Política de Privacidad

La presente Política de Privacidad regula el tratamiento de los datos personales que el usuario proporciona al acceder y utilizar el sitio web https://hipotecology.com (en adelante, el "Servicio").

Esta política ha sido elaborada conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).

Última actualización: 31 de marzo de 2026.

1. Responsable del tratamiento

Identidad: Andrés Antonio José Merchán Camirra
NIF: Y9981442P
Correo electrónico: admin@hipotecology.com

El responsable del tratamiento determina los fines y medios del tratamiento de datos personales conforme al artículo 4.7 del RGPD.

Dado el tamaño y naturaleza del tratamiento, no se ha designado un Delegado de Protección de Datos (DPD/DPO) conforme al artículo 37 del RGPD, al no concurrir las circunstancias previstas en el artículo 34 de la LOPD-GDD. No obstante, puede dirigir cualquier consulta sobre protección de datos a admin@hipotecology.com.

2. Datos personales que recopilamos

Recopilamos las siguientes categorías de datos personales en función de la interacción del usuario con el Servicio:

2.1 Datos de registro y autenticación

Nombre y apellidos
Dirección de correo electrónico
Datos de autenticación (gestionados por Clerk, nuestro proveedor de identidad)
Identificador de usuario interno

2.2 Datos de transacciones y pagos

Historial de compras (plan contratado, fecha, importe)
Identificador de cliente en Stripe
Estado de la suscripción y fecha de expiración
Nota: Los datos de tarjetas de pago son procesados exclusivamente por Stripe (certificado PCI-DSS) y nunca se almacenan en nuestros servidores.

2.3 Datos de uso del servicio

Documentos subidos para análisis (ofertas financieras y otros documentos relacionados) — procesados de forma efímera y eliminados automáticamente tras completar la extracción de datos. Solo se conservan los datos estructurados resultantes del análisis.
Datos estructurados extraídos de los documentos subidos
Ajustes y preferencias del usuario sobre los análisis
Uso de funcionalidades (extracciones realizadas, proyectos creados)

2.4 Datos técnicos y de navegación

Dirección IP (puede registrarse en determinadas acciones realizadas desde el navegador del usuario)
Tipo de navegador y dispositivo
Sistema operativo
Páginas visitadas y acciones realizadas (mediante cookies analíticas, previo consentimiento)
Fecha y hora de acceso
Datos de errores técnicos (para diagnóstico y mejora del servicio)

2.5 Datos que NO recopilamos

No solicitamos ni almacenamos:

Número de teléfono
Dirección postal
Fecha de nacimiento
Datos de geolocalización (GPS)
Perfiles de redes sociales
Categorías especiales de datos (Art. 9 RGPD): origen étnico, opiniones políticas, creencias religiosas, datos de salud, etc.

3. Finalidades y bases jurídicas del tratamiento

Solo recopilamos y utilizamos sus datos personales cuando tenemos una base jurídica legítima para hacerlo. A continuación, detallamos cada finalidad y su correspondiente base legal conforme al artículo 6 del RGPD:

Finalidad	Base jurídica (RGPD)
Gestión del registro y autenticación del usuario	Ejecución del contrato (Art. 6.1.b)
Prestación del servicio de simulación y visualización de datos	Ejecución del contrato (Art. 6.1.b)
Procesamiento de pagos y facturación	Ejecución del contrato (Art. 6.1.b)
Envío de comunicaciones transaccionales (confirmación de compra, bienvenida)	Ejecución del contrato (Art. 6.1.b)
Registro de actividad y seguridad del servicio	Interés legítimo (Art. 6.1.f)
Análisis estadísticos del comportamiento de navegación (cookies analíticas del lado del cliente)	Consentimiento (Art. 6.1.a)
Registro de eventos operativos del servicio (registro, compra, expiración de suscripción)	Interés legítimo (Art. 6.1.f)
Cumplimiento de obligaciones legales y fiscales	Obligación legal (Art. 6.1.c)

