Política de Privacidad

Version 1.0 Effective February 17, 2026 Current English version

Política de Privacidad

Última actualización: 21/03/2026

1. Quiénes somos

La presente Política de Privacidad describe cómo Cubic Serveis Tecnològics S.L. (“Cubic”, “nosotros” o “nuestro/a”) recopila, utiliza, comparte y protege los datos personales cuando usted utiliza nuestra plataforma de investigación basada en suscripción y los servicios relacionados (los “Servicios”). Los Servicios le permiten almacenar, organizar y consultar documentos científicos mediante recuperación y análisis impulsados por IA, según se describe con mayor detalle en nuestros Términos del Servicio [disponibles en: https://transparentlab.ai/terms-of-service]. Cubic es el responsable del tratamiento de todos los datos personales tratados en virtud de la presente Política de Privacidad.

Datos de la empresa:

  • Denominación social: Cubic Serveis Tecnològics S.L.
  • Domicilio social: Carrer Mas de Xaxas, 13 2-1, Sant Andreu de Llavaneres, 08392, Barcelona, España
  • NIF: B61686218
  • Registro mercantil: Registro Mercantil de Barcelona, Tomo [X], Folio [X], Hoja [X]
  • Correo electrónico de contacto: privacy@transparentlab.ai

La presente Política de Privacidad se aplica a todos los usuarios de los Servicios en cualquier parte del mundo. Utilizamos la normativa europea de protección de datos —en particular, el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, “RGPD”)— como estándar de referencia y extendemos las protecciones equivalentes al RGPD a todos los usuarios con independencia de su ubicación. Nuestra infraestructura está alojada en los Estados Unidos (véanse los apartados 4.1 y 6); existen garantías adecuadas para las transferencias internacionales de datos. Si reside en una jurisdicción que ofrezca protecciones adicionales, dichas protecciones se aplicarán en la medida en que la legislación local así lo exija.

La presente Política de Privacidad se acepta de forma separada en el momento del registro y es complementaria, pero independiente, de nuestros Términos del Servicio (“TdS”). En caso de conflicto entre la presente Política de Privacidad y los TdS en materia de protección de datos, prevalecerá la presente Política de Privacidad.

2. Qué datos recopilamos

Recopilamos y tratamos las siguientes categorías de datos personales:

2.1 Datos de la cuenta

Los datos que usted facilita al registrarse y gestionar su cuenta: dirección de correo electrónico, contraseña (almacenada únicamente en forma cifrada mediante hash; nunca almacenamos ni accedemos a su contraseña en texto plano), resumen biográfico, institución, departamento, cargo, identificador de usuario, nivel y pertenencia a grupos, estado de facturación y fecha de registro.

2.2 Contenido que usted aporta

Documentos y materiales que usted carga o recupera a través de los Servicios, incluidos archivos PDF, EPUB, libros, publicaciones de acceso abierto recuperadas en su nombre, así como cualquier anotación, etiqueta, nota o hashtag que usted cree. El Contenido del Usuario puede contener incidentalmente datos personales (por ejemplo, nombres de autores en publicaciones); tratamos estos datos exclusivamente para prestar los Servicios, no para elaborar perfiles de terceros.

En el marco de la prestación de los Servicios, generamos datos derivados a partir de su Contenido, tales como resúmenes de documentos, fragmentos de texto, figuras extraídas, vectores de incrustación (representaciones matemáticas que no pueden revertirse de forma significativa al texto original) y entidades y relaciones extraídas. Estos datos se tratan, a efectos de privacidad, como parte de su Contenido.

2.3 Datos de interacción con la IA

Datos generados cuando utiliza las funciones de IA: sus consultas (“Entradas”), respuestas generadas por la IA (“Salidas”), contexto de la conversación, modos seleccionados y selecciones de ámbito documental.

2.4 Datos de registro de conversaciones (opt-in)

Si usted activa el registro de conversaciones en sus ajustes, recopilamos trazas de ejecución del pipeline en el nivel de privacidad que usted elija:

  • Completo: texto íntegro de la consulta y la respuesta junto con su identificador de usuario.
  • Anonimizado: texto íntegro con un identificador de usuario hasheado y no reversible y la información personal identificable enmascarada.
  • Solo métricas: métricas de rendimiento (latencia, recuento de tokens, identificadores de modelo) sin texto de la consulta ni de la respuesta.
  • Ninguno (predeterminado): sin registro de conversaciones.

Puede modificar su nivel de privacidad o desactivar el registro en cualquier momento; los cambios surten efecto de forma inmediata. Mantenemos un registro de auditoría de sus elecciones de consentimiento.

