Última actualización: 18 de abril de 2026

1. Responsable del Tratamiento

El responsable del tratamiento de los datos personales recogidos a través de la plataforma Veredictia es Veredictia (en adelante, "Veredictia" o "el Responsable"), con los datos de identificación que constan en el aviso legal publicado en este sitio web.

Para cualquier cuestión relacionada con el tratamiento de datos personales, el Usuario puede dirigirse al Delegado de Protección de Datos (DPO) a través del correo electrónico de contacto indicado en la sección 13 de esta política.

2. Datos Personales Recopilados

Datos identificativos y de contacto: nombre, apellidos, dirección de correo electrónico, número de teléfono, empresa u organización a la que pertenece el Usuario y cargo o rol en la misma. Estos datos se recogen en el formulario de registro y pueden actualizarse desde el panel de usuario.

Datos de autenticación y seguridad: contraseña cifrada, tokens de sesión, identificadores de dispositivo, dirección IP, timestamps de inicio y cierre de sesión, y códigos OTP enviados por SMS para la firma de documentos.

Datos contractuales y de facturación: plan suscrito, fechas de alta y baja, historial de pagos, identificadores de Stripe y DocuSign, domicilio de facturación y número de identificación fiscal cuando proceda.

Datos derivados del uso de la Plataforma: registros de actividad (acciones realizadas, estado de acuerdos, depósitos, descargas), metadatos de los archivos depositados (nombre, tamaño, hash SHA-256), y comunicaciones mantenidas a través de la Plataforma. No se accede al contenido del código depositado salvo para fines estrictamente técnicos de custodia.

Datos especiales derivados de incidencias: cuando el Usuario aporta evidencias o escritos en una incidencia, el contenido aportado se trata exclusivamente para resolver la controversia y puede ser remitido al Comité de Expertos y al sistema VeredictIA®.

3. Finalidades del Tratamiento

Los datos personales se tratan con las siguientes finalidades: (a) gestión del registro, autenticación y mantenimiento de la cuenta del Usuario; (b) prestación del servicio de software escrow, incluyendo la suscripción del acuerdo tripartito, la firma electrónica de NDA y contrato, el depósito y custodia del código fuente, la resolución de incidencias y la liberación controlada del código; (c) facturación y gestión de cobros mediante Stripe; (d) envío de comunicaciones operativas (notificaciones de estado de acuerdos, recordatorios de firma, alertas de incidencias); (e) cumplimiento de obligaciones legales aplicables (fiscales, contables, judiciales); (f) mejora de la Plataforma mediante análisis agregado del uso; (g) atención al usuario y soporte técnico.

4. Base Jurídica del Tratamiento

El tratamiento de datos personales se ampara, según el caso, en las siguientes bases jurídicas establecidas en el artículo 6 del RGPD:

Ejecución de contrato (art. 6.1.b RGPD): las operaciones de registro, firma electrónica, custodia, incidencias, liberación de código y facturación son necesarias para ejecutar el contrato de prestación del servicio.

Cumplimiento de una obligación legal (art. 6.1.c RGPD): la conservación de documentación fiscal y contable, la respuesta a requerimientos de autoridades competentes y la notificación de brechas de seguridad responden a obligaciones legales imperativas.

Interés legítimo (art. 6.1.f RGPD): la prevención de fraudes, la seguridad de la Plataforma, el mantenimiento de registros de auditoría y la mejora del servicio se amparan en el interés legítimo del Responsable, ponderado con los derechos y libertades del Usuario.

Consentimiento (art. 6.1.a RGPD): las comunicaciones comerciales distintas de las estrictamente operativas, el uso de cookies no esenciales y cualquier otro tratamiento no justificado por las bases anteriores se basarán en el consentimiento expreso del Usuario, que podrá retirarse en cualquier momento.

5. Destinatarios de los Datos y Encargados del Tratamiento

Los datos personales pueden ser comunicados a los siguientes destinatarios en la estricta medida necesaria para ejecutar el servicio: (a) las demás partes del acuerdo de escrow (Licenciante, Licenciatario y otras contrapartes expresamente previstas en el contrato); (b) los miembros del Comité de Expertos asignados a una incidencia, limitándose al expediente correspondiente; (c) autoridades competentes cuando exista requerimiento legal o judicial.

Veredictia contrata encargados del tratamiento para la prestación de servicios específicos: DocuSign (firma electrónica), Stripe (procesamiento de pagos), proveedores de IA (Google Gemini y otros proveedores LLM para análisis con VeredictIA®), AWS / proveedor de almacenamiento S3 compatible (custodia de archivos cifrados), operadores de telecomunicaciones (envío de SMS-OTP), proveedores de correo electrónico transaccional y servicios de infraestructura en la nube. Con todos ellos se formalizan contratos de encargado del tratamiento conforme al artículo 28 del RGPD.