Sobre el interés legítimo

Cuando el tratamiento se basa en nuestro interés legítimo (Art. 6.1.f), hemos realizado una evaluación de ponderación para garantizar que nuestros intereses no prevalecen sobre sus derechos y libertades fundamentales. Nuestros intereses legítimos incluyen:

Garantizar la seguridad del servicio y prevenir fraudes
Mantener registros de actividad para auditoría interna
Mejorar y optimizar el funcionamiento del servicio (basándonos exclusivamente en métricas técnicas de rendimiento y patrones de uso agregados — como tiempos de carga, frecuencia de uso de funcionalidades y tasas de error — nunca en el contenido de los documentos ni en los resultados de análisis del usuario)
Registrar eventos operativos del servicio (registro de cuenta, compras, expiración de suscripciones) para el correcto funcionamiento y monitorización del sistema

Puede oponerse al tratamiento basado en interés legítimo contactando con nosotros en admin@hipotecology.com.

4. Destinatarios de los datos

Para la prestación del Servicio, compartimos datos con los siguientes proveedores de servicios que actúan como encargados del tratamiento conforme al artículo 28 del RGPD:

Proveedor	Servicio	Datos compartidos	Ubicación
Clerk	Autenticación de usuarios	Email, nombre, contraseña (hash)	UE (Frankfurt)
Stripe	Procesamiento de pagos	Email, datos de pago (tokenizados)	EE.UU. (DPF)*
Neon	Base de datos PostgreSQL	Todos los datos del servicio	UE
Vercel	Alojamiento web y almacenamiento de archivos	Datos de sesión, procesamiento temporal de documentos	UE (Frankfurt)
PostHog	Análisis y estadísticas	Datos de navegación (con consentimiento)	UE
Resend	Envío de correos electrónicos	Email, nombre	UE
Landing AI	Extracción de datos de documentos	Contenido de documentos subidos	UE (eu-west-1)
Cookiebot (Usercentrics)	Gestión del consentimiento de cookies	Estado de consentimiento	UE

* DPF = EU-US Data Privacy Framework. Stripe está certificado bajo el Marco de Privacidad de Datos UE-EE.UU., que proporciona garantías adecuadas conforme al Art. 45 RGPD.

Los proveedores indicados incluyen cláusulas de procesamiento de datos (Data Processing Agreements) en sus condiciones de servicio, conforme al artículo 28 del RGPD.

No vendemos, alquilamos ni cedemos datos personales a terceros para fines comerciales propios o de marketing.

Otras posibles divulgaciones

Podemos divulgar sus datos personales si es requerido por ley o en respuesta a:

Órdenes judiciales o requerimientos de autoridades competentes
Procedimientos legales para proteger nuestros derechos o los de terceros
Situaciones de emergencia relacionadas con la seguridad de cualquier persona

5. Transferencias internacionales de datos

La gran mayoría de nuestros proveedores procesan datos dentro del Espacio Económico Europeo (EEE), lo que garantiza el mismo nivel de protección que la normativa europea.

Proveedores en el EEE (sin transferencia internacional)

Clerk (Alemania - Frankfurt)
Vercel (Alemania - Frankfurt)
Neon (UE)
PostHog (UE)
Resend (UE)
Landing AI (Irlanda - eu-west-1)
Cookiebot (UE)

Transferencias fuera del EEE

Stripe (EE.UU.): Certificado bajo el EU-US Data Privacy Framework (DPF), decisión de adecuación de la Comisión Europea de 10 de julio de 2023, que proporciona garantías adecuadas conforme al Art. 45 RGPD.

En caso de que fuera necesario realizar transferencias adicionales a países sin decisión de adecuación, aplicaremos las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea conforme al Art. 46.2.c RGPD.