2.5 Datos técnicos y de uso

Datos recopilados de forma automática: registros de uso (acciones realizadas, marcas de tiempo, identificadores de usuario y de grupo asociados), métricas de rendimiento del sistema (recopiladas de forma agregada), registros del servidor (direcciones IP, marcas de tiempo de las solicitudes, métodos HTTP, códigos de respuesta) y tokens de autenticación (identificadores de sesión y marcas de tiempo de expiración). No utilizamos cookies de seguimiento persistente.

2.6 Datos de notificación de contenido, comentarios y pago

Si notifica contenido o envía comentarios: sus comentarios sobre el contenido notificado, el identificador del contenido notificado, su identificador de usuario y la marca de tiempo. Si se suscribe a un plan de pago: el pago se procesa a través de un proveedor de pagos externo (por ejemplo, Stripe). Recibimos y almacenamos únicamente el estado de facturación, el estado de la suscripción y los cuatro últimos dígitos de su método de pago. No almacenamos credenciales de pago completas.

3. Cómo utilizamos sus datos

Únicamente tratamos datos personales cuando contamos con una base jurídica válida en virtud del artículo 6 del RGPD.

FinalidadCategorías de datosBase jurídica (art. 6 RGPD)
Prestar los Servicios: gestión de la cuenta, almacenamiento de documentos, indexación, procesamiento RAG, respuestas de IA, operaciones de grupoDatos de la cuenta, Contenido, datos de interacción con la IAEjecución de un contrato (art. 6.1.b)
Gestionar su suscripción: facturación, aplicación de cuotas, gestión de nivelesDatos de la cuenta, datos de uso, datos de pagoEjecución de un contrato (art. 6.1.b)
Registro de conversaciones: trazas del pipeline en el nivel de privacidad que usted elijaDatos de registro de conversacionesConsentimiento (art. 6.1.a); opt-in mediante ajustes, retirable en cualquier momento
Seguridad y prevención del abuso: control de accesos no autorizados, aplicación de la política de uso aceptableDatos técnicos, registros de uso, registros del servidorInterés legítimo (art. 6.1.f)
Mejora del Servicio: análisis de uso agregado, monitorización del rendimientoDatos de uso, métricas de rendimiento (agregadas)Interés legítimo (art. 6.1.f)
Comunicaciones: notificaciones del servicio, alertas de seguridad, cambios de políticaDirección de correo electrónicoEjecución del contrato (art. 6.1.b) para las comunicaciones críticas para el servicio; interés legítimo (art. 6.1.f) para las no críticas
Cumplimiento normativo: respuesta a requerimientos legales y reclamacionesCualesquiera datos pertinentesObligación legal (art. 6.1.c) o interés legítimo (art. 6.1.f)

Lo que NO hacemos

  • No entrenamos ni ajustamos ningún modelo de IA con su Contenido (véase la cláusula 5.3(a) de los TdS). Si esto cambiara en el futuro, obtendríamos previamente su consentimiento explícito (opt-in).
  • No vendemos sus datos personales.
  • No utilizamos sus datos con fines publicitarios, de elaboración de perfiles ni de toma de decisiones automatizadas que produzcan efectos jurídicos o significativos similares.
  • No exponemos los documentos del nivel individual a otros usuarios.

4. Cómo compartimos sus datos

4.1 Subencargados del tratamiento

Recurrimos a subencargados del tratamiento para el alojamiento de la infraestructura, la inferencia de IA y la generación de incrustaciones (embeddings). Todos los subencargados están actualmente ubicados en los Estados Unidos; las garantías de transferencia se describen en el apartado 5.

Cada subencargado está vinculado por un acuerdo de tratamiento de datos que limita el tratamiento a las finalidades que nosotros especifiquemos, prohíbe el uso de sus datos para los fines propios del proveedor (incluido el entrenamiento de modelos), exige medidas de seguridad adecuadas y obliga a la supresión o devolución de los datos al término del contrato.

En https://transparentlab.ai/sub-processors mantenemos una lista actualizada de subencargados, con sus finalidades y los datos que tratan. Le notificaremos con al menos 30 días de antelación antes de incorporar a un nuevo subencargado, lo que le otorgará el derecho a oponerse. Si usted se opone y no podemos atender razonablemente su objeción, podrá rescindir su suscripción sin penalización.

Fuentes de datos de terceros (no subencargados): los Servicios pueden consultar fuentes de datos públicas siguiendo sus instrucciones, como OpenAlex y Unpaywall (ambas operadas por OurResearch, una entidad sin ánimo de lucro). Estas consultas únicamente transmiten términos de búsqueda o identificadores de documento (por ejemplo, DOI), sin datos personales. Estos proveedores no son subencargados del tratamiento.

