← Volver

Política de Privacidad

Fecha de entrada en vigor: 2026-04-24·Última actualización: 2026-04-24·Versión 1.2

Esta traducción al español se proporciona únicamente con fines informativos. La versión original en inglés prevalece. Se aplica el derecho neerlandés; tribunal exclusivo: Ámsterdam.

Política de Privacidad

Fecha de vigencia: 23 de abril de 2026 · Última actualización: 24 de abril de 2026 · Versión: 1.2

La presente Política de Privacidad explica cómo Alpha Digital B.V., que opera bajo el nombre de Custos AI («Custos AI», «nosotros», «nos» o «nuestro»), recopila, utiliza, almacena y protege los datos personales cuando usted utiliza nuestra plataforma en app.custosai.eu y nuestro sitio web en custosai.eu (conjuntamente, el «Servicio»).

1. Introducción

La presente Política de Privacidad explica cómo Alpha Digital B.V., que opera bajo el nombre de Custos AI («Custos AI», «nosotros», «nos» o «nuestro»), recopila, utiliza, almacena y protege los datos personales cuando usted utiliza nuestra plataforma en app.custosai.eu y nuestro sitio web en custosai.eu (conjuntamente, el «Servicio»).

Custos AI es una plataforma de trabajo multi-LLM diseñada para pequeñas y medianas empresas (PYME) europeas. Nos comprometemos a proteger sus datos personales en plena conformidad con el Reglamento General de Protección de Datos (UE) 2016/679 («RGPD») y la Ley neerlandesa de aplicación del RGPD (Uitvoeringswet AVG, «UAVG»).

Al utilizar el Servicio, usted reconoce haber leído y comprendido la presente Política de Privacidad.

2. Responsable del tratamiento

El responsable del tratamiento de sus datos personales es:

Alpha Digital B.V. (que opera como Custos AI) — Equipo de Protección de Datos
Stationsplein 26, 6512 AB Nijmegen, Países Bajos
KvK: 72313129
Correo electrónico:

3. Datos personales que recopilamos

3.1 Datos de cuenta

Al registrarse en el Servicio, recopilamos:

  • Nombre completo
  • Dirección de correo electrónico
  • Contraseña cifrada (hash)
  • Idioma preferido (aplicación actualmente disponible en NL e EN; idiomas adicionales de la UE en proceso de incorporación)
  • Nombre de la organización (si corresponde)
  • Rol del usuario dentro de la organización (administrador o miembro)

3.2 Datos de uso

Al utilizar el Servicio, procesamos:

  • Mensajes de chat enviados a los proveedores LLM a través de nuestra plataforma
  • Historial de chats y metadatos de conversación (marcas de tiempo, modelo utilizado)
  • Archivos cargados (PDF, DOCX, imágenes — máximo 20 MB por archivo)
  • Métricas de uso de la API (recuentos de tokens, costes estimados por proveedor)
  • Datos de presupuesto y gasto

3.3 Datos técnicos

Recopilamos automáticamente:

  • Dirección IP
  • Tipo y versión del navegador
  • Sistema operativo
  • Marcas de tiempo de accesos y acciones
  • Registros de errores (anonimizados)

3.4 Claves API (BYOK)

Usted proporciona sus propias claves API para los proveedores LLM de terceros («Bring Your Own Key»). Estas claves se cifran en reposo con AES-256-GCM y nunca se registran en texto plano. Custos AI no utiliza sus claves API para ningún propósito distinto al enrutamiento de sus solicitudes al proveedor que usted haya seleccionado.

3.5 Datos de pago

Si se suscribe a un plan de pago, el pago es procesado por Stripe, Inc. No almacenamos números de tarjeta de crédito ni datos bancarios en nuestros servidores. De Stripe recibimos únicamente una referencia de transacción, el tipo de plan y el estado de facturación.

4. Finalidades y bases jurídicas del tratamiento

FinalidadDatos implicadosBase jurídica (RGPD)
Provisión y funcionamiento del ServicioDatos de cuenta, mensajes de chat, archivos cargados, claves APIArt. 6(1)(b) — ejecución del contrato
Autenticación de usuarios y control de accesoCorreo electrónico, contraseña, tokens MFA, datos de sesiónArt. 6(1)(b) — ejecución del contrato
Protección de costes de API y aplicación de presupuestosMétricas de uso de la API, datos de gastoArt. 6(1)(b) — ejecución del contrato
FacturaciónDatos de cuenta, referencias de transacción de StripeArt. 6(1)(b) — ejecución del contrato
Seguridad, prevención del fraude y detección de abusosDirección IP, datos técnicos, registros de accesoArt. 6(1)(f) — interés legítimo
Monitorización del tiempo de actividad y resolución de erroresDatos técnicos, registros de erroresArt. 6(1)(f) — interés legítimo
Cumplimiento de obligaciones legalesDatos de cuenta, registros de acceso, registros de facturaciónArt. 6(1)(c) — obligación legal
Analítica web (custosai.eu)Visitas de páginas anonimizadas a través de Vercel AnalyticsArt. 6(1)(f) — interés legítimo; sin cookies
Respuesta a solicitudes de asistenciaDirección de correo electrónico, contenido del mensajeArt. 6(1)(b) — ejecución del contrato

5. Lo que NO hacemos con sus datos

  • Sin entrenamiento de IA: Sus datos — incluyendo mensajes de chat, archivos cargados y uso de la API — nunca son utilizados por Custos AI para entrenar, ajustar o mejorar ningún modelo de IA.
  • Sin venta de datos: Nunca vendemos, alquilamos ni negociamos sus datos personales con terceros.
  • Sin perfilado con fines publicitarios: No utilizamos sus datos para publicidad dirigida ni perfilado automatizado.
  • Sin margen sobre los costes LLM: Custos AI no intercepta, revende ni cobra margen sobre el uso de los proveedores LLM. Todos los costes LLM son directamente entre usted y el proveedor.

6. Encargados del tratamiento

Contratamos a los siguientes encargados del tratamiento para operar el Servicio. Todos están vinculados por acuerdos de tratamiento de datos que garantizan un tratamiento conforme al RGPD.

Encargado del tratamientoFinalidadUbicaciónDatos tratados
SupabaseBase de datos, autenticación, almacenamiento de archivosFráncfort, Alemania (UE)Datos de cuenta, historial de chats, archivos cargados
TransIP B.V.Hosting VPS para el proxy LiteLLM y la aplicación de presupuestosÁmsterdam, Países Bajos (UE)Enrutamiento de solicitudes API, metadatos de presupuesto
Vercel, Inc.Hosting del frontend del sitio web y la aplicaciónRed edge de la UEAnalíticas de páginas anonimizadas
LettermintEntrega de correo electrónico transaccionalUEDirección de correo electrónico, contenido de mensajes
Stripe Payments Europe, Ltd.Procesamiento de pagos y Stripe TaxDublín, Irlanda (UE)Datos de facturación, referencias de transacción

Una lista actualizada de los encargados del tratamiento se publica en custosai.eu/sub-processors. Le notificaremos con al menos 30 días de antelación cualquier cambio sustancial en nuestra lista de encargados del tratamiento.

7. Transferencias internacionales de datos

Todo el tratamiento primario de datos se realiza en servidores ubicados dentro de la Unión Europea — base de datos y almacenamiento de archivos en Fráncfort (Alemania) a través de Supabase, proxy LLM y aplicación de presupuestos en Ámsterdam (Países Bajos) a través de TransIP. No transferimos sus datos personales fuera del Espacio Económico Europeo (EEE), salvo en las siguientes circunstancias:

  • Solicitudes a proveedores LLM: Cuando usted envía un mensaje de chat, este se reenvía al proveedor LLM asociado a su clave API (por ejemplo, OpenAI, Anthropic, Google). Estos proveedores pueden procesar datos fuera del EEE. Esta transferencia es iniciada por usted, utilizando su propia clave API. Custos AI actúa como encargado del tratamiento que transmite sus instrucciones.
  • Stripe: Los datos de pago pueden procesarse en la infraestructura de Stripe en la UE (Dublín). En la medida en que los datos se transfieran fuera del EEE, Stripe se apoya en las cláusulas contractuales tipo adoptadas por la Comisión Europea.

8. Plazos de conservación

Tipo de datosPeríodo de conservaciónJustificación
Datos de cuentaDuración de la cuenta + 12 meses tras la eliminaciónEjecución del contrato; derecho fiscal neerlandés
Historial de chatsDuración de la cuenta; eliminado al eliminar la cuentaEjecución del contrato
Archivos cargados30 días tras la carga (configurable por el administrador del espacio de trabajo)Gestión del almacenamiento; minimización de datos
Datos de uso y presupuesto de la API12 meses (rotativo)Ejecución del contrato; transparencia de costes
Registros de auditoría12 mesesInterés legítimo — seguridad y prevención del fraude
Registros de facturación7 años tras el final del ejercicio fiscalObligación legal — derecho fiscal neerlandés (Art. 52 AWR)
Registros de errores90 díasInterés legítimo — estabilidad del servicio
Correspondencia de asistencia24 meses tras la última interacciónEjecución del contrato

9. Seguridad de los datos

Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales, entre ellas:

  • Cifrado en reposo: Todos los datos almacenados en nuestra base de datos y almacenamiento de archivos se cifran con AES-256.
  • Cifrado en tránsito: Todos los datos transmitidos entre su navegador y nuestros servidores están protegidos por TLS 1.2 o superior.
  • Cifrado de claves API: Sus claves API de proveedores LLM se cifran con AES-256-GCM antes del almacenamiento y solo se descifran en memoria en el momento de su uso. Nunca se escriben en registros.
  • Control de acceso: El acceso a los sistemas de producción está restringido al personal autorizado según el principio de mínimo privilegio.
  • MFA: La autenticación multifactor (TOTP) está disponible para todas las cuentas de usuario.
  • Seguridad de red: Supabase aplica cifrado de conexión y Row Level Security (RLS) en todos los accesos a la base de datos.
  • Aislamiento de red: Todos los datos de los clientes están aislados a nivel de base de datos mediante Supabase Row Level Security (RLS). La separación multi-inquilino se aplica en cada consulta, no en la capa de aplicación.
  • Copias de seguridad periódicas: Copias de seguridad automatizadas diarias con pruebas de restauración mensuales.

10. Sus derechos como interesado

En virtud del RGPD, usted dispone de los siguientes derechos respecto a sus datos personales:

DerechoDescripción
Acceso (Art. 15)Puede solicitar una copia de los datos personales que tenemos sobre usted.
Rectificación (Art. 16)Puede solicitar la corrección de datos inexactos o incompletos.
Supresión (Art. 17)Puede solicitar la eliminación de sus datos. Puede eliminar su cuenta y todos los datos asociados directamente desde la plataforma.
Limitación (Art. 18)Puede solicitar que limitemos el tratamiento de sus datos en determinadas circunstancias.
Portabilidad (Art. 20)Puede exportar sus datos en un formato legible por máquina (JSON o CSV) directamente desde la plataforma.
Oposición (Art. 21)Puede oponerse al tratamiento basado en nuestro interés legítimo.
Retirada del consentimiento (Art. 7(3))Cuando el tratamiento se basa en el consentimiento (por ejemplo, cookies), puede retirarlo en cualquier momento.

Para ejercer cualquiera de estos derechos, póngase en contacto con nosotros en . Responderemos en un plazo de 30 días. Es posible que le solicitemos que verifique su identidad antes de procesar su solicitud.

11. Exportación de datos y eliminación de cuenta

  • Exportación de datos: Puede exportar sus datos personales (incluido el historial de chats e información de cuenta) en cualquier momento en formato JSON o CSV a través de la configuración de la plataforma.
  • Eliminación de cuenta: Puede eliminar permanentemente su cuenta y todos los datos asociados desde la configuración de la plataforma. Tras la eliminación, todos sus datos personales se eliminan de forma irreversible de nuestros sistemas en un plazo de 30 días, salvo que la conservación sea exigida por ley.

12. Cookies

12.1 Aplicación (app.custosai.eu)

La aplicación utiliza únicamente cookies estrictamente necesarias para la autenticación y la gestión de sesiones. No se colocan cookies de análisis ni de seguimiento en el dominio de la aplicación.

12.2 Sitio web (custosai.eu)

El sitio web de marketing utiliza Vercel Analytics, un servicio respetuoso con la privacidad que no utiliza cookies ni rastrea a usuarios individuales. Puede gestionar sus preferencias de cookies en cualquier momento a través de la Política de cookies.

Plausible Analytics (alojado en la UE en Alemania) también se utiliza para análisis web respetuosos con la privacidad y sin cookies. No se recopilan datos personales; solo se procesan datos agregados sobre visitas de páginas, referentes y tipo de navegador de forma anónima. Plausible no instala cookies y no es un encargado del tratamiento en el sentido de la definición del RGPD, ya que no se transfieren datos personales.

13. Menores

El Servicio está diseñado para uso empresarial y no está dirigido a personas menores de 16 años. No recopilamos conscientemente datos personales de menores. Si cree que un menor nos ha proporcionado datos personales, póngase en contacto con nosotros en .

14. Proveedores LLM de terceros

Cuando utiliza el Servicio, sus mensajes de chat se reenvían al proveedor LLM que ha seleccionado mediante su propia clave API. Custos AI no controla cómo estos proveedores procesan sus datos. Le recomendamos encarecidamente que:

  • Revise la política de privacidad de cada proveedor LLM antes de utilizar sus servicios.
  • Se asegure de que el proveedor ofrece un Acuerdo de Tratamiento de Datos (ATD) y una garantía de no entrenamiento si esto es importante para su negocio.
  • Evite enviar datos personales altamente sensibles (como números de identificación nacional, historiales médicos o datos de cuentas financieras) a cualquier proveedor LLM sin haber evaluado los riesgos asociados.

15. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente. Cuando realicemos cambios sustanciales:

  • Actualizaremos la fecha de «Última actualización» en la parte superior de este documento.
  • Notificaremos a los usuarios registrados por correo electrónico al menos 14 días antes de que los cambios entren en vigor.
  • Publicaremos la política actualizada en https://custosai.eu/privacy.

16. Autoridad de control

Si considera que nuestro tratamiento de sus datos personales infringe el RGPD, tiene derecho a presentar una reclamación ante una autoridad de control. Nuestra autoridad de control principal es:

Autoriteit Persoonsgegevens (AP)
Bezuidenhoutseweg 30, 2594 AV Den Haag, Países Bajos
Sitio web: autoriteitpersoonsgegevens.nl
Teléfono: +31 70 888 85 00

También puede dirigirse a la autoridad de control competente en su país de residencia, por ejemplo la Agencia Española de Protección de Datos (AEPD) en España (sitio web: aepd.es).

17. Contacto

Para cualquier pregunta, solicitud o preocupación relacionada con esta Política de Privacidad o nuestras prácticas de protección de datos, póngase en contacto con:

Alpha Digital B.V. (que opera como Custos AI) — Equipo de Protección de Datos
Stationsplein 26, 6512 AB Nijmegen, Países Bajos
KvK: 72313129
Correo electrónico:

Alpha Digital B.V. · KvK 72313129 · Stationsplein 26, 6512 AB Nijmegen, NL
Política de privacidadTérminos de servicioAcuerdo de procesamiento de datosPolítica de cookies