Política de
privacidad

En vigor desde el 13 de junio de 2026

01 — Quiénes somos

hotdoc (hotdoc.io) es un producto de BRIGHTSOFT, S.L. («hotdoc», «nosotros»). Actuamos como responsables del tratamiento para el procesamiento descrito aquí.

Responsable del tratamiento:
BRIGHTSOFT, S.L.
NIF B16412264
Rambla Guipúscoa 185, Bloque 1, Piso 1, Puerta 2, 08020 Barcelona, España
Email: hello@hotdoc.io

02 — Ámbito de aplicación

Esta política se aplica a nuestro sitio web (hotdoc.io) y a nuestro servicio — la API de procesamiento de documentos y la aplicación web (app.hotdoc.io). Estamos orientados al principio de minimización de datos: recabamos y conservamos la menor cantidad posible de datos personales.

03 — Qué tratamos y por qué

  • Visitantes del sitio web. Al visitar el sitio, nuestros servidores registran automáticamente datos técnicos — dirección IP, tipo de navegador y sistema operativo, páginas visitadas, fecha/hora y referrer. Se utilizan exclusivamente para mantener el sitio operativo y seguro. Base jurídica: interés legítimo (art. 6.1.f del RGPD). El sitio no dispone de formularios de registro, suscripción ni contacto.
  • Cuenta y autenticación. Para utilizar el servicio se crea una cuenta; tratamos su email y los datos de autenticación a través de nuestro proveedor de autenticación (Supabase). Base jurídica: ejecución de un contrato (art. 6.1.b del RGPD).
  • Facturación. Los pagos de la suscripción son gestionados por nuestro procesador de pagos (Stripe). Stripe recaba los datos de pago directamente; nosotros no recibimos ni almacenamos los datos completos de la tarjeta. Base jurídica: ejecución de un contrato y obligaciones legales (art. 6.1.b y c del RGPD).
  • Documentos y claves API enviados al servicio. Los archivos que envía para procesamiento y la clave del proveedor que conecta (BYOK) se procesan en tiempo de ejecución. Los archivos, datos intermedios y resultados se conservan por tiempo limitado y se eliminan automáticamente (retención por defecto: 7 días). La clave del proveedor (BYOK) se acepta solo como entrada, nunca se devuelve en las respuestas, se almacena exclusivamente cifrada y se elimina junto con la tarea. Para realizar la extracción y el OCR, el contenido de los documentos se envía al proveedor de IA/OCR que selecciona y conecta con su propia clave; dicho proveedor lo trata conforme a sus propios términos. Si los documentos enviados contienen datos personales, usted es el responsable del tratamiento y nosotros actuamos como encargado en virtud de un acuerdo de encargo de tratamiento (DPA).

04 — Cookies

Utilizamos únicamente cookies estrictamente necesarias para el funcionamiento del sitio y del servicio. No utilizamos cookies publicitarias ni de análisis de terceros que requieran consentimiento. Más información: «Cookies y consentimiento».

05 — Conservación

Conservamos casi nada. Los registros técnicos del servidor se retienen un máximo de 90 días. Los datos de la cuenta se conservan mientras la cuenta esté activa; los registros de facturación, durante el plazo exigido por la normativa fiscal y contable aplicable. Los archivos, datos intermedios y resultados se conservan por tiempo limitado y se eliminan automáticamente (por defecto: 7 días); la clave del proveedor cifrada se elimina junto con la tarea, tal como se describe más arriba.

06 — Con quién compartimos los datos

No vendemos sus datos personales ni los cedemos con fines publicitarios. Contamos con un número limitado de proveedores de servicios (encargados del tratamiento) que actúan según nuestras instrucciones: nuestro procesador de pagos (Stripe), nuestro proveedor de autenticación (Supabase) y proveedores de alojamiento e infraestructura en la nube. Además, cuando utiliza el servicio, el contenido de los documentos se envía al proveedor de IA/OCR que elige y conecta mediante su propia clave (BYOK). Cada proveedor que contratamos está vinculado por un acuerdo de encargo del tratamiento. También podemos divulgar datos cuando así lo exija la ley.

07 — Transferencias internacionales

Nuestro servicio es global y sus datos pueden tratarse en infraestructura ubicada dentro o fuera del Espacio Económico Europeo (EEE). Cuando los datos se transfieren fuera del EEE, aplicamos garantías adecuadas — como las Cláusulas Contractuales Tipo de la Comisión Europea — o una derogación aplicable conforme al art. 49 del RGPD. Puede solicitar información sobre estas garantías en hello@hotdoc.io.

08 — Seguridad

Utilizamos TLS en tránsito y cifrado en reposo, acceso mediante API key y tratamiento de material sensible exclusivamente en el ámbito de la sesión. Dado que conservamos muy poco, el volumen de datos que podría verse afectado en caso de incidente es mínimo por diseño.

09 — Sus derechos

De acuerdo con la normativa aplicable, puede solicitar el acceso, rectificación, supresión, limitación o portabilidad de sus datos, así como oponerse al tratamiento. Para ejercer cualquier derecho, escriba a hello@hotdoc.io; respondemos en un plazo de 30 días.

  • EEE/Reino Unido: derechos reconocidos por el RGPD/UK GDPR, incluido el derecho a presentar una reclamación ante su autoridad de control local o ante la Agencia Española de Protección de Datos (www.aepd.es).
  • California (EE. UU.): no vendemos ni «cedemos» información personal; puede solicitar acceso o supresión sin ser discriminado por ejercer sus derechos.
  • Otras regiones: respetamos los derechos equivalentes sobre datos donde la normativa aplicable los reconozca.

10 — Menores

El servicio está dirigido a empresas y no está orientado a menores de 16 años. No recabamos datos de menores de forma consciente.

11 — Decisiones automatizadas

No tomamos decisiones con efectos jurídicos o igualmente significativos basadas exclusivamente en el tratamiento automatizado.

12 — Cambios

Podemos actualizar esta política. La versión vigente estará siempre disponible en hotdoc.io/es/privacy; la fecha de última actualización figura en la parte superior.

13 — Contacto

Consultas sobre esta política: hello@hotdoc.io.