Política de Privacidad
DemanaIa — https://demanaia.com
Última actualización: 2 de marzo de 2026
1. Responsable del tratamiento
- Responsable: Lluís Picornell Company
- Correo electrónico: lluispicornellcompany@gmail.com
- Sitio web: https://demanaia.com
2. Qué datos recogemos
| Categoría | Datos concretos | Finalidad |
|---|
| Cuenta de usuario | Correo electrónico, contraseña (almacenada como hash, nunca en texto plano) | Autenticación y gestión de la cuenta |
| Documentos subidos | Archivos PDF, DOCX, DOC, TXT, MD y su contenido convertido a texto | Procesamiento RAG (indexación, búsqueda y respuestas del chatbot) |
| Conversaciones | Preguntas del usuario, respuestas del asistente, fuentes citadas | Funcionalidad del chat, historial de conversaciones |
| Registros de consultas | Pregunta, modelo usado, tiempo de respuesta, marca de tiempo | Monitorización del rendimiento y análisis de uso |
| Formulario de contacto | Nombre, correo, teléfono (opcional), empresa (opcional), mensaje | Atención de solicitudes de contacto, prueba o demo |
| Feedback | Valoración positiva/negativa sobre respuestas del asistente | Mejora de la calidad del servicio |
| Datos técnicos | Token de sesión JWT, dirección IP (logs del servidor) | Seguridad, prevención de abusos |
3. Base jurídica del tratamiento
- Ejecución contractual (Art. 6.1.b RGPD): Tratamiento necesario para prestar el servicio solicitado por el usuario.
- Interés legítimo (Art. 6.1.f RGPD): Registros de seguridad, análisis de rendimiento y prevención de abusos.
- Consentimiento (Art. 6.1.a RGPD): Formulario de contacto y comunicaciones opcionales.
4. Cómo procesamos los datos
- Los documentos subidos se convierten a texto, se dividen en fragmentos y se generan embeddings vectoriales para búsqueda semántica.
- Las consultas del usuario se envían a la API de Google Gemini (modelos Gemini 2.5 Flash Lite y Gemini 2.5 Pro) para generar respuestas basadas en el contenido de los documentos.
- Las contraseñas se almacenan exclusivamente como hashes criptográficos (bcrypt). Nunca se almacenan ni transmiten en texto plano.
- Cada usuario solo puede acceder a sus propios documentos y conversaciones (aislamiento por usuario).
5. Encargados del tratamiento y terceros
| Proveedor | Servicio | Ubicación | Garantías |
|---|
| Google Cloud Platform (GCP) | Alojamiento del servidor (Compute Engine, región EU) | Unión Europea | SCCs, ISO 27001, SOC 2 |
| Google Gemini API | Generación de respuestas IA | EE.UU. / Global | API de pago (Nivel 1): Google no utiliza los datos para entrenar modelos |
No vendemos, alquilamos ni compartimos datos personales con terceros para fines publicitarios o de marketing.
6. Transferencias internacionales
Las consultas al chatbot se envían a la API de Google Gemini, que puede procesar datos fuera del EEE. Google LLC se adhiere al EU-US Data Privacy Framework y aplica Cláusulas Contractuales Tipo (SCCs) conforme al Art. 46.2.c RGPD.
7. Conservación de datos
| Dato | Periodo de conservación |
|---|
| Cuenta de usuario | Mientras la cuenta esté activa. Se elimina a petición del usuario. |
| Documentos subidos | Mientras la cuenta esté activa. Eliminables en cualquier momento. |
| Conversaciones y mensajes | Mientras la cuenta esté activa. Eliminables en cualquier momento. |
| Registros de consultas | Máximo 12 meses. |
| Formulario de contacto | Máximo 12 meses tras resolver la solicitud. |
| Logs del servidor | Máximo 90 días. |
8. Medidas de seguridad
- Comunicación cifrada mediante HTTPS/TLS.
- Contraseñas almacenadas como hashes bcrypt.
- Autenticación mediante tokens JWT con expiración.
- Aislamiento de datos por usuario.
- Infraestructura en Google Cloud Platform (ISO 27001, SOC 2).
- Limitación de tasa de peticiones por usuario.
9. Derechos del usuario
Conforme al RGPD (UE 2016/679) y la LOPDGDD (LO 3/2018), tienes derecho a:
- Acceso — Solicitar una copia de tus datos personales.
- Rectificación — Corregir datos inexactos o incompletos.
- Supresión — Solicitar la eliminación de tus datos.
- Limitación — Restringir el tratamiento en determinadas circunstancias.
- Portabilidad — Recibir tus datos en un formato estructurado.