4.2 Miembros del nivel de grupo

Si participa en un nivel de grupo, su Contenido en el repositorio documental compartido es accesible a otros miembros de su grupo. Sus datos de perfil (nombre, correo electrónico) podrán ser visibles para el propietario del grupo y otros miembros con el fin de facilitar la colaboración.

4.3 Comunicaciones legales y de seguridad

Podremos comunicar datos personales cuando así lo exija o permita la ley, incluido el cumplimiento de obligaciones legales, la protección de derechos y la seguridad, el ejercicio de nuestros TdS o el apoyo a investigaciones de presunto fraude o abuso. Le notificaremos dichas comunicaciones salvo que la ley lo prohíba.

4.4 Transmisiones empresariales

En caso de fusión, adquisición o venta de activos, sus datos personales podrán transferirse como parte de dicha operación. Le proporcionaremos un preaviso de al menos 30 días y nos aseguraremos de que la entidad adquirente asuma las obligaciones derivadas de la presente Política de Privacidad.

5. Transferencias internacionales de datos

Cubic está establecida en la Unión Europea (España). Sus datos personales se almacenan y tratan en los Estados Unidos sobre la infraestructura proporcionada por los subencargados que figuran en el apartado 4.1.

Dado que los Estados Unidos no han recibido una decisión general de adecuación de la Comisión Europea, nos basamos en las siguientes garantías para asegurar que sus datos reciban un nivel de protección equivalente:

  • Cláusulas Contractuales Tipo (CCT) de la UE: hemos suscrito CCT (adoptadas en virtud de la Decisión de Ejecución (UE) 2021/914 de la Comisión) con cada subencargado, o nos basamos en el Anexo de Tratamiento de Datos del subencargado que incorpora las CCT.
  • Evaluaciones de impacto de la transferencia: hemos evaluado el marco jurídico aplicable a cada subencargado y hemos concluido que, junto con las medidas complementarias indicadas a continuación, la transferencia ofrece una protección esencialmente equivalente a la garantizada dentro de la UE.
  • Medidas complementarias: incluyen el cifrado de los datos en tránsito y en reposo, prohibiciones contractuales del uso de los datos más allá de la prestación del servicio, tratamiento exclusivamente transitorio para los proveedores de inferencia de LLM y de incrustaciones, controles de acceso que limitan quién puede acceder a los datos personales y nuestra capacidad de responder a las solicitudes de los interesados con independencia de dónde se almacenen los datos.

Si un subencargado obtiene la certificación en el marco del EU-U.S. Data Privacy Framework, podremos basarnos en dicha certificación como mecanismo de transferencia alternativo o adicional.

Revisamos periódicamente nuestros mecanismos de transferencia. Puede solicitar una copia de las CCT correspondientes o de las evaluaciones de impacto de la transferencia escribiéndonos a privacy@transparentlab.ai.

6. Conservación de datos

Conservamos los datos personales únicamente durante el tiempo necesario para las finalidades descritas en la presente Política de Privacidad.

Categoría de datosPlazo de conservación
Datos de la cuenta, Contenido y datos de interacción con la IADuración de su cuenta + 90 días tras la terminación (para la exportación de datos); posteriormente, supresión en un plazo de 30 días
Datos de registro de conversacionesConservación rotatoria de 90 días (configurable); supresión a petición o al terminar la cuenta
Registros de uso y registros del servidor90 días, transcurridos los cuales se suprimen o anonimizan. Los resúmenes agregados anonimizados podrán conservarse durante más tiempo.
Registros de pagoDuración de la suscripción + el plazo requerido por la legislación mercantil española (mínimo 6 años)
Registros de consentimientoDuración de la cuenta + 3 años tras la supresión (para la rendición de cuentas conforme al RGPD)

Nivel de grupo — salida: cuando abandona un grupo (sin eliminar su cuenta), sus documentos permanecen con el grupo conforme a lo descrito en la cláusula 2.5(c) de los TdS. Los datos personales de su cuenta revierten al nivel individual.

Derecho de supresión: puede solicitar la supresión de sus datos en cualquier momento (véase el apartado 7). Tras una solicitud válida, suprimiremos sus datos sin esperar al plazo de conservación posterior a la terminación, salvo cuando la ley exija su conservación.

7. Sus derechos

En virtud del RGPD, usted tiene derecho a: acceder a sus datos personales (art. 15), solicitar la rectificación de datos inexactos (art. 16), solicitar la supresión (art. 17), solicitar la limitación del tratamiento (art. 18), recibir sus datos en un formato portable (art. 20), oponerse al tratamiento basado en intereses legítimos (art. 21) y retirar el consentimiento en cualquier momento cuando el tratamiento se base en él (art. 7.3). También puede presentar una reclamación ante la AEPD o su autoridad de control local (art. 77). Extendemos estos derechos a todos los usuarios con independencia de su ubicación.

