derechos: acceso, rectificación, supresión («derecho al olvido»), oposición, limitación del tratamiento, portabilidad y a no ser objeto de decisiones individuales automatizadas, así como retirar el consentimiento prestado en cualquier momento.
Para ejercerlos, puede dirigir una solicitud a [email protected], indicando el derecho que ejercita y acompañando, cuando sea necesario, copia de un documento que acredite su identidad.
Si considera que sus derechos no han sido debidamente atendidos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid — www.aepd.es.
Cuando los datos sean tratados por Outsider.ai por cuenta de un Cliente (datos de reseñas), las solicitudes de los interesados se trasladarán al Cliente, que actúa como responsable del tratamiento.
11Medidas de seguridad
Outsider.ai aplica medidas técnicas y organizativas apropiadas (art. 32 RGPD) para garantizar un nivel de seguridad adecuado al riesgo, entre ellas: cifrado de las comunicaciones (HTTPS/TLS), almacenamiento cifrado de credenciales, gestión de sesiones mediante cookies seguras y HttpOnly con protección frente a CSRF, control de accesos, registros de actividad, seudonimización cuando procede y copias de seguridad.
12Menores de edad
El servicio se dirige a empresas y profesionales y no está destinado a menores. No se recaban conscientemente datos de menores de [14] años. Si detecta que se han facilitado datos de un menor sin la autorización correspondiente, contacte con nosotros para su supresión.
13Política de cookies
Una cookie es un fichero que se descarga en el dispositivo del usuario al acceder a determinadas páginas para almacenar y recuperar información. Conforme al art. 22.2 LSSI-CE, las cookies no estrictamente necesarias requieren el consentimiento del usuario.
Cookies y tecnologías utilizadas
| Nombre / tipo | Finalidad | Categoría | Duración |
|---|---|---|---|
reviu_session | Mantener la sesión autenticada del usuario (HttpOnly). | Técnica / necesaria | Sesión |
csrf_token | Prevención de ataques CSRF. | Técnica / necesaria | Sesión |
outsider-theme (localStorage) | Recordar la preferencia de modo claro/oscuro. | Preferencias | Persistente |
| [Google Maps / analítica / terceros] | [Confirmar si se usan cookies de terceros, p. ej. mapas o medición.] | [Terceros] | [—] |
Las cookies estrictamente necesarias no requieren consentimiento. Para las no necesarias, el sitio recaba el consentimiento mediante un banner de cookies que permite aceptarlas o rechazarlas con la misma facilidad; la elección se conserva en el navegador y puede revocarse borrando los datos de navegación. El usuario también puede configurar o eliminar las cookies desde los ajustes de su navegador.
Si se incorporan cookies analíticas o de terceros, deben añadirse a la tabla anterior y cargarse únicamente tras el consentimiento.
14Cambios en la política
Outsider.ai podrá modificar la presente Política de Privacidad para adaptarla a novedades legislativas o cambios en el servicio. Las modificaciones se publicarán en esta página, indicando la fecha de la última actualización.