Veredictia no vende ni cede datos personales a terceros con fines comerciales distintos de los indicados.

6. Transferencias Internacionales

Algunos encargados del tratamiento (por ejemplo, proveedores de IA o servicios cloud) pueden tratar datos fuera del Espacio Económico Europeo. En estos casos, Veredictia se asegura de que la transferencia se realice bajo una base jurídica válida del RGPD, tal como: (a) decisión de adecuación de la Comisión Europea; (b) cláusulas contractuales tipo (SCC) aprobadas por la Comisión; (c) certificación en marcos específicos (Data Privacy Framework cuando aplique).

El Usuario puede solicitar información detallada sobre las transferencias internacionales dirigiéndose al DPO.

7. Plazos de Conservación

Los datos se conservan durante el tiempo estrictamente necesario para las finalidades para las que fueron recogidos y para cumplir las obligaciones legales aplicables: (a) datos de cuenta activa: durante la vigencia de la relación contractual; (b) datos contractuales y contables: durante los plazos fiscales y mercantiles aplicables (con carácter general, 6 años en España conforme al artículo 30 del Código de Comercio); (c) registros de auditoría de firma electrónica: conforme a los plazos exigidos por eIDAS y la Ley 6/2020; (d) material depositado en escrow: mientras el acuerdo esté vigente y durante el plazo pactado tras su terminación; (e) comunicaciones comerciales: hasta que el Usuario retire el consentimiento.

Transcurridos los plazos aplicables, los datos se suprimen de forma segura o se anonimizan irreversiblemente.

8. Derechos del Interesado

El Usuario puede ejercer los siguientes derechos reconocidos por el RGPD: acceso (art. 15), rectificación (art. 16), supresión u "olvido" (art. 17), limitación del tratamiento (art. 18), portabilidad (art. 20), oposición (art. 21), y a no ser objeto de decisiones automatizadas con efectos jurídicos (art. 22).

El ejercicio de estos derechos se realizará mediante solicitud escrita dirigida al correo del DPO indicado en la sección 13, adjuntando copia de un documento identificativo o documentación equivalente. Veredictia responderá en el plazo máximo de un (1) mes, prorrogable excepcionalmente dos meses más cuando la complejidad o el volumen lo justifique.

El Usuario tiene derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es) o la autoridad de control competente en su país de residencia si considera que el tratamiento no cumple con la normativa.

En cuanto a las decisiones automatizadas: el sistema VeredictIA® puede emitir un veredicto preliminar automatizado sobre incidencias, pero las resoluciones con efecto contractual relevante requieren revisión humana (Comité de Expertos o Administrador de Agencia) conforme al flujo descrito en los Términos y Condiciones.

9. Medidas de Seguridad

Veredictia aplica medidas técnicas y organizativas apropiadas para proteger los datos personales y el material depositado contra tratamientos no autorizados, pérdidas, alteraciones o accesos ilícitos, incluyendo: cifrado en reposo y en tránsito (TLS, AES-256), control de acceso basado en roles, registro inmutable de actividad, copias de seguridad geográficamente distribuidas, monitorización continua, autenticación reforzada para operaciones críticas, procedimientos de respuesta a incidentes y formación del personal.

En caso de brecha de seguridad con riesgo para los derechos y libertades de los Usuarios, Veredictia notificará a la autoridad competente en un plazo máximo de 72 horas desde su detección y, cuando el riesgo sea alto, también a los Usuarios afectados, conforme a los artículos 33 y 34 del RGPD.

10. Cookies

La Plataforma utiliza cookies técnicas estrictamente necesarias para el funcionamiento (sesión, preferencias de idioma, seguridad), que no requieren consentimiento. Cualquier cookie adicional de analítica o personalización solo se activará previo consentimiento del Usuario mediante el banner de cookies.

El Usuario puede configurar o desactivar las cookies en cualquier momento desde las opciones de su navegador. Más información en el apartado específico de cookies si está disponible.

11. Menores de Edad

La Plataforma está dirigida exclusivamente a profesionales y personas jurídicas. No se recaba intencionadamente información de menores de edad. Si se detecta que un registro corresponde a un menor, la cuenta será suspendida y los datos suprimidos.

12. Modificaciones a esta Política

Veredictia podrá actualizar esta Política para reflejar cambios normativos u operativos. La versión vigente estará siempre disponible en esta página con indicación de la fecha de última actualización. Los cambios sustanciales se comunicarán al Usuario mediante correo electrónico y aviso en la Plataforma con antelación razonable.

13. Contacto y Delegado de Protección de Datos

Para ejercer sus derechos o para cualquier consulta relacionada con el tratamiento de sus datos, el Usuario puede contactar con el Delegado de Protección de Datos de Veredictia a través del formulario de contacto del sitio web o del correo electrónico de protección de datos que Veredictia publica en la sección de contacto.