Cómo ejercer sus derechos

  • Autoservicio: actualice su perfil, cambie sus preferencias de registro de conversaciones y exporte sus datos desde los ajustes de su cuenta.
  • Contáctenos: privacy@transparentlab.ai. Su dirección de correo electrónico registrada suele ser suficiente para verificar su identidad.
  • Plazo de respuesta: un mes (prorrogable hasta dos meses adicionales en solicitudes complejas, previa notificación).
  • Sin coste, salvo que las solicitudes sean manifiestamente infundadas o excesivas.

8. Seguridad de los datos

Implementamos medidas técnicas y organizativas adecuadas para proteger sus datos personales, entre ellas: cifrado en tránsito (TLS) y en reposo, control de acceso basado en roles con aislamiento multi-tenant (los datos del nivel individual están aislados lógicamente; los datos del nivel de grupo solo son accesibles dentro de su grupo), gestión segura de credenciales y monitorización continua de actividades anómalas. Revisamos y actualizamos periódicamente nuestras medidas de seguridad. Ningún sistema es completamente seguro y no podemos garantizar una seguridad absoluta, si bien mantenemos las protecciones comercialmente razonables y adecuadas a los datos que tratamos.

9. Notificación de violaciones de seguridad de los datos

En caso de violación de la seguridad de los datos personales que pueda suponer un riesgo para sus derechos y libertades, notificaremos a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas (art. 33 RGPD) y notificaremos a los usuarios afectados sin dilación indebida cuando la violación entrañe un riesgo elevado (art. 34 RGPD). La notificación describirá la violación, sus probables consecuencias y las medidas adoptadas.

10. Cookies y rastreo

Los Servicios utilizan únicamente mecanismos estrictamente necesarios para la autenticación y la gestión de sesión. Almacenamos un token de autenticación en su navegador para mantener su sesión, que contiene únicamente un identificador de sesión y una marca de tiempo de expiración. Nuestra red de distribución de contenidos (AWS CloudFront) puede establecer una cookie técnica de enrutamiento. Ambas son estrictamente necesarias y están exentas de los requisitos de consentimiento conforme a la Directiva sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE).

No utilizamos cookies analíticas, cookies publicitarias, píxeles de seguimiento, cookies de terceros, complementos de redes sociales ni tecnologías de huella digital. No es necesario un banner de consentimiento de cookies. Si en el futuro introdujésemos un seguimiento no esencial, implementaríamos previamente un mecanismo de consentimiento adecuado.

11. Datos de menores

Los Servicios no están dirigidos a menores. Para crear una cuenta debe tener al menos 18 años (o la edad de capacidad legal en su jurisdicción si es superior). No recopilamos conscientemente datos personales de menores de 18 años. Si tenemos conocimiento de que lo hemos hecho, suprimiremos esos datos con prontitud. Contáctenos en privacy@transparentlab.ai si cree que un menor nos ha facilitado datos personales.

12. Decisiones automatizadas

Los Servicios utilizan funciones basadas en IA para generar Salidas en respuesta a sus consultas. Esto no constituye una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos en usted o le afecte significativamente de modo similar en el sentido del artículo 22 del RGPD. Las Salidas son herramientas informativas de apoyo a la investigación; Cubic no las utiliza para tomar decisiones sobre usted.

13. Cambios en la presente Política de Privacidad

Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, los Servicios o la legislación aplicable. En el caso de cambios no sustanciales, publicaremos la política actualizada con una fecha revisada. En el caso de cambios sustanciales, le notificaremos con al menos 30 días de antelación por correo electrónico o a través de los Servicios. Si no está de acuerdo con los cambios sustanciales, puede cancelar su cuenta sin penalización en un plazo de 30 días desde la notificación.

14. Jurisdicciones adicionales

Si reside en el Reino Unido, las referencias al RGPD se entenderán hechas también al UK GDPR, y las referencias a la AEPD se entenderán hechas a la Information Commissioner’s Office (ICO) del Reino Unido. Si reside en una jurisdicción que confiera derechos de protección de datos adicionales a los aquí descritos, dichos derechos adicionales se aplicarán en la medida en que la legislación local así lo exija. Contáctenos para obtener información específica de su jurisdicción.

15. Contáctenos

Si tiene preguntas, desea ejercer sus derechos en materia de protección de datos o presentar una reclamación, contáctenos:

  • Correo electrónico: privacy@transparentlab.ai
  • Dirección postal: Cubic Serveis Tecnològics S.L., [Dirección], Barcelona, España

También tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) (www.aepd.es) o ante su autoridad de control local en la UE/EEE.

La presente Política de Privacidad fue revisada por última vez el 21/03/2026.