Política de Privacidad
Última actualización: 12 de marzo de 2026
En MEP Spain (en adelante, «el Responsable»), respetamos tu privacidad y nos comprometemos a proteger tus datos personales conforme al Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. Responsable del tratamiento
Los datos del responsable del tratamiento son:
- Identidad: MEP Spain
- Contacto DPD: [email protected]
- Dirección: Consultar en el Registro Mercantil correspondiente.
2. Datos que recopilamos y finalidades
Recopilamos y tratamos los siguientes datos personales, con las finalidades y bases legales indicadas (Art. 6 RGPD):
| Dato | Finalidad | Base legal (Art. 6 RGPD) |
|---|---|---|
| Nombre, email, contraseña (hash bcrypt) | Gestión de cuenta, autenticación y 2FA | Art. 6.1.b — Ejecución de contrato |
| Historial de conversaciones con el agente | Memoria del agente, contexto del chat y mejora del servicio | Art. 6.1.f — Interés legítimo |
| IPs de servidores LLM registrados | Conexión, health checks y routing de endpoints | Art. 6.1.b — Ejecución de contrato |
| Estadísticas de uso agregadas (sin contenido) | Mejora del servicio, monitorización y detección de abusos | Art. 6.1.f — Interés legítimo |
| Agenda de contactos: nombre en texto claro; email y teléfono cifrados (AES-256-CBC) | Envío de mensajes y recordatorios a terceros por solicitud del usuario | Art. 6.1.a — Consentimiento explícito |
| Datos de suscripción y facturación (gestionados por Stripe) | Procesamiento de pagos, gestión de planes y facturación | Art. 6.1.b — Ejecución de contrato |
| Registros de infracciones TOS (tipo, gravedad, evidencia, alegaciones) | Cumplimiento de los Términos de Servicio y seguridad de la plataforma | Art. 6.1.f — Interés legítimo |
| Visitas a página (path, referrer, UTMs — sin IP, sin cookies, sin fingerprinting, GDPR-safe). Se eliminan automáticamente cada 90 días | Analítica interna de tráfico 100% server-side. Sin Google Analytics, Meta Pixel ni ningún servicio de terceros. Sin tracking de visitantes anónimos | Art. 6.1.f — Interés legítimo |
3. Servidores LLM del usuario
Cuando conectas tu propio servidor LLM:
- Los mensajes que envías al chat se transmiten a TU servidor para generar respuestas a través de un túnel cifrado (WireGuard).
- MeigaHub actúa como intermediario técnico: no almacena las respuestas generadas por tu servidor más allá del historial de conversación.
- Si activas la opción de compartir tu servidor con administradores, los mensajes de los administradores también podrían procesarse en tu servidor.
Importante: Tú eres el responsable de los datos que se procesan en tu propio servidor LLM. MeigaHub no tiene control sobre el tratamiento que tu servidor haga de los datos.
3 bis. Acceso de especialistas a cuentas de usuario
Cuando el usuario contrata un pack de horas de especialista, un trabajador autorizado de MeigaHub (especialista) puede acceder de forma limitada a la cuenta del usuario para prestar el servicio contratado.
Base juridica: Ejecucion del contrato (Art. 6.1.b RGPD) — el acceso es estrictamente necesario para cumplir la prestacion contratada.
- El especialista solo accede a las secciones de la cuenta que el administrador ha autorizado expresamente en la asignacion.
- Todo acceso queda registrado en un log de actividad (fecha, hora, seccion, accion) de forma automatica e inalterada.
- El especialista firma un acuerdo de confidencialidad digital antes de acceder a cada cuenta asignada.
- El usuario puede consultar el historial completo de accesos del especialista en su seccion "Mis Servicios" (RGPD Art. 15 — derecho de acceso).
- Ademas, el usuario recibe un resumen diario por email con las acciones registradas por el especialista.
Conservacion: Los logs de actividad se conservan durante 2 anos y se eliminan automaticamente transcurrido ese plazo (RGPD Art. 5.1.e).