6. Plazos de conservación

Conservamos sus datos personales únicamente durante el tiempo necesario para cumplir con las finalidades para las que fueron recogidos. Los plazos específicos son:

Tipo de datos	Plazo de conservación	Base legal
Datos de cuenta	Mientras la cuenta esté activa. Tras la eliminación de la cuenta, los datos se suprimen de forma inmediata	Ejecución del contrato (Art. 6.1.b RGPD)
Documentos subidos	Eliminados automáticamente tras completar la extracción de datos (procesamiento efímero)	Minimización de datos (Art. 5.1.c RGPD)
Datos de transacciones	6 años	Obligaciones mercantiles y fiscales (Art. 30 Código de Comercio)
Registros de actividad	Mientras la cuenta esté activa y durante el tiempo necesario para garantizar la seguridad del servicio, con revisión periódica	Seguridad y prevención de fraude (Art. 6.1.f RGPD)
Datos analíticos	Conforme a la política de retención del proveedor de analíticas (PostHog), sujeto a revisión periódica	Política de retención del proveedor de analíticas

Transcurridos estos plazos, los datos serán eliminados o anonimizados de forma irreversible.

7. Derechos del usuario

Conforme al RGPD (Arts. 15-22) y la LOPD-GDD, usted tiene los siguientes derechos sobre sus datos personales:

Derecho	Descripción	Artículo RGPD
Acceso	Obtener confirmación de si tratamos sus datos y acceder a ellos	Art. 15
Rectificación	Solicitar la corrección de datos inexactos o incompletos	Art. 16
Supresión ("derecho al olvido")	Solicitar la eliminación de sus datos cuando ya no sean necesarios	Art. 17
Limitación del tratamiento	Solicitar que suspendamos el tratamiento en determinadas circunstancias	Art. 18
Portabilidad	Recibir sus datos en un formato estructurado, de uso común y lectura mecánica, o solicitar su transmisión a otro responsable	Art. 20
Oposición	Oponerse al tratamiento basado en intereses legítimos o para fines estadísticos	Art. 21
No ser objeto de decisiones automatizadas	Derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos	Art. 22

Cómo ejercer sus derechos

Para ejercer cualquiera de estos derechos, puede contactar con nosotros en admin@hipotecology.com, indicando:

El derecho que desea ejercer
Copia de su DNI, pasaporte o documento identificativo equivalente
Cualquier información adicional que nos ayude a localizar sus datos

Plazo de respuesta

Conforme al Art. 12.3 RGPD, responderemos a su solicitud en el plazo máximo de 30 días desde su recepción. Este plazo podrá prorrogarse por 60 días adicionales (90 días en total) en casos de especial complejidad, informándole de ello dentro del primer mes.

Eliminación de cuenta

Puede eliminar su cuenta directamente desde la configuración de usuario en el Servicio. Al hacerlo, se procederá a la eliminación inmediata de sus datos personales. Los datos de transacciones sujetos a obligaciones legales de conservación fiscal (6 años, Art. 30 del Código de Comercio) se conservarán durante los plazos legalmente establecidos.

8. Derecho a presentar una reclamación

Si considera que el tratamiento de sus datos personales vulnera la normativa de protección de datos, tiene derecho a presentar una reclamación ante la autoridad de control competente conforme al Art. 77 RGPD.

En España, la autoridad de control es:

Agencia Española de Protección de Datos (AEPD)
Sitio web: www.aepd.es
Dirección: C/ Jorge Juan, 6, 28001 Madrid
Teléfono: 901 100 099 / 912 663 517

Le rogamos que, antes de acudir a la AEPD, se ponga en contacto con nosotros para intentar resolver cualquier problema o duda relacionada con el tratamiento de sus datos.

9. Cookies y tecnologías similares

El Servicio utiliza cookies y tecnologías similares conforme a la LSSI-CE (Art. 22.2) y la Directiva ePrivacy (2002/58/CE, modificada por 2009/136/CE). Las cookies son pequeños archivos de texto que se almacenan en su dispositivo cuando visita nuestro sitio web.

A continuación, presentamos un resumen de los proveedores y categorías de cookies utilizadas. Para el inventario completo y siempre actualizado de cada cookie individual (nombre, duración y finalidad específica), consulte la declaración de cookies gestionada automáticamente por nuestra Plataforma de Gestión de Consentimiento (Cookiebot), accesible desde el banner de consentimiento (pestaña "Detalles") o desde el icono de privacidad en la esquina inferior izquierda del sitio.

