Versión 1.0
Vigente desde: 8 de mayo de 2026
En Robin entendemos que el tratamiento de datos personales en un asistente jurídico no es un trámite formal: los datos que el Usuario maneja están a menudo amparados por el secreto profesional del abogado (art. 542.3 LOPJ y art. 5 EGAE). Por eso esta política describe con precisión qué hacemos con los datos, qué no hacemos, y cómo está construido técnicamente el servicio para que el secreto se preserve.
1 · Responsable del tratamiento
Responsable: Robin Lawyers · [Razón social — pendiente]
NIF: [Pendiente]
Domicilio: [Pendiente]
Contacto en materia de privacidad: privacidad@robinlawyer.ai
Delegado de Protección de Datos (DPD): dpd@robinlawyer.ai
2 · Datos que tratamos y origen
Robin trata las siguientes categorías de datos personales:
| Categoría | Datos | Origen |
|---|---|---|
| Identificación de cuenta | Nombre, apellidos, correo electrónico, contraseña hasheada, número de colegiado (cuando aplica), idioma preferido. | Facilitados por el propio Usuario al registrarse. |
| Datos profesionales | Despacho, rol (abogado solo, despacho mediano, etc.), rama jurídica de especialización, ámbito territorial. | Onboarding voluntario para personalizar el servicio. |
| Facturación | Razón social, NIF, dirección de facturación, datos de la pasarela de pago (no almacenamos PAN íntegro de tarjeta — lo trata Stripe). | Facilitados por el Usuario en la contratación del plan. |
| Datos de uso del servicio | Consultas realizadas al asistente, prompts enviados a los modelos de IA, documentos cargados (cuando aplique), historial de búsquedas, logs técnicos, IP, identificadores de dispositivo, tokens de sesión. | Recogidos automáticamente al usar el servicio. |
| Datos de terceros incluidos por el Usuario | Datos personales de clientes, contrapartes o terceros que el Usuario incluya en sus consultas (nombres, hechos del expediente, etc.). | Aportados por el Usuario en el ejercicio de su actividad profesional. |
| Cookies y similares | Cookies técnicas, de preferencia y analíticas. Detalle en la Política de Cookies. | Recogidas en el navegador del Usuario. |
3 · Finalidades y base legal
| Finalidad | Base legal (RGPD) | Plazo de conservación |
|---|---|---|
| Crear y mantener la cuenta de Usuario y prestar el servicio contratado. | Art. 6.1.b — ejecución de un contrato. | Mientras la cuenta esté activa, más los plazos de prescripción legalmente exigibles. |
| Facturación, gestión de pagos y obligaciones contables y fiscales. | Art. 6.1.b y 6.1.c — obligación legal (LGT, Código de Comercio). | 6 años (art. 30 C. Com.) y los plazos fiscales aplicables. |
| Procesar prompts y devolver respuestas generadas con IA y con el corpus jurídico. | Art. 6.1.b — ejecución del contrato. | Ver sección 6 (retención de prompts) más abajo. |
| Seguridad del servicio, prevención de abuso, detección de fraude y cumplimiento normativo. | Art. 6.1.f — interés legítimo de Robin y de los demás Usuarios. | Logs de seguridad: hasta 12 meses. |
| Mejorar la calidad del servicio (métricas agregadas y anónimas, telemetría). | Art. 6.1.f — interés legítimo, ponderado. | Datos agregados, sin reidentificación posible. |
| Comunicaciones comerciales sobre Robin (newsletter, novedades del producto). | Art. 6.1.a — consentimiento (revocable en cualquier momento). | Hasta que el Usuario retire el consentimiento. |
| Atención al usuario, soporte y resolución de incidencias. | Art. 6.1.b — ejecución del contrato. | 3 años desde la última interacción. |
4 · Lo que Robin NO hace con tus datos
Robin no entrena modelos generales de IA con los prompts ni con los documentos que el Usuario sube al servicio. Los prompts se transmiten al proveedor del modelo (p. ej. Anthropic Claude) bajo contrato de encargado de tratamiento que prohíbe expresamente su uso para entrenar modelos.
Robin no vende datos personales a terceros.
Robin no perfila ni elabora decisiones automatizadas con efectos jurídicos sobre el Usuario o sobre terceros. Las respuestas generadas son herramientas de apoyo al criterio profesional del abogado.
Robin no comparte el contenido de tus consultas con otros Usuarios ni mezcla el corpus de un despacho con el de otro: el aislamiento entre cuentas/despachos es una garantía contractual y técnica del servicio.