4. APIs cloud de terceros
El usuario puede configurar opcionalmente APIs cloud de proveedores externos (OpenAI, Mistral, Groq, etc.). En este caso:
- Los mensajes del chat se envían al proveedor cloud seleccionado. Estos proveedores actúan como encargados del tratamiento independientes con sus propias políticas de privacidad.
- Las claves API se almacenan cifradas (AES-256-CBC) y nunca son visibles para los administradores de MeigaHub.
Importante: El uso de APIs cloud implica que tus datos salen del Espacio Económico Europeo si el proveedor tiene servidores fuera de la UE. Consulta la política de privacidad del proveedor correspondiente.
5. Conservación de datos
Los plazos de conservación son los siguientes:
- Datos de cuenta: mientras la cuenta esté activa, más 30 días tras la baja o cancelación.
- Historial de conversaciones: mientras el usuario no lo elimine manualmente, con un máximo de 2 años desde la última interacción en cada conversación. Las conversaciones sin actividad durante más de 2 años podrán ser purgadas automáticamente.
- Datos de facturación: 5 años conforme a la legislación fiscal española (Ley 58/2003 General Tributaria).
- Registros de infracciones TOS: 3 años desde la resolución, o el plazo que exija la legislación aplicable.
- Registros de canal de mensajería (Telegram, WhatsApp, Slack): 30 días. Se eliminan automáticamente.
- Analítica de visitas a páginas: 90 días. Se eliminan automáticamente.
- Errores de aplicación: 90 días.
- Registros de actividad del escritorio (Desktop Agent): mientras el usuario no lo elimine, con un máximo de 1 año.
6. Medidas de seguridad
MeigaHub implementa medidas técnicas y organizativas adecuadas al riesgo, conforme al Art. 32 RGPD y Art. 28 LOPDGDD:
- Cifrado de datos sensibles en reposo (AES-256-CBC) y en tránsito (HTTPS/TLS 1.2+, WireGuard para servidores LLM).
- Autenticación de doble factor (2FA/TOTP) obligatoria para usuarios.
- Contraseñas almacenadas con hash bcrypt (no reversible). Claves API cifradas y nunca expuestas en la UI.
- Aislamiento de red entre usuarios mediante ACLs deny-by-default. Los usuarios no pueden acceder a otros usuarios ni a la infraestructura central.
7. Tus derechos (RGPD Arts. 15-22 y LOPDGDD)
Tienes derecho a:
- Acceso (Art. 15): solicitar una copia de tus datos personales tratados.
- Rectificación (Art. 16): corregir datos inexactos o incompletos.
- Supresión (Art. 17): solicitar la eliminación de tu cuenta y datos («derecho al olvido»).
- Limitación del tratamiento (Art. 18): solicitar la restricción del tratamiento en determinadas circunstancias.
- Portabilidad (Art. 20): recibir tus datos en formato estructurado, de uso común y lectura mecánica.
- Oposición (Art. 21): oponerte al tratamiento basado en interés legítimo.
Para ejercer estos derechos, envía un correo a [email protected] indicando tu nombre completo, email de registro y el derecho que deseas ejercer. Responderemos en un plazo máximo de 30 días.
8. Transferencias internacionales
MeigaHub trata los datos personales de sus usuarios con las salvaguardas exigidas por el Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD. A continuación detallamos las transferencias internacionales de datos que pueden producirse y las bases legales que las amparan.
La infraestructura principal de MeigaHub está alojada en servidores de OVHcloud SAS (empresa francesa) en su centro de datos de Beauharnois, Quebec (Canadá). Esta transferencia está amparada por la Decisión de Adecuación de la Comisión Europea 2002/2/CE, que reconoce que las organizaciones canadienses sujetas a la Personal Information Protection and Electronic Documents Act (PIPEDA) ofrecen un nivel adecuado de protección de datos personales conforme al Art. 45 del RGPD. OVHcloud, como empresa sujeta a PIPEDA, cumple este requisito. Adicionalmente, OVHcloud ofrece un Acuerdo de Tratamiento de Datos (DPA) conforme al RGPD.