- Oposición — Oponerte al tratamiento basado en interés legítimo.
Para ejercer estos derechos: lluispicornellcompany@gmail.com
También puedes reclamar ante la Agencia Española de Protección de Datos (AEPD).
10. Cookies y almacenamiento local
DemanaIa utiliza exclusivamente localStorage del navegador para: preferencia de idioma, token de sesión y preferencia de tema.
No utilizamos cookies de seguimiento, analíticas ni publicitarias.
11. Menores
El servicio no está dirigido a menores de 16 años. No tratamos conscientemente datos de menores.
12. Cambios en esta política
Nos reservamos el derecho de actualizar esta política. La fecha de última actualización se indica al inicio del documento.
Privacy Policy
DemanaIa — https://demanaia.com
Last updated: March 2, 2026
1. Data Controller
- Controller: Lluís Picornell Company
- Email: lluispicornellcompany@gmail.com
- Website: https://demanaia.com
2. Data We Collect
| Category | Specific Data | Purpose |
|---|
| User account | Email address, password (stored as hash, never in plain text) | Authentication and account management |
| Uploaded documents | PDF, DOCX, DOC, TXT, MD files and their text content | RAG processing (indexing, search, and chatbot responses) |
| Conversations | User questions, assistant responses, cited sources | Chat functionality, conversation history |
| Query logs | Question, model used, response time, timestamp | Performance monitoring and usage analytics |
| Contact form | Name, email, phone (optional), company (optional), message | Handling contact, trial, and demo requests |
| Feedback | Thumbs up/down ratings on assistant responses | Service quality improvement |
| Technical data | JWT session token, IP address (server logs) | Security, abuse prevention |
3. Legal Basis
- Contract performance (Art. 6.1.b GDPR): Processing necessary to provide the requested service.
- Legitimate interest (Art. 6.1.f GDPR): Security logs, performance analytics, and abuse prevention.
- Consent (Art. 6.1.a GDPR): Contact form and optional communications.
4. How We Process Data
- Uploaded documents are converted to text, split into chunks, and vector embeddings are generated for semantic search.
- User queries are sent to the Google Gemini API (Gemini 2.5 Flash Lite and Gemini 2.5 Pro) to generate responses based on document content.
- Passwords are stored exclusively as cryptographic hashes (bcrypt). They are never stored or transmitted in plain text.
- Each user can only access their own documents and conversations (per-user data isolation).
5. Sub-processors and Third Parties
| Provider | Service | Location | Safeguards |
|---|
| Google Cloud Platform (GCP) | Server hosting (Compute Engine, EU region) | European Union | SCCs, ISO 27001, SOC 2 |
| Google Gemini API | AI response generation | US / Global | Paid API (Tier 1): Google does not use data to train models |
We do not sell, rent, or share personal data with third parties for advertising or marketing purposes.
6. International Transfers
Chatbot queries are sent to the Google Gemini API, which may process data outside the EEA. Google LLC adheres to the EU-US Data Privacy Framework and applies Standard Contractual Clauses (SCCs) under Art. 46.2.c GDPR.
7. Data Retention
| Data | Retention Period |
|---|
| User account | As long as the account is active. Deleted upon user request. |
| Uploaded documents | As long as the account is active. Users may delete them at any time. |
| Conversations and messages | As long as the account is active. Users may delete them at any time. |
| Query logs | Up to 12 months. |
| Contact form | Up to 12 months after request resolution. |
| Server logs | Up to 90 days. |
8. Security Measures
- Encrypted communication via HTTPS/TLS.
- Passwords stored as bcrypt hashes.
- JWT token authentication with expiration.
- Per-user data isolation.
- Infrastructure hosted on Google Cloud Platform (ISO 27001, SOC 2).
- Per-user rate limiting.
9. User Rights
Under the GDPR (EU Regulation 2016/679), you have the right to:
- Access — Request a copy of your personal data.
- Rectification — Correct inaccurate or incomplete data.
- Erasure — Request deletion of your data.
- Restriction — Restrict processing in certain circumstances.
- Portability — Receive your data in a structured format.
- Objection — Object to processing based on legitimate interest.
To exercise these rights: lluispicornellcompany@gmail.com
You may also lodge a complaint with the Spanish Data Protection Agency (AEPD).
10. Cookies and Local Storage
DemanaIa exclusively uses browser localStorage for: language preference, session token, and theme preference.
We do not use tracking, analytics, or advertising cookies.
11. Minors
The service is not intended for users under 16 years of age. We do not knowingly process data from minors.
12. Changes to This Policy
We reserve the right to update this policy. The last update date is shown at the top of this document.