9.1. Categorías de cookies utilizadas

Categoría	Proveedor	Finalidad	Tipo	Base legal
Necesarias	Clerk	Autenticación y gestión de sesión del usuario	Propias, de sesión	Art. 22.2 LSSI-CE (exención)
Necesarias	Stripe	Prevención de fraude y detección de dispositivo	Propias, persistentes	Art. 22.2 LSSI-CE (exención)
Necesarias	Cookiebot	Gestión y almacenamiento del consentimiento	Propias, persistentes (12 meses)	Art. 22.2 LSSI-CE (exención)
Preferencias	Cookiebot	Configuración detallada del consentimiento por categoría	Propias, persistentes (12 meses)	Consentimiento (Art. 6.1.a RGPD)
Estadísticas	PostHog	Análisis de uso anónimo del sitio para mejorar el servicio	Propias vía proxy inverso, persistentes (12 meses)	Consentimiento (Art. 6.1.a RGPD)

9.2. Comportamiento por defecto

Las cookies necesarias se activan siempre, ya que son imprescindibles para el funcionamiento del sitio. Las cookies de preferencias, estadísticas y marketing están desactivadas por defecto y solo se activan si usted presta su consentimiento expreso a través del banner de cookies.

Adicionalmente, registramos determinados eventos del lado del servidor (como el registro de cuenta o la compra de una suscripción) sin utilizar cookies en el dispositivo del usuario. La base legal para estos eventos es el interés legítimo (Art. 6.1.f RGPD) en la mejora y seguridad del servicio.

9.3. Gestión y revocación del consentimiento

Utilizamos Cookiebot (Usercentrics) como Plataforma de Gestión de Consentimiento (CMP). Puede modificar o retirar su consentimiento en cualquier momento mediante:

El enlace "Preferencias de cookies" en el pie de página del sitio.
El icono de privacidad de Cookiebot (esquina inferior izquierda).
La configuración de su navegador (consulte la ayuda de su navegador para eliminar o bloquear cookies).

La retirada del consentimiento no afectará a la licitud del tratamiento basado en el consentimiento previo a su retirada.

9.4. Cookies de terceros durante el proceso de pago

Al realizar un pago, el usuario es redirigido a la plataforma de Stripe (procesador de pagos), que puede establecer sus propias cookies conforme a su política de privacidad. Estas cookies son gestionadas exclusivamente por Stripe y no son controladas por Hipotecology.

10. Seguridad de los datos

Implementamos medidas técnicas y organizativas adecuadas para proteger los datos personales conforme al Art. 32 RGPD, incluyendo:

Cifrado en tránsito: Todas las comunicaciones utilizan HTTPS/TLS 1.3
Cifrado en reposo: Los datos almacenados en la base de datos están cifrados
Autenticación segura: Mediante proveedor especializado (Clerk) con soporte para autenticación de dos factores
Control de acceso: Acceso restringido a datos personales mediante roles y permisos
Copias de seguridad: Backups periódicos y automatizados
Infraestructura certificada: Proveedores con certificaciones de seguridad reconocidas
Monitorización: Registro de actividad y auditoría interna

A pesar de estas medidas, ningún sistema es 100% seguro. Usted es responsable de mantener la confidencialidad de sus credenciales de acceso y de notificarnos cualquier uso no autorizado de su cuenta.

11. Tratamiento de documentos subidos

Los documentos que el usuario suba al Servicio pueden contener datos personales y financieros. A continuación, explicamos cómo tratamos estos documentos:

Finalidad exclusiva: Los documentos se procesan únicamente para proporcionar el servicio de simulación y visualización.
Procesamiento mediante IA: La extracción de datos se realiza mediante un proveedor especializado de inteligencia artificial con servidores ubicados en la UE (véase la Sección 4 para más detalles).
Almacenamiento efímero: Los documentos existen en nuestro sistema únicamente durante el proceso de extracción (segundos). Una vez completada la extracción de datos, el documento original se elimina permanentemente del almacenamiento. Solo se conservan los datos estructurados resultantes del análisis, conforme al principio de minimización de datos (Art. 5.1.c RGPD).
Acceso restringido: Los resultados del análisis son accesibles únicamente por el usuario propietario a través de endpoints autenticados que verifican la propiedad del documento.
Control del usuario: El usuario puede eliminar sus análisis en cualquier momento desde su panel de control.
No entrenamiento de modelos: No utilizamos el contenido de los documentos para entrenar modelos de inteligencia artificial ni para ningún fin distinto a la prestación del servicio.
Privacidad: Los documentos y análisis NO se publican ni son accesibles por otros usuarios.

12. Decisiones automatizadas y elaboración de perfiles

El Servicio utiliza inteligencia artificial para extraer y analizar información de documentos hipotecarios. Sin embargo:

No realizamos decisiones íntegramente automatizadas con efectos jurídicos o significativos sobre usted conforme al Art. 22 RGPD.
Los resultados del análisis tienen carácter meramente informativo y no constituyen asesoramiento financiero, legal ni profesional.
No realizamos elaboración de perfiles para tomar decisiones que le afecten.
Usted mantiene el control total sobre cómo utiliza la información proporcionada por el Servicio.

13. Menores de edad

El Servicio está dirigido exclusivamente a personas mayores de 18 años, dado que su contenido versa sobre simulaciones e información de carácter financiero.

No recopilamos conscientemente datos personales de menores de edad.

Si tiene conocimiento de que un menor ha proporcionado datos personales a través del Servicio, le rogamos que contacte inmediatamente con nosotros en admin@hipotecology.com para proceder a su eliminación.

14. Notificación de brechas de seguridad

En caso de que se produzca una violación de seguridad que afecte a sus datos personales, actuaremos conforme a los artículos 33 y 34 del RGPD, notificando a la autoridad de control competente y, cuando proceda, a los interesados afectados.

15. Transferencias comerciales

En caso de fusión, adquisición, reorganización empresarial o venta de activos, sus datos personales podrían ser transferidos como parte de dicha transacción.

En tal caso:

Le informaremos antes de que sus datos sean transferidos
Los datos transferidos seguirán estando protegidos conforme a esta Política de Privacidad
El nuevo responsable del tratamiento asumirá las obligaciones aquí establecidas o le informará de cualquier cambio en el tratamiento

16. Enlaces a sitios de terceros

El Servicio puede contener enlaces a sitios web de terceros que no operamos nosotros. Si hace clic en un enlace de terceros, será dirigido al sitio de ese tercero.

No tenemos control sobre el contenido, las políticas de privacidad ni las prácticas de sitios web de terceros. Le recomendamos encarecidamente que revise la política de privacidad de cada sitio que visite.

Esta Política de Privacidad no es aplicable a ninguna de sus actividades después de salir de nuestro sitio.

17. Modificaciones de esta política

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas, tecnologías utilizadas o requisitos legales.

Cuando realicemos cambios:

Actualizaremos la fecha de "Última actualización" en la parte superior de esta página
En caso de cambios sustanciales, notificaremos a los usuarios registrados por correo electrónico antes de que los cambios entren en vigor
Si los cambios requieren su consentimiento conforme a la normativa aplicable, le solicitaremos dicho consentimiento

Le recomendamos revisar esta Política de Privacidad periódicamente para estar informado de cómo protegemos sus datos.

18. Contacto

Para cualquier consulta sobre privacidad, protección de datos o para ejercer sus derechos, puede contactar con nosotros a través de:

Responsable: Andrés Antonio José Merchán Camirra
NIF: Y9981442P
Correo electrónico: admin@hipotecology.com

Las consultas relacionadas con esta Política de Privacidad serán atendidas conforme a los plazos establecidos en la Sección 7.