Si el usuario configura APIs cloud de terceros (OpenAI, Mistral, Groq), los datos del chat se envían al proveedor seleccionado. La siguiente tabla incluye los proveedores cloud soportados como sub-encargados condicionales (solo aplican cuando el usuario los configura activamente):
La siguiente tabla resume los sub-encargados del tratamiento que pueden recibir datos personales fuera del EEE:
| Proveedor | País | Salvaguarda | Finalidad |
|---|---|---|---|
| OVHcloud (SAS) | Canadá (Beauharnois, QC) | Decisión de Adecuación 2002/2/CE (PIPEDA) + DPA | Alojamiento de infraestructura (servidores, base de datos, almacenamiento) |
| Stripe, Inc. | EE. UU. | EU-U.S. Data Privacy Framework (DPF) + SCCs | Procesamiento de pagos y facturación |
| Tailscale, Inc. | Canadá | Decisión de Adecuación 2002/2/CE (PIPEDA) + SCCs | Red VPN para conexión de servidores LLM del usuario |
| OpenAI | EE. UU. | EU-U.S. Data Privacy Framework (DPF) + SCCs | Procesamiento de IA (solo si el usuario configura su API key de OpenAI) |
| Mistral AI | Francia (UE) | Tratamiento dentro del EEE — sin transferencia internacional | Procesamiento de IA (solo si el usuario configura su API key de Mistral) |
| Groq | EE. UU. | EU-U.S. Data Privacy Framework (DPF) + SCCs | Procesamiento de IA (solo si el usuario configura su API key de Groq) |
| Bunny.net | UE (Eslovenia) | Tratamiento dentro del EEE — sin transferencia internacional | Servicio de fuentes tipográficas web (solo dirección IP y headers HTTP del navegador) |
| jsDelivr (Prospect One) | UE (Polonia) + CDN global | Tratamiento principal dentro del EEE; nodos CDN globales con SCCs | Red de distribución de contenido para librerías JavaScript (Chart.js, QRCode) — solo dirección IP y headers HTTP |
Cuando el usuario conecta su propio servidor LLM, los datos viajan a través de un túnel cifrado (WireGuard/Tailscale) hasta el servidor del usuario; la ubicación de dicho servidor y el cumplimiento normativo en su jurisdicción son responsabilidad del usuario. MeigaHub revisará periódicamente la vigencia de las decisiones de adecuación y adoptará salvaguardas adicionales (Cláusulas Contractuales Tipo u otros mecanismos del Art. 46 RGPD) si alguna decisión fuese revocada.
9. Procesamiento con inteligencia artificial y decisiones automatizadas
MeigaHub utiliza modelos de inteligencia artificial (LLM) para ofrecer sus funcionalidades. Es importante que comprendas cómo se procesan tus datos en este contexto:
- Los modelos de IA se ejecutan en los servidores propios del usuario o en APIs cloud que el usuario haya configurado. MeigaHub no entrena ni ajusta modelos con tus datos.
- Algunas funcionalidades incluyen procesamiento automatizado con scoring: coincidencia de oportunidades con perfil (SearchCases), evaluación de rendimiento de contenido (blog), y detección de infracciones (TOS). Estos procesos son auxiliares y están sujetos a supervisión humana.
- No se toman decisiones que produzcan efectos jurídicos o afecten significativamente al interesado basadas únicamente en tratamiento automatizado (Art. 22.1 RGPD). Las acciones como suspensión de cuentas o despublicación de contenido pueden revisarse manualmente en todo momento.
- Tienes derecho a obtener intervención humana, expresar tu punto de vista e impugnar cualquier decisión automatizada, conforme al Art. 22.3 RGPD. Contacta en [email protected].
10. Contacto de privacidad
MEP Spain no tiene la obligación legal de designar un Delegado de Protección de Datos (Art. 37 RGPD), al no tratar datos a gran escala. No obstante, puedes dirigir cualquier consulta relativa al tratamiento de tus datos personales a [email protected].
11. Contacto y reclamaciones
Para ejercer tus derechos, presentar una consulta o reclamación:
También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es si consideras que tus derechos no han sido atendidos correctamente.