5 · Encargados y sub-encargados de tratamiento
Para prestar el servicio, Robin se apoya en proveedores que actúan como encargados o sub-encargados de tratamiento, vinculados por contratos conformes al art. 28 RGPD:
| Proveedor | Servicio prestado | Ubicación |
|---|---|---|
| Anthropic, PBC | Modelos de lenguaje (Claude) que procesan los prompts del Usuario para generar respuestas. | EE. UU. — transferencia con Cláusulas Contractuales Tipo (SCC) y compromisos de no entrenamiento. |
| OpenAI Ireland Ltd. | Modelos de lenguaje alternativos (ChatGPT) cuando el Usuario los conecta voluntariamente. | UE / EE. UU. — SCC. |
| Supabase Inc. | Gestor de autenticación e identidades (cuentas, MFA). | UE — región Frankfurt (eu-central-1). |
| Stripe Payments Europe Ltd. | Procesamiento de pagos y suscripciones. | UE — Irlanda. Cumplimiento PCI-DSS. |
| Google Cloud (Vertex AI) | Generación de embeddings vectoriales para la búsqueda semántica del corpus jurídico. | UE — región europe-west. |
| Hetzner Online GmbH | Servidor principal donde reside la base de datos y el corpus jurídico. | Alemania — UE. |
| Hosting transaccional de correo | Envío de correos transaccionales (alta, recuperación de contraseña, facturas). | UE. |
La lista actualizada de sub-encargados está disponible en robinlawyer.ai/dpa.html. Cualquier alta de un nuevo sub-encargado se comunica con una antelación razonable a los clientes profesionales a través del DPA.
6 · Retención de prompts y cifrado
Los prompts y respuestas se conservan por el tiempo estrictamente necesario para prestar el servicio:
- Historial del Usuario: mientras la cuenta esté activa, salvo que el Usuario lo borre manualmente.
- Logs operativos del modelo: hasta 30 días en los proveedores de IA (Anthropic, OpenAI), exclusivamente para detección de abuso, conforme a sus DPA.
- Cifrado: los datos se cifran en tránsito (TLS 1.3) y en reposo (AES-256). Las contraseñas se almacenan únicamente en forma de hash con argon2.
7 · Transferencias internacionales
La infraestructura principal de Robin se encuentra en la Unión Europea. Algunas transferencias necesarias (modelos de IA de Anthropic en EE. UU.) se amparan en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, complementadas con medidas adicionales (cifrado, seudonimización donde es técnicamente posible y compromisos contractuales de no entrenamiento).
8 · Derechos del interesado
El Usuario puede ejercer en cualquier momento los siguientes derechos previstos en los arts. 15 a 22 RGPD:
- Derecho de acceso a sus datos personales.
- Derecho de rectificación de datos inexactos.
- Derecho de supresión («derecho al olvido»).
- Derecho de oposición y de limitación del tratamiento.
- Derecho a la portabilidad de los datos en formato estructurado.
- Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos.
- Derecho a retirar el consentimiento cuando el tratamiento se base en él.
Para ejercerlos basta con enviar un correo a privacidad@robinlawyer.ai acreditando la identidad del solicitante. Robin responderá en el plazo máximo de un mes (ampliable a dos en supuestos complejos, art. 12.3 RGPD).
Si el Usuario considera que su solicitud no ha sido atendida correctamente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (C/ Jorge Juan, 6, 28001 Madrid · www.aepd.es).
9 · Secreto profesional del abogado
Cuando el Usuario es abogado en ejercicio, los datos que incorpora a sus consultas pueden estar protegidos por el secreto profesional. Robin trata esos datos con sujeción a los siguientes principios:
- Aislamiento estricto de cuentas: ningún Usuario puede acceder a las consultas ni a los expedientes de otro.
- Política de mínimos privilegios para el personal de Robin: el acceso a datos de Usuarios queda limitado a casos de soporte expresamente solicitados o de seguridad, registrados en log de auditoría.
- Compromiso contractual con todos los sub-encargados (Anthropic, OpenAI, etc.) de no utilizar el contenido de los prompts para entrenar modelos generales.
- Posibilidad de eliminar el historial completo del Usuario desde el panel de cuenta, con supresión efectiva en los backups en el plazo máximo de 90 días.
10 · Menores
Robin es un servicio dirigido a profesionales del derecho, mayores de edad. No se permite el registro de menores de 18 años.
11 · Modificaciones
Robin podrá modificar esta política para adaptarla a cambios normativos o a nuevas funcionalidades. Cuando los cambios sean sustanciales, se notificarán al Usuario por correo electrónico con una antelación razonable, y se publicará la nueva versión en el Sitio Web indicando la fecha de entrada